2024 年回顾：数据隐私和网络安全

快速阅读: 据《JD Supra》最新报道，2024年，消费者金融服务监管机构加强了对数据隐私和网络安全的关注。NYDFS和CFPB发布了多项法规和报告，涉及人工智能风险、消费者数据货币化及网络安全合规。一系列执法行动处罚了违规公司，强调了强化行业标准和消费者保护的重要性。

展望2025年：消费者金融服务监管机构对人工智能（AI）技术及消费者数据共享与货币化的关注持续升温。监管机构不仅更加重视金融服务公司在网络安全事件中的合规性、准备度及响应能力，而且在事件后展开调查和执法行动的频率显著增加。

**2024年的关键趋势**
消费者金融服务监管机构正进一步拓展其在数据隐私和网络安全领域的影响力和专业能力。尽管历史上及目前州级监管机构在这领域的监督和执法活动较联邦监管机构更为积极，尤其是在通过联合协调和针对特定金融服务行业的重点监管方面，但消费者金融保护局（CFPB）明确表示有意扩大其在这一领域的管辖权。尽管2024年面向金融服务公司的公开执法案件数量相对较少，但Goodwin预计未来会有更多执法行动，以提高金融服务行业在责任追究方面的表现。2025年，新任CFPB主任的上任或将决定该机构是否会深入介入或逐步退出数据隐私和网络安全领域。

**关于人工智能引发的网络安全风险的行业信函**
NYDFS指出，其网络安全法规要求受监管实体“评估风险并实施最低限度的网络安全标准，以减轻与其业务相关的网络安全威胁，包括由人工智能引起的威胁”。同时，信函列举了一系列有助于公司防范人工智能相关风险的控制措施和措施。

**消费者金融数据货币化报告**
2024年11月，CFPB发布了一份报告，总结了赋予消费者更多数据控制权的州法规，并指出由于《格莱姆-里奇-布莱利法案》或《公平信用报告法》适用于金融机构而产生的州法规豁免所带来的保护缺口。该报告还讨论了金融机构正在构建的新商业模式，随着更先进的数据收集和货币化方法日益普及，对保护需求的上升，以及提供扩展消费者权利的州法规，提出了政策制定者未来应努力解决的空白。

**NYDFS修订后的网络安全法规正式施行**
2024年11月，NYDFS修订后的网络安全法规正式施行。这些法规最初于2023年11月修订，有多个滚动生效日期。多项规定，包括要求非豁免受监管实体的首席信息安全官及时向公司领导层报告重大网络安全问题，以及高级管理层承担新的网络安全职责的规定，在2024年11月生效。此外，自2024年11月起，受监管公司被要求加密所有转移到外部系统的非公开信息，修订其事件响应计划以符合新法规，并实施书面灾难恢复计划，明确在发生与网络相关的事件时继续运营所需的所有项目。

**NYDFS就远程技术工人带来的威胁发出行业信函**
2024年11月，NYDFS发布了一封行业信函，敦促组织在招聘远程员工时保持谨慎，因为越来越多位于朝鲜民主主义人民共和国的个人误导公司关于他们的位置，以赚取收入并可能获取系统或数据的访问权限。NYDFS进一步鼓励公司在招聘过程中进行尽职调查，并实施技术控制，包括跟踪和地理定位公司笔记本电脑，确保它们被送达并留在最初报告的地址。

**CFPB发布的最终规定**
2025年1月，CFPB发布的最终规定——2024年10月发布——要求银行、信用社和其他金融服务提供商以安全可靠的方式向消费者提供请求其信息的权利。该规定的其他目的之一是允许消费者自由转移其银行记录和数据，如果他们更换金融机构的话。新规定定义了第三方访问消费者数据的义务，包括重要的隐私保护，并根据CFPB的说法，促进了公平、开放和包容的行业标准。

**2024年执法亮点**

– **NYDFS与Genesis Global Trading达成同意令**
2024年1月，NYDFS与Genesis Global Trading达成同意令，Genesis支付了800万美元的罚款，涉及违反虚拟货币和网络安全法规的行为，包括未能维持合规的反洗钱和网络安全政策和程序。NYDFS特别指出Genesis未能进行风险评估，这应该是一家公司的网络安全计划的基础；充分加密非公开个人信息；并提供对NYDFS合规的适当认证。

– **SEC指控并和解技术公司关于误导性声明**
2024年10月，证券交易委员会（SEC）公开了几项针对技术公司关于其网络安全风险和漏洞披露的执法行动。SEC还指控其中一家公司违反了披露控制。总计，四项执法行动对这些公司处以近700万美元的民事罚款。根据SEC的说法，这些公司在其公开文件中轻描淡写地处理了网络安全漏洞的影响，这些执法行动“反映了虽然上市公司可能成为网络攻击的目标，但它们有责任不通过提供有关遇到的网络安全事件的误导性声明进一步伤害股东或其他投资者公众成员。”

– **FTC关注敏感消费者数据的收集和使用**
2024年12月，联邦贸易委员会（FTC）对两家大型数据聚合商提交了一份拟议的和解命令。根据FTC的说法，这些公司在收集和转移敏感消费者数据时采取了不公平做法。特别值得注意的是，FTC禁止在未获消费者知情同意的情况下从实时竞价（RTB）平台收集消费者数据。RTB平台用于向广告商出售数字广告空间，并可能涉及在拍卖过程中出售消费者个人信息，如位置，以便广告商可以制作位置定向广告。2024年12月的和解与FTC今年其他执法行动一致，也聚焦于数据经纪人在未获消费者知情同意情况下出售位置数据的行为。

[查看来源。]

(以上内容均由Ai生成)