• 修订内容：SEC要求经纪交易商和注册投资顾问采取书面政策和程序来处理客户数据泄露，并在30天内通知受影响的客户。

• 监管政策：SEC批准了对Regulation S-P（即安全港规则）的修订。该规则要求覆盖实体制定政策和程序，以保护和处置敏感客户数据，并提供隐私通知和选择退出程序。

• 修订扩大义务：修订要求经纪交易商、融资门户、注册投资顾问、投资公司和过户代理创建和实施数据泄露事件响应程序。

详细情况

• 通知要求：根据SEC的事实表，经历数据泄露的公司必须在意识到发生泄露后尽快通知受影响的客户，但至少在30天内。通知必须包括有关事件的详细信息、被泄露的数据以及受影响个人如何保护自己。

• 豁免情况：如果公司确定敏感客户信息“没有被使用，并且不太可能以会导致重大伤害或不便的方式被使用”，则可免除通知义务。

• 信息覆盖范围：修订还扩大了非公开个人信息的覆盖范围，不仅包括公司自身收集的信息，还包括公司从其他金融机构接收的个人信息。

SEC主席和委员的观点

• SEC主席Gary Gensler：他认为这些修订将帮助客户维护隐私并保护自己。对于覆盖公司的基本理念是，如果发生泄露，就必须通知。这对投资者有好处。

• SEC委员Hester Peirce：她支持修订，但表达了对新规则范围的担忧，认为这将迫使公司发送如此多的泄露通知，以至于客户可能会直接忽略它们。

生效和合规日期

• 生效日期：修订将在《联邦公报》发布后60天生效。

• 合规日期：对于较大的公司，合规日期为生效日期后的18个月；对于较小的公司，为两年。

结论

SEC对Reg S-P的修订体现了监管机构对客户数据保护和隐私的重视。新规定要求公司在发生数据泄露时迅速采取行动，及时通知客户，并采取措施保护客户信息。这将有助于提高金融行业的数据安全标准，增强客户对金融机构的信任。同时，修订也给金融机构带来了新的合规要求和挑战，需要它们加强内部管理和技术防护措施，以确保符合新的监管要求。

复制再试一次分享