SB 1386, auch bekannt als Security Breach Law, ist ein kalifornisches Gesetz, das die Benachrichtigung von Kunden über Sicherheitsverletzungen regelt, die ein Risiko für die Sicherheit privater Informationen darstellen. Das Gesetz von 2003 ist ein wegweisendes Gesetz, das frühere Gesetze geändert hat, um die zunehmende Zahl des computergestützten Identitätsdiebstahls zu bekämpfen. SB 1386 macht jedes Unternehmen, das private Informationen wie Kontonummern oder Führerscheinnummern anfordert oder verwaltet, gesetzlich dazu verpflichtet, Einwohner Kaliforniens über jede Sicherheitsverletzung zu informieren, die ein angemessenes Risiko für personenbezogene Daten darstellt.
Das Ziel des SB 1386 besteht teilweise darin, sicherzustellen, dass Unternehmen angemessene Vorkehrungen zum Schutz privater Daten treffen. Genauso wie eine Person keine Wertsachen in einen Tresor eines Unternehmens legen würde, das für schlechte Schlösser bekannt ist, sollte eine Person auch keine wichtigen persönlichen Daten in die Hände eines Unternehmens geben, das keine fairen Maßnahmen ergreift, um sicherzustellen, dass sie nicht gestohlen und verwendet werden können Identitätsdiebstahl person. Kritiker weisen darauf hin, dass das Gesetz von Opfern, also den Unternehmen, zu Unrecht verlangt, dass ein Verbrechen wie Hackerangriffe öffentlich bekannt gegeben wird. Befürworter hingegen behaupten, dass die wahren Opfer diejenigen sind, deren Daten kompromittiert wurden, und dass das Gesetz Unternehmen daran hindert, ihren Ruf zu wahren, indem Sicherheitsverletzungen verschleiert werden, die die Sicherheit von Mitarbeitern oder Kunden gefährden.
Obwohl Identitätsdiebstahl seit langem ein kriminelles Element ist, bietet die Anonymität des Internets Dieben eine viel größere Möglichkeit, gestohlene persönliche Daten zu nutzen. Das Gesetz wurde als Reaktion auf Studien der Strafverfolgungsbehörden geschaffen, die einen deutlichen Anstieg der Zahl der Identitätsdiebstähle feststellten, seit die Verwendung computergestützter, über das Internet zugänglicher Datenbanken populär wurde. Indem Unternehmen für die Sicherheit von Mitarbeiter- oder Kundendaten verantwortlich gemacht wurden, hat SB 1386 einen großen Schritt zur Änderung des Konzepts des Wertes personenbezogener Daten getan.
SB 1386 verlangt insbesondere, dass drei Arten von Unternehmen Kunden schnell über einen Verstoß informieren: Unternehmen, die Mitarbeiter oder Kunden in Kalifornien haben, ausgelagerte Unternehmen, die mit Mitarbeitern oder Kunden in Kalifornien zusammenarbeiten, oder solche, die computergestützte Informationen über Einwohner Kaliforniens sammeln und aufbewahren. Das Gesetz umfasst das Verhalten aller Organisationen, einschließlich privater Unternehmen, Schulen und öffentlicher Ämter.
Ein Verstoß muss gemeldet werden, wenn der begründete Verdacht besteht, dass Informationen kompromittiert wurden. Zu den meldepflichtigen Informationen gehören der Vor- und Nachname oder der Vor- und Nachname eines Kunden oder Mitarbeiters in Kombination mit personenbezogenen Daten wie Führerschein, Sozialversicherungskarte, Bankkontonummer, Kredit- oder Debitkarteninformationen oder Sicherheitspasswörter . Bei Verdacht auf einen Verstoß muss jede Person mit Datenbankeintrag umgehend per E-Mail, Telefon, Brief oder auffälliger Post auf der Unternehmenswebsite benachrichtigt werden. Die Nichteinhaltung von SB 1386 kann zu einer Zivilklage führen.