FTC修订消费者保护规则，要求金融机构在30天内报告安全事件

联邦贸易委员会(FTC)是美国负责促进竞争和保护消费者的联邦机构。该组织已经为金融机构制定了一套实施消费者保护的规则，现在又提出了一项有关安全漏洞披露的要求。联邦贸易委员会的《保障规则》规定，"非银行"金融机构必须安全地管理和存储客户信息。这一要求适用于抵押贷款经纪人、机动车经销商和发薪日贷款人等机构，要求其制定、实施和维护全面的安全计划，以保护客户数据。

联邦机构最近宣布了对之前批准的《保障规则》的一项修正案， 该修正案规定金融机构有义务及时报告在其系统中发现的任何安全漏洞。根据新规定，各机构必须"尽快"通知联邦贸易委员会，最长时限为发现任何涉及500名或以上消费者信息的安全事件后的30天内。

正如联邦贸易委员会进一步解释的那样，当恶意或未经授权的行为者获取了未加密的客户信息时，通知是强制性的。但是，如果信息已加密，且网络犯罪分子未获取加密密钥，则不适用此要求。新规定将在《联邦公报》上公布180天后生效，并于2024年4月开始实施。

发现安全漏洞后，非银行金融组织必须通过该机构的在线门户网站向联邦贸易委员会提交相关详细信息。一份正确的安全漏洞报告应包括报告机构的名称和联系信息、受影响消费者的数量、对暴露数据的描述、暴露日期和事件持续时间。

如果公开披露安全漏洞会妨碍调查或对国家安全构成威胁，各机构也有机会通知联邦贸易委员会。执法官员可要求将公开披露时间再延迟60天。

联邦贸易委员会消费者保护局局长塞缪尔-莱文(Samuel Levine)强调，受托管理敏感金融信息的公司需要保持透明，"如果这些信息遭到泄露"。新的披露要求应为这些公司提供"额外的动力"，以真正保护消费者的数据。

联邦贸易委员会于2021年10月宣布了加强数据安全的强化规则，同时就数据泄露报告要求的拟议补充修正案征求公众意见。新的修正案最终以3-0票一致通过。