11月2日消息,美國聯(lián)邦貿(mào)易委員會(FTC)已批準(zhǔn)一項(xiàng)新規(guī)定�����,將要求非銀行金融機(jī)構(gòu)在30天內(nèi)報(bào)告數(shù)據(jù)泄露和安全事件���,這將成為強(qiáng)制性要求�����。該規(guī)定是《保障規(guī)則》的修訂版��,適用于抵押經(jīng)紀(jì)人���、機(jī)動車經(jīng)銷商和發(fā)薪貸款機(jī)構(gòu)���。
聯(lián)邦貿(mào)易委員會消費(fèi)者保護(hù)局局長Samuel Levine說,“受托保管敏感金融信息的公司���,如果該信息已被泄露�����,需要做到公開透明�����。我們將這一披露要求添加到《保障規(guī)則》���,將額外激勵(lì)公司對消費(fèi)者數(shù)據(jù)進(jìn)行保護(hù)?����!?/span>
新規(guī)定將于明年4月生效。該規(guī)定要求�����,如果發(fā)生500名或更多客戶信息遭泄漏事件�����,金融機(jī)構(gòu)必須向聯(lián)邦貿(mào)易委員會報(bào)告事件�?����!叭绻唇?jīng)信息所涉及的個(gè)人授權(quán)����,已獲得未加密的客戶信息”,相關(guān)安全漏洞必須進(jìn)行報(bào)告���。
新規(guī)細(xì)節(jié)
聯(lián)邦貿(mào)易委員會發(fā)布一份38頁的文件��,解釋事件報(bào)告必須包括如下內(nèi)容:
1. 需給出提交報(bào)告的金融機(jī)構(gòu)的名稱和聯(lián)系方式��;
2. 需說明事件涉及的信息類型���;
3. 如信息可以確定�����,需提供事件的日期或日期范圍����;
4. 需說明受影響消費(fèi)者的數(shù)量����;
5. 需對事件進(jìn)行一般描述;
6. 如適用�,需報(bào)告是否有執(zhí)法官員向金融機(jī)構(gòu)提供書面決定,說明將信息泄露事件通知公眾會妨礙刑事調(diào)查或?qū)野踩斐蓳p害��,并提供聯(lián)邦貿(mào)易委員會聯(lián)系執(zhí)法官員的方式���。通知需要通過聯(lián)邦貿(mào)易委員會網(wǎng)站填表的形式提交��。
這項(xiàng)修訂版以3-0的投票通過����,標(biāo)志著兩年來不斷增加的報(bào)告規(guī)則塵埃落定?���!侗U弦?guī)則》于1999年被國會制定,并于2003年生效�。2021年,《保障規(guī)則》加入網(wǎng)絡(luò)安全規(guī)定���,強(qiáng)制非銀行金融機(jī)構(gòu)必須建立保護(hù)客戶數(shù)據(jù)的網(wǎng)絡(luò)安全計(jì)劃����。
公司被迫限制訪問消費(fèi)者數(shù)據(jù)的權(quán)限�����,通過加密手段保護(hù)數(shù)據(jù)�����,并解釋信息共享做法��。他們還必須告知聯(lián)邦貿(mào)易委員會��,他們計(jì)劃如何訪問�、收集、分發(fā)�、處理和存儲客戶信息。公司必須指定專人監(jiān)督信息安全計(jì)劃�����,并向董事會報(bào)告更新��。
2021年����,Samuel Levine表示,“金融機(jī)構(gòu)和其他收集敏感消費(fèi)者數(shù)據(jù)的實(shí)體有責(zé)任保護(hù)這些數(shù)據(jù)�。”
行業(yè)反彈
各組織對聯(lián)邦貿(mào)易委員會發(fā)布的修訂版的反饋褒貶不一�。部分組織對事件報(bào)告規(guī)則表示歡迎,部分組織則認(rèn)為這與幾個(gè)州級事件報(bào)告規(guī)則重復(fù)���。
聯(lián)邦貿(mào)易委員會稱����,“委員會不認(rèn)為要求金融機(jī)構(gòu)向我們提供通知是重復(fù)之舉����?�!?州級法律要求組織向消費(fèi)者發(fā)布通知���,并“在某些情況下”通報(bào)州監(jiān)管機(jī)構(gòu),但不需要通報(bào)給負(fù)責(zé)監(jiān)管金融機(jī)構(gòu)的聯(lián)邦貿(mào)易委員會����。
“向消費(fèi)者或州監(jiān)管機(jī)構(gòu)的通知不能實(shí)現(xiàn)我們的目的。收到這些通知后��,委員會將能夠監(jiān)測影響金融機(jī)構(gòu)的新興數(shù)據(jù)安全威脅��,并促使對重大安全漏洞展開迅速調(diào)查響應(yīng)����?��!?/span>
其他一些組織�����,如全美汽車經(jīng)銷商協(xié)會���,認(rèn)為大多數(shù)泄露不值得報(bào)告���,并提出了一種只在“一系列安全事件”之后才“適用”的報(bào)告要求,因?yàn)橹挥卸啻问录趴赡堋氨砻骱弦?guī)失敗”��,而任何單一的泄露“不能表明(合規(guī)失?��。?/span>
最近幾個(gè)月����,一些政府機(jī)構(gòu)已經(jīng)通過了事件報(bào)告規(guī)則���。比如美國證券交易委員會在今年夏天推出了針對上市公司的規(guī)則�。美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局計(jì)劃在明年為關(guān)鍵基礎(chǔ)設(shè)施組織制定新的規(guī)則����。
等保測評咨詢
