Ответ банка на отзыв персональных данных: | Отзывы о Альфа-Банке: «Нарушение Закона о возможности отзыва согласия на обработку персональных данных»
| Отзывы о Альфа-Банке: «Нарушение Закона о возможности отзыва согласия на обработку персональных данных»
При заключении кредитного договора MAXPPLF2AEOVGh240324 от 24.03.2014 г. мною, как субъектом персональных данных, АО «АЛЬФА-БАНК», как Оператору персональных данных было дано согласие на обработку моих персональных данных.В соответствии с ч. 2 ст. 9 Федерального Закона РФ N 152-ФЗ «О персональных данных», согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
На основании данного положения Закона, в связи с тем, что имевшиеся у АО «АЛЬФА-БАНК» ко мне претензии по погашению задолженности уже предъявлены в порядке гражданского и исполнительного судопроизводства, а также в связи с неоднократными нарушениями сотрудниками ООО «Сентинел Кредит менеджмент» п. 2 ч. 3 Федерального закона «О потребительском кредите (займе)» N353-ФЗ, я неоднократно обращался в АО «Альфа-Банк» (обращения №№ 1601270558 и 1602091431) для отзыва согласия на обработку моих персональных данных.
12.02.2016г. мною был получен ответ АО «АЛЬФА-БАНК» на обращение 1602091431 (исх.№ 128.1/011 от 12.02.2016 г.), в котором АО «АЛЬФА-БАНК» сообщает, что отзыв согласия на обработку персональных данных может быть принят только в случае надлежащей идентификации обратившегося лица в качестве клиента АО «АЛЬФА-БАНК».
09.02.2016г. в ДО «Пресненский Вал» АО «Альфа-Банк» от меня лично, с проведением надлежащей идентификации моей личности в качестве клиента АО «АЛЬФА-БАНК» , сотрудником АО «АЛЬФА-БАНК» Гр-вой Т.В. было принято на специальном бланке заявление об отзыве согласия/прекращении обработки и уничтожении моих персональных данных.
Таким образом, АО «АЛЬФА-БАНК» отказал в отзыве, ссылаясь на отсутствие надлежащей идентификации меня в качестве клиента АО«АЛЬФА-БАНК» при том, что данная идентификация была проведена 12.02.2016 г. сотрудником ДО «Пресненский
Вал» АО «Альфа-Банк» при принятии заявления об отзыве согласия/прекращении обработки и уничтожении моих персональных данных.
Так же, в ответе на обращение, АО «АЛЬФА-БАНК»сообщил, что в случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона РФ N 152-ФЗ. Одним из таких оснований АО «АЛЬФА-БАНК» назвал осуществление прав и законных интересов оператора. Обращаю внимание, что согласно с ч.2 ст.9 Федерального Закона РФ N 152-ФЗ «О персональных данных» продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, вправе ОПЕРАТОР (то есть Банк), А НЕ ТРЕТЬЕ ЛИЦО (ООО «Сентинел Кредит Менеджмент»), осуществляющее в настоящее время телефонные звонки в ночное время.
Также, в соответствии с п. 7 ч. 1 ст. 6 Федерального Закона №152-ФЗ, указанное основание для продолжения обработки персональных данных без согласия субъекта
Так как третьим лицом (ООО «СентинелКредит Менеджмент), которому АО «АЛЬФА-БАНК» передал мои персональные данные для обработки, постоянно нарушаются мои права, в частности ночные телефонные звонки с телефонного номера 8-964-78***06 (что является грубым нарушением п. 2 ч. 3 Федерального закона «О потребительском кредите (займе)» N 353-ФЗ), в том числе с угрозами физической расправы, основания для продолжения ООО «Сентинел Кредит Менеджмент» обработки моих персональных данных без моего согласия отсутствуют.
В соответствии п.п. 6 и 8 ч. 4. ст. 9 Федерального Закона №152-ФЗ, согласие в письменной форме субъекта персональных данных на обработку его персональных данных ДОЛЖНО включать в себя наименование лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва.
В п. 10 подписанной мною анкеты-заявления от 24.03.2014 г. на получение кредита наличными имеется мое согласие на обработку Банком персональных данных, НО ОТСУТСТВУЕТ ИНФОРМАЦИЯ о наименовании лица, которое будет осуществлять обработку персональных данных по поручению АО «АЛЬФА-БАНК»; срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва.Соответственно, на основании данного факта, в связи с нарушением Банком п.п. 6 и 8 ч. 4. ст. 9 Федерального Закона №152-ФЗ, данное мною согласие на обработку персональных данных является недействительным и подлежит отзыву и прекращению обработки Банком и третьими лицами.
В соответствии с ч.5 ст. 21 Федерального Закона №152-ФЗ, в случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных указанным Федеральным законом или другими федеральными законами.
В соответствии ч.6 ст. 21 Федерального Закона №152-ФЗ, в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 — 5 вышеуказанной статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Кроме того, АО «Альфа-Банк» и ООО «СентинелКредит менеджмент» грубо нарушают правовые нормы, установленные ч. 1 ст. 15 Федерального закона от 21.12.2013 N 353-ФЗ «О потребительском кредите (займе)», в соответствии с которой личные встречи, телефонные переговоры и почтовые отправления кредитор и (или) юридическое лицо, с которым кредитор заключил агентский договор, предусматривающий совершение таким лицом юридических и (или) иных действий, направленных на возврат задолженности, возникшей по договору потребительского кредита, вправе осуществлять ТОЛЬКО при совершении действий, направленных на возврат задолженности по договору потребительского кредита ВО ВНЕСУДЕБНОМ ПОРЯДКЕ. А телефонные звонки от сотрудников ООО «Сентинел Кредит Менеджмент», представляющихся сотрудниками АО «Альфа-Банк», поступают ежедневно и многократно, особенно в ночное время с тел. 8-964-78***06 (могу подтвердить путем предоставления детализации входящих звонков).
Обращаю внимание, что в отношении меня Останкинским районным судом г. Москвы уже вынесено, вступило в законную силу судебное решение о взыскании задолженности по кредитному договору MAXPPLF2AEOVGh240324 и возбуждено исполнительное производство в Останкинском отделе судебных приставов УФССП по Москве, а это уже НЕ ВНЕСУДЕБНЫЙ ПОРЯДОК, соответственно телефонные звонки, встречи и почтовые отправления со стороны АО «АЛЬФА-БАНК» и ООО «Сентинел Кредит Менеджмент» являются незаконными.
На основании вышеизложенного, требую обеспечить прекращение обработки моих персональных данных лицом, действующим по поручению АО «АЛЬФА-БАНК» — ООО «Сентинел Кредит Менеджмент».
Битва за персональные данные
Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? Если ваши права нарушили – сражайтесь. Закон на вашей стороне
Драться – плохо. Но если дерешься – побеждай!
(из х/ф «Парень-каратист»)
Купил сим-карту известного сотового оператора. Казалось бы, ничего особенного. А все-таки приятно: новый номер – можно сказать, жизнь с чистого листа. Однако маленькую радость омрачает звонок с неизвестного номера:
«Наталья Михайловна, добрый день. Это сотрудник коллекторского агентства. Звонок записывается. Уведомляем, что за вами числится задолженность…»
И так с десяток звонков ежедневно, включая выходные.
Родители учили быть вежливым. Потому во время первого разговора с коллектором представился, подробно объяснил, что произошла ошибка, что никакой Натальи Михайловны не знаю и знать не хочу, и настоятельно попросил больше не беспокоить. Но собеседник оказался настоящим профессионалом, верным своему нелегкому ремеслу:
«Еще раз спрашиваю, вы – Наталья Михайловна?»
Настроение и карма стремительно портятся. В голове пробежала мысль: взять свои боксерские перчатки и по-мужски ответить обидчику. Потом, правда, берешь себя в руки, вспоминаешь про этику поведения и диспозиции некоторых норм Уголовного кодекса.
Приходится ежедневно блокировать поступающие номера коллекторов, которые, несмотря на мужской голос в трубке, каждый раз недоверчиво интересуются, не Наталья ли ты Михайловна. Список заблокированных номеров близится к нескольким сотням, но звонки продолжают поступать.
Знакомая ситуация? Что делать? Давайте разберемся без лишних эмоций.
Вправе ли банки и МФО передавать персональные данные клиентов коллекторам и другим лицам?
Уважаемый читатель, прошу прощения, но вынужден привести немного сухой теории. Она нам пригодится.
Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
В соответствии с законом персональные данные представляют собой любую информацию, относящуюся к физическому лицу – субъекту этих данных.
Под обработкой персональных данных понимается любое действие с ними, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
По общему правилу, обработка персональных данных и передача этой обязанности другому лицу допускаются только с согласия субъекта данных. При этом согласие на обработку данных должно быть конкретным, информированным, сознательным и в любой момент может быть отозвано. Без него операторы1 и иные лица, получившие доступ к личной информации, не вправе раскрывать и распространять данные, если иное не предусмотрено федеральным законом.
Выдавая кредит, банк обычно получает у заемщика письменное согласие на обработку и передачу его персональных данных третьим лицам, в частности коллекторам. Вместе с тем законодательством предусмотрено право заемщика отозвать это согласие. Так закон защищает должника, если он при заключении кредитного договора или договора займа не подумал о возможных негативных сценариях. Для реализации указанного права достаточно сообщить кредитору об отзыве согласия заказным письмом с уведомлением о вручении или сделать это через нотариуса.
Но на этом все может и не закончиться. Дело в том, что Закон о персональных данных предусматривает исключения, когда согласие на обработку данных не требуется. К примеру, их обработка допускается:
- если необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- если необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон “О микрофинансовой деятельности и микрофинансовых организациях”».
В тех случаях, когда заемщик не предоставил банку «универсальное» согласие или отозвал его, кредитная организация может сослаться на вышеуказанные исключения. Тем самым якобы подтверждая правомерность передачи данных третьим лицам.
Между тем ссылка эта сомнительная, поскольку заемщик не является стороной по договору, заключенному между банком и коллекторами. Судебная практика подтверждает: передача банком по агентскому договору другой организации персональных данных заемщика без его согласия недопустима (см., к примеру, Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 1 августа 2017 г. № 78-КГ17-45).
(Как не допустить передачи долга коллекторскому агентству и что делать тем, на кого взыскатели оказывают давление, читайте в материалах «Берете кредит – помните о коллекторах», «Как должнику защититься от грубого произвола представителей банка».)
Как происходит утечка персональных данных?
Законодательство обязывает операторов принимать серьезные меры по обеспечению безопасности персональных данных при их обработке (подробнее об этом читайте в публикации «Операторов обработки персональных данных начнут проверять по новым правилам»). Эти требования столь объемные и затратные, что многие операторы предпочитают их игнорировать.
В небольших компаниях защите персональной информации часто вообще не уделяется внимания. И даже солидные холдинги не всегда выстраивают адекватную систему защиты данных, причем как клиентов, так и своих работников.
Известны случаи, когда документы, содержащие персональные данные, в том числе копии договоров, паспортов, анкет, выбрасывались на помойку. Причинами такого поведения могут быть халатность работников, отсутствие сформированной культуры «конфиденциальности» и контроля работодателей за ее соблюдением, а иногда –надлежащих условий хранения документации. Не менее весомым фактором является то, что сейчас нет тотального контроля за соблюдением требований со стороны регулятора – Роскомнадзора.
Порой информация становится доступной посторонним лицам из-за неосторожности: когда данные отправляются по электронной почте по незащищенным каналам связи (без использования средств шифрования) или через мессенджеры. Бывают случаи «невинного» распространения данных через селфи. Также информация разглашается путем копирования ее на флеш-карты или в результате выноса из здания организации не до конца уничтоженных документов.
Иногда персональная информация раскрывается работниками оператора умышленно из корыстных мотивов. В результате данные кредитных карт, паспортов, анкет клиентов могут попасть в руки мошенников.
Какими могут быть последствия утечки данных?
В эпоху цифровых технологий информация становится валютой. Тем не менее многие раздают свои персональные данные «направо-налево», не думая о последствиях. А они могут быть весьма неприятными. Как минимум это бесконечные звонки из разных организаций. Но бывают последствия и посерьезнее: мошенники могут открыть от вашего имени кредитные линии, удачно пошопиться в Интернете или купить авиабилет в экзотическую страну.
Что делать, если в распространении личной информации виноват банк?
Вычислить вину кредитной организации в разглашении персональных данных не так просто. Для этого необходимо провести настоящее расследование, поэтому запасайтесь терпением.
Для начала следует направить в банк и коллекторам запрос о предоставлении информации, касающейся обработки ваших данных. Такое право предусмотрено ч. 7 ст. 14 Закона о персональных данных. Вы можете рассчитывать на получение следующей информации:
- подтверждение факта обработки персональных данных оператором;
- правовые основания обработки данных;
- цели и применяемые оператором способы обработки данных;
- наименование и местонахождение оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым они могут быть переданы на основании договора с оператором или федерального закона;
- обрабатываемые персональные данные и источник их получения;
- сроки обработки данных, в том числе сроки их хранения;
- информация об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора.
После получения ответов на запросы направляем жалобы в территориальный орган Роскомнадзора и прокуратуру с подробным изложением обстоятельств неправомерного разглашения персональных данных. Результаты проведенных проверок пригодятся вам во время защиты своих интересов в суде.
Далее собираем все обращения и ответы на них, готовим претензию о прекращении неправомерного использования персональных данных, возмещении убытков и компенсации морального вреда. Если претензия остается без удовлетворения или ответа – идем в суд.
Помните: персональные данные – настоящая находка для мошенников. Будьте внимательнее при подписании документов. Это поможет уберечься от битвы за свои личные данные, а также от порчи настроения и кармы.
«Драться – плохо. Но если дерешься – побеждай!» – советовал Мастер из старого доброго боевика. Если ваши права нарушены, надо сражаться. Но не стальными кулаками, как учил Мастер. Силой закона.
1 Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных).
Обратная связь | Газпромбанк
( Повторное списание по совершенной операции, списание по операции, которая завершилась неуспешно, списание по операции, по которой в установленные сроки не был получен заказанный товар/услуга и т.п.):
1. Постарайтесь урегулировать спорную ситуацию непосредственно с торгово-сервисным предприятием, сохраняя копии документов, подтверждающих совершение попытки урегулирования (переписки с продавцом, скриншоты сообщений через форму обратной связи на сайте организации и т.п.)
Если урегулировать спорную ситуацию не удалось:
2. Обратитесь в любое удобное для Вас отделение Банка.
3. Заполните соответствующее письменное «Заявление о спорном списании (не мошеннические операции)» или «Заявление о неуспешной операции в банкомате» с приложением заявления в свободной форме с изложением обстоятельств спорной ситуации.
4. Представьте документы (для ошибочных операций в торгово-сервисных предприятиях):
- Подтверждающие неуспешное проведение операции, факт отмены услуги, возврата товара и т.п.
- Подтверждающие попытки урегулирования спорной ситуации непосредственно с торгово-сервисным предприятием.
ВАЖНО! Сохраняйте в течение 6 месяцев с даты совершения операций все документы по операциям с использованием основной и дополнительных карт (реквизитов карт), а также документы, подтверждающие оплату наличными или иным способом после неуспешной попытки оплаты с использованием карты (реквизитов карты).
Сроки подачи заявления:
1. В случае:
- Невыполнения торгово-сервисным предприятием своих обязательств по доставке/предоставлению заранее оплаченных товаров/услуг.
- Невыполнения торгово-сервисным предприятием обязательств по возврату средств за отмененные услуги или возвращенные товары
До истечения последнего рабочего дня месяца, следующего за месяцем, в котором была намечена дата доставки товаров/предоставления услуг, осуществлен возврат товара/отказ от услуг или намечена дата возврата средств.
2. В остальных случаях:
до истечения последнего рабочего дня месяца, следующего за месяцем отражения операции по счету карты.
Карта сайта — Хоум Кредит Банк
1. Клиент даёт согласие ООО «ХКФ Банк» (далее – Банк, 125124, г. Москва, ул. Правды, д. 8, к.1) на обработку своих персональных данных, сообщенных устно и/или предоставленных в предъявленных для заключения с Банком кредитных и договоров банковского счета документах, а также полученных от партнеров Банка и собранных Банком и/или его партнерами в сети Интернет, среди которых данные, размещенные Клиентом в любых целях, или в иных открытых источниках (далее – Данные), с целью их проверки и оценки платежеспособности Клиента для оказания финансовых услуг, а при возникновении просроченной задолженности – с целью её возврата, а также для формирования предложений продуктов (услуг) Банка или товаров и услуг его партнеров.
2. Клиент даёт / не даёт согласие на получение от Банка предложений продуктов (услуг) Банка и его партнеров, а также иной информации для поддержания клиентских отношений. При этом Клиент согласен получать от Банка информацию по почте, по телефону, по электронной почте, посредством сети Интернет, в том числе с использованием систем мгновенного обмена сообщениями и социальных сетей, или в виде СМС-сообщений/ПУШ-уведомлений в течение срока действия договора, заключенного с Банком, и 5 лет с момента его прекращения (в случае не заключения договора – в течение 5 лет с момента подписания Согласия) с автоматической пролонгацией на каждые следующие 5 лет, если согласие не будет отозвано. Согласие на получение предложений может быть отозвано в любое время по заявлению Клиента, направленному в порядке, установленном п. 9 Согласия.
3. Клиент даёт согласие на осуществление Банком аудиозаписи и записи электронной переписки, производство фото и видеосъемки, протоколирование действий Клиента любыми способами, не противоречащими законодательству РФ, а также на использование указанных материалов в качестве доказательств в спорных ситуациях.
4. Клиент даёт согласие на передачу и/или поручение Банком обработки Данных с использованием всех способов и действий, предусмотренных п. 5 Согласия, партнерам Банка в целях, указанных в Перечне партнеров, размещенном на официальном сайте Банка homecredit.ru.
5. Клиент даёт согласие на обработку Данных (неавтоматизированную и смешанную) всеми способами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и, кроме того, путем ведения переговоров при личной встрече, по телефону, направления корреспонденции по почте или электронной почте, включая совершение следующих действий: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных (далее – Перечень действий с персональными данными).
6. Клиент дает согласие операторам подвижной радиотелефонной связи: ПАО МТС, 109147, г.Москва, ул. Марксистская д.4; ПАО ВымпелКом (Публичное акционерное общество «Вымпел-Коммуникации»), 117623, г.Москва, ул. Восьмого марта д.10 стр.14; ПАО «Мегафон», 127006, г.Москва, пер. Оружейный, д.41; ООО «Т2 Мобайл», 108811, Москва, Киевское шоссе, 22-й километр, д. 6, стр. 1. эт.5 к.33; ООО «АПЕКС», 454048, г.Челябинск, ул. Воровского, д.77А; ЗАО «АКОС», 690048, г.Владивосток, проспект 100 лет Владивостоку, д.38а; ООО «Санкт-Петербург Телеком», 197374, г. Санкт-Петербург, Торфяная дорога, д.7, литер Ф (далее – Оператор), на автоматизированную, неавтоматизированную и смешанную обработку согласно Перечню действий с персональными данными сведений о нем как об абоненте: абонентские номера, сведения об абонентском устройстве, сведения о трафике и платежах абонента, иные сведения об оказываемых услугах по договору об оказании услуг связи в целях оценки своей платежеспособности и/или противодействия мошенничества при дистанционном банковском обслуживании и передачи Банку результата такой обработки, полученного на основании исключительно автоматизированной обработки вышеуказанных сведений, а также передачу Банку сведений об изменении абонентских номеров, включая смену владельца абонентского номера или оператора связи при сохранении абонентского номера), изменение индивидуального номера оконечного оборудования (IMSI или IMEI) и абонентского номера (MSISDN), замену sim-карты.
Клиент уведомлен о том, что вышеуказанное согласие является действительным до момента его отзыва путем направления в адрес соответствующего Оператора письменного уведомления.
7. Клиент даёт согласие на получение своей кредитной истории для целей принятия решения о возможности заключения соглашений с Банком, в том числе, договора потребительского кредита, а также для анализа возможности предложения Клиенту новых кредитов от следующих бюро кредитных историй:
- ЗАО «Объединенное кредитное бюро», 127006, г. Москва, ул. 1-я Тверская-Ямская, д. 2, стр.1;
- АО «Национальное бюро кредитных историй», 121069, г. Москва, Скатертный пер., д. 20, стр.1;
- ООО «Эквифакс Кредит Сервисиз», 129090, г. Москва, ул. Каланчёвская, д. 16, стр. 1;
- ООО «Кредитное бюро Русский Стандарт», 105318, г. Москва, Семеновская площадь, д. 7 корп. 1.
Согласие на получение кредитной истории считается действительным в течение шести месяцев со дня его оформления. При заключении договора потребительского кредита в указанный срок сохраняет силу в течение всего срока действия договора потребительского кредита.
8. В случае, если Банк откажет в заключении договора потребительского кредита Клиент даёт согласие на передачу ООО «Финмедиа», 194017 г. Санкт-Петербург, Дрезденская ул, д. 15, лит. А, пом 8-Н следующих своих персональных данных: фамилии, имени, отчества, даты рождения, сведений о документах, удостоверяющих личность, адресе электронной почты, номере мобильного телефона, а также сведений о доходе в целях получения предложения ООО «Финмедиа» о заключении договора на оказание консультационных услуг по подбору финансовых услуг. При этом ООО «Финмедиа» вправе осуществлять обработку вышеуказанных персональных данных Клиента путем осуществления следующих действий или совокупности действий (с использованием средств автоматизации или без использования таких средств): сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение.
Согласие на обработку персональных данных действует со дня подписания и до дня его отзыва. Клиент вправе в любое время отозвать Согласие полностью или в части, в том числе отказаться от получения предложений продуктов (услуг) Банка и его партнеров, путем подачи письменного заявления в Банк в произвольной форме с обязательным указанием ФИО, серии и номера паспорта. Заявление может быть направлено Клиентом по почте или через Информационные сервисы, описание которых размещено на сайте Банка www. homecredit.ru. После получения заявления Клиента об отзыве Cогласия Банк вправе продолжить обработку персональных данных Клиента только по основаниям, предусмотренным действующим законодательством РФ.
Перечень партнеров ООО «ХКФ Банк»
Верховный суд научил рассматривать иски о защите персональных данных
Куда идти с иском
Михаил Возин* подал заявление в управление Роскомнадзора по ДФО. Он указал, что в интернете без его разрешения компания с Багамских островов Whois Privacy Corp. распространяла его персональные данные. Роскомнадзор от его имени направил заявление в суд. Ведомство потребовало защитить права Возина как субъекта персональных данных и ограничить доступ к информации о нем.
В Центральном районном суде Хабаровска, куда было направлено исковое заявление, отказались его принять. Там решили, что требования заявителя по своей природе административные и не должны рассматриваться в порядке гражданского судопроизводства. В апелляции согласились с такой позицией и указали, что претензии Роскомнадзора связаны с административным регулированием правовой деятельности интернет-ресурса как СМИ, поэтому выводы первой инстанции о рассмотрении спора в административном порядке верны.
Судебная коллегия по гражданским делам Верховного суда под председательством судьи Асташова указала на ошибку нижестоящих коллег.
Коллегия напомнила, что Роскомнадзор имеет право обратиться в суд с иском в защиту субъектов персональных данных (в том числе неопределенного круга лиц – п. 5 ч. 3 ст. 23 закона «О персональных данных») и представлять их в суде. При этом по ч. 6 ст. 26 ГПК иски о защите прав субъекта персональных данных, в том числе об убытках или компенсации морального вреда, можно предъявлять в суд по месту жительства истца, указал ВС.
Заявление следовало рассмотреть в порядке гражданского судопроизводства, сказано в определении по делу (дело № 58-КГ20-2)
Сложности глазами эксперта
Алгоритм подачи иска о защите персональных данных обладает некоторыми характерными особенностями, отмечает Ксения Созина, юрист Федеральный рейтинг. группа Семейное и наследственное право группа Управление частным капиталом группа Арбитражное судопроизводство (крупные споры — high market) группа Банкротство (включая споры) группа Корпоративное право/Слияния и поглощения 18место По выручке 25-27место По количеству юристов 6место По выручке на юриста (более 30 юристов) × . Истцом в спорах о защите персональных данных обычно выступает гражданин, с персональными данными которого совершены незаконные, по его мнению, действия. В отдельных случаях предъявить в суд соответствующий иск может Роскомнадзор в силу полномочий, указанных в ч. 1 ст. 23 Закона № 152-ФЗ, в защиту прав субъекта персональных данных – гражданина, как это было в попавшем в ВС деле.
Ответчиком в спорах данной категории является оператор персональных данных или другое лицо, получившее доступ к персональным данным истца. «Встречное исковое требование по рассматриваемой категории споров обычно не заявляется. Кроме того, по спорам этой категории не предусмотрен обязательный досудебный претензионный порядок их разрешения. Однако зачастую до обращения в суд будущий истец направляет будущему ответчику требование прекратить обработку персональных данных, удалить данные, а в случае неполучения ответа на подобные запросы лицо обращается за защитой своих прав в суд», – рассказывает Созина.
Так, в деле № 2-2794/18 истец обратился к администратору домена с требованием удалить с сайта профиль истца, содержащий его персональные данные, и отзывы пользователей, но в удовлетворении претензии ему было отказано, после чего последовало обращение в суд. Такие дела рассматриваются в качестве суда первой инстанции районным судом (ст. 24 ГПК), поясняет юрист.
По общему правилу иск предъявляется в суд по месту жительства ответчика, иск к организации – в суд по ее адресу (ст. 28 ГПК).
При этом иски о защите прав субъекта персональных данных, в том числе о возмещении убытков и (или) компенсации морального вреда, могут предъявляться и в суд по месту жительства истца (ч. 6.1 ст. 29 ГПК).
Если истец обосновывает свои требования нормами закона о защите прав потребителей, то иск можно предъявить по выбору истца в суд по месту нахождения ответчика-организации. А если ответчиком является индивидуальный предприниматель – по месту его жительства, по месту жительства или пребывания истца либо по месту заключения или исполнения договора (ч. 7, 10 ст. 29 ГПК, п. 2 ст. 17 закона «О защите прав потребителей»).
ЗаконодательствоТребования, связанные с нарушением прав на обработку персональных данных, рассматриваются в порядке гражданского судопроизводства на основании норм ГПК (например, апелляционное определение Московского городского суда от 02.08.2019 по делу № 33-35187/2019).
Случаи административного производства – это скорее исключение при наличии определенных обстоятельств.
«Несмотря на довольно специфический предмет требований и зачастую сложную конструкцию состава, в рамках исков о защите персональных данных экспертизы назначаются судом в исключительных случаях. Это означает, что суды самостоятельно оценивают, относится ли та или иная информация к персональным данным, подлежит ли она защите в указанном порядке, а это означает, что именно через призму судебного усмотрения формируется подход к защите персональных данных», – обращает внимание на важную деталь юрист юркомпании «S&K Вертикаль».
* – имена и фамилии участников спора изменены редакцией.
Отзывы и предложения | kk.
bankКлиент может предъявить жалобу (обращение, заявление) в адрес Банка следующими способами:
Потребители финансовых услуг вправе обратиться за защитой своих прав непосредственно в кредитную организацию, а также в государственные органы, органы местного самоуправления, государственные и муниципальные учреждения и иные организации, на которые возложено осуществление публично значимых функций (в том числе к их должностным лицам), в соответствии с Федеральным законом от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».Потребители финансовых услуг вправе избрать гражданско-правовые способы защиты своих прав во внесудебном и (или) досудебном порядке, предусмотренным действующим законодательством, в том числе в соответствии с Федеральным законом от 27.07.2010 № 193-ФЗ «Об альтернативной процедуре урегулирования споров с участием посредника (процедуре медиации)».
С 1 января 2021 года в соответствии с Федеральным законом от 04.06.2018 № 123-ФЗ «Об уполномоченном по правам потребителей финансовых услуг» (О финансовом омбудсмене) устанавливается новый досудебный порядок урегулирования споров потребителей финансовых услуг с кредитными организациями, кредитными потребительскими кооперативами, ломбардами и негосударственным пенсионными фондами.
В случае, если финансовая организация отказывается удовлетворить требования потребителя финансовых услуг о взыскании денежных сумм, до обращения в суд потребитель финансовых услуг для урегулирования спора может обратиться к уполномоченному по правам потребителей финансовых услуг (далее — финансовый уполномоченный).
Обращение потребителя финансовому уполномоченному может быть направлено в электронной форме через личный кабинет на официальном сайте финансового уполномоченного в информационно-телекоммуникационной сети «Интернет» или в письменной форме. Приём и рассмотрение обращений потребителей осуществляется финансовым уполномоченным бесплатно.
До направления обращения финансовому уполномоченному потребитель финансовых услуг должен обратиться с заявлением (претензией) в финансовую организацию.
С подробной информацией о порядке направления обращения финансовому уполномоченному можно ознакомиться на официальном сайте финансового уполномоченного в информационно-телекоммуникационной сети «Интернет».
Официальный сайт финансового уполномоченного: www.finombudsman.ru.
Служба финансового уполномоченного:
Адрес службы: 119017, г. Москва, Старомонетный пер., д. 3
Контактный центр Службы финансового уполномоченного:
8 (800) 200-00-10.
Соглашение об использовании простой электронной подписи
Банк — АО «АБ «РОССИЯ», лицензия Банка России № 328 от 01.09.2016. Заявитель — физическое лицо, данные которого указаны в Форме обратной связи Код подтверждения — простая электронная подпись, используемая Заявителем для подписания электронных документов, представляет собой четырехзначный цифровой код, направляется Банком в СМС-сообщении на указанный в Форме обратной связи номер мобильного телефона Заявителя. Определение лица, подписавшего электронный документ Кодом подтверждения, производится на основе сведений, указанных Заявителем в Заявлении-Анкете, с учетом примененного Кода подтверждения. Официальный сайт Банка — сайт Банка http://abr.ru/, размещенный в сети интернет Согласие — согласие Заявителя на обработку персональных данных, выраженное путем проставления соответствующих отметок в электронной форме. Форма обратной связи — форма обращения, размещенная на Официальном сайте Банка, позволяющая отправить информацию или запрос в Банк, содержащая персональные данные Заявителя, переданные в Банк в целях предоставления ответа на запрос Заявителя. Электронная форма — электронная страница на официальном сайте Банка, содержащая Форму обратной связи.
|
Справочник правил конфиденциальности
Раздел 1:
Обзор требований правила конфиденциальности
Правило конфиденциальности регулирует, когда и как банки могут делиться закрытой личной информацией о потребителях с неаффилированными третьими сторонами.Правило воплощает два принципа — уведомление и отказ. Итого:
- Все банки должны разработать начальные и годовые уведомления о конфиденциальности . Уведомления должны в общих чертах описывать практику банка по обмену информацией.
- Банки, которые делятся закрытой личной информацией о потребителях с неаффилированными третьими сторонами (за исключением исключений для отказа, указанных в правиле конфиденциальности), также должны предоставлять потребителям:
- уведомление об отказе
- разумный период времени для отказа потребителя
Несколько ключевых терминов , используемых в правиле конфиденциальности, имеют решающее значение для понимания области действия и применения правила.См. , четвертый раздел настоящего руководства, чтобы узнать о:
- закрытая личная информация
- различие между потребителями и покупателями
- неаффилированная третья сторона
Исключения для отказа: Потребитель не может отказаться от любого обмена информацией. Во-первых, правило конфиденциальности не регулирует обмен информацией между аффилированными сторонами. Во-вторых, правило содержит исключения, разрешающие передачу закрытой личной информации неаффилированным сторонам для обработки и обслуживания транзакции потребителя, а также для облегчения других обычных бизнес-транзакций.Например, потребители не могут отказаться от предоставления закрытой личной информации неаффилированной третьей стороне по адресу:
- продвижение собственных финансовых продуктов или услуг банка
- продавать финансовые продукты или услуги, предлагаемые банком и другим финансовым учреждением (совместный маркетинг)
- обрабатывает и обслуживает транзакции, запрашиваемые или санкционированные потребителем
- защита от потенциального мошенничества или несанкционированных транзакций
- ответить на судебный процесс
- соответствует федеральным, государственным или местным требованиям законодательства
Применение исключений: Банку, возможно, придется выполнить требования по раскрытию информации и другие требования, чтобы применить исключения из правила.Например, исключение для совместного маркетинга требует договорного соглашения между двумя неаффилированными финансовыми учреждениями:
- совместно предлагают, поддерживают или спонсируют финансовый продукт или услугу, а
- ограничить дальнейшее использование или раскрытие переданной информации о потребителях
Кроме того, банк должен включить в уведомление о конфиденциальности отдельный статус, раскрывающий соглашение о совместном маркетинге.
Запрет на совместное использование номеров счетов: Правило конфиденциальности запрещает банку раскрывать номер счета или код доступа для кредитной карты, депозита или транзакционного счета любой неаффилированной третьей стороне для использования в маркетинге. Правило содержит два небольших исключения из этого общего запрета. Банк может делиться номерами счетов в связи с маркетингом своих собственных продуктов до тех пор, пока поставщик услуг не уполномочен напрямую инициировать списание средств со счетов.Банк также может раскрывать номера счетов участнику программы частной торговой марки или программы аффинити-кредитных карт, когда участники идентифицируются для клиента. Номер счета не включает номер или код в зашифрованном виде, если банк также не предоставляет средства для декодирования номера.
Ограничения на повторное использование и повторное раскрытие: Правило конфиденциальности ограничивает повторное использование и повторное раскрытие закрытой личной информации, полученной от неаффилированного финансового учреждения или переданной неаффилированной третьей стороне.Конкретные ограничения зависят от того, была ли информация получена в соответствии с уведомлением или вне его, и исключения для отказа.
Закон штата: Положение закона штата, которое обеспечивает большую защиту потребителей, чем это предусмотрено положениями GLBA о конфиденциальности, заменяет Федеральное правило конфиденциальности. Банк будет обязан соблюдать положения закона этого штата в той мере, в какой эти положения обеспечивают большую защиту потребителей, чем Федеральное правило конфиденциальности.Федеральная торговая комиссия определяет, обеспечивает ли конкретный закон штата большую защиту.
Уведомления о конфиденциальности
Каждый банк должен разрабатывать первоначальные и ежегодные уведомления о конфиденциальности — даже если банк не передает информацию неаффилированным третьим сторонам.
Содержание уведомлений: Первоначальные, годовые и пересмотренные уведомления включают, в зависимости от обстоятельств:
- категорий информации, собираемой банком (все банки)
- категории информации, которые банк может раскрыть (все банки, за исключением банка, который не намерен раскрывать какую-либо информацию или раскрывает только информацию в соответствии с исключениями, могут просто указать это)
- категорий аффилированных и неаффилированных лиц, которым банк раскрывает непубличную личную информацию (все банки, передающие непубличную личную информацию аффилированному лицу или неаффилированному третьему лицу)
- Практика обмена информацией о бывших клиентах (все банки)
- категории информации, раскрываемой в соответствии с исключением для поставщика услуг / совместного маркетинга (только те банки, которые полагаются на это исключение)
- Право потребителя на отказ (только те банки, которые раскрывают информацию без исключений)
- Раскрытие информации в соответствии с Законом о честной кредитной отчетности (только те банки, которые предоставили FCRA уведомление об отказе)
- раскрытие информации о конфиденциальности и безопасности информации (все банки)
Пересмотренное уведомление может потребоваться, когда банк меняет свою практику обмена информацией.
В следующей таблице отражены требования правила к отправке первоначальных, годовых и исправленных уведомлений потребителям и заказчикам.
Уведомление об отказе
Последнее правило предусматривает, что уведомление об отказе является адекватным, если оно:
- определяет все категории закрытой личной информации, которую банк намеревается раскрыть неаффилированным третьим сторонам
- заявляет, что потребитель может отказаться от раскрытия информации.
- предоставляет разумный способ отказа потребителя, например бесплатный номер телефона .
В таблице ниже приведены требования правила к отправке уведомления об отказе.
Право отказа: Если банк намеревается поделиться закрытой личной информацией за исключением исключений, он также должен:
- предоставляют потребителям разумную возможность отказаться от использования. Примеры в правиле конфиденциальности дают потребителям 30 дней для ответа на уведомление об отказе, когда банк доставляет уведомление по почте или в электронном виде
- выполнить с указанием отказа потребителя как можно скорее , когда указание получено после истечения начального периода отказа
- соблюдать с указанием отказа до тех пор, пока потребитель не будет отозван в письменной форме
Доставка уведомлений: Первоначальные, годовые, пересмотренные уведомления и уведомления об отказе могут быть доставлены в письменной форме или, с согласия потребителя, в электронном виде.Устного описания уведомления недостаточно.
Вторая часть
Приготовьтесь к 1 июля 2001 г.
Стратегия банка по достижению полного соответствия к 1 июля 2001 года будет варьироваться в зависимости от сложности банка и прогресса, которого он уже достиг в соблюдении требований правила. Уровень усилий банка во многом зависит от:
- предыдущие усилия банка по оценке или раскрытию практики обмена информацией
- Решения банка о разглашении закрытой персональной информации после 1 июля 2001 г.
- — это количество потребителей и клиентов, которые должны получить возможность отказаться, прежде чем может иметь место обмен информацией с неаффилированными третьими сторонами.
Однако почти все банки могут предпринять следующие четыре шага для создания всеобъемлющей и эффективной стратегии соблюдения конфиденциальности:
- установить сроки для соответствия
- разработать политику конфиденциальности и уведомления
- доставить извещения
- подготовиться к ответу потребителям
График с указанием важных контрольных точек до 1 июля 2001 г. — хорошее место для начала и может способствовать своевременному соблюдению требований.
Конкретный процесс подтверждения выполнения различных шагов, определенных в стратегии обеспечения соблюдения конфиденциальности банка, поможет менеджерам отслеживать прогресс. Устанавливая сроки выполнения конкретных действий, старайтесь вовремя получать предложения и отзывы от высшего руководства и других заинтересованных сторон. Каждому банку следует учитывать:
- Вовлечение совета директоров: Утвержденная советом политика конфиденциальности не требуется по правилу, но может быть эффективным способом вовлечения совета директоров в разработку стратегии соблюдения конфиденциальности.Политика конфиденциальности, одобренная советом директоров, может быть полезна для информирования всей организации об общих обязательствах и стратегии банка по обеспечению конфиденциальности.
- Привлечение представителей от каждого отделения банка: Скорее всего, старший сотрудник банка будет контролировать разработку и реализацию стратегии соблюдения конфиденциальности. Тем не менее участие каждого отдела банка поможет гарантировать, что ничто не будет упущено из виду. Этот подход также поможет политикам определить методы обмена информацией или проблемы конфиденциальности потребителей, характерные только для конкретного отдела или финансового продукта или услуги.
2. Разработка политики конфиденциальности и уведомлений
Используйте эту возможность, чтобы оценить и установить цели институциональной конфиденциальности, а также сообщить потенциальным клиентам и потребителям о философии обслуживания клиентов банка.
- Составьте исчерпывающий перечень методов сбора и обмена информацией в банке. Инвентаризация поможет обеспечить надлежащее раскрытие практики в уведомлениях банка о конфиденциальности. По каждому отделу отзывов:
- все приложения и формы, используемые для сбора информации о потребителях
- маркетинговых практик
- договоров с поставщиками
- электронный банкинг и Интернет-операции
- счетов комиссионных доходов
- политики хранения записей
Филиалы: Если у банка есть какие-либо аффилированные лица, инвентарь должен включать методы обмена информацией с аффилированными лицами.Хотя правило конфиденциальности не налагает никаких ограничений на обмен информацией с аффилированными лицами, оно требует раскрытия этой практики в первоначальных и ежегодных уведомлениях. Кроме того, правило конфиденциальности требует, чтобы первоначальные и ежегодные уведомления включали в себя соответствующие уведомления об отказе от предоставления партнерской информации Закона о справедливой кредитной отчетности .
- Оценить текущую практику сбора и обмена информацией в свете обязательств по правилам конфиденциальности и целей банка.Определите, какие практики следует продолжить после 1 июля 2001 г. Возможно, сейчас хорошее время для привлечения Совета директоров банка. Рассмотреть возможность:
- , будет ли какая-либо текущая практика запрещена правилом
- , какие методы должны быть раскрыты в уведомлениях о конфиденциальности и применяются ли права отказа
- , используются ли номера счетов только в соответствии с правилом .
- , распространяется ли информация, полученная от других финансовых учреждений, только в соответствии с ограничениями на повторное использование и раскрытие, установленными правилом
- , следует ли принимать добровольные стандарты конфиденциальности, разработанные соответствующими торговыми ассоциациями.Эти стандарты могут быть хорошими индикаторами отраслевых норм и ожиданий потребителей
- Проект уведомления о конфиденциальности. Составьте список методов сбора и обмена информацией, которые должны быть раскрыты потребителям. Этот список может помочь вам классифицировать практики в соответствии с требованиями правил и решить, как структурировать уведомления. Правило конфиденциальности предоставляет множество вариантов раскрытия информации. Например, банки могут развивать:
- одно первоначальное уведомление о конфиденциальности, охватывающее все методы банка по обмену информацией
- набор начальных уведомлений о различных отношениях с клиентами или о различных типах финансовых продуктов или услуг
- одно первоначальное уведомление, в котором описывается практика банка и одного или нескольких его аффилированных лиц. Аналогичным образом, уведомление об отказе может быть структурировано по-разному.
При составлении уведомлений о конфиденциальности учитывайте:
- Образцы статей приведены в Приложении А к правилу. Банки могут использовать образцы положений в той степени, в которой они точно отражают практику банка.
Скорее всего, первоначальное и ежегодное уведомления о конфиденциальности будут идентичны. При необходимости уведомление об отказе может быть объединено с первоначальным и ежегодным уведомлениями.
- Требования Закона о справедливой кредитной отчетности и стандарты информационной безопасности. Федеральные банковские агентства выпустили два предложенных правила , которые могут повлиять на стратегию соблюдения требований и содержание уведомлений о конфиденциальности.
Предлагаемые стандарты безопасности для информации о клиентах описывают ожидания агентств в отношении внедрения технических и физических мер безопасности для защиты информации о клиентах. Предлагаемые положения о справедливой кредитной отчетности охватывают положения об отказе от Закона о справедливой кредитной отчетности.
Оба предложения будут доработаны в ближайшее время. После выпуска окончательные правила будут доступны на веб-сайте FDIC: www.fdic.gov. Тем временем предложения размещаются на веб-сайте.
3. Доставка извещений
- Определите потребителей и заказчиков, которые должны получать начальные уведомления и уведомления об отказе от участия. Важно определить все группы существующих клиентов, потребителей и бывших клиентов, которые должны получить первоначальное уведомление о конфиденциальности и уведомление об отказе.Некоторым банкам может потребоваться согласование нескольких баз данных и различных отделов, чтобы определить всех, кто должен получить уведомление.
Уведомления об отказе для владельцев общих счетов: Правило конфиденциальности позволяет банкам предоставлять единую конфиденциальность и уведомлять об отказе, когда два или более потребителей совместно получают финансовый продукт или услугу. Однако любой из совместных потребителей может воспользоваться правом отказа. Уведомление об отказе, предоставляемое владельцам общих счетов, должно объяснять, как банк будет относиться к направлению отказа от совместного потребителя, и должно дать одному совместному потребителю возможность отказаться от имени всех совместных потребителей.
- Установите временные рамки для отправки уведомлений по почте или иным образом. Помните:
- Все существующие клиенты банка должны получить первоначальное уведомление о конфиденциальности не позднее 1 июля 2001 года.
- Существующие клиенты банка, потребители, не являющиеся клиентами, и бывшие клиенты банка имеют право отказаться, если банк передает непубличную личную информацию о них неаффилированным третьим сторонам за исключением исключений.
- Обмен информацией, подлежащий отказу, не может продолжаться после 1 июля 2001 г., пока не будут доставлены первоначальные уведомления и уведомления об отказе и не истечет разумный период отказа. Таким образом, банки, которые намереваются обмениваться закрытой личной информацией за исключением исключений после 1 июля 2001 г., должны направить уведомления задолго до 1 июля.
4. Подготовьтесь к ответу потребителям
- Разработайте процедуры отказа. Всем банкам, передающим непубличную личную информацию, за исключением исключений, необходимо будет разработать процедуры для потребителей, чтобы они могли отказаться, а также процедуры обработки и соблюдения указаний об отказе. Процедуры отказа должны включать:
- отслеживание первоначальной возможности отказа (например, первые 30 дней после доставки первоначального уведомления)
- отказа от записи, полученного от потребителей
- , поддерживающий механизмы отказа, такие как бесплатный номер телефона, электронная почта или форма отказа с полями для проверки
- в соответствии с направлениями отказа, полученными после истечения первоначальной возможности отказа
- Отвечайте на запросы общественности. Представители службы поддержки клиентов и другие сотрудники банка должны быть готовы ответить на вопросы потребителей о новых уведомлениях о конфиденциальности. В зависимости от количества сотрудников, отвечающих на телефонные звонки потребителей, может быть хорошей идеей предоставить сценарии, которые помогут сотрудникам отвечать на вопросы общественности. Кроме того, может быть полезно иметь дополнительные копии уведомления о конфиденциальности, доступные для отправки по почте или раздачи потребителям.
Раздел третий:
Поддержание соответствия требованиям после
1 июля 2001 г.
Следующие ниже действия могут помочь банку достичь и поддерживать соблюдение правила конфиденциальности.
- Разработайте средства управления для текущего контроля соответствия. Рассмотрим механизмы мониторинга:
- доставка первоначальных и годовых уведомлений клиентам
- доставка первоначального уведомления потребителям, не являющимся клиентами, если применимо
- соблюдение правил отказа, если применимо
- точность уведомлений о конфиденциальности, включая предварительное одобрение для:
- новые маркетинговые мероприятия
- новых или возобновленных контрактов с поставщиками
- раскрытие номеров счетов
- партнерско-реферальных программ
- повторное использование информации о потребителях, полученной от другого финансового учреждения
- Обучить сотрудников.Все сотрудники должны понимать политику и процедуры банка для соблюдения правила конфиденциальности. Некоторым сотрудникам необходимо будет объяснить политику конфиденциальности банка клиентам и компаниям, предоставляющим услуги банку.
- Аудит на соответствие. Периодические аудиты помогут руководству оценить риск и проверить эффективность программы соответствия. Федеральный экзаменационный совет финансовых учреждений (FFIEC) опубликует процедуры межведомственной проверки конфиденциальности до 1 июля 2001 года.Процедуры экзамена станут полезным инструментом при разработке программы аудита конфиденциальности.
Процедуры межведомственного экзамена будут отправлены напрямую в застрахованные депозитные учреждения, как только они будут завершены. После завершения процедуры также будут доступны на веб-сайте FDIC по адресу www.fdic.gov.
Четвертая секция:
Выучите Lingo
Изучение жаргона поможет вам понять правило конфиденциальности и соблюдать его. В этом разделе дается объяснение ключевой терминологии.
Кто должен соблюдать правила конфиденциальности FDIC?
Правило конфиденциальности FDIC относится к финансовым учреждениям, которые должны соблюдать это правило, как к «вам». Например, когда в правиле говорится, что «вы должны предоставить уведомление», это означает, что все субъекты, подпадающие под это правило, должны предоставить уведомление. Следующее определение «вы» объясняет типы субъектов, подпадающих под это правило:
Вы: Банки, которые должны соответствовать правилу FDIC: —
- Банки под надзором FDIC
- застрахованных государственных филиалов иностранных банков
- дочерних компаний банков, находящихся под надзором FDIC, и застрахованных государственных филиалов иностранных банков, за некоторыми исключениями, такими как страховые и ценные бумаги или дочерние брокерские компании
Хотя правило FDIC применяется только к определенным банкам и некоторым их дочерним компаниям, все финансовые учреждения должны соблюдать аналогичные правила конфиденциальности, принятые их надзорными органами.Например, хотя дочерние компании по ценным бумагам банков, контролируемых FDIC, не обязаны соблюдать правило конфиденциальности FDIC, они должны соблюдать аналогичное правило конфиденциальности, принятое Комиссией по ценным бумагам и биржам.
Кто защищен правилом конфиденциальности?
Правило конфиденциальности защищает «потребителей». Все потребители получают одинаковые меры защиты конфиденциальности.
Однако подмножество потребителей, определяемых как клиентов , должно получать определенную информацию, такую как ежегодное уведомление о конфиденциальности, которое не нужно предоставлять потребителям, которые не являются клиентами.
Таким образом, важно знать разницу между потребителями и покупателями, чтобы понимать различные требования к раскрытию информации в соответствии с правилом конфиденциальности.
Потребитель: Любое физическое лицо, которое стремится получить или получило финансовый продукт или услугу в банке для личных, семейных или домашних целей, является потребителем этого банка. Определение потребителя включает лиц, которые:
- подать заявку на финансовый продукт или услугу (т.е.g., ссуду или депозитный счет) для личных, семейных или домашних целей
- фактически получить финансовый продукт или услугу (например, ссуду или депозитный счет) для личных, семейных или домашних целей
Клиент: Как показано на следующей диаграмме, клиенты — это подмножество потребителей. Клиент — это потребитель, с которым банк поддерживает постоянные отношения . Хотя правило не определяет «продолжающиеся отношения», оно предоставляет примеры транзакций, которые считаются и не считаются продолжающимися отношениями.Потребители, имеющие депозитный счет, получившие ссуду или получившие консультационные услуги по инвестициям, считаются клиентами. См. Раздел 332.3 (i).
Дополнительное руководство относительно взаимоотношений с клиентами можно найти в дополнительной информации (преамбуле) правила, в которой отмечается, что постоянные отношения устанавливаются, «когда потребитель обычно получает некоторую меру продолжения обслуживания после или в связи с сделка.» См. Стр. 35168, Федеральный регистр, Vol.65, № 106.
На следующей диаграмме показаны отношения между всеми людьми , которые ведут бизнес с банком, и теми, кто соответствует нормативным определениям для потребителей и клиентов . Как показано на диаграмме, только часть людей, которые ведут бизнес с банком, являются потребителями в соответствии с правилом конфиденциальности. Например, в соответствии с этим правилом физические лица не считаются потребителями, если они являются коммерческими клиентами, доверителями или бенефициарами трастов, доверительным управляющим которых является банк, или участниками плана вознаграждений работникам, спонсируемого банками.
Какой тип информации защищен правилом конфиденциальности?
Правило определяет три основные категории информации:
- общедоступная информация
- финансовая информация, позволяющая установить личность
- закрытая личная информация
Непубличная личная информация — это категория информации, защищенной правилом конфиденциальности. Определения общедоступной информации и личной финансовой информации работают вместе, чтобы описать и определить непубличную личную информацию.
- Общедоступная информация — это любая информация, которую банк обоснованно считает общедоступной на законных основаниях. Природа информации, не источник информации, определяет, является ли эта информация общедоступной для целей правила конфиденциальности. Например, даже если банк получает номера телефонов клиентов или оценочную стоимость их жилья непосредственно от потребителей, эта информация будет считаться общедоступной, если у банка есть разумные основания полагать, что информация могла быть получена законным путем от общественности. источник.Разумное предположение существует, если банк определил, что (а) информация относится к общедоступному типу и (б) физическое лицо не заблокировало такую информацию от публичного раскрытия. Это означает, например, что банк может считать телефонный номер клиента общедоступным, , но только , если банк предпримет шаги, чтобы определить, что номер телефона не внесен в список.
- Личная финансовая информация — это любая информация, которую банк собирает о потребителе в связи с предоставлением финансового продукта или услуги.Это включает в себя:
- информация, предоставленная потребителем в процессе подачи заявки (например, имя, номер телефона, адрес, доход)
- информация, полученная в результате транзакции финансового продукта или услуги (например, история платежей, ссуды или депозиты, покупки по кредитной карте)
- информация о клиенте из других источников, полученная в связи с предоставлением финансового продукта или услуги (например, информация из отчета о кредитных операциях потребителей или из судебных документов)
Личная финансовая информация также включает любую информацию, которая «раскрывается способом, указывающим на то, что данное лицо является или было вашим потребителем.См. Раздел 332.3 (o) (2) (i) (D). Таким образом, сам факт того, что физическое лицо является потребителем банка, является личной финансовой информацией.
- Непубличная личная информация , категория информации, защищенной правилом конфиденциальности, состоит из:
- Личная финансовая информация, которая не является общедоступной информацией ; и
- Списки, описания или другие группы потребителей, которые были либо
- создано с использованием личной финансовой информации, которая не является общедоступной, или
- содержат личную финансовую информацию, которая не является общедоступной.
Список считается закрытой личной информацией, если он создан на основе взаимоотношений с клиентами, остатков по кредитам или другой личной финансовой информации, которая не является общедоступной. Список также считается закрытой личной информацией, если он содержит любую внутреннюю личную информацию.
Например, в юрисдикциях, где ипотечные документы являются общедоступными, имена и адреса всех лиц, для которых банк держал ипотеку, не будут закрытой личной информацией, поскольку они были созданы с использованием общедоступной информации и содержали только общедоступную информацию.Однако список стал бы закрытой личной информацией, если бы он содержал текущие остатки по кредитам или если бы он был создан с использованием только тех клиентов, у которых текущие остатки по ипотечным кредитам превышают определенную сумму.
Две категории закрытой личной информации изображены на следующей диаграмме.
Кто такие неаффилированные третьи стороны?
Правило конфиденциальности ограничивает обмен информацией с неаффилированными третьими сторонами. Правило определяет неаффилированные третьи стороны как физические или юридические лица, за исключением аффилированных лиц и лиц, совместно работающих в банке и неаффилированной третьей стороне.Аффилированные лица обычно включают дочерние компании банка, его холдинговую компанию и любые другие дочерние компании холдинговой компании. См. Раздел 332.3 (a), Раздел 332.3 (d) и Раздел 332.3 (g).
Правило конфиденциальности не накладывает ограничений на обмен информацией с аффилированными лицами. Однако он требует раскрытия такой политики и практики обмена информацией. (Примечание: правила, регулирующие обмен информацией между банком и его аффилированными лицами, изложены в Законе о честной кредитной отчетности.)
Хотя в правиле конфиденциальности чаще всего используется термин «неаффилированные третьи стороны», в некоторых случаях проводится различие между неаффилированными финансовыми учреждениями и всеми другими неаффилированными третьими сторонами. Читателям следует обратить особое внимание на эти различия. См. Раздел 332.13.
Прочие ресурсы
Доступны различные ресурсы, чтобы помочь банкам понять правило конфиденциальности и связанные с этим вопросы. Некоторые из наиболее важных перечислены ниже.Все материалы FDIC можно найти на сайте www.fdic.gov.
- Письмо финансового учреждения FDIC под названием Окончательное правило о конфиденциальности финансовой информации потребителей (FIL-34-2000 от 5 июня 2000 г.).
- Письмо финансового учреждения FDIC под названием Предлагаемые правила реализации Закона о справедливой кредитной отчетности (FIL-71-2000 от 26 октября 2000 г.).
- Письмо финансового учреждения FDIC под названием Предлагаемые стандарты безопасности для информации о клиентах (FIL-43-2000 от 6 июля 2000 г.).
- Письмо финансового учреждения FDIC под названием Отчет об исследовании конфиденциальности веб-сайтов в Интернете (FIL-113-99 от 27 декабря 1999 г.).
- Письмо финансового учреждения FDIC под названием Конфиденциальность финансовой информации потребителей в Интернете (FIL-86-98 от 17 августа 1998 г.).
- Расшифровка стенограммы «Это что-то из вашего бизнеса? Информация для потребителей, конфиденциальность и сфера финансовых услуг», , межведомственного общественного форума, организованного Федеральной корпорацией по страхованию депозитов (FDIC) 23 марта 2000 г.
- Бюллетень Управления финансового контролера «Законы и правила о конфиденциальности» (8 сентября 2000 г.), доступный на сайте www.occ.gov.
- Меморандум Управления по надзору за сбережениями для генеральных директоров под названием Проверка готовности к конфиденциальности (29 сентября 2000 г.), доступный на сайте www.ots.treas.gov.
Конфиденциальность данных в банке и за ее пределами: PwC
Повышенная осведомленность является катализатором для пересмотра политик использования данных, конфиденциальности и совместного использования. Даже если финансовые учреждения не готовы продвигаться вперед с открытой банковской структурой, существует очевидная срочность оценки того, служат ли политики защиты данных их намеченным целям. Финансовые учреждения уже обмениваются данными о клиентах с третьими сторонами — это происходит добровольно по двусторонним соглашениям или неохотно путем очистки экрана — но они могут не иметь полной видимости того, какие данные были переданы, почему они были переданы и каким третьим сторонам они были предоставлены. был предоставлен доступ.Многие организации должны будут соблюдать GDPR (май 2018 г.), а организации, включая FINRA1 и SIFMA2, выпустили недавние бюллетени (частично основанные на рекомендациях CFPB в октябре 2017 г.3), чтобы осветить проблемы и рекомендации, касающиеся обмена и агрегирования данных.
Соответствуют ли процессы обеспечения конфиденциальности данных изменениям в области обмена данными? Как минимум, большинству финансовых учреждений следует проверить существующие предположения относительно своей политики конфиденциальности данных. Для многих организаций, стремящихся соблюдать GDPR, вероятной отправной точкой является инвентаризация и сопоставление данных.Этот процесс следует постоянно проверять на эффективность, особенно по мере распространения агрегаторов данных. Другие стандартные процессы, такие как передача пакетных файлов, также могут быть источником беспокойства, поскольку организации, возможно, недавно не оценивали автоматизированные сценарии или могут не знать, какие данные отправляются.
Все финансовые учреждения должны оценить, распространяется ли их текущий процесс инвентаризации данных на данные, передаваемые третьим сторонам. Этот обмен данными с внешними сторонами является следующим шагом в процессе управления информацией, выходящим за рамки простого обнаружения электронных данных или уменьшения объема данных по соображениям кибербезопасности, к пониманию того, где находятся данные после того, как они покидают организацию, и согласованию этого с надлежащим контролем рисков.Финансовые учреждения, которые, возможно, являются более развитой отраслью с контролем, могут не иметь эффективной структуры инвентаризации, чтобы знать, какие данные были переданы каким третьим сторонам, или не имеют представления о том, кто отправил данные, почему и как. Многие упражнения по сопоставлению данных будут сосредоточены на создании данных и на том, как данные перемещаются внутри организации, но может не иметь видимости того, передаются ли данные извне, с каким согласием и действительно ли общие данные уместны.
Компании, которые стремятся соблюдать GDPR, который применяется не только к компаниям из ЕС, но и к компаниям, которые хранят или обрабатывают данные от потребителей из ЕС, подготовились к решению большей части этих проблем конфиденциальности данных.Однако многие из этих процессов могут быть неадекватными или оцененными должным образом. Исследование NetApp, проведенное в апреле 2018 года, показывает, что две трети глобальных компаний могут не соблюдать сроки GDPR.4 Кроме того, по мере развития рынка с новыми двусторонними соглашениями о совместном использовании данных, агрегаторами данных и партнерскими отношениями, эффективная прозрачность и контроль данных, покидающих организацию, могут появиться. большой пробел.
—-
1 «Знайте, прежде чем делиться: помните о рисках агрегирования данных», FINRA, март 2018 г.
2 «Принципы агрегирования данных SIFMA», SIFMA, апрель 2018 г.
3 «Принципы защиты потребителей: совместное использование и агрегирование финансовых данных с разрешения потребителей», CFPB, октябрь 2017 г.
4 «Исследование NetApp GDPR, оценка глобальной осведомленности о проблемах бизнеса», NetApp, апрель 2018 г.
Ответ Danske Bank на запрос Агентства по защите данных относительно GDPR
В связи с проблемой взыскания долга Danske Bank сообщил Датскому агентству по защите данных (DPA), что он выявил случаи, когда личные данные хранились дольше, чем это необходимо.В рамках этого диалога Danske Bank также проинформировал DPA, что проблема, связанная с сохранением и удалением данных, шире, чем проблема взыскания долгов. Поэтому DPA запросило дополнительную информацию по этому поводу.21 декабря 2020 года Danske Bank ответил в своем письме DPA о наших постоянных усилиях по обеспечению соответствия требованиям GDPR по хранению и удалению данных во всех наших системах.
«Данные наших клиентов в безопасности. Однако мы выявили случаи, когда данные хранились дольше, чем это необходимо.Очевидно, этого не должно было произойти, и мы работаем над решением этой проблемы », — говорит Бо Свейструп, исполнительный вице-президент CIO Core Banking & Data в Danske Bank.
С 2016 года Danske Bank работал над тем, чтобы соответствовать требованиям по хранению и удалению данных во всех системах, и мы выполнили многие аспекты. К сожалению, мы еще не завершили необходимую работу, но в настоящее время ожидаем, что наши системы будут соответствовать требованиям к концу 2021 года.
«К сожалению, процесс занял больше времени, чем мы хотели.В основном это связано с объемом задачи, но также потому, что наша четкая цель — сделать внедрение как можно более простым для наших клиентов », — говорит Бо Свейструп.
Наконец, Danske Bank проинформировал DPA, что в настоящее время мы храним личные данные в связи с юридическими обязательствами, связанными с текущими расследованиями и судебными разбирательствами по делу Эстонии. Однако Danske Bank не рассматривает это как часть выявленной проблемы соблюдения GDPR.
Danske Bank также уведомил об этом Датское АФН.
Прочтите ответ Danske Bank Датскому агентству по защите данных здесь.
Danske Bank
Информация о защите данных для онлайн-банкинга — Deutsche Bank Privatkunden
Мы обрабатываем вышеупомянутые личные данные в соответствии с положениями Общего регламента ЕС по защите данных (GDPR) и Федерального закона о защите данных Германии (Bundesdatenschutzgesetz — BDSG )
а. для выполнения договорных обязательств (статья 6 (1) b) GDPR)
Правовой основой для обработки ваших личных данных являются «Условия доступа к Deutsche Bank AG через электронные средства массовой информации», согласованные между вами и нами для использования OnlineBanking.
Цели обработки данных в первую очередь зависят от конкретной услуги. Для получения дополнительных сведений о целях обработки данных см. Соответствующую договорную документацию и условия.
г. в целях защиты законных интересов (статья 6 (1) f) GDPR)
При необходимости мы обрабатываем ваши данные сверх фактического выполнения наших договорных обязательств, чтобы защитить законные интересы, преследуемые нами или третьей стороной.Примеры:
- Заявление судебных исков и защита в случае судебного разбирательства
- Обеспечение ИТ-безопасности банка и ИТ-операций
- Предотвращение преступлений
- Меры по управлению бизнесом и дальнейшему развитию услуг и продуктов
- Управление рисками группы
c . на основании вашего согласия (статья 6 (1) a) GDPR)
Если вы дали нам согласие на обработку персональных данных для определенных целей (например,грамм. для информационных услуг по текущим предложениям и важным финансовым вопросам) законность такой обработки основана на вашем согласии. Информацию о ваших правах в отношении предоставленного согласия см. В главе 7 этой информации о защите данных. Вы можете запросить обзор статуса предоставленных вами согласий в любое время или просмотреть некоторые из них через OnlineBanking.
г. для соблюдения юридического обязательства (статья 6 (1) c) GDPR) или в общественных интересах (статья 6 (1) e) GDPR)
Как банк, мы также несем различные юридические обязательства, т.е.e., законодательные требования (например, Закон Германии о банковской деятельности (Kreditwesengesetz — KWG), Закон Германии о борьбе с отмыванием денег (Geldwäschegesetz — GWG), Закон Германии о торговле ценными бумагами (Wertpapierhandelsgesetz — WpHG), налоговое законодательство), а также требования банковского надзора ( например, Европейский центральный банк, Европейское управление банковского надзора, Deutsche Bundesbank и Федеральное управление финансового надзора Германии (Bundesanstalt für Finanzdienstleistungsaufsicht — BaFin). Другие цели обработки включают проверки кредитоспособности, идентификацию и возраст, антифрод и борьбу с деньгами. меры по отмыванию доходов, выполнение обязательств по налоговому контролю и отчетности, а также оценка и управление рисками в банке и Группе.
Защита данных 2020 | Законы и правила | Китай
1.
Соответствующее законодательство и компетентные органы1.1 Каково основное законодательство о защите данных?
Основным законодательством о защите персональных данных в Китае является Закон о кибербезопасности Китайской Народной Республики (далее « CSL »). Он устанавливает требования к защите данных для сетевых операторов.
1.2 Есть ли какие-либо другие общие законы, влияющие на защиту данных?
Существует гражданское и уголовное законодательство, которое влияет на защиту данных. В частности, 1 октября 2017 года вступили в силу Общие правила Гражданского закона , статья 111 которых предусматривает, что личные данные физических лиц находятся под защитой закона. Незаконный сбор, использование, обработка или передача личных данных других лиц запрещены.
Уголовный кодекс также устанавливает преступления, связанные с нарушением личных данных и конфиденциальности, e.g., преступление нарушения личной информации граждан в статье 253- (1), преступление отказа выполнять обязанности по обеспечению безопасности информационной сети в статье 286- (1), а также преступление кражи, покупки или незаконного раскрытия кредита других людей. информация о карте в Статье 177- (1). В изданном в 2017 году издании «Интерпретация нескольких вопросов, касающихся применения закона к уголовным делам о нарушении личных данных граждан», рассматриваемых Верховным народным судом и Верховной народной прокуратурой , дается дополнительное объяснение правонарушений, связанных с нарушением личных данных и неприкосновенности частной жизни.
Статья 2 Закона об ответственности за гражданское правонарушение определяет право на неприкосновенность частной жизни как одно из гражданских прав граждан, наряду с правом на жизнь, право на здоровье и т. Д.
1.3 Существует ли какое-либо отраслевое законодательство, влияющее на защиту данных?
В секторах банковского дела, страхования, медицины, кредитной информации, телекоммуникаций и автомобилестроения существуют определенные законодательные акты, которые влияют на защиту данных, например, Меры по осуществлению Народного банка Китая по защите прав и интересов потребителей финансовых услуг , Меры по администрированию информации о здоровье населения , Меры по ведению медицинской документации в медицинских учреждениях , Административные правила для индустрии кредитных расследований , Несколько положений по регулированию рыночного порядка информационных услуг в Интернете , Меры по администрированию служб электронной почты в Интернете и Положения о защите личной информации пользователей электросвязи и Интернета и т. Д.
1.4 Какие органы отвечают за защиту данных?
China не имеет единого органа, ответственного за обеспечение соблюдения положений, касающихся защиты личной информации.
В соответствии с CSL Управление киберпространства Китая (« CAC ») отвечает за планирование и координацию кибербезопасности и соответствующую надзорную и административную работу, в то время как Министерство промышленности и информационных технологий, департамент общественной безопасности и другие соответствующие департаменты несут ответственность за надзор и управление защитой личной информации в своих отраслях.
Например, Министерство общественной безопасности (« MPS ») и его местные отделения имеют право налагать административные штрафы, а также несут ответственность за уголовные расследования против незаконного получения, продажи или раскрытия личной информации.
Министерство промышленности и информационных технологий (« MIIT ») и телекоммуникационные администрации на провинциальном уровне несут ответственность за надзор и управление личной информацией в телекоммуникационном и интернет-секторе.
Кроме того, Государственная администрация по регулированию рынка (« SAMR ») и ее местные органы несут ответственность за надзор и управление личной информацией потребителей в соответствии с Законом «О защите прав и интересов потребителей» .
2.
Определения2.1 Просьба предоставить ключевые определения, используемые в соответствующем законодательстве:
« Персональные данные »
«Личные данные» или личная информация, как в статье 76- (5) CSL, относится к различной информации, которая записывается в электронной или любой другой форме и используется отдельно или в сочетании с другой информацией для идентификации физического лица, включая но не ограничиваясь именем, датой рождения, идентификационным номером, личной биологической идентификационной информацией, адресом и номером телефона физического лица.
« Обработка »
Учитывая, что основное законодательство, CSL, дает определения только для нескольких ключевых терминов, некоторые из перечисленных здесь определений взяты из Национального стандарта Китайской Народной Республики по технологиям информационной безопасности — Спецификация безопасности персональных данных (далее « Стандарт ”). Стандарт выпускается Генеральным управлением по надзору за качеством, инспекцией и карантином и Управлением по стандартизации.Хотя это и не обязательно, это считается хорошей практикой. Стандарт был обновлен в марте 2020 года и вступит в силу в октябре 2020 года.
Ни CSL, ни Стандарт не определяют «Обработку», но это упоминается в Стандарте при обсуждении доверенной обработки.
«Контроллер »
CSL не определяет «Контроллер», но Раздел 3.4 Стандарта определяет его как организации или отдельных лиц, которые имеют право принимать решение о целях, методах и других аспектах обработки персональных данных.
« Процессор »
Согласно CSL и Стандарту, понятие «процессор» отсутствует. Однако Стандарт предусматривает обязательства, которые обработчики данных должны выполнять в случае «доверенной обработки» в Разделе 9.1.
« Субъект данных »
CSL не определяет «Субъект данных». Стандарт определяет это как лицо, указанное в личных данных в разделе 3.3.
« Конфиденциальные личные данные »
CSL не определяет «конфиденциальные личные данные».Раздел 3.2 Стандарта определяет его как персональные данные, которые в случае разглашения, незаконного раскрытия или злоупотребления могут нанести ущерб личной безопасности или безопасности имущества, или могут легко привести к ущербу репутации, физиологическому, а также психологическому здоровью или стать причиной нарушения здоровья человека. подвергается дискриминации. Например, идентификационный номер, личная биологическая идентификационная информация, банковский счет, запись и содержание переписки, кредитная информация и личные данные детей в возрасте до 14 лет и т. Д.
« Нарушение данных »
Ни CSL, ни стандарт не определяют «нарушение данных».
Национальный план действий в чрезвычайных ситуациях для инцидентов кибербезопасности , выпущенный CAC, определяет «инциденты кибербезопасности», которые относятся к инцидентам, которые наносят ущерб сети и информационным системам или данным в них и отрицательно влияют на общество из-за человеческого фактора, дефектов оборудования или программного обеспечения. или отказы, стихийные бедствия и т. д. Инциденты кибербезопасности можно разделить на инциденты с опасными программами, инциденты сетевых атак, инциденты уничтожения информации, инциденты безопасности информационного содержимого, отказы оборудования и объектов, катастрофические инциденты и другие инциденты.
Другие ключевые определения — укажите (например, «Псевдонимные данные», «Прямые персональные данные», «Косвенные персональные данные»)
Стандарт также предоставляет определения других ключевых терминов, которые, среди прочего, включают « Анонимизация » и « Деидентификация »:
Анонимизация, как определено в разделе 3.14, означает, что субъект данных становится неидентифицируемым или не может быть коррелирован посредством технической обработки персональных данных, и обработанная информация не может быть восстановлена.Анонимизированные личные данные больше не считаются личными данными.
Деидентификация, как определено в разделе 3.15, означает, что субъект данных становится неидентифицируемым или не может быть коррелирован, если он не объединен с другой информацией посредством технической обработки персональных данных.
3.
Территориальный охват3.1 Распространяются ли законы о защите данных на предприятия, учрежденные в других юрисдикциях? Если да, то при каких обстоятельствах бизнес, учрежденный в другой юрисдикции, будет подпадать под действие этих законов?
Теоретически да. Статья 5 CSL предоставляет властям право отслеживать, предотвращать и управлять рисками и угрозами кибербезопасности из других юрисдикций. В соответствии со статьей 50, если какая-либо информация из других юрисдикций будет признана запрещенной законом, CAC и компетентные органы могут принять меры, чтобы заблокировать передачу такой информации.В соответствии со статьей 75 закон применяется также к зарубежным учреждениям, организациям или частным лицам, которые занимаются деятельностью, которая ставит под угрозу критически важную информационную инфраструктуру (« CII »).
Кроме того, компании, работающие по оффшорной модели, но предоставляющие услуги китайским клиентам / пользователям, также могут подпадать под действие правил защиты личных данных, установленных CSL, особенно в отношении трансграничной передачи данных.
Однако в законе четко не указано, как применять санкции.Таким образом, степень, в которой эти положения будут применяться за границей в отношении зарубежных компаний, остается неясной.
4.
Основные принципы4.1 Каковы основные принципы обработки персональных данных?
Прозрачная пленка
Статья 41 CSL предусматривает, что операторы сети должны обнародовать правила сбора и использования личных данных и прямо уведомлять о цели, методах и объеме такого сбора и использования.
В Разделе 4e) Стандарт также определяет прозрачность в качестве одного из основных принципов, заявляя, что объем, цель и правила обработки персональных данных должны быть общедоступными, четкими, понятными и справедливыми и подлежать внешнему надзору.
Законное основание для обработки
Статья 41 CSL требует, чтобы операторы сети соблюдали «законные, оправданные и необходимые» принципы при сборе и использовании личных данных.
Раздел 5.1 Стандарта дополнительно объясняет, что означает «законный» — контролеры данных не должны обманывать, обманывать или вводить в заблуждение субъекта данных для раскрытия личных данных, не должны скрывать, что продукт или услуга, которые они предоставляют, собирают личные данные, не должны получать личные данные. из незаконных каналов и не собирает информацию, запрещенную законом.
Среди прочего, согласие является наиболее распространенным методом достижения законности. В разделе 4c) стандарта согласие указано в качестве основного принципа, который требует от контролера персональных данных получения разрешения субъектов данных на цели, методы, объем и правила и т. Д.обработки данных.
Следует отметить, что согласие не всегда равно законности; В разделе 5.6 Стандарта также предусмотрены исключения из требования о получении согласия, когда согласие не требуется до сбора и использования персональных данных. Тем не менее, не забывайте, что Стандарт — это не юридический текст, имеющий исковую силу, а набор рекомендаций. Поэтому рекомендуется всегда получать согласие субъекта данных, где это возможно.
Ограничение цели
Статья 41 CSL требует, чтобы операторы сети не собирали никаких личных данных, не связанных с предоставляемыми услугами.В Разделе 4b) Стандарта также есть «Принцип четкой цели», согласно которому контроллер данных должен иметь четкую и конкретную цель для обработки персональных данных.
Минимизация данных
CSL прямо не предусматривает требований к минимизации данных, а лишь в целом требует, чтобы операторы сетей собирали только персональные данные, относящиеся и необходимые для предоставления их услуг субъектам данных.
Раздел 5.2 Стандарта устанавливает, что, за исключением случаев, когда иное согласовано с субъектами данных, контроллеры данных должны обрабатывать только минимальный тип и объем личных данных, необходимых для достижения цели, на которую субъект данных дал согласие.После того, как цель будет достигнута, личные данные должны быть незамедлительно удалены или обезличены.
Пропорциональность
В CSL или Стандарте нет явного правила, предусматривающего «принцип пропорциональности», но принцип минимизации данных в CSL и Стандарте по сути аналогичен «принципу пропорциональности», причем оба подчеркивают «обработку персональных данных». только в надлежащем и необходимом объеме ».
Удержание
Раздел 6.1 Стандарта предусматривает, что период хранения личной информации должен быть самым коротким временем, необходимым для реализации цели санкционированного использования личной информации, если иное не предусмотрено законами и нормативными актами или иным образом не разрешено или не согласовано субъектом личной информации.
Прочие ключевые принципы — просьба указать
« Обеспечение безопасности » Принцип
Статья 42 CSL и Раздел 4f) Стандарта предусматривают, что контролер данных должен иметь возможности безопасности, соответствующие рискам безопасности, с которыми он сталкивается, и принимать адекватные меры для защиты конфиденциальности, целостности и доступности персональных данных.
5.
Индивидуальные права5.1 Каковы основные права физических лиц в отношении обработки их личных данных?
Право доступа к данным / копиям данных
Учитывая, что в CSL прямо указаны только права на исправление и удаление, некоторые из перечисленных здесь прав предоставляются Стандартом.
Раздел 8.1 Стандарта предусматривает, что контролер данных должен предоставить субъекту персональных данных доступ к:
- данные или тип данных о нем или о ней, которыми владеет контролер;
- источник (-ы) и цель таких персональных данных; и
- — личность или тип любого третьего лица, получившего вышеуказанные персональные данные.
Право на исправление ошибок
Статья 43 CSL предусматривает, что каждый человек имеет право потребовать от любого оператора сети внести исправления, если он или она обнаружил ошибки в такой информации, собранной и сохраненной таким оператором.Стандарт предусматривает аналогичные правила в Разделе 8.2.
Право на удаление / право на забвение
В соответствии со статьей 43 CSL, каждое физическое лицо имеет право потребовать от оператора сети удалить его или ее личные данные, если он или она обнаружит, что сбор или использование такой информации таким оператором нарушает законы, административные правила или соглашение и между таким оператором и им.
Помимо вышеуказанных обстоятельств, Раздел 8.3 Стандарта также предусматривает, что если контроллер данных делится и передает персональные данные третьей стороне или публично раскрывает персональные данные незаконно или в нарушение соглашения между контроллером и субъектом, и субъект требует, чтобы данные были удалено, контролер должен прекратить такое совместное использование, передачу и публичное раскрытие, а также уведомить соответствующие стороны об удалении соответствующих данных. Раздел 8.5 предусматривает, что субъекту данных будут предоставлены каналы для закрытия его или ее учетной записи, а соответствующие личные данные будут удалены / анонимизированы; Контроллеры данных не должны устанавливать ненужные или необоснованные условия, когда субъекты данных запрашивают закрытие учетной записи.Кроме того, в разделе 6.4 предусмотрено, что, если контролер личной информации приостанавливает работу в отношении своих продуктов или услуг, он должен удалить или анонимизировать личную информацию, которую он хранит.
Право на возражение против обработки
Согласно Стандарту отзыв согласия субъекта данных может рассматриваться как право возражать против обработки. Следует отметить, что в соответствии с Разделом 7.7 Стандарта субъекту персональных данных не будет предоставлено право на возражение, но будет право на подачу апелляции и право на ручной пересмотр решений, когда такие решения принимаются на основе информации. системы, основанные на автоматизированных решениях (таких как личный кредит, лимиты ссуд или проверка собеседований на основе профилей пользователей), которые существенно влияют на права и интересы субъекта данных.
Право на ограничение обработки
CSL не предоставляет явным образом право ограничивать обработку.
Право на перенос данных
CSL прямо не предусматривает права на переносимость данных. Раздел 8.6 Стандарта рекомендует контроллерам данных предоставлять субъектам данных методы получения копий их личной информации. Право на переносимость данных бывает двух видов: (1) контролер данных предоставляет копию определенных личных данных субъекту данных; и (2) контроллер данных напрямую отправляет копию третьей стороне, указанной субъектом данных, если это технически возможно.
Персональные данные, которые могут быть перенесены, ограничиваются четырьмя видами: основные персональные данные субъектов данных; личная идентификационная информация; информация о личном здоровье и физиологии; и персональное образование и профессиональная информация.
Право на отзыв согласия
Субъекты персональных данных имеют полную свободу и контроль в отношении обработки своих персональных данных. Хотя это явно не предусмотрено в CSL, Раздел 8.4 Стандарта предоставляет практические рекомендации относительно отзыва и изменения согласия и особо упоминает два различных сценария: (1) отзыв согласия для отказа в получении коммерческой рекламы; и (2) отзыв согласия на совместное использование, передачу и публичное раскрытие данных.
Право на возражение против маркетинга
Раздел 8.4 Стандарта предусматривает, что субъекты данных имеют право не получать коммерческую рекламу, основанную на их личных данных.
Право на подачу жалобы в соответствующие органы по защите данных
Право физических лиц подавать жалобу в органы по защите данных признано в ряде законодательных актов. Например, Раздел IX Решения Постоянного комитета Всекитайского собрания народных представителей по усилению защиты сетевой информации предусматривает, что любая организация или физическое лицо имеет право сообщать в соответствующие органы о незаконных или преступных действиях в виде кражи или иного незаконного приобретение, продажа или предоставление другим лицам личной электронной информации гражданина.Кроме того, CSL предусматривает в статье 14, что можно сообщать о действиях, которые ставят под угрозу безопасность сети, в CAC, телекоммуникационные органы и органы общественной безопасности.
6.
Регистрационные формальности и предварительное одобрение6.1 Есть ли у предприятий юридическое обязательство регистрироваться или уведомлять орган по защите данных (или любой другой правительственный орган) в отношении своей деятельности по обработке?
Есть такие требования относительно трансграничной передачи данных.В частности, сетевые операторы должны проводить оценку безопасности передачи данных за границу. Трансграничная передача личной информации (проект для комментариев) , выпущенная в июне 2019 года, предусматривает в статье 3, что перед трансграничной передачей личной информации сетевые операторы должны обратиться в местные администрации киберпространства на провинциальном уровне для оценки безопасности. для трансграничной передачи личной информации.
Кроме того, статья 28 Административных мер по безопасности данных (проект для комментариев) предусматривает, что операторы сети должны оценивать потенциальные риски безопасности до того, как раскрывать, передавать или продавать важные данные или передавать такие данные за границу, и должны отчитываться перед компетентными органами. регулирующий орган для утверждения.Если компетентный регуляторный отдел неясен, сетевые операторы должны отчитываться перед администрациями киберпространства на уровне провинции для утверждения.
6.2 Если требуется такая регистрация / уведомление, должно ли оно быть конкретным (например, перечислять все действия по обработке, категории данных и т. Д.) Или может быть общим (например, с подробным описанием соответствующих действий по обработке)?
Трансграничная передача личной информации (проект для комментариев) предусматривает в Статье 4, что операторы сети должны предоставлять следующие материалы для оценки безопасности трансграничной передачи личной информации и несут ответственность за подлинность и точность материалов:
- анкета;
- договоров между операторами сети и получателями;
- отчетов об анализе рисков безопасности при трансграничной передаче личной информации и мерах безопасности; и
- других материалов, требуемых национальной администрацией киберпространства.
Конкретно в договоре о трансграничной передаче данных должно быть указано как минимум:
- цели трансграничной передачи личной информации, а также виды и сроки хранения такой информации;
- субъекты персональных данных являются выгодоприобретателями по условиям договоров, затрагивающих права и интересы субъектов персональных данных;
- , когда законные права и интересы субъектов личной информации нарушены, они могут напрямую потребовать компенсацию либо от сетевых операторов, либо от получателей, либо от обеих сторон, либо поручить это сделать агенту от своего имени, а сетевые операторы или получатели должны предоставить компенсация, если не будет доказано, что они не несут ответственности;
- , если изменения правовой среды в странах-получателях затрудняют выполнение контрактов, контракты должны быть расторгнуты или оценка безопасности должна быть проведена повторно; и
- прекращение контрактов не освобождает сетевых операторов и получателей от их ответственности и обязанностей, предусмотренных соответствующими условиями контрактов, касающихся законных прав и интересов субъектов личной информации, за исключением случаев, когда получатели уничтожили полученную личную информацию или анонимизировали ее. информация.
6.3 На каком основании делаются регистрации / уведомления (например, для каждого юридического лица, для каждой цели обработки, для каждой категории данных, для каждой системы или базы данных)?
Статья 3 Закона «Трансграничная передача личной информации» (проект для комментариев) определяет, что предоставление личной информации разным получателям подлежит отдельной оценке безопасности, а многократное или непрерывное предоставление личной информации одному и тому же получателю не нужно пройти несколько оценок.
Более того, статья 3 предусматривает, что новая оценка безопасности должна проводиться каждые два года или в случае изменения цели трансграничной передачи личной информации или типа или периода хранения такой информации за рубежом.
6.4 Кто должен зарегистрироваться / уведомить орган по защите данных (например, местные юридические лица, иностранные юридические лица, подпадающие под действие соответствующего законодательства о защите данных, представительства или филиалы иностранных юридических лиц, подпадающих под действие соответствующего законодательства о защите данных)?
См. Вопрос 6.1 относительно того, кто должен уведомить орган.
6.5 Какая информация должна быть включена в регистрацию / уведомление (например, данные уведомляющей организации, затронутые категории лиц, затронутые категории личных данных, цели обработки)?
См. Вопрос 6.2 относительно информации, которая должна быть включена в уведомление.
6.6 Каковы санкции за отсутствие регистрации / уведомления в случае необходимости?
Трансграничная передача личной информации (проект для комментариев) не определяет санкции для обычных сетевых операторов.Статья 18 предусматривает только то, что операторы сетей, которые передают личную информацию через границу в нарушение положений, должны быть наказаны согласно соответствующим законам и постановлениям.
Статья 66 CSL устанавливает санкции за отказ операторами CII получить одобрение властей. В частности, его следует предупредить и приказать внести исправления, и он будет подвергнут конфискации незаконных доходов и наложению штрафа в размере от 50 000 до 500 000 юаней, а также может быть приостановлен соответствующий бизнес с закрытием для исправления, закрытие веб-сайтов и отзыв бизнес-лицензий.Непосредственно ответственный надзорный орган и другие лица, несущие прямую ответственность, подлежат наложению штрафа в размере от 10 000 до 100 000 юаней.
Статья 37 Административных мер по безопасности данных (проект для комментариев) предусматривает, что в случае нарушения любого оператора сети положений, компетентные департаменты должны в соответствии с соответствующими законами и административными постановлениями и в зависимости от обстоятельств принимать дисциплинарные меры, такие как например, публичное раскрытие неправомерных действий, конфискация незаконных доходов, приостановка соответствующих деловых операций, прекращение деловых операций для исправления ошибок, закрытие веб-сайтов или отзыв соответствующих разрешений на ведение бизнеса или лицензий на ведение бизнеса.Если нарушение составляет преступление, привлекается к уголовной ответственности.
6.7 Какова плата за регистрацию / уведомление (если применимо)?
В настоящее время это остается неясным. Обычно такие уведомления бесплатны.
6.8 Как часто нужно обновлять регистрации / уведомления (если применимо)?
См. Вопрос 6.3. Кроме того, статья 9 «Трансграничная передача личной информации» (проект для комментариев) предусматривает, что сетевые операторы должны до 31 декабря каждого года сообщать о ситуациях трансграничной передачи личной информации и выполнении контрактов в текущем году. год для местных администраций киберпространства на провинциальном уровне.
6.9 Требуется ли предварительное одобрение регулирующего органа по защите данных?
Для операторов CII общепризнано, что при передаче данных за границу для деловых нужд требуется предварительное разрешение.
Что касается передачи личной информации операторами сети, статья 5 документа «Трансграничная передача личной информации» (проект для комментариев) предусматривает процедуры для администраций киберпространства по проведению оценки безопасности.В статье 2 уточняется, что, если в ходе оценки безопасности установлено, что трансграничная передача личной информации может повлиять на национальную безопасность или нанести ущерб общественным интересам, или что трудно эффективно защитить безопасность личной информации, трансграничная передача такой информации информация не допускается.
Что касается передачи важных данных, то Закон «Административные меры по обеспечению безопасности данных» (проект для комментариев) прямо требует от сетевых операторов получения предварительного одобрения компетентных регулирующих органов или администраций киберпространства.
6.10 Можно ли заполнить регистрацию / уведомление онлайн?
Остается неясным, можно ли заполнить уведомление онлайн.
6.11 Есть ли общедоступный список выполненных регистраций / уведомлений?
Нет, но есть общедоступные записи об операторах, которые нарушают положения о защите личной информации пользователей электросвязи и Интернета («Положения »).В статье 20 Положений предусмотрено, что органы электросвязи регистрируют деятельность операторов телекоммуникационного бизнеса и поставщиков информационных услуг в Интернете, которые нарушили Положения, в свои файлы социального кредитования и публикуют такую информацию.
6.12 Сколько времени занимает типичный процесс регистрации / уведомления?
Статья 5 Закона «Трансграничная передача личной информации» (проект для комментариев) предусматривает, что оценка безопасности должна быть завершена в течение 15 рабочих дней, и этот срок может быть соответствующим образом продлен для тех, кто находится в сложных ситуациях.Ожидается, что будут сформулированы подробные меры или руководящие принципы реализации.
7.
Назначение сотрудника по защите данных7.1 Является ли назначение сотрудника по защите данных обязательным или необязательным? Если назначение сотрудника по защите данных является обязательным только при определенных обстоятельствах, укажите эти обстоятельства.
В статье 21 CSL предусмотрено, что сетевые операторы должны назначать сотрудников по безопасности сети для защиты безопасности сети. Кроме того, в статье 34 предусмотрено, что оператор CII также должен назначить сотрудника по управлению безопасностью. Назначение таких офицеров обязательно. Кроме того, в разделе 11.1 Стандарта указано, что контролер персональных данных должен назначить сотрудника по защите данных и создать отдел защиты данных.
7.2 Каковы санкции за неспособность назначить сотрудника по защите данных, когда это необходимо?
Хотя назначение сотрудника по защите данных является хорошей практикой, установленной Стандартом, в соответствии с CSL нет никаких санкций за невыполнение этого требования. Тем не менее, существуют санкции за неспособность назначить сотрудника по сетевой безопасности, а в случае оператора CII — сотрудника по управлению безопасностью в соответствии со статьей 59 CSL.
Операторы, не назначившие специалиста по сетевой безопасности, могут ожидать предупреждений и приказов об исправлениях.Штраф в размере от 10 000 до 100 000 юаней может быть наложен, если оператор отказывается вносить исправления или в случае серьезного косвенного ущерба. Штраф в размере от 5000 до 50 000 юаней может быть наложен на непосредственно ответственного лица.
ОператорыCII, которые не назначили сотрудника службы безопасности, могут ожидать предупреждений и приказов об исправлениях. Штраф в размере от 100 000 до 1 миллиона юаней может быть наложен, если оператор отказывается вносить исправления или в случае серьезного косвенного ущерба.Штраф в размере от 10 000 до 100 000 юаней может быть наложен на непосредственно ответственного лица.
7.3 Защищен ли сотрудник по защите данных от дисциплинарных мер или других последствий при приеме на работу в связи с его или ее ролью в качестве сотрудника по защите данных?
Если сотрудник по защите данных не выполняет свои обязанности с должной осмотрительностью, он может быть привлечен к административной или даже уголовной ответственности в связи с его или ее ролью в качестве сотрудника по защите данных.
7.4 Может ли компания назначить одного сотрудника по защите данных для охвата нескольких организаций?
В законе и соответствующих правилах не указано, может ли компания назначить одного сотрудника по защите данных для охвата нескольких организаций.
7.5 Опишите, пожалуйста, любую конкретную квалификацию сотрудника по защите данных, требуемую законом.
Раздел 11.1 Стандарта определяет, что уполномоченным по защите данных должно быть лицо с соответствующим опытом управления и профессиональными знаниями в области защиты личной информации.
7.6 Каковы обязанности сотрудника по защите данных в соответствии с требованиями законодательства или передовой практики?
Раздел 11.1 Стандарта предусматривает, что обязанности сотрудника по защите данных включают, но не ограничиваются:
- всесторонняя и всеобъемлющая реализация безопасности персональных данных организации и прямая ответственность за безопасность персональных данных;
- организует разработку плана работ по защите персональной информации и контролирует его выполнение;
- разработка, выпуск, внедрение и регулярное обновление политики конфиденциальности и соответствующих нормативных актов;
- создание, ведение и обновление списка личных данных, хранящихся в организации (включая тип, количество, происхождение, получателя и т. Д.)личных данных) и политики авторизованного доступа;
- проводит оценку воздействия на безопасность личных данных, предлагает контрмеры и предложения по защите личной информации и призывает к устранению рисков безопасности;
- организация обучения безопасности персональных данных;
- проведение тестирования продукта или услуги перед их выпуском в случае неизвестного сбора, использования, обмена и других действий по обработке персональных данных;
- объявлять информацию, такую как методы жалобы или сообщения, и оперативно принимать жалобу и сообщение;
- проведение аудитов безопасности; и
- общение с надзорными органами и предоставление отчетов о защите личной информации, обработке инцидентов и т. Д.
7.7 Должно ли быть зарегистрировано / уведомлено о назначении сотрудника по защите данных в соответствующие органы по защите данных?
В настоящее время закон не требует, чтобы уполномоченный по защите данных регистрировался или уведомлялся в соответствующие органы по защите данных.
7.8 Должен ли сотрудник по защите данных быть указан в общедоступном уведомлении о конфиденциальности или аналогичном документе?
Раздел 5.6 Стандарта предоставляет содержание, которое должна включать политика конфиденциальности, и имя ответственного за защиту данных не упоминается в ней. Тем не менее, рекомендуется назначить человека, с которым общественность сможет связаться с целью рассмотрения запросов и жалоб пользователей по вопросам конфиденциальности и защиты данных.
8.
Назначение обработчиков8.1 Если компания назначает обработчика для обработки персональных данных от своего имени, должна ли компания заключать какие-либо соглашения с этим обработчиком?
В законе нет таких требований, но статья 9.1 Стандарта предусматривает, что контролер данных может заключить соглашение с доверенным обработчиком данных для обработки персональных данных от имени контролера.
8.2 Если необходимо заключить соглашение, каковы формальности этого соглашения (например,g., в письменной форме, с подписью и т. д.) и какие вопросы он должен решать (например, обработка личных данных только в соответствии с соответствующими инструкциями, обеспечение безопасности личных данных и т. д.)?
Нет требований к формальностям договора. Что касается содержания, статья 9.1 Стандарта предусматривает, что в нем должны быть рассмотрены обязанности и обязанности обработчика, включая требования к обработке персональных данных, возможность переназначения обработчика, помощь, которую он должен оказывать контроллеру данных, ответственность за предоставление обратной связи контроллеру данных и ответственность за расторжение соглашения.
9.
Маркетинг9.1 Опишите любые законодательные ограничения на отправку электронного прямого маркетинга (например, для маркетинга по электронной почте или SMS требуется ли предварительное согласие получателя?).
В соответствии со статьей 43 Закона о рекламе № ни одна организация или физическое лицо не может без получения согласия или запроса заинтересованных сторон распространять им рекламные объявления с помощью электронных средств.Рекламные объявления, распространяемые с помощью электронных средств, должны указывать истинные личности и контактные данные отправителей, а также способ отказа получателей от принятия будущих рекламных объявлений. Статья 44 также предусматривает, что рекламные объявления, публикуемые на веб-сайте в виде всплывающих окон, должны иметь на видном месте знак «закрыть».
Статья 13 Регламента Администрирования служб электронной почты в Интернете предусматривает, что слово «реклама» или «AD» должно быть указано в теме электронного письма, и запрещено отправлять электронные письма, содержащие коммерческую рекламу, без явного согласия получателей. .Статья 14 предусматривает, что если получатель электронной почты, который прямо согласился на получение прямого электронного маркетинга, впоследствии отказывается продолжать получать такие электронные письма, отправитель должен прекратить отправлять такие электронные письма, если стороны не договорились об ином. Получателям должны быть предоставлены контактные данные для прекращения получения таких электронных писем, включая адрес электронной почты отправителя, и они должны гарантировать, что такие контактные данные действительны в течение 30 дней.
9.2 Применимы ли эти ограничения только к маркетингу «бизнес-потребитель» или они также применяются в контексте «бизнес-бизнес»?
Закон о рекламе , а также Порядок Администрирования служб электронной почты в Интернете не уточняют, применимы ли они только к маркетингу между бизнесом и потребителем.
9.3 Опишите любые законодательные ограничения на отправку рекламных материалов другими способами (например,для маркетинга по телефону необходимо заранее проверить национальный регистр отказа; для маркетинга по почте не требуется согласия или отказа и т. д.).
Раздел VII Решения Постоянного комитета Всекитайского собрания народных представителей по усилению защиты сетевой информации предусматривает, что любая организация или частное лицо не должны отправлять коммерческие электронные сообщения на стационарный, мобильный телефон или электронный ящик получателя электронных сообщений. без предварительного согласия или запроса получателей или если получатели явно выражают отказ.
Операторы платформы электронной коммерции при отображении результатов поиска товаров или услуг должны пометить «рекламу» для продуктов или услуг, оцененных по ставкам, в соответствии со статьей 40 Закона об электронной торговле . Кроме того, статья 18 предусматривает, что операторы электронной коммерции, которые предоставляют результаты поиска на основе предпочтений или потребительских привычек потребителей, тем временем предоставляют варианты, не ориентированные на личные характеристики потребителей.
9.4 Распространяются ли указанные выше ограничения на маркетинговые материалы, отправленные из других юрисдикций?
CSL, Закон о рекламе и Закон об электронной коммерции применяются к операторам, предоставляющим продукты и услуги на территории КНР, в то время как для иностранных операторов, предоставляющих товары или услуги КНР по офшорной модели, закон распространяется. не уточняйте, будет ли это применяться или нет.Однако, согласно статье 3.2 проекта Руководства по оценке безопасности трансграничной передачи данных , бизнес-операторы, не зарегистрированные в Китае, но предоставляющие товары или услуги Китаю на китайском языке, осуществляют расчеты в юанях и доставляют товары в Китай. считаются «предоставляющими товары или услуги Китаю», и в этом случае мы понимаем, что соответствующие положения могут применяться.
9.5 Активны ли соответствующие органы по защите данных в обеспечении нарушений маркетинговых ограничений?
Похоже, что органы по защите данных не особенно активны, но в последнее время есть случаи, когда другие органы, такие как Администрация по регулированию рынка, принимают меры.Например, в 2017 году компания Shanghai Paipaidai Financial Information Service Co., Ltd. была оштрафована на 800 000 юаней за нарушение Закона о рекламе , включая, среди прочего, отправку прямых рекламных объявлений по электронной почте без получения предварительного согласия получателей. .
9.6 Законно ли покупать маркетинговые списки у третьих лиц? Если да, то есть ли какие-либо рекомендации по использованию таких списков?
Если источник маркетинговых списков является законным и законным, и субъект данных дал согласие, то это не запрещено.В противном случае это незаконно, поскольку поставщики сетевых услуг и другие предприятия, государственные учреждения и их сотрудники обязаны хранить в строгой конфиденциальности личную электронную информацию граждан, собранную в ходе их деловой деятельности, и не могут разглашать, фальсифицировать, повреждать, продавать или незаконно предоставлять такую информацию другим лицам, как это предусмотрено в Постановлении Постоянного комитета Всекитайского собрания народных представителей по усилению защиты сетевой информации .
9.7 Каковы максимальные штрафы за отправку маркетинговых сообщений в нарушение действующих ограничений?
Статья 63 Закона о рекламе предусматривает, что отправка прямых маркетинговых сообщений без получения согласия цели может привести к штрафу в размере до 30 000 юаней.
Платформы электронной коммерции, на которых четко не указано «реклама» для продуктов с оценкой ставок, могут быть наложены штраф в размере до 100 000 юаней в соответствии со статьей 81 Закона об электронной торговле и статьей 59 Закона о рекламе .
Кроме того, статья 77 Закона об электронной коммерции предусматривает, что коммерческим операторам электронной коммерции, которые предоставляют результаты поиска в нарушение статьи 18, как описано в вопросе 9.2, предписывается внести исправления в установленный срок, их незаконный доход подлежат конфискации, и может быть наложен штраф в размере от 50 000 до 200 000 юаней. В серьезных случаях одновременно должен быть наложен штраф в размере от 200 000 до 500 000 юаней.
10.
Файлы cookie10.1 Опишите любые законодательные ограничения на использование файлов cookie (или аналогичных технологий).
Не существует законодательства, прямо регулирующего использование файлов cookie. Учитывая, что файлы cookie подпадают под определение личной информации (CSL предусматривает, что личные данные относятся к информации, которая может использоваться отдельно или в сочетании с другой информацией для идентификации физического лица, в то время как Стандарт также предоставляет такую информацию, как записи онлайн-просмотра, личные данные), подразумевается, что к использованию файлов cookie применяются общие правила в отношении личных данных.
10.2 Различают ли применяемые ограничения (если есть) разные типы файлов cookie? Если да, то каковы соответствующие факторы?
На данном этапе закон не делает различий между разными типами файлов cookie.
10.3 Были ли / приняты ли на сегодняшний день соответствующими органами по защите данных какие-либо принудительные меры в отношении файлов cookie?
Нет никаких административных действий в отношении использования файлов cookie. Тем не менее, в 2015 году использование файлов cookie поисковой системой Baidu для персонализации рекламы, нацеленной на потребителей, когда они заходят на определенные сторонние веб-сайты, было признано судом не нарушающим права человека на неприкосновенность частной жизни.
10.4 Каковы максимальные штрафы за нарушение действующих ограничений файлов cookie?
См. Максимальные штрафы за другие общие нарушения.
11.
Ограничения на международную передачу данных11.1 Опишите любые ограничения на передачу персональных данных в другие юрисдикции.
CSL предусматривает, что личная информация и важные данные, собранные оператором CII во время их операций на территории КНР, должны храниться внутри страны, а трансграничная передача личной информации и важных данных оператором CII для деловых нужд должна быть подлежит оценке безопасности.
Информацию об ограничениях на международную передачу личной информации и важных данных см. В вопросах 6.1–6.12. Ожидается, что как Трансграничная передача личной информации (проект для комментариев) , так и административные меры по безопасности данных (проект для комментариев) , которые все еще рассматриваются соответствующими органами, будут подвергаться дальнейшим доработка.Остается неясным, вступят ли текущие требования в проект мер в силу в будущем.
11.2 Опишите механизмы, которые предприятия обычно используют для передачи персональных данных за границу в соответствии с применимыми ограничениями на передачу (например, согласие субъекта данных, выполнение договора с субъектом данных, утвержденные договорные положения, соблюдение юридических обязательств и т. Д. ).
С согласия субъектов данных компании могут передавать данные за границу при условии надлежащей оценки безопасности.Помимо получения согласия субъекта данных, компаниям необходимо будет доказать, что их передача личных данных за границу возникла в связи с потребностями бизнеса при определенных обстоятельствах, и представить результаты оценки безопасности в компетентные органы для утверждения в соответствии с проектом мер (см. Вопрос 11.1). .
11.3 Требуется ли для передачи персональных данных в другие юрисдикции регистрации / уведомления или предварительного разрешения соответствующих органов по защите данных? Пожалуйста, опишите, какие типы переводов требуют одобрения или уведомления, что включают в себя эти шаги и сколько времени они обычно занимают.
Для операторов CII статья 37 CSL предусматривает, что личные данные и важные данные, собранные или созданные в Китае, должны храниться внутри страны. Передача такой информации за границу, возникающая в связи с потребностями бизнеса, разрешена при условии предварительного согласия субъекта данных, завершения оценки безопасности и одобрения компетентных отраслевых органов.
Информацию о трансграничной передаче личной информации и важных данных операторами общих сетей см. В вопросах 6.1–6.12.
12.
Горячие линии для информаторов12.1 Каков допустимый объем корпоративных горячих линий для информаторов (например, ограничения по типам вопросов, о которых можно сообщать, лицам, которые могут подавать отчет, лицам, которых может касаться сообщение, и т. Д.)?
Нет правила, прямо касающегося этого вопроса.
12.2 Запрещено ли анонимное сообщение, категорически не рекомендуется или вообще разрешено? Если это запрещено или не рекомендуется, как предприятия обычно решают эту проблему?
Анонимное сообщение обычно разрешено.
13.
CCTV13.1 Требуется ли для использования видеонаблюдения отдельная регистрация / уведомление или предварительное разрешение соответствующих органов по защите данных и / или любая конкретная форма публичного уведомления (например,г., знак повышенной видимости)?
Статья 12 Административных правил системы видеонаблюдения (предварительный проект, далее «Правила CCTV »), выпущенных Министерством общественной безопасности и регулирующих использование видеонаблюдения в целях общественной безопасности, предусматривает что любой, кто использует видеонаблюдение в целях общественной безопасности, должен уведомить местный отдел общественной безопасности о типе и местонахождении установленной камеры.
13.2 Существуют ли ограничения на цели использования данных видеонаблюдения?
В соответствии со статьей 6 Регламента видеонаблюдения запрещается получать государственные секреты, секреты работы или коммерческие тайны из системы видеоизображения общественной безопасности или посягать на частную жизнь граждан с помощью такой системы. Организации, которые создают и используют системы видеонаблюдения, обязаны хранить в тайне основную информацию (например, проект системы, тип оборудования, место установки, адресный код) и собранные данные, касающиеся государственных секретов, рабочих секретов и коммерческих секретов, и не должны незаконно разглашать данные видеонаблюдения. относительно конфиденциальности граждан.Такие данные видеонаблюдения не могут быть куплены или проданы, незаконно использованы, скопированы или распространены в соответствии со статьей 22.
В соответствии со статьей 21, следственные, прокурорские и судебные органы, органы общественной безопасности и национальной безопасности, а также административные департаменты правительства на уровне города или выше могут проверять, копировать или извлекать основную информацию или данные, собранные через систему видеонаблюдения.
Кроме того, в отношении служб безопасности статья 25 Положения об администрировании служб безопасности предусматривает, что использование оборудования видеонаблюдения не должно нарушать законные права и интересы или неприкосновенность частной жизни людей.
14.
Мониторинг сотрудников14.1 Какие виды мониторинга сотрудников разрешены (если они есть) и при каких обстоятельствах?
С одной стороны, статья 8 Закона о трудовых договорах № предусматривает, что работодатели имеют право знать основную информацию о работнике, имеющую прямое отношение к трудовому договору между ними; поэтому разрешены некоторые типы мониторинга сотрудников, хотя ни одно конкретное правило не регулирует мониторинг сотрудников.С другой стороны, разумно, чтобы мониторинг не нарушал частную жизнь сотрудника.
14.2 Требуется ли согласие или уведомление? Опишите, как работодатели обычно получают согласие или отправляют уведомление.
Да, для сбора персональных данных обычно требуется согласие субъекта данных — этот принцип также применяется к мониторингу сотрудников. На практике такое согласие обычно получается в соответствии с положениями трудового договора, справочника сотрудника или аналогичных документов.
14.3 В какой степени производственные советы / профсоюзы / представители работников должны быть уведомлены или проконсультированы?
Статья 4 Закона о трудовых договорах требует, чтобы работодатели обсуждали с конгрессом представителей работников или со всеми работниками, а также вели переговоры с профсоюзами или представителями работников при формулировании, пересмотре или принятии решений по вопросам, непосредственно затрагивающим жизненно важные интересы работников, такие как вознаграждение. , рабочее время, периоды отдыха и выходные дни, охрана труда и здоровье, страхование и социальное обеспечение, обучение персонала, соблюдение трудовой дисциплины и квот и др.Статья 43 также предусматривает, что работодатели должны уведомлять профсоюз о расторжении трудового договора в одностороннем порядке. Однако такие обстоятельства уведомления или переговоров могут не иметь прямого отношения к мониторингу работодателем или обработке личных данных сотрудников.
15.
Безопасность данных и утечка данных15.1 Есть ли общее обязательство по обеспечению безопасности личных данных? Если да, то какие объекты отвечают за обеспечение безопасности данных (например, контроллеры, процессоры и т. Д.)?
В соответствии со статьей 40 CSL операторы сети несут ответственность за принятие технических и других необходимых мер для обеспечения безопасности собираемых ими личных данных, а также за создание и совершенствование системы защиты информации пользователей. Однако, если оператор сети в качестве контролера назначает третью сторону для обработки персональных данных от его имени, он должен гарантировать, что такой обработчик обеспечит адекватный уровень защиты задействованных персональных данных, как это предусмотрено в Разделе 8.1 Стандарта.
15.2 Существует ли требование закона сообщать о нарушениях данных в соответствующие органы по защите данных? Если да, опишите, о каких деталях необходимо сообщить, кому и в какие сроки. Если требования закона отсутствуют, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.
Да. Согласно статье 42 CSL, в случае (возможного) раскрытия, повреждения или потери собранных данных сетевой оператор должен принять немедленные меры и сообщить об этом компетентному органу.Раздел 9.1 Стандарта предусматривает, что отчет должен включать тип, количество, содержание и характер затронутых субъектов данных, влияние нарушения, принятые или подлежащие принятию меры, а также контактную информацию соответствующих лиц.
15.3 Существует ли требование закона сообщать о нарушениях данных затронутым субъектам данных? Если да, опишите, о каких деталях необходимо сообщить, кому и в какие сроки. Если требования закона отсутствуют, опишите, при каких обстоятельствах соответствующие органы по защите данных ожидают добровольного сообщения о нарушениях.
Да. Сетевой оператор должен принять немедленные меры и уведомить затронутых субъектов данных в случае (возможных) утечек данных в соответствии со статьей 42 CSL. Раздел 9.2 Стандарта предусматривает, что содержание уведомления должно включать, но не ограничиваться, характер и последствия нарушения, меры, которые были приняты или должны быть приняты, предложения для субъектов данных по снижению рисков, средства правовой защиты данных. темы и контактную информацию уполномоченного по защите данных.
15.4 Каковы максимальные штрафы за нарушение безопасности данных?
В соответствии со статьей 64 CSL, в случае серьезного нарушения, оператор или провайдер, нарушивший безопасность данных, может столкнуться с штрафом в размере до 1 миллиона юаней (или в 10 раз превышающим незаконный доход), приостановкой деятельности соответствующего бизнеса, закрытием для исправления. , закрытие любого веб-сайта (-ов) и отзыв бизнес-лицензии. Непосредственно ответственным лицам грозит штраф в размере до 100 000 юаней.
Нарушения безопасности данных также могут повлечь за собой уголовную ответственность.Статья 286 (A) Уголовного закона гласит, что поставщики сетевых услуг, которые не выполняют правовые обязательства в отношении управления безопасностью информационной сети, предусмотренные законами и административными постановлениями, и отказываются вносить исправления после получения приказа соответствующих органов (следовательно, вызывая утечку информации пользователей с серьезными последствиями), может грозить наказание в виде тюремного заключения или уголовного преследования на срок не более трех лет или наблюдения, только со штрафом или штрафом.
16.
Исполнение и санкции16.1 Опишите правоприменительные полномочия органов по защите данных.
Следственные / исполнительные полномочия | Гражданские / административные санкции | Уголовное наказание |
Департаменты общественной безопасности обладают полномочиями по расследованию уголовных и административных посягательств на личные данные, а также правоохранительными органами с соответствующими административными и уголовными санкциями. | Суд несет ответственность за гражданско-правовые санкции. | Суд имеет право налагать уголовные санкции. |
CAC, департамент телекоммуникаций, департамент общественной безопасности и другие заинтересованные органы наделены полномочиями по расследованию административных нарушений в отношении личных данных, а также полномочиями по обеспечению соблюдения соответствующих административных санкций. | CAC, департамент телекоммуникаций, департамент общественной безопасности и другие заинтересованные органы имеют право налагать административные санкции. | НЕТ |
16.2 Имеет ли орган по защите данных право наложить запрет на определенную обработку? Если да, то требует ли такой запрет постановления суда?
Да, и постановление суда не требуется.Например, в соответствии со статьей 50 CSL, если будет обнаружена какая-либо информация, публикация или передача которой запрещена законами и административными постановлениями, CAC и другие компетентные органы могут потребовать от оператора сети прекратить передачу такой информации, принять такие меры, как удаление и ведение записей. Если такая информация поступает из-за границы, они могут заблокировать передачу.
16.3 Опишите подход органа по защите данных к осуществлению этих полномочий с примерами недавних дел.
CAC и соответствующие органы по защите данных могут наложить запрет в виде административного штрафа вместе с другими карательными мерами, такими как штраф, приказ о внесении исправлений и т. Д. Для соответствующих случаев см. Вопрос 18.1.
16.4 Исполняет ли орган по защите данных свои полномочия в отношении предприятий, учрежденных в других юрисдикциях? Если да, то как это обеспечивается?
На данный момент нет публичных записей о том, что китайские органы по защите данных осуществляли свои полномочия напрямую против компаний, учрежденных в других юрисдикциях.В большинстве случаев власти могут обсудить с местным филиалом международной компании нарушение CSL или других правил защиты данных.
17.
Электронное обнаружение / Раскрытие информации иностранным правоохранительным органам17.1 Как предприятия обычно отвечают на запросы о раскрытии информации из-за границы или запросы о раскрытии информации от иностранных правоохранительных органов?
В случае запросов на обнаружение электронных документов от иностранных правоохранительных органов компании должны получить согласие субъекта персональных данных и провести оценку безопасности в соответствующем органе, прежде чем передавать какие-либо персональные данные или важные данные за границу.Что касается оценки безопасности CII, CSL предусматривает, что если существуют другие положения в соответствии с законами и административными постановлениями, такие положения должны применяться.
Если существуют договоры или соглашения в отношении судебной помощи или сотрудничества, заключенные между Китаем и соответствующей иностранной страной, соответствующие компании могут ответить на такие запросы в соответствии с такими договорами или соглашениями. Кроме того, Закон о международной судебной помощи по уголовным делам , изданный 26 октября 2018 г., устанавливает правила и процедуры, касающиеся обеспечения соблюдения международной судебной помощи в уголовных делах в Китае, включая запросы внутренних органов иностранным властям и запросы иностранных агентств о помощи в Китае. .В соответствии со статьей 4 Закона о международной судебной помощи в уголовных делах № , отечественные предприятия должны получить разрешение от компетентного органа Китайской Народной Республики, прежде чем раскрывать какую-либо информацию или оказывать любую помощь, запрашиваемую иностранными правоохранительными органами.
17.2 Какие инструкции выпустили / выпустили органы по защите данных?
CAC не выпустил каких-либо инструкций, касающихся запросов на обнаружение электронных документов от иностранных правоохранительных органов.
18.
Тенденции и изменения18.1 Какие тенденции в области правоприменения проявились за последние 12 месяцев? Опишите любую соответствующую судебную практику.
Правоохранительные органы пристально следили за защитой личной информации, предоставляемой операторами приложений, и сохраняли нормативный акцент на обработке личной информации в важных отраслях, включая финансы, кредитные расследования, здравоохранение и т. Д.
В сентябре 2019 года два поставщика услуг по управлению рисками были расследованы местным полицейским управлением по обвинению в незаконном использовании веб-сканеров и незаконной обработке личной информации.
В сентябре 2019 года Министерство информации и промышленности приказало исключить приложение с функцией смены лица из магазинов приложений для исправления в связи с предполагаемой незаконной обработкой персональной биометрической информации пользователей.
Во время кампании «Jingwang 2019», запущенной Министерством общественной безопасности (« MPS »), было обнаружено, что мобильное приложение для онлайн-покупок в Нинбо собирает личную информацию и получает авторизацию пользователей без уведомления пользователей.В декабре 2019 года местный орган общественной безопасности наложил административный штраф в размере 100 000 юаней на владельца компании-разработчика приложения и 20 000 юаней на лицо, отвечающее за обслуживание приложения.
В ноябре 2019 года CAC, MIIT, MPS и SAMR совместно выпустили уведомление под названием Метод выявления незаконного сбора и использования личной информации приложениями . В частности, в уведомлении разъясняются требования соответствия при сборе личной информации сторонними кодами или надстройками, такими как SDK, встроенные в приложения.Согласно уведомлению, если приложение не указывает одно за другим цель, метод или объем сбора или использования личной информации с помощью встроенных сторонних кодов или подключаемых модулей, такое приложение, скорее всего, будет считаться «неспособным прямо указать цель, метод и объем сбора и использования личной информации ».
18.2 Какие «горячие темы» сейчас находятся в центре внимания регулятора защиты данных?
Незаконная обработка личной информации и экологическое управление сетевой информацией в настоящее время вызывают озабоченность регулирующих органов по защите данных.
В январе 2020 года CAC запустила шесть месяцев кампанию экологического управления сетевой информации с тем чтобы исправить негатив и вредную информацию, такие как нецензурная порнография, пошлость, насилие, террор, жульничество и т.д., на вебе-сайты, мобильных телефонах, форуме публикации, инструменты обмена мгновенными сообщениями, платформы прямой трансляции и другие ключевые ссылки, а также для расследования и закрытия незаконных веб-сайтов и учетных записей.
В апреле 2020 года MPS запустило кампанию «Jingwang 2020», чтобы продолжить борьбу с посягательством на личную информацию граждан Китая.
Что такое список отзыва сертификатов (CRL) по сравнению с OCSP
Отзыв сертификата является важной и часто упускаемой из виду функцией управления жизненным циклом сертификата. В этом блоге мы рассмотрим ключевые функции отзыва сертификатов, включая списки отзыва сертификатов (CRL), протокол статуса онлайн-сертификатов (OCSP) и сшивание OCSP.
Цифровые сертификаты используются для создания доверия при онлайн-транзакциях.Двойная роль сертификатов — для шифрования связи и для аутентификации личности владельца сертификата — формирует основу инфраструктуры открытого ключа (PKI).
Каждый сертификат также имеет конечный срок действия, который с 1 сентября st , 2020 установлен на 13 месяцев. Однако в течение этого периода действия владелец сертификата и / или центр сертификации (ЦС), выдавший сертификат, может заявить, что ему больше не доверяют. В этих неудачных случаях необходимо отозвать ненадежные сертификаты и проинформировать пользователей.Это делается путем добавления ненадежного сертификата TLS / SSL в список отзыва сертификатов (CRL).
Вот пример предупреждения об отозванном сертификате SSL / TLS в Google Chrome (Источник изображения)
Что такое список отзыва сертификатов (CRL)?
Отзыв сертификата — критически важный компонент жизненного цикла сертификата. Существует множество определений того, что такое CRL, но если мы разберем его просто, CRL содержит список отозванных сертификатов — по сути, все сертификаты, которые были отозваны центром сертификации или владельцем и которым больше не следует доверять.
Совет безопасности CA определяет CRL как «файл с цифровой подписью, содержащий список отозванных сертификатов, срок действия которых еще не истек». Цифровая подпись файлов CRL выпускающим центром сертификации важна для подтверждения подлинности файла и предотвращения подделки.
RFC 5280 описывает CRL как «структуру данных с отметкой времени и подписи, которую центр сертификации (CA) или орган, выдающий CRL, периодически выпускает для передачи статуса отзыва затронутых цифровых сертификатов.”
В зависимости от внутренней политики центра сертификации списки отзыва сертификатов публикуются на регулярной периодической основе, которая может быть ежечасной, ежедневной или еженедельной. Статус сертификата в CRL может быть либо «отозван», если он был необратимо отозван, либо «удерживать», если он временно недействителен.
Формат CRL определен в стандарте X.509 и в RFC 5280. Каждая запись в списке отзыва сертификатов включает идентификатор отозванного сертификата и дату отзыва. Необязательная информация включает ограничение по времени, если отзыв применяется в течение определенного периода времени, и причину отзыва.
Как веб-браузеры и приложения проверяют списки отзыва сертификатов
Сертификаты содержат один или несколько URL-адресов, с которых браузер или приложение может получить ответ CRL. Когда браузер инициирует соединение TLS с сайтом, цифровой сертификат сервера проверяется и проверяется на наличие аномалий или проблем.
Во время этого процесса проверки веб-браузер проверяет, указан ли сертификат в списке отзыва сертификатов, выданном соответствующим центром сертификации. В зависимости от статуса сертификата сервера браузер либо создаст безопасное соединение, либо предупредит пользователя об отозванном сертификате и риске продолжения незашифрованного сеанса.
Проверка списков отзыва сертификатов является важным шагом в транзакции на основе PKI, поскольку они проверяют личность владельца сайта и определяют, заслуживает ли доверия связанный сертификат.
Вот иллюстрированный рабочий процесс процесса проверки отзыва сертификата с использованием CRL
.Что такое точка распространения CRL (CDP)?
Когда приложение или обозреватель проверяет статус отзыва сертификата, оно извлекает текущий CRL из указанной точки распространения CRL (CDP).CDP — это место на сервере каталогов LDAP или веб-сервере, где CA публикует списки отзыва сертификатов.
После получения CRL он обычно кэшируется до истечения срока действия самого CRL. CDP должен быть доступен в любое время, чтобы устройства или приложения могли получать новый список отзыва сертификатов при необходимости. В противном случае невозможно определить статус рассматриваемого сертификата, и проверка статуса отзыва сертификата завершится ошибкой.
Почему CRL важны?
Цифровые сертификаты отзываются по многим причинам, и в последнее время есть много примеров массового отзыва сертификатов.Причины отзыва сертификата:
- Центр сертификации обнаруживает, что он неправильно и неправомерно выдал сертификат
- Сертификат считается или обнаружен поддельным
- Закрытый ключ сертификата был скомпрометирован
- Эмитент ЦС был скомпрометирован
- Владелец веб-сайта прекращает свою деятельность и больше не владеет доменным именем или сервером, указанным в сертификате
- Во время аутентификации и проверки веб-сайта запрашивающая сторона искажает некоторую информацию, используемую в процессе, или владелец веб-сайта нарушил условия своего соглашения с CA
Какой бы ни была причина для отзыва сертификата, списки отзыва сертификатов важны для защиты пользователей от атак типа «злоумышленник в середине» или связи с мошенническим сайтом, который выдает себя за законный.Без списков отзыва сертификатов пользователи столкнулись бы с многочисленными рисками безопасности и конфиденциальности, такими как:
- Нарушение данных личной или конфиденциальной информации . Злоумышленник, выполняющий атаку «человек посередине», может перехватить личные и конфиденциальные данные, которые пользователь вводит на веб-сервере. Эта информация может быть номерами социального страхования, информацией о банковском счете, номерами кредитных карт, медицинскими данными и т. Д.
- Кража личных данных и выдача себя за другое лицо . Злоумышленник может перехватить учетные данные, которые пользователь вводит для аутентификации на веб-сервере.Кража учетных данных и компрометация являются ключевой причиной атак с имитацией лица или кампаний по компрометации деловой электронной почты (BEC). Кроме того, злоумышленники могут использовать эти учетные данные для взлома учетной записи пользователя.
- Финансовые убытки . После кражи банковских, кредитных карт и учетных данных киберпреступник находится всего в шаге от кражи денег пользователя.
- Установка вредоносного ПО . Доступ к небезопасному веб-сайту позволяет злоумышленникам установить вредоносное ПО на компьютер жертвы.Затем это вредоносное ПО используется для кражи личной информации, запуска клавиатурных шпионов или взлома компьютера, чтобы стать частью более крупной DDoS-атаки. Установка вредоносного ПО также может быть финансово мотивирована с помощью варианта программы-вымогателя и шифрования всех данных на компьютере пользователя.
Рекомендации по использованию списков отзыва сертификатов
Несмотря на важность поддержания текущего CRL, этот процесс не безупречный. Несмотря на то, что каждый центр сертификации выдает отдельный список отзыва сертификатов, файл может стать довольно большим, что делает их неэффективными для использования на устройствах с ограниченной памятью, таких как смартфоны или устройства IoT.
Когда ЦС получает запрос CRL от браузера, он возвращает весь файл с отозванными сертификатами от этого ЦС. Затем браузер должен проанализировать список, чтобы определить, был ли запрошенный сертификат отозван или нет. В зависимости от размера файла этот процесс может привести к задержке и снижению производительности для веб-пользователей.
Другая проблема заключается в том, что, если у клиента нет «подходящей последней» копии CRL, он должен получить ее во время начального соединения с сайтом, что может продлить соединение.
По правде говоря, поддержка списков отзыва сертификатов не подходит для выпуска и распространения важной информации в режиме, близком к реальному времени. Поскольку браузеры кэшируют списки отзыва сертификатов, чтобы избежать накладных расходов на вычисления, может возникнуть временное окно, когда отозванный сертификат может быть принят, создавая риски конфиденциальности и безопасности для пользователей.
Сшивание OCSP и OCSP
Другой метод, используемый для передачи информации пользователям об отозванных сертификатах, — это протокол статуса онлайн-сертификатов (OCSP).Вместо того, чтобы загружать последний CRL и анализировать его, чтобы проверить, присутствует ли запрошенный сертификат в списке, браузер запрашивает статус конкретного сертификата с сервера отзыва ЦС, выдавшего сертификат.
Используя серийный номер сертификата, служба OCSP проверяет статус сертификата, затем ЦС отвечает ответом с цифровой подписью, содержащим статус сертификата. Ответ OCSP содержит одно из трех значений: «хорошо», «отозвано» или «неизвестно». Ответы OCSP меньше файлов CRL и подходят для устройств с ограниченной памятью.
Вот иллюстрированный рабочий процесс процесса проверки отзыва сертификата с использованием OCSP
.Сшивание OCSP является усовершенствованием стандартного протокола OCSP и определено в RFC 6066. Включение сшивания OCSP устраняет необходимость для браузера отправлять запросы OCSP непосредственно в центр сертификации. Вместо этого веб-сервер кэширует ответ OSCP от центра сертификации, и когда клиент инициирует подтверждение TLS, веб-сервер «скрепляет» ответ OSCP с сертификатом, который он отправляет в браузер.
Вот иллюстрированный рабочий процесс процесса проверки отзыва сертификата с использованием OCSP Stapling
СшиваниеOCSP дает несколько преимуществ, в том числе:
- Повышенная производительность, поскольку браузер получает статус сертификата сервера, когда это необходимо, избегайте накладных расходов на обмен данными с выдающим ЦС.
- Повышенная безопасность за счет минимизации случаев ложных срабатываний и уменьшения количества векторов атаки.
- Повышенная конфиденциальность пользователей, поскольку центры сертификации получают запросы только от веб-сайтов, а не от пользователей.
Почему мониторинг CRL и OCSP важен
Если центр сертификации не работает, вы не сможете выдавать новые сертификаты, но если срок действия вашего CRL истек или он недоступен, все ваши сертификаты немедленно станут непригодными для использования. Как уже говорилось, большинству приложений необходимо проверять действительность сертификатов на сервере CRL или OCSP. Если они не могут связаться с респондентом CDP или OCSP или если срок действия самого CRL истек, пользователи не смогут получить доступ к своему приложению.
Непрерывный мониторинг отзыва сертификатов в режиме реального времени с помощью средств автоматизации жизненного цикла сертификатов, таких как Keyfactor Command, может гарантировать, что этого не произойдет (см. Видео ниже).
Все дело в эффективном управлении жизненным циклом сертификатов
Эффективный и действенный отзыв поддельных, скомпрометированных или ненадежных сертификатов обеспечивает безопасность и конфиденциальность миллионов онлайн-транзакций каждый день. Организациям необходимо автоматизировать и централизованно управлять своими цифровыми сертификатами, чтобы избежать дорогостоящих отключений или атак из-за отзыва сертификата или истечения срока его действия.
Keyfactor Command позволяет вам управлять жизненным циклом ключей и цифровых сертификатов в вашем бизнесе и получать прозрачность от обнаружения и мониторинга сертификатов до выпуска, продления и отзыва. Посмотрите наши демонстрации по запросу, чтобы узнать больше о нашей платформе сквозной PKI и автоматизации жизненного цикла сертификатов.
Закон о праве на финансовую неприкосновенность
Закон о праве на финансовую неприкосновенность частной жизни
Лучшие новости
- IRS запрашивает повестку «Джона Доу» для уклоняющихся от уплаты налогов: The Washington Post Сообщает, что Налоговая служба обратилась в семь окружных судов с просьбой разрешить «Джону Доу» получить записи об операциях по кредитным картам.IRS, пытаясь отследить скрытые активы лиц, уклоняющихся от уплаты налогов, обратилось в суд, пытаясь получить доступ к записям кредитных карт, хранящихся в более чем 40 отелях, авиакомпаниях и компаниях по аренде автомобилей. Агентство стремится идентифицировать владельцев карт MasterCard, выпущенных банками в странах с налоговыми убежищами, таких как Антигуа, Барбуда, Багамы и Каймановы острова. IRS подозревает, что некоторые американцы переводили значительные суммы в офшорные банки не только для уклонения от уплаты налогов или сборов IRS, но и в рамках мошенничества с банкротством и, возможно, схем отмывания денег.(30 августа 2002 г.).
- RFPA изменено в соответствии с Патриотическим актом США 2001 г .: Раздел 358 Патриотического акта США внесены поправки в RFPA, разрешающие раскрытие финансовой информации любому агентству разведки или контрразведки в рамках любого расследования, связанного с международным терроризмом. (Октябрь 2001 г.)
Введение
Закон о праве на финансовую неприкосновенность частной жизни 1978 года защищает конфиденциальность личных финансовых отчетов путем создания установленной четвертой поправкой закона о защите банковских записей.Закон был, по сути, реакцией на постановление Верховного суда США 1976 г. United States v. Miller , где Суд установил, что клиенты банка не имели законного права на неприкосновенность частной жизни в финансовой информации, находящейся в распоряжении финансовых учреждений. 425 U.S. 435 (1976). Как правило, RFPA требует, чтобы федеральные правительственные органы уведомляли физических лиц и предоставляли возможность возразить, прежде чем банк или другое указанное учреждение сможет раскрыть личную финансовую информацию федеральному правительственному учреждению, часто в правоохранительных целях.
История
Закон о праве на финансовую неприкосновенность частной жизни 1978 года был внесен на рассмотрение представителем Палаты представителей Джоном Кавано и 11 другими конгрессменами 30 июня 1977 года. Законопроект явился результатом рисков для конфиденциальности, связанных с расширением обслуживания и доступа к информации о клиентах в финансовых учреждениях.
Федеральные суды не отреагировали на необходимость защиты финансовой конфиденциальности так же, как Конгресс, и последовавшие за этим дела привели к многочисленным ударам по конфиденциальности потребителей.Например, в California Bankers Association против Schultz , Верховный суд США постановил, что Конституция не защищает конфиденциальность личной информации в записях, которые ведутся бизнесом и правительством. Он отклонил возражение Американского союза гражданских свобод и Ассоциации банкиров Калифорнии против Закона о банковской тайне 1970 года, который требует, чтобы финансовые учреждения делали и сохраняли микрофильмы всех чеков на определенную сумму в долларах. 31 U.S.C.§ 5311-5330. На самом деле большинство банков заполняли все чеки на микрофильме, потому что это было проще с административной точки зрения. Верховный суд поддержал Закон против аргументов о том, что он нарушает защищенную конституцией неприкосновенность частной жизни, поскольку поддержание таких финансовых операций обеспечивает «виртуальную текущую биографию отдельных клиентов».
В тот же день в 1976 году Верховный суд вынес решение по двум важным делам, что побудило Конгресс ответить через RFPA. В США v.Miller , Верховный суд постановил, что клиент банка не имеет юридически признанных ожиданий конфиденциальности в записях счетов, которые ведет банк. Интересно, что этот случай возник в результате подозрения в уклонении от уплаты налогов человеком, занимающимся производством спирта. В 1972 году заместитель шерифа ответил на наводку информатора и остановил грузовик, которым управляли двое предполагаемых сообщников ответчика (Миллера). В грузовике находились винокурня и сырье для перегонки виски.Спустя месяц на складе, арендованном Миллером, вспыхнул пожар, в ходе которого пожарные обнаружили винокурню емкостью 7500 галлонов, 175 галлонов не облагаемого налогом виски и сопутствующие принадлежности. Подозревая уклонение от уплаты налогов, Управление по алкоголю, табаку и огнестрельному оружию Министерства финансов запросило информацию о счете Миллера в его банке, который передал эту информацию без уведомления Миллера. Миллер утверждал, что его финансовые отчеты были частными документами, защищенными Четвертой поправкой; однако суд не согласился с этим, посчитав, что у него не было разумных надежд на конфиденциальность.Точно так же в Fisher v. United States , Верховный суд постановил, что физическое лицо не имеет права Пятой поправки опротестовать приказ своему поверенному предоставить отчеты о его личных финансовых делах, если записи были сделаны бухгалтером этого лица. Суд пришел к выводу, что, когда записи создаются или поддерживаются в ходе обычных деловых отношений лицом, не являющимся субъектом этих записей, субъект не рассчитывает на конфиденциальность и, следовательно, не имеет конституционной защиты.
Реакцией на решения Верховного суда стало принятие Конгрессом РФПА, которое, по сути, было направлено на отмену Miller в контексте финансовой отчетности и предоставить физическим лицам возможность жаловаться на ненадлежащее раскрытие информации о них в записях, которые ведутся финансовыми учреждениями.
Первоначально утверждалось, что RFRA преследует три цели:
- Требовать уведомления клиентов перед раскрытием их записей правительству;
- Предоставить клиентам возможность оспаривать выпуск своих записей перед правительством; и
- Требовать от государственных органов ведения контрольного журнала, документирующего раскрытие информации о клиентах правительству, а также любую межведомственную передачу информации.
Положения РФПА
RFPA гласит, что «ни один государственный орган не может иметь доступ или получать копии или информацию, содержащуюся в финансовых отчетах любого клиента от финансового учреждения, если финансовые отчеты не имеют разумного описания» и
- клиент разрешает доступ;
- имеется соответствующая административная повестка или повестка;
- имеется ордер на квалифицированный обыск;
- имеется соответствующая судебная повестка; или
- имеется соответствующий письменный запрос от уполномоченного государственного органа.
Закон требует, чтобы запрашивающее федеральное правительственное учреждение заранее уведомляло клиента о запрашиваемом раскрытии информации от финансового учреждения, тем самым давая клиенту возможность оспорить доступ правительства к записям до того, как раскрытие информации произойдет. Государственное учреждение должно вручить клиенту копию своего запроса или заказа или отправить копию клиенту по почте в дату или до даты, когда оно вручит заказ или доставит или отправит запрос по почте в финансовое учреждение, ведущее записи.Затем у клиента есть 10 дней с даты оказания услуг или 14 дней с даты отправки по почте, чтобы оспорить запрошенное раскрытие.
Закон регулирует раскрытие информации только федеральному правительству, его должностным лицам, агентам, агентствам и департаментам. Он не управляет частным бизнесом, властями штата или местного самоуправления. Кроме того, закон определяет, какие финансовые учреждения подпадают под требования закона. RFPA определяет «финансовое учреждение» как любое отделение эмитента карты, определенное в разделе 103 Закона о защите потребительских кредитов, который, в свою очередь, определяет термин «эмитент карты» как практически любое лицо, выпускающее кредитную карту.См. 15. U.S.C. §1602 (п). Это определение охватывает традиционных эмитентов банковских кредитных карт, но это определение также включает розничных торговцев и других продавцов (например, бензиновые компании), которые выпускают свои собственные кредитные карты, даже если эти организации обычно не воспринимаются как «финансовые учреждения». Например, определение было расширено, начиная с июля 2002 г., и теперь включает многие организации, которые большинство людей не считает «финансовыми учреждениями», такие как
- Депозитарное учреждение (банки, сберегательные кассы, кредитные союзы)
- Денежный бизнес
- Эмитенты, продавцы и выкупщики денежных переводов
- Эмитенты, продавцы и погашатели дорожных чеков
- U.S. Почтовая служба
- Ценные бумаги и фьючерсы
- Торговцы с комиссией по фьючерсам
- Советник по торговле сырьевыми товарами
- Казино и карточные клубы
Путаница возникла в связи с тем, включает ли определение эмитентов проездных и развлекательных карт, которые не позволяют клиентам откладывать платеж. Прецедентное право дало неоднозначные результаты по этому вопросу.
Также важно отметить, что в рамках RFPA клиентами являются физические лица или партнерства из 5 или менее человек.Корпорации, трасты, поместья, некорпоративные ассоциации, такие как союзы, и крупные товарищества не подпадают под действие RFPA. Следовательно, доступность защиты RFPA зависит от типа физического или юридического лица, записи которого запрашиваются.
Большая часть оппозиции RFPA была со стороны федеральных правоохранительных органов, которые обеспокоены тем, что предлагаемые меры защиты частной жизни помешают федеральным властям в их расследовании и судебном преследовании служащих и организованной преступности.Однако RFPA позволяет раскрывать финансовую информацию на основе гораздо более слабых данных, чем требование Четвертой поправки о вероятной причине. Закон был ослаблен в конце 1980-х, чтобы разрешить отсрочку уведомления клиентов банка о расследованиях, связанных с незаконным оборотом наркотиков и шпионажем, а также Патриотическим законом США, разрешающим раскрытие информации, когда терроризм является подозрением.
Исключения из RFPA
Существуют классы исключений, в которых определенные финансовые записи не защищены законом.В этих ситуациях раскрытие информации финансовым учреждением всегда разрешено, и никаких разрешений, повесток в суд или ордера не требуется.
- Класс 1: Раскрытие информации, не идентифицирующее конкретного клиента. Пример: Федеральное ведомство запрашивает записи о планах вознаграждения сотрудников, которые ведутся в национальном банке. См. , Донован против Национального банка Аляски , 696 F.2d 678 (9-й округ, 1983 г.).
- Класс 2: Раскрытие информации в интересах финансовых учреждений, включая совершенствование обеспечительных интересов, государственных займов, гарантий по займам и страхования займов, а также раскрытие информации, имеющей отношение к возможным нарушениям закона. Обратите внимание, что раскрытие информации правоохранительным органам допустимо, но это раскрытие ограничено именем владельца счета и «характером любой предполагаемой незаконной деятельности.» 12 U.S.C. §3403 (с). Пример: федеральное правительственное учреждение требует предоставить финансовую отчетность для подтверждения заявления о банкротстве.
- Класс 3: Раскрытие информации в связи с надзорными расследованиями и разбирательствами. Когда надзорный орган проводит расследование в отношении финансового учреждения, права клиентов не находятся под угрозой, и поэтому такое раскрытие информации допускается в соответствии с Законом. Пример: Комиссия по ценным бумагам и биржам желает расследовать подозрительные бизнес-операции национального банка.
- Класс 4: Раскрытие информации в соответствии с положениями о налоговой конфиденциальности. Пример: IRS может получать информацию от банка о клиенте без вызова или уведомления, поскольку в кодексах внутренних доходов предусмотрены собственные индивидуальные меры защиты конфиденциальности.
- Класс 5: Раскрытие информации в соответствии с другими федеральными законами или правилами, административными или судебными процедурами и законными функциями надзорных органов.Пример: Закон разрешает раскрытие информации государственному учреждению в соответствии с Федеральными правилами гражданского судопроизводства, поскольку гражданский процесс уже включает право на уведомление до раскрытия записей.
- Класс 6: Экстренное раскрытие и раскрытие информации федеральным агентствам, отвечающим за иностранную разведку, контрразведку или другие функции защиты национальной безопасности. Пример: банк может раскрыть записи о клиентах федеральному агентству, если клиент подозревается в террористической деятельности.
RFPA и отчеты о подозрительной деятельности
До 12 лет США §3403 (c), финансовые учреждения и их сотрудники имеют полный иммунитет от гражданской ответственности за сообщение об известных или предполагаемых уголовных преступлениях или подозрительной деятельности путем подачи отчета о подозрительной деятельности (SAR) в Сеть по борьбе с финансовыми преступлениями (FinCEN), входящую в состав Департамент казначейства. Эта система отчетности была разработана в 1992 году, когда Конгресс внес поправки в Закон о банковской тайне, разрешив Министерству финансов принимать требования SAR посредством Закона Аннунцио-Вайли о борьбе с отмыванием денег.Титул XV. П.Л. 102-550, 106 стат. 4044, 4059. По сути, эта поправка дала Министерству финансов право требовать сообщения о любой «подозрительной операции, имеющей отношение к возможному нарушению закона или нормативного акта». 31 U.S.C. § 5318 (g) (1). RFPA содержит большую лазейку, которая предназначена для обеспечения отчетности финансовых учреждений в соответствии с Законом о банковской тайне. 12 U.S.C. § 3413 (d). Хотя RFPA предполагает, что уведомление будет направлено клиентам при передаче финансовых отчетов из одного федерального агентства в другое, уведомление не направляется клиентам, когда FinCEN направляет SAR должностным лицам правоохранительных органов.
Обязанность сообщать личную финансовую информацию в SAR легко запускается. По сути, финансовое учреждение должно подать SAR, если обнаружена какая-либо из следующих сведений:
- Любое инсайдерское злоупотребление финансовым учреждением, связанное с любой суммой;
- Федеральные преступления против или связанные с транзакциями, проводимыми через финансовое учреждение, которое обнаруживает финансовое учреждение и которые требуют не менее 5 000 долларов США, если подозреваемый может быть идентифицирован, или не менее 25 000 долларов США, независимо от того, можно ли установить личность подозреваемого;
- Транзакции на сумму не менее 5000 долларов США, о которых учреждение знает, подозревает или имеет основания подозревать, связаны с получением средств от незаконной деятельности или имеют структуру, направленную на попытку сокрытия этих средств;
- Транзакции на сумму не менее 5000 долларов, о которых учреждение знает, подозревает или имеет основания подозревать, совершаются с целью уклонения от любых положений, установленных в соответствии с Законом о банкротстве; или
- Транзакции на сумму не менее 5000 долларов США, о которых учреждение знает, подозревает или имеет основания подозревать, не имеют коммерческой или очевидной законной цели или не относятся к тому виду, в котором обычно ожидается участие конкретного клиента, и о которых учреждение не знает разумных объяснение после должного расследования.
«Транзакции» включают любой депозит, снятие средств, перевод между счетами, обмен валюты, ссуду, предоставление кредита, покупку или продажу любых акций, облигаций или других инвестиционных ценных бумаг или любые другие платежи через финансовое учреждение.
Отчет о подозрительной деятельности можно просмотреть по адресу http://www.treas.gov/fincen/forms.html#90
Как уже упоминалось, определение «финансовое учреждение» теперь включает многие организации, которые большинство физических лиц не считает финансовыми учреждениями, включая казино и США.S. Почтовая служба. Тем не менее, эти организации обязаны сообщать о любой подозрительной деятельности на сумму не менее 5000 долларов США. Таким образом, игроки, посещающие казино, могут столкнуться с некоторыми трудностями.
Кроме того, каждое лицо, занимающееся торговлей или бизнесом, которое в ходе этой торговли или бизнеса получает более 10 000 долларов наличными в одной транзакции или в двух или более связанных транзакциях, должно подать форму 8300 в FinCEN. 31. U.S.C. §5332. Это очень широкое требование, поэтому многие организации подпадают под действие этого правила.Например, если вы покупаете ювелирные изделия за наличные на сумму более 10 000 долларов, на вас будет оформлен отчет, даже если такая деятельность не вызывает подозрений. Копию формы см. http://www.fincen.gov/reg_bsaforms.html
RFPA и Государственный закон
RFPA не распространяется на запросы на получение информации государственными и местными органами власти. Хотя Закон не содержит явных положений, касающихся его влияния на законодательство штата, история законодательства RFPA указывает на то, что Конгресс намеревался регулировать доступ к записям клиентов только федеральными агентствами и департаментами, не препятствуя штатам регулировать доступ государственных и местных агентств. к таким записям.
Следующие штаты содержат практически те же меры защиты, что и RFPA, применимые к их государственным и местным органам власти: Алабама, Аляска, Коннектикут, Иллинойс, Луизиана, Мэн, Мэриленд, Нью-Гэмпшир, Северная Каролина, Северная Дакота, Оклахома, Орегон, Юта, и Вермонт. И Флорида, и Массачусетс обеспечивают дополнительную защиту клиентов для систем финансовых электронных переводов (Fla. Stat. Ann § 659.062; Mass. Gen. Laws Ann. Ch. 167B, §7-16), в то время как Миннесота требует ежеквартального раскрытия всей информации о счете для местным властям в отношении любого родителя, не являющегося опекуном, который должен выплатить алименты.Миннесота Стат. Аня. § 13B.06. Однако в Калифорнии просто предусмотрено, что клиент банка имеет право на уведомление за десять дней до того, как следователь штата сможет получить финансовые отчеты клиента. Cal. Govt. Кодекс § 7460.
Соответствующие дела
- США против Миллера , 425 U.S. 435 (1976): Верховный суд установил, что клиенты банков не имели законного права на неприкосновенность частной жизни в финансовой информации, хранящейся в финансовых учреждениях, что привело к RFPA.
- California Bankers Association v. Schultz , 416 US 21 (1974): Верховный суд США постановил, что Конституция не защищает конфиденциальность личной информации в записях, которые ведутся бизнесом и правительством.
- Фишер против США , 425 U.S. 391 (1976):, Верховный суд постановил, что физическое лицо не имеет права по Пятой поправке опротестовать приказ своему поверенному предоставить отчеты о своих личных финансовых делах, если записи были сделаны бухгалтером этого лица.
- United States v. MacKay , 608 F.2d 830 (10-й округ 1979 г.): RFPA не распространяется на вызовы в IRS.
- Андерсон против Государственного банка Ла Хунта , Приложение для США. LEXIS 12345 (10-й округ 1997 г.): Устное раскрытие информации банком нарушает RFPA.
- США против Уилсона , 571 F. Supp. 1417 (S.D.N.Y. 1983): Суд обсудил материально-правовые стандарты раскрытия информации в соответствии с законом и пояснил, что он предоставляет клиентам банка лишь ограниченное право оспаривать повестки в суд, подаваемые федеральными агентствами в отношении банков и других финансовых учреждений.