還記得前段時間沸沸揚(yáng)揚(yáng)的美國征信巨頭 Equifax 數(shù)據(jù)泄漏事件嗎？FreeBuf 曾經(jīng)對此進(jìn)行不斷跟蹤報道，整件事影響 1 億多名美國消費者和 70多萬英國公民，從安全高管退休、CEO 離職，到檢察院介入調(diào)查，甚至再度被黑客利用其網(wǎng)站釣魚，這場大規(guī)模數(shù)據(jù)泄露可謂牽涉甚廣，影響深遠(yuǎn)。

在泄漏事件影響的 1.45 億美國公民中，紐約居民占到了 800 萬。上周四，紐約檢察長埃里克·T·施耐德曼（Eric T. Schneiderman）推出了新的法案，旨在保護(hù)紐約公民免受公司數(shù)據(jù)泄露事件的影響，以一種對企業(yè)友好的方式增加私人信息的安全性。

　　新數(shù)據(jù)保護(hù)法案

新法案的名稱為《阻止黑客入侵并改善電子數(shù)據(jù)安全法案》（SHIELD Act）。Schneiderman 檢察長將其作為項目法案提出，受到 David Carlucci 參議員和州眾議員 Brian Kavanagh的支持。

Schneiderman 表示：

顯而易見，紐約的數(shù)據(jù)安全法律薄弱而且過時，新法案的首要目標(biāo)是確保黑客攻擊事件不再發(fā)生。紐約是時候采取行動了，這樣就不會有更多的紐約公民因為數(shù)據(jù)安全措施薄弱而受到不必要的攻擊，在網(wǎng)絡(luò)中到處流竄作作案的黑客攻擊也會減少。

巧合的是，參議員 Markey 上周也提出了一個同類的法案草案，并獲得通過。不過兩個法案并不相同：Markey 的建議是將安全融入物聯(lián)網(wǎng)設(shè)備，而 Schneiderman 的建議則是通過合理的安全保障措施為企業(yè)帶來安全保障，同時對受到金融制裁支持的入侵泄露事件采取新的控制措施。

根據(jù)現(xiàn)行的紐約法律，公司可以編制個人身份信息（PII），但如果 PII 不包含社會安全號碼，則不需要滿足任何數(shù)據(jù)安全規(guī)定。例如，如果公司發(fā)生了用戶名和密碼泄露或者生物識別數(shù)據(jù)（如用于解鎖iPhone的指紋）泄露，現(xiàn)行法律并沒有要求公司報告。而通過修改現(xiàn)有的《一般商業(yè)法》和《國家技術(shù)法》，現(xiàn)有狀況即將得到改善。

新的法案要求企業(yè)對敏感數(shù)據(jù)采取“合理”的管理、技術(shù)和物理保障措施。其范圍涵蓋了所有持有紐約市敏感數(shù)據(jù)的企業(yè)，比原來在紐約開展業(yè)務(wù)的企業(yè)范圍更廣。法案擴(kuò)展了需要報告的泄漏事件的數(shù)據(jù)類型，包括用戶名和密碼組合、生物特征數(shù)據(jù)和 HIPAA 法案規(guī)定的健康數(shù)據(jù)。

此外，違規(guī)處罰也有所加重。法案規(guī)定，如果企業(yè)沒有為 PII 提供足夠的安全，那么總檢察長就有權(quán)對此進(jìn)行民事處罰、發(fā)布禁令。單次違法罰金可達(dá) 5 萬美元，且每次沒有上報也會出現(xiàn)高達(dá) 20 美元的處罰（總罰金可能會達(dá)到 25 萬美元）。

　　對企業(yè)更友好

施耐德曼提出這個新法案的主要目的是保護(hù)紐約公民的個人數(shù)據(jù)安全，功效與歐洲的 GDPR 相似。不過，相對而言，這個新法案對于企業(yè)更友好一些。具體表現(xiàn)在：

一、罰金更低；

二、要求的泄露披露時間期限更靈活；

“信息披露應(yīng)當(dāng)盡可能在合理的時間內(nèi)進(jìn)行，不得有不合理的拖延，符合執(zhí)法的合法需求……”

三、有明確的加密豁免規(guī)定。當(dāng)個人信息或數(shù)據(jù)元素未被加密或使用已被訪問或獲取的加密密鑰加密時，PII 就僅僅按照 PII 的定義處理；

四、它為本就符合紐約 DFS、Gramm-Leach-Bliley 和 HIPAA 法案的公司以及獲得 ISO 和 NIST 標(biāo)準(zhǔn)的獨立認(rèn)證的公司提供了安全防護(hù)；

五，它為小企業(yè)提供靈活的施行方法，只要他們“實施并保持適合小企業(yè)規(guī)模和復(fù)雜性的合理保障措施”。

Bryan Cave 的消費者保護(hù)業(yè)務(wù)領(lǐng)導(dǎo)人 David Zetoony 評論說：

為符合數(shù)據(jù)安全保護(hù)標(biāo)準(zhǔn)甚至超出標(biāo)準(zhǔn)的企業(yè)提供安全港口，表明了這個法案的創(chuàng)新性、獨特性以及對企業(yè)友好的特質(zhì)。這對于符合行業(yè)安全實踐標(biāo)準(zhǔn)，遵守審計和驗證規(guī)定的企業(yè)而言，可以避免政府訴訟可能性、節(jié)省政府訴訟的成本。這個法案也不會懲罰那些具有良好安全實踐，但無力承擔(dān)年度數(shù)據(jù)安全審計和認(rèn)證高額成本的小企業(yè)。這才是改善全國數(shù)據(jù)安全立法所需的領(lǐng)先思維。

盡管有這些豁免規(guī)定和實踐靈活性，但新法案規(guī)定的數(shù)據(jù)保護(hù)是除了紐約金融機(jī)構(gòu)監(jiān)管之外力度最大的。它擴(kuò)大了數(shù)據(jù)泄露的定義：只要一個未經(jīng)授權(quán)的人獲得信息就算數(shù)據(jù)泄露；而在法律層面而言，其監(jiān)管范圍已經(jīng)從在紐約做生意的公司擴(kuò)大到擁有紐約公民個人信息的公司。

法案共同提出者、參議員卡羅奇（David Carlucci）表示：

聯(lián)邦政府監(jiān)管不力，所以我們必須自己采取行動保護(hù)紐約同胞，新法案將成為紐約和全國其他地區(qū)保護(hù)美國安全的藍(lán)圖。

編者按：之前我們探討過“如果 GDPR 實施的話，Equifax 會怎樣”這個話題，結(jié)論是這個法案如果實施，那么違法的企業(yè)可能會受到嚴(yán)重懲罰。如今不論國內(nèi)國外，有關(guān)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的法案都越來越多。我們也期待這些法案能夠真正落地，真正保護(hù)到公民的信息安全。