Статья 9 Закона о Защите Прав Потребителей с Комментариями
1. Изготовитель (исполнитель, продавец) обязан довести до сведения потребителя фирменное наименование (наименование) своей организации, место ее нахождения (адрес) и режим ее работы. Продавец (исполнитель) размещает указанную информацию на вывеске.
Изготовитель (исполнитель, продавец) — индивидуальный предприниматель — должен предоставить потребителю информацию о государственной регистрации и наименовании зарегистрировавшего его органа.
Изготовитель (продавец) обязан довести до сведения потребителя фирменное наименование (наименование), место нахождения (адрес) и режим работы уполномоченной организации или уполномоченного индивидуального предпринимателя.
1.1. Уполномоченная организация или уполномоченный индивидуальный предприниматель в случае обращения потребителя обязаны довести до его сведения информацию о себе и изготовителе (продавце) (фирменное наименование (наименование), место нахождения (адрес), режим работы, государственный регистрационный номер записи о создании юридического лица, фамилию, имя, отчество (если имеется), государственный регистрационный номер записи о государственной регистрации физического лица в качестве индивидуального предпринимателя).
1.2. Владелец агрегатора обязан довести до сведения потребителей информацию о себе и продавце (исполнителе) (фирменное наименование (наименование), место нахождения (адрес), режим работы, государственный регистрационный номер записи о создании юридического лица, фамилию, имя, отчество (если имеется), государственный регистрационный номер записи о государственной регистрации физического лица в качестве индивидуального предпринимателя), а также об имеющихся изменениях в указанной информации.
1.3. Продавец (исполнитель) обязан предоставить владельцу агрегатора и разместить на своем сайте в информационно-телекоммуникационной сети «Интернет» (при его наличии) достоверную информацию о себе, указанную в пункте 1.2 настоящей статьи. В случае, если имеются изменения в такой информации, продавец (исполнитель) обязан в течение одного рабочего дня с момента внесения в нее изменений сообщить владельцу агрегатора об этих изменениях и разместить их на своем сайте в информационно-телекоммуникационной сети «Интернет» (при его наличии).
2. Если вид деятельности, осуществляемый изготовителем (исполнителем, продавцом), подлежит лицензированию и (или) исполнитель имеет государственную аккредитацию, до сведения потребителя должна быть доведена информация о виде деятельности изготовителя (исполнителя, продавца), номере лицензии и (или) номере свидетельства о государственной аккредитации, сроках действия указанных лицензии и (или) свидетельства, а также информация об органе, выдавшем указанные лицензию и (или) свидетельство.
3. Информация, предусмотренная пунктами 1 и 2 настоящей статьи, должна быть доведена до сведения потребителей также при осуществлении торговли, бытового и иных видов обслуживания потребителей во временных помещениях, на ярмарках, с лотков и в других случаях, если торговля, бытовое и иные виды обслуживания потребителей осуществляются вне постоянного места нахождения продавца (исполнителя).
Комментарий к Ст. 9 ЗоЗПП РФ
Бесплатная юридическая консультация по телефонам:
8 (499) 938-53-84 (Москва и МО)
8 (812) 467-95-33 (Санкт-Петербург и ЛО)
8 (800) 301-79-07 (Регионы РФ)
1. Комментируемая статья устанавливает обязанность продавцов, изготовителей и исполнителей сообщать достоверную информацию о себе. Причем обязанность эта существует вне зависимости от заключения или незаключения конкретной сделки, а является сопутствующей осуществлению самой деятельности по заключению договоров с потребителями — торговли, бытового подряда, тех или иных услуг, оказываемых потребителям. То есть потребитель должен иметь возможность получить указанную информацию еще до того, как им будет заключена сделка либо вообще заявлено намерение такую сделку заключить.
За нарушение данной нормы Кодексом РФ об административных правонарушениях предусмотрена административная ответственность: в соответствии со статьей 14.5 КоАП за продажу товаров в организациях торговли либо в иных организациях, осуществляющих реализацию товаров, а равно гражданами, зарегистрированными в качестве индивидуальных предпринимателей, при отсутствии установленной информации об изготовителе или о продавце предусматривается наказание в виде административного штрафа на граждан в размере от пятнадцати до двадцати минимальных размеров оплаты труда; на должностных лиц — от тридцати до сорока минимальных размеров оплаты труда; на юридических лиц — от трехсот до четырехсот минимальных размеров оплаты труда.
2. В целом статья 8 во многом дублирует статью 9 Закона: обязанность предоставить определенную информацию определенному кругу лиц предполагает наличие у этих лиц права на получение этой информации. Исключение составляет пункт 2 комментируемой статьи, он вводит дополнительную обязанность для лиц, осуществляющих деятельность, подлежащую лицензированию или аккредитации по доведению информации о такой деятельности до потребителя.
3. Пункт 3 комментируемой статьи подтверждает действие норм предыдущих ее пунктов также в условиях, когда предоставление указанной выше информации осложнено временным характером размещения продавца или исполнителя в определенном месте. Продавцы или исполнители в таких случаях не стремятся вводить для себя какие-то рамки в части режима работы, тем более что в таких условиях их трудно проконтролировать в этой части. Но именно в связи с непродолжительностью пребывания продавца или исполнителя в месте заключения и исполнения договора информация о них приобретает существенное значение.
ПРАВО ПОТРЕБИТЕЛЕЙ НА ИНФОРМАЦИЮ — ФБУЗ «Центр гигиены и эпидемиологии в Красноярском крае»
(понятие и общие требования, предъявляемые к предоставляемой потребителю информации)
Законодатель регламентирует не только порядок предоставления информации для потребителя, но и предусматривает, что информация должна быть надлежащей. Право на информацию гарантирует потребителю знание того, кто конкретно несет ответственность за качество и безопасность товара, работы, услуги. Право потребителя на информацию влечет за собой обязанность второй стороны договорных отношений ее предоставить. Несоблюдение таких условий предусматривает ответственность в соответствии с действующим законодательством.
Закон о защите прав потребителей устанавливает
определенные требования к информации, предоставляемой потребителю. Анализируя
нормы Закона, можно отметить, что законодатель не дает точного определения
категории «информация потребителей» или «потребительская информация».
Законодательно закреплено право потребителя на информацию об изготовителе
(исполнителе, продавце) и о товарах (работах, услугах), определены содержание и
ответственность продавца, исполнителя, изготовителя за ненадлежащую информацию.
В соответствии с п. 2 ст. 2 Федерального закона «Об информации, информационных технологиях и о защите информации», информация представляет собой сведения (сообщения, данные) независимо от формы их представления.
Таким образом, потребительскую информацию можно определить как комплекс сведений, сообщений, данных, который обязательно должен предоставляться потребителю. В случае непредоставления или предоставления ненадлежащей информации следует привлечение к ответственности продавца, исполнителя, изготовителя в соответствии с действующим законодательством.
Согласно ст. 8 Закона о защите прав потребителей потребитель вправе потребовать предоставления необходимой и достоверной
См.: Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // СЗ РФ. 2006. № 31 (ч. I). Ст. 3448.
информации об изготовителе (исполнителе, продавце), режиме его работы и реализуемых им товарах (работах, услугах).
Согласно ст. 10 Закона о защите прав потребителей
изготовитель (исполнитель, продавец) обязан своевременно предоставить
потребителю необходимую и достоверную информацию о товарах (работах, услугах),
обеспечивающую возможность их правильного выбора.
Часто в супермаркетах встречаются ситуации, когда на товар указана одна цена, а на кассе продавец пробивает совершенно другую, причем, как правило, выше указанной на ценнике.
Руководствуясь п. 1 ст. 10 Закона о защите прав потребителей, продавец обязан своевременно предоставить потребителю необходимую и достоверную информацию о товарах. Пункт 2 той же статьи дополняет, что цена товара в рублях является неотъемлемой частью этой информации. Кроме того, в ГК РФ есть такое понятие как оферта, т.е. задокументированное предложение. В магазинах ценник является именно публичной офертой, и продавец обязан продать товар покупателю именно по той цене, которая в этой оферте указана.
В последнее время многие люди сталкиваются с
навязыванием принудительных страховых услуг при оформлении кредитов.
Естественно, что банк является коммерческой структурой и основной целью его
деятельности является получение прибыли, поэтому используются все возможные
методы. В настоящий момент в соответствии с действующим законодательством уже
запрещены банковские комиссии и использование мелкого шрифта при написании
кредитного договора.
Что касается страховки, то она чаще всего представляет
собой навязанную услугу и не является обязательной. Для возврата страховки
сначала необходимо обратиться с претензией в банк, если вопрос не будет
урегулирован, то в суд. Как показывает практика, большинство требований такого
рода удовлетворяется судом в пользу потребителя.
Своевременная информация. Это информация о товаре, которая позволяет потребителю ознакомиться с ним своевременно, до совершения сделки и в дальнейшем определить выбор покупки. Так, потребитель вправе ознакомиться с действием товара, его работой, упаковкой, сопроводительной документацией. Кроме того, потребитель вправе потребовать предоставить ему для ознакомления сертификат или декларацию о соответствия.
Если информация о товаре была предоставлена не в момент его приобретения, а, скажем, позднее, следует говорить о несвоевременном предоставлении информации.
Необходимая информация. Необходимая информация в
данном случае включает такое понятие, как ее полнота.
Учитывается тот факт, что
потребитель может не обладать достаточными знаниями о товаре, работе, услуге,
которые он желает приобрести, продавец, изготовитель, исполнитель, напротив,
обязан быть профессионалом в своем бизнесе и поэтому должен предоставить
потребителю информацию в таком объеме и в такой форме, чтобы у последнего
сложилось четкое представление о свойствах товара, его качестве, правилах
эксплуатации и других характеристиках. Этих сведений должно быть достаточно для
того, чтобы сделать компетентный выбор.
Таким образом, информация, которая передается потребителю, должна содержать соответствующий объем сведений, свойства и характеристики товара, работы, услуги для достижения цели правильного представления и выбора потребителем определенных товаров, работ, услуг. Именно в этом случае информацию можно охарактеризовать как необходимую.
Достоверная информация. Соответствие содержащихся
сведений о товаре, работе, услуге, их свойствах реальной действительности
определяет информацию как достоверную.
Например, потребитель приобрел мобильный
телефон Samsung. При обращении в представительство компании Samsung на территории Российской Федерации было получено разъяснение от правообладателя
торгового знака Samsung, что данный товар им изготовлен не был. Таким
образом, даже если нет претензий к качеству товара, потребитель имеет право на
возврат денежных средств на основании того, что ему была представлена ненадлежащая
информация об изготовителе. Также если перевод информации о товаре на русский
язык недостоверен, то это можно расценивать как предоставление недостоверной
информации потребителю, что означает наступление для продавца ответственности,
предусмотренной законом.
Закон о защите прав потребителей закрепляет перечень
сведений, которые обязательно должны быть предоставлены потребителю. В
частности, к ним относятся информация об изготовителе (исполнителе, продавце)
(ст. 9 Закона о защите прав потребителей) и информация о товаре (работе,
услуге) (ст. 10 Закона о защите прав потребителей).
Информация об изготовителе (исполнителе, продавце). Данная информация должна быть доведена до потребителя при приобретении товара, работы, услуги. Так, например, информация об изготовителе телевизора обычно находится в определенном месте в технической документации или в инструкции по эксплуатации, информация на продуктах питания может быть указана на самой упаковке.
Продавец или исполнитель могут поместить основную информацию о себе на вывеске. Данные о наличии лицензии, например, медицинского центра, могут располагаться в регистратуре.
Согласно требованиям ст. 9 Закона о защите прав потребителей информация об изготовителе (продавце, исполнителе) должна содержать следующие сведения:
1. Фирменное наименование организации. Статьей 54 ГК РФ закреплена обязанность юридического лица указывать в наименовании своей компании организационно-правовую форму. Например, общество с ограниченной ответственностью, публичные акционерные общества и др.
Индивидуальный предприниматель должен предоставить
потребителю информацию о государственной регистрации и наименование
зарегистрировавшего его органа.
Данная информация размещается на специальном
стенде или на вывеске.
2. Местонахождение организации. Местонахождение юридического лица определяется местом его государственной регистрации, которая осуществляется по местонахождению его постоянно действующего органа. Все предприятия, учреждения, организации, действующие на территории Российской Федерации, должны пройти государственную регистрацию. Согласно ст. 51 ГК РФ юридическое лицо считается созданным с момента государственной регистрации.
Информация об изготовителе должна быть указана в документах, сопровождающих товар, на его упаковке или доведена до потребителя иными способами.
Информация о юридическом адресе компании не составляет
коммерческую тайну, поэтому, чтобы определить местонахождение продавца
(исполнителя), можно обратиться в регистрационные органы либо посмотреть его на
сайте Федеральной налоговой службы. Необходимо будет указать либо наименование
организации, либо основной государственный регистрационный номер /
идентификационный номер налогоплательщика, которые можно посмотреть на печати
компании.
Выписка из Единого государственного реестра юридических лиц содержит
основные сведения о юридическом лице, в том числе о том, действующая ли эта
организация. За оказание такой услуги плата не взимается.
· 3. Режим работы организации. Продавец, исполнитель самостоятельно устанавливают режим работы своей организации. В соответствии со ст. 11 Закона о защите прав потребителей режим работы государственных, муниципальных организаций торговли, бытового и иных видов обслуживания устанавливается по решению, соответственно, органов исполнительной власти субъектов Российской Федерации и органов местного самоуправления. Режим работы организации должен доводиться до сведения потребителей (время начала и окончания рабочего дня, перерывы, выходные дни или ежедневно без выходных). Если режим работы не соблюдается, государственные органы вправе привлечь к ответственности организацию, а потребитель имеет право потребовать возмещения, если ему были причинены убытки.
·
4. Сведения о лицензии.
Данное
требование не является обязательным. Только если вид деятельности продавца,
изготовителя, исполнителя подлежит лицензированию, потребителю должна быть
предоставлена информация о номере лицензии, сроке ее действия, а также об
органе, выдавшем лицензию.
Информация о товаре (работе, услуге). В Законе о защите прав потребителей большое внимание уделено тому, какую информацию о товарах (работах, услугах) изготовитель (продавец, исполнитель) обязан предоставить потребителю, чтобы обеспечить ему возможность правильного выбора. По отдельным видам товаров (работ, услуг) перечень и способы достоверности доведения информации до потребителя устанавливаются Правительством РФ.
Для того чтобы продавец не смог ввести потребителя в заблуждение о свойствах товара, его качестве, перечень обязательной для предоставления информации позволяет защитить права и интересы потребителя.
Закон обязывает продавца предоставить сведения об
основных потребительских свойствах товаров, работ, услуг, а в отношении
продуктов питания — сведения о составе; наличии пищевых и биологически активных
добавок с указанием их наименования; весе и объеме; дате и месте изготовления и
упаковки; пищевой ценности; назначении; условиях применения и хранения;
способах изготовления готовых блюд.
Также предусмотрена обязанность
предоставлять информацию о противопоказаниях для применения некоторых товаров,
работ, услуг.
Обязательная информация о товарах должна также содержать сведения о гарантийном сроке, если он установлен; сроке службы или сроке годности товаров работ; цене и условиях приобретения товаров, работ, услуг, в том числе при предоставлении кредита размера кредита, полную сумму, подлежащую выплате потребителем, график погашения этой суммы; правилах и условиях эффективного и безопасного использования товаров, работ, услуг; информацию об энергетической эффективности товаров; правилах продажи товаров, выполнения работ, оказания услуг; сведения об обязательном подтверждении соответствия товаров, работ, услуг (и. 2 ст. 10 Закона о защите прав потребителей).
Установлены требования о предоставлении информации об
указании конкретного лица, которое будет выполнять работу, оказывать услугу, и
информацию о нем, исходя из характера работы, услуги; предоставлении информации
об указании адреса (местонахождении), о фирменном наименовании изготовителя
(исполнителя, продавца), организации или индивидуального предпринимателя,
импортера; предоставлении информации об указании на использование фонограмм при
оказании развлекательных услуг исполнителями музыкальных произведений (п.
2 ст.
10 Закона о защите прав потребителей).
Необходимо иметь в виду, что если приобретаемый товар был в употреблении или в нем устранялся недостаток, потребителю должна быть предоставлена информация и об этом.
При оказании услуг или выполнении работ, а также при приобретении товара информация должна быть предоставлена потребителю в наглядной и доступной форме. Например, информация о товаре может быть предоставлена на витрине магазина, информация об услуге или работе — на стенде в компании.
Любая необходимая информация об изготовителе, исполнителе и продавце, так же как о товарах, работах и услугах, должна представляться потребителю независимо от того, приобрел ли он уже тот или иной товар или только намеревается это сделать.
В заключение отметим, что действующим законодательством предусмотрена ответственность за ненадлежащую информацию о товаре (работе, услуге), а также продавце (изготовителе, исполнителе).
В случае если предоставление недостоверной или
недостаточно полной информации о товаре (работе, услуге), а также изготовителе
(исполнителе, продавце) повлекло приобретение товара (работы, услуги), не
обладающего необходимыми потребителю свойствами, потребитель вправе расторгнуть
договор и потребовать возмещения причиненных ему убытков.
При невозможности использования приобретенного товара (работы, услуги) по назначению потребитель вправе потребовать предоставления в разумно короткий срок надлежащей информации. Если информация в оговоренный срок не будет предоставлена, потребитель вправе расторгнуть договор, потребовать возврата уплаченной за товар суммы и возмещения причиненных ему убытков.
В данном случае законодатель закрепил обязанность потребителя возвратить товар изготовителю.
В случае причинения вреда жизни, здоровью и имуществу потребителя он вправе предъявить продавцу (изготовителю, исполнителю) требования, предусмотренные ст. 14 Закона о защите прав потребителей.
Информация взята из источника: https://studref.com/326603/pravo/pravo_potrebiteley_informatsiyu
ООиСОД 0 Комментарии
Законодательное собрание штата Аризона
Сессия: 2023 г. — Пятьдесят шестая сессия Законодательного собрания — Первая очередная сессия 2022 г.
— Пятьдесят пятая сессия Законодательного собрания — Вторая очередная сессия 2021 г. — Пятьдесят пятая сессия Законодательного собрания — Первая специальная сессия Вторая очередная сессия2019 г. — Пятьдесят четвертая законодательная власть — первая очередная сессия2018 г. — Пятьдесят третья законодательная власть — первая специальная сессия2018 г. — Пятьдесят третья законодательная власть — вторая очередная сессия 2017 г. — пятьдесят третья законодательная власть — первая очередная сессия 2016 г. — пятьдесят вторая законодательная власть — вторая очередная сессия 2015 г. — пятьдесят вторая сессия -Вторая Законодательная власть — Первая специальная сессия2015 г. — Пятьдесят вторая Законодательная власть — Первая очередная сессия 2014 г. — Пятьдесят первая Законодательная власть — Вторая специальная сессия 2014 г. — Пятьдесят первая Законодательная власть — Вторая очередная сессия 2013 г. — Пятьдесят первая Законодательная власть — Первая специальная сессия 2013 г. — Пятьдесят первая Законодательная власть — Первая Очередная сессия 2012 г.
— Законодательный орган пятидесятого созыва — Вторая очередная сессия 2011 г. — Законодательный орган пятидесятого созыва — Четвертая специальная сессия 2011 г. — Законодательный орган пятидесятого созыва — Третья специальная сессия 2011 г. — Законодательный орган пятидесятого созыва — Вторая специальная сессия 2011 г. — Законодательный орган пятидесятого созыва — Первая специальная сессия 2011 г. — Законодательный орган пятидесятого созыва — Первая очередная сессия 2010 г. — Сорок девятый совещательный орган — Девятая специальная сессия 2010 г. — Сорок девятая законодательная сессия — Восьмая специальная сессия 2010 г. — Сорок девятая законодательная сессия — Седьмая специальная сессия 2010 г. — Сорок девятая законодательная сессия — Шестая специальная сессия 2010 г. — Сорок девятая законодательная сессия — Вторая очередная сессия 2009 г.- Законодательный орган сорок девятого созыва — Пятая специальная сессия 2009 г. — Законодательный орган сорок девятого созыва — Четвертая специальная сессия 2009 г.
— Законодательный орган сорок девятого созыва — Третья специальная сессия 2009 г. — Законодательный орган сорок девятого созыва — Вторая специальная сессия 2009 г. — Законодательный орган сорок девятого созыва — Первая специальная сессия 2009 г. — Первая очередная сессия 2008 г. — Сорок восьмая законодательная сессия — Вторая очередная сессия 2007 г. — Сорок восьмая законодательная сессия — Первая очередная сессия 2006 г. — Сорок седьмая законодательная сессия — Первая специальная сессия 2006 г. — Сорок седьмая законодательная сессия — Вторая очередная сессия 2005 г. Законодательный орган 46-го созыва — Вторая очередная сессия 2003 г. — Законодательный орган 46-го созыва — Вторая специальная сессия 2003 г. — Законодательный орган 46-го созыва — Первая специальная сессия 2003 г. — Законодательный орган 46-го созыва — Первая очередная сессия 2002 г. — Законодательный орган 45-го созыва — Специальная шестая сессия 2002 г. — Сорок пятый законодательный орган — Пятая специальная сессия 2002 г.
— Сорок пятая законодательная сессия — Четвертая специальная сессия 2002 г. — Сорок пятая законодательная сессия — Третья специальная сессия 2002 г. — Сорок пятая законодательная сессия — Вторая очередная сессия 2001 г. — Сорок пятая законодательная сессия — Вторая специальная сессия 2001 г. — Сорок пятая законодательная сессия — Первая специальная сессия 2001 г. — Сорок — Законодательный орган пятого созыва – Первая очередная сессия 2000 г. Обычная сессия1999 — Законодательный орган сорок четвертого созыва — Третья специальная сессия 1999 г. — Законодательный орган сорок четвертого созыва — Вторая специальная сессия 1999 г. — Законодательный орган сорок четвертого созыва — Первая специальная сессия 1999 г. — Законодательный орган сорок четвертого созыва — Первая очередная сессия 1998 г. Законодательный орган — Пятая специальная сессия 1998 г. — Сорок третья законодательная власть — Четвертая специальная сессия 1998 г. — Сорок третья законодательная власть — Третья специальная сессия 1998 г.
— Сорок третья законодательная власть — Вторая очередная сессия 1997 г. — Сорок третья законодательная власть — Вторая специальная сессия1997 — Сорок третья сессия Законодательного собрания — Первая специальная сессия 1997 года — Сорок третья сессия Законодательного собрания — Первая очередная сессия 1996 года — Сорок вторая сессия Законодательного собрания — Седьмая специальная сессия 1996 года — Сорок вторая сессия Законодательного собрания — Шестая специальная сессия 1996 года — Сорок вторая сессия Законодательного собрания — Пятая специальная сессия 1996 года — Сорок вторая Законодательный орган — Вторая очередная сессия 1995 г. — Сорок вторая сессия Законодательного органа — Четвертая специальная сессия 1995 г. — Сорок вторая сессия Законодательного органа — Третья специальная сессия 1995 г. — Сорок вторая сессия Законодательного органа — Вторая специальная сессия 1995 г. — Сорок вторая сессия Законодательного органа — Первая специальная сессия1995 — Сорок вторая сессия Законодательного собрания — Первая очередная сессия 1994 года — Сорок первая сессия Законодательного собрания — Девятая специальная сессия 1994 года — Сорок первая сессия Законодательного собрания — Восьмая специальная сессия 1994 года — Сорок первая сессия Законодательного собрания — Вторая очередная сессия 1993 года — Сорок первая сессия Законодательного собрания — Седьмая специальная сессия 1993 года — Сорок первая сессия Законодательный орган — Шестая специальная сессия 1993 г.
— Сорок первая Законодательная власть — Пятая специальная сессия 1993 г. — Сорок первая Законодательная власть — Четвертая специальная сессия 1993 г. — Сорок первая Законодательная власть — Третья специальная сессия 1993 г. — Сорок первая Законодательная власть — Вторая специальная сессия1993 — Законодательный орган сорок первой сессии — Первая специальная сессия 1993 г. — Законодательный орган сорок первой сессии — Первая очередная сессия 1992 г. — Законодательный орган сороковой сессии — Девятая специальная сессия 1992 г. — Законодательный орган сороковой сессии — Восьмая специальная сессия 1992 г. — Законодательный орган сороковой сессии — Седьмая специальная сессия 1992 г. — Шестая специальная сессия 1992 г. — Сороковая законодательная сессия — Вторая очередная сессия 1991 г. — Сороковая законодательная сессия — Четвертая специальная сессия 1991 г. — Сороковая законодательная сессия — Третья специальная сессия1991 — Законодательный орган сороковой сессии — Вторая специальная сессия 1991 г.
— Законодательный орган сороковой сессии — Первая специальная сессия 1991 г. — Законодательный орган сороковой сессии — Первая очередная сессия 1990 г. — Законодательный орган тридцать девятой сессии — Пятая специальная сессия 1990 г. Тридцать девятая законодательная сессия — вторая очередная сессия 1989 г. — тридцать девятая законодательная сессия — вторая специальная сессия 1989 г. — тридцать девятая законодательная сессия — первая специальная сессия 1989 г. — тридцать девятая законодательная сессия — первая очередная сессия
Циркуляр по финансовой защите потребителей 2022-04: Недостаточная защита или безопасность конфиденциальной информации о потребителях
Циркуляр по финансовой защите потребителей
Недостаточная защита данных или безопасность конфиденциальной информации о потребителях недобросовестные действия или практика в соответствии с Законом о финансовой защите потребителей (CFPA), когда они имеют недостаточную защиту данных или информационную безопасность?
Краткий ответ
Да.
В дополнение к другим федеральным законам, регулирующим безопасность данных для финансовых учреждений, включая Правила гарантий, изданные в соответствии с Законом Грэмма-Лича-Блайли (GLBA), «застрахованные лица» и «поставщики услуг» должны соблюдать запрет на недобросовестные действия или практику в CFPA. Недостаточная безопасность конфиденциальной информации о потребителях, собираемой, обрабатываемой, поддерживаемой или хранимой компанией, может представлять собой недобросовестную практику, нарушающую 12 U.S.C. 5536(а)(1)(Б). Хотя эти требования часто пересекаются, они не совпадают.
Действия или действия являются несправедливыми, если они причиняют или могут причинить существенный ущерб, которого невозможно избежать или который не перевешивается компенсационными выгодами для потребителей или конкуренцией. Неадекватная политика или практика аутентификации, управления паролями или обновления программного обеспечения могут нанести существенный ущерб потребителям, которого потребители не могут разумно избежать, а финансовые учреждения вряд ли смогут успешно оправдать слабые методы обеспечения безопасности данных, основанные на компенсационных выгодах для потребителей или конкуренции.
Недостаточная безопасность данных может быть недобросовестной практикой при отсутствии нарушения или вторжения.
Анализ
Широко распространенные утечки данных и кибератаки привели к значительному ущербу для потребителей, включая денежные потери, кражу личных данных, значительные затраты времени и денег на устранение последствий утечки и другие формы финансовых затруднений. К поставщикам потребительских финансовых услуг предъявляются особые требования по защите данных потребителей. В 2021 году Федеральная торговая комиссия (FTC) обновила свои Правила защитных мер, реализующие Раздел 501(b) GLBA, чтобы установить конкретные критерии, касающиеся мер безопасности, которые должны внедрять определенные небанковские финансовые учреждения в рамках своих программ информационной безопасности. 1 Эти меры безопасности, среди прочего, ограничивают круг лиц, имеющих доступ к информации о клиентах, требуют использования шифрования для защиты такой информации и требуют назначения одного квалифицированного лица для надзора за программой информационной безопасности учреждения и предоставления отчетов не реже одного раза в год в совет директоров учреждения или аналогичный руководящий орган.
Федеральные банковские агентства также выпустили межведомственные инструкции по реализации Раздела 501 GLBA. 2
При определенных обстоятельствах несоблюдение этих конкретных требований может также нарушать запрет CFPA на недобросовестные действия или действия. CFPA определяет недобросовестное действие или практику как действие или практику: (1) которые наносят или могут нанести существенный ущерб потребителям, (2) которых потребители не могут разумно избежать и (3) не перевешиваются компенсационными выгодами. потребителям или конкуренции. 3
Практика наносит существенный ущерб потребителям, когда она причиняет значительный вред нескольким потребителям или небольшой вред многим потребителям. Например, неадекватные меры безопасности данных могут причинить значительный вред нескольким потребителям, которые в результате становятся жертвами целенаправленной кражи личных данных, или потенциально могут нанести ущерб миллионам потребителей в случае крупных утечек данных в масштабах клиентской базы.
Слабые места в информационной безопасности могут привести к утечке данных, кибератакам, эксплойтам, атакам программ-вымогателей и другому раскрытию данных потребителей. 4
Кроме того, фактическая травма не требуется для удовлетворения этого требования в каждом случае. Достаточно также значительного риска причинения вреда. Другими словами, эта часть несправедливости встречается даже при отсутствии утечки данных. Действия, которые «могут причинить» существенный вред, в том числе неадекватные меры безопасности данных, которые еще не привели к взлому, тем не менее удовлетворяют этому критерию несправедливости. 5
Потребители не могут разумно избежать вреда, причиняемого сбоями безопасности данных фирмы. Как правило, у них нет возможности узнать, правильно ли реализованы соответствующие меры безопасности, независимо от раскрытия информации. Они не контролируют создание или реализацию мер безопасности организации, включая программу информационной безопасности организации.
А потребителям не хватает практических средств, чтобы разумно избежать вреда в результате сбоев в защите данных. 6
В тех случаях, когда компании отказываются от разумных экономически эффективных мер по защите данных потребителей, таких как меры, указанные ниже, Бюро финансовой защиты потребителей (CFPB) ожидает, что риск существенного ущерба для потребителей перевесит любые предполагаемые компенсационные выгоды для потребителей или конкуренции. . CFPB не известно ни об одном случае, когда суд, применяющий стандарт несправедливости, установил, что существенный ущерб, причиненный или, вероятно, вызванный плохой практикой компании в области безопасности данных, перевешивался компенсационными выгодами для потребителей или конкуренции. 7 Учитывая вред, наносимый потребителям в результате утечек конфиденциальной финансовой информации, это неудивительно.
Соответствующий прецедент
22 июля 2019 года CFPB заявил, что Equifax нарушил запрет CFPA на недобросовестные действия или действия.
8 Федеральная торговая комиссия также заявила, что Equifax нарушила Закон Федеральной торговой комиссии и Правило защитных мер Федеральной торговой комиссии, которое реализует раздел 501 GLBA и устанавливает определенные требования, которые небанковские финансовые учреждения должны соблюдать для защиты финансовой информации. 9
В своей жалобе на Equifax CFPB заявил о несправедливом нарушении, основанном на неспособности Equifax обеспечить разумную безопасность конфиденциальной личной информации, которую она собирала, обрабатывала, хранила или хранила в компьютерных сетях. 10 В частности, Equifax нарушила запрет на недобросовестность (а также Правило защитных мер FTC), используя программное обеспечение, содержащее известную уязвимость, и не исправляя уязвимость в течение более четырех месяцев. Хакеры воспользовались этой уязвимостью, чтобы украсть более 140 миллионов имен, дат рождения и SSN, а также миллионы телефонных номеров, адресов электронной почты и физических адресов, а также сотни тысяч номеров кредитных карт и сроков их действия.
11
До рассмотрения дела Equifax действия правоохранительных органов, связанные с неадекватной аутентификацией, влекли за собой ответственность в соответствии с Законом о Федеральной торговой комиссии, запрещающим недобросовестные действия. В 2006 году FTC подала в суд на процессор онлайн-чеков Qchex и связанные с ним организации за нарушение Закона FTC. Федеральная торговая комиссия заявила, что создание и доставка чеков без проверки того, что лицо, запрашивающее чек, уполномочено выписывать чеки на соответствующий банковский счет, было недобросовестным. 12 Qchex создала чеки, «даже если имя клиента отличалось от имени на банковском счете, указанном в чеках, или от имени на счете кредитной карты, который клиент использовал для оплаты услуг [Qchex]». 13
Даже после настройки определенных процедур проверки личности Qchex обходит эти процедуры для некоторых клиентов. 14 В конце концов, суд заметил, что «недобросовестным авантюристам было несложно получить информацию о личности и выписывать чеки со счетов, которые им не принадлежали».
15 Этот суд подтвердил, что Qchex нанесла ущерб потребителям, создав и доставив непроверенные чеки в нарушение раздела 5 Закона о Федеральной торговой комиссии. 16 Внедрение практики, основанной на здравом смысле, включая те, которые теперь требуются в соответствии с правилом безопасности FTC, защищает потребителей от травм и, в свою очередь, снижает потенциальную ответственность для бизнеса.
Ответственность за недобросовестные действия или действия также наступает в контексте управления паролями и регулярных обновлений программного обеспечения. В 2012 году FTC подала в суд на несколько организаций, связанных с гостиничной компанией Wyndham, за их неспособность «применить разумные и надлежащие меры для защиты личной информации от несанкционированного доступа» в нарушение Закона FTC о запретах на вводящие в заблуждение и недобросовестные действия и методы. 17 Неадекватные методы защиты данных включали «использование устаревших операционных систем, которые не могли получать обновления безопасности или исправления для устранения известных уязвимостей безопасности», серверы, которые использовали «хорошо известные идентификаторы пользователя и пароли по умолчанию… которые были легко доступны хакерам через простые Интернет-поиск» и политики управления паролями, которые не требовали «использования сложных паролей для доступа к системам управления собственностью отелей под брендом Wyndham и позволяли использовать легко угадываемые пароли».
18
Федеральная торговая комиссия заявила, что из-за этих и других несовершенных мер безопасности «злоумышленники смогли получить несанкционированный доступ к компьютерной сети [Wyndham]… в трех отдельных случаях» и получить «номера счетов платежных карт клиентов, срок действия даты и коды безопасности». 19 Один из таких инцидентов привел к «компрометации более 500 000 счетов платежных карт и экспорту сотен тысяч номеров счетов платежных карт потребителей в домен, зарегистрированный в России». 20 Когда компания Wyndham заявила, что вопросы безопасности данных не входят в компетенцию FTC по борьбе с недобросовестностью, суды подтвердили, что «FTC имеет полномочия регулировать кибербезопасность в соответствии с разделом 5(a) Закона FTC и организации должным образом уведомлены о том, что проблемы кибербезопасности могут привести к нарушению этого положения. 21
В марте 2022 года FTC объявила об административной жалобе и предложила судебные приказы против Residual Pumpkin Entity, LLC и PlanetArt, LLC, соответственно, бывших и нынешних операторов CafePress, специализированной платформы электронной коммерции товаров.
22 В жалобе FTC задокументировано несколько неадекватных методов обеспечения безопасности данных, в том числе неспособность «внедрить политики и процедуры управления исправлениями для обеспечения своевременного устранения критических уязвимостей безопасности», неспособность «установить или обеспечить соблюдение правил, достаточных для того, чтобы учетные данные пользователя (такие как имя пользователя и пароль) трудно угадать», неспособность сообщить об инцидентах безопасности соответствующим сторонам и неадекватные «меры по предотвращению захвата учетной записи путем сброса пароля с использованием данных, о которых известно, что они были получены хакерами». 23
Несмотря на то, что запрет на недобросовестные действия зависит от конкретных фактов, опыт агентств показывает, что несоблюдение общепринятых методов обеспечения безопасности данных значительно увеличивает вероятность того, что фирма может нарушить запрет. В приведенных ниже примерах Циркуляр описывает поведение, которое, как правило, отвечает первым двум элементам претензии о несправедливости (вероятно, причиняет существенный вред потребителям, которого потребители не могут разумно избежать), и, таким образом, увеличивает вероятность того, что поведение организации повлечет за собой ответственность согласно запрет CFPA на недобросовестную практику.
1. Многофакторная проверка подлинности
Многофакторная проверка подлинности (MFA) — это усовершенствование системы безопасности, требующее нескольких учетных данных (факторов) для доступа к учетной записи. 24 Факторы делятся на три категории: то, что вы знаете, например, пароль; что-то, что у вас есть, например жетон; и что-то, чем вы являетесь, как ваш отпечаток пальца. Обычная настройка MFA предусматривает предоставление как пароля, так и временного числового кода для входа в систему. Другим фактором MFA является использование аппаратных идентификационных устройств. Многофакторная аутентификация значительно повышает уровень сложности для злоумышленников при компрометации учетных записей корпоративных пользователей и, таким образом, получении доступа к конфиденциальным данным клиентов. Решения MFA, защищающие от фишинга учетных данных, например, использующие стандарт веб-аутентификации, поддерживаемый веб-браузерами, особенно важны.
Если застрахованное лицо или поставщик услуг не требует MFA для своих сотрудников или не предлагает многофакторную аутентификацию в качестве опции для доступа потребителей к системам и учетным записям или не внедрил достаточно безопасный эквивалент, маловероятно, что организация сможет продемонстрировать, что компенсационные выгоды для потребителей или конкуренции перевешивают потенциальный вред, что влечет за собой ответственность. 25
2. Управление паролями
Несанкционированное использование паролей является распространенной проблемой безопасности данных. Комбинации имени пользователя и пароля могут продаваться в темной сети или бесплатно размещаться в Интернете, что может использоваться для доступа не только к рассматриваемым учетным записям, но и к другим учетным записям, принадлежащим потребителю или сотруднику.
Если застрахованное лицо или поставщик услуг не имеет надлежащих политик и методов управления паролями, маловероятно, что им удастся продемонстрировать компенсационные преимущества для потребителей или конкуренцию, которые перевешивают потенциальный вред, что приведет к ответственности.
26 Это включает в себя отсутствие процессов для отслеживания взломов в других организациях, где сотрудники могут повторно использовать логины и пароли (включая уведомление пользователей, когда в результате требуется сброс пароля), и включает использование корпоративных логинов по умолчанию или пароли.
3. Своевременные обновления программного обеспечения
Поставщики программного обеспечения регулярно обновляют программное обеспечение для устранения уязвимостей безопасности в программе или продукте. Когда выпускаются исправления, общественность, в том числе хакеры, узнают о предыдущих уязвимостях. Поэтому, когда компании используют общедоступное программное обеспечение, в том числе программное обеспечение с открытым исходным кодом и библиотеки с открытым исходным кодом, 27 , и не устанавливают исправление, выпущенное для этого программного обеспечения, или не предпринимают другие смягчающие меры, если исправление невозможно, они пренебрегают исправить широко известную уязвимость системы безопасности.
Как отмечается в жалобе CFPB на Equifax, неспособность Equifax в 2017 году исправить известную уязвимость привела к тому, что хакеры получили доступ к системам Equifax, которые раскрыли личную информацию почти 148 миллионов потребителей. 28
Если застрахованные лица или поставщики услуг не будут регулярно обновлять системы, программное обеспечение и код (в том числе используемые подрядчиками) или не будут обновлять их при получении уведомления о критической уязвимости, маловероятно, что им удастся продемонстрировать компенсационные преимущества. потребителям или конкуренции, которые перевешивают потенциальный ущерб, что влечет за собой ответственность. Это включает в себя отсутствие инвентаризации активов, в которых системы содержат зависимости от определенного программного обеспечения, чтобы убедиться, что программное обеспечение обновлено, и выявить потребности в исправлениях и обновлениях. Это также включает использование версий программного обеспечения, которые больше не поддерживаются их поставщиками.