其他
美国又一行业出台安全事件报告规定!非银金融机构需在30天内上报
关注我们
带你读懂网络安全
美国联邦贸易委员会出台新规,非银行金融机构需在30天内向该机构报告数据泄露和安全事件。
前情回顾·网络安全信息披露要求
新规细节
联邦贸易委员会发布一份38页的文件,解释事件报告必须包括如下内容:1. 需给出提交报告的金融机构的名称和联系方式;2. 需说明事件涉及的信息类型;3. 如信息可以确定,需提供事件的日期或日期范围;4. 需说明受影响消费者的数量;5. 需对事件进行一般描述;6. 如适用,需报告是否有执法官员向金融机构提供书面决定,说明将信息泄露事件通知公众会妨碍刑事调查或对国家安全造成损害,并提供联邦贸易委员会联系执法官员的方式。通知需要通过联邦贸易委员会网站填表的形式提交。这项修订版以3-0的投票通过,标志着两年来不断增加的报告规则尘埃落定。《保障规则》于1999年被国会制定,并于2003年生效。2021年,《保障规则》加入网络安全规定,强制非银行金融机构必须建立保护客户数据的网络安全计划。公司被迫限制访问消费者数据的权限,通过加密手段保护数据,并解释信息共享做法。他们还必须告知联邦贸易委员会,他们计划如何访问、收集、分发、处理和存储客户信息。公司必须指定专人监督信息安全计划,并向董事会报告更新。2021年,Samuel Levine表示,“金融机构和其他收集敏感消费者数据的实体有责任保护这些数据。”
行业反弹
各组织对联邦贸易委员会发布的修订版的反馈褒贬不一。部分组织对事件报告规则表示欢迎,部分组织则认为这与几个州级事件报告规则重复。联邦贸易委员会称,“委员会不认为要求金融机构向我们提供通知是重复之举。” 州级法律要求组织向消费者发布通知,并“在某些情况下”通报州监管机构,但不需要通报给负责监管金融机构的联邦贸易委员会。“向消费者或州监管机构的通知不能实现我们的目的。收到这些通知后,委员会将能够监测影响金融机构的新兴数据安全威胁,并促使对重大安全漏洞展开迅速调查响应。”其他一些组织,如全美汽车经销商协会,认为大多数泄露不值得报告,并提出了一种只在“一系列安全事件”之后才“适用”的报告要求,因为只有多次事件才可能“表明合规失败”,而任何单一的泄露“不能表明(合规失败)”。最近几个月,一些政府机构已经通过了事件报告规则。比如美国证券交易委员会在今年夏天推出了针对上市公司的规则。美国网络安全和基础设施安全局计划在明年为关键基础设施组织制定新的规则。
参考资料:therecord.media
推荐阅读