美国联邦储备委员会周三发布新规定,要求银行和其他金融机构通知消费者“尽快”当他们的个人数据被偷了。
在一个声明中,美国联邦储备理事会(美联储,fed)和其它三个政府银行机构,包括美国联邦存款保险公司(FDIC),公布了他们的“指导”下银行必须如何对待个人信息失窃2003年颁布联邦法律。
规则之际,几家公司已经承认,消费者的个人和敏感信息被偷了或不当访问。
大卫·巴尔在华盛顿联邦存款保险公司的一位发言人说,这些机构在过去18个月回顾公平和准确的信用交易(事实)的行为。审查包括输入从安全、政府官员以及银行业和消费者团体和其他实体创建特定的规则。
一个关键的要求是,消费者现在必须通知当个人信息遭到窃取或非法访问和有理由相信它会被滥用。在这种情况下,该机构必须进行“合理调查”,以确定如果安全漏洞是影响消费者的重要到需要通知。
“如果机构确定滥用客户信息发生或者是合理可行的,它应该尽快通知受影响的客户,“说的规则。注意可以推迟,然而,如果一个适当的执法机构决定,通知将干扰进行刑事调查。
具体时间等多快通知应给予尚未建立。
金融机构也将通知其主要涉及敏感客户信息安全漏洞的联邦监管机构,该机构是否通知客户。
按照规定,敏感的客户信息包括客户的名称、地址或电话号码,结合客户的社会安全号码,驾照号码、帐号、信用卡或借记卡号码,或个人识别码或密码,允许访问客户的帐户。规则的国家,这样的数据泄露将包括敏感数据的任意组合的释放,允许别人登录或访问客户的账户,如用户名和密码或密码和帐号。
“客户通知(条款)是全新的,”巴尔说。“银行没有要求这样做,尽管许多人。现在,有一位官员要求他们必须。”
新规则需要时间发展,巴尔说,因为他们发布的四个机构合作:美国联邦储备理事会(美联储,fed),联邦存款保险公司,办公室的美国货币监理署和美国储蓄机构监理局。“你有四个声音而不是一个,”他说。建立共识意味着很多讨论,他说。
机构的最大挑战之一,是决定法律的酒吧应该设置而言,消费者应该通知违反时,他说。一些监管者认为通知应在所有情况下,当别人认为通知应只有可能是向受影响的消费者数据盗窃会带来伤害。
最终的标准是合理的,他说,因为它不会淹没与通知消费者,除非有证据表明真实数据的安全威胁。“如果有太多的注意,消费者可以麻木的“真正的实际数据安全漏洞的危险,他说。
在新准则下,联邦存款保险公司和其他机构可以监督金融机构,以确保他们坚持通知程序,巴尔说。机构可以发布执行命令,如果不遵循规则的话,他说。
基金会的执行主任道格拉斯·海勒纳税人和消费者权益,倡导团体在圣莫尼卡,加利福尼亚州表示,美国消费者的新规则是一个好的开始。“至少,我们应该得到通知时,我们的个人信息被偷了。”
加州在全国是唯一这样的通知已经由法律规定的安全漏洞和金融或信用信息。
但是事后通知并不是足够的保护消费者,他说。
“我们真的需要限制私人信息收集的范围转售”公司处理个人信息,他说。“唯一原因,小偷可以获得这么多数据,政府并没有阻止这些公司从我们个人信息交易的商品。”
最近的安全漏洞涉及盗窃或敏感的消费者金融和信贷数据涉及的损失ChoicePoint美国银行(Bank of America)和律商联讯。
这个故事,“新联邦法规规定银行身份盗窃通知”最初发表的《计算机世界》 。