欧洲新制定的这项规则被称为通用数据保护条例(GDPR),它将在明年 5 月份生效。GDPR 条例规定了公司存储用户数据的方式,并且要求它们在漏洞出现后的 72 小时内通知当局。如果公司不执行,它们将被罚款 4% 的全球税收或者 2 千万欧元,两者选取最高额。然而,拥有欧洲用户信息的所有美国公司也必须遵循这一规定。
全球安全公司 RSA 的董事长 Rohit Ghai 称:“这一新规为公司赋予了责任,让其了解它们应当如何管理消费者的数据并且关注用户隐私 ”。由于 Equifax 公司遭受的网络攻击致使 1.43 亿人的信息受到影响,美国是否需要建立某种规定的问题再一次被人们提出。网络威胁联盟主席 Daniel 声称:“ Equifax 就是一家主营数据管理的大公司,但是它的工作似乎做的让人并不满意。我们会希望拥有敏感数据的那些公司实现高标准的网络安全防护,但是我们并不清楚不同行业的关注标准。”
美国众议院的 James Langevin 在 2015 年引进了一项法案,呼吁公司在发现漏洞的 30 天内报告。除此之外,如果受影响人数超过 5000,公司应当通知消费者和主流媒体。Ghai 称:“在美国,在过去几年里已经形成了大量的管理重担,因此从商业环境的角度来说我们的管控太严了”。美国国土安全部前网络安全副部长,vArmour 公司首席网络专家 Mark Weatherford 称:“我宁愿看到市场主动行动,而不是借助规范强迫我们进行,因为那样总会出现意外结果。在美国我们拥有牛仔的历史和精神,我们想要自己做事,而不是依赖于硬性规定。但是我担心我们已经到了必须做出反应的时刻了,很明显我们做的并不足够。”
