2020年1月6日,联邦贸易委员会(FTC)消费者保护局局长安德鲁·史密斯(Andrew Smith)发表了一篇博客文章,着重强调了委员会与数据安全相关的执法命令的最新变化。行业领袖,律师,国会甚至法院对委员会的数据安全命令的各个方面都持批评态度。在帖子中,标题为 新的和改进的FTC数据安全命令:为公司提供更好的指导,为消费者提供更好的保护,史密斯(Smith)承认,抵达联邦贸易委员会(FTC)后,加强联邦贸易委员会(FTC)在数据安全方面的命令是董事长约瑟夫·J·西蒙斯(Joseph J. Simons)及其首要任务之一。史密斯(Smith)的博客文章是一条有用的路线图,可帮助您了解委员会要求其命令的公司的做法。律师通常会利用这些命令为面临挑战的地区的客户提炼建议,在数据安全事件猖data之后,公众对公司的羞辱程度很高。

美国联邦贸易委员会(FTC)于2019年开始致力于改善数据安全性的具体命令,史密斯(Smith)引用了7个不同的2019年数据安全性命令,以努力对其中一些改进进行布局。他指出,这些改进部分是由于2018年12月FTC听证会针对数据安全命令的改进领域以及2018年第十一巡回上诉法院提出的 决定.

因此,史密斯强调了三个主要变化,这些变化“改善了数据安全性并为公司提供了更大的威慑力”,并增强了可执行性。这些更改分为以下三类:

(1)订单更具体。

(2)订单增加了第三方评估人员的责任感。

(3)这些命令通过以类似于证券和其他法律的认证为蓝本的执行认证来将数据安全性考虑提升到C-Suite和董事会级别。

具体的规范要求。  首先,就具体性而言,订单仍然需要公司“实施基于过程的全面数据安全程序”。但是,执行命令现在包含特定的保护措施来解决所谓的问题,例如“每年的员工培训,访问控制,数据安全事件监视系统,补丁管理系统和加密”。

第三方评估师监督。  接下来,FTC强制执行命令现在要求外部评估者对命令所要求的全面数据安全计划进行更严格的审查。史密斯(Smith)的博客文章概述了以下示例:“这些命令明确且明确地要求评估师确定支持其结论的证据,包括独立抽样,员工访谈和文件审查。”此外,史密斯还指出,也许最重要的是,新订单使FTC能够每两年批准和重新批准评估员。

公司治理和监督。  最后,FTC的新订单向C-Suite和董事会提出了数据安全问题。在相关部分,公司现在必须向董事会提交书面信息安全计划,而高级官员现在必须向FTC提供年度合规证明。史密斯进一步解释说,联邦贸易委员会(FTC)“改善数据安全问题的公司治理是及时且有充分根据的”。

随着网络安全成为组织关注的日益重要的领域,FTC在这一领域的努力仍然值得继续关注。与数据安全事件相关的其他可能风险领域包括其他监管机构(例如SEC(证券的发行人和某些金融机构或服务提供商)和卫生与公共服务部(卫生署)的执法行动,积极的消费者集体诉讼,证券和衍生品诉讼案件。