美国证券机构新规！发现数据违规后需在30天内披露

前情回顾·网络安全事件通知要求

• 美国又一行业出台安全事件报告规定！非银金融机构需在30天内上报

• 全球首个！上报安全事件，减免监管处罚

• 美股上市公司重磅新规！重大网络安全事件需在4天内披露

• 美国《2022年关键基础设施网络事件报告法》概述

安全内参5月20日消息，美国证券交易委员会（SEC）拟要求一些金融机构在发现安全漏洞后30天内披露相关信息。

5月15日，SEC通过修正案，对管理消费者个人信息处理工作的《S-P条例》进行了修改。修正案要求，机构在发现未经授权的网络访问或客户数据使用后，必须“尽快在不超过30天”内通知受影响个人。新规将对美国证券市场的经纪交易商（包括融资门户）、投资公司、注册投资顾问和转账代理人具有约束力。

SEC主席Gary Gensler说：“在过去的24年里，数据泄露的性质、规模和影响已经发生了巨大变化。本次修正案对2000年出台的《S-P条例》进行了关键更新，有助于保护客户的金融数据隐私。基本理念是，只要相关公司出现了漏洞，就必须发出通知。这对投资者有利。”

新规详细内容

通知必须详细说明事件、受损信息以及受影响者应如何保护自己。不过修正案中有一项条款留下了回旋余地，只要相关机构能够证明，个人信息的使用没有导致，或者不太可能导致“重大伤害或不便”，就不必发出通知。

修正案将要求相关机构“制定、实施和维护书面的政策和程序”，这些政策和程序必须“设计合理，可以检测、响应未经授权的访问或未经授权的客户信息使用，并可以完成相应恢复工作”。修正案还包括以下内容：

• 扩展和协调保障措施和处置规则，以涵盖相关机构收集的自身客户的非公开个人信息，以及从其他金融机构收到的关于其他金融机构客户的非公开个人信息。

• 除融资门户外的相关机构必须制作并维护书面记录，用于记录保障规则和处置规则的要求的落实情况。

• 将《S-P条例》的年度隐私通知交付条款调整为符合《修复美国地面运输法案》（FAST）添加的例外条款。这些条款规定，如果满足某些条件，相关机构无需发布年度隐私通知。

• 扩展保障规则和处置规则的覆盖范围，囊括在委员会或其他适当监管机构注册的转账代理人。

修正案还扩大了涵盖的非公开个人信息的范围。除了公司本身收集的信息，新规还将涵盖公司从其他金融机构收到的个人信息。

针对新规的疑虑

SEC专员Hester M. Peirce表示，担心修正案可能过于严苛。她写道：“今天对《S-P条例》的更新将帮助相关机构适当提高客户信息保护的优先级。客户在其信息被泄露时将得到及时通知，以便他们采取措施保护自己，比如更改密码或密切关注信用评分。我对两方面持保留意见：规则覆盖范围可能过于广泛，也可能导致无意义的消费者通知泛滥。”

自2000年启用以来，《S-P条例》并没有进行实质性的更新。去年，SEC通过了新法规，要求上市公司披露对业务、战略或财务结果或状况有重大影响或可能有重大影响的安全漏洞。

修正案将在美国《联邦公报》（联邦政府发布法规、通知、命令和其他文件的官方期刊）网站上公布60天后生效。大型和小型组织分别需要在修正案发布后18个月和24个月内落实相关要求。

参考资料：https://arstechnica.com/security/2024/05/new-sec-requirements-give-institutions-30-days-to-disclose-security-incidents/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。