在美国,一项独特的立法方法已经完全成功地为一个行业保险提供商制定数据安全性。

单数方法完全被追溯到了今天在试图通过联邦和州数据隐私法时已经普遍的长期的政治论点。

例如,在加利福尼亚州,大型技术游说团体有一再支持削弱和削弱消费者保护的立法尝试由该州具有里程碑意义的数据隐私法《加州消费者隐私法》提供。

在缅因州,州商会公布了定义狭窄的统计数据,试图劝阻公众支持州的互联网服务提供商隐私法案,这是几个策略之一缅因州的美国公民自由联盟被称为"煤气灯"-有目的地向某人提供虚假信息以动摇他们对真相和事实的观念的秘密行为。

然而,在密歇根州,没有立即反对派升级法律,该法律将收紧核心,谨慎,进步,AAA,Allstate和农民等保险提供者的网络安全保护。

今年早些时候对密西西比州的同样的平安,当一个类似的保险网络安全法案,通过国家立法机关骑自行车,在公共录制中没有任何意见,无论是对反对的。

在7月和8月在康涅狄格州,特拉华州和新罕布什尔州的立法机构跨越了类似的网络安全法,旨在改善许多销售保险的大多数工人的内部网络安全控制和流程。法律中包含的要求进行内部风险评估,并在网络安全事件发生的情况下维持响应计划,如数据泄露。

虽然美国中的数据隐私法引发了反复小冲突,但保险提供者的数据安全法则享受夏季简易措施:介绍了一项账单,得到了支持,并经常在段落中获得一致的投票。

然而,这不是跨越多个国家的突然,仁慈的两分的产品。相反,它是在保险业中长期的前瞻性规划和合作的产品,被近距离的数据泄露标点。

这是另一种立法的故事。

保险和监管 - 背景

美国保险监管是,轻轻地说,奇怪。

1945年,在一个棘手的最高法院案件,关于销售保险服务是否可以被标记为“商业”,国会通过了麦卡伦弗格森法案。仍然适用于今天的法律要求“国会的行为应被解释为无效,损害或取代任何国家为规范保险业务而颁布的法律。”

在实践中的意思是,保险业几乎完全由个别国家监管。

在美国几乎任何其他行业都不能说,从医疗保健到金融,这两者都有国家信息安全法律适用于其部门。

如果这还不够复杂,那么保险行业的另一个难题是,谁能真正把它卖出去。

在美国,销售保险并不喜欢在销售销售销售销售销售保险的使用历史记录需要许可证,并且根据销售的保险类型,有不同类型的许可证。例如,在加利福尼亚州,有销售人寿保险,财产和伤亡保险以及事故和健康保险的许可证。

获得许可的要求也与国家不同。例如,在格鲁吉亚,夏威夷和爱达荷州,“被许可人” - 谁是获得许可所需的人 - 必须得到指纹,而印第安纳州,堪萨斯州和内布拉斯加州也不是真实。预审培训所需的小时数也各不相同,从阿拉斯加的零时间到佛罗里达州的200小时,适用于想要出售物业和伤亡保险的人。

Jeffrey Taft, a partner at the law firm Mayer Brown who works in the firm’s financial services regulatory and enforcement group and its cybersecurity and data privacy practice, said that, for decades, insurance companies have simply put up with the state-by-state regulations. But, Taft added, these companies can rely on the help of a group called the National Association of Insurance Commissioners (NAIC) to make sure that every state law comes from an agreed-upon place.

“从历史上看,每个国家都有自己的保险部门,每个州都有自己的保险部门,如果他们是国家的业务,每个保险公司都必须处理50个州,”Taft说。“这有点繁琐,正如你可能想象的那样,但Naic试图让它成为使国家法律一致的更精简的过程。”

北约至1871年的尼亚(尤利西斯S. Grant是总统),是50个州,加上华盛顿特区和五个美国领土的首席保险监管机构协会。监管机构经常合作,共同努力,建立标准和最佳实践,并写出所谓的“模型法”,这基本上是本集团为个人国家发布和离开的立法草案,因为他们选择的个人国家采用。

这些模式法往往涉及保险业的某种需要或威胁,从军事销售实践到内部交易公司治理披露。

2014年,需要是网络安全。That year, the NAIC Executive Committee established a “Cybersecurity Task Force” to review the association’s current model laws that touched on information security and consumer privacy protections, and to make a call on how to best address cybersecurity concerns through the association’s own model law process.

珍妮弗Mcadam,Naic的高级法律顾问说,由于各种重要的私人数据,保险公司收集,网络安全是一个最重要的问题。

“对于NAIC成员来说,重要的是要解决关于网络安全的独特问题保险公司,”Mcadam说。“保险公司收集敏感的消费者数据,包括社会安全号码,财务账户信息和医疗保健数据。因为他们收集并维持这种数据,因此保险公司处于违约的风险。“

一年后,这种风险变成了不可避免的现实。

Anthem数据泄露和保险数据安全示范法

2015年2月4日,健康保险公司Anthem披露,黑客偷了3750万人的记录。名称,生日,社会安全号码,物理和电子邮件地址,医疗ID和就业和收入信息都是在袭击中收获的.二十天后,国歌重新调整了受害者估计。它不是3750万,而7880万。

2016年,在继续开展网络安全工作的同时,NAIC工作组开始起草《保险数据安全示范法》。

麦克达姆说:“在国歌披露其巨大的医疗保健数据泄露后,起草了一年。”“随着来自全国各地的保险专员合作解决了国歌违约,他们开始讨论什么样的模型立法将在未来类似的违规事件中帮助他们更好地履行工作。”

模型法占草案18个月,在此期间,共享六个版本并打开,以评论约30-45天。

麦克亚当说,在收到对示范法第二版的评论后,确定了六个优先事项:

  1. 国家的统一和法律的排他性
  2. 受当前联邦信息安全法律约束的许可方的潜在豁免
  3. 是否在“数据泄露”的定义中包括“危害触发”
  4. “个人信息”的定义
  5. 更小保险许可证的数据保护要求的可扩展性
  6. 能够访问被许可人持有的一些数据的第三方服务提供商的监督

从2016年11月开始,一名较小的“牵引集团” - 其中包括七个国家的监管机构,来自一个消费者集团的代表,来自康涅狄格大学的一名代表,康涅狄格大学的法律教授 - 开始熨烫这六个优先事项。

2017年2月,起草小组发现了寻求纽约的帮助。那个月,纽约金融服务部发布了自己的网络安全规则,称为NYDFS网络安全监管

纽约法规解决了NAIC起草小组即将解决的一些问题,包括何时以及如何通知消费者数据泄露,以及需要保护何种类型的信息,NYDFS法规将其称为“非公开信息”。

在实施了纽约法规的一些想法后,《保险数据安全示范法》形成了一个具体的框架。

模型法,在最终版本中,要求被许可方保护“非公共信息”,这是指属于消费者的任何信息,由于其“姓名、数字、个人标记或其他标识符”,与消费者的其他部分数据(包括社会保险号、驾照号码、信用卡或借记卡号码,以及任何允许访问消费者金融账户的安全码、访问码或密码,以及他们的生物识别记录。

授权许可人的模型法授权履行风险评估,以确定如何最能保护其非公共信息。在风险评估之后,被许可人应使用他们学会的内容,这些内容在“信息安全计划”上,该授权涉及行政,技术和物理保障,以保护非公开信息。被许可人可以从各种措施中挑选保护非公共信息,从谁获取谁可以访问该信息,使用加密,使用多因素身份验证来开发安全处理非公共信息的程序。

虽然上述缓解和保护方法只是建议,但示范法要求被许可方为其员工提供网络安全意识培训,并“随时了解新出现的威胁或漏洞”。

保险许可人还必须在雇用可以访问保险许可证的非公开信息的第三方服务提供商时练习“尽职调查”。

此外,示范法还对已经受《公约》约束的公司作出了例外规定健康保险便携性和问责法(HIPAA)

2017年10月,全面的NAIC会员和全体会议通过了保险数据安全模式法。

该模型法立即热烈地受到几个国家。

各国采取行动

2018年1月23日,两名南卡罗来纳州议员介绍了南卡罗来纳州保险数据安全法案进入州的代表家。4月,国家参议院一致投票赞成法律,并于5月3日,总督亨利麦克马斯特签署法案使之成为法律

俄亥俄州采用其保险数据安全法2018年12月19日。密歇根州九天之后又是这样吗在这一立法过程中,几家保险行业协会(它们都代表将受新法规约束的企业)表示支持该法案。事实上,密歇根的法案收到了没有行业团体反对;只有保险和金融服务部门表示反对,他们“关切地”作证,但没有反对意见。

密西西比州州长于2019年4月3日签署了该州的保险数据安全法,此前该州参议院一致通过了该法案。从7月26日到8月2日,康涅狄格州特拉华州和新罕布什尔州通过了自己的保险数据安全法。

国家法律的不同方式不同,但除了康涅狄格法外,所有这些都是直接在NAIC保险数据安全模式法之后进行建模的。相反,康涅狄格州在纽约金融服务监管部门后建模了其法律。

关心在外面(保险)?

NAIC的模型法,同时成功,是一种独一无二的框架的产品。由于可靠的审判案件,翻阅开关如何监管保险,国会决定通过法律以保护其始终受到各国的途径。

因为这些州都有一个保险部门和选举出来的保险专员,这些专员可以一起起草法律,然后提交给他们的州立法机构。由于起草过程中涉及到行业内部人士,这些内部人士基于自己的想法反对法案的情况很少。

所有这些成分,这一次增加了一个行业的更好的数据安全法律。不幸的是,这些相同的成分不能加以在美国进行全面的数据隐私法。

如果说有什么不同的话,那就是隐私倡导者可能会对大型科技公司内部人士合作起草一份监管他们自己活动的法案的想法感到犹豫。

事实上,这种过程已经发生了。本月早些时候,美国的一些最大的公司发表了一个框架,以便在联邦消费者隐私法中看到他们想要看到的内容。在他们的建议中包含的提案是没有私人可以侵犯未来法律的提案。

如何预测。谁想打赌国会是否会一致通过这样一项法案呢?

因此,虽然创建和通过保险数据的模式隐私和网络安全法导致各国采取一致的框架,但立法者无法遵守其他行业的同一流程。相反,他们可能会考虑使用不同的模型法,的GDPR,为联邦数据隐私法规提供框架。

在那之前,预计其他任何州都将针对其他行业通过更多的数据隐私和网络安全法律。