قانون‌گذاران آمریکایی، در حال بررسی طرح پرداخت جریمه از سوی آژانس‌های اعتبارسنجی بدنبال وقوع نقض داده‌ از سوی آنها هستند. شرکت‌های مالی بزرگ و آژانس‌های اعتبارسنجی، طبق قوانین معرفی شده به‌وسیله گروهی از قانون‌گذاران دموکرات در کنگره ایالات‌متحده، ملزم به پرداخت جریمه برای نقض داده‌هایشان می‌شوند.

قانون پیشگیری و جبران خسارت نقض داده‌ها، با الهام از حجم انبوه نقض اطلاعات در حادثه هک شرکت «ایکویفکس»[1] طی سال 2017، در دستور کار قانون‌گذاران آمریکایی قرار گرفته است. بر اساس این طرح، شرکت‌هایی که مورد تهاجم سایبری قرار گرفته و داده‌هایشان نقض شده است، باید حداقل 100 دلار به ازای هر کاربری که تحت تاثیر این موضوع قرار گرفته است پرداخت کنند.

الیزابت وارِن، نماینده حزب دموکرات ماساچوست و یکی از حامیان اصلی این لایحه گفت که اگر این لایحه در زمان نقض ایکویفکس، تصویب می‌شد، این شرکت با جریمه‌ای حداقل 1.5 میلیارد دلاری مواجه می‌شد.

به عقیده بسیاری از کارشناسان، این لایحه برای محافظت از اطلاعات شخصی مشتریان در برابر نقض داده هااز سوی شرکت‌ها مطرح شده است. نقض ایکویفکس حدود 143 میلیون نفر از ساکنین ایالات‌متحده را تحت تأثیر قرار داد.

وارِن در بیانیه‌ای اعلام کرد: پس از معرفی لایحه به‌وسیله قانون‌گذاران، حامیان آن، گزارشی در مورد مشکلات مرتبط با نقض «ایکویفکس» منتشر کردند. بر اساس این گزارش، شمار شکایات مشتریان علیه شرکت از زمان وقوع این حادثه، رشد چشمگیری داشته است.

نماینده شرکت «اسنوفیک»[2]، ارائه‌دهنده سرویس‌های مخزن داده‌های ابری، به تازگی بیان کرده است که تعدادی از گروه‌های حفظ حریم خصوصی، از این قانون حمایت کرده اند و به نظر می‌رسد مردم آمریکا از جریمه برای نقض اطلاعات حمایت می‌کنند. طبق نظرسنجی انجام شده در ماه آوریل 2019، 63 درصد پاسخ‌دهندگان معتقدند که خسارات مالی مشتریان تحت تأثیر نقض اطلاعات از سوی شرکت جبران می‌شود و 62 درصد نیز گفته‌اند که شرکت مسئول نقض، باید ازلحاظ مالی مجازات شود.

برای برخی ناظران این سؤال پیش آمد که چرا این لایحه فقط آژانس‌های گزارشگری مالی و اعتبار سنجی را هدف قرار داده است. مایکل مگرات، مدیر مقررات و استانداردهای جهانی در «وان اسپن»[3]، افزود: گردآوران اطلاعات و دیگر شرکت‌هایی که داده‌های شخصی را ذخیره می‌کنند، باید در برابر امنیت دارایی پاسخگو باشند. با این وجود، جداسازی آژانس‌های گزارشگری مالی قطعاً توجهات را به خود جلب می‌کند.

دَن تاچلر، افسر ارشد بازاریابی در «سکیوریتی فرست»[4]، یکی دیگر از شرکت‌های فروشنده امنیت سایبری اظهار داشت: جریمه 1.5 میلیارد دلاری برای ایکویفکس می‌تواند شرکت را از گردونه تجارت خارج کند. آیا این کار به نفع مصرف‌کننده است؟ نویسندگان لایحه باید نگاه متفاوتی نسبت به سطح مجازات داشته باشند.

تاچلر افزود: از جریمه‌ها به عنوان انگیزه‌ای برای شرکت‌ها در حفظ جدی حریم خصوصی حمایت می‌کنم. با این حال، هنوز مشخص نیست که چرا قانون‌گذاران تصمیم به جداسازی آژانس‌های گزارشگری مالی گرفته‌اند. ما رویکردی وسیع‌تر و متفکرانه‌تر برای شرکت‌هایی داریم که تا به حال نقض نداشته‌اند.

ایکویفکس هنوز به اظهارنظرها در مورد این لایحه واکنش نشان نداده است؛ فرانسیس کریتون، مدیرعامل گروه تجاری انجمن صنعت داده‌های مشتری معتقد است که آژانس‌های یاد شده نباید به تنهایی جریمه شوند.

کریتون خاطرنشان کرد: ما می‌دانیم که نقش ویژه‌ای در اقتصاد داریم؛ اما جریمه‌های نقض داده باید روی تمام سازمان‌های نگهدارنده اطلاعات مشتریان اعمال شوند. این لایحه علاوه بر جریمه، یک اداره امنیت سایبری نیز در گروه تجارت فدرال ایجاد خواهد کرد و این اداره مجبور به انجام بازرسی‌های سالانه آژانس‌های گزارشگری مالی خواهد بود.

[1] – Equifax

[2] – Snowflake

[3] – OneSpan

[4] – SecurityFirst