সুচিপত্র:
যুক্তরাষ্ট্রে, বিভিন্ন ফেডারাল এবং রাষ্ট্রীয় ডেটা লঙ্ঘনের বিজ্ঞপ্তি আইন রয়েছে, যদিও এখানে কোনও বিস্তৃত ফেডারেল আইন নেই। ২০১১ সালের মে মাসে ওবামা প্রশাসন কংগ্রেসে একটি বিস্তৃত সাইবারসিকিউরিটি প্রস্তাব জমা দেয় যাতে ফেডারেল ডেটা লঙ্ঘনের বিজ্ঞপ্তি প্রয়োজনীয়তা অন্তর্ভুক্ত থাকে। এটি সাইবারসিকিউরিটির ব্যাপকভাবে উন্নতি করতে পারে তবে জানুয়ারী ২০১২ পর্যন্ত কোনও ফেডারাল ডেটা লঙ্ঘনের বিজ্ঞপ্তি আইন পাস করা হয়নি। এখানে আমরা ডেটা সুরক্ষা এবং যে আইনগুলি লঙ্ঘনগুলি মোকাবিলার জন্য সেট আপ করা হচ্ছে তার উপর নজর রাখি। (ব্যাকগ্রাউন্ড পড়ার জন্য, আইটি সুরক্ষার বুনিয়াদি নীতিগুলি দেখুন))
একটি ফেডারেল মামলা করা
মার্কিন যুক্তরাষ্ট্রীয় ফেডারেল স্তরে, নির্দিষ্ট ধরণের তথ্যের জন্য লঙ্ঘনের জন্য প্রয়োজনীয় আইন ও নির্দেশনা রয়েছে: স্বাস্থ্য বীমা তথ্যের জন্য স্বাস্থ্য বীমা বহনযোগ্যতা এবং জবাবদিহিতা (এইচআইপিএ) আইন এবং অর্থনৈতিক ও ক্লিনিকাল স্বাস্থ্য (হিট) জন্য স্বাস্থ্য তথ্য প্রযুক্তি আইন, আর্থিক তথ্যের জন্য ব্যাকরণ-লিচ-ব্লাইলি অ্যাক্ট, এবং ফেডারাল এজেন্সিগুলির দ্বারা পরিচালিত ব্যক্তিগত তথ্যের জন্য অফিস অফ ম্যানেজমেন্ট অ্যান্ড বাজেট (ওএমবি) নির্দেশিকা।
HITECH আইন অনুসারে, HIPAA- র আওতাধীন স্বাস্থ্যসেবা পরিষেবা সরবরাহকারীদের যখন তাদের স্বাস্থ্যের তথ্য লঙ্ঘন করা হয়েছে তাদের অবশ্যই অবিলম্বে অবহিত করতে হবে। স্বাস্থ্য ও মানবসেবা অধিদফতর (এইচএইচএস) এবং মিডিয়াগুলিকে অবশ্যই অবহিত করা উচিত যেখানে লঙ্ঘন 500 টিরও বেশি ব্যক্তিকে প্রভাবিত করে। ব্যক্তিগত স্বাস্থ্য তথ্য বিক্রেতাদের একই লঙ্ঘনের বিজ্ঞপ্তি প্রয়োজনীয়তা রয়েছে, তবে তাদের এইচএইচএসের পরিবর্তে ফেডারাল ট্রেড কমিশনকে অবহিত করতে হবে।
ব্যাকরণ-লিচ-ব্লাইলি আইনের অধীনে ফেডারেল ব্যাংকিং নিয়ন্ত্রকদের জারি হওয়া নির্দেশনা অনুসারে, যখন কোনও ব্যাংক বা অন্যান্য আর্থিক প্রতিষ্ঠান তথ্য লঙ্ঘনের বিষয়ে সচেতন হয়, তখন তথ্যটি অপ্রয়োজনীয় বা অপব্যবহারের সম্ভাবনা নির্ধারণের জন্য তদন্ত করা উচিত। যদি ব্যাঙ্কটি নির্ধারণ করে যে অপব্যবহার হয়েছে বা যুক্তিসঙ্গতভাবে সম্ভব, এটি যত তাড়াতাড়ি সম্ভব ক্ষতিগ্রস্থ গ্রাহকদের অবহিত করা উচিত।
আইন প্রয়োগকারীরা ফৌজদারি তদন্তে হস্তক্ষেপ করবে এবং বিলম্বের জন্য ব্যাংককে একটি লিখিত অনুরোধ প্রদান করবে যদি গ্রাহক বিজ্ঞপ্তি বিলম্ব হতে পারে। বিজ্ঞপ্তিটি তদন্তে আর হস্তক্ষেপ করবে না বলেই ব্যাঙ্কের তার গ্রাহকদের অবহিত করা উচিত। তবে বিব্রতকরতা বা ব্যাংকের অসুবিধার কারণে বিজ্ঞপ্তিটি বিলম্ব হতে পারে না।
ওএমবির দিকনির্দেশনা অনুযায়ী, ফেডারেল এজেন্সিগুলিকে অনুসন্ধান / সনাক্তকরণের এক ঘন্টার মধ্যে ব্যক্তিগতভাবে সনাক্তযোগ্য তথ্য সম্পর্কিত সমস্ত ডেটা লঙ্ঘনের প্রতিবেদন করা প্রয়োজন। তবে এজেন্সিগুলির বাইরের তথ্য লঙ্ঘনের বিষয়ে এজেন্সির বিচক্ষণতা রয়েছে। তারা আইন প্রয়োগকারী, জাতীয় সুরক্ষা বা এজেন্সির প্রয়োজনের জন্য বিজ্ঞপ্তিটি বিলম্ব করতে পারে।
ক্যালিফোর্নিয়া স্বপ্ন দেখছি
রাজ্য পর্যায়ে, তথ্য লঙ্ঘনের বিজ্ঞপ্তিতে 46 টি রাজ্য আইন (এবং কলম্বিয়া জেলা) এর একটি প্যাচওয়ার্ক রয়েছে। ক্যালিফোর্নিয়া ২০০২ সালে প্রথম ডেটা লঙ্ঘন সংক্রান্ত আইন আইন প্রনয়ন করে এবং এটি অন্যান্য অনেক রাজ্য আইনের মডেল হিসাবে ব্যবহৃত হয়।
ক্যালিফোর্নিয়ার আইনের অধীনে সংস্থাগুলিকে লিখিতভাবে অযৌক্তিক দেরি না করে "যত তাড়াতাড়ি সম্ভব গ্রাহকদের কাছে ডেটা লঙ্ঘন প্রকাশ করতে হবে"। যদি বিজ্ঞপ্তি প্রদানকারী ব্যক্তি বা ব্যবসায় প্রজ্ঞাপনটি প্রকাশ করতে পারে যে বিজ্ঞপ্তিটির জন্য 250, 000 ডলারেরও বেশি ব্যয় হতে পারে বা 500, 000 এরও বেশি লোককে প্রভাবিত করতে পারে, তবে ওয়েবসাইটের পোস্টিংয়ের আকারে বিকল্প বিজ্ঞপ্তি এবং বড় বড় রাজ্যব্যাপী মিডিয়াতে বিজ্ঞপ্তি ব্যবহার করা যেতে পারে। সংবিধানটি ব্যক্তিগত তথ্য এনক্রিপ্ট করা হয়েছে এমন কোনও ডেটা লঙ্ঘন বিজ্ঞপ্তি থেকে ছাড় দেয়।
তবে অন্যান্য অনেক রাজ্যের মতো ক্যালিফোর্নিয়ায় তথ্য লঙ্ঘনের বিষয়টি গ্রাহকদের অবিলম্বে অবহিত করতে ব্যর্থতার জন্য জরিমানা অন্তর্ভুক্ত করা হয় না। রাজ্য আইনসভায় জাতীয় সম্মেলন রাষ্ট্রীয় তথ্য লঙ্ঘন বিজ্ঞপ্তি আইনগুলির তালিকা এবং সেই আইনের লিঙ্ক বজায় রাখে।
ইউরোপ বা বুস্ট
ইউরোপে, ইউরোপীয় ইউনিয়ন তার ই-গোপনীয়তা নির্দেশিকায় ২০০৯ সংশোধনীতে ডেটা লঙ্ঘনের বিজ্ঞপ্তির প্রয়োজনীয়তা অনুমোদন করেছে। ইউরোপীয় ইউনিয়নের সদস্য রাষ্ট্রসমূহের জাতীয় আইনে সংশোধনী বাস্তবায়নের জন্য ২৫ মে, ২০১১ পর্যন্ত ছিল।
এই সংশোধনীর জন্য "প্রকাশ্যে উপলব্ধ ইলেকট্রনিক যোগাযোগ পরিষেবা সরবরাহকারীদের" জাতীয় তথ্য কর্তৃপক্ষকে ব্যক্তিগত তথ্যের লঙ্ঘন সম্পর্কে অবহিত করা প্রয়োজন যা গ্রাহকদের "লঙ্ঘন সম্পর্কে সচেতন হওয়ার সাথে সাথে" যথেষ্ট পরিমাণে অর্থনৈতিক ক্ষতি এবং সামাজিক ক্ষতির কারণ হতে পারে। এছাড়াও, ক্ষতিগ্রস্থ গ্রাহকদের "দেরি না করে" লঙ্ঘনের বিষয়ে অবহিত করা উচিত। প্রজ্ঞাপনে সংস্থা কর্তৃক গৃহীত পদক্ষেপের পাশাপাশি ক্ষতিগ্রস্থ গ্রাহকদের জন্য প্রস্তাবিত পদক্ষেপের তথ্য অন্তর্ভুক্ত করা উচিত।
ইইউ ডেটা প্রোটেকশন ডিরেক্টরেটিভের পরিবর্তনগুলি ২০১২ সালে প্রত্যাশিত ছিল, যার মধ্যে একটি প্রয়োজনীয়তা রয়েছে কেবলমাত্র বৈদ্যুতিন যোগাযোগ পরিষেবা সরবরাহকারী নয়, সমস্ত সংস্থা ব্যক্তিগত তথ্য লঙ্ঘনের 24 ঘন্টার মধ্যে জাতীয় কর্তৃপক্ষ এবং ক্ষতিগ্রস্থ গ্রাহকদের অবহিত করে।
ইউরোপীয় ইউনিয়ন ডেটা প্রোটেকশন অ্যাক্ট, যা ইইউ ই-গোপনীয়তা নির্দেশকের পূর্বাভাস দেয়, সংস্থাগুলির ডেটা সুরক্ষার জন্য প্রয়োজনীয় সামগ্রীর একটি বিস্তৃত সেট রয়েছে যদিও এতে ডেটা লঙ্ঘনের বিজ্ঞপ্তি প্রয়োজনীয়তা নেই।
আইনটি বাস্তবায়নের দায়িত্বে থাকা যুক্তরাজ্যের তথ্য কমিশনারের কার্যালয় (আইসিও) বলেছে যে সংস্থাগুলি গুরুতর তথ্য লঙ্ঘনকে আইসিওর কাছে ব্যক্তির সম্ভাব্য ক্ষতির কারণ হতে পারে এমন লঙ্ঘন হিসাবে চিহ্নিত করা উচিত। সংস্থাটি বলেছে যে তারা ইউকে সংস্থাগুলি এক হাজার বা তার বেশি ব্যক্তিদের এনক্রিপ্ট না করা ব্যক্তিগত তথ্য লঙ্ঘনের বিষয়ে অবহিত করবে বলে আশাবাদী। আইসিও বলেছে যে ক্ষতিগ্রস্থ গ্রাহকদের অবহিত করা তার দায়িত্ব নয়, তবে এটি সুপারিশ করতে পারে যে সংস্থাটি এই লঙ্ঘনটিকে জনসাধারণের কাছে গড়ে তুলবে "যেখানে এটি সম্পর্কিত ব্যক্তিদের স্বার্থে স্পষ্টভাবে রয়েছে বা এটি করার পক্ষে জনস্বার্থের তীব্র যুক্তি রয়েছে।"
ডেটা লঙ্ঘন এবং প্রতিবেদন করা
অত্যন্ত প্রচারিত ডেটা লঙ্ঘন এবং জনসাধারণের চাপের প্রতিক্রিয়ায় আমেরিকান ও ইউরোপীয় বিধায়ক এবং নিয়ন্ত্রকরা প্রয়োজনীয় প্রয়োজনীয়তা বিবেচনা করছেন যা সমস্ত সংস্থা জাতীয় কর্তৃপক্ষ এবং ক্ষতিগ্রস্থ গ্রাহকদের কাছে ডেটা লঙ্ঘনের কথা জানায়। তবে, জানুয়ারী ২০১২ পর্যন্ত, এই প্রচেষ্টাগুলির কোনওটিই মার্কিন যুক্তরাষ্ট্র বা ইউরোপীয় ইউনিয়নের মধ্যে ব্যাপকভাবে ডেটা লঙ্ঘনের বিজ্ঞপ্তি আইন এবং বিধিমালা তৈরি করতে পারেনি।
