编辑’注释:此帖子最初出现在BakerHostetler上’的Data Privacy Monitor博客。

2014年6月20日,佛罗里达州州长里克·斯科特(Rick Scott)签署了 2014年佛罗里达州信息保护法 (FIPA),该法律将废除佛罗里达州Fla。Stat现行的违规通知法规。 §817.5681,并用Fla。Stat的新法规代替。第501.171条于2014年7月1日生效。同日,州长Scott也签署了 SB 1526,这是为Fla。Stat添加条款的配套法规。 §501.171免除了某些必须根据FIPA提供给佛罗里达监管机构的记录,该记录来自《佛罗里达公共记录法》。该立法似乎遵循了 加利福尼亚州 通过涵盖更广泛的信息范围并包括其他通知方法和相关义务,但它还基于加利福尼亚州的模式,规定了美国最短的快递通知截止日期,并授予佛罗里达州法律事务部广泛的调查和执法权。这些规定及其对企业和医疗保健提供者的潜在影响,将在下面详细讨论。

个人信息的扩展定义

FIPA通过两种方式扩展了能够触发佛罗里达法律下的通知义务的“个人信息”。首先,FIPA将以下健康信息添加到数据元素列表中,这些数据与个人的名字或名字的首字母和姓氏一起使用时,可以触发通知义务:

  • 有关个人病史,精神或身体状况或医疗保健人员的医疗或诊断的任何信息;要么
  • 个人的健康保险保单号或订户标识号,以及健康保险公司用来识别个人的任何唯一标识符。

尽管FIPA还声明,根据实体的主要或职能联邦监管机构制定的规定(对金融机构和医疗保健提供者而言很重要的规定)提供的通知被视为符合FIPA的通知要求,但某些义务(例如监管通知)和下面讨论的数据安全义务仍然适用。

其次,FIPA指出,用户名或电子邮件地址,以及允许访问在线帐户的密码或安全性问题和答案,均能够触发违规通知义务,无论它是否与以下内容结合使用:个人的名字或名字的首字母和姓氏。该条款类似于加州最近扩展的违规通知法规,如前所述 先前。类似于其加利福尼亚州的类似规定,该规定扩大了FIPA的范围,并可能导致更多需要违反通知的情况。

还应注意的是,就像以前的佛罗里达州法律一样,只有未加密的计算机化个人信息才能触发FIPA的通知条款。

30天通知截止日期

FIPA要求尽快确定受影响的个人和监管机构,但不得迟于确定违规或认为发生违规的理由后30天(该国最短的特快通知截止日期)。如果在发现违规后的30天内以书面形式向佛罗里达法律事务部提供了合理的延迟原因,则实体可能会再有15天的时间通知受影响的个人。这个新的30天期限将引发有关实体可能需要在其信息安全政策和程序中解决的违规发现日期和调查持续时间的问题。

法规通知要求

根据FIPA,实体必须尽快就可能影响500名或更多佛罗里达州居民的任何违反安全规定的情况,向佛罗里达州法律事务部发出书面通知,但不得迟于确定违反行为或认为发生违反行为的理由后30天。该通知必须包含特定信息,包括对实体免费提供的任何服务的说明,以及有关如何使用这些服务以及受影响的佛罗里达州居民人数的说明。此外,如上所述,即使实体根据其主要联邦监管机构颁布的法规通知受影响的个人,它仍必须向佛罗里达法律事务部提供此类通知的副本,才能被视为符合FIPA。

危害文件的风险

与其前身(但与加利福尼亚类似)不同,FIPA保留了“危害风险”标准,该标准规定,在经过适当的调查和咨询相关执法机构后,该实体合理确定违规行为不会也不会对被访问其个人信息的个人造成身份盗窃或任何其他财务损害。与其前身一样,FIPA要求以书面形式记录此决定,并维持五年。但是,FIPA还要求该实体在判决后30天内向佛罗里达州法律事务部提供书面判决。这项新要求增加了透明度,几乎没有其他违规通知法规可以匹配,并且实体可能需要重新审视其违规判定以及文档政策和程序,以确保它们准备遵守此规定。

调查规定和公共记录的含义

根据FIPA,实体必须根据要求向佛罗里达州法律事务部提供警察报告,事件报告,计算机取证报告,有关违规的政策和程序,以及为纠正违规行为而采取的步骤。佛罗里达州立法机关意识到一旦向佛罗里达州法律事务部提供这些资料,可能会根据佛罗里达州的《公共记录法》进一步披露,佛罗里达州立法机关同时颁布了SB 1526,该州规定根据FIPA通知提供给该部的信息属于机密信息,除非进行某些有限的情况,否则在积极调查期间,根据《公共记录法》可免于进一步披露。此外,在调查完成后或当调查停止进行时,根据FIPA的通知向美国商务部提供的某些信息,包括所有个人信息,计算机取证报告,可揭示实体数据安全性弱点的信息,以及实体的专有信息仍然是机密信息,并根据《佛罗里达公共记录法》享有免予披露的权利。尽管有SB 1526,但FIPA的广泛调查规定可能会对实体记录事件调查的流程产生重大影响。此外,在法律顾问的指导下进行并提供了许多调查和结果报告,因此这可能会产生问题,即提供报告的法定义务是否凌驾于律师-委托人的特权和工作产品原则上。

执法规定

像其前身一样,违反FIPA关于通知受影响的个人或佛罗里达州监管机构的规定的实体,在发生违规行为后的30天内每天需承担1000美元的民事罚款,其后每30天应承担50,000美元的民事罚款,最高可加$ 500,000。这些处罚适用于每次违规,而不适用于受违规影响的个人。但是,FIPA还指出,根据佛罗里达州的法律,违规行为应被视为不公平或欺骗性的贸易行为。此外,FIPA明确指出,它并未创建私人诉讼权。

数据安全和记录处置要求

FIPA包含肯定的数据安全义务,要求实体及其第三方代理采取合理的措施以包含个人信息的电子形式保护和保护数据。此外,FIPA要求实体采取一切合理措施,以切碎,擦除或以其他方式修改记录中的个人信息的方式,以任何形式处置或安排处置包含个人信息的客户记录,以使其无法通过任何方式读取或解密。手段。佛罗里达州的监管机构可能会审查所报告的违反这些标准的事实和情况,有可能导致其他法定违法和处罚。

通过电子邮件通知

除了将传统的书面通知发送到受影响个人的邮寄地址外,实体还可以通过将通知通过电子邮件发送给受影响个人的电子邮件地址来履行FIPA规定的通知义务。与许多其他州仅在某些情况下仅允许将电子邮件通知作为替代通知的形式不同,FIPA允许将电子邮件通知作为一般满足受影响的个人通知义务的一种方法,从而可能使实体避免与打印和邮寄通知函相关的大量费用大量受影响的个人。

有关美国和全球范围内颁布的数据泄露通知法规的更多信息,请参阅BakerHostetler的“数据泄露通知法律逐州调查”;国家数据泄露通知法中的关键问题;以及《国际数据隐私法纲要》,都可以从以下网站获得: www.dataprivacymonitor.com.