FTC修訂消費者保護規則，要求金融機構在30天內報告安全事件

聯邦貿易委員會(FTC)是美國負責促進競爭和保護消費者的聯邦機構。該組織已經為金融機構制定了一套實施消費者保護的規則，現在又提出了一項有關安全漏洞披露的要求。聯邦貿易委員會的《保障規則》規定，"非銀行"金融機構必須安全地管理和存儲客戶信息。這一要求適用于抵押貸款經紀人、機動車經銷商和發薪日貸款人等機構，要求其制定、實施和維護全面的安全計劃，以保護客戶數據。

聯邦機構最近宣布了對之前批準的《保障規則》的一項修正案， 該修正案規定金融機構有義務及時報告在其系統中發現的任何安全漏洞。根據新規定，各機構必須"盡快"通知聯邦貿易委員會，最長時限為發現任何涉及500名或以上消費者信息的安全事件后的30天內。

正如聯邦貿易委員會進一步解釋的那樣，當惡意或未經授權的行為者獲取了未加密的客戶信息時，通知是強制性的。但是，如果信息已加密，且網絡犯罪分子未獲取加密密鑰，則不適用此要求。新規定將在《聯邦公報》上公布180天后生效，并于2024年4月開始實施。

發現安全漏洞后，非銀行金融組織必須通過該機構的在線門戶網站向聯邦貿易委員會提交相關詳細信息。一份正確的安全漏洞報告應包括報告機構的名稱和聯系信息、受影響消費者的數量、對暴露數據的描述、暴露日期和事件持續時間。

如果公開披露安全漏洞會妨礙調查或對國家安全構成威脅，各機構也有機會通知聯邦貿易委員會。執法官員可要求將公開披露時間再延遲60天。

聯邦貿易委員會消費者保護局局長塞繆爾-萊文(Samuel Levine)強調，受托管理敏感金融信息的公司需要保持透明，"如果這些信息遭到泄露"。新的披露要求應為這些公司提供"額外的動力"，以真正保護消費者的數據。

聯邦貿易委員會于2021年10月宣布了加強數據安全的強化規則，同時就數據泄露報告要求的擬議補充修正案征求公眾意見。新的修正案最終以3-0票一致通過。