SEC新规要求金融公司披露安全事件

关键要点

SEC证券交易委员会新规要求金融公司在个人信息受影响时向客户披露安全事件。新规适用于经纪商、投资公司、注册投资顾问及转移代理。报告标准不考虑事件是否为重大事件，且需在30天内通知受影响的客户。有关个人信息的专注可能会使金融公司忽视其他敏感数据类型的安全性。

信贷 wutzkohphoto / Shutterstock

SEC宣布了一项针对某些金融公司的规则更改，要求在安全事件影响客户个人信息时提供更多客户披露并强制建立事件响应程序。然而，这项新规对企业金融公司可能不会产生实质性变化，因为它们已经被要求进行此类披露或已经具备事件响应程序。

SEC主席Gary Gensler在一份声明中表示：“在过去的24年中，数据泄露的性质、规模和影响发生了重大变化。这些修正案将有助于保护客户的财务数据隐私。对于受涵盖公司而言，基本概念是：如果你发生了泄露，那么你就必须通知。这对于投资者来说是好事。”

这项新规则是对《SP规则》的修订，仅适用于经纪商包括资金门户、投资公司、注册投资顾问和转移代理。

SEC指出，披露标准与事件是否重大无关。其目的是在公司意识到事件发生或可能发生后，尽快而不超过30天通知那些敏感客户信息遭到未经授权访问或使用的个人。

网络安全问题的律师Mark Rasch曾领导美国司法部的高科技犯罪小组，他对CSO表示，新规“指示公司加固它们几十年来一直在保护的东西。但SEC现在是说‘你们现在真的得去做了。’这就像小孩上床睡觉的规则：‘这次我是真的让你去睡觉。’”

Rasch同时也为威胁情报公司Unit221B提供法律咨询，他提到新规要求建立事件响应程序，但并未具体规定该程序的具体样子。他强调，“如何评估其有效性？只有在它不起作用且发生安全问题时，才会知道。”

他建议首席信息安全官(CISO)继续按照历史惯例进行操作：参考NIST指南，以制定合适的事件响应程序。

新规引发的问题

Rasch还表达了对新规的担忧，认为其过于聚焦于个人信息，而忽视了其他多种敏感金融数据，例如内部交易的证据。“仅仅聚焦个人信息，许多公司可能会忽略其他重要内容，这是一种错误，”Rasch说道。

他还指出，新规将信息披露的要求局限于金融机构，而未考虑其众多第三方的重要性。“这是一个重大疏忽，因为第三方服务提供商往往在数据管理中发挥关键作用，并可能成为安全链中的薄弱环节。如果没有对第三方的强制保护，整体系统安全可能会受到影响。”

SEC专员Hester Peirce对新规投了赞成票，但也表达了对可能产生通知疲劳的担忧，这可能导致人们最终忽略所有安全通知。“我对这项规则最大担忧是其广泛性可能会削弱客户通知的价值，使其变得如此普遍以至于人们忽视它们。在某个时刻，这些通知将失去预期效果。如果受限机构在做出合理判断后不发送通知被怀疑，那么它们就可能会冒着发送不必要通知的风险。”Peirce在声明中问道：“如果你每几个月就收到一次通知，或者每个月、每周都收到通知，你的行为会有什么变化？ 如果你从

白鲸加速器下载