Förslag till anmälan om dataskydd, kritiserad som för svag

Förslag till lagstiftning som skulle kräva att amerikanska företag anmäler drabbade kunder efter överträdelser av uppgifterna är för svaga eftersom det skulle förhindra starkare överträdelsemeddelande lagar i flera stater och det skulle inte omfatta flera klasser av data, inklusive geolocation och hälsoinformation, kritiker föreslagna lagstiftare.

Den föreslagna lagen om datasäkerhet och bristande anmälan omfattar endast data som är kopplade till identitetsstöld eller ekonomiskt bedrägeri, inklusive socialförsäkringsnummer, men skulle inte kräva att företag och ideella grupper meddelar användarna om annan information stulits, säger kritikerna, inklusive demokratiska medlemmar i representanthuset Energi och handelskommitténs handelsunderkommitté.

Förslaget skulle pr undanröja 51 befintliga lagar om tillstånd och territoriell överträdelse, och skulle ta bort mycket av den amerikanska federala kommunikationskommissionens befogenhet att genomdriva datasäkerhetsstandarder för telekomföretag, vilket ger myndigheter tillsynsmyndigheten i stället till Federal Trade Commission.

[Vidare läsning: Hur man ta bort skadlig kod från din Windows-dator]

"Det är bättre för [konsumentens] integritet att överlåta någon räkning än att skicka den här propositionen som för närvarande utarbetas, säger Laura Moy, seniorpolitiska rådet vid New America Foundation's Open Technology Institute under en underkommittéhörning onsdag.

Utkastet till lagstiftning, med dess förbehåll för statliga lagar, skulle "hämma" statliga advokater generellt i deras ansträngningar att skydda konsumenterna mot datatält, tillade Sara Cable, assisterande advokat i Massachusetts. Räkningen "skulle upphäva det robusta konsumentskyddet som redan finns i Massachusetts och många andra stater och ersätta dem med svagare skydd vid en tidpunkt då starkare skydd är avgörande," sade hon.

Räkningen skulle också kräva företag och ideella organisationer att ta "rimliga" säkerhetsåtgärder, men det definierar inte "rimligt", kabel tillagd. "Det enda sättet som" rimligt "kan bestämmas under räkningen kommer, som utarbetat, att vara genom flera långvariga tvister", säger hon.

Under de senaste tio åren har många företag, inklusive flera tekniska leverantörer, uppmanat kongressen att överlåta en nationell lag om uppgiftsbrott som ett sätt att minska efterlevnadskostnaderna i samband med många statliga lagar. Stater började genomföra anmälningslagar, som började med Kalifornien 2003, efter en våg av högprofilerade brott.

USA. lagstiftare har infört flera anmälningsräkningar för överträdelser under det senaste decenniet, men ingen har gått. Räkningarna har försvunnit i flera frågor, bland annat en debatt om huruvida företagen ska anmäla konsumenterna om de bestämmer att det finns liten risk för skada.

Den föreslagna lagen om datasäkerhet och bristande anmälan fokuserar snävt på konsumenternas finansiella information i ett försök att undvika tidigare representanter, sade representant Peter Welch, en Vermont-demokrat och en medförfattare till utkastet till proposition.

Sedan 2005 har 1 miljard konsumentrekord äventyras, sa Welch. "Vi måste passera lagstiftning som kommer att hantera detta otroliga problem," tillade han. "Vi måste agera och låta det vara en polis för att skydda människor."

Skärmen för en nationell lag fick en ökning i januari när president Barack Obama uttryckte stöd för lagstiftningen.

Medan flera lagstiftare ringde på kongressen att gå vidare med en proposition, bara en av sju vittnen vid onsdagens utfrågning uttryckte stöd för utkastet till proposition som skrivet. Utkastet till proposition går utöver överträdelseanmälan genom att innehålla "materiella" datasäkerhetskrav, säger Jon Leibowitz, medordförande för 2000-talets sekretesskoalition, en förespråksgrupp som stöds av stora telekom- och kabelföretag.

Genom att ersätta "Ständigt skiftande patchwork" av statliga lagar, skulle räkningen ge konsumenterna säkerhet att de är skyddade vid överträdelser av uppgifter, tillade Leibowitz, en före detta FTC-ordförande. "Konsumenterna i alla delar av landet har rätt till samma robusta skydd, och företagen har rätt till en logisk och samstämmig överensstämmelse," sa han.

Leibowitz lovordade också räkningen för att få verkställighet i händerna på FTC. "Denna proposition är bättre för konsumenter än nuvarande lag", tillade han.

Företrädare för National Retail Federation och ITI höll emellertid bekymmer om delar av förslaget till proposition. ITI stöder ett steg mot federal dataskydd, men räkningen kan leda till för mycket anmälan, eftersom det kräver att verksamheter som bryts ut ska skicka meddelanden om "ekonomisk skada", vilket kan vara brett definierade, säger Yael Weinman, vice vd för global integritetspolicy vid tech trade-gruppen.

I propositionen kan FTC ta ut böter på upp till 2,5 miljoner dollar för varje kränkning av sina datasäkerhetsregler och 2,5 miljoner dollar för att inte meddela konsumenterna. "Dessa belopp verkar vara straffaktiga och tycks inte återspegla att en organisation som drabbats av ett dataöverträdande i de flesta fall är ett offer för brottsliga hackare", säger Weinman.