گھر سیکیورٹی ڈیٹا کی خلاف ورزی کی اطلاع: قانونی اور باقاعدہ ماحول

ڈیٹا کی خلاف ورزی کی اطلاع: قانونی اور باقاعدہ ماحول

فہرست کا خانہ:

Anonim

ریاستہائے متحدہ میں ، بہت سے وفاقی اور ریاستی ڈیٹا کی خلاف ورزی کے نوٹیفکیشن قوانین موجود ہیں ، حالانکہ یہاں کوئی جامع وفاقی قانون موجود نہیں ہے۔ مئی 2011 میں ، اوباما انتظامیہ نے کانگریس کو سائبرسیکیوریٹی کی ایک جامع تجویز پیش کی جس میں وفاقی ڈیٹا کی خلاف ورزی کے بارے میں نوٹیفکیشن کی ضرورت بھی شامل ہے۔ اس سے سائبر سکیورٹی میں بڑے پیمانے پر بہتری آسکتی ہے ، لیکن جنوری 2012 تک ، وفاقی اعداد و شمار کی خلاف ورزی کے بارے میں کوئی قانون سازی منظور نہیں کی گئی تھی۔ یہاں ہم ڈیٹا سیکیورٹی اور قانون سازی پر ایک نظر ڈالتے ہیں جو خلاف ورزیوں سے نمٹنے کے لئے تشکیل دی جارہی ہے۔ (پس منظر کے مطالعے کے لئے ، آئی ٹی سیکیورٹی کے بنیادی اصول دیکھیں۔)

فیڈرل کیس بنانا

امریکی وفاقی سطح پر ، ایسے قوانین اور رہنمائی موجود ہیں جن کی مخصوص قسم کے اعداد و شمار کے لئے خلاف ورزی کی اطلاع کی ضرورت ہے: ہیلتھ انشورنس پورٹیبلٹی اینڈ احتساب (HIPAA) ایکٹ اور صحت کی دیکھ بھال سے متعلق معلومات کے ل Economic صحت انفارمیشن ٹکنالوجی برائے اقتصادی اور کلینیکل ہیلتھ (HITECH) ایکٹ ، مالی معلومات کے لئے گرام لیچ-بلیلی ایکٹ ، اور وفاقی ایجنسیوں کے زیر انتظام ذاتی معلومات کے لئے آفس آف مینجمنٹ اینڈ بجٹ (OMB) رہنمائی۔


HITECH ایکٹ کے مطابق ، HIPAA کے زیر احاطہ صحت کی دیکھ بھال کرنے والے خدمات فراہم کرنے والوں کو جب فوری طور پر مریضوں کو ان کی صحت سے متعلق معلومات کی خلاف ورزی کی اطلاع دی جاتی ہے۔ محکمہ صحت اور انسانی خدمات (HHS) اور میڈیا کو ایسے معاملات میں مطلع کیا جانا چاہئے جہاں خلاف ورزیوں سے 500 سے زیادہ افراد متاثر ہوتے ہیں۔ صحت سے متعلق ذاتی معلومات کے دکانداروں کو اسی طرح کی خلاف ورزی کی اطلاعاتی تقاضے ہوتے ہیں ، لیکن انھیں HHS کی بجائے فیڈرل ٹریڈ کمیشن کو آگاہ کرنا ہوگا۔


فیڈرل بینکنگ ریگولیٹرز کی طرف سے گرام لیچ-بلیلی ایکٹ کے تحت جاری کردہ رہنمائی کے مطابق ، جب کوئی بینک یا دیگر مالیاتی ادارہ ڈیٹا کی خلاف ورزی کے بارے میں آگاہ ہوجاتا ہے ، تو اسے اس بات کا پتہ لگانے کے لئے تفتیش کرنی چاہئے کہ معلومات کا غلط استعمال کیا گیا ہے یا اس کا غلط استعمال کیا جائے گا۔ اگر بینک یہ طے کرتا ہے کہ غلط استعمال ہوا ہے یا معقول حد تک ممکن ہے تو ، اسے جلد از جلد متاثرہ صارفین کو مطلع کرنا چاہئے۔


کسٹمر نوٹس میں تاخیر ہوسکتی ہے اگر قانون نافذ کرنے والے اداروں نے اس بات کا تعین کیا کہ نوٹیفکیشن فوجداری تحقیقات میں مداخلت کرے گا اور تاخیر کے لئے بینک کو تحریری درخواست فراہم کرے گا۔ بینک کو جلد از جلد اپنے صارفین کو مطلع کرنا چاہئے کیونکہ نوٹیفکیشن اب تحقیقات میں مداخلت نہیں کرے گا۔ تاہم ، شرمندگی یا بینک کو تکلیف کی وجہ سے نوٹیفکیشن میں تاخیر نہیں کی جاسکتی ہے۔


او ایم بی کی رہنمائی کے مطابق ، وفاقی ایجنسیوں کو دریافت / پتہ لگانے کے ایک گھنٹہ میں ذاتی طور پر قابل شناخت معلومات سے متعلق تمام ڈیٹا کی خلاف ورزیوں کی اطلاع دینے کی ضرورت ہے۔ تاہم ، ایجنسیوں کے پاس ایجنسی کے باہر ڈیٹا کی خلاف ورزی کی اطلاع دینے میں صوابدید ہے۔ وہ قانون نافذ کرنے والے اداروں ، قومی سلامتی ، یا ایجنسی کی ضروریات کے بارے میں نوٹیفکیشن میں تاخیر کرسکتے ہیں۔

کیلیفورنیا خواب دیکھ رہا ہے

ریاستی سطح پر ، ڈیٹا کی خلاف ورزی کے نوٹیفکیشن پر 46 ریاستی قوانین (اور ضلع کولمبیا) کا ایک پیچ ہے۔ کیلیفورنیا نے 2002 میں پہلے ڈیٹا کی خلاف ورزی کا نوٹیفکیشن قانون نافذ کیا ، اور یہ بہت سے دوسرے ریاستی قوانین کے نمونے کے طور پر استعمال ہوتا رہا ہے۔


کیلیفورنیا کے قانون کے تحت ، کمپنیوں کو تحریری طور پر غیر معقول تاخیر کے "جلد از جلد گاہکوں کے لئے ڈیٹا کی خلاف ورزی کا انکشاف کرنا چاہئے۔ اگر مطلع کرنے والا شخص یا کاروبار یہ ظاہر کرسکتا ہے کہ اس نوٹیفکیشن پر 250،000 $ سے زیادہ لاگت آئے گی یا 500،000 سے زیادہ افراد متاثر ہوں گے ، تو ویب سائٹ پوسٹ کرنے کی صورت میں متبادل نوٹس استعمال کیا جاسکتا ہے اور بڑے ریاست کے میڈیا کو اطلاع مل سکتی ہے۔ قانون کسی بھی ڈیٹا کی خلاف ورزی کی اطلاع سے مستثنیٰ ہے جس میں ذاتی معلومات کو خفیہ بنایا گیا تھا۔


تاہم ، کیلیفورنیا ، بہت ساری دیگر ریاستوں کے برعکس ، ڈیٹا کی خلاف ورزی کے صارفین کو فوری طور پر مطلع کرنے میں ناکامی کے جرمانے میں شامل نہیں ہے۔ ریاستی قانون سازوں کی نیشنل کانفرنس ریاستی اعداد و شمار کی خلاف ورزی کے نوٹیفکیشن قوانین کی فہرست اور ان قوانین سے منسلک ہے۔

یورپ یا ٹوٹ

یوروپ میں ، یوروپی یونین نے اپنی ای پرائیویسی ہدایت میں 2009 میں ترمیم کے دوران ڈیٹا کی خلاف ورزی کے نوٹیفکیشن کی ضرورت کو منظوری دے دی۔ یوروپی یونین کے رکن ممالک کے پاس قومی قانون میں ترمیم پر عمل درآمد کے لئے 25 مئی ، 2011 تک کا وقت تھا۔


اس ترمیم میں "عوامی طور پر دستیاب الیکٹرانک مواصلات کی خدمات فراہم کرنے والے" کا تقاضہ کیا گیا ہے تاکہ وہ قومی حکام کو ذاتی معلومات کی خلاف ورزی کے بارے میں مطلع کریں جس کے نتیجے میں صارفین کو "معاشی نقصان اور سماجی نقصان ہوسکتا ہے" جیسے ہی وہ اس خلاف ورزی کے بارے میں آگاہ ہوجائیں۔ نیز ، متاثرہ صارفین کو "تاخیر کے" اس خلاف ورزی کے بارے میں مطلع کیا جانا چاہئے۔ نوٹیفکیشن میں کمپنی کے ذریعہ کئے جانے والے اقدامات کے بارے میں معلومات کے ساتھ ساتھ متاثرہ صارفین کے لئے سفارش کردہ اقدامات کے بارے میں بھی شامل ہونا چاہئے۔


یوروپی یونین کے ڈیٹا پروٹیکشن ہدایت میں تبدیلیوں کی توقع 2012 میں کی جارہی ہے ، جس میں یہ ضرورت بھی شامل ہے کہ تمام کمپنیاں ، نہ صرف الیکٹرانک مواصلات کی خدمت فراہم کرنے والے ، قومی حکام اور متاثرہ صارفین کو ذاتی معلومات کی خلاف ورزی کے 24 گھنٹوں کے اندر مطلع کریں۔


یوکے ڈیٹا پروٹیکشن ایکٹ ، جو یورپی یونین کے ای پرائیویسی ہدایت کی پیش گوئی کرتا ہے ، کے پاس کمپنیوں کو اعداد و شمار کے تحفظ کے ل requirements تقاضوں کا ایک جامع مجموعہ ہے ، اگرچہ اس میں ڈیٹا کی خلاف ورزی کی اطلاع کی ضرورت نہیں ہے۔


برطانیہ کے انفارمیشن کمشنر آفس (ICO) ، جو اس ایکٹ کو نافذ کرنے کے انچارج ہیں ، نے کہا ہے کہ کمپنیوں کو ڈیٹا کی سنگین خلاف ورزیوں کی اطلاع دی جانی چاہئے ، جو ایسی خلاف ورزیوں کی وجہ سے ہیں جن سے افراد کو ممکنہ نقصان پہنچ سکتا ہے۔ ایجنسی کا کہنا ہے کہ وہ توقع کرے گا کہ برطانیہ کی کمپنیاں ایک ہزار یا زیادہ افراد پر غیر خفیہ کردہ ذاتی معلومات کی خلاف ورزیوں کے بارے میں مطلع کریں گی۔ آئی سی او نے کہا کہ متاثرہ صارفین کو مطلع کرنا اس کی ذمہ داری نہیں ہے ، لیکن اس کی سفارش کی جاسکتی ہے کہ کمپنی اس خلاف ورزی کو عوامی بنائے "جہاں یہ متعلقہ افراد کے مفاد میں واضح طور پر ہے یا ایسا کرنے کے لئے عوامی مفادات کی مضبوط دلیل موجود ہے۔"

ڈیٹا کی خلاف ورزی اور رپورٹنگ

اعداد و شمار کی بہت زیادہ خلاف ورزی اور عوامی دباؤ کے جواب میں ، امریکی اور یورپی قانون سازوں اور ریگولیٹرز نے ان تقاضوں پر غور کیا جارہا ہے کہ تمام کمپنیاں قومی حکام اور متاثرہ صارفین کو ڈیٹا کی خلاف ورزی کی اطلاع دیں۔ تاہم ، جنوری 2012 تک ، ان کوششوں میں سے کسی کے بھی نتیجے میں ریاستہائے متحدہ یا یوروپی یونین میں کسی سے بھی اعداد و شمار کی خلاف ورزی کے نوٹیفکیشن کے جامع قوانین اور ضابطوں کا نتیجہ نہیں نکلا۔

ڈیٹا کی خلاف ورزی کی اطلاع: قانونی اور باقاعدہ ماحول