Το SB 1386, γνωστό και ως νόμος περί παραβίασης ασφάλειας, είναι νόμος της Καλιφόρνια που ρυθμίζει την ειδοποίηση πελατών για παραβιάσεις ασφάλειας που θέτουν σε κίνδυνο την ασφάλεια των προσωπικών πληροφοριών. Ο νόμος του 2003 είναι ένα νομοσχέδιο ορόσημο που τροποποίησε προηγούμενους νόμους σε μια προσπάθεια να καταπολεμήσει τα αυξανόμενα επίπεδα κλοπής ταυτότητας μέσω υπολογιστή. Το SB 1386 υποχρεώνει κάθε εταιρεία που ζητά ή διατηρεί ιδιωτικές πληροφορίες, όπως αριθμούς λογαριασμού ή αριθμούς άδειας οδήγησης, να ειδοποιεί τους κατοίκους της Καλιφόρνια για οποιαδήποτε παραβίαση ασφάλειας που ενέχει εύλογο κίνδυνο για τα προσωπικά δεδομένα.
Ο στόχος του SB 1386 είναι εν μέρει να διασφαλίσει ότι οι εταιρείες λαμβάνουν επαρκείς προφυλάξεις για την προστασία των προσωπικών δεδομένων. Ακριβώς όπως ένα άτομο δεν θα έβαζε τιμαλφή σε χρηματοκιβώτιο από μια εταιρεία που είναι γνωστή για τις κακές κλειδαριές, ούτε ένα άτομο θα έπρεπε να θέτει σημαντικά προσωπικά δεδομένα στα χέρια μιας επιχείρησης που δεν λαμβάνει δίκαια μέτρα για να διασφαλίσει ότι δεν μπορεί να κλαπεί και να χρησιμοποιηθεί για άτομο κλοπής ταυτότητας. Οι επικριτές προτείνουν ότι ο νόμος απαιτεί άδικα τα θύματα, δηλαδή οι επιχειρήσεις, ενός εγκλήματος όπως το hacking να ανακοινώνουν δημόσια τη θυματοποίησή τους. Οι υποστηρικτές, από την άλλη πλευρά, προτείνουν ότι τα αληθινά θύματα είναι εκείνα των οποίων τα δεδομένα έχουν παραβιαστεί και ότι ο νόμος εμποδίζει τις εταιρείες να διατηρήσουν τη φήμη τους αποκρύπτοντας παραβιάσεις ασφάλειας σε κίνδυνο για την ασφάλεια των εργαζομένων ή των πελατών.
Αν και η κλοπή ταυτότητας είναι από καιρό ένα εγκληματικό στοιχείο, η ανωνυμία του Διαδικτύου έχει δώσει στους κλέφτες πολύ μεγαλύτερη ευκαιρία να κάνουν χρήση των κλεμμένων προσωπικών δεδομένων. Ο νόμος δημιουργήθηκε ως απάντηση σε μελέτες επιβολής του νόμου που παρατήρησαν μια αξιοσημείωτη αύξηση στα επίπεδα κλοπής ταυτότητας από τότε που έγινε δημοφιλής η χρήση ηλεκτρονικών βάσεων δεδομένων, προσβάσιμων στο Διαδίκτυο. Καθιστώντας τις εταιρείες υπεύθυνες για την ασφάλεια των δεδομένων των εργαζομένων ή των πελατών, το SB 1386 έκανε ένα μεγάλο βήμα προς την αλλαγή της έννοιας της αξίας των προσωπικών δεδομένων.
Το SB 1386 απαιτεί συγκεκριμένα από τρεις τύπους εταιρειών να ενημερώνουν γρήγορα τους πελάτες για μια παραβίαση: αυτές που έχουν υπαλλήλους ή πελάτες στην Καλιφόρνια, εταιρείες που αναθέτουν σε εξωτερικούς συνεργάτες που συνεργάζονται με υπαλλήλους ή πελάτες στην Καλιφόρνια ή εκείνες που συλλέγουν και διατηρούν ηλεκτρονικές πληροφορίες για κατοίκους της Καλιφόρνια. Ο νόμος καλύπτει τη συμπεριφορά όλων των οργανισμών, συμπεριλαμβανομένων των ιδιωτικών επιχειρήσεων, των σχολείων και των δημόσιων γραφείων.
Μια παραβίαση απαιτεί αναφορά εάν υπάρχει εύλογη πεποίθηση ότι οι πληροφορίες μπορεί να έχουν παραβιαστεί. Οι πληροφορίες που πληρούν τις προϋποθέσεις για αναφορά περιλαμβάνουν το όνομα και το επώνυμο ή το αρχικό και το επώνυμο οποιουδήποτε πελάτη ή υπαλλήλου σε συνδυασμό με προσωπικά δεδομένα όπως άδεια οδήγησης, κάρτα κοινωνικής ασφάλισης, αριθμό τραπεζικού λογαριασμού, στοιχεία πιστωτικής ή χρεωστικής κάρτας ή κωδικούς ασφαλείας . Εάν υπάρχει υποψία παραβίασης, κάθε άτομο με καταχώριση βάσης δεδομένων πρέπει να ειδοποιηθεί αμέσως με email, τηλεφωνική κλήση, επιστολή ή εμφανή ανάρτηση στον ιστότοπο της εταιρείας. Η μη συμμόρφωση με το SB 1386 μπορεί να οδηγήσει σε αστική αγωγή.