正如我们在之前的文章中所指出的,2022年8月11日,联邦贸易委员会(“FTC”)宣布它的拟制定规则的预先通知(“ANPR”)就95个问题征求公众意见,这些问题集中在“商业监视和宽松的数据安全实践”带来的危害,以及是否需要根据《联邦贸易委员会法案》第18条制定新的贸易监管规则来保护人们的隐私和信息。
ANPR是在联邦公报上发表2022年8月22日,并在2022年10月21日的60天内结束评议期。此外,在2022年8月29日,联邦贸易委员会发布了最后的议程2022年9月8日上映商业监控与数据安全公共论坛征求公众对ANPR的意见。
联邦贸易委员会长期以来一直关注数据安全,ANPR及其伴随的问题似乎表明,委员会专注于使用规则制定来编纂其报告中概述的许多合理的安全实践倡议、执法行动、公开声明和指导。为了为联邦贸易委员会关于数据安全的潜在规则制定做好准备,企业应该继续发展联邦贸易委员会合规计划-包括合理的安全保障措施和网络安全计划-通过评估联邦贸易委员会最近的行动和指导。
在我们的数据博客系列的第3部分中,我们将重点讨论与数据安全相关的FTC ANPR。第4部分将介绍人工智能、算法和辨别。在此之前,第1部分提供了ANPR的概述和联邦贸易委员会规则制定过程的背景第2部分注重隐私。
ANPR提出的关键数据安全主题
正如ANPR的问题所示,联邦贸易委员会正在就“潜在的新贸易监管规则如何要求或帮助激励合理的数据安全”征求意见,并专注于评估新规则是否应该:
- 立法禁止在消费者数据安全方面的欺骗性声明,授权联邦贸易委员会对首次违规行为寻求民事处罚;
- 要求企业实施行政、技术和物理数据安全措施,包括加密技术,以防止涉及数据的安全性、机密性或完整性面临风险;
- 实施数据最小化或目的限制关于数据的收集、使用和保留;
- 要求公司证明其数据操作符合联邦贸易委员会或第三方实体制定的明确安全标准;
- 借鉴《儿童在线隐私保护法》(“COPPA”)规则或《Gramm-Leach-Bliley法案》(“GLBA”)、保障规则,为更一般的数据安全规则或更具体的行业规则提供建设性指导;而且
- 考虑其他已经包括数据安全要求的美国法律和其他政府的数据安全要求(例如,GDPR)。
联邦贸易委员会对数据安全的持续关注
自2002年以来,如其2020年所述保护消费者隐私和安全所使用和需要的资源报告在美国,联邦贸易委员会已经对涉嫌从事不公平或欺骗性行为的公司提起了70多起诉讼,其中包括对消费者个人数据保护不力。此外,联邦贸易委员会的最近的执法行动在数据泄露之后,继续解决合理的安全性以及公司的行动和实践问题。
联邦贸易委员会已采取措施解决企业数据泄露报告问题,包括那些处理消费者健康信息的企业自发布之日起施行而且执行的健康状况违反通知规则适用于HIPAA不覆盖的实体。联邦贸易委员会定期审查运行状况违反通知规则,最近发布了2021年9月的政策声明申明收集或使用消费者健康信息(例如,生育能力、心脏健康、血糖水平)的健康应用程序和连接设备必须遵守该规则。联邦贸易委员会还根据行业特定法规颁布和修订了规则,例如杯而且GLBA.例如,2021年10月,联邦贸易委员会宣布重大更新GLBA保障规则和2022年5月发布了指导意见以帮助公司遵守修订后的规则。如ANPR所述,委员会目前正在进行定期检讨COPPA规则和COPPA的执行。此外,在2022年8月25日,FTC发布了其向国会报告COPPA人员配备、执行和补救措施,详细列出过去五年有关违反《COPPA规则》的调查次数,以及(如适用)获得的救济类型。
在过去的几年里,联邦贸易委员会还发表了一系列的博客文章,讨论了广泛的数据安全主题,包括有效的违规披露的重要性和数据安全问题违约披露要求,保护敏感信息,数据泄露预防和响应,公司董事会监督,ransomware预防,以及需要修复Log4j漏洞.
虽然联邦贸易委员会的执法行动是针对公司的,可能并不适用于每个公司,但作为一般规则,联邦贸易委员会的这些行动应被视为公司审查ANPR并考虑改善其数据安全计划的潜在领域。
数据安全风险的缓解策略
尽管与ANPR相关的新贸易监管规则的颁布可能还需要几年时间(如果规则制定过程继续进行的话),但企业可以将ANPR视为风险缓解战略的潜在路线图。虽然每个公司都是不同的,因此应该进行个性化的风险评估,通常这些策略可能包括:
- 实施书面信息安全计划,这可能包括书面标准、政策、程序或做法(包括定期测试和评估),例如适用于对服务提供者的监督的标准、政策、程序或做法。
- 专注于增强与数据生命周期相关的实践和过程,包括映射、保留、删除和销毁。公司应该考虑实施一个系统的流程,对不再需要的消费者个人信息进行分类和删除,特别是考虑到数据最小化和目的限制要求的上升。正如联邦贸易委员会所解释的那样,公司应采取措施了解他们收集、使用和处理的数据类型,并应考虑实施适当的处理程序,特别是对敏感数据。数据最小化还可以帮助企业限制威胁行为者可用的攻击面,并帮助企业识别可能需要额外保护和保障措施的最重要数据集。
- 将网络安全控制映射到现有的网络安全框架(例如,NIST, CIS controls, ISO)。一种方法是进行风险评估,其中包括对网络安全控制的审查,将控制映射到框架,然后将这些发现映射到现有和拟议的法规。风险评估结果可与高级管理层和董事会共享,并可作为持续网络成熟度的路线图。例如,公司可以评估“这个概要文件由网络风险研究所开发,该研究所将法规映射到扩展的NIST框架。
- 实施合理的资料保安措施,以保护他们从客户收集的个人资料。这些做法因不同类型的公司而异,但可能包括要求严格的密码策略和访问控制、划分网络、禁止明文存储消费者个人信息、加强对特权账户的记录和监控、为员工提供足够的安全培训、对连接到公司网络的设备进行清查,以及遵循适当的事件响应程序(例如:监控该公司网络中以前入侵所用的恶意软件)。公司也可以考虑共同的主题和最近的发展州法律网络安全要求.
- 定期测试和评估公司信息安全计划中关键控制、系统和程序的有效性。特别是,公司应该考虑他们是否正在实施一个流程来接收和处理来自第三方研究人员、学者和其他公众成员的安全漏洞报告。公司还可以考虑采取措施,充分评估存储在公司网络上的消费者个人信息所面临的网络安全风险,评估公司是否应对公司软件进行充分的代码审查,对公司网络和软件进行渗透测试,实施补丁管理政策和程序等控制,在遗留系统中进行合理的入侵保护控制,以及针对已知和合理可预见的漏洞的现成保护措施。
- 执行合同尽职调查关于服务提供商和第三方,并确保合同保护和持续监控到位,以保护公司的网络、数据和消费者的数据。为此,公司应考虑通过合同要求服务提供商采用和实施信息安全标准、政策、程序或实践,并充分监督服务提供商。公司还应考虑限制第三方在公司网络上上传未知文件的位置,并充分限制第三方供应商对网络的访问(例如,通过限制连接到指定的IP地址或在必要时授予临时、有限的访问权限)。
结论
为了在任何新法规颁布之前加强数据安全计划的准备和合规性,企业应审查ANPR,评估其数据安全实践是否可能受到ANPR的关键主题和问题的影响,并考虑根据联邦贸易委员会的指导和执法行动重新审查和加强其计划。
如上所述,第1部分本数据博客系列提供了当前ANPR的背景,以及联邦贸易委员会根据《联邦贸易委员会法案》第18条制定规则的方法的背景。第2部分注重隐私。第4部分将介绍人工智能、算法和辨别。
订阅数据博客,请点击这里.
作者要感谢Debevoise前法律助理Lily Coad在Debevoise数据博客上所做的工作。
