還記得前段時間沸沸揚揚的美國征信巨頭 Equifax 數據泄漏事件嗎？FreeBuf 曾經對此進行不斷跟蹤報道，整件事影響 1 億多名美國消費者和 70多萬英國公民，從安全高管退休、CEO 離職，到檢察院介入調查，甚至再度被黑客利用其網站釣魚，這場大規模數據泄露可謂牽涉甚廣，影響深遠。

在泄漏事件影響的 1.45 億美國公民中，紐約居民占到了 800 萬。上周四，紐約檢察長埃里克·T·施耐德曼（Eric T. Schneiderman）推出了新的法案，旨在保護紐約公民免受公司數據泄露事件的影響，以一種對企業友好的方式增加私人信息的安全性。

　　新數據保護法案

新法案的名稱為《阻止黑客入侵并改善電子數據安全法案》（SHIELD Act）。Schneiderman 檢察長將其作為項目法案提出，受到 David Carlucci 參議員和州眾議員 Brian Kavanagh的支持。

Schneiderman 表示：

顯而易見，紐約的數據安全法律薄弱而且過時，新法案的首要目標是確保黑客攻擊事件不再發生。紐約是時候采取行動了，這樣就不會有更多的紐約公民因為數據安全措施薄弱而受到不必要的攻擊，在網絡中到處流竄作作案的黑客攻擊也會減少。

巧合的是，參議員 Markey 上周也提出了一個同類的法案草案，并獲得通過。不過兩個法案并不相同：Markey 的建議是將安全融入物聯網設備，而 Schneiderman 的建議則是通過合理的安全保障措施為企業帶來安全保障，同時對受到金融制裁支持的入侵泄露事件采取新的控制措施。

根據現行的紐約法律，公司可以編制個人身份信息（PII），但如果 PII 不包含社會安全號碼，則不需要滿足任何數據安全規定。例如，如果公司發生了用戶名和密碼泄露或者生物識別數據（如用于解鎖iPhone的指紋）泄露，現行法律并沒有要求公司報告。而通過修改現有的《一般商業法》和《國家技術法》，現有狀況即將得到改善。

新的法案要求企業對敏感數據采取“合理”的管理、技術和物理保障措施。其范圍涵蓋了所有持有紐約市敏感數據的企業，比原來在紐約開展業務的企業范圍更廣。法案擴展了需要報告的泄漏事件的數據類型，包括用戶名和密碼組合、生物特征數據和 HIPAA 法案規定的健康數據。

此外，違規處罰也有所加重。法案規定，如果企業沒有為 PII 提供足夠的安全，那么總檢察長就有權對此進行民事處罰、發布禁令。單次違法罰金可達 5 萬美元，且每次沒有上報也會出現高達 20 美元的處罰（總罰金可能會達到 25 萬美元）。

　　對企業更友好

施耐德曼提出這個新法案的主要目的是保護紐約公民的個人數據安全，功效與歐洲的 GDPR 相似。不過，相對而言，這個新法案對于企業更友好一些。具體表現在：

一、罰金更低；

二、要求的泄露披露時間期限更靈活；

“信息披露應當盡可能在合理的時間內進行，不得有不合理的拖延，符合執法的合法需求……”

三、有明確的加密豁免規定。當個人信息或數據元素未被加密或使用已被訪問或獲取的加密密鑰加密時，PII 就僅僅按照 PII 的定義處理；

四、它為本就符合紐約 DFS、Gramm-Leach-Bliley 和 HIPAA 法案的公司以及獲得 ISO 和 NIST 標準的獨立認證的公司提供了安全防護；

五，它為小企業提供靈活的施行方法，只要他們“實施并保持適合小企業規模和復雜性的合理保障措施”。

Bryan Cave 的消費者保護業務領導人 David Zetoony 評論說：

為符合數據安全保護標準甚至超出標準的企業提供安全港口，表明了這個法案的創新性、獨特性以及對企業友好的特質。這對于符合行業安全實踐標準，遵守審計和驗證規定的企業而言，可以避免政府訴訟可能性、節省政府訴訟的成本。這個法案也不會懲罰那些具有良好安全實踐，但無力承擔年度數據安全審計和認證高額成本的小企業。這才是改善全國數據安全立法所需的領先思維。

盡管有這些豁免規定和實踐靈活性，但新法案規定的數據保護是除了紐約金融機構監管之外力度最大的。它擴大了數據泄露的定義：只要一個未經授權的人獲得信息就算數據泄露；而在法律層面而言，其監管范圍已經從在紐約做生意的公司擴大到擁有紐約公民個人信息的公司。

法案共同提出者、參議員卡羅奇（David Carlucci）表示：

聯邦政府監管不力，所以我們必須自己采取行動保護紐約同胞，新法案將成為紐約和全國其他地區保護美國安全的藍圖。

編者按：之前我們探討過“如果 GDPR 實施的話，Equifax 會怎樣”這個話題，結論是這個法案如果實施，那么違法的企業可能會受到嚴重懲罰。如今不論國內國外，有關網絡安全和數據保護的法案都越來越多。我們也期待這些法案能夠真正落地，真正保護到公民的信息安全。