2022年7月27日,美国证券交易委员会(“SEC”)分别指控三家金融机构违反了条例S-ID(“Reg S-ID”)第201条,也被称为身份盗窃红旗规则(“红旗规则”)。多项Reg S-ID执法和解的宣布(所有这些都由SEC最近扩大的加密资产和网络部门调查,源于检查部门的转述)强调了SEC在整个机构范围内对Reg S-ID合规性的关注。值得注意的是,这是自2018年SEC首次提起Reg S-ID诉讼以来,SEC首次提起Reg S-ID案件。
SEC的命令详细说明了每家公司的身份盗窃预防计划(“ITPP”)中的许多缺陷,向注册人提供了委员会对遵守Reg S-ID的期望的概述,并强调了委员会对证券市场网络安全缺陷的越来越多的审查。
该命令规定,注册人必须为每个公司制定专门的itpp,并更新以涵盖新的风险。鉴于不断变化的身份盗窃威胁形势,企业应考虑建立跨职能团队,从业务、合规、法律、隐私和网络领域汲取资源,以应对这些网络安全风险。
Reg S-ID需求概述
Reg S-ID规则201要求金融机构和债权人定期确定他们是否提供或维护“覆盖账户”,其定义为(i)主要为个人、家庭或家庭目的提供或维护并涉及或旨在允许多次付款或交易的账户,以及(ii)存在合理可预见的身份被盗用风险的任何其他账户。
提供或维护覆盖账户的金融机构或债权人必须制定并实施书面身份盗窃预防计划。该程序必须:
- 旨在检测、防止和减轻与开立受保护帐户或任何现有受保护帐户有关的身份盗窃;
- 与金融机构或债权人的规模和复杂程度及其活动的性质和范围相适应;
- 制定合理的政策和程序,以识别覆盖账户的危险信号,将这些危险信号纳入计划,检测已纳入的危险信号,并对检测到的任何危险信号作出适当的响应;而且
- 包括合理的政策和程序,以确保计划和任何被确定为相关的危险信号定期更新,以反映客户和金融机构或债权人身份盗窃的安全和稳健风险的变化。
金融机构或债权人还必须:
- 提供项目的持续管理;
- 获得董事会(或适当的委员会)对初始书面方案的批准;
- 让董事会(或董事会的适当委员会或高级管理层的指定人员)参与计划的监督、制定、实施和管理;
- 必要时培训员工有效实施身份盗窃预防方案;而且
- 对服务提供者的安排进行适当和有效的监督。
Reg S-ID附录A包含了每个金融机构或债权人应酌情考虑纳入其计划的标准,如危险信号的类别和示例、更新计划时应考虑的因素以及监督服务提供者的指导方针。
2022年7月27日的命令
美国证券交易委员会于2022年7月27日发布的三份命令源于类似的调查结果。其中两家被指控的公司是全球金融服务机构,拥有双重注册的经纪自营商和投资顾问。第三个是向零售客户提供在线经纪服务的经纪自营商。
这些命令涉及2017年至2019年期间的违规行为。这些订单都没有详细说明由于违规行为给客户造成的实际损失或身份被盗。相反,这些命令发现,每家公司都未能按照规定保持适当的程序。在不承认或否认SEC调查结果的情况下,这些公司同意停止未来的违规行为和谴责,并支付42.5万至120万美元不等的罚款。这些和解协议值得注意的另一个原因是,它们源于审查司向执法司的移交,表明网络安全仍然是整个委员会的优先事项。
SEC关注Reg S-ID和网络安全执法
SEC的和解协议指出,尽管这三家公司都有itpp,但它们未能根据各自的业务调整项目,并及时更新项目。因此,根据SEC的说法,每家公司都未能满足Reg S-ID的几个要求。
SEC认为,这三家被指控的公司的程序都未能包括合理的政策和程序,以(1)识别、纳入、检测和适当应对危险信号,(2)确保其程序定期更新以反映不断变化的风险。SEC指责两家公司各自的ITPPs只是重申了Reg S-ID的一般法律要求,而没有提供针对公司特定业务模式量身定制的识别、检测和应对危险信号的具体指导。证交会还发现了以下方面的缺陷:对服务提供商的监管;培训员工实施资讯科技及资讯科技计划;向董事会报告(当董事会负责监督ITPP时);定期检讨新或现有类型的客户帐户,以确定它们是否属于“保障帐户”;以及ITPP更新,以反映新出现的网络安全风险。
2022年7月的行动标志着SEC第二次对违反Reg S-ID提出指控。2018年9月,SEC提出指控双重注册的经纪自营商和投资顾问违反了Reg S-ID和条例S-P的保障规则,涉及网络入侵,损害了客户的个人信息。与2022年7月的Reg S-ID和解类似,SEC发现该公司没有审查和更新ITPP以应对风险变化,没有为员工提供足够的培训,没有确保董事会对该计划进行充分的监督,也没有合理的政策和程序来应对危险信号。然而,值得注意的是,在2018年的事情中,有一个潜在的身份盗窃凸显了SEC的缺陷,而在目前的事情中,命令中没有讨论身份盗窃的实例,这表明委员会将毫不犹豫地指控网络安全违规,即使没有对投资者造成实际伤害。
从SEC执行Reg S-ID合规的关键要点
Reg S-ID的三起和解强调,SEC注册人应定期审查其书面ITPPs是否符合Reg S-ID。重要的考虑因素包括:
- 根据每家公司的风险,在ITPP中识别并纳入危险信号:企业应重新审查其itpp,以确保其包含合理的政策和程序,以识别和纳入与其机构或自身身份盗窃风险相关的特定危险信号。例如,尽管Reg S-ID的附录A包含了一长串潜在的身份盗窃危险信号,但公司不应该不假思索地全盘采用这个列表,而是可以只识别和合并那些公司认为与其商业模式相关的危险信号。此外,如果公司没有获得和审查与开立覆盖账户有关的消费者报告,其ITPP不应引用与从消费者报告机构收到的信息相关的危险信号。另一方面,当公司遇到特定形式的社会工程或账户收购欺诈时,政策可以更新以反映和解决这些风险。反过来,在确定相关的危险信号类别时,公司应该考虑适用于自己业务的因素,比如它提供或维护的覆盖账户类型,开立和访问账户的方法,以及之前的身份盗窃经验。
- 检测和响应红旗:公司应考虑其itpp是否包含合理的政策和程序,以发现危险信号并对其作出适当反应。例如,对危险信号可能适当的回应包括拒绝开设新账户和通知执法部门。公司应该考虑为员工提供具体的步骤来处理危险信号。
- 根据风险变化定期更新:公司应考虑其itpp是否包含合理的政策和程序,以确保定期更新以反映不断变化的风险。SEC的和解协议强调,近年来“与身份盗窃相关的外部网络安全风险发生了重大变化”。没有定期对itpp进行重大更改以反映新兴网络安全风险格局的公司应考虑评估不断变化的与身份盗窃相关的风险,并相应地更新其计划。此外,如果公司的ITPP声明公司将定期审查和更新它,政策也可以描述审查的频率和政策更新的机制。
- 评估“保障帐户”:公司应考虑制定、维持和实施政策和程序,以确定他们是否维持或提供“保障帐户”,并确定所提供的新类型的保障帐户。SEC的和解方案建议,公司应根据具体提供或维护的覆盖账户类型来识别危险信号,并应进行风险评估或其他评估,以确定其提供或维护的账户类型。
- 跨职能的合规:创建和更新ITPP以满足公司特定风险的过程受益于跨职能利益相关者团队的投入。例如:客户服务代表可以与客户(以及骗子)分享他们的经验;网络安全团队可以识别新的账户接管欺诈方法;隐私团队可以分享违规通知的经验;法律和合规团队可以一起更新。跨职能团队可以帮助促进持续合规,特别是在全球金融机构,因为相关责任和职责可能由多个小组分担。
- 董事会的参与: ITPPs应处理董事会(或其委员会或高级管理层指定人员,视情况而定)的参与问题。具体而言,公司应考虑向董事会提供针对该计划和遵守Reg S-ID的报告。这样的报告可以包括关于该计划的有效性、与身份盗窃相关的重大事件和管理层的反应,以及与公司身份盗窃相关的度量标准的充分信息。此外,公司应考虑记录任何董事会层面关于遵守Reg S-ID的讨论。
- 员工培训:商号应考虑为员工提供培训,让他们了解如何有效地推行“资讯科技及防护计划”,包括如何识别、侦测、监察及回应危险讯号。
- 对服务提供者的监督企业应考虑评估他们是否对服务提供者进行了适当和有效的监督,包括他们的活动是否符合合理的政策和程序,以发现、预防和减轻身份盗窃。
最后,即使公司采取行动应对实际的身份盗窃事件,其书面ITPP也应将这些行动包括在其政策和程序中。重要的是,如果一家公司有合理的政策和程序,它应该确保遵守它们。
您可以查阅我们以往有关美国证券交易委员会在数据和网络安全相关事项上的执法行动的报道(在这里,在这里,在这里,在这里,在这里).
订阅数据博客,请点击这里.
作者要感谢Debevoise法律助理Lily Coad在Debevoise数据博客上所做的工作。
