《GLBA》是美國聯邦法律,旨在解決美國金融業的資料安全和資料隱私實踐。它要求處理個人財務資訊的企業(如銀行、保險公司和貸款提供者)保護這些資料、告知客戶隱私慣例並限制資料共享。
GLBA 摘要
GLBA 的成立是為了解決金融領域內對資料安全和隱私的擔憂。該法規旨在要求組織在處理資料時遵循負責任的做法,以保護消費者的財務資訊並防止敏感資料外洩。
任何「大量從事」金融活動並處理消費者金融資料的企業都必須遵守 GLBA 制定的規則。
這個定義包括傳統意義上的金融機構(如銀行、信用合作社和保 電話號碼數據 險公司),以及通常不屬於這一類別的企業(如貸款經紀人、債務催收人、抵押貸款人、財務顧問和稅務準備人員)。
GLBA 要求這些機構遵守以下規則,旨在保持透明度和問責制,同時降低與資料濫用相關的風險:
金融隱私權規則:金融機構必須提供明確的隱私權聲明,詳細說明如何收集、使用和分享個人資訊。他們還必須為消費者提供選擇退出與非關聯第三方的某些資料共享行為的機會。
保障規則:處理消費者財務資料的企業必須開發、實施和維護強大的資料安全程序,以保護客戶資訊免遭未經授權的存取或洩露。
藉口規則:該條款旨在打擊詐欺和身分盜竊等犯罪活動,規定任何人以虛假藉口獲取、披露或試圖獲取或披露金融機構的客戶資訊都是違法的。
GLBA 更新
2024 年 5 月 13 日,聯邦貿易委員會 (FTC)《消費者資訊保護標準》(「保護規則」)的修正案生效。此次更新對安全實務和資料外洩通知提出了更嚴格的要求。
在修訂之前,GLBA 僅要求金融機構“制定、實施和維護一個全面的安全計劃”,該計劃“包含適當的管理、技術和物理保障措施”,以適應實體的規模和複雜性。
更新後的規則對這些系統提出了更詳細的要求,概述了企業資訊安全計畫必須包含的九個要素。
但最重要的是,它引入了通知要求。如果有 500 人或更多人受到影響,金融機構現在必須向聯邦貿易委員會通報任何未經授權存取客戶資訊的安全事件。在 2023 年採用新規則之前,沒有任何通知要求。先前的提案將門檻設定為 1,000 人,但後來修改為 500 人。
該修正案對強制性違規通知設定了非常低的門檻,使 GLBA 要求與《一般資料保護規範》(GDPR)等國際法規保持一致。
GLBA 定義
下面,我們將介紹《GLBA》中某些概念的定義,以明確該法案如何適用於您的業務。
GLBA 下的金融機構
《GLBA》規定的金融機構是指「從事金融性質的活動或與此類金融活動相關的活動的任何機構」。換句話說,任何向個人提供金融產品或服務的公司,例如貸款、財務或投資建議或保險。
該法案指出,這項定義可以包括「銀行、證券經紀人和交易商、保險承銷商和代理人、金融公司、抵押貸款銀行家和旅行社」。
如果您的公司大量致力於向消費者提供金融產品或服務,則可能會受到 GLBA 法規的約束,並且必須遵守其保護客戶資訊的要求。
- Board index
- All times are UTC
- Delete cookies
- Contact us