SB 1386, također poznat kao Zakon o kršenju sigurnosti, kalifornijski je zakon koji regulira obavještavanje korisnika o kršenjima sigurnosti koja predstavljaju rizik za sigurnost privatnih podataka. Zakon iz 2003. značajan je zakon koji je izmijenio ranije zakone u pokušaju da se bori protiv sve veće razine kompjuterizirane krađe identiteta. SB 1386 obavezuje svaku tvrtku koja traži ili održava privatne podatke, kao što su brojevi računa ili brojevi vozačke dozvole, da obavijesti stanovnike Kalifornije o svakoj sigurnosnoj povredi koja predstavlja razuman rizik za osobne podatke.
Cilj SB 1386 je djelomično osigurati da tvrtke poduzmu odgovarajuće mjere opreza u zaštiti privatnih podataka. Kao što osoba ne bi stavila dragocjenosti u sef tvrtke poznate po lošim bravama, tako ni osoba ne bi trebala staviti važne osobne podatke u ruke tvrtki koja ne poduzima poštene mjere kako bi osigurala da se ne mogu ukrasti i koristiti za osoba za krađu identiteta. Kritičari sugeriraju da zakon nepravedno zahtijeva da žrtve, odnosno poduzeća, zločina poput hakiranja javno objave svoju viktimizaciju. Zagovornici pak sugeriraju da su prave žrtve oni čiji su podaci kompromitirani, te da zakon onemogućuje tvrtkama da očuvaju svoj ugled prikrivanjem sigurnosnih propusta uz rizik za sigurnost zaposlenika ili kupaca.
Iako je krađa identiteta dugo bila kriminalni element, anonimnost interneta dala je lopovima daleko veću priliku da iskoriste ukradene osobne podatke. Zakon je nastao kao odgovor na studije provedbe zakona koje su primijetile značajan porast u razinama krađe identiteta otkako je upotreba računalnih baza podataka dostupnih Internetu postala popularna. Učinivši tvrtke odgovornim za sigurnost podataka zaposlenika ili kupaca, SB 1386 napravio je veliki korak prema promjeni koncepta vrijednosti osobnih podataka.
SB 1386 izričito zahtijeva da tri vrste tvrtki brzo obavještavaju kupce o kršenju: one koje imaju zaposlene ili kupce u Kaliforniji, vanjske tvrtke koje rade sa zaposlenicima ili kupcima u Kaliforniji ili one koje prikupljaju i drže sve kompjuterizirane informacije o stanovnicima Kalifornije. Zakon pokriva ponašanje svih organizacija, uključujući privatna poduzeća, škole i javne urede.
Kršenje zahtijeva prijavu ako postoji razumno uvjerenje da su informacije mogle biti kompromitirane. Informacije koje ispunjavaju uvjete za prijavu uključuju ime i prezime ili početno i prezime bilo kojeg kupca ili zaposlenika u kombinaciji s osobnim podacima kao što su vozačka dozvola, kartica socijalnog osiguranja, broj bankovnog računa, podaci o kreditnoj ili debitnoj kartici ili sigurnosne lozinke . Ako se sumnja na kršenje, svaka osoba koja ima unos u bazu podataka mora biti odmah obaviještena e-poštom, telefonskim pozivom, pismom ili istaknutim postom na web stranici tvrtke. Nepoštivanje SB 1386 može rezultirati građanskom tužbom.