SB 1386, joka tunnetaan myös nimellä Security Breach Law, on Kalifornian laki, joka säätelee asiakkaiden ilmoittamista tietoturvaloukkauksista, jotka aiheuttavat riskin yksityisten tietojen turvallisuudelle. Vuoden 2003 laki on merkittävä laki, joka muutti aikaisempia lakeja yrittäessään torjua lisääntyvää tietokoneistettua identiteettivarkautta. SB 1386 velvoittaa kaikki yritykset, jotka pyytävät tai ylläpitävät yksityisiä tietoja, kuten tilinumeroita tai ajokorttinumeroita, ilmoittamaan Kalifornian asukkaille kaikista tietoturvaloukkauksista, jotka aiheuttavat kohtuullisen riskin henkilötiedoille.
SB 1386:n tavoitteena on osittain varmistaa, että yritykset ryhtyvät asianmukaisiin varotoimiin henkilötietojen suojaamisessa. Aivan kuten henkilö ei laittaisi arvoesineitä huonoista lukoistaan tunnetun yrityksen kassakaappiin, ei myöskään henkilön pitäisi antaa tärkeitä henkilötietoja sellaisen yrityksen käsiin, joka ei ryhdy oikeudenmukaisiin toimenpiteisiin varmistaakseen, ettei niitä voida varastaa ja käyttää identiteettivarkaus henkilö. Kriitikot ehdottavat, että laki vaatii epäoikeudenmukaisesti hakkeroinnin kaltaisten rikosten uhreja, eli yrityksiä, ilmoittamaan julkisesti uhriksi joutumisestaan. Kannattajat puolestaan ehdottavat, että todellisia uhreja ovat ne, joiden tiedot ovat vaarantuneet, ja että laki estää yrityksiä säilyttämästä mainettaan salaamalla tietoturvaloukkauksia, jotka vaarantavat työntekijöiden tai asiakkaiden turvallisuuden.
Vaikka identiteettivarkaus on pitkään ollut rikollinen elementti, Internetin anonyymiys on antanut varkaille paljon paremmat mahdollisuudet hyödyntää varastettuja henkilötietoja. Laki luotiin vastauksena lainvalvontatutkimuksiin, joissa identiteettivarkauksien määrä lisääntyi huomattavasti sen jälkeen, kun tietokoneistettujen, Internetiin käytettävien tietokantojen käyttö tuli suosituksi. SB 1386 otti suuren askeleen henkilötietojen arvon käsitteen muuttamisessa tekemällä yritykset vastuullisiksi työntekijöiden tai asiakkaiden tietojen turvallisuudesta.
SB 1386 edellyttää erityisesti, että kolmen tyyppiset yritykset ilmoittavat nopeasti asiakkaille rikkomuksesta: ne, joilla on työntekijöitä tai asiakkaita Kaliforniassa, ulkoistetut yritykset, jotka työskentelevät työntekijöiden tai asiakkaiden kanssa Kaliforniassa, tai yritykset, jotka keräävät ja säilyttävät tietokoneistettuja tietoja Kalifornian asukkaista. Laki kattaa kaikkien organisaatioiden käyttäytymisen, mukaan lukien yksityiset yritykset, koulut ja julkiset virastot.
Rikkomus edellyttää ilmoitusta, jos on perusteltua syytä uskoa, että tieto on saattanut vaarantua. Raportointiin oikeutettuja tietoja ovat jokaisen asiakkaan tai työntekijän etu- ja sukunimi tai etu- ja sukunimi sekä henkilötiedot, kuten ajokortti, sosiaaliturvakortti, pankkitilin numero, luotto- tai maksukortin tiedot tai turvasalasanat. . Jos epäillään rikkomusta, kenelle tahansa tietokantaan syötetylle henkilölle on ilmoitettava viipymättä sähköpostitse, puhelimitse, kirjeellä tai näkyvällä postilla yrityksen verkkosivuilla. SB 1386:n noudattamatta jättäminen voi johtaa siviilioikeuteen.