Законы об уведомлении об утечке данных

Законы об уведомлении о нарушении безопасности или законы об уведомлении об нарушении данных — это законы , которые требуют от лиц или организаций, пострадавших от нарушения данных , несанкционированного доступа к данным , ^[1] уведомлять своих клиентов и другие стороны о нарушении, а также предпринимать конкретные шаги для исправления ситуации на основе законодательства штата. Законы об уведомлении об нарушении данных преследуют две основные цели. Первая цель — предоставить людям возможность снизить риски, связанные с нарушениями данных. Вторая цель — стимулировать компании к укреплению безопасности данных. ^[2] Вместе эти цели работают над минимизацией вреда для потребителей от нарушений данных, включая выдачу себя за другое лицо, мошенничество и кражу личных данных. ^[3]

Такие законы нерегулярно принимались во всех 50 штатах США с 2002 года. В настоящее время все 50 штатов приняли формы законов об уведомлении об утечке данных. ^[4] Федерального закона об уведомлении об утечке данных нет, несмотря на предыдущие законодательные попытки. ^[5] Эти законы были приняты в ответ на растущее число утечек баз данных потребителей , содержащих персональную информацию . ^[6] Аналогичным образом, несколько других стран, таких как Европейский союз Общий регламент по защите данных (GDPR) и Австралийский закон о поправках к закону о конфиденциальности (уведомляемые утечки данных) 2017 года (Cth), добавили законы об уведомлении об утечке данных для борьбы с участившимися случаями утечек данных. ^[7]

Рост числа утечек данных, совершаемых как странами, так и отдельными лицами, очевиден и вызывает тревогу, поскольку число зарегистрированных утечек данных возросло с 421 в 2011 году до 1091 в 2016 году и 1579 в 2017 году, согласно данным Центра ресурсов по краже личных данных (ITRC). ^{[8] [9]} Это также затронуло миллионы людей и привлекло все больше внимания общественности из-за крупных утечек данных, таких как утечка Equifax в октябре 2017 года, в результате которой были раскрыты персональные данные почти 146 миллионов человек. ^[10]

Австралия

В 2018 году вступил в силу Закон Австралии о поправках к Закону о конфиденциальности (уведомляемые нарушения данных) 2017 года. ^[11] Он внес поправки в Закон о конфиденциальности 1988 года (Cth), который установил систему уведомления об утечках данных, связанных с личной информацией, которые приводят к причинению вреда. Теперь организации с существующими обязательствами по защите личной информации в соответствии с Законом Австралии о конфиденциальности обязаны уведомлять Управление австралийского комиссара по информации (OAIC) ​​и затронутых лиц обо всех «допустимых нарушениях данных». ^[12] Поправка исходит из опыта крупных нарушений данных в Австралии, таких как взлом Yahoo в 2013 году, в котором участвовали тысячи государственных служащих, и нарушение данных НПО Австралийский Красный Крест, в результате которого была раскрыта личная информация 550 000 доноров крови.

Критика уведомления об утечке данных включает: необоснованное освобождение некоторых субъектов, таких как малый бизнес, и Комиссар по вопросам конфиденциальности, не обязанный размещать утечки данных в одном постоянном месте, чтобы использовать их в качестве данных для будущих исследований. Кроме того, обязательства по уведомлению не являются последовательными на государственном уровне. ^[13]

Китай

В середине 2017 года Китай принял новый Закон о кибербезопасности, который включал требования об уведомлении об утечке данных. ^[13]

Евросоюз

В 1995 году ЕС принял Директиву о защите данных (DPD), которая недавно была заменена Общим регламентом по защите данных (GDPR) 2016 года, всеобъемлющим федеральным законом об уведомлении об утечке данных. GDPR предлагает более строгие законы о защите данных, более широкие законы об уведомлении об утечке данных и новые факторы, такие как право на переносимость данных. Однако некоторые области законов об уведомлении об утечке данных дополняются другими законами о безопасности данных. ^[13]

Примерами этого являются, например, принятие Европейским союзом в 2009 году закона об уведомлении о нарушениях в Директиве о конфиденциальности и электронных коммуникациях (Директива об электронной конфиденциальности), касающегося персональных данных , хранящихся поставщиками телекоммуникационных и интернет-услуг. ^{[14] [15]} Этот закон содержит некоторые обязательства по уведомлению об утечках данных. ^[13]

Данные о трафике абонентов, которые используют голос и данные через сетевую компанию, сохраняются компанией только по эксплуатационным причинам. Однако данные о трафике должны быть удалены, когда они больше не нужны, чтобы избежать нарушений. Однако данные о трафике необходимы для создания и обработки счетов абонентов. Использование этих данных доступно только до конца периода, в течение которого счет может быть погашен на основании законодательства Европейского Союза (статья 6 - пункты 1-6 ^[16] ). Что касается маркетингового использования данных о трафике для продажи дополнительных платных услуг, они могут быть использованы компанией только в том случае, если абонент дает свое согласие (но согласие может быть отозвано в любое время). Кроме того, поставщик услуг должен информировать абонента или пользователя о типах данных о трафике, которые обрабатываются, и о продолжительности этого на основе вышеуказанных предположений. Обработка данных о трафике в соответствии с вышеуказанными сведениями должна быть ограничена лицами, действующими под руководством поставщиков сетей связи общего пользования и общедоступных услуг электронной связи, занимающимися выставлением счетов или управлением трафиком, обработкой запросов клиентов, выявлением мошенничества, маркетингом услуг электронной связи или предоставлением дополнительных услуг, и должна быть ограничена тем, что необходимо для целей такой деятельности.

Обязательства по уведомлению об утечке данных включены в новую Директиву о безопасности сетей и информационных систем (Директива NIS). Это создает требования по уведомлению для основных служб и поставщиков цифровых услуг. Среди них — немедленное уведомление органов власти или групп реагирования на инциденты компьютерной безопасности (CSIRTS) в случае существенной утечки данных.

Подобно опасениям США по поводу подхода, применяемого к каждому штату, который приводит к увеличению расходов и трудностям в соблюдении всех законов штатов, различные требования ЕС к уведомлению о нарушениях в различных законах вызывают беспокойство. ^[13]

Япония

В 2015 году Япония внесла поправки в Закон о защите личной информации (APPI) для борьбы с массовыми утечками данных. В частности, массовая утечка данных Benesse Corporation в 2014 году, когда было слито и продано около 29 миллионов единиц личной информации клиентов. Это включает в себя новые штрафные санкции за незаконные транзакции, однако в APPI нет специального положения, касающегося уведомления об утечке данных. Вместо этого Политика в отношении защиты личной информации, в соответствии с APPI, создает политику, которая поощряет бизнес-операторов добровольно раскрывать утечки данных. ^[17]

Каори Ишии и Таро Комукаи предположили, что японская культура предлагает потенциальное объяснение того, почему нет специального закона об уведомлении об утечке данных, который бы поощрял компании укреплять безопасность данных. Японская широкая общественность и средства массовой информации, в частности, осуждают утечки. Следовательно, утечки данных быстро приводят к потере доверия клиентов, ценности бренда и, в конечном итоге, прибыли. Примером этого является утечка данных в 2004 году, когда Softbank быстро потерял 107 миллиардов иен, а Benesse Corporation потеряла 940 000 клиентов после утечки данных. Это привело к соблюдению требования о раскрытии утечек данных в соответствии с политикой. ^[17]

Хотя трудно объективно доказать, что японская культура обуславливает необходимость принятия специальных законов об уведомлении об утечке данных, было показано, что компании, которые сталкиваются с утечкой данных, действительно несут как финансовый, так и репутационный ущерб. ^{[18] [19]}

Новая Зеландия

Закон Новой Зеландии о конфиденциальности 2020 года вступил в силу 1 декабря 2020 года, заменив закон 1993 года. Закон делает уведомление о нарушениях конфиденциальности обязательным. ^[20] Организации, получающие и собирающие данные, теперь должны будут сообщать о любых нарушениях конфиденциальности, которые, по их мнению, нанесли или могут нанести серьезный вред.

Соединенные Штаты

Законы об уведомлении об утечке данных были приняты во всех 50 штатах, округе Колумбия , Гуаме , Пуэрто-Рико и на Виргинских островах . ^[6] По состоянию на август 2021 года попытки принять федеральный закон об уведомлении об утечке данных не увенчались успехом. ^[21]

50 штатов

Первый такой закон, закон Калифорнии об уведомлении о нарушении безопасности данных ^[22] , был принят в 2002 году и вступил в силу 1 июля 2003 года. ^[23] Законопроект был принят в ответ на страх кражи личных данных и мошенничества . ^{[8] [24]} Как указано в заявлении о законопроекте, закон требует, чтобы «государственное агентство или лицо или предприятие, которое ведет бизнес в Калифорнии, которое владеет или лицензирует компьютеризированные данные, которые включают персональную информацию, как определено, раскрывало определенным образом любое нарушение безопасности данных, как определено, любому резиденту Калифорнии, чья незашифрованная персональная информация была или есть основания полагать, что была получена неуполномоченным лицом». Кроме того, закон разрешает отсроченное уведомление, «если правоохранительный орган определит, что это будет препятствовать уголовному расследованию». Закон также требует, чтобы любое лицо, которое лицензирует такую ​​информацию, уведомляло владельца или лицензиата информации о любом нарушении безопасности данных.

В целом, большинство законов штата следуют основным принципам первоначального закона Калифорнии: компании должны немедленно сообщать об утечке данных клиентам, как правило, в письменной форме. ^[25] С тех пор Калифорния расширила свой закон, включив в него скомпрометированную медицинскую и страховую информацию. ^[26] Больше всего законопроекты различаются в том, на каком уровне о нарушении следует сообщать Генеральному прокурору штата (обычно, когда оно затрагивает 500 или 1000 человек или более). Некоторые штаты, такие как Калифорния, публикуют эти уведомления об утечке данных на своих веб-сайтах oag.gov. О нарушениях необходимо сообщать, если «конфиденциальная персональная информация была получена или есть основания полагать, что она была получена неуполномоченным лицом, и есть основания полагать, что она нанесет существенный вред лицам, к которым относится эта информация». ^[27] Это оставляет место для некоторой интерпретации (нанесет ли это существенный вред?); но о нарушениях зашифрованных данных сообщать не нужно. Также не следует сообщать, если данные были получены или просмотрены неуполномоченными лицами, если нет оснований полагать, что они будут использовать данные во вредных целях.

Национальная конференция законодательных органов штатов ведет список принятых и предлагаемых законов об уведомлении об утечке данных. ^[6] Алабама и Южная Дакота приняли свои законы об уведомлении об утечке данных в 2018 году, что сделало их последними штатами, которые приняли это решение.

Некоторые различия в законах об уведомлении об утечке данных в разных штатах включают пороговые значения ущерба, причиненного утечкой данных, необходимость уведомления определенных правоохранительных органов или агентств потребительского кредитования, более широкие определения личной информации и различия в штрафах за несоблюдение требований. ^[13]

История федерального закона об уведомлении об утечке данных

По состоянию на август 2021 года федерального закона об уведомлении об утечке данных нет. Первый предложенный федеральный закон об уведомлении об утечке данных был представлен Конгрессу в 2003 году, но он так и не вышел из состава Комитета по правосудию. ^[5] Аналогичным образом, ряд законопроектов, которые установили бы национальный стандарт уведомления об утечке данных, были представлены в Конгресс США , но ни один из них не был принят 109-м Конгрессом . ^[28] Фактически, в 2007 году было предложено три федеральных закона об уведомлении об утечке данных, но ни один из них не был принят Конгрессом. ^[5] В своей речи о положении страны в 2015 году президент Обама предложил новое законодательство для создания национального стандарта по утечке данных, который установил бы 30-дневное требование об уведомлении с момента обнаружения утечки. ^[29] Это привело к предложению президента Обамы Закона об уведомлении и защите персональных данных (PDNPA) 2015 года. Это создало бы федеральные руководящие принципы и стандарты уведомления, но оно так и не вышло из комитета. ^[5]

Chlotia Garrison и Clovia Hamilton предположили, что потенциальной причиной невозможности принять федеральный закон об уведомлениях об утечках данных являются права штатов. На данный момент во всех 50 штатах действуют различные законы об уведомлениях об утечках данных. Некоторые из них являются ограничительными, а другие — широкими. ^[5] Хотя всеобъемлющего федерального закона об уведомлениях об утечках данных не существует, некоторые федеральные законы требуют уведомлений об утечках данных в определенных обстоятельствах. Вот некоторые известные примеры: Закон о Федеральной торговой комиссии (Закон FTC), Закон о модернизации финансовых услуг (Закон Грэмма-Лича-Блайли) и Закон о переносимости и подотчетности медицинского страхования (HIPAA). ^[13]

Дебаты по поводу федеральных или государственных законов об уведомлении об утечке данных

Большинство ученых, таких как Анджела Дейли, выступают за федеральные законы об уведомлении об утечке данных, подчеркивая проблему наличия различных форм законов об уведомлении об утечке данных. То есть компании вынуждены соблюдать законы об уведомлении об утечке данных нескольких штатов. Это создает дополнительные трудности для соблюдения законов и издержек. Кроме того, ученые утверждают, что подход по каждому штату создал проблему некомпенсированных жертв и неадекватных стимулов для убеждения компаний и правительств инвестировать в безопасность данных. ^[13]

Сторонники подхода к законам об уведомлении об утечке данных по каждому штату подчеркивают возросшую эффективность, возросшие стимулы для местных органов власти к повышению безопасности данных, ограниченное федеральное финансирование из-за многочисленных проектов и, наконец, штаты могут быстро адаптироваться и принимать законы в соответствии с постоянно развивающимися технологиями утечки данных. ^[10] В 2018 году большинство генеральных прокуроров штатов выступили против предлагаемого федерального закона об уведомлении об утечке данных, который бы предвосхитил законы штатов. ^[30]

Влияние

Утечки данных происходят из-за технических проблем, таких как плохой код, или экономических проблем, из-за которых конкурирующие фирмы не сотрудничают друг с другом для решения проблемы безопасности данных. ^[31] В ответ на это законы об уведомлении об утечке данных пытаются предотвратить нанесение ущерба компаниям и общественности.

Уголовное воздействие

Серьезным вредом от утечки данных является кража личных данных . Кража личных данных может нанести вред отдельным лицам, когда их персональные данные украдены и используются другой стороной для создания финансового ущерба, например, для снятия денег, или нефинансового, например, для мошеннического получения их медицинских пособий, выдачи себя за них и совершения преступлений. ^[32] Согласно данным, собранным с 2002 по 2009 год Федеральной торговой комиссией США , использование уведомлений об утечке данных помогло снизить кражу личных данных на 6,1 процента. ^[33]

Экономическое воздействие

В целом, уведомления об утечке данных приводят к снижению рыночной стоимости, что очевидно в компаниях, чьи акции обращаются на бирже, которые испытывают снижение рыночной стоимости. ^{[34] [35]} Другие издержки включают потерю доверия потребителей к компании, потерю бизнеса, снижение производительности и подверженность ответственности третьих лиц. ^[35] Примечательно, что тип данных, которые утекают в результате утечки, имеет различные экономические последствия. Утечка данных, которая приводит к утечке конфиденциальных данных, имеет более серьезные экономические последствия. ^[36]

Ответ жертвы

Большинство федеральных исков об утечке данных имеют определенные характеристики. Они включают истца, ищущего возмещения за потерю в результате кражи личных данных, эмоционального расстройства, будущих потерь и повышенного риска будущего вреда; большинство судебных разбирательств являются частными групповыми исками; ответчиками обычно являются крупные фирмы или предприятия; сочетание общего права и установленных законом оснований для иска; и, наконец, большинство дел урегулируются или отклоняются. ^[37]

Ссылки

1. Сен, Рави; Борле, Шарад (2015-04-03). «Оценка контекстного риска утечки данных: эмпирический подход». Журнал систем управленческой информации . 32 (2): 314–341. doi :10.1080/07421222.2015.1063315. ISSN  0742-1222. S2CID  2311182.
2. Бизоньи, Фабио (2016). «Доказательство пределов законов штата об уведомлении о нарушении данных: является ли федеральный закон наиболее адекватным решением?». Журнал информационной политики . 6 : 154–205. doi : 10.5325/jinfopoli.6.2016.0154 . ISSN  2158-3897. JSTOR  10.5325/jinfopoli.6.2016.0154.
3. Аквисти, Алессандро; Фридман, Аллан; Теланг, Рахул (2006). «Есть ли цена нарушения конфиденциальности? Событийное исследование». Труды ICIS 2006 .
4. Мурсиано-Горофф, Равив (2019). «Увеличивают ли законы о раскрытии данных компании; инвестиции в защиту их цифровой инфраструктуры?». Семинар по экономике информационной безопасности : 1–39.
5. Гаррисон, Хлоция; Гамильтон, Кловия (2019-01-02). «Сравнительный анализ GDPR ЕС с уведомлениями о нарушениях в США» (PDF) . Закон об информационных и коммуникационных технологиях . 28 (1): 99–114. doi :10.1080/13600834.2019.1571473. hdl : 10535/10737 . ISSN  1360-0834. S2CID  86668452.
6. "Security Breach Notification Laws". Национальная конференция законодательных органов штатов . Получено 27 января 2019 г.
7. "Что такое GDPR, новый закон ЕС о защите данных?". GDPR.eu. 2018-11-07 . Получено 2021-10-25 .
8. Bisogni, Fabio; Asghari, Hadi (2020). «Больше, чем подозреваемый: расследование связи между утечками данных, кражей личных данных и законами об уведомлении об утечке данных». Журнал информационной политики . 10 : 45–82. doi : 10.5325/jinfopoli.10.2020.0045 . ISSN  2381-5892. JSTOR  10.5325/jinfopoli.10.2020.0045. S2CID  226623656.
9. Романоски, Саша; Будро, Бенджамин (2020-08-26). «Приписывание киберинцидентов частному сектору: выгоды и риски для правительства США». Международный журнал разведки и контрразведки . 34 (3): 463–493. doi : 10.1080/08850607.2020.1783877. ISSN  0885-0607. S2CID  235636491.
10. Ronaldson, Nicholas (01.05.2019). «ХАКЕРСТВО: КИБЕРПРЕСТУПНОСТЬ NAKED AGE, CLAPPER & STANDING И ДЕБАТЫ МЕЖДУ ЗАКОНАМИ ШТАТА И ФЕДЕРАЛЬНЫМИ ЗАКОНАМИ ОБ УВЕДОМЛЕНИИ ОБ УТЕЧКЕ ДАННЫХ». Northwestern Journal of Technology and Intellectual Property . 16 (4): 305. ISSN  1549-8271.
11. AG. «Закон о поправках к закону о конфиденциальности (уведомляемые нарушения данных) 2017 года». www.legislation.gov.au . Получено 29 октября 2023 г.
12. Грин, Пол. «Обязательные законы Австралии об уведомлении об утечке данных: готовы ли вы?». Business Aspect . Получено 30 ноября 2020 г.
13. Дейли, Анджела (2018). «Введение законодательства об уведомлении об утечке данных в Австралии: сравнительный взгляд». Computer Law & Security Review . 34 (3): 477–495. doi :10.1016/j.clsr.2018.01.005. ISSN  0267-3649. S2CID  67358435.
14. Директива 2009/136/EC Европейского парламента и Совета от 25 ноября 2009 года о внесении изменений в Директиву 2002/22/EC об универсальном обслуживании и правах пользователей, касающихся сетей и услуг электронной связи, Директиву 2002/58/EC об обработке персональных данных и защите конфиденциальности в секторе электронной связи и Регламент (EC) № 2006/2004 о сотрудничестве между национальными органами, ответственными за обеспечение соблюдения законов о защите прав потребителей. Статья 2(4)(c) Директивы 2009/136/EC вносит изменения в статью 4(3-5) Директивы 2002/58/EC. В этой статье рассматриваются вопросы безопасности обработки данных, уведомлений о нарушениях и обязанности поставщиков услуг обеспечивать защиту персональных данных.
15. «Новые особые правила для потребителей в случае потери или кражи персональных данных в сфере телекоммуникаций в ЕС». Единый цифровой рынок . 5 ноября 2016 г. Получено 11 мая 2016 г.
16. Сводный текст: Директива 2002/58/EC Европейского парламента и Совета от 12 июля 2002 г. об обработке персональных данных и защите конфиденциальности в секторе электронных коммуникаций (Директива о конфиденциальности и электронных коммуникациях)
17. Ishii, Kaori; Komukai, Taro (2016-09-07). "Сравнительное юридическое исследование утечек данных в Японии, США и Великобритании". Технологии и интимность: выбор или принуждение . Достижения IFIP в области информационных и коммуникационных технологий. Том AICT-474. С. 86–105. doi :10.1007/978-3-319-44805-3_8. ISBN 978-3-319-44804-6. S2CID  41459415.
18. Ханивилл, Шон (2006-03-01). «Безопасность данных и уведомление о нарушении данных для финансовых учреждений». Банковский институт Северной Каролины . 10 (1): 269.
19. Lending, Claire; Minnick, Kristina; Schorno, Patrick J. (2018-04-02). «Корпоративное управление, социальная ответственность и утечки данных». Financial Review . 53 (2): 413–455. doi : 10.1111/fire.12160 . ISSN  0732-8516.
20. "Переход от Закона о конфиденциальности 1993 года к Закону о конфиденциальности 2020 года" . Получено 29 ноября 2020 года .
21. Восс, В. Грегори; Хаузер, Кимберли А. (2019-05-20). «Персональные данные и GDPR: обеспечение конкурентного преимущества для компаний США». American Business Law Journal . 56 (2): 287–344. doi : 10.1111/ablj.12139. ISSN  0002-7766. S2CID  182271514.
22. SB 1386 , Cal. Civ. Code 1798.82 и 1798.29.
23. Законопроект Сената SB 1386, архив 2007-06-13 на Wayback Machine
24. Бердон, Марк; Лейн, Билл; фон Нессен, Пол (2010). «Обязательное уведомление об утечках данных: вопросы, возникающие в связи с правовыми разработками в Австралии и ЕС». Computer Law & Security Review . 26 (2): 115–129. doi :10.1016/j.clsr.2010.01.006. ISSN  0267-3649.
25. Скотт Беринато (12 февраля 2008 г.). «Серия раскрытия информации CSO — Законы об уведомлении об утечке данных, по штатам». CSO Online . Получено 11 мая 2016 г.
26. "AB 1298 Assembly Bill - CHAPTERED" . Получено 11 мая 2016 г. .
27. https://www.bakerlaw.com/files/uploads/documents/data%20breach%20documents/state_data_breach_statute_form.pdf ^{[ пустой URL-адрес PDF ]}
28. "Блоги RSA". RSA.com . Получено 27 января 2019 г. .
29. "Закон об уведомлении и защите персональных данных" (PDF) . Obamawhitehouse.archives.gov . Получено 4 мая 2018 г. .
30. Сорока, Саранна (8 апреля 2018 г.). «Коалиция 32 государственных генеральных прокуроров изложила позицию оппозиции федеральному приоритету государственных законов об уведомлении о нарушении конфиденциальности данных». JOLT Digest . Получено 26 августа 2021 г.
31. Сен, Рави (2018). «Проблемы кибербезопасности: текущее положение дел». Сообщения Ассоциации информационных систем : 22–44. doi : 10.17705/1cais.04302 . ISSN  1529-3181.
32. Уайт, Майкл Д.; Фишер, Кристофер (2008). «Оценка наших знаний о краже личных данных». Обзор политики уголовного правосудия . 19 (1): 3–24. doi :10.1177/0887403407306297. ISSN  0887-4034. S2CID  144958696.
33. Романоски, Саша; Теланг, Рахул; Аккуисти, Алессандро (2011). «Снижают ли законы о раскрытии информации об утечках данных кражу личных данных?». Журнал анализа политики и управления . 30 (2): 256–286. doi :10.1002/pam.20567. ISSN  0276-8739.
34. Гатцлафф, Кевин М.; Маккалоу, Кэтлин А. (2010). «Влияние утечек данных на благосостояние акционеров». Risk Management and Insurance Review . 13 (1): 61–83. doi :10.1111/j.1540-6296.2010.01178.x. ISSN  1098-1616. S2CID  153592982.
35. Cavusoglu, Huseyin; Mishra, Birendra; Raghunathan, Srinivasan (2004). «Влияние объявлений о нарушении безопасности в Интернете на рыночную стоимость: реакция рынка капитала на компании, подвергшиеся нарушению, и разработчиков безопасности в Интернете». International Journal of Electronic Commerce . 9 (1): 70–104. doi :10.1080/10864415.2004.11044320. ISSN  1086-4415. S2CID  10753015.
36. Кэмпбелл, Кэтрин; Гордон, Лоуренс А.; Леб, Мартин П.; Чжоу, Лэй (2003). «Экономическая стоимость публично объявленных нарушений информационной безопасности: эмпирические данные с фондового рынка» (PDF) . Журнал компьютерной безопасности . 11 (3): 431–448. doi :10.3233/JCS-2003-11308.
37. Романоски, Саша; Хоффман, Дэвид; Аккуисти, Алессандро (17.01.2014). «Эмпирический анализ судебных разбирательств по делу о нарушении данных». Журнал эмпирических юридических исследований . 11 (1): 74–104. doi :10.1111/jels.12035. ISSN  1740-1453. S2CID  155714280.

Дальнейшее чтение

• Солов, Дэниел Дж.; Хартцог, Вудроу (2022). Нарушено!: Почему закон о безопасности данных терпит неудачу и как его улучшить . Oxford University Press. ISBN 978-0-19-094057-7.

Внешние ссылки

• Таблица Национальной конференции законодательных органов штатов о законах об уведомлении о нарушении безопасности
• Интерактивная карта, сравнивающая законы США об уведомлениях о нарушениях безопасности (требуется подписка)
• Директива 2002/58/EC Европейского парламента и Совета от 12 июля 2002 г. об обработке персональных данных и защите конфиденциальности в секторе электронных коммуникаций (Директива о конфиденциальности и электронных коммуникациях)