10 views

谁违反披露法律意图保护?一位商人根据联邦当局的要求举行了超过一年的通知

By | 2019年1月28日

我住在德克萨斯州,有一家地区零售商刚刚宣布数据泄露,据信已经影响了超过50万客户。这一消息引起了争议,因为该公司Spec,据称大约一年前就已知道支付卡数据被盗,现在正在告诉客户。正如您可能想象的那样,受此违规行为影响的人们非常沮丧。

据“休斯顿纪事报”报道,让我详细说明细节。(虽然我是Spec的客户并且可能是违规行为的受害者,但我没有关于此违规行为的第一手资料。但我没有收到任何此类通知。)

3月29日,“休斯顿纪事报”报道称,针对Spec的零售支付系统进行了一年半的“复杂的计算机骗局”。该漏洞被认为已于2012年10月31日开始,并一直持续到2014年3月。该文章表明Spec在去年(2013年)早些时候知道计算机系统已经受到损害。实际上,客户开始接触Spec,让零售商知道他们的支付卡上有欺诈性交易,他们可以追溯到Spec。(稍等一下。)

如果说Spec在一年多前就知道了这个漏洞,为什么现在只宣布那么多客户可能在那一年半的某个时间里窃取了重要的财务信息?根据Spec的发言人Jenifer Sarver的说法,联邦调查人员要求零售商在正在进行的调查中不要透露任何细节。Sarver说:“专业的取证调查人员需要花费大量时间来找到并理解这个问题,然后为Spec提出建议,以便完全解决并修复它们。”

由于Spec的大多数商店都在德克萨斯州,因此可以合理地假设可能受此违规行为影响的大多数客户是德克萨斯州居民。以下是德克萨斯州违规通知法的摘录。请注意,大胆的重点是我要引起对特定点的注意。

违规后需要通知计算机数据安全。(a)在本节中,“违反系统安全”是指未经授权获取计算机化数据,这些数据会损害个人维护的敏感个人信息的安全性,机密性或完整性,包括访问数据的人员具有加密数据时加密的数据。解密数据所需的密钥。善意为此人的目的而由该人的雇员或代理人获取敏感的个人信息并不违反系统安全,除非该人以未经授权的方式使用或披露敏感的个人信息。

(b)在该州开展业务并拥有或许可包含敏感个人信息的计算机化数据的人,应在发现或收到违规通知后,向任何敏感个人信息所属的个人披露任何违反系统安全的行为。合理地认为是由未经授权的人获得的。 披露应尽快进行,除非(d)小节规定或必要时确定违规范围并恢复数据系统的合理完整性。

(b-1)如果个人的敏感个人信息被或者被合理地认为是由未经授权的人获得的,则该州的居民是要求(b)款所述的人提供违反系统安全的通知的国家的居民。 ,(b)款要求的违反系统安全的通知可以根据该州的法律或根据(b)款提供。

(c)任何人保留计算机化数据,其中包含非人拥有的敏感个人信息,如果敏感的个人信息是,或者是,则应在发现违规后立即通知所有者或许可证持有者任何违反系统安全的信息。合理地认为是由未经授权的人获得的。

(d) 根据执法机构的要求,一个人可以根据第(b)或(c)款的要求推迟提供通知,以确定该通知将妨碍刑事调查。 一旦执法机构确定通知不会影响调查,通知应立即通知。

换句话说,如果执法部门告知商家不披露任何细节,则不会向该数据的所有者披露个人财务数据的泄露,这样调查就不会受到影响。

毋庸置疑,有很多Spec的客户非常沮丧,他们一年前没有告知他们的财务数据已被盗。根据Spec的说法,借记卡,信用卡和个人支票信息被盗。休斯敦纪事报报道“曝光可能包括客户的银行路由号码,卡片安全代码和其他支付卡和支票信息。”至少有一位客户声称他的借记卡密码被泄露。(Spec’s给出了使用现金或借记卡的折扣,因此该公司可能比使用借记卡的客户的其他零售商有更大的比例。)

Dwight Silverman是休斯敦纪事报雇用的技术作家。他在这里与Spec的违规行为分享了他的个人经历。在他的第一手资料中,西尔弗曼写道,去年,他的银行联系了他关于欺诈性使用他的借记卡和密码的信息。他无法弄清楚小偷是如何得到他的密码的,除非是通过一个略读装置。一旦Spec的违规行为宣布,Silverman将两个和两个放在一起,他现在怀疑购买Spec的商店是他妥协的源头。他写道:

有一件事让我感到困扰 – 而且我怀疑它也让其他Spec客户感到厌烦 – 联邦政府要求该公司不要透露这一漏洞,即使它是在不久前被发现的。执法官员希望有时间弄清楚违规行为是如何起作用的,并可能获得逮捕坏人的线索,但这样做会让Spec的客户长期处于弱势状态。

据“休斯顿纪事报”报道,另一位客户在2012年获悉,他在商店的Spec商店以3美元的价格骗取了3,500张银行卡。这些费用是在商店关闭时以电子方式进行的。他联系了他的Spec商店询问发生了什么事,商店员工告诉他,他们正在接到其他客户的类似电话。

美国特勤局参与了这项调查。休斯敦外地办事处的特别代理人Cynthia Marble拒绝就调查发表评论,只是说联邦机构的执法职责延伸到国家的金融基础设施。Spec的发言人承认,根据执法部门的要求,他们不能在本周之前公布这一违规行为。我们看到,德克萨斯违规通知法明确规定,如果公告可能会影响调查,那么数据受到损害的人不需要被告知。

我可以说的是,联邦政府更好地抓住了负责人并将他们绳之以法,以证明让50万人不知道他们的财务数据是否在一年多前被盗。

发表评论

电子邮件地址不会被公开。 必填项已用*标注