SB 1386, znana również jako ustawa o naruszeniu bezpieczeństwa, to prawo stanu Kalifornia, które reguluje powiadamianie klientów o naruszeniach bezpieczeństwa, które stanowią zagrożenie dla bezpieczeństwa informacji prywatnych. Ustawa z 2003 r. jest przełomowym aktem prawnym, który zmieniał wcześniejsze przepisy w celu walki z rosnącym poziomem skomputeryzowanej kradzieży tożsamości. SB 1386 nakłada na każdą firmę, która żąda lub przechowuje informacje prywatne, takie jak numery kont lub numery prawa jazdy, prawnie zobowiązana do powiadamiania mieszkańców Kalifornii o każdym naruszeniu bezpieczeństwa, które stanowi uzasadnione ryzyko dla danych osobowych.
Celem SB 1386 jest częściowo zapewnienie, że firmy podejmą odpowiednie środki ostrożności w celu ochrony prywatnych danych. Tak jak nikt nie wkładałby kosztowności do sejfu firmy znanej ze słabych zamków, tak samo osoba nie powinna umieszczać ważnych danych osobowych w rękach firmy, która nie stosuje uczciwych środków, aby zapewnić, że nie zostaną skradzione i wykorzystane do kradzież tożsamości osoby. Krytycy sugerują, że prawo niesprawiedliwie wymaga, aby ofiary przestępstwa takiego jak hakowanie publicznie ogłaszały swoją wiktymizację. Zwolennicy natomiast sugerują, że prawdziwymi ofiarami są osoby, których dane zostały naruszone, a prawo uniemożliwia firmom zachowanie ich reputacji poprzez ukrywanie naruszeń bezpieczeństwa zagrażających bezpieczeństwu pracowników lub klientów.
Chociaż kradzież tożsamości od dawna jest elementem przestępczym, anonimowość Internetu daje złodziejom znacznie większe możliwości wykorzystania skradzionych danych osobowych. Prawo powstało w odpowiedzi na badania organów ścigania, w których odnotowano wyraźny wzrost liczby kradzieży tożsamości od czasu upowszechnienia się korzystania z skomputeryzowanych, dostępnych w Internecie baz danych. Nakładając firmy odpowiedzialne za bezpieczeństwo danych pracowników lub klientów, SB 1386 zrobił duży krok w kierunku zmiany koncepcji wartości danych osobowych.
SB 1386 w szczególności wymaga, aby trzy rodzaje firm szybko informowały klientów o naruszeniu: te, które mają jakichkolwiek pracowników lub klientów w Kalifornii, firmy outsourcingowe, które współpracują z pracownikami lub klientami w Kalifornii, lub te, które gromadzą i przechowują jakiekolwiek skomputeryzowane informacje o mieszkańcach Kalifornii. Prawo obejmuje zachowanie wszystkich organizacji, w tym prywatnych firm, szkół i urzędów publicznych.
Naruszenie wymaga zgłoszenia, jeśli istnieje uzasadnione przekonanie, że informacje mogły zostać naruszone. Informacje kwalifikujące się do zgłoszenia obejmują imię i nazwisko lub inicjał imienia i nazwisko dowolnego klienta lub pracownika w połączeniu z danymi osobowymi, takimi jak prawo jazdy, karta ubezpieczenia społecznego, numer konta bankowego, informacje o karcie kredytowej lub debetowej albo hasła zabezpieczające . W przypadku podejrzenia naruszenia każda osoba mająca wpis do bazy danych musi zostać niezwłocznie powiadomiona pocztą elektroniczną, telefonicznie, listownie lub w widocznym miejscu na stronie internetowej firmy. Nieprzestrzeganie SB 1386 może skutkować pozwem cywilnym.