Bresta de date Equifax dezvaluita pe 7 septembrie – care a expus informatiile personale a aproximativ 143 de milioane de consumatori americani – continua sa fie una dintre cele mai mari povesti ale anului. Ieri, avocatul general din Massachusetts a devenit primul autoritate de reglementare a confidentialitatii care a intentat un proces impotriva agentiei de raportare a creditului in conformitate cu mai multe legi din Massachusetts privind protectia consumatorilor.
Incalcarea a starnit o criza larg raspandita in mass-media, a inspirat deja introducerea legislatiei in SUA si a starnit investigatii din partea Comisiei Federale pentru Comert si FBI. www.evernote.com
De la dezvaluirea incalcarii, pretul actiunilor Equifax a scazut cu o treime, dar problemele companiei abia incep. Acest articol exploreaza potentialele raspunderi legale cu care se confrunta Equifax in Statele Unite. Avand in vedere ca mii de cetateni britanici si canadieni au fost afectati si de incident, raspunderea Equifax in SUA ar putea fi doar varful aisbergului. yourlifemaster9.huicopper.com
fundal
In perioada martie-iulie a acestui an, hackerii au putut accesa numele consumatorilor, numere de securitate sociala, date de nastere, adrese si multe altele de la Equifax. Au fost dezvaluite cel putin 200.000 de numere de carduri de credit ale consumatorilor. pbase.com
Potrivit plangerii din Massachusetts, Equifax nu a reusit „sa dezvolte, sa puna in aplicare sau sa mentina un [program complet de securitate a informatiilor] care sa indeplineasca cerintele minime din Regulamentul de securitate a datelor al statului”, a fost adoptat si pus in aplicare in conformitate cu statutul protectiei consumatorilor. In mod specific, statul sustine ca Equifax a incalcat statutul prin (1) nereusind sa corecteze sau sa-si asigure portalul in mod corespunzator dupa dezvaluirea publica a unei vulnerabilitati majore in software-ul open-source utilizat pentru a-si construi portalul de redresare a consumatorilor, (2) pastrand Massachusetts informatiile „rezidentilor” accesibile sub forma necriptata pe o parte a retelei sale accesibile de pe internet si (3) care nu mentin mai multe straturi de securitate in jurul datelor respective ale consumatorilor.
Massachusetts mai sustine ca rolul lui Equifax ca o corporatie multimilionara cu mii de angajati „a caror activitate principala consta in achizitionarea, compilarea, analizarea si vanzarea de date cu caracter personal si sensibile” a obligat compania sa depaseasca cerintele minime ale reglementarilor si sa „implementeze administrativul garantii tehnice si fizice . proinfotech5.image-perth.org .. care sunt cel putin in concordanta cu cele mai bune practici din industrie. artinfotalk5.godaddysites.com ” Massachusetts, de asemenea, sustine ca Equifax a incalcat cerintele de notificare privind incalcarea datelor statului, asteptand aproape sase saptamani sa dezvaluie incalcarea atat autoritatilor statului, cat si consumatorilor, cand legea statului impune divulgarea „cat mai curand posibil si fara intarziere rezonabila.”
Este indoielnic Massachusetts va fi singurul stat in judecata – alti avocati generali de stat trebuie sa urmeze in curand citand legile privind protectia consumatorilor (cunoscute sub numele de „mini-FTC Act”) si legile privind incalcarea datelor specifice statului, care sunt un stat din ce in ce mai proeminent ingrijorare.
Avocatii generali de stat se pot alatura, de asemenea, actiunilor introduse de FTC-ul SUA, care este de asemenea probabil sa actioneze actiuni impotriva Equifax in conformitate cu una sau mai multe legi federale. emilioavkf877.huicopper.com
Statutele aplicate de FTC
Cel putin trei legi federale pot fi invocate prin FTC: Legea Comisiei pentru Comert Federal, Legea privind raportarea creditului echitabil si Legea Graham-Leach Bliley.
Legea FTC
Equifax nu este prima companie care a pierdut un munte de date despre consumatori. Prima actiune de executare impotriva Equifax a fost deja anuntata de FTC, in conformitate cu autoritatea sa in temeiul Legii FTC. juliusnhqn600.simplesite.com O scurta privire de ansamblu a autoritatii de investigare si de executare a FTC este disponibila pe site-ul Comisiei, dar elementul esential pentru Equifax este ca Comisia a constatat in mod repetat ca lipsa companiilor de a proteja in mod adecvat datele consumatorilor constituie o „practica comerciala nedreapta”. Sectiunea 5 din Legea FTC este „actele sau practicile nedrepte sau inselatoare care afecteaza comertul” si imputerniceste FTC sa initieze o actiune de executare daca are „motive sa creada” ca legea este sau a fost incalcata.
Lipsa securitatii adecvate poate fi nedreapta
FTC a declarat in mod repetat ca companiile trebuie sa trateze informatiile consumatorilor sensibile cu „ingrijire si securitate adecvate”, ca nu cumva sa fie acuzati de practici neloiale cu incalcarea Legii FTC. youinfohome4.simplesite.com Practicile „nedrepte” sunt cele care „cauzeaza sau pot provoca vatamari substantiale consumatorilor, ceea ce nu este rezonabil evitat de consumatorii insisi si nu este depasit prin beneficii compensatorii pentru consumatori sau concurenta”.
Intr-un caz reper din 2012, FTC a dat in judecata Wyndham Worldwide Corporation in temeiul sectiunii 5 din Legea FTC, sustinand ca esecurile de securitate a datelor companiei constituiau o practica comerciala neloiala cu incalcarea statutului. Mai exact, FTC a sustinut ca hotelurile francizate din Wyndham stocau informatii despre cardul de plata in text citibil, permiteau utilizarea credentelor usor de ghicit pentru a accesa sistemele sale si nu au reusit sa puna la dispozitie „masuri de securitate disponibile” intre reteaua sa corporativa, francizatii si internetul. bigcoachnow4.wordpress.com . Lantul hotelier si de resort a contestat autoritatea de executare a FTC in instanta, rezultand o decizie a unei instante de apel care recunoaste capacitatea FTC de a reglementa practicile de cibersecuritate in conformitate cu sectiunea 5.
In urma Wyndham, Comisia si-a demonstrat disponibilitatea de a se indrepta impotriva companiilor care variaza de la colectori de datorii la furnizori de facturare medicala, care se presupunea ca expun in mod abuziv informatiile personale ale consumatorilor prin practici slabe de securitate a informatiilor. wayloneira302.theburnward.com Cazul FTC impotriva laboratorului de testare medicala LabMD, Inc., de exemplu, reprezinta unul dintre cele mai vaste cazuri de nedreptate pana in prezent. In acest caz, FTC a constatat simpla expunere a informatiilor referitoare la sanatate intr-o retea de la egal la egal la sectiunea 5 si a ordonat compania sa implementeze un „program complet de securitate a informatiilor”. lukasxick241.raidersfanteamshop.com Compania a contestat ordinul ca „dincolo de autoritatea de nedreptate a FTC”, intr-un apel catre Curtea de Apel a SUA pentru cel de-al 11-lea Circuit, care si-ar putea emite avizul in orice moment.
Indiferent de rezultatul in cazul LabMD, Equifax ar trebui sa se astepte ca politicile sale de securitate a datelor sa fie supuse controlului reglementar substantial.
Politicile inexacte de securitate pot fi inselatoare
Dupa cum sa mentionat mai sus, Legea FTC interzice, de asemenea, companiilor sa se angajeze in practici comerciale „inselatoare”. musescore.com Declaratia de politica FTC din 1983 privind inselaciunea prezinta elementele unei inselaciuni ilegale: (1) o reprezentare, o omisiune sau o practica care (2) poate induce in eroare consumatorii care actioneaza in mod rezonabil in circumstante si ca (3) are un material efect asupra conduitei sau alegerilor consumatorilor. In functie de faptele care apar in urma acestei incalcari, Equifax se poate confrunta cu afirmatii potrivit carora practicile sale au fost atat nedrepte, cat si inselatoare.
Chiar luna trecuta, FTC l-a citat pe Uber pentru ca a prezentat consumatorilor reprezentari inselatoare ale practicilor sale de securitate a datelor si a cerut companiei sa se prezinte la audituri bienale de confidentialitate pentru urmatoarele doua decenii. cesarzcrw290.yousher.com Compania de partajare a vehiculelor a stocat date despre mii de consumatori pe un serviciu de stocare Amazon usor accesibil – ceea ce a dus la compromisul a peste 100.000 de nume de soferi si numere de licenta in primavara lui 2014. Aceasta incalcare a avut loc in timp ce Uber a sustinut ca Protectii „standard standard” utilizate pentru datele sale de consum. writeablog.net
In 2016, FTC a solutionat o alta cerere de inselaciune provenita dintr-o incalcare masiva a datelor – la serviciul de intalnire AshleyMadison.com – pentru 1,6 milioane de dolari in plati catre autoritatile de reglementare federale si de stat. Printre altele, serviciul web a reprezentat faptul ca a stocat in siguranta informatii sensibile pentru consumatori, inclusiv datele de nastere ale utilizatorilor, statutul relatiei si orientarea sexuala, chiar daca se presupunea ca acesta a avut o securitate total inadecvata si chiar nu avea o politica scrisa de securitate. zenwriting.net
Politica de confidentialitate Equifax formuleaza revendicari similare. Concret, Equifax reprezinta faptul ca este nevoie de „precautii rezonabile” pentru a se asigura ca tertii care primesc PII sunt constienti si respecta politica sa de confidentialitate. De asemenea, compania promite „garantii rezonabile, fizice, tehnice si procedurale pentru a ajuta la protejarea informatiilor personale ale consumatorilor”. pbase.com Prea putin se cunoaste public despre politicile de securitate a datelor Equifax inainte si in cursul incalcarii din primavara acestui an, pentru a spune daca sunt candidati la o actiune de executare bazata pe „inselaciune”, dar cu siguranta ramane posibila in urma faptelor cunoscute.
FCRA – Partajare cu parti neautorizate
Equifax se poate confrunta, de asemenea, cu raspunderea in temeiul Legii privind raportarea creditului corect. Adus initial in 1970, FCRA reglementeaza „agentiile de raportare a consumatorilor”, pe care statutul le defineste ca:
[O] nicio persoana care, pentru comisioane monetare, impozite, sau pe baza nonprofit cooperativa, angajeaza in mod regulat integral sau partial in practica de a asambla sau evalua informatii despre creditul consumatorilor sau alte informatii despre consumatori in scopul de a furniza rapoarte pentru consumatori pentru terti si care utilizeaza orice mijloace sau facilitati de comert interstatal in scopul pregatirii sau prezentarii rapoartelor de consum. andersonimtu464.iamarrows.com
Equifax este clar acoperit de statut – intr-adevar, FCRA a fost scris initial din cauza Equifax si colegii sai – si FCRA solicita agentiilor de raportare a consumatorilor „sa mentina proceduri rezonabile pentru a limita raportarea consumatorilor la scopurile enumerate in statut”.
In 2006, practicile slabe de securitate a datelor au costat agregatorul de date ChoicePoint, Inc. 15 milioane de dolari in amenzi si plati de restituire intr-o solutionare cu FTC. ecolifedirect3.iamarrows.com ChoicePoint a dezvaluit ca informatiile personale ale mai mult de 163.000 de consumatori au fost compromise, ceea ce a dus la cel putin 800 de cazuri de furt de identitate. Incalcarea ChoicePoint a rezultat dintr-o depistare ineficienta a potentialilor clienti pentru date, mai degraba decat a unui atacator extern. penzu.com
Daca se presupune ca in cele din urma Equifax s-a comportat intr-o maniera similara cu ChoicePoint (cel putin in masura in care si-a incalcat in mod voit obligatiile FCRA), acesta poate fi, de asemenea, supus proceselor private in baza dreptului de actiune privat al FCRA. 15 Sectiunea USC 1681n (a) creeaza raspunderea individuala pentru nerespectarea cerintelor FCRA; Hotararea Curtii Supreme din 2016 din Spokeo v. Robins lasa deschisa posibilitatea unui proces de succes. diigo.com Daca alte instante urmeaza decizia celui de-al 9-lea Circuit de a sta in legatura cu incalcarile FCRA, demonstrarea unei incalcari suficient de grave poate fi suficienta pentru a se califica drept vatamare recunoscuta constitutional, fara alte prejudicii.
GLBA – Regula garantiilor
In cele din urma, FTC poate urmari revendicari in baza Gramm-Leach-Bliley Act (GLBA). Aprobata in 1999, GLBA a abrogat partile din Glass-Steagall Act din 1933 si, in special, a eliminat interdictia de lunga durata impotriva unei institutii financiare care functioneaza simultan ca o banca comerciala, o banca de investitii, o firma de valori mobiliare si o companie de asigurari. De asemenea, GLBA a creat doua protectii majore ale consumatorilor: Regula privind confidentialitatea financiara si Regula privind garantiile.
Una dintre aceste reguli, Regula privind salvgardarile, poate fi implicata in incalcarea datelor Equifax. FTC noteaza in mod specific faptul ca Regula privind garantiile se aplica agentiilor de raportare a creditelor. Ca o chestiune generala, Regula privind salvgardarile impune companiilor „sa elaboreze un plan scris de securitate a informatiilor care descrie programul lor pentru a proteja informatiile clientilor. Acest program trebuie sa fie adecvat dimensiunii si complexitatii companiei, natura si sfera activitatilor sale si sensibilitatea informatiilor clientilor pe care le administreaza. Potrivit FTC, in conformitate cu Regula privind salvgardarile, companiile trebuie „sa evalueze si sa abordeze riscurile pentru informatiile clientilor in toate domeniile de functionare a acestora”.
FTC a dat in judecata anterior agentii de raportare a consumatorilor, precum Equifax, pentru incalcarea regulii privind garantiile. In trei ordine de consimtamant din 2011, FTC a cerut ca revanzatorii de raporturi pentru consumatori ARCAnet, Inc., SettlementOne Credit Corporation si Fajilan and Associates, Inc. d / b / a Servicii de credit la nivel national sa stabileasca si sa puna in aplicare programe de securitate complete, in conformitate cu cerintele din Regula garantiilor. Toate cele trei entitati sanctionate ar fi omis sa elaboreze sau sa difuzeze politicile de securitate a informatiilor in scris, sa evalueze riscurile implicate de a permite accesul utilizatorilor finali cu securitate neverificata sau sa puna in aplicare masuri rezonabile pentru a aborda aceste riscuri, sa monitorizeze comportamentul utilizatorului final sau sa ia orice masuri corective adecvate. odata cunoscute defectele de securitate.
Spre deosebire de FCRA, legea Gramm-Leach-Bliley nu ofera consumatorilor un drept individual la actiune. Ofera, totusi, FTC un mecanism suplimentar pentru supravegherea reglementarii a politicilor de securitate a informatiilor – care probabil va deveni relevant pentru Equifax in lunile urmatoare.
Concluzie
Exemplele de mai sus pot fi inca palide in comparatie cu ceea ce Equifax s-ar putea confrunta in urmatoarele luni, avand in vedere scala aparent mare a incalcarii si bogatia informatiilor stocate de agentiile de raportare a consumatorilor. Cu siguranta, enormitatea acestei incalcari si statutul lui Equifax ca agregator de date preferentiale pentru consumatori sunt de natura sa provoace o afisare completa a instrumentelor de aplicare a incalcarii datelor federale si de stat din SUA, Regatul Unit si Canada evaluand si optiunile lor.