Флаги Правило Red было создано Федеральной комиссией по торговле (FTC), наряду с другими государственными органами , такие , как Национальная администрация кредитных союзов (NCUA), чтобы помочь предотвратить кражи личных данных . Правило было принято в январе 2008 года и должно было вступить в силу к 1 ноября 2008 года. Но из-за противодействия оппозиции Федеральная торговая комиссия отложила введение в действие до 31 декабря 2010 года [1].
В декабре 2010 г. «Правило красных флажков» было разъяснено Законом о разъяснении программы «красных флажков» от 2010 г. [2], чтобы исключить большинство врачей, юристов и других специалистов, которые не получают полную оплату в то время, когда оказываются их услуги.
История
Правило «красных флажков» было основано на статьях 114 и 315 Закона о справедливых и точных кредитных операциях от 2003 года [3] (FACTA).
FACTA был введен, чтобы помочь
- Предотвращение кражи личных данных и восстановление кредитной истории,
- Улучшения в использовании и доступе потребителей к кредитной информации,
- Повышение точности информации в отчетах потребителей,
- Ограничение использования и обмена медицинской информацией в финансовой системе,
- Повышение финансовой грамотности и образования,
- Защита расследований неправомерных действий сотрудников и
- Отношение к государственным законам. [4]
Покрытие
Это правило применяется к двум различным группам: финансовые учреждения и кредиторы. [5] Финансовое учреждение определяется как государственный или национальный банк, ссудо-сберегательная ассоциация штата или федерация, банк взаимных сбережений, кредитный союз штата или федеральный кредитный союз или любое другое лицо, имеющее «транзакционный счет», принадлежащий потребителю. . [6] Определение «кредитора» FACTA применяется к любому лицу, которое регулярно предоставляет или продлевает кредит - или принимает меры к тому, чтобы другие сделали это, - и включает все организации, которые регулярно разрешают отсроченные платежи за товары или услуги [7]
Определение кредитора было разъяснено Законом о разъяснениях в рамках Программы красных флагов 2010 года. [2] Согласно Закону о разъяснениях кредитор регулярно и в ходе своей деятельности:
- Получает или использует потребительские кредитные отчеты;
- Предоставляет информацию агентствам по информированию потребителей; или же
- Авансирует средства, которые необходимо вернуть в будущем (или под залог).
Это определение было дополнительно уточнено Апелляционным судом Соединенных Штатов по округу Колумбия в его постановлении от 4 марта 2010 г. «Американская ассоциация адвокатов против Федеральной торговой комиссии». [8] Суд подтвердил заявление сенатора Додда относительно законопроекта о том, что «юристы, врачи, ... и другие поставщики услуг [] больше не классифицируются как« кредиторы »с точки зрения правила красных флажков только потому, что они не получают оплату. в полном объеме от своих клиентов в то время, когда они предоставляют свои услуги ".
Это правило применяется ко многим различным компаниям: этот список включает, помимо прочего, финансовые компании, автомобильных дилеров, ипотечных брокеров, коммунальные предприятия и телекоммуникационные компании; или любая другая компания, которая предоставляет средства или регулярно взаимодействует с агентствами потребительского кредитования при оказании услуг и получении оплаты после завершения работы
Элементы
Правило красных флажков определяет, как определенные предприятия и организации должны разрабатывать, внедрять и администрировать свои программы предотвращения кражи личных данных. Программа должна включать четыре основных элемента, которые вместе создают основу для борьбы с угрозой кражи личных данных. [9] [10]
Программа состоит из четырех элементов:
1) Определите соответствующие красные флажки
- Выявление вероятных тревожных сигналов от кражи личных данных, связанных с конкретным бизнесом
2) Обнаружение красных флажков
- Определите процедуры для выявления красных флажков в повседневной работе
3) Предотвращение и предотвращение кражи личных данных
- Действия по предотвращению и уменьшению вреда при выявлении красных флажков
4) Обновить программу
- Поддерживать программу красных флагов, включая обучение эксплуатационного персонала
Правила «красных флажков» предоставляют всем финансовым учреждениям и кредиторам возможность разработать и реализовать программу, соответствующую их размеру и сложности, а также характеру их операций. [6]
Красные флаги делятся на пять категорий:
- оповещения, уведомления или предупреждения от агентства по информированию потребителей [6]
- подозрительные документы [6]
- подозрительная идентифицирующая информация, например подозрительный адрес [6]
- необычное использование или подозрительная деятельность, связанная с защищенной учетной записью [6]
- уведомления от клиентов, жертв кражи личных данных, правоохранительных органов или других предприятий о возможной краже личных данных в связи с покрытыми счетами [6]
FTC создала шаблон для предприятий, который можно заполнить в соответствии с потребностями отдельной компании. Шаблон можно найти на сайте FTC. Однако этот шаблон подходит только для небольших предприятий с очень низким уровнем риска.
Согласие
Закон о справедливой кредитной отчетности 1970 года с поправками 2003 года (FCRA) требовал от нескольких федеральных агентств издать совместные правила и руководящие принципы в отношении обнаружения, предотвращения и смягчения последствий кражи личных данных для организаций, которые подпадают под действие их соответствующих правоохранительных органов (также известных как «правила красных флажков кражи личных данных»). [11] Этими агентствами были Управление финансового контролера (OCC), Совет управляющих Федеральной резервной системы (Federal Reserve Board), Федеральная корпорация по страхованию вкладов (FDIC), Управление по надзору за сбережениями (OTS) , Национальное управление кредитных союзов (NCUA) и Федеральная торговая комиссия (FTC) (вместе именуемые «Агентства»). В 2007 году агентства выпустили совместные окончательные правила красных флажков кражи личных данных. [12]
1 января 2011 года Федеральная торговая комиссия (FTC) начала обеспечивать соблюдение Закона о справедливых и точных кредитных операциях 2003 года (Закон FACT) о красных флажках. Правило красных флажков требует, чтобы каждое «финансовое учреждение» или «кредитор», в том числе большинство фирм по ценным бумагам, реализовало письменную программу для обнаружения, предотвращения и смягчения последствий кражи личных данных в связи с открытием или обслуживанием «покрытых счетов». К ним относятся потребительские счета, которые разрешают множественные платежи или транзакции, такие как розничный брокерский счет, счет кредитной карты, маржинальный счет, текущий или сберегательный счет или любые другие счета с разумно предсказуемым риском для клиентов или вашей фирмы от кражи личных данных.
21 июля 2011 года Закон Додда-Франка о реформе Уолл-стрит и защите прав потребителей (Закон Додда-Франка) передал ответственность за нормотворчество и соблюдение правил и руководящих принципов красного флага кражи личных данных Комиссии по ценным бумагам и биржам (SEC) и торговле товарными фьючерсами. Комиссия (CFTC) для фирм, которые они регулируют.
19 апреля 2013 года Комиссия по ценным бумагам и биржам (SEC) и CFTC опубликовала свои совместные окончательные правила и рекомендации, касающиеся красных флажков кражи личных данных, которые вступят в силу 20 мая 2013 года с датой соответствия 20 ноября 2013 года. Это правило и рекомендации не содержат требований, которые еще не были выполнены. в Правиле и рекомендациях FTC Red Flags, и не расширяйте сферу действия этого правила, чтобы включить новые категории лиц, которые это правило еще не охватывало. Тем не менее, они содержат примеры и незначительные языковые изменения, призванные помочь организациям, входящим в исполнительный орган SEC, соблюдать правило, что может привести к тому, что некоторые организации, которые ранее не соблюдали это правило, определят, что они подпадают под действие этого правила. правило, принятое SEC и CFTC.
Правило красного флага и кража личных данных
Поскольку правило красного флага широко определяет кредиторов, многие предприятия (например, коммунальные предприятия) обязаны собирать личную информацию (такую как SSN и номера водительских прав), которая не нужна для деловых целей. Эта политика противоречит рекомендациям FTC для потребителей о том, что они должны раскрывать свой номер социального страхования другим только в случае крайней необходимости. [13] Этот аспект правила красного флага имеет непреднамеренные последствия увеличения числа предприятий, у которых есть номера социального страхования потребителей, тем самым подвергая потребителей большему риску кражи личных данных через кражу данных и увеличивая расходы для предприятий, которые обязаны обеспечивать это. данные.
Рекомендации
- ^ http://ftc.gov/opa/2010/05/redflags.shtm
- ^ а б http://www.govtrack.us/congress/bills/111/s3987
- ^ http://ftc.gov/opa/2007/10/redflag.shtm
- ^ ЯРМАРКА И ТОЧНЫЕ КРЕДИТНЫЕ ОПЕРАЦИИ Закона 2003 , Public, Закон 108-159, Конгресс сто восьмого , извлекаться 2009-02-02
- ^ http://www.ftc.gov/opa/2008/07/redflagsfyi.shtm
- ^ Б с д е е г «Архивная копия» . Архивировано из оригинала на 2008-08-13 . Проверено 9 июля 2009 .CS1 maint: заархивированная копия как заголовок ( ссылка )
- ^ http://www.ftc.gov/opa/2009/04/redflagsrule.shtm
- ^ http://www.ama-assn.org/ama1/pub/upload/mm/399/aba-versus-ftc.pdf
- ^ http://www.ftc.gov/bcp/edu/pubs/business/idtheft/bus23.pdf
- ^ «Кража личных данных» означает мошенничество, совершенное или предпринятое с использованием идентифицирующей информации другого лица без полномочий. См. 16 CFR § 603.2 (a). «Идентификационная информация» означает «любое имя или номер, которые могут использоваться, отдельно или в сочетании с любой другой информацией, для идентификации конкретного лица, включая любое - (1) имя, номер социального страхования, дату рождения, официальное государство или правительство. выданные водительские права или идентификационный номер, регистрационный номер иностранца, номер государственного паспорта, идентификационный номер работодателя или налогоплательщика; (2) Уникальные биометрические данные, такие как отпечаток пальца, голосовой отпечаток, изображение сетчатки или радужной оболочки глаза или другое уникальное физическое представление; (3) Уникальный электронный идентификационный номер, адрес или маршрутный код; или (4) телекоммуникационная идентифицирующая информация или устройство доступа (как определено в 18 USC 1029 (e)) ». См. 16 CFR § 603.2 (b).
- ^ См. FCRA §§ 615 (e) (1) (A) - (B), 15 USC 1681m (e) (1) (A) - (B).
- ^ См. Красные флажки кражи личных данных и несоответствия в адресах в соответствии с Законом о справедливых и точных кредитных операциях от 2003 г., 72 FR 63718 (9 ноября 2007 г.).
- ^ ftc.gov. «Сдерживайте минимизацию риска» . Архивировано из оригинала на 2011-10-13 . Проверено 14 октября 2011 .