tin) là Tín hiệu Xấu47
Không giống các quốc gia trong Liên minh Châu Âu (EU) và một số khu vực khác trên thế giới, Hoa Kỳkhông có sự phối hợp toàn diện về bảo mật dữ liệu. Đúng hơn làHoa Kỳcó xu hướng đến các vấn đề về bảo mật dữ liệu trên cơ sở lĩnh vực hay ngành công nghiệp với các luật rời rạc gắn liền với việc tạo, lưu giữ, sử dụng và truy cập dữ liệu bảo mật cá nhân. Ngược lại sự tập trung vào lưu giữ hồ sơ của FRCP, hoặc bài học theo dõi từ môi trường làm việc thù địch hoặc trường hợp của Đạo luật Gian lận và Lạm dụng Máy vi tính, luật bảo mật quy định và hạn chế dữ liệu mà công ty có thể thu thập, xử lý, truyền tải, lưu giữ, sử dụng hoặc phổ biến. Kết quả, điều quan trọng là hệ thống quản lý thông tin hiệu quả không chỉ có khả năng duy trì và lưu trữ dữ liệu khi cần thiết và theo dõi bên trong nước Mỹ khi có thể, mà những hệ thống này còn có khả năng hạn chế và giới hạn việc sử dụng và truy cập thông tin riêng tư được phổ biến cho công ty chỉ vì mục đích giới hạn và riêng biệt. Ví dụ: Đạo luật Gramm-Leach-Bliley điều chỉnh cơ quan tài chính , bao gồm kinh doanh trong lĩnh vực ngân hàng, bảo hiểm, cổ phiếu và trái phiếu, tư vấn tài chính và đầu tư. Bộ luật này cung cấp những bảo vệ hạn chế tính riêng tư chống lại việc mua bán thông tin tài chính cá nhân, soạn luật bảo vệ chống lại “pre-texting” để lấy thông tin tài chính cá nhân thông qua lừa đảo và cho phép khách hàng có quyền chọn lựa việc chia sẻ có giới hạn “thông
47 Để biết thêm thông tin liên quan bảo mật dữ liệu không chỉ ở Hoa Kỳ mà còn trên toàn cầu, xem Baker & McKenzie Sổ tay hướng dẫn về Bảo mật Toàn cầu (Hiệp hội Chuyên gia Bảo mật Quốc tế) ©2006. hướng dẫn về Bảo mật Toàn cầu (Hiệp hội Chuyên gia Bảo mật Quốc tế) ©2006.
34
tin cá nhân không phổ biến”. Nó cũng yêu cầu các cơ quan tài chính duy trì các chương trình bảo mật thông tin để đáp ứng những điều kiện nhất định do người có thẩm quyền điều chỉnh chỉ định, chẳng hạn các Tiêu chuẩn của Hội đồng Thương mại Liên bang về Bảo vệ Thông tin Khách hàng.
Đạo luật Báo cáo Tín dụng Trung thực (và nhiều đạo luật tương tự của bang khác) trước hết chi phối việc sử dụng và tiết lộ thông tin trong “báo cáo khách hàng” do “nhân viên báo cáo khách hàng” được xác định rộng rãi. Đạo luật này bao gồm các giới hạn của việc thu thập, sử dụng và tiết lộ thông tin y tế, tài chính và tiền sử pháp lý cũng như các giới hạn đặc biệt liên quan đến nhận diện trộm cắp, báo cáo khách hàng dùng cho mục đích công việc và “báo cáo điều tra khách hàng” với các bên thứ ba. Đạo luật cũng bao gồm nhiều yêu cầu đối với nhân viên báo cáo khách hàng cũng như những người sử dụng báo cáo khách hàng để bảo vệ tính toàn vẹn và chính xác của dữ liệu đã thu thập và phổ biến, cũng như truy cập internet, sử dụng và huỷ bỏ an toàn thông tin thu được từ báo cáo khách hàng.
Đạo luật về Di chuyển và Trách nhiệm giải trình về Bảo hiểm Y tế (HIPAA) điều chỉnh việc thu thập, sử dụng và truy cập thông tin liên quan đến y tế cho “các thực thể kín đáo” được xác định như kế hoạch y tế, dịch vụ chăm sóc sức khoẻ hối đoái và các nhà cung cấp dịch vụ chăm sóc sức khoẻ, người chuyển thông tin y tế. Các điều chỉnh của HIPAA chi phối giữa những thứ khác với việc sử dụng và tiết lộ thông tin y tế được bảo vệ duy trì dưới bất
HIPAA điều chỉnh việc thu thập, sử dụng và truy cập thông tin liên quan
đến sức khoẻ cho “các pháp nhân thuộc phạm vi quy định” xác định như kế hoạch y tế, dịch vụ thanh toán chăm sóc sức khoẻ và nhà
cung cấp dịch vụ chăm sóc sức khoẻ, người chuyển thông
35
kỳ dạng nào. Một pháp nhân thuộc phạm vi quy định phải chỉ định nhân viên phụ trách dữ liệu có trách nhiệm triển khai và thúc đẩy các chính sách, thực tế do HIPAA yêu cầu và được giao nhiệm vụ lưu giữ hồ sơ trong sáu năm. Các pháp nhân thuộc phạm vi quy định cũng phải tuân theo những Tiêu chuẩn Bảo mật khác nhau để Bảo vệ Thông tin Y tế Điện tử được Bảo vệ, 45 CFR 160 và 164. Tháng 1 năm 2007, Bộ Tư pháp Hoa Kỳ thông báo trường hợp đầu tiên đưa ra do HIPAA liên quan đến việc truy tố về đánh cắp thông tin y khoa bao gồm 1,130 hồ sơ điện tử từ Cleveland Clinic. Một nhân viên Bệnh viện được khẳng định là đã sử dụng hệ thống máy vi tính của Bệnh viện để thu thập và bán hồ sơ bệnh nhân cho một tập đoàn tội phạm có tổ chức sử dụng hồ sơ bệnh nhân để gian lận hoá đơn Chăm sóc sức khoẻ 7 triệu Đô la Mỹ. Những đạo luật bang khác nhau cũng xét đến và kiểm soát dữ liệu chăm sóc sức khoẻ như Đạo luật Bảo mật Thông tin Y tế của California.48
Nhiều bang cũng đưa ra các đạo luật bảo vệ tính bảo mật của số an sinh xã hội. Ví dụ: phần Luật Dân sự của California 1798.85 cấm, trong số những điều khác, yêu cầu một cá nhân chuyển số an sinh xã hội của họ qua internet trừ phi kết nối được bảo mật hoặc số an sinh xã hội được mã hoá. Phần Luật Dân sự của California 1798.81.5 yêu cầu các công ty duy trì thủ tục an ninh hợp lý để bảo vệ một phạm vi rộng thông tin cá nhân, bao gồm số an sinh xã hội, số thẻ tín dụng và tài khoản ngân hàng, số bằng lái xe và các số khác. New York có luật tương tự quy định huỷ tài liệu chứa thông tin cá nhân, chẳng hạn số an sinh xã hội.49
48 Trong cuộc khảo sát gần đây, 98,5% cho biết các tổ chức y tế có trách nhiệm bảo mật hồ sơ y tế của bệnh nhân nhưng dưới 40% tin tưởng vào nhà cung cấp dịch vụ chăm sóc sức khoẻ thật sự bảo vệ thông tin y tế của họ. Hầu hết mọi người cho biết họ tin rằng các tổ chức y tế có trách nhiệm pháp lý để cảnh báo cho bệnh nhân nếu ai đó đã truy cập vào hồ sơ y tế mà chưa được phép của họ 7 /10 không tin nhà cung cấp dịch vụ chăm sóc sức khoẻ sốt sắng thông báo cho bệnh nhân khi có nghi ngờ về vi phạm. www.epictide.com.