虽然为其隐私规定更好地了解,但 格拉姆lecle-blyiley行为 (GLBA)也称为1999年的金融现代化法案,是美国联邦法律,其原有目的是允许银行,保险公司和证券公司等不同类型的金融机构合并。直到那时,这些类型的合并是禁止于1933年的玻璃静坐行为,它被废除了GLBA。

出于关注这些新机构可以访问的数据量,GLBA还包括一套关于金融机构如何保护和保护客户信息隐私的新规则。

联邦贸易委员会(FTC)强制执行GLBA合规性,并有三个关键组成部分:

  • 金融隐私规则如GLBA本身所定义,规定私人财务信息的收集和披露;
  • 保障规则由FTC发布的作为其实施GLBA的一部分,要求公司有措施,以保持客户信息安全;
  • 前言规定, 在GLBA中列出,规定,组织必须根据虚假借口守望个人信息,包括社会工程,网络钓鱼,诈骗等。

GLBA申请谁?

FTC表示,所有为消费者的金融产品或服务等所有公司都必须符合GLBA。一般趋势是假设GLBA仅适用于银行和保险公司。但是,对GLBA合规性没有商业规模要求,任何大量从事提供金融产品或服务的公司都会根据该法案的发病率下降。

其中包括提供在线货币转移服务,抵押贷款经纪人,汽车经销商,债务收藏家,投资顾问和零售商发行自己信用卡的组织。由于联邦学生贷款和其他财务活动,该活动属于银行法范围,高等教育机构也需要符合GLBA。

什么在glba下受到保护?

GLBA保护金融机构直接从消费者那里获得的非公开个人信息,从消费者或通过任何其他方式进行任何交易或服务。它还适用于来自非公共个人信息的列表,描述或消费者组。 公开可用的信息免于GLBA合规性。

非公开个人信息被定义为个人可识别的财务信息(PIFI),其通过专门的数据库或系统识别,验证或搜索个人的财务信息。它由诸如人的社会安全号码,银行账号,信用卡号,姓名或联系方式等信息组成。

消费者与客户vs.

GLBA的金融隐私规则区分消费者和客户。它要求公司向所有客户通知他们的隐私实践,以及如果他们在某些方面与他们的消费者分享他们的信息。

消费者被定义为从主要用于个人使用的金融机构获得金融制度或服务的个人。重要的是要注意的是,金融隐私规则仅适用于个人,而不是商业客户。消费者包括那些使用银行的ATM的人,他们没有与或拒绝贷款申请人开放的账户。

客户是与金融机构继续关系的消费者的一部分。它们是那些拥有开放银行账户,签署租赁或保险政策的人。例如,过去的客户,个人使用金融机构的服务,但已经结束了与它的关系,仍然在GLBA合规性方面被认为是客户。

金融隐私规则

通过金融私隐规则,金融机构必须向客户提供清晰显眼的书面隐私声明,解释了他们对它们收集的数据,其中共享,如何使用信息以及如何保护信息以及如何保护信息以及如何保护信息以及如何保护信息以及如何保护信息以及如何保护信息。组织必须在建立客户关系时提供初始通知,并且随后的年度通知只要与关系持续一样。

如果公司与非公开的第三方共享非公开的财务信息,则需要通知所有消费者,并在分享数据之前将其选择选择在合理的时间内选择退出,并必须以可接受的方式向其提供退出。

谈到非客户消费者时,如果组织需要向他们提供隐私声明,他们可以选择向他们提供短款通知,这必须解释完整的隐私声明可根据要求提供全部隐私声明,描述如何获得它并告知他们他们选择退出的权利。

金融隐私规则有几个例外。他们包括处理或管理消费者所要求或授权的财务交易所需的各种信息共享以及履行信用检查所需的披露。其他例外包括披露以防止欺诈,响应司法程序或传票或遵守联邦,州或当地法律的披露。

保障规则

为了遵守保障措施规则,公司必须制定书面信息安全计划,该计划描述其计划以保护客户信息。公司必须实施适合其规模和复杂性的保障措施,其活动的性质和范围以及其处理信息的敏感性。

作为其计划的一部分,组织必须指定一个或多个员工以协调其信息安全计划。他们必须识别和评估客户数据的风险以及已经到位的保障措施及其效率。 根据本评估,必须设计和实施保障计划。一旦到位,必须定期监控和测试该计划。

公司必须选择具有适当保障的服务提供商,并确保合同符合维护它们。他们还必须监督他们的客户信息处理。最后,必须根据公司业务或运营的相关变更或根据安全测试和监测结果进行评估和调整保障措施计划。

GLBA下的罚款

GLBA不合规以巨大的成本:金融机构须遵守每次违规行为高达100,000美元的民事罚款。组织的官员和董事也适用于每次违规行为的罚款高达10,000美元。

GLBA的某些部分,最重要的是其有关前门的规定,也可以根据美国规范的第18款获得罚款甚至不超过五年监禁。

值得注意的是,GLBA做抢先州法律,这意味着根据受影响的消费者人数,州级执法行动可能导致大规模的法定损害。

Source://www.endpointprotector.com/blog/