还记得前段时间沸沸扬扬的美国征信巨头 Equifax 数据泄漏事件吗？FreeBuf 曾经对此进行不断跟踪报道，整件事影响 1 亿多名美国消费者和 70多万英国公民，从安全高管退休、CEO 离职，到检察院介入调查，甚至再度被黑客利用其网站钓鱼，这场大规模数据泄露可谓牵涉甚广，影响深远。

在泄漏事件影响的 1.45 亿美国公民中，纽约居民占到了 800 万。上周四，纽约检察长埃里克·T·施耐德曼（Eric T. Schneiderman）推出了新的法案，旨在保护纽约公民免受公司数据泄露事件的影响，以一种对企业友好的方式增加私人信息的安全性。

　　新数据保护法案

新法案的名称为《阻止黑客入侵并改善电子数据安全法案》（SHIELD Act）。Schneiderman 检察长将其作为项目法案提出，受到 David Carlucci 参议员和州众议员 Brian Kavanagh的支持。

Schneiderman 表示：

显而易见，纽约的数据安全法律薄弱而且过时，新法案的首要目标是确保黑客攻击事件不再发生。纽约是时候采取行动了，这样就不会有更多的纽约公民因为数据安全措施薄弱而受到不必要的攻击，在网络中到处流窜作作案的黑客攻击也会减少。

巧合的是，参议员 Markey 上周也提出了一个同类的法案草案，并获得通过。不过两个法案并不相同：Markey 的建议是将安全融入物联网设备，而 Schneiderman 的建议则是通过合理的安全保障措施为企业带来安全保障，同时对受到金融制裁支持的入侵泄露事件采取新的控制措施。

根据现行的纽约法律，公司可以编制个人身份信息（PII），但如果 PII 不包含社会安全号码，则不需要满足任何数据安全规定。例如，如果公司发生了用户名和密码泄露或者生物识别数据（如用于解锁iPhone的指纹）泄露，现行法律并没有要求公司报告。而通过修改现有的《一般商业法》和《国家技术法》，现有状况即将得到改善。

新的法案要求企业对敏感数据采取“合理”的管理、技术和物理保障措施。其范围涵盖了所有持有纽约市敏感数据的企业，比原来在纽约开展业务的企业范围更广。法案扩展了需要报告的泄漏事件的数据类型，包括用户名和密码组合、生物特征数据和 HIPAA 法案规定的健康数据。

此外，违规处罚也有所加重。法案规定，如果企业没有为 PII 提供足够的安全，那么总检察长就有权对此进行民事处罚、发布禁令。单次违法罚金可达 5 万美元，且每次没有上报也会出现高达 20 美元的处罚（总罚金可能会达到 25 万美元）。

　　对企业更友好

施耐德曼提出这个新法案的主要目的是保护纽约公民的个人数据安全，功效与欧洲的 GDPR 相似。不过，相对而言，这个新法案对于企业更友好一些。具体表现在：

一、罚金更低；

二、要求的泄露披露时间期限更灵活；

“信息披露应当尽可能在合理的时间内进行，不得有不合理的拖延，符合执法的合法需求……”

三、有明确的加密豁免规定。当个人信息或数据元素未被加密或使用已被访问或获取的加密密钥加密时，PII 就仅仅按照 PII 的定义处理；

四、它为本就符合纽约 DFS、Gramm-Leach-Bliley 和 HIPAA 法案的公司以及获得 ISO 和 NIST 标准的独立认证的公司提供了安全防护；

五，它为小企业提供灵活的施行方法，只要他们“实施并保持适合小企业规模和复杂性的合理保障措施”。

Bryan Cave 的消费者保护业务领导人 David Zetoony 评论说：

为符合数据安全保护标准甚至超出标准的企业提供安全港口，表明了这个法案的创新性、独特性以及对企业友好的特质。这对于符合行业安全实践标准，遵守审计和验证规定的企业而言，可以避免政府诉讼可能性、节省政府诉讼的成本。这个法案也不会惩罚那些具有良好安全实践，但无力承担年度数据安全审计和认证高额成本的小企业。这才是改善全国数据安全立法所需的领先思维。

尽管有这些豁免规定和实践灵活性，但新法案规定的数据保护是除了纽约金融机构监管之外力度最大的。它扩大了数据泄露的定义：只要一个未经授权的人获得信息就算数据泄露；而在法律层面而言，其监管范围已经从在纽约做生意的公司扩大到拥有纽约公民个人信息的公司。

法案共同提出者、参议员卡罗奇（David Carlucci）表示：

联邦政府监管不力，所以我们必须自己采取行动保护纽约同胞，新法案将成为纽约和全国其他地区保护美国安全的蓝图。

编者按：之前我们探讨过“如果 GDPR 实施的话，Equifax 会怎样”这个话题，结论是这个法案如果实施，那么违法的企业可能会受到严重惩罚。如今不论国内国外，有关网络安全和数据保护的法案都越来越多。我们也期待这些法案能够真正落地，真正保护到公民的信息安全。