我是收集 PII 的个人、商业实体或政府实体。我需通知法律的更新吗?
答:是的。安全漏洞通知要求已发生重大变化。新法律还规定了政府实体必须遵守安全漏洞通知要求。
该法律涵盖哪些类型的泄露信息?
该法律涵盖“个人信息”的泄露,个人信息是指科罗拉多州居民的名字或首字母和姓氏与以下任何一项的组合:
社会安全号码
驾驶执照号码或身份证号码
学生、军人或护照识别号码
医疗信息
健康保险识别号码
生物特征数据(例如指纹、虹膜识别、视网膜扫描)
在什么情况下我必须通知科罗拉多州居民安全漏洞?
答:如果您意识到可能发生了安全漏洞,您必须立即进行善意调查,以确定个人信息已被滥 医生数据库 用或将被滥用的可能性。除非调查确定该信息未被滥用且不太可能被滥用,否则您必须通知受影响的科罗拉多州居民。
我需要多长时间通知受影响的科罗拉多州居民?
回答:您必须在最短的时间内发出通知,不得无故拖延,且必须在确定发生安全漏洞之日起 30 天内发出通知。
如果执法机构指示您不要发送通知,或者需要超过 30 天的时间来确定违规范围并恢复计算机数据系统的合理完整性,则您可能需要超过 30 天的时间来发出通知。
除了受影响的科罗拉多州居民外,我还需要通知其他人吗?
答:是的。如果有合理理由相信该安全漏洞影响了500名或以上的科罗拉多州居民,您必须向科罗拉多州总检察长提交该安全漏洞的通知。
您必须尽快提供此通知,不得无故拖延,但不得晚于确定发生安全漏洞之日起 30 天。
如果有合理理由相信安全漏洞影响了超过 1,000 名科罗拉多州居民,您必须通知负责在全国范围内汇编和维护消费者档案的消费者报告机构。您必须告知这些机构预计通知居民的日期以及预计通知的居民人数。您必须尽快发出此通知,不得无故拖延。