《格雷姆-里奇-比利雷法案》 (GLBA,也称为 1999 年《金融现代化法案》)虽然以隐私条款而闻名,但它是美国联邦法律,其最初目的是允许不同类型的金融机构(如银行、保险公司和证券公司)合并。在此之前,这些类型的合并在 1933 年《格拉斯-斯蒂格尔法案》下被禁止,但《格雷姆-里奇-比利雷法案》已废除该法案。
出于对这些新机构将访问的数据量的担忧,GLBA 还制定了一套新规则,规定金融机构如何保护和确保客户信息隐私。
GLBA 合规性由联邦贸易委员会 (FTC) 强制执行,并包含三个关键组成部分:
《金融隐私规则》是根据《GLBA》本身的定义而制定的,它规范了私人财务信息的收集和披露;
美国联邦贸易委员会作为实施《格林威治标准法》的一部分发布的《保障规则》要求公司采取措施确保客户信息安全;
《GLBA》中的“借口条款”规定,组织必须防止以虚假借口获取个人信息,其中包括社会工程、网络钓鱼、诈骗等。
GLBA 适用于哪些人?
美国联邦贸易委员会规定,所有向消费者提供金融产品或服务(如贷 沙特号码数据 款、金融或投资建议或保险)的公司都必须遵守《金融服务法》。一般认为《金融服务法》仅适用于银行和保险公司。然而,《金融服务法》对企业规模没有要求,任何主要从事提供金融产品或服务的公司都属于该法案的管辖范围。
其中包括提供在线汇款服务的组织、抵押贷款经纪人、汽车经销商、债务催收员、投资顾问和发行自有信用卡的零售商。由于联邦学生贷款和其他金融活动属于银行法的范围,高等教育机构也需要遵守 GLBA。
GLBA 保护哪些内容?
《金融服务法》保护金融机构直接从消费者处、从为消费者执行的任何交易或服务中或通过任何其他方式获得的非公开个人信息。该法还适用于根据非公开个人信息得出的消费者名单、描述或群体。公开信息不受《金融服务法》约束。
非公开个人信息是指个人可识别财务信息 (PIFI),可通过专门的数据库或系统识别、验证或搜索个人的财务信息。它包括个人的社会安全号码、银行账户号码、信用卡号、姓名或联系方式等信息。
消费者与顾客
《金融隐私法》将消费者和客户区分开来。该法要求公司向所有客户通告其隐私保护措施,如果公司以某种方式分享信息,则还需向消费者通告。
消费者是指从金融机构获得主要用于个人用途的金融产品或服务的个人。需要注意的是,金融隐私规则仅适用于个人,不适用于商业客户。消费者包括那些使用未开立账户的银行 ATM 机或贷款申请人被拒绝的银行客户。
客户是与金融机构保持持续关系的消费者群体。他们是那些拥有开立银行账户、签署租约或保险单的个人。过去的客户,例如那些曾经使用过金融机构服务但已终止与金融机构关系的个人,在 GLBA 合规性方面仍被视为客户。
金融隐私规则
根据《金融隐私规则》,金融机构必须向客户提供清晰、醒目的书面隐私声明,说明他们收集了哪些客户数据、在何处共享、如何使用这些信息以及如何保护这些信息。组织必须在建立客户关系时提供初始通知,并在客户关系持续期间提供年度通知。
如果公司与非关联第三方共享非公开财务信息,则他们必须在数据共享之前的合理时间内通知所有消费者并让他们选择退出,并且必须为他们提供可接受的退出方式。
对于非客户消费者,如果组织需要向他们提供隐私声明,他们可以选择向他们提供简短的通知,其中必须解释可根据要求提供完整的隐私声明,描述如何获取并告知他们选择退出的权利。
《金融隐私规则》有几个例外。它们包括处理或管理消费者请求或授权的金融交易所必需的各种类型的信息共享,以及进行信用检查所需的披露。其他例外包括为防止欺诈、响应司法程序或传票或遵守联邦、州或地方法律而进行的披露。
- Board index
- All times are UTC
- Delete cookies
- Contact us