Правило красных флагов

Правило красных флагов было создано Федеральной торговой комиссией (FTC) вместе с другими правительственными учреждениями, такими как Национальное управление кредитных союзов (NCUA), чтобы помочь предотвратить кражу личных данных . Правило было принято в январе 2008 года и должно было вступить в силу к 1 ноября 2008 года, но из-за противодействия оппозиции Федеральная торговая комиссия отложила его исполнение до 31 декабря 2010 года. ^[1]

В декабре 2010 года правило красных флагов было разъяснено Законом о разъяснении программы красных флагов 2010 года. ^[2] исключить большинство врачей, юристов и других специалистов, которые не получают полной оплаты на момент оказания своих услуг.

История

Правило красных флажков было основано на разделах 114 и 315 Закона о честных и точных кредитных операциях 2003 года. ^[3] (ФАКТЫ).

FACTA была создана, чтобы помочь

Предотвращение кражи личных данных и восстановление кредитной истории,
Улучшения в использовании и доступе потребителей к кредитной информации,
Повышение точности информации, предоставляемой потребителями,
Ограничение использования и обмена медицинской информацией в финансовой системе,
Финансовая грамотность и улучшение образования,
Защита расследований неправомерных действий сотрудников и
Отношение к государственным законам. ^[4]

Покрытие

Это правило применяется к двум различным группам: финансовым учреждениям и кредиторам. ^[5] Финансовое учреждение определяется как банк штата или национальный банк, сберегательная и кредитная ассоциация штата или федеральная ассоциация, взаимный сберегательный банк, кредитный союз штата или федеральный кредитный союз или любая другая организация, которая владеет «транзакционным счетом», принадлежащим потребителю. ^[6] данное FACTA Определение «кредитора», , применяется к любой организации, которая регулярно продлевает или продлевает кредит – или организует это для других – и включает все организации, которые регулярно разрешают отсрочку платежей за товары или услуги. ^[7]

Определение кредитора было уточнено Законом о разъяснении программы «Красный флаг» 2010 года. ^[2] В соответствии с Законом о разъяснениях кредитор регулярно и в ходе своей деятельности:

Получает или использует отчеты о потребительских кредитах;
Предоставляет информацию агентствам по информированию потребителей; или
Авансы средств, которые должны быть погашены в будущем (или под залог).

Это определение было дополнительно разъяснено Апелляционным судом США по округу Колумбия в его постановлении от 4 марта 2010 года по делу Американская ассоциация адвокатов против Федеральной торговой комиссии. ^[8] Суд подтвердил заявление сенатора Додда относительно законопроекта о том, что «юристы, врачи и другие поставщики услуг больше не классифицируются как «кредиторы» для целей правила красных флажков только потому, что они не получают оплату в полном объеме от своих клиентов в то время, когда они предоставляют свои услуги».

Это правило применимо к множеству различных компаний: в этот список входят, помимо прочего, финансовые компании, автодилеры, ипотечные брокеры, коммунальные компании и телекоммуникационные компании; или любая другая компания, которая предоставляет средства или регулярно взаимодействует с агентствами потребительского кредитования при оказании услуг и получении оплаты после завершения работы.

Элементы

Правило красных флагов определяет, как определенные предприятия и организации должны разрабатывать, внедрять и управлять своими программами предотвращения кражи личных данных. Программа должна включать четыре основных элемента, которые вместе создают основу для борьбы с угрозой кражи личных данных. ^[9]^[10]

Программа состоит из четырех элементов:

1) Определите соответствующие тревожные сигналы

Определите вероятные тревожные сигналы кражи личных данных для конкретного бизнеса.

2) Обнаружение тревожных сигналов

Определите процедуры для обнаружения тревожных сигналов в повседневной работе.

3) Предотвращение и смягчение последствий кражи личных данных

Действовать по предотвращению и смягчению ущерба при выявлении тревожных сигналов

4) Обновление программы

Поддерживать программу «красного флага», включая обучение оперативного персонала

«Правила красных флагов» предоставляют всем финансовым учреждениям и кредиторам возможность разработать и реализовать программу, соответствующую их размеру и сложности, а также характеру их операций. ^[6]

Красные флажки делятся на пять категорий:

оповещения, уведомления или предупреждения от агентства по информированию потребителей ^[6]
подозрительные документы ^[6]
подозрительная идентификационная информация, такая как подозрительный адрес ^[6]
необычное использование или подозрительная деятельность, связанная с защищенной учетной записью ^[6]
уведомления от клиентов, жертв кражи личных данных, правоохранительных органов или других предприятий о возможной краже личных данных в связи с защищёнными аккаунтами ^[6]

FTC создала шаблон для предприятий, который можно заполнить в соответствии с потребностями отдельной компании. Шаблон можно найти на сайте FTC. Однако этот шаблон подходит только для небольших предприятий с очень низким уровнем риска.

Согласие

Закон о добросовестной кредитной отчетности 1970 года с поправками, внесенными в 2003 году (FCRA), требовал от нескольких федеральных агентств разработать совместные правила и руководящие принципы, касающиеся обнаружения, предотвращения и смягчения последствий кражи личных данных для организаций, подпадающих под действие соответствующих правоохранительных органов (также известных как как «правила красных флажков кражи личных данных»). ^[11] Этими агентствами были Управление контролера денежного обращения (OCC), Совет управляющих Федеральной резервной системы (Совет Федеральной резервной системы), Федеральная корпорация страхования депозитов (FDIC), Управление по надзору за сберегательными фондами (OTS), Национальное управление по страхованию вкладов (FDIC). Администрация кредитного союза (NCUA) и Федеральная торговая комиссия (FTC) (вместе «Агентства»). В 2007 году агентства выпустили совместные окончательные правила предупреждения кражи личных данных. ^[12]

1 января 2011 года Федеральная торговая комиссия начала применять Правило красных флажков Закона о справедливых и точных кредитных операциях 2003 года (Закон FACT). «Правило красных флагов» требует, чтобы каждое «финансовое учреждение» или «кредитор», включая большинство компаний, занимающихся ценными бумагами, внедрило письменную программу для обнаружения, предотвращения и смягчения последствий кражи личных данных в связи с открытием или обслуживанием «защищенных счетов». К ним относятся потребительские счета, которые допускают множественные платежи или транзакции, такие как счет розничного брокера, счет кредитной карты, маржинальный счет, текущий или сберегательный счет или любые другие счета с разумно предсказуемым риском кражи личных данных для клиентов или вашей фирмы.

21 июля 2011 года Закон Додда-Франка о реформе Уолл-стрит и защите потребителей (Закон Додда-Франка) передал ответственность за разработку норм и обеспечение соблюдения правил и руководящих принципов в отношении кражи личных данных Комиссии по ценным бумагам и биржам (SEC) и торговле товарными фьючерсами. Комиссии (CFTC) для фирм, которые они регулируют.

19 апреля 2013 г. Комиссия по ценным бумагам и биржам США (SEC) и CFTC опубликовали свое совместное окончательное правило и рекомендации по предупреждению кражи личных данных, которые вступят в силу 20 мая 2013 г., а дата вступления в силу наступит 20 ноября 2013 г. Правило и рекомендации не содержат требований, которые еще не были соблюдены. в Правиле и руководящих принципах FTC Red Flags и не расширять сферу действия этого правила за счет включения новых категорий организаций, которые это правило еще не охватывало. Однако они содержат примеры и незначительные языковые изменения, призванные помочь организациям, входящим в правоохранительные органы SEC, соблюдать это правило, что может привести к тому, что некоторые организации, которые ранее не соблюдали это правило, решат, что они подпадают под действие правила. Правило, принятое SEC и CFTC.

Правило красного флага и кража личных данных

Поскольку правило «красного флага» широко определяет кредиторов, многие предприятия (например, коммунальные предприятия) обязаны собирать личную информацию (например, SSN и номера водительских прав), которая не нужна для деловых целей. Эта политика противоречит рекомендациям Федеральной торговой комиссии потребителям о том, что им следует раскрывать свой номер социального страхования другим только в случае крайней необходимости. ^[13] Этот аспект правила «красного флага» имеет непредвиденные последствия, заключающиеся в увеличении числа предприятий, владеющих номерами социального страхования потребителей, что подвергает потребителей большему риску кражи личных данных посредством кражи данных и увеличения затрат для предприятий, которые обязаны защищать эти данные.

Ссылки

^ «FTC продлевает срок исполнения правила о красных флагах кражи личных данных» . 28 мая 2010 г.
^ Jump up to: ^а ^б «Закон о разъяснении программы «Красный флаг» 2010 года (2010 г. – С. 3987)» .
^ «Агентства выпускают окончательные правила в отношении тревожных сигналов кражи личных данных и уведомлений о несоответствии адресов» . 31 октября 2007 г.
^ ЗАКОН О СПРАВЕДЛИВЫХ И ТОЧНЫХ КРЕДИТНЫХ СДЕЛКАХ 2003 ГОДА , Public, vol. Закон 108-159, 108-й Конгресс , получено 2 февраля 2009 г.
^ «Правила, вызывающие тревогу, требуют от финансовых учреждений и кредиторов наличия программ предотвращения кражи личных данных» . 8 июля 2008 г.
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г «Новые требования «красного флага» для финансовых учреждений и кредиторов помогут бороться с кражей личных данных» . Архивировано из оригинала 13 августа 2008 г. Проверено 9 июля 2009 г.
^ «FTC предоставит трехмесячную отсрочку исполнения правила о красных флажках, требующего от кредиторов и финансовых учреждений принятия программ по предотвращению кражи личных данных» . 30 апреля 2009 г.
^ http://www.ama-assn.org/ama1/pub/upload/mm/399/aba-versus-ftc.pdf ^{[ мертвая ссылка ]}
^ «Архивная копия» (PDF) . Архивировано из оригинала (PDF) 13 августа 2009 г. Проверено 9 июля 2009 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )
^ «Кража личных данных» означает мошенничество, совершенное или предпринятое с использованием идентификационной информации другого лица без полномочий. См. раздел 16 CFR § 603.2(a). «Идентифицирующая информация» означает «любое имя или номер, которые могут быть использованы отдельно или в сочетании с любой другой информацией для идентификации конкретного человека, включая любое – (1) Имя, номер социального страхования, дата рождения, официальное водительское удостоверение или идентификационный номер, выданные государством или правительством, регистрационный номер иностранца, номер государственного паспорта, идентификационный номер работодателя или налогоплательщика; (2) Уникальные биометрические данные, такие как отпечатки пальцев, отпечаток голоса, изображение сетчатки или радужной оболочки глаза или другое уникальное физическое представление; (3) Уникальный электронный идентификационный номер, адрес или код маршрутизации; или (4) Телекоммуникационная идентификационная информация или устройство доступа (как определено в 18 USC 1029(e)). См. § 603.2(b) Свода федеральных правил 16.
^ См. FCRA §§ 615(e)(1)(A)–(B), 15 USC 1681m(e)(1)(A)–(B).
^ См. «Красные флажки кражи личных данных и несоответствия адресов» в соответствии с Законом о честных и точных кредитных операциях от 2003 г., 72 FR 63718 (9 ноября 2007 г.).
^ ftc.gov. «Сдерживание и минимизация риска» . Архивировано из оригинала 13 октября 2011 г. Проверено 14 октября 2011 г.

[1] «FTC продлевает срок исполнения правила о красных флагах кражи личных данных» . 28 мая 2010 г.

[govtrack.us-2] Jump up to: ^а ^б «Закон о разъяснении программы «Красный флаг» 2010 года (2010 г. – С. 3987)» .

[3] «Агентства выпускают окончательные правила в отношении тревожных сигналов кражи личных данных и уведомлений о несоответствии адресов» . 31 октября 2007 г.

[4] ЗАКОН О СПРАВЕДЛИВЫХ И ТОЧНЫХ КРЕДИТНЫХ СДЕЛКАХ 2003 ГОДА , Public, vol. Закон 108-159, 108-й Конгресс , получено 2 февраля 2009 г.

[5] «Правила, вызывающие тревогу, требуют от финансовых учреждений и кредиторов наличия программ предотвращения кражи личных данных» . 8 июля 2008 г.

[ftc.gov-6] Jump up to: ^а ^б ^с ^д ^и ^ж ^г «Новые требования «красного флага» для финансовых учреждений и кредиторов помогут бороться с кражей личных данных» . Архивировано из оригинала 13 августа 2008 г. Проверено 9 июля 2009 г.

[7] «FTC предоставит трехмесячную отсрочку исполнения правила о красных флажках, требующего от кредиторов и финансовых учреждений принятия программ по предотвращению кражи личных данных» . 30 апреля 2009 г.

[8] ttp://www.ama-assn.org/ama1/pub/upload/mm/399/aba-versus-ftc.pdf ^{[ мертвая ссылка ]}

[9] «Архивная копия» (PDF) . Архивировано из оригинала (PDF) 13 августа 2009 г. Проверено 9 июля 2009 г. {{cite web}}: CS1 maint: архивная копия в заголовке ( ссылка )

[10] «Кража личных данных» означает мошенничество, совершенное или предпринятое с использованием идентификационной информации другого лица без полномочий. См. раздел 16 CFR § 603.2(a). «Идентифицирующая информация» означает «любое имя или номер, которые могут быть использованы отдельно или в сочетании с любой другой информацией для идентификации конкретного человека, включая любое – (1) Имя, номер социального страхования, дата рождения, официальное водительское удостоверение или идентификационный номер, выданные государством или правительством, регистрационный номер иностранца, номер государственного паспорта, идентификационный номер работодателя или налогоплательщика; (2) Уникальные биометрические данные, такие как отпечатки пальцев, отпечаток голоса, изображение сетчатки или радужной оболочки глаза или другое уникальное физическое представление; (3) Уникальный электронный идентификационный номер, адрес или код маршрутизации; или (4) Телекоммуникационная идентификационная информация или устройство доступа (как определено в 18 USC 1029(e)). См. § 603.2(b) Свода федеральных правил 16.

[11] ^ См. FCRA §§ 615(e)(1)(A)–(B), 15 USC 1681m(e)(1)(A)–(B).

[12] См. «Красные флажки кражи личных данных и несоответствия адресов» в соответствии с Законом о честных и точных кредитных операциях от 2003 г., 72 FR 63718 (9 ноября 2007 г.).

[ftcGuide-13] tc.gov. «Сдерживание и минимизация риска» . Архивировано из оригинала 13 октября 2011 г. Проверено 14 октября 2011 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]