消费者金融保护通告 2022-04

对消费者敏感信息的数据保护或安全性不足

提出的问题

当实体的数据保护或信息安全不足时，是否会违反《消费者金融保护法》（CFPA）中关于禁止不公平行为或做法的规定？

简要答案

是的。除了其他有关金融机构数据安全的联邦法律（包括根据《格拉姆-里奇-比利雷法案》（GLBA）颁布的《保障规则》）外，”受保人 “和 “服务提供商 “还必须遵守《美国联邦政府反欺诈法》（CFPA）中有关禁止不公平行为或做法的规定。公司收集、处理、维护或存储的消费者敏感信息安全不足，可能构成违反《美国法典》第 12 编第 5536(a)(1)(B)条的不公平行为。虽然这些要求经常重叠，但它们并不完全相同。

如果行为或做法造成或可能造成重大损害，而这种损害是无法合理避免的，或者是无法用对消费者或竞争的反作用利益来抵消的，那么这种行为或做法就是不公平的。 不适当的身份验证、密码管理或软件更新政策或做法很可能对消费者造成无法合理避免的实质性伤害，金融机构不太可能成功地以对消费者或竞争有利为由为薄弱的数据安全做法辩解。 在没有发生违规或入侵的情况下，数据安全不足可能是一种不公平的做法。