Образовательный ресурс по штату Вашингтон

Уведомление об утечке данных в штате Вашингтон: практическое руководство

Статут штата Вашингтон об уведомлении об утечке данных для частных лиц, Chapter 19.255 RCW, требует, чтобы любое лицо или бизнес, которое владеет или лицензирует компьютеризированную персональную информацию о резидентах штата Вашингтон, раскрывало факт утечки данных (data breach) системы безопасности затронутым резидентам и во многих случаях Генеральному прокурору (Attorney General) штата Вашингтон. Это руководство разбирает определения, безопасную зону при шифровании, сроки уведомления потребителей и AG, вопросы вендоров и SaaS, а также то, как режим штата Вашингтон сравнивается с режимом уведомления в Калифорнии. Это образовательный ресурс, а не юридическая консультация по праву штата Вашингтон.

Последняя юридическая проверка: 2026-05-17. Ссылки сверены с Chapter 19.255 RCW и RCW 19.255.010.

Краткий ответ

Если незашифрованная персональная информация резидентов штата Вашингтон была получена неуполномоченным лицом, оператор, который владел или лицензировал данные, должен уведомить затронутых резидентов штата Вашингтон, и, если утечка затрагивает более 500 резидентов штата Вашингтон, также уведомить Attorney General штата Вашингтон не позднее чем через 30 дней после обнаружения утечки. Существует определённая безопасная зона при шифровании и определённый порядок для утечек, когда оператор был вендором или обработчиком, а не владельцем данных.

Цель статута

Законодательный орган изложил политическую причину статута прямо: Attorney General должен получать уведомление об утечках, чтобы можно было принять соответствующие меры для защиты потребителей, а потребители, чья персональная информация была поставлена под угрозу, должны получать информацию, необходимую для защиты финансовых счетов и минимизации ущерба от кражи личности. Эта цель является той призмой, через которую следует рассматривать любой сложный случай.

Что считается персональной информацией

"Personal information" по RCW 19.255.010, по сути, представляет собой имя или инициал имени и фамилию резидента штата Вашингтон в сочетании с одним или несколькими определёнными элементами данных, которые не зашифрованы или иным образом не защищены. Категории элементов данных включают (без дословной перепечатки статута здесь, поскольку список со временем изменялся и текущий действующий текст имеет приоритет):

Номера социального страхования.
Номера водительских удостоверений или идентификационных карт штата Вашингтон.
Номера счетов, кредитных или дебетовых карт в сочетании с любым требуемым кодом безопасности, кодом доступа или паролем.
Полная дата рождения.
Закрытый ключ, уникально используемый для аутентификации или подписания электронной записи.
Студенческие, военные или паспортные идентификационные номера.
Номера или идентификаторы полиса медицинского страхования.
Медицинская информация, включая историю или состояние.
Биометрические данные, генерируемые автоматическими измерениями биологических характеристик человека.
Имя пользователя или адрес электронной почты в сочетании с паролем или контрольным вопросом и ответом.

Прочитайте текущий перечень в статуте по адресу RCW 19.255.010, прежде чем решать, что является или не является персональной информацией в конкретном инциденте; приведённые выше категории - это рабочая сводка, а не замена статута.

Что считается утечкой безопасности системы

Статут определяет "breach of the security of the system" через ссылку на несанкционированное получение компьютеризированных данных, которое нарушает безопасность, конфиденциальность или целостность персональной информации. Стандарт - это получение, а не просто экспозиция: неправильно настроенная база данных, к которой никогда не обращалось неуполномоченное лицо и которая, как может подтвердить оператор, не была получена, автоматически не является утечкой для целей уведомления. Тем не менее, бремя доказательства того, что данные фактически не были получены, обычно лежит на операторе. Криминалистическое расследование имеет значение.

Безопасная зона при шифровании

Обязательства по уведомлению возникают только тогда, когда персональная информация получена в незашифрованной или иным образом незащищённой форме. Зашифрованные данные, полученные без соответствующего ключа расшифровки, пароля или иных средств для приведения данных в читаемый вид, сами по себе не вызывают обязательства по уведомлению. Персональная информация должна быть раскрыта, если данные не были защищены во время утечки, или если конфиденциальный процесс, ключ шифрования или иные средства расшифровки защищённой информации были получены неуполномоченным лицом одновременно.

Практический урок: шифрование - это реальная защита, но только сквозная. Если злоумышленник забрал базу данных и хранилище секретов, безопасная зона при шифровании не применяется.

Сроки уведомления

Уведомление потребителей

Уведомление затронутых резидентов штата Вашингтон должно быть сделано в самые быстрые сроки и без необоснованной задержки, не позднее чем через 30 календарных дней после обнаружения утечки, с учётом законных потребностей правоохранительных органов и времени, разумно необходимого для определения объёма и восстановления разумной целостности системы.

Уведомление Attorney General

Если одна утечка затрагивает более 500 резидентов штата Вашингтон, оператор также должен уведомить Attorney General штата Вашингтон. Статут устанавливает срок уведомления AG прямо:

"[Any person or business required to issue notice to more than five hundred Washington residents as a result of a single breach] shall notify the attorney general of the breach no more than thirty days after the breach was discovered." (paraphrasing RCW 19.255.010)

Уведомление AG имеет определённые требования к содержанию (количество затронутых резидентов штата Вашингтон, типы вовлечённой персональной информации, временные рамки, описание утечки, шаги, предпринятые для её сдерживания, контактная информация). Уведомление AG должно обновляться, если какая-либо требуемая информация неизвестна на момент срока подачи.

Содержание уведомления потребителей

Установленное законом содержание уведомления потребителей включает бесплатные телефонные номера и адреса агентств кредитной отчётности и Federal Trade Commission, описание персональной информации, которая была или, как разумно полагают, была получена, временные рамки, контактную информацию и рекомендуемые шаги для защиты от кражи личности и оспаривания мошеннических операций.

Вопросы вендоров и SaaS

Это часть статута, наиболее актуальная для операторов SaaS. Если оператор лицензирует или обрабатывает персональную информацию, которой он не владеет, обязательство оператора возникает перед владельцем или лицензиатом информации, а не напрямую перед затронутыми резидентами. Обработчик должен немедленно уведомить владельца после обнаружения, и затем владелец несёт обязательства по уведомлению потребителей и AG.

Это распределение в статуте не совпадает с распределением в договоре. SaaS DPA обычно распределяют обязательства по утечке между клиентом и вендором, включая:

Срок уведомления вендором клиента (часто короче статутного срока, чтобы дать клиенту время на соблюдение).
Кто отвечает за рассылку уведомлений потребителям и управление уведомлением AG: вендор или клиент.
Распределение расходов на криминалистическое расследование, мониторинг кредитной истории, колл-центр и рассылку уведомлений.
Объём гарантий возмещения, включая то, входят ли расходы на реагирование на утечку в установленный договором предел ответственности или выходят за его пределы.

Скажу прямо: SaaS-провайдер, который не согласовал с корпоративными клиентами формулировки о распределении обязательств при утечке, принимает значительный риск. Реагирование на утечку обходится дорого. Общие взаимные гарантии возмещения почти никогда не дают того результата, который реально нужен каждой из сторон в реальном инциденте.

Сравнение с режимом уведомления об утечке данных в Калифорнии

California Civil Code Sections 1798.29 and 1798.82. Калифорния требует уведомления затронутых резидентов Калифорнии и, во многих утечках, уведомления California Attorney General, когда утечка затрагивает более 500 резидентов Калифорнии. Определение персональной информации в Калифорнии похоже, но не идентично определению в штате Вашингтон, включая категорийно-специфические положения для медицинской информации по Confidentiality of Medical Information Act (CMIA) и для чувствительной персональной информации по CPRA. Калифорния требует, чтобы образцы уведомлений подавались в AG.

Washington Chapter 19.255 RCW. Штат Вашингтон требует уведомления потребителей не позднее чем через 30 дней после обнаружения (с учётом задержки правоохранительными органами) и уведомления AG для утечек, затрагивающих более 500 резидентов штата Вашингтон, в течение того же 30-дневного окна. Категории персональной информации пересекаются с калифорнийскими, но юридически отличаются.

Практическое следствие. Большинству операторов SaaS, обслуживающих оба штата, нужен единый план реагирования на инциденты, который по умолчанию следует самому строгому применимому стандарту. План должен производить подачу в Washington AG, подачу в California AG, уведомления потребителей в обоих штатах и любые HIPAA или секторально-специфические уведомления на параллельных временных линиях.

Договорное распределение обязательств по утечке

Условия обслуживания SaaS и приложения по обработке данных обычно распределяют обязательства по утечке между оператором и клиентом. Положения, которые наиболее важно правильно проработать:

Определение "Security Incident" и триггер, который активирует обязательства вендора.
Срок уведомления вендором клиента (часто 24, 48 или 72 часа с момента обнаружения).
Требуемое содержание уведомления вендора клиенту (что было получено, когда, объём, сдерживание).
Полномочия и ответственность за криминалистическое расследование, включая обязанности сотрудничества и доступ к журналам.
Распределение расходов на услуги по реагированию на утечку (криминалистика, юридическая проверка, уведомление потребителей, мониторинг кредитной истории, регуляторные подачи).
Исключения из установленного договором предела ответственности для расходов, связанных с утечкой, там, где они существуют.
Требования по гарантиям возмещения и страхованию (кибер и tech E&O).

Юридическое преимущество штата Вашингтон

Два факта о Chapter 19.255 RCW имеют наибольший практический вес. Во-первых, триггер уведомления AG фиксирован на более чем 500 резидентов штата Вашингтон в одной утечке с жёстким 30-дневным окном с момента обнаружения; этот срок является контролирующим для большинства многоштатных утечек, поскольку обязательство уведомить потребителей идёт параллельно. Во-вторых, безопасная зона при шифровании бинарна: зашифровано плюс защищено ключом - безопасно; всё остальное попадает под действие. План реагирования на утечку, откалиброванный по этим двум фактам, существенно полезнее общего шаблона реагирования на инциденты, который относится ко всем штатам одинаково.

Контрольный список готовности к реагированию на инциденты

Письменный план реагирования на инциденты с назначенными ролями (исполнительный спонсор, руководитель безопасности, юридический руководитель, руководитель коммуникаций, внешний адвокат, внешняя криминалистика).
Инвентаризация данных, показывающая, где находится персональная информация резидентов штата Вашингтон.
Политика шифрования и управления ключами, поддерживающая статутную безопасную зону.
Журналирование и криминалистическая готовность, достаточные для определения получения, а не просто экспозиции.
Инвентаризация вендоров и обработчиков с SLA по уведомлению об утечке в каждом договоре.
Шаблон подачи AG, уведомления потребителей и уведомления клиента, заранее согласованные с адвокатом.
Кабинетные учения как минимум ежегодно.
Киберстрахование с покрытием реагирования на утечку и заранее выбранным breach coach.

Когда участие адвоката имеет значение

Для рутинной утечки (несколько десятков затронутых резидентов, получен и восстановлен зашифрованный снимок резервной копии, уведомление AG не требуется) хорошо подготовленная внутренняя команда обычно может вести реагирование с лёгкой юридической проверкой.

Участие адвоката оправдывает свою стоимость, по моему наблюдению, в следующих случаях:

Утечки, пересекающие порог уведомления AG в 500 резидентов в каком-либо одном штате.
Утечки, затрагивающие медицинскую информацию, биометрические данные или данные детей.
Утечки, в которых вендор и клиент спорят о том, кто отвечает за реагирование.
Утечки с потенциальной параллельной регуляторной экспозицией (HIPAA, GLBA, отчётность SEC, FTC).
Любая утечка, где желательна адвокатская тайна над расследованием, что относится к большинству из них.

Пакеты услуг

Проверка политики конфиденциальности. Существующая политика конфиденциальности проверяется на соответствие ожиданиям штата Вашингтон, Калифорнии и федеральных норм, включая раскрытие информации об уведомлении об утечке. Типичный гонорар: $500.

Меморандум о реагировании на утечку данных. Письменный юридический анализ конкретного инцидента: объём обязательств по уведомлению по статутам штата Вашингтон и другим применимым статутам штатов, рекомендуемые сроки, содержание уведомлений, распределение между вендором и клиентом. Типичный гонорар: $900.

Пакет писем по реагированию на инцидент. Шаблоны уведомления потребителей, уведомления AG и уведомления клиента, составленные применительно к конкретному инциденту, плюс подача в регулятор. Типичный гонорар: $1,500.

Связанные ресурсы

По составлению условий SaaS см. моё Руководство по условиям SaaS штата Вашингтон. По калифорнийским аналогам по приватности и утечкам см. California Privacy Hub. Для большего контекста см. хаб бизнес-права штата Вашингтон.

Связанные ресурсы по утечке данных и приватности в штате Вашингтон

Сопутствующие образовательные страницы по реагированию на утечку данных в штате Вашингтон, распределению ответственности вендора и потребительским средствам защиты по Chapter 19.255 RCW, My Health My Data Act (MHMDA, Ch. 19.373 RCW) и Consumer Protection Act (Ch. 19.86 RCW):

Контрольный список уведомления об утечке данных в штате Вашингтон. 30-дневная временная линия Ch. 19.255 RCW, сведённая к рабочему контрольному списку (инвентаризация данных, безопасная зона при шифровании, содержание уведомления потребителей, триггеры подачи AG).
План реагирования на утечку данных в штате Вашингтон. Построение пособия: назначенные роли, сохранение доказательств, координация с вендорами, параллельные сроки в Калифорнии и штате Вашингтон.
Адвокатская проверка утечки данных в штате Вашингтон. На что я обращаю внимание при проверке позиции по утечке в штате Вашингтон перед подачей уведомления AG.
Проверка уведомления об утечке данных SaaS в штате Вашингтон. Распределение между владельцем и обработчиком по Ch. 19.255 RCW и договорный слой, который контролирует на практике.
Проверка договора об инциденте с данными вендора в штате Вашингтон. Распределение расходов по DPA, возмещение и исключения из предела ответственности, которые имеют значение, когда приходит счёт.
Меморандум о реагировании на инцидент приватности в штате Вашингтон. Объём, позиция по риску и рекомендуемые действия в формате письменного меморандума.
Право приватности штата Вашингтон для SaaS-компаний. Карта для оператора по уведомлению об утечке, MHMDA и экспозиции CPA.
Претензионное письмо по утечке данных в штате Вашингтон. Претензионное письмо со стороны потребителя по нарушениям уведомления по Ch. 19.255 RCW с обрамлением CPA.
Претензионное письмо по краже личности через утечку данных в штате Вашингтон. Количественная оценка реального ущерба, когда утечка в штате Вашингтон приводит к ущербу от кражи личности.
Претензионное письмо о нарушении приватности в штате Вашингтон. Общие нарушения приватности и путь CPA для случаев раскрытия без утечки.
Претензионное письмо о несанкционированном раскрытии персональной информации в штате Вашингтон. Шаблон письма для случаев, когда персональная информация была раскрыта без разрешения, но вне определения утечки по Ch. 19.255 RCW.
Проверка сроков уведомления об утечке данных в штате Вашингтон. Интерактивный инструмент проверки сроков относительно 30-дневного окна Ch. 19.255 RCW.

Только образовательный контент. Сергей Токмаков - адвокат в Калифорнии (CA Bar #279869), в настоящее время добивающийся допуска в коллегию адвокатов штата Вашингтон. Эта страница не создаёт отношений адвокат-клиент и не является юридической консультацией по праву штата Вашингтон.

Адвокатская реклама. Сергей Токмаков лицензирован в Калифорнии (CA Bar #279869); заявление о допуске к практике в штате Вашингтон находится на рассмотрении. Эти страницы предоставляют общую юридическую информацию и платную проверку документов или проверку соответствия по делам штата Вашингтон. Я не выступаю в судах штата Вашингтон и не представляюсь как адвокат штата Вашингтон. Для подачи документов в суды штата Вашингтон, представительства или судебного процесса я координирую работу с квалифицированным адвокатом штата Вашингтон. Работа начинается только после проверки конфликта интересов и подписанного соглашения об оказании юридических услуг.