数据隐私和网络安全

数据泄露和隐私问题可能导致高昂计划外费用和业务中断,以及强制性执法行为和潜在诉讼。单是发生数据泄露就会对企业声誉造成重大损害。未采取充分措施(法律、运营和技术上)防范网络事件和准备应对这些事件的企业往往会将自身置于法律风险之中。

Archer 数据隐私和网络安全团队律师在提供数据隐私和网络安全服务方面采取多学科方法,利用来自事务所多个业务领域律师的专业知识,包括商业咨询、劳动和就业、医疗保健、诉讼、知识产权、商业法和交易以及政府事务。这种协作方式为客户提供各种事务的优质体验。

与客户内部或预留的数据安全和保险专业人员携手,我们帮助客户针对其隐私和数据安全问题制定具体解决方案,遵守法律和监管要求,形成其业务做法,以避免代价高昂和具有威胁性的法律和监管暴露并以最佳方式预防网络事件,并在客户遭受数据泄露或其他受法律保护或机密信息丢失的情况下最大限度减少暴露。

我们还管理调查过程、就法律通知和报告要求提供建议以及就个人或政府实体可能对客户提起的任何索赔或诉讼提供建议和抗辩意见,从而帮助客户应对网络事件或数据泄露。我们了解监管机构的期望、他们如何调查和执行数据保护问题,以及最适合客户取得积极成果的策略。

数据安全咨询和数据安全审计

我们团队就州、联邦和国际数据保护和隐私法向客户提供咨询。虽然每个企业在这方面都具有法律义务,但我们也提供有关行业特定法律和法规的咨询,其中包括支付卡行业数据安全标准 (PCI DSS)、格雷姆-里奇-比利雷法、健康保险携带和责任法 (HIPAA)、电子通信隐私法、儿童在线隐私保护法、公平信用报告法、联邦贸易委员会法和萨班斯-奥克斯利法案。在提供数据安全咨询时,我们会处理适用于单个企业的法律要求,并评估与每位客户业务和实践相关的法律风险。此外,我们还:

  • 管理网络风险评估和数据安全审计
  • 帮助制定事件响应计划
  • 监督“渗透测试”
  • 制定并记录解决隐私和信息安全问题的政策和程序,例如:
  • 数据管理(数据识别、分类、保留和销毁)
  • 业务连续性和灾难恢复
  • 监控(包括审计日志、系统事件、安全事件、人员和外部服务提供商)
  • 可移动媒体保护和限制
  • 杀毒/反恶意软件
  • 补丁/升级管理
  • 远程访问限制

健康保险携带和责任法案 (HIPAA) 咨询

我们协助涵盖的实体和商业伙伴客户,包括医疗保健提供商、商业保健计划、计费公司和自我保险的雇主保健计划,了解他们的 HIPAA 义务并满足 HIPAA 合规要求。我们为客户提供以下方面的协助:

  • 与安全顾问合作进行风险分析,并通过制定安全和风险管理计划来确定保护数据的最佳方法
  • 制定和实施 HIPAA 安全和隐私规则要求的 HIPAA 政策和程序
  • 确定 PHI 的允许使用和披露情况
  • 回应传票、法院命令和其他对 PHI 的要求
  • 调查潜在安全事件并进行风险分析,确定 HIPAA 违规通知规则以及适用州隐私法中规定的义务
  • 在员工未经许可使用和披露受保护健康信息 (PHI) 的情况下采取适当雇佣措施
  • 起草符合 HIPAA 的商业伙伴协议和授权
  • 回应传票、法院命令和其他对 PHI 的要求

数据泄露响应

我们律师在安全漏洞问题上与客户密切合作,并执行迅速有效的响应计划。如果不幸发生数据泄露事件,我们团队可帮助公司克服法律和实际障碍。我们在发生违规后协助客户的服务通常包括:

  • 向客户提供有关适用法律和所需回应的建议
  • 监督事件调查,包括:
  • 向政府机构报告,包括联邦调查局、美国特勤局、州检察长办公室和州警察局
  • 协调和监督客户、其外部数据安全专业人员和保险公司以及政府机构(联邦调查局、美国特勤局、州总检察长办公室、州警察局)之间的工作
  • 通知“受害者”
  • 提供有关数据备份、灾难恢复和/或数据恢复计划的法律建议
  • 就防止继续或将来获取、访问、使用或披露受到泄露的数据的步骤提供法律建议并进行记录

数据泄露诉讼

我们针对隐私信息所有者、信用卡公司、金融机构、金融服务公司、零售商、能源公司、政府机构、医疗保健提供商和制造商等提出的个人和集体诉讼数据泄露索赔提起诉讼。我们还代表企业弥补因他人所致数据泄露造成的损失,通常涉及与客户签约的供应商和其他实体未能满足适用法律和合同数据安全标准的情况。

我们的数据隐私和网络安全诉讼律师深入了解不断演变且往往相互矛盾的地方、国家和国际规则系列(控制着信息隐私法和网络安全法),以及关键数据存在的多种环境。这使他们能够对信息隐私法和网络安全法的挑战做出积极迅速的反应,帮助客户解决有关数据安全做法不适当或不充分的指控,或在必要时提出索赔。

此外,我们数据隐私和网络安全诉讼律师与 Archer 取证策略 (Archer Discovery Strategies) 团队密切合作,这是一个由公司律师、法律助理和技术人员组成的执业交叉团队,特别关注“电子取证”(eDiscovery),为客户和 Archer 诉讼律师提供其他领域解决方案,以便管理信息安全法和取证需求之间的交叉点。当受数据隐私法保护的信息与任何类型的诉讼相关且在取证过程中需要披露时,常常会遇到这类咨询。我们努力确保客户信息受到保护,并确保其他方受保护信息按照适用法律和取证协议安全进行传输和存储。

政府调查

公司回应政府对网络事件调查的方式可能会决定该公司能否在违规行为中幸存并继续照常营业。各级政府机构有权调查网络事件,不同法律具有不同报告要求和义务。政府调查通常要求企业提供有关其客户和员工的信息,以及其网络安全做法。企业经常被迫处理相互冲突的法律义务,这些法律义务因多项隐私和网络安全法律而产生。此外,对调查结果的评估可能导致建议采取行政行动或将案件提交法庭。企业必须确定何时以及如何配合所有政府调查,以及如何实现最佳配合。

根据数据泄露的性质,我们与客户合作,确定他们是否有义务向执法部门或联邦和州监管机构通报数据泄露事件,以及在有义务情况下客户应以何种方式配合由此产生的调查。

劳动就业咨询

我们提供劳动和就业咨询,帮助客户制定和实施反映其业务需求的隐私和信息安全政策。除了其他网络相关领域,我们还会审查并撰写有关以下内容的员工协议和政策:

  • 电子邮件和隐私政策
  • 行为准则
  • 密码
  • BYOD(自带设备)
  • 社交媒体
  • 商业机密、机密信息和知识产权
  • 合并和收购、合同咨询以及其他商业交易

重要数据问题出现在包括合并和收购在内的各种交易中,会使公司面临重大的网络安全风险。个人信息和数据是公司的战略资产,有关使用、分享或获取数据的问题可能会对公司业务产生长期影响。对于参与合并和收购过程的公司而言,评估安全风险对了解公司信息技术基础设施和运营风险以及与违规和数据丢失相关的安全风险非常重要。

我们就与合并、收购、剥离、重组、合资企业、战略联盟、外包、许可、软件、网站、应用程序开发协议和其他商业协议相关的数据安全和风险问题为客户提供咨询。我们协助客户起草含有网络安全要求的合同,以及涉及共享信息和系统访问的供应商合同。

对于涉及合同审查和起草的交易,我们解决以下问题:

  • 数据的所有权和许可
  • 受保护信息的定义
  • 最低安全保障
  • 安全合规性监督(客户审计、服务提供商审计、安全调查问卷)
  • 关于通知/披露安全漏洞或隐私相关合规问题的义务
  • 安全漏洞程序
  • 违规补救费用
  • 个人信息的返还/销毁
  • 涉及共享信息和系统访问的供应商/开发商/许可方合同
  • 保险范围、咨询和诉讼

网络保险旨在涵盖因网络攻击以及其他隐私和数据安全漏洞而造成的损失。这是公司网络风险管理计划的重要组成部分;然而,许多公司放弃可用政策,因为他们认为这些政策成本很高,对其中所涵盖的内容感到困惑,并对组织是否会遭受网络攻击存在不确定性。由于网络保险政策未标准化,并且不同行业有不同类型的风险,因此在考虑网络保险时确定组织风险的性质和程度非常重要。条款和除外责任可能因不同保险公司而异。网络保险单可承保第三方责任、第一方损失或两者兼有。

拥有保险还具备额外的感知价值。保险为组织的网络风险赋予美元价值,这对风险经理为网络安全制定预算非常有用。承保流程有助于识别和消除网络安全漏洞,并通过各类问卷提供重要的尽职调查。保险公司会对组织的行政、技术和物理控制进行第三方评估。许多网络政策带来补充价值,因为这些政策包括风险缓解工具、网络事件后的重要事件响应援助,以及将批准的供应商安排到位。

我们的团队在购买保险时向客户提供建议,以确保保单符合企业的特定需求。我们就适当的限制和次级限制提供建议,并将公司限制与实际风险敞口和组织风险容量相匹配。

国际数据隐私合规性

我们协助客户了解国际数据义务并满足各种司法管辖区的数据保护要求,包括可用的《欧盟数据保护通用条例》和《欧盟-美国隐私盾协议》。我们提供指导来帮助确定保护、处理和传输数据的最佳方法,并制定符合国际义务的数据管理计划。我们的团队为客户提供跨境取证方面的建议,包括获取位于国外的证据以及处理外国或国际诉讼各方的证据请求。