(a)CA 民法 Code § 1798.29(a) 任何拥有或授权使用包含个人信息的计算机化数据的机构,在发现或收到数据安全漏洞通知后,应向任何加利福尼亚州居民披露任何系统安全漏洞,(1) 其未加密的个人信息已被或有合理理由相信已被未经授权的人获取,或 (2) 其加密的个人信息已被或有合理理由相信已被未经授权的人获取,且加密密钥或安全凭证已被或有合理理由相信已被未经授权的人获取,并且拥有或授权使用该加密信息的机构有合理理由相信该加密密钥或安全凭证可能使该个人信息变得可读或可用。
披露应在尽可能最快的时间内进行,不得无故拖延,并应符合执法部门的合法需求(如 (c) 款所规定),或为确定漏洞范围和恢复数据系统合理完整性所必需的任何措施。
(b)CA 民法 Code § 1798.29(b) 任何维护包含非其拥有的个人信息的计算机化数据的机构,如果该个人信息已被或有合理理由相信已被未经授权的人获取,应在发现后立即通知该信息的所有者或被许可人任何数据安全漏洞。
(c)CA 民法 Code § 1798.29(c) 如果执法机构认定通知将妨碍刑事调查,本节要求的通知可以延迟。
本节要求的通知应在执法机构认定其不会损害调查后发出。
(d)CA 民法 Code § 1798.29(d) 任何根据本节要求发出安全漏洞通知的机构,应符合以下所有要求:
(1)CA 民法 Code § 1798.29(d)(1) 安全漏洞通知应以通俗易懂的语言书写,标题应为“数据泄露通知”,并应在以下标题下呈现 (2) 款所述信息:“发生了什么”、“涉及哪些信息”、“我们正在做什么”、“您可以做什么”和“获取更多信息”。补充信息可作为通知的附件提供。
(A)CA 民法 Code § 1798.29(d)(1)(A) 通知格式应旨在引起对其中信息性质和重要性的关注。
(B)CA 民法 Code § 1798.29(d)(1)(B) 通知中的标题和各小标题应清晰醒目地显示。
(C)CA 民法 Code § 1798.29(d)(1)(C) 通知正文以及根据本节提供的任何其他通知的字体不得小于10磅。
(D)CA 民法 Code § 1798.29(d)(1)(D) 对于 (i) 款 (1) 项所述的书面通知,使用下文规定的安全漏洞通知范本,或使用本款所述的标题以及 (2) 款所述的以通俗易懂语言书写的信息,应被视为符合本款规定。
[机构名称 / 标志]
_____
_____
日期:[插入日期]
数据泄露通知
发生了什么?
涉及哪些信息?
我们正在做什么。
您可以做什么。
其他重要信息。
[插入其他重要信息]
获取更多信息。
致电 [电话号码] 或访问 [互联网网站]
(E)CA 民法 Code § 1798.29(E) 对于第 (i) 款第 (2) 项所述的电子通知,使用本项所述的标题以及第 (2) 项所述的信息,以通俗易懂的语言书写,应被视为符合本款规定。
(2)CA 民法 Code § 1798.29(2) 第 (1) 项所述的安全漏洞通知应至少包含以下信息:
(A)CA 民法 Code § 1798.29(2)(A) 受本条约束的报告机构的名称和联系信息。
(B)CA 民法 Code § 1798.29(2)(B) 个人信息类型列表,这些信息已成为或有合理理由被认为是漏洞的标的。
(C)CA 民法 Code § 1798.29(2)(C) 如果在提供通知时可以确定信息,则应包含以下任何一项:(i) 漏洞发生日期,(ii) 漏洞估计发生日期,或 (iii) 漏洞发生日期范围。通知还应包含通知日期。
(D)CA 民法 Code § 1798.29(2)(D) 如果在提供通知时可以确定信息,则应说明通知是否因执法调查而延迟。
(E)CA 民法 Code § 1798.29(2)(E) 如果在提供通知时可以确定信息,则应提供漏洞事件的概况描述。
(F)CA 民法 Code § 1798.29(2)(F) 如果漏洞暴露了社会安全号码、驾驶执照号码或加州身份证号码,则应提供主要信用报告机构的免费电话号码和地址。
(3)CA 民法 Code § 1798.29(3) 经机构酌情决定,安全漏洞通知还可以包含以下任何一项:
(A)CA 民法 Code § 1798.29(3)(A) 关于机构为保护信息被泄露的个人所采取措施的信息。
(B)CA 民法 Code § 1798.29(3)(B) 关于信息被泄露的个人可以采取哪些步骤来保护自己的建议。
(e)CA 民法 Code § 1798.29(e) 任何机构因单一安全系统漏洞而需要根据本条向超过 500 名加州居民发出安全漏洞通知的,应向总检察长电子提交该安全漏洞通知的单一样本副本,其中不包括任何个人身份信息。安全漏洞通知的单一样本副本不应被视为属于《政府法典》第 1 篇第 10 部第 5 章第 1 节(自第 7923.600 条起)的范围。
(f)CA 民法 Code § 1798.29(f) 就本条而言,“系统安全漏洞”是指未经授权获取计算机化数据,从而损害机构维护的个人信息的安全性、保密性或完整性。机构的雇员或代理人出于机构目的善意获取个人信息不构成系统安全漏洞,前提是该个人信息未被使用或未遭受进一步的未经授权披露。
(g)CA 民法 Code § 1798.29(g) 就本条而言,“个人信息”指以下任一情况:
(1)CA 民法 Code § 1798.29(g)(1) 个人姓名(名或首字母与姓氏的组合),以及以下任何一个或多个数据元素,且姓名或数据元素未加密:
(A)CA 民法 Code § 1798.29(g)(1)(A) 社会安全号码。
(B)CA 民法 Code § 1798.29(g)(1)(B) 驾驶执照号码、加州身份证号码、税务识别号码、护照号码、军人身份证号码,或政府文件上签发的、通常用于验证特定个人身份的其他唯一识别号码。
(C)CA 民法 Code § 1798.29(g)(1)(C) 账户号码或信用卡或借记卡号码,以及任何必需的安全码、访问码或密码,这些信息组合在一起可以访问个人的金融账户。
(D)CA 民法 Code § 1798.29(g)(1)(D) 医疗信息。
(E)CA 民法 Code § 1798.29(g)(1)(E) 健康保险信息。
(F)CA 民法 Code § 1798.29(g)(1)(F) 通过对人体特征进行测量或技术分析生成的唯一生物识别数据,例如指纹、视网膜或虹膜图像,用于验证特定个人身份。唯一生物识别数据不包括物理或数字照片,除非用于或存储用于面部识别目的。
(G)CA 民法 Code § 1798.29(g)(1)(G) 通过使用或操作自动车牌识别系统收集的信息或数据,如第 1798.90.5 条所定义。
(H)CA 民法 Code § 1798.29(g)(1)(H) 遗传数据。
(2)CA 民法 Code § 1798.29(g)(2) 用户名或电子邮件地址,以及密码或安全问题和答案的组合,这些信息组合在一起可以访问在线账户。
(h)Copy CA 民法 Code § 1798.29(h)
(1)Copy CA 民法 Code § 1798.29(h)(1) 就本节而言,“个人信息”不包括依法从联邦、州或地方政府记录中向公众提供的公开信息。
(2)CA 民法 Code § 1798.29(h)(2) 就本节而言,“医疗信息”指任何有关个人病史、精神或身体状况,或医疗专业人员进行的医疗治疗或诊断的信息。
(3)CA 民法 Code § 1798.29(h)(3) 就本节而言,“健康保险信息”指个人的健康保险保单号或参保人识别号、健康保险公司用于识别个人的任何唯一标识符,或个人申请和理赔历史中的任何信息,包括任何上诉记录。
(4)CA 民法 Code § 1798.29(h)(4) 就本节而言,“加密的”指通过信息安全领域普遍接受的安全技术或方法,使未经授权的人无法使用、无法读取或无法破译。
(5)CA 民法 Code § 1798.29(h)(5) 就本节而言,“遗传数据”指任何数据,无论其格式如何,来源于对个人生物样本的分析,或来源于能够获取等效信息的其他来源,并涉及遗传物质。遗传物质包括但不限于脱氧核糖核酸 (DNA)、核糖核酸 (RNA)、基因、染色体、等位基因、基因组、DNA或RNA的改变或修饰、单核苷酸多态性 (SNPs)、来源于对生物样本或其他来源分析的未解释数据,以及从中推断、得出或推导出的任何信息。
(i)CA 民法 Code § 1798.29(i) 就本节而言,“通知”可以通过以下方法之一提供:
(1)CA 民法 Code § 1798.29(i)(1) 书面通知。
(2)CA 民法 Code § 1798.29(i)(2) 电子通知,如果所提供的通知符合《美国法典》第15篇第7001节中有关电子记录和签名的规定。
(3)CA 民法 Code § 1798.29(i)(3) 替代通知,如果机构证明提供通知的成本将超过二十五万美元 ($250,000),或受影响的被通知主体人数超过500,000人,或机构没有足够的联系信息。替代通知应包括以下所有内容:
(A)CA 民法 Code § 1798.29(i)(3)(A) 当机构拥有主体人员的电子邮件地址时,发送电子邮件通知。
(B)CA 民法 Code § 1798.29(i)(3)(B) 如果机构维护有互联网网站,则在该网站上显著张贴通知至少30天。就本分段而言,在机构互联网网站上显著张贴指在主页或进入互联网网站后的第一个重要页面上提供通知链接,该链接的字体大于周围文本,或与相同大小的周围文本形成对比的字体、字形或颜色,或通过符号或其他标记将其与相同大小的周围文本区分开来,以引起对链接的注意。
(C)CA 民法 Code § 1798.29(i)(3)(C) 通知主要州级媒体以及技术部内的信息安全办公室。
(4)CA 民法 Code § 1798.29(i)(4) 如果发生涉及(g)款第(2)项中定义的在线账户个人信息(且不涉及(g)款第(1)项中定义的其他个人信息)的系统安全漏洞,机构可以通过电子或其他形式提供安全漏洞通知来遵守本节规定,该通知指示其个人信息被泄露的人员及时更改其密码和安全问题或答案(如适用),或采取其他适当措施保护其在该机构的在线账户以及该人员使用相同用户名或电子邮件地址和密码或安全问题或答案的所有其他在线账户。
(5)CA 民法 Code § 1798.29(i)(5) 如果发生涉及(g)款第(2)项中定义的机构提供的电子邮件账户登录凭据的个人信息的系统安全漏洞,机构不得通过向该电子邮件地址发送安全漏洞通知来遵守本节规定,但可以改为通过本款中描述的另一种方法提供通知来遵守本节规定,或当居民从机构已知其通常访问账户的互联网协议地址或在线位置连接到在线账户时,向居民在线提供清晰显著的通知。
(j)CA 民法 Code § 1798.29(j) 尽管有 (i) 款的规定,但如果一个机构维护其自身的通知程序,作为处理个人信息的信息安全政策的一部分,并且在其他方面符合本部分的通知时限要求,则在系统发生安全漏洞时,如果其根据自身政策通知相关人员,应被视为符合本节的通知要求。
(k)CA 民法 Code § 1798.29(k) 尽管有第 1798.3 节 (b) 款 (4) 项中规定的例外情况,但就本节而言,“机构”包括《政府法典》第 7920.510 节所定义的地方机构。
(l)CA 民法 Code § 1798.29(l) 就本节而言,“加密密钥”和“安全凭证”指旨在使数据可用、可读和可解密的保密密钥或过程。
(m)CA 民法 Code § 1798.29(m) 尽管有任何其他法律规定,加利福尼亚州律师协会应遵守本节规定。本款不应被解释为将本章的其他规定适用于州律师协会。
推荐您的朋友
