California SB 1386 — законопроект, принятый законодательным собранием Калифорнии , который вносил поправки в закон Калифорнии , регулирующий конфиденциальность личной информации : гражданские кодексы 1798.29, 1798.82 и 1798.84. Это был ранний пример многих будущих американских и международных законов об уведомлении о нарушениях безопасности . Он был представлен сенатором штата Калифорния Стивом Писом 12 февраля 2002 года и вступил в силу 1 июля 2003 года .
Введение требования об уведомлении любого жителя Калифорнии, чья незашифрованная личная информация была или есть основания полагать, что она была получена неавторизованным лицом. Это требует, чтобы агентство, физическое или юридическое лицо, которое ведет бизнес в Калифорнии и владеет или лицензирует компьютеризированную «личную информацию», раскрывает информацию о любом нарушении безопасности (любому жителю, чьи незашифрованные данные предположительно были раскрыты). [2]
Законопроект предписывает различные механизмы и процедуры в отношении многих аспектов этого сценария, при условии соблюдения также других определенных положений.
Любое агентство, владеющее или лицензирующее компьютеризированные данные, включающие личную информацию, должно сообщать о любом нарушении безопасности системы после обнаружения или уведомления о нарушении безопасности данных любому жителю Калифорнии, чья незашифрованная личная информация была или есть основания полагать, что быть приобретенным неуполномоченным лицом. Под действие этого закона подпадает корпорация, находящаяся за пределами штата и располагающая личной информацией, касающейся жителя Калифорнии. Тогда возникнет вопрос о минимальных контактах : можно ли возбудить в Калифорнии иск для обеспечения соблюдения прав жителя Калифорнии, предусмотренных законом.
Корпорации, не имеющие физического местоположения в Калифорнии, не подпадают под действие законодательства Калифорнии. То, что SB 1386 затронет корпорацию за пределами штата, основано на понятии «квази-вещной» юрисдикции, которое Верховный суд признал недействительным в деле Шаффер против Хейтнера .
Корпорации могут определить, подпадают ли они под действие этого закона, рассмотрев следующие вопросы:
Корпорация, ответившая утвердительно на все пять вопросов, должна сообщить об этом.
Закон не распространяется на «зашифрованную» информацию. Таким образом, один из способов избежать сообщений — зашифровать всю «личную информацию». Корпорация также может избежать отчетности, если ее данные не содержат «личной информации», относящейся к жителю Калифорнии.
«Личная информация» означает имя физического лица или имя, инициал и фамилию в сочетании с одним или несколькими из следующих элементов данных, если имя или элементы данных не зашифрованы:
«Личная информация» не включает общедоступную информацию, которая на законных основаниях стала доступной широкой публике из документов федерального правительства, штата или местного правительства.