Hong Kong Data

警告标志很难想象，消费者金融保护局（CFPB）并不负责执行信息保护措施（国会将这一职责交给了联邦贸易委员会），会因为一家公司没有发生数据泄露而对其处以保护陈述的民事罚款。

更难以想象的是，就在实施罚款的几周前，该机构还宣布了一项鼓励消费者友好型金融创新的政策。然而，我们如今生活在这样一个时代：CFPB 今天试图鼓励金融创新，明天又试图抑制它，即使消费者似乎没有受到伤害。

发生了什么
本月初，CFPB 在其“首次数据安全行动”中宣布了一项同意令。该声明明确表明，CFPB 现在将目光投向了数据安全实践。这一执法行动清楚地表明，CFPB 再次通过简单地将陈述标记为欺骗性并模糊联邦机构管辖范围之间的界限来扩大其权力。因此，我们很可能在未来几个月看到数据安全领域的监管审查大幅增加。

Dwolla标志2015此次行动针对的是Dwolla，这是一家 Finovate 校友，运营一个允许会员发送和接收资金的数字支付网络。它拥有超过 650,000 名会员，每天的转账金额高达 500 万美元。CFPB 指控 Dwolla 歪曲了其数据安全措施，将其网络描述为“安全”和“有保障”，并将其数据安全措施描述为超过行业标准。虽然消费者似乎没有受到任何伤害，但根据 CFPB 的单方面断言，Dwolla 的数据安全措施并未达到其声称的水平，该陈述构成了欺骗行为和做法。因此，CFPB 对 Dwolla 未来的行为施加了限制，并要求 Dwolla 向 CFPB 民事罚款基金支付 100,000 美元。

后果
考虑到缺乏消费者受到伤害的证据，对 Dwolla 这样的创新公司施加民事处罚似乎特别严厉。尽管通过其网络传输的资金和个人信息量非常大，但 Dwolla 从未经历过数据泄露，也从未收到过有关其数据安全政策的消费者投诉。

正如 Dwolla 在 3 月 2 日的博客中所解释的那样，“Dwolla 之所以采用新想法，是因为我 Georgia电子邮件列表 们想要打造一款更安全的产品，但当时我们可能没有选择最好的语言和比较来描述我们的一些功能。” Dwolla 还解释说，它正在不断学习、发展和调整其数据安全实践，以确保为会员提供他们期望的安全。不幸的是，CFPB 的命令表明，它对新技术开发过程中经常伴随的成长烦恼和调整几乎没有容忍度。

建议
鉴于CFPB毫不掩饰地预示着更多的数据安全执法行动即将出台，我们敦促金融科技公司考虑几个重要因素：

低调，不要夸大： CFPB 在数据安全方面绝不容忍夸大其词。确保您的声明符合您的实践。
行动，不要被动应对：一旦发现潜在的数据安全漏洞，立即解决。不要等到问题出现。
发展您的实践和主张：确保您的数据安全实践与您的产品发展同步增长和变化。
遵守规则：将合规性作为首要任务。建立并遵循强大的合规管理系统，其中包括公司管理层和董事会的定期监督和意见。
由于无法逃避监管审查，因此在消费者金融保护局 (CFPB) 将目光瞄准您的公司之前，请确保您的数据安全实践无可挑剔。