前情回顾·网络安全信息披露要求
全球首个!上报安全事件,减免监管处罚
美股上市公司重磅新规!重大网络安全事件需在4天内披露
美国《2022年关键基础设施网络事件报告法》概述
首次!美国司法部将起诉隐瞒网络攻击事件的政府承包商
安全内参11月2日消息,美国联邦贸易委员会(FTC)已批准一项新规定,将要求非银行金融机构在30天内报告数据泄露和安全事件,这将成为强制性要求。该规定是《保障规则》的修订版,适用于抵押经纪人、机动车经销商和发薪贷款机构。
联邦贸易委员会消费者保护局局长Samuel Levine说,“受托保管敏感金融信息的公司,如果该信息已被泄露,需要做到公开透明。我们将这一披露要求添加到《保障规则》,将额外激励公司对消费者数据进行保护。”
新规定将于明年4月生效。该规定要求,如果发生500名或更多客户信息遭泄漏事件,金融机构必须向联邦贸易委员会报告事件。“如果未经信息所涉及的个人授权,已获得未加密的客户信息”,相关安全漏洞必须进行报告。
新规细节
联邦贸易委员会发布一份38页的文件,解释事件报告必须包括如下内容:
1. 需给出提交报告的金融机构的名称和联系方式;
2. 需说明事件涉及的信息类型;
3. 如信息可以确定,需提供事件的日期或日期范围;
4. 需说明受影响消费者的数量;
5. 需对事件进行一般描述;
6. 如适用,需报告是否有执法官员向金融机构提供书面决定,说明将信息泄露事件通知公众会妨碍刑事调查或对国家安全造成损害,并提供联邦贸易委员会联系执法官员的方式。
通知需要通过联邦贸易委员会网站填表的形式提交。
这项修订版以3-0的投票通过,标志着两年来不断增加的报告规则尘埃落定。《保障规则》于1999年被国会制定,并于2003年生效。2021年,《保障规则》加入网络安全规定,强制非银行金融机构必须建立保护客户数据的网络安全计划。
公司被迫限制访问消费者数据的权限,通过加密手段保护数据,并解释信息共享做法。他们还必须告知联邦贸易委员会,他们计划如何访问、收集、分发、处理和存储客户信息。公司必须指定专人监督信息安全计划,并向董事会报告更新。
2021年,Samuel Levine表示,“金融机构和其他收集敏感消费者数据的实体有责任保护这些数据。”
行业反弹
各组织对联邦贸易委员会发布的修订版的反馈褒贬不一。部分组织对事件报告规则表示欢迎,部分组织则认为这与几个州级事件报告规则重复。
联邦贸易委员会称,“委员会不认为要求金融机构向我们提供通知是重复之举。” 州级法律要求组织向消费者发布通知,并“在某些情况下”通报州监管机构,但不需要通报给负责监管金融机构的联邦贸易委员会。
“向消费者或州监管机构的通知不能实现我们的目的。收到这些通知后,委员会将能够监测影响金融机构的新兴数据安全威胁,并促使对重大安全漏洞展开迅速调查响应。”
其他一些组织,如全美汽车经销商协会,认为大多数泄露不值得报告,并提出了一种只在“一系列安全事件”之后才“适用”的报告要求,因为只有多次事件才可能“表明合规失败”,而任何单一的泄露“不能表明(合规失败)”。
最近几个月,一些政府机构已经通过了事件报告规则。比如美国证券交易委员会在今年夏天推出了针对上市公司的规则。美国网络安全和基础设施安全局计划在明年为关键基础设施组织制定新的规则。
参考资料:https://therecord.media/ftc-approves-disclosure-rules-financial
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安