2022年9月20日,SEC宣布对一家双重注册投资顾问和经纪自营商(“该公司”)的指控达成和解,并因违反S-P条例(“Reg S-P”)而被处以3500万美元罚款。SEC发现,该公司违反了Reg S-P对注册人的要求,即采取书面政策和程序保护客户记录和信息(“保障规则”),并采取合理措施防止未经授权访问或使用与处理该材料有关的消费者报告信息和记录(“处理规则”)。
这是美国证券交易委员会根据Reg S-P处置规则采取的第一次执法行动,标志着我们可以期待看到未来的检查、调查和和解,重点是对客户PII和消费者报告信息处置不当。正如我们在数据博客中讨论的那样,和解还强调了Reg S-P的执行仍然是委员会的优先事项帖子就在去年,该公司就采取了一系列Reg S-P行动。
公司的数据退役失败
事实
证交会的订单详细说明了公司在数据中心、本地分支服务器和其他项目的退役中,在保护和处理消费者信息方面的一系列失败,包括个人身份信息(“PII”)。SEC命令中详细描述的大部分相关行为涉及公司在选择和有效监控被保留删除、销毁或删除其设备上包含的数据的供应商时缺乏尽职调查。
根据该命令,该公司聘请了一家搬家公司(“搬家公司”)拆除其两个主要数据中心,其中一些设备包含未加密的PII。美国证券交易委员会将这家搬家公司描述为“严格意义上的一家搬家公司”,提供“本地卡车运输、存储和长途搬家”服务,但缺乏数据销毁经验。证券交易委员会发现该公司对搬家公司和处置过程缺乏监督。该搬家公司雇佣了一名未经本公司批准的分包商,而本公司后来忽略了搬家公司未经其批准更换该分包商以及该分包商未正确执行数据销毁的迹象。
结果,SEC发现该公司在不知情的情况下出售了IT资产,包括未清除的硬盘驱动器,其中包含数千份客户个人信息。
关于该公司的服务器退役,SEC发现该公司未能通过销毁证书和保管链证据记录其处理500台服务器设备的工作。根据SEC的命令,该公司后来意识到,其中42台设备失踪了,而且这些设备上的数据并非全部经过加密。美国证券交易委员会还发现,在其他项目中,该公司通过搬家公司及其分包商,没有遵守其处理备份磁带的更高内部要求。
违反
未采用书面的退役政策和程序。
SEC发现,该公司未能采取书面政策和程序,以确定与设备退役有关的高度风险,以及与旧设备或退役设备的转售有关的风险。
未能为供应商采用合理设计的政策和程序。
SEC发现,该公司的书面政策和程序设计不合理,因为他们未能确保使用合格的供应商进行退役项目。该公司保留了该搬家公司,即使它在其内部风险评估中已经意识到该搬家公司没有能力进行所需的工作。该公司的政策和程序也没有确保它审查和批准了分包商,并在随后得知分包商的变化。
SEC的命令发现,该公司的政策和程序也未能对搬家公司的表现提供充分的监督,即使它意识到涉及其记录维护的问题。
未能采取合理措施保护与数据承载设备退役相关的客户PII或消费者报告信息。
美国证券交易委员会发现,该公司没有按照自己的要求记录销毁数据(包括消费者PII或消费者报告信息),也没有执行和监督其销毁备份磁带的政策和程序的遵守情况(即使这些政策和程序认识到与之相关的“重大风险”)。在这里,美国证券交易委员会指出,该公司未能遵守其政策和程序,与移动公司处理的40,000个备份磁带的销毁有关。
执法部门继续关注数据安全和供应商管理
在美国证券交易委员会迅速增长的网络和数据安全执法行动名单中,这一最新记录表明,委员会准备发布重大和解协议,以防止注册人数据处理和处置失败造成投资者损害。执法局局长古尔比尔·格里瓦尔(Gurbir Grewal)强调了这些优先事项,他在和解协议的新闻稿中宣布,“此案中的失误令人震惊”,对客户数据保护不力可能“给投资者带来灾难性后果”。今天的行动向金融机构发出了一个明确的信息,即它们必须认真履行保护此类数据的义务。”巨额罚款凸显了这些问题对SEC的重要性,SEC并不是唯一监管客户个人信息安全或消费者报告信息处理的监管机构。的CFPB而且联邦贸易委员会已经发布了保障规则涵盖在他们管辖范围内受《gramm - lech - bliley法案》约束的实体。联邦贸易委员会还发布了一份处理规则《公平准确信贷交易法》规定,该法案适用于受联邦贸易委员会管辖的任何出于商业目的而维护或以其他方式拥有消费者信息的人。PII的处置也是一个组成部分纽约盾牌法案和纽约DFS第500部分.
该案件还表明,SEC关注第三方供应商在保护消费者数据方面发挥的作用,并基于SEC 2018年针对Voya Financial Advisors违反保障规则的执法行动,在该行动中,SEC在相关部分发现,Voya关于其独立承包商的政策和程序设计不合理,在某些情况下,根本不适用于独立承包商使用的系统。
关键的外卖
该和解协议为注册人以及其他处理覆盖数据的人提供了几个重要的教训,以遵守Reg S-P,特别是处置规则:
- 在数据和设备销毁策略和程序中处理高风险设备.注册人和其他受保障措施和处置规则约束的人应考虑解决可能包含消费者PII或消费者报告信息的数据的不当保护和处置所产生的风险。在内部政策和程序中明确提高此类数据的标准有助于防止对这些数据的不当处理。
- 供应商调查和选择.注册人和其他受保障措施和处置规则约束的人应考虑在其政策和程序中纳入对潜在供应商和分包商进行彻底审查的要求。该审查将包括风险评估,并确定供应商有能力和经验以符合Reg S-P的方式处理和处理消费者PII和消费者报告数据。管理供应商风险评估的政策和程序理想情况下应该有内置的触发器来升级问题。SEC发现,搬家公司缺乏处理数据处理的经验在风险评估中被标记出来,但没有影响他们的选择。
- 持续监督供应商.供应商对消费者PII和消费者报告信息的处理和销毁的保证可能不足以满足Reg S-P的合规性。SEC发现,该公司有能力监督搬家公司对其资产库存的处理,但却选择不履行监督责任。注册人和其他受保障措施和处置规则约束的人不妨制定流程,确保与供应商进行定期监督和核对,以核实数据的删除、传输和/或销毁正在按照合同条款以及保障措施和处置规则的要求持续执行。这种监督可以包括对供应商提供的与处理和处置消费者PII或消费者报告信息相关的文件进行定期审查和验证。SEC发现,如果该公司审查了搬家公司的替换供应商提供的文件,就会发现一些问题,包括某些硬盘驱动器的数据没有被清除。
- 维护和定期更新资产清单.注册人和其他受保障措施和处置规则约束的机构应考虑在其政策和程序中列入审查和更新资产清单的时间表,并注意哪些资产包含敏感信息,包括消费者个人信息信息或消费者报告信息。保持当前的库存和分类将防止设备运输和退役时的头痛,因为设备将根据各自的敏感性级别进行处理。
- 同时记录对政策和程序的遵守情况.如果美国证券交易委员会开始调查或审查,有关如何遵守政策和程序的同期文件将有助于注册人与工作人员分享。鉴于欧盟委员会对供应商管理的审查——在这种情况下,注册人和其他受保障措施和处置规则约束的人对流程的控制必然较低——全面的文件将使注册人和其他受保障措施和处置规则约束的人更好地进行审查或作出执法回应。
如有任何问题,请随时与我们联系。订阅数据博客,请点击这里.
