Правило красных флажков - Red Flags Rule

В Правило красных флажков был создан Федеральная торговая комиссия (FTC), наряду с другими государственными учреждениями, такими как Национальная администрация кредитных союзов (NCUA), чтобы предотвратить кража личных данных. Правило было принято в январе 2008 года и должно было вступить в силу к 1 ноября 2008 года. Но из-за противодействия со стороны оппозиции Федеральная торговая комиссия отложила введение в действие до 31 декабря 2010 года.[1]

В декабре 2010 года правило красных флагов было уточнено Законом о разъяснении программы красных флагов 2010 года. [2] исключить большинство врачей, юристов и других специалистов, которые не получают полную оплату в то время, когда их услуги предоставляются.

История

Правило красных флажков было основано на разделах 114 и 315 Закона. Закон о справедливых и точных кредитных операциях 2003 г.[3] (ФАКТА).

FACTA был введен, чтобы помочь

  • Предотвращение кражи личных данных и восстановление кредитной истории,
  • Улучшения в использовании и доступе потребителей к кредитной информации,
  • Повышение точности информации в отчетах потребителей,
  • Ограничение использования и обмена медицинской информацией в финансовой системе,
  • Повышение финансовой грамотности и образования,
  • Защита расследований неправомерных действий сотрудников и
  • Отношение к государственным законам.[4]

Покрытие

Это правило применяется к двум различным группам: финансовые учреждения и кредиторы.[5] Финансовое учреждение определяется как банк штата или национальный банк, ссудо-сберегательная ассоциация штата или федерация, банк взаимных сбережений, кредитный союз штата или федеральный кредитный союз или любое другое юридическое лицо, имеющее «транзакционный счет», принадлежащий потребителю.[6] Определение FACTA «Кредитор» применяется к любому предприятию, которое регулярно предоставляет или продлевает кредит - или принимает меры к тому, чтобы другие сделали это, - и включает все предприятия, которые регулярно разрешают отсроченные платежи за товары или услуги [7]

Определение кредитор был разъяснен Законом о разъяснении программы красных флагов 2010 года.[2] Согласно Закону о разъяснениях, кредитор регулярно и в процессе работы:

  • Получает или использует потребительские кредитные отчеты;
  • Предоставляет информацию агентствам по информированию потребителей; или же
  • Авансирует средства, которые необходимо вернуть в будущем (или под залог).

Это определение было дополнительно уточнено Апелляционным судом Соединенных Штатов по округу Колумбия в постановлении от 4 марта 2010 г. «Американская ассоциация адвокатов против Федеральной торговой комиссии».[8] Суд подтвердил заявление сенатора Додда относительно законопроекта о том, что «юристы, врачи ... и другие поставщики услуг больше не классифицируются как« кредиторы »с точки зрения правила красных флажков только потому, что они не получают платеж в полном объеме от своих клиентов в то время, когда они предоставляют свои услуги ".

Это правило применяется к множеству различных компаний: в этот список входят финансовые компании, автомобильные дилеры, ипотечные брокеры, коммунальные предприятия и телекоммуникационные компании, но не ограничиваются ими; или любая другая компания, которая предоставляет средства или регулярно взаимодействует с агентствами потребительского кредитования при оказании услуги и получении оплаты после завершения работы

Элементы

Правило красных флажков определяет, как определенные предприятия и организации должны разрабатывать, внедрять и управлять своими программами предотвращения кражи личных данных. Программа должна включать четыре основных элемента, которые вместе создают основу для борьбы с угрозой кражи личных данных.[9][10]

Программа состоит из четырех элементов:

1) Определите соответствующие красные флажки

  • Выявление вероятных тревожных сигналов от кражи личных данных

2) Обнаружение красных флажков

  • Определите процедуры для выявления красных флажков в повседневных операциях

3) Предотвращение и предотвращение кражи личных данных

  • Действия по предотвращению и уменьшению вреда при выявлении красных флажков

4) Обновить программу

  • Поддерживать программу красного флага, включая обучение эксплуатационного персонала

Правила «красных флажков» предоставляют всем финансовым учреждениям и кредиторам возможность разработать и внедрить программу, соответствующую их размеру и сложности, а также характеру их операций.[6]

Красные флаги делятся на пять категорий:

  • оповещения, уведомления или предупреждения от агентства по отчетности потребителей[6]
  • подозрительные документы[6]
  • подозрительная идентифицирующая информация, например, подозрительный адрес[6]
  • необычное использование или подозрительная деятельность в отношении защищенной учетной записи[6]
  • уведомления от клиентов, жертв кражи личных данных, правоохранительных органов или других предприятий о возможной краже личных данных в связи с покрытыми учетными записями[6]

FTC создал шаблон для предприятий, который можно заполнить в соответствии с потребностями отдельной компании. Шаблон можно найти на сайте FTC. Однако этот шаблон подходит только для небольших предприятий с очень низким уровнем риска.

Согласие

Закон о справедливой кредитной отчетности 1970 года с поправками 2003 года (FCRA) требовал от нескольких федеральных агентств издать совместные правила и руководящие принципы в отношении обнаружения, предотвращения и смягчения последствий кражи личных данных для организаций, которые подпадают под действие их соответствующих правоохранительных органов (также известных как «правила красных флажков кражи личных данных»).[11] Этими агентствами были Управление финансового контролера (OCC), Совет управляющих Федеральной резервной системы (Federal Reserve Board), Федеральная корпорация по страхованию депозитов (FDIC), Управление по надзору за сбережениями (OTS), Национальная Администрация кредитных союзов (NCUA) и Федеральная торговая комиссия (FTC) (вместе именуемые «Агентства»). В 2007 году агентства выпустили совместные окончательные правила красных флажков кражи личных данных.[12]

1 января 2011 года Федеральная торговая комиссия (FTC) начала применять правила красных флажков Закона о справедливых и точных кредитных операциях от 2003 года (Закон FACT). Правило красных флажков требует, чтобы каждое «финансовое учреждение» или «кредитор», в том числе большинство фирм по ценным бумагам, реализовало письменную программу для обнаружения, предотвращения и смягчения последствий кражи личных данных в связи с открытием или обслуживанием «закрытых счетов». К ним относятся потребительские счета, допускающие множественные платежи или транзакции, такие как розничный брокерский счет, счет кредитной карты, маржинальный счет, текущий или сберегательный счет или любые другие счета с разумно предсказуемым риском для клиентов или вашей фирмы от кражи личных данных.

21 июля 2011 года Закон Додда-Франка о реформе Уолл-стрит и защите прав потребителей (Закон Додда-Франка) передал ответственность за нормотворчество и соблюдение правил и руководящих принципов красного флага кражи личных данных Комиссии по ценным бумагам и биржам (SEC) и торговле товарными фьючерсами. Комиссия (CFTC) для фирм, которые они регулируют.

19 апреля 2013 года Комиссия по ценным бумагам и биржам (SEC) и CFTC опубликовала свои совместные окончательные правила и рекомендации, касающиеся красных флажков кражи личных данных, которые вступят в силу 20 мая 2013 года с датой соответствия 20 ноября 2013 года. Эти правила и рекомендации не содержат требований, которые еще не были выполнены. в Правиле и рекомендациях FTC Red Flags, и не расширяйте сферу действия этого правила, чтобы включить новые категории лиц, которые это правило еще не охватывало. Однако они содержат примеры и незначительные языковые изменения, призванные помочь организациям в рамках исполнительного органа SEC соблюдать правило, что может привести к тому, что некоторые организации, которые ранее не соблюдали это правило, определят, что они подпадают под действие правила. правило, принятое SEC и CFTC.

Правило красного флага и кража личных данных

Поскольку правило «красного флага» широко определяет кредиторов, многие предприятия (например, коммунальные предприятия) обязаны собирать личную информацию (такую ​​как SSN и номера водительских прав), которая не нужна для деловых целей. Эта политика противоречит рекомендациям FTC для потребителей о том, что они должны сообщать свой номер социального страхования другим только в случае крайней необходимости.[13] Этот аспект правила «красного флага» имеет непреднамеренные последствия увеличения числа предприятий, у которых есть номера социального страхования потребителей, тем самым подвергая потребителей большему риску кражи личных данных через кражу данных и увеличивая расходы для предприятий, которые обязаны защищать эти данные.

Рекомендации

  1. ^ http://ftc.gov/opa/2010/05/redflags.shtm
  2. ^ а б http://www.govtrack.us/congress/bills/111/s3987
  3. ^ http://ftc.gov/opa/2007/10/redflag.shtm
  4. ^ АКТ О СПРАВЕДЛИВЫХ И ТОЧНЫХ КРЕДИТНЫХ СДЕЛКАХ 2003 ГОДА, Public, Law 108-159, 108-й Конгресс, получено 2009-02-02
  5. ^ http://www.ftc.gov/opa/2008/07/redflagsfyi.shtm
  6. ^ а б c d е ж грамм «Архивная копия». Архивировано из оригинал на 2008-08-13. Получено 2009-07-09.CS1 maint: заархивированная копия как заголовок (связь)
  7. ^ http://www.ftc.gov/opa/2009/04/redflagsrule.shtm
  8. ^ http://www.ama-assn.org/ama1/pub/upload/mm/399/aba-versus-ftc.pdf
  9. ^ http://www.ftc.gov/bcp/edu/pubs/business/idtheft/bus23.pdf
  10. ^ «Кража личных данных» означает мошенничество, совершенное или предпринятое с использованием идентифицирующей информации другого лица без полномочий. См. 16 C.F.R. § 603.2 (а). «Идентификационная информация» означает «любое имя или номер, которые могут использоваться, отдельно или в сочетании с любой другой информацией, для идентификации конкретного человека, включая любое - (1) имя, номер социального страхования, дату рождения, официальное государство или правительство. выданное водительское удостоверение или идентификационный номер, регистрационный номер иностранца, номер государственного паспорта, идентификационный номер работодателя или налогоплательщика; (2) Уникальные биометрические данные, такие как отпечаток пальца, голосовой отпечаток, сетчатка или радужная оболочка глаза или другое уникальное физическое представление; (3) Уникальное физическое представление электронный идентификационный номер, адрес или маршрутный код; или (4) телекоммуникационная идентифицирующая информация или устройство доступа (как определено в 18 USC 1029 (e)) ». См. 16 C.F.R. § 603.2 (b).
  11. ^ См. FCRA§§ 615 (e) (1) (A) - (B), 15 U.S.C. 1681m (e) (1) (A) - (B).
  12. ^ См. Красные флажки кражи личных данных и несоответствия в адресах в соответствии с Законом о справедливых и точных кредитных операциях 2003 г., 72 FR 63718 (9 ноября 2007 г.).
  13. ^ ftc.gov. «Сдерживай минимизируй риск». Архивировано из оригинал на 2011-10-13. Получено 2011-10-14.