Security 存储社会保障/保险号码(SSN/SINs)可能存在的法律问题?
使用我们系统的客户要求我们将最终用户的SSN/SIN存储在数据库中。目前,我们存储的用户信息很少(姓名、电子邮件地址和可选的国家/地区),因此我不太担心安全漏洞-但是,我怀疑存储SSN和不采取“适当”措施保护SSN可能存在法律问题(来自澳大利亚,这是我第一次遇到他们)。这是一个合理的担忧吗 我还在维基百科页面上读到关于SINs(加拿大相当于SSN)的内容,它只应该在绝对必要时使用,绝对不应该用作一般标识符或类似的东西Security 存储社会保障/保险号码(SSN/SINs)可能存在的法律问题?,security,Security,使用我们系统的客户要求我们将最终用户的SSN/SIN存储在数据库中。目前,我们存储的用户信息很少(姓名、电子邮件地址和可选的国家/地区),因此我不太担心安全漏洞-但是,我怀疑存储SSN和不采取“适当”措施保护SSN可能存在法律问题(来自澳大利亚,这是我第一次遇到他们)。这是一个合理的担忧吗 我还在维基百科页面上读到关于SINs(加拿大相当于SSN)的内容,它只应该在绝对必要时使用,绝对不应该用作一般标识符或类似的东西 那么,这类事情有没有潜在的法律问题?你有什么建议吗?美国有太多的组织使用SSN
那么,这类事情有没有潜在的法律问题?你有什么建议吗?美国有太多的组织使用SSN作为人们的唯一标识符,尽管这些SSN存在着大量的问题。除非您的应用程序实际上与政府福利有关,否则您没有理由存储SSN 鉴于如此多的组织(mis)使用它们来识别像信用检查这样的人,你真的需要小心使用它们。只需要某人的姓名、地址和SSN,就可以很容易地在他们的名下获得信用
法律问题是由于任何包含SSN的个人信息泄露而被起诉而被遗忘 基线建议是:
- 在用户使用您的站点/应用程序之前,通知用户您正在存储他们的SSN由于请求似乎是在事后收集信息,因此用户在登录或输入SSN之前应该有办法选择退出您的系统
- 出具法律担保,保证您不会提供、出售或以其他方式传播上述信息(当然,还包括他们的其他个人信息)
- 让他们选中一个复选框,说明他们了解您确实在存储他们的SSN
- 通过网络聘请精通法律事务的律师
- 如果是我,我会像躲避瘟疫一样避开它们,或者想出一些非常安全的方法来储存它们。此外(在任何程度上都不是法律专家,但…),如果你可以在某个地方写下,如果这一切泄露出去,你将不负任何责任。这里已经给出了一些好的警告
我要补充的是,说到SIN(加拿大的社会保险号码)代码,我相信SIN和SSN(换句话说,相同的号码,但两个不同的人/国家)之间可能会发生冲突。这并不奇怪,因为它们是独立的编目系统,但我可以想象一些数据输入可能倾向于将SIN粘贴到SSN字段中,反之亦然(以学院/大学的国际学生为例,DBA朋友告诉我,他看到了这种情况)
给定的信息系统可能被设计为不允许重复,无论哪种方式,您都可以看到为什么会出现混淆和数据完整性问题(使用SSN列作为唯一键?嗯)。SSN的有趣之处。。。创造它们的法律也明确规定了它们可以用于什么(基本上是税务记录、退休福利等)以及不允许用于什么——其他一切 因此,事实上,银行要求你的SSN开一个支票账户,你的ISP要求它高速上网,航空公司在允许你上飞机之前要求它,你当地的杂货店/酒吧保留一个由你的SSN存储的标签——这都是非法的。令人震惊,不是吗…
所有关于身份盗窃的胡说八道,以及由于一个单一的、不受保护的“秘密”可以“唯一地”识别你的身份(更不用说它有时被用作身份验证了),这是多么容易——根本不可能实现。至少,您希望确保SSN在没有某些保护的情况下永远不会通过电子邮件发送。我认为Excel中内置的“打开密码”在法律上已经足够了。我认为电子邮件是最薄弱的环节,至少在我的行业是这样 时不时会有一则新闻“笔记本电脑被盗:数千个SSN可能受损”。我非常担心它可能是我的笔记本电脑。我将所有包含SSN的文件放在PGP保护的虚拟驱动器中
你的数据库有很好的安全性,不是吗?若否,原因为何 从技术上讲,如果你要求这些信息,这意味着你要对它负责,因此如果它泄露出去,无论你是否有免责声明,你仍然可以被起诉,多年来,法律已经修改到几乎任何使用都是完全合法的。看这里:可能是这样,但它不应该是这样。事实仍然是,非机密仍然用作唯一标识,并且通常用作身份验证。这仍然是错误的。而且记录在案的是,它仍然只适用于“官方”用途,即政府、税收、许可证等。私人用途(如银行)仍然是被禁止的(据我所知)。@据我所知,银行被迫要求它用于两种税收(账户利息)还有9/11后关于了解客户的法律。这个问题适用于哪个国家?目前的答案并不适用于所有国家。适用于美国-但是如果你有不同国家的不同信息,请分享。