คดีละเมิดข้อมูล: อะไรคือการแยกส่วนทางกฎหมาย?

เผยแพร่แล้ว: 2022-11-07

จากข้อมูลของ Identity Theft Resource Center (ITRC) ในปี 2564 มีรายงานกรณีการละเมิดข้อมูลประมาณ 1,862 กรณี ตัวเลขนี้บ่งชี้ว่ามีการละเมิดเพิ่มขึ้น 68% ซึ่งทำให้ลูกค้า ลูกค้า และผู้มีส่วนได้ส่วนเสียอื่นๆ กังวลใจ

น่าเสียดายที่การสูญเสียไม่ได้จบที่นี่ 34% ของกรณีดังกล่าวรายงานการมีส่วนร่วมของพนักงานในองค์กร และค่าใช้จ่ายโดยประมาณของ mega-breach สำหรับปี 2564 นั้นแตะระดับ 401 ล้านดอลลาร์แล้ว

เมื่อพิจารณาจากตัวเลขเหล่านี้แล้ว จึงไม่น่าแปลกใจเลยที่ธุรกิจต่างๆ จะต้องเผชิญกับคดีละเมิดข้อมูลในอัตราที่น่าตกใจ

ผู้มีส่วนได้ส่วนเสียมักไว้วางใจให้องค์กรปกป้องข้อมูลที่ละเอียดอ่อนโดยใช้มาตรการป้องกันที่จำเป็น อย่างไรก็ตาม ผู้ดำเนินการภายในและบุคคลที่มีเจตนาร้ายพยายามทำลายชื่อเสียงและความน่าเชื่อถือของบริษัทด้วยการประนีประนอมข้อมูล

ขณะที่คุณกำลังอ่านบทความนี้ มีโอกาสที่องค์กรของคุณจะจมอยู่ในเหตุการณ์ดังกล่าว หากเป็นเช่นนั้น โปรดอ่านต่อเพื่อทราบผลทางกฎหมายของการละเมิด

สารบัญ

  • 1 คำจำกัดความทางกฎหมายของการละเมิดข้อมูล
  • 2 กฎของรัฐในกรณีของการละเมิดคืออะไร?
  • 3 กฎระเบียบของรัฐบาลกลางในกรณีของการละเมิดคืออะไร?
  • 4 บริษัท ควรทำอย่างไร?
  • 5 ขั้นตอนทันทีที่บริษัทต้องทำหลังจากข้อมูลรั่วไหล
    • 5.1 1. ยืนยันการละเมิด
    • 5.2 2. ระบุข้อมูลที่ถูกขโมย
    • 5.3 3. รักษาความปลอดภัยข้อมูลประจำตัว
    • 5.4 4. แจ้งเจ้าหน้าที่
    • 5.5 5. จ้างทนายความ
  • 6 เพื่อสรุปทั้งหมด

คำจำกัดความทางกฎหมายของการละเมิดข้อมูล

คำจำกัดความทางกฎหมายของการละเมิดข้อมูล

ก่อนดำเนินการกับผลกระทบทางกฎหมายของการโจรกรรมข้อมูล เรามาเรียนรู้ว่ากฎหมายกำหนดการกระทำนี้อย่างไร:

“การได้มาซึ่งข้อมูลส่วนบุคคลที่ผิดกฎหมายและไม่ได้รับอนุญาตซึ่งส่งผลต่อความปลอดภัย การรักษาความลับ หรือความสมบูรณ์ของข้อมูลส่วนบุคคล”

ข้อมูลที่เป็นเป้าหมายทั่วไปในการละเมิดรวมถึง:

  • ข้อมูลส่วนบุคคล
  • บันทึกทางธุรกิจ
  • เวชระเบียนสุขภาพ

เป็นที่น่าสังเกตว่าหลักเกณฑ์ทางกฎหมายหลายฉบับมีแนวคิดร่วมกันว่าหากมีการเข้ารหัสข้อมูลที่ละเอียดอ่อน การละเมิดจะไม่เกิดขึ้น สำหรับธุรกิจ การเข้ารหัสถือเป็น "ท่าเรือที่ปลอดภัย" น่าเสียดายที่บริษัทจำนวนมากยังคงละเลยการเข้ารหัส PII (ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้) อยู่บ่อยครั้ง

อย่างไรก็ตาม บริษัทที่ตกเป็นเป้าหมายของแฮ็กเกอร์จัดการกับปัญหาสำคัญหลายประการ เช่น ค่าปรับของรัฐบาลที่สูง ค่าใช้จ่ายในการดำเนินคดี ค่าใช้จ่าย eDiscovery ค่าธรรมเนียมทางกฎหมาย และค่าเสื่อมราคาของแบรนด์ ความรับผิดนี้มีความหลากหลายหากองค์กรสามารถเข้าถึง PII

กฎของรัฐในกรณีของการละเมิดคืออะไร?

กฎในกรณีที่มีการละเมิด

เขตอำนาจศาลส่วนใหญ่มีกฎหมายละเมิดการแจ้งเตือน กำหนดให้ธุรกิจต้องแจ้งผู้มีส่วนได้ส่วนเสียที่ได้รับผลกระทบทั้งหมดโดยเร็วที่สุดเกี่ยวกับเหตุการณ์

นอกจากนี้ยังบ่งชี้ว่าธุรกิจนอกรัฐที่มีข้อมูลส่วนบุคคลของพลเมืองต้องปฏิบัติตามระเบียบการแจ้งการละเมิดด้วย เป็นเพราะว่าในระหว่างการฟ้องคดี การละเมิดบันทึกแต่ละครั้งอาจส่งผลให้ได้รับโทษ

ข้อบังคับของรัฐบาลกลางคืออะไรในกรณีที่มีการละเมิด?

ข้อบังคับของรัฐบาลกลางในกรณีที่มีการละเมิด

รัฐบาลกลางปฏิบัติตามกฎหมายว่าด้วยการละเมิดข้อมูลทั่วไปทั่วประเทศ รวมถึงกฎหมายว่าด้วยการรักษาความปลอดภัยของข้อมูลและการแจ้งเตือนการละเมิด ซึ่งกำหนดให้ธุรกิจแจ้งให้ลูกค้าทราบถึงการละเมิดภายใน 30 วัน รู้ว่าบทลงโทษนั้นเพิ่มโดยร่างกฎหมาย และหากใครบางคน “จงใจและจงใจ” ซ่อนการละเมิดข้อมูล พวกเขาอาจใช้เวลาถึงห้าปีในคุก

พระราชบัญญัติการเคลื่อนย้ายและความรับผิดชอบในการประกันสุขภาพ (HIPAA) และพระราชบัญญัติ Gramm-Leach-Bliley (GLBA) เป็นข้อบังคับของรัฐบาลกลางที่รู้จักกันดีสองข้อซึ่งกำหนดให้มีการแจ้งเตือนการละเมิด HIPAA กำหนดเป้าหมายผู้ให้บริการด้านสุขภาพ บริษัทประกันสุขภาพ สำนักงานแพทย์ และธุรกิจอื่นๆ ที่จัดการข้อมูลผู้ป่วย ในขณะที่ GLBA กำหนดเป้าหมายด้านการเงินของการฉ้อโกง

องค์กรควรทำอย่างไร?

การนำความปลอดภัยทางไซเบอร์มาใช้

ไม่ว่าใครจะเป็นผู้ผิดในการละเมิด - ผู้ดำเนินการภายในหรือแฮ็กเกอร์มืออาชีพ บริษัท จะต้องรับผิดชอบต่อเหตุการณ์ดังกล่าว จะถูกจัดประเภทเป็นอาชญากรรมคอปกขาว เป็นเพราะความปลอดภัยของข้อมูลที่ละเอียดอ่อนโดยใช้มาตรการรักษาความปลอดภัยทางไซเบอร์เป็นความรับผิดชอบขององค์กร

ขึ้นอยู่กับความรุนแรงของการกระทำความผิด อาจเกี่ยวข้องกับสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) และสมาคมผู้ค้าหลักทรัพย์แห่งชาติ (NASD) หรือไม่ก็ได้

ถึงกระนั้นก็ตาม เป็นการดีที่สุดที่จะจ้างทนายความจำเลยคดีอาญาที่เชี่ยวชาญด้านอาชญากรรมปกขาว พวกเขาสามารถแนะนำคุณเกี่ยวกับกฎหมายและข้อบังคับที่เกี่ยวข้องกับคดีและรวบรวมหลักฐานเพื่อปกป้องคุณ

ไม่ต้องสงสัยเลยว่ากรณีที่เกี่ยวข้องกับข้อมูลประจำตัวและการขโมยข้อมูลนั้นซับซ้อน อย่างไรก็ตาม ทนายความสามารถช่วยในการสอบสวน สอบปากคำ และกล่าวเปิดและปิดได้

ความรู้และประสบการณ์ในเรื่องดังกล่าวจะช่วยลดโทษได้ พวกเขาสามารถหาหลักฐานว่าข้อมูลที่เป็นความลับขององค์กรก็ถูกขโมยไปพร้อมกับข้อมูลส่วนบุคคลเพื่อสร้างความเกี่ยวข้องขององค์กรในกรณี

ขั้นตอนทันทีที่บริษัทต้องดำเนินการหลังจากการละเมิดข้อมูล

บริษัทรักษาความปลอดภัยในโลกไซเบอร์

1. ยืนยันการละเมิด

ก่อนอื่น คุณต้องตรวจสอบให้แน่ใจว่าการละเมิดเกิดขึ้นจริง ไม่ใช่แค่ข่าวปลอม ในบางสถานการณ์ คุณอาจได้รับอีเมลฟิชชิ่งพร้อมลิงก์ที่ให้ข้อมูล ซึ่งนำไปสู่การละเมิด ดังนั้นคุณต้องระมัดระวังในการจัดการกับข่าวดังกล่าว ติดต่อ BOD และทีมผู้บริหารระดับสูงเพื่อยืนยันข้อมูลก่อนดำเนินการต่อไป

หากคุณได้รับอีเมล โปรดอย่าคลิกลิงก์โดยไม่ยืนยันข่าว

2. ระบุข้อมูลที่ถูกขโมย

หากข้อมูลนั้นเป็นจริง ให้ระบุข้อมูลสำคัญที่ถูกขโมย โดยทั่วไป ขอแนะนำให้เข้ารหัสข้อมูลองค์กรทั้งหมดและมีการตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อหลีกเลี่ยงอาชญากรรมทางอินเทอร์เน็ต อย่างไรก็ตาม ผู้ที่มีเจตนาร้ายอาจเข้าถึงข้อมูลได้ ดังนั้น ให้ทีมไอทีของคุณทำงานและค้นหาแหล่งที่มาของการฉ้อโกง

3. รักษาความปลอดภัยข้อมูลประจำตัว

เพื่อบรรเทาความเสียหายที่เกิดขึ้นแล้ว ให้ทำตามขั้นตอนด้านล่าง:

  1. เปลี่ยนการเข้าสู่ระบบทั้งหมดทันที เพิ่มระบบการตรวจสอบสิทธิ์แบบสองปัจจัยหรือหลายปัจจัย หากคุณยังไม่ได้ดำเนินการ
  2. ตรวจสอบให้แน่ใจว่ารหัสผ่านไม่แตกง่ายหรือใช้ก่อนหน้านี้
  3. ตรวจสอบบุคคลที่มีสิทธิ์เข้าถึงข้อมูลประจำตัวอยู่แล้ว ข้อมูลนี้จะมีประโยชน์ในระหว่างการสอบสวนและการฟ้องร้อง

4. แจ้งเจ้าหน้าที่

ตามที่ระบุไว้ข้างต้น ตามกฎหมาย คุณจะต้องแจ้งผู้มีส่วนได้ส่วนเสียเกี่ยวกับการละเมิด นอกจากนี้ คุณควรยื่นเรื่องร้องเรียนต่อตำรวจ ธนาคาร และหน่วยงานที่เหมาะสมอื่นๆ สิ่งนี้จะช่วยให้มั่นใจว่าคุณปฏิบัติตามกฎหมายของรัฐและรัฐบาลกลาง ซึ่งจะทำให้การพิจารณาคดีของคุณมีน้ำหนัก

5. จ้างทนายความ

สุดท้ายคุณต้องจ้างทนายความเพื่อปกป้องตัวเอง เนื่องจากกรณีของการละเมิดข้อมูลเพิ่มขึ้นอย่างมาก กฎหมายจึงเข้มงวดมากขึ้น ดังนั้น การทำงานกับทนายความจะทำให้คุณอยู่ในตำแหน่งที่ดีและอำนวยความสะดวกในคดีของคุณ พวกเขาสามารถแนะนำคุณเพิ่มเติมเกี่ยวกับสิ่งที่ควรทำและไม่ควรทำเพื่อลดโทษทางการเงินให้มากที่สุด

เพื่อสรุปทั้งหมด

นี่เป็นสองสามวิธีที่บริษัทสามารถปฏิบัติตามการแตกสาขาทางกฎหมายได้ ในขณะที่ปกป้องตัวเอง อย่างไรก็ตาม ควรปฏิบัติตามมาตรการรักษาความปลอดภัยทางไซเบอร์ล่วงหน้าเพื่อหลีกเลี่ยงเหตุการณ์ดังกล่าว

อ่านเพิ่มเติม:

  • VPN คืออะไร: ใช้งานอย่างไร
  • บริการทำความสะอาดข้อมูลหลักที่ดีที่สุดในปี 2022
  • เหตุผลหลักสองประการในการพูดคุยกับที่ปรึกษาด้านไอที