SEDONA会议提出了“合理安全”的法律测试

与网络安全相关的法律风险继续增加,因为监管机构和原告的律师在使现行法律下的网络安全索赔越来越咄咄逼人,并且即立法机构继续颁布新的律师。根据这些法律提出的许多网络安全声称的一个关键因素是要求证明该公司未能为个人信息实施“合理”的安全性。加利福尼亚州’s new Consumer Privacy Act (“CCPA”), for instance, allows consumers to sue businesses for statutory damages when specified types of personal information are subject to unauthorized access and exfiltration, theft, or disclosure because of a failure to implement and maintain “reasonable” security measures and the business has not cured the alleged violation within the CCPA’s pre-suit period. Cal. Civ. Code § 1798.150. Even though consumers often suffer no injury in a data beach, the CCPA provides for statutory damages of $100–$750每次事件的每次消费者

但是,究竟是什么,是确定公司是否已实施“合理”网络安全的法律测试?不幸的是,答案尚不清楚。这是一个特别严重的问题,因为被发现不具有“合理”安全的后果可能是如此严重。

在一个新的刚刚发布公众评论,关于合理安全测试的评论,Sedona会议 - 一个着名的研究和教育学院,致力于对法律的高级研究,旨在通过提出“合理”安全的测试来填补差距。该拟议的测试不仅可以使用审判员,该审判员有效地应用模糊的“合理的安全”要求,而且还向企业和其他实体寻求评估他们是否通过该要求。

评论解释说,其拟议的测试旨在与法院,在法院的各种其他背景下使用的“合理性”,在立法和监管监督中以及信息安全控制框架中的模型一致。在这方面,评论注意到所有这些制度都使用了一种风险分析形式,以平衡建议行动方案的成本和福利。与这些方法一致,评论posits a cost/benefit test for reasonableness, namely, that an entity’s “information security controls for personal information are not reasonable when implementation of one or more additional or different controls would burden the [entity] and others by less than the implementation of such controls would benefit the claimant and others.”

同时,评论还承认,法院经常寻找行业习俗,以通知合理性分析。因此,它表明,与习惯的不合规可以确定实体的安全性并不合理,尽管实体可以自由地抵消这种证据与其他可能的争论,费用/效益分析的效果。这评论此外,在某些情况下,在某些情况下,立法机构和监管机构已经认为特定的安全控制值得执行费用,并通过法规,法规或条例所要求他们。这评论因此,表明,不合规的证据表明需要执行具体安全控制的法律将足以建立一个假设实体的安全措施不合理。

展示所提出的测试的实用效用,评论包括附录中的三个插图,其中它显示了如何将测试应用于特定假设事实。

Orrick Parts Doug Ente,我们的网络和隐私诉讼实践,我们的网络和隐私诉讼实践中的律师David Cohen均均致力于编制评论。Doug是Sedona会议工作组11的指导委员会主席,其中制作了评论,他是向指导委员会联络到起草论文的团队。绘图团队包括大卫,以及各种各样的法官,律师和信息安全专业人士。