美国证券交易委员会(SEC)主席加里·詹斯勒在宣布修订《S-P条例》时表示:"该条例的核心理念是:受监管机构若发生数据泄露事件,必须及时通报。这对投资者有利。"该条例规范了特定金融机构处理非公开个人信息的流程。 对于适用机构(通常包括经纪自营商、投资公司、注册投资顾问及过户代理人),修订后的条例不仅引入强制性数据泄露报告要求,还增加了网络安全规范。现将修订条例要点及核心要义归纳如下:
事件响应计划
修订后的法规要求所有适用机构在其现有政策和程序框架内制定并实施事件响应计划。该计划必须"合理设计",以检测、应对及恢复因客户信息遭未经授权访问或使用而引发的事件。
尽管修订后的法规允许机构灵活制定政策和程序以最契合其运营和风险特征,但任何事件响应计划都必须包含以下基本原则:
- 事件评估:该计划必须包含用于评估事件性质和范围的政策与程序。这涉及确定哪些客户信息系统遭到入侵,以及哪些类型的客户信息可能被未经授权地访问或使用。
- 遏制与控制:一旦发现安全事件,机构必须采取适当措施遏制并控制事态,防止客户信息遭受进一步的未经授权访问或滥用。此步骤对于减轻数据泄露的影响、防范其他漏洞至关重要。
- 受影响个人通知:该计划还须明确通知程序,告知那些敏感客户信息已遭泄露或可能遭泄露的个人。除非机构经合理调查后认定敏感客户信息既未被且不太可能被用于可能对客户造成重大损害或不便的方式,否则必须发出通知。
通知要求
修订后的法规规定,当发生未经授权访问或使用"敏感客户信息"时,必须履行通知义务。敏感客户信息被定义为客户数据的任何组成部分,无论单独存在或与其他信息结合使用,其泄露都可能对相关个人造成重大损害或不便。
根据修订后的法规,相关机构必须进行合理调查以确定潜在网络安全事件可能造成的危害概率。若相关机构认定敏感信息既未被且不太可能被用于可能造成重大损害或不便的方式,则可免除通知义务。调查的合理性将根据具体情况判定。 例如,相较于员工无意间泄露数据的情况,网络犯罪分子蓄意实施的安全入侵可能需要更深入的调查。
若受保护机构认定数据泄露事件已发生,该机构须在合理可行范围内尽快通知受影响个人,且不得迟于30天(有限例外情况除外)。通知必须详细说明泄露事件的具体情况,包括事件性质及涉及的具体数据。此外,通知应指导受影响个人采取适当措施,以防范潜在危害。
服务提供商的监督
修订后的法规要求,受监管机构的事件响应计划须包含书面政策和程序,这些政策和程序应合理设计以要求对服务提供商进行监督,包括通过尽职调查和监控等方式。所谓"服务提供商",是指"任何通过直接向受监管机构提供服务而接收、保存、处理或被允许访问客户信息的个人或实体"。 该广泛定义可能涵盖各类实体,包括电子邮件服务商、客户关系管理系统、云应用程序及其他技术供应商。
受监管机构的书面政策和程序必须合理设计,以确保服务提供商采取适当措施防范客户信息遭未经授权的访问或使用,并在发现安全漏洞导致客户信息系统遭未经授权访问后,尽快(但不得迟于72小时)向受监管机构发出通知。受监管机构收到此类通知后,必须启动其事件响应程序。
修订条例的其他方面
修订后的法规除其他事项外,还对受监管机构提出了额外的记录保存要求,包括记录未经授权访问或使用客户信息的行为,以及针对此类事件开展的任何调查。修订后的法规还要求制定与消费者信息和客户信息妥善处置相关的政策和程序。
主要收获
- 修订后的法规再次印证了联邦政府——尤其是美国证券交易委员会——对网络安全合规性的高度关注。受监管机构应预期这种关注将持续加强,网络安全执法行动的数量也将持续增加。
- 修订后的法规将于今夏晚些时候生效。大型实体将有18个月的合规期,小型实体则有24个月。相关机构应评估该法规对其的适用性,并据此规划合规工作。
- 受规管机构应着手审查并更新其政策和程序,确保符合新规要求。这种主动措施有助于发现不足之处,并确保在规定时限内遵守修订后的法规。
- 受规管机构还应审查现有服务提供商协议,确保对服务提供商实施充分监督并符合修订后的合规要求。这包括实施尽职调查和监控措施,以核实服务提供商是否遵守新的安全及通知要求。
- 尽管修订后的法规因强制要求通知而值得关注,但实际上,该义务早已通过各州数据泄露法律及其他法规的形式存在。因此,相关机构应充分利用现有的事件响应计划和通知手册,并评估现有流程与程序的适用程度。
若您对修订后的S-P条例要求有任何其他疑问,请联系本文作者或福里尔·拉德纳律师事务所技术交易、网络安全与隐私业务组的任何合伙人或高级顾问。
