Закон о защите прав потребителя 20 статья: Статья 20. Устранение недостатков товара изготовителем (продавцом, уполномоченной организацией или уполномоченным индивидуальным предпринимателем, импортером) \ КонсультантПлюс

          Такой способ защиты прав потребителей при покупке некачественного товара широкого распространения на практике не получил. Однако может возникнуть такая ситуация, когда потребитель вынужден либо сам в срочном порядке устранить недостатки, либо обратиться к третьему лицу.

          Для того чтобы требование о возмещении расходов на устранение недостатков было обоснованным, необходимо подтвердить два факта:
— в товаре действительно имелся недостаток;
— в связи с устранением этого недостатка возникли расходы.
          Первый факт может быть подтвержден свидетельскими показаниями, а также экспертным исследованием. Но экспертиза не всегда может точно установить, имелся недостаток в товаре или нет, ведь он уже устранен.

Соразмерное уменьшение покупной цены

          Это требование потребитель вправе предъявить продавцу или организации, выполняющей его функции на основании договора. Изготовителю предъявить это требование потребитель не может.

          При удовлетворении требования о соразмерном уменьшении покупной цены может возникнуть вопрос: что значит соразмерное уменьшение, какая сумма должна быть выплачена потребителю. Возможны три варианта решения вопроса.
           Вариант первый. Потребителю может быть выплачена среднерыночная стоимость устранения недостатков товара, которая определяется экспертами либо сторонами путем изучения соответствующих цен на выполнение ремонтных работ в местности, в которой проживает потребитель.
           Вариант второй. Выплате подлежит сумма, соответствующая проценту потери товарного вида или потребительских свойств товара в связи с имеющимися недостатками. При исчислении суммы, подлежащей выплате в соответствии с установленным процентом, за основу расчетов берется цена товара на момент удовлетворения требования — в случае, если товар за время, прошедшее с момента покупки, подорожал, или цены покупки— если он подешевел (п. 3 ст. 24 Закона).

Выдержка из ст. 20 Закона Республики Беларусь от 9 января 2002 г. № 90-З «О защите прав потребителей» подзаконных актов.

1. В случае реализации товара ненадлежащего качества, если его недостатки не были оговорены продавцом, потребитель вправе по своему выбору потребовать:
   1. замены недоброкачественного товара товаром надлежащего качества;
   2. соразмерного уменьшения покупной цены товара;
   3. незамедлительного безвозмездного устранения недостатков товара;
   4. возмещения расходов по устранению недостатков товара.
3. Вместо предъявления указанных в пунктах 1 настоящей статьи требований потребитель вправе расторгнуть договор розничной купли-продажи и потребовать возврата уплаченной за товар денежной суммы в соответствии с пунктом 4 статьи 27 настоящего Закона. При этом потребитель по требованию и за счет продавца должен возвратить полученный товар ненадлежащего качества. Потребитель вправе возвратить такой товар без потребительской упаковки.
4. Требования, указанные в пунктах 1 — 3 настоящей статьи, предъявляются потребителем продавцу.
5. Потребитель вправе предъявить требования, указанные в подпунктах 1.1, 1.3 и 1.4 пункта 1 настоящей статьи, изготовителю.

   Вместо предъявления указанных в части первой настоящего пункта требований потребитель вправе потребовать от изготовителя возврата уплаченной за товар денежной суммы в соответствии с пунктом 4 статьи 27 настоящего Закона. При этом потребитель по требованию и за счет изготовителя должен возвратить полученный товар ненадлежащего качества. Потребитель вправе возвратить такой товар без потребительской упаковки.
6. В случае экономической несостоятельности (банкротства) продавца (изготовителя), приостановления или прекращения его деятельности, отсутствия у потребителя достоверных сведений о продавце (изготовителе) либо в случае места нахождения (места жительства) изготовителя за пределами Республики Беларусь потребитель вправе предъявить требования, указанные в подпунктах 1.1, 1.3 и 1.4 пункта 1 настоящей статьи, поставщику, представителю.

   При невыполнении поставщиком, представителем требований потребителя, предъявленных в соответствии с частью первой настоящего пункта, потребитель вправе возвратить товар ненадлежащего качества соответственно поставщику, представителю и потребовать возврата уплаченной за товар денежной суммы в соответствии с пунктом 4 статьи 27 настоящего Закона.

   Потребитель вправе возвратить такой товар без потребительской упаковки.

7. В отношении технически сложного товара потребитель вправе предъявить требования, указанные в подпункте 1.1 пункта 1, пункте 3, части второй пункта 5 и части второй пункта 6настоящей статьи, в течение тридцати дней со дня передачи товара продавцом потребителю. По истечении указанного срока такие требования могут быть предъявлены потребителем в случае обнаружения в товаре существенного недостатка или нарушения сроков безвозмездного устранения недостатков товара.

   Перечень таких технически сложных товаров утверждается Правительством Республики Беларусь от 14.06.2002 N 778: Компьютеры персональные, планшеты, ноутбуки и периферийные устройства к ним, Телекоммуникационное оборудование бытового назначения, обладающее двумя и более функциями и имеющее сенсорный экран или элементы программного управления, Часы электронно-механические и электронные с двумя и более функциями.

8. При возврате потребителю уплаченной за товар денежной суммы продавец (изготовитель, поставщик, представитель) не вправе удерживать из нее сумму, на которую понизилась стоимость товара из-за полного или частичного использования товара, потери им товарного вида или других подобных обстоятельств, а также требовать от потребителя предъявления документа, удостоверяющего личность, за исключением случая, если при заключении договора использовались данные документа, удостоверяющего личность потребителя.
9. Потребитель вправе предъявить требование о незамедлительном безвозмездном устранении недостатков товара ремонтной организации.
10. Отсутствие у потребителя документа, подтверждающего факт приобретения товара, не является основанием для отказа в удовлетворении его требований.
    Для подтверждения факта приобретения товара могут использоваться свидетельские показания, элементы потребительской упаковки, на которых имеются отметки, подтверждающие, что приобретение товара осуществлялось у этого продавца, а также документы и другие средства доказывания, указывающие на приобретение товара у этого продавца.

11. Продавец (изготовитель, поставщик, представитель) обязан принять товар ненадлежащего качества у потребителя, а в случае необходимости — провести проверку качества товара, в том числе с привлечением ремонтной организации. Продавец (изготовитель, поставщик, представитель) обязан проинформировать потребителя о его праве на участие в проведении проверки качества товара, а если такая проверка не может быть проведена незамедлительно, — также о месте и времени проведения проверки качества товара. Ремонтная организация при получении товара от продавца (изготовителя, поставщика, представителя) для проведения проверки качества товара обязана провести такую проверкув течение трех дней со дня получения товара.
    При возникновении между потребителем и продавцом (изготовителем, поставщиком, представителем) спора о наличии недостатков товара и причинах их возникновения продавец (изготовитель, поставщик, представитель) обязан провести экспертизу товара за свой счет в порядке, установленном Правительством Республики Беларусь. О месте и времени проведения экспертизы потребитель должен быть извещен в письменной форме.

    Стоимость экспертизы оплачивается продавцом (изготовителем, поставщиком, представителем). Если в результате проведенной экспертизы товара установлено, что недостатки товара отсутствуют или возникли после передачи товара потребителю вследствие нарушения им установленных правил использования, хранения, транспортировки товара или действий третьих лиц либо непреодолимой силы, потребитель обязан возместить продавцу (изготовителю, поставщику, представителю) расходы на проведение экспертизы, а также связанные с ее проведением расходы на транспортировку товара.

    Потребитель вправе принять участие в проведении проверки качества и экспертизы товара лично или через своего представителя, оспорить заключение экспертизы товара в судебном порядке, а также при возникновении между потребителем и продавцом (изготовителем, поставщиком, представителем) спора о наличии недостатков товара и причинах их возникновения провести экспертизу товара за свой счет. Если в результате экспертизы товара, проведенной за счет потребителя, установлено, что недостатки возникли до передачи товара потребителю или по причинам, возникшим до момента его передачи, продавец (изготовитель, поставщик, представитель) обязан возместить потребителю расходы на проведение экспертизы, а также связанные с ее проведением расходы на транспортировку товара.

12. В случае, когда недостатки товара обнаружены потребителем в гарантийный срок, продавец (изготовитель, поставщик, представитель) отвечает за недостатки товара, если не докажет, что они возникли после передачи товара продавцом потребителю вследствие нарушения им установленных правил использования, хранения, транспортировки товараили действий третьих лиц либо непреодолимой силы.

    В случае, когда гарантийный срок составляет менее двух лет и недостатки товара обнаружены потребителем по истечении гарантийного срока, но в пределах двух лет со дня передачи товара продавцом потребителю, продавец (изготовитель, поставщик, представитель) отвечает за недостатки товара, если потребитель докажет, что недостатки товара возникли до его передачи потребителю или по причинам, возникшим до момента его передачи.

    Продавец (изготовитель, поставщик, представитель) отвечает за недостатки товара, на который не установлен гарантийный срок, если потребитель докажет, что недостатки товара возникли до его передачи потребителю или по причинам, возникшим до момента его передачи.

14. При передаче потребителем товара продавцу (изготовителю, поставщику, представителю) в связи с реализацией права, предусмотренного подпунктом 1.1 пункта 1 настоящей статьи, а также для проведения проверки качества товара либо экспертизы товара составляется акт передачи товара по форме, установленной Министерством антимонопольного регулирования и торговли Республики Беларусь.
15. В случае неявки потребителя за товаром после проведения проверки качества товара, экспертизы товара или безвозмездного устранения недостатков товара продавец (изготовитель, поставщик, представитель, ремонтная организация) вправе, в письменной форме предупредив потребителя, по истечении двух месяцев со дня направления такого предупреждения взыскать с потребителя убытки, понесенные в связи с хранением товара, за исключением случая, если потребитель не мог забрать товар по уважительной причине.

Законы штата, касающиеся цифровой конфиденциальности

Конфиденциальность детей в Интернете

Калифорния

Калифорния Bus. & Prof. Code §§ 22580-22582

Закон штата Калифорния о правах на неприкосновенность частной жизни несовершеннолетних в цифровом мире штата Калифорния, также называемый законопроектом о «ластике», разрешает несовершеннолетним удалять или запрашивать и добиваться удаления контента или информации, размещенной на Веб-сайт в Интернете, онлайн-сервис, онлайн-приложение или мобильное приложение. Он также запрещает оператору веб-сайта или онлайн-сервиса, предназначенного для несовершеннолетних, продавать или рекламировать несовершеннолетним определенные продукты или услуги, покупать которые несовершеннолетним запрещено по закону. Закон также запрещает продавать или рекламировать определенные продукты на основе личной информации, относящейся к несовершеннолетнему, или сознательно использовать, раскрывать, компилировать или разрешать делать это третьей стороне.

Delaware

Del. Code § 1204C

Запрещает операторам веб-сайтов, онлайн-сервисов или служб облачных вычислений, онлайн-приложений или мобильных приложений, предназначенных для детей, заниматься маркетингом или рекламой в своих интернет-сервисах определенных продуктов или услуг, не предназначенных для просмотра детьми, таких как как алкоголь, табак, огнестрельное оружие или порнография. Когда маркетинг или реклама в интернет-сервисе, предназначенном для детей, предоставляется рекламной службой, оператор интернет-сервиса обязан уведомить рекламную службу, после чего применяется запрет на маркетинг и рекламу указанных продуктов или услуг. напрямую в рекламную службу. Закон также запрещает оператору интернет-сервиса, который фактически знает, что ребенок использует интернет-сервис, использовать личную информацию ребенка для продажи или рекламы продуктов или услуг ребенку, а также запрещает раскрывать личную информацию ребенка. если известно, что личная информация ребенка будет использоваться в целях маркетинга или рекламы этих продуктов или услуг для ребенка.

e-Reader Privacy

Arizona

Arizona Rev. Stat. § 41-151.22

Предусматривает, что библиотека или библиотечная система, поддерживаемая за счет государственных средств, не должна допускать раскрытия каких-либо записей или другой информации, включая электронные книги, которые идентифицируют пользователя библиотечных услуг как запрашивающего или получающего определенные материалы или услуги или как в противном случае с помощью библиотеки.

Калифорния

Кал. правительство Code §§ 6254, 6267 и 6276.28

Защищает записи об использовании посетителем библиотеки, такие как письменные записи или электронные транзакции, которые идентифицируют информацию о заимствовании посетителем или использовании информационных ресурсов библиотеки, включая, помимо прочего, записи поиска в базе данных, записи о заимствовании , записи занятий и любые другие способы использования информации о библиотечных ресурсах или запросы, позволяющие установить личность.

Кал. Гражданский кодекс § 1798.90

Закон штата Калифорния о конфиденциальности читателей защищает информацию о книгах, которые калифорнийцы просматривают, читают или покупают в электронных службах и у интернет-магазинов книг, которые могут иметь доступ к подробной информации о читателях, например, к конкретным просматриваемым страницам. Требуется ордер на обыск, постановление суда или положительное согласие пользователя, прежде чем такая компания сможет раскрыть личную информацию своих пользователей, связанную с использованием ими книги, за определенными исключениями, включая неминуемую опасность смерти или серьезной травмы.

Делавэр

Дел. Код tit. 6, § 1206C

Защищает личную информацию пользователей цифровых книжных услуг и технологий, запрещая коммерческой организации, которая предоставляет книжные услуги населению, раскрывать личную информацию о пользователях книжных услуг правоохранительным органам, государственным органам или иные лица, за исключением определенных обстоятельств. Позволяет немедленно раскрывать информацию о книжных услугах пользователя правоохранительным органам, когда существует неминуемая опасность смерти или серьезных телесных повреждений, требующих раскрытия информации о книжных услугах, и требует от поставщика книжных услуг сохранять информацию о книжных услугах пользователя в течение определенного периода. времени по требованию правоохранительных органов. Требует, чтобы поставщик книжных услуг готовил и размещал в Интернете годовой отчет о раскрытии им личной информации, если он не освобожден от этого. Отдел защиты прав потребителей Министерства юстиции имеет право расследовать и преследовать в судебном порядке нарушения законов.

Миссури

Mo. Rev. Stat. §§ 182.815, 182.817

Дает определение «электронной книге» и «цифровому ресурсу или материалу» и добавляет их к элементам, указанным в определении «библиотечного материала», которые посетитель библиотеки может использовать, брать или запрашивать. Предусматривает, что любая третья сторона, нанятая библиотекой, которая получает, передает, поддерживает или хранит библиотечные записи, не может раскрывать или раскрывать все или часть библиотечных записей кому-либо, кроме лица, указанного в записи или по решению суда.

Политика и практика конфиденциальности для веб-сайтов или онлайн-сервисов

Калифорния

Калифорния Bus. & Prof. Code § 22575

Требует, чтобы оператор коммерческого веб-сайта или онлайн-сервиса раскрывал в своей политике конфиденциальности, как он реагирует на сигнал веб-браузера «Не отслеживать» или аналогичные механизмы, предоставляющие потребителям возможность выбора онлайн-отслеживание их личной информации на сайтах или в службах с течением времени. Он также требует, чтобы оператор раскрывал информацию о том, осуществляют ли третьи стороны такое отслеживание на сайте или в сервисе оператора.

Калифорнийский автобус. & Prof. Code § 22575-22578 (CalOPPA)

Закон штата Калифорния о защите конфиденциальности в Интернете требует от оператора, определяемого как физическое или юридическое лицо, которое собирает личную информацию от жителей Калифорнии через веб-сайт или онлайн-службу в коммерческих целях, публиковать заметную политику конфиденциальности на своем веб-сайте или онлайн-сервисе (который может включать мобильные приложения) и соблюдать эту политику. Закон, среди прочего, требует, чтобы политика конфиденциальности определяла категории личной информации, которую оператор собирает об отдельных потребителях, которые используют или посещают его веб-сайт или онлайн-сервис, а также о третьих лицах, которым оператор может делиться информацией.

Кал. Гражданский Кодекс §§ 1798.130(5), 1798.135(a)(2)(A)

Требует от некоторых компаний раскрывать определенную информацию в политике или политиках конфиденциальности в Интернете, если у компании есть политика или политики конфиденциальности в Интернете, а также в любых других правилах штата Калифорния. описание прав потребителей на неприкосновенность частной жизни или, если бизнес не поддерживает эти политики, на своем веб-сайте в Интернете и обновляет эту информацию не реже одного раза в 12 месяцев. Требует от некоторых компаний включать описание прав потребителя в соответствии с разделом 179.8.120, а также отдельную ссылку на веб-страницу «Не продавать мою личную информацию» в политиках конфиденциальности в Интернете.

Кал. Эд. Кодекс § 99122

Требует, чтобы частные некоммерческие или коммерческие высшие учебные заведения разместили политику конфиденциальности в социальных сетях на веб-сайте учреждения в Интернете.

Коннектикут

Conn. General Stat. § 42-471

Требует, чтобы любое лицо, собирающее номера социального страхования в ходе своей деятельности, разработало политику защиты конфиденциальности. Политика должна быть «общедоступна» путем публикации на веб-странице, и политика должна (1) защищать конфиденциальность номеров социального страхования, (2) запрещать незаконное раскрытие номеров социального страхования и (3) ограничивать доступ к номерам социального страхования. .

Делавэр

Дел. Код Тит. 6 § 205C

Требуется оператор коммерческого веб-сайта в Интернете, онлайн-сервиса или службы облачных вычислений, онлайн-приложения или мобильного приложения, которое собирает через Интернет личную информацию об отдельных пользователях, проживающих в Делавэре, которые используют или посещают коммерческий веб-сайт оператора в Интернете, онлайн-служба или служба облачных вычислений, онлайн-приложение или мобильное приложение, чтобы сделать свою политику конфиденциальности заметно доступной на своем веб-сайте в Интернете, онлайн-службе или службе облачных вычислений, онлайн-приложении или мобильном приложении. Оператор считается нарушителем этого подраздела только в том случае, если оператор не делает свою политику конфиденциальности заметно доступной в течение 30 дней после получения уведомления о несоблюдении. Определяет требования к политике.

Невада

NRS § 603A.340

Требует от операторов интернет-сайтов или онлайн-сервисов, которые собирают личную информацию, идентифицировать категории информации, собираемой через его интернет-сайт или онлайн-сервис о потребителях, которые используют или посещают сайт или сервис и категории третьих лиц, с которыми оператор может делиться такой информацией. Предоставляет описание процесса, если таковой существует, для отдельного потребителя, который использует или посещает веб-сайт или онлайн-службу в Интернете, чтобы просмотреть и запросить изменения любой из его или ее информации, которая собирается через веб-сайт или онлайн-службу.

Oregon

ORS § 646.607

Делает незаконной торговую практику, если лицо публикует на веб-сайте, связанном с бизнесом этого лица, или в потребительском соглашении, связанном с потребительской сделкой, заявление или представление факта, в котором лицо утверждает, что лицо определенным образом или для определенных целей будет использовать, раскрывать, собирать, хранить, удалять или распоряжаться информацией, которую лицо запрашивает, требует или получает от потребителя, и это лицо использует, раскрывает, собирает, хранит, удаляет или распоряжается информацией таким образом, который существенно не соответствует заявлению или заявлению лица.

Циркуляр по финансовой защите потребителей 2022-04: Недостаточная защита или безопасность конфиденциальной информации о потребителях

Циркуляр по финансовой защите потребителей

Недостаточная защита данных или безопасность конфиденциальной информации о потребителях

Представленный вопрос

Могут ли организации нарушать запрет на недобросовестные действия или практика в соответствии с Законом о финансовой защите потребителей (CFPA), когда они имеют недостаточную защиту данных или информационную безопасность?

Краткий ответ

Да. В дополнение к другим федеральным законам, регулирующим безопасность данных для финансовых учреждений, включая Правила гарантий, изданные в соответствии с Законом Грэмма-Лича-Блайли (GLBA), «застрахованные лица» и «поставщики услуг» должны соблюдать запрет на недобросовестные действия или практику в CFPA. Недостаточная безопасность конфиденциальной информации о потребителях, собираемой, обрабатываемой, поддерживаемой или хранимой компанией, может представлять собой недобросовестную практику, нарушающую 12 U.S.C. 5536(а)(1)(Б). Хотя эти требования часто пересекаются, они не совпадают.

Действия или действия являются несправедливыми, если они причиняют или могут причинить существенный ущерб, которого невозможно избежать или который не перевешивается компенсационными выгодами для потребителей или конкуренцией. Неадекватная политика или практика аутентификации, управления паролями или обновления программного обеспечения могут нанести существенный ущерб потребителям, которого потребители не могут разумно избежать, а финансовые учреждения вряд ли смогут успешно оправдать слабые методы обеспечения безопасности данных, основанные на компенсационных выгодах для потребителей или конкуренции. Недостаточная безопасность данных может быть недобросовестной практикой при отсутствии нарушения или вторжения.

Анализ

Широко распространенные утечки данных и кибератаки привели к значительному ущербу для потребителей, включая денежные потери, кражу личных данных, значительные затраты времени и денег на устранение последствий утечки и другие формы финансовых затруднений. К поставщикам потребительских финансовых услуг предъявляются особые требования по защите данных потребителей. В 2021 году Федеральная торговая комиссия (FTC) обновила свои Правила защитных мер, реализующие Раздел 501(b) GLBA, чтобы установить конкретные критерии, касающиеся мер безопасности, которые должны внедрять определенные небанковские финансовые учреждения в рамках своих программ информационной безопасности. ¹ Эти меры безопасности, среди прочего, ограничивают круг лиц, имеющих доступ к информации о клиентах, требуют использования шифрования для защиты такой информации и требуют назначения одного квалифицированного лица для надзора за программой информационной безопасности учреждения и предоставления отчетов не реже одного раза в год совет директоров учреждения или аналогичный руководящий орган. Федеральные банковские агентства также выпустили межведомственные инструкции по реализации Раздела 501 GLBA. ²

При определенных обстоятельствах несоблюдение этих конкретных требований может также нарушать запрет CFPA на недобросовестные действия или действия. CFPA определяет недобросовестное действие или практику как действие или практику: (1) которые наносят или могут нанести существенный ущерб потребителям, (2) которых потребители не могут разумно избежать и (3) не перевешиваются компенсационными выгодами. потребителям или конкуренции. ³

Практика наносит существенный вред потребителям, когда она причиняет значительный вред нескольким потребителям или небольшой вред многим потребителям. Например, неадекватные меры безопасности данных могут причинить значительный вред нескольким потребителям, которые в результате становятся жертвами целенаправленной кражи личных данных, или потенциально могут нанести ущерб миллионам потребителей в случае крупных утечек данных в масштабах клиентской базы. Слабые места в информационной безопасности могут привести к утечке данных, кибератакам, эксплойтам, атакам программ-вымогателей и другому раскрытию данных потребителей. ⁴

Кроме того, фактическая травма не требуется для удовлетворения этого требования в каждом случае. Достаточно также значительного риска причинения вреда. Другими словами, эта часть несправедливости встречается даже при отсутствии утечки данных. Действия, которые «могут причинить» существенный вред, в том числе неадекватные меры безопасности данных, которые еще не привели к взлому, тем не менее удовлетворяют этому критерию несправедливости. ⁵

Потребители не могут разумно избежать вреда, причиняемого сбоями безопасности данных фирмы. Как правило, у них нет возможности узнать, правильно ли реализованы соответствующие меры безопасности, независимо от раскрытия информации. Они не контролируют создание или реализацию мер безопасности организации, включая программу информационной безопасности организации. А потребителям не хватает практических средств, чтобы разумно избежать вреда в результате сбоев в защите данных. ⁶

В тех случаях, когда компании отказываются от разумных экономически эффективных мер по защите данных потребителей, таких как меры, указанные ниже, Бюро финансовой защиты потребителей (CFPB) ожидает, что риск существенного ущерба для потребителей перевесит любые предполагаемые компенсационные выгоды для потребителей или конкуренции. . CFPB не известно ни об одном случае, когда суд, применяющий стандарт несправедливости, установил, что существенный ущерб, причиненный или, вероятно, вызванный плохой практикой компании в области безопасности данных, перевешивался компенсационными выгодами для потребителей или конкуренции. ⁷ Учитывая ущерб, наносимый потребителям в результате утечек конфиденциальной финансовой информации, это неудивительно.

Соответствующий прецедент

22 июля 2019 года CFPB заявил, что Equifax нарушил запрет CFPA на недобросовестные действия или действия. ⁸ Федеральная торговая комиссия также заявила, что Equifax нарушила Закон Федеральной торговой комиссии и Правило защитных мер Федеральной торговой комиссии, которое реализует раздел 501 GLBA и устанавливает определенные требования, которые небанковские финансовые учреждения должны соблюдать для защиты финансовой информации. ⁹

В своей жалобе на Equifax CFPB заявил о несправедливом нарушении, основанном на неспособности Equifax обеспечить разумную безопасность конфиденциальной личной информации, которую она собирала, обрабатывала, хранила или хранила в компьютерных сетях. ¹⁰ В частности, Equifax нарушила запрет на недобросовестность (а также Правило защитных мер FTC), используя программное обеспечение, содержащее известную уязвимость, и не исправляя уязвимость в течение более четырех месяцев. Хакеры воспользовались этой уязвимостью, чтобы украсть более 140 миллионов имен, дат рождения и SSN, а также миллионы телефонных номеров, адресов электронной почты и физических адресов, а также сотни тысяч номеров кредитных карт и сроков их действия. ¹¹

До рассмотрения дела Equifax действия правоохранительных органов, связанные с неадекватной аутентификацией, влекли за собой ответственность в соответствии с Законом о Федеральной торговой комиссии, запрещающим недобросовестные действия. В 2006 году FTC подала в суд на процессор онлайн-чеков Qchex и связанные с ним организации за нарушение Закона FTC. Федеральная торговая комиссия заявила, что создание и доставка чеков без проверки того, что лицо, запрашивающее чек, уполномочено выписывать чеки на соответствующий банковский счет, было недобросовестным. ¹² Qchex создала чеки «даже если имя клиента отличалось от имени на банковском счете, указанном в чеках, или от имени на счете кредитной карты, который клиент использовал для оплаты услуг [Qchex]». ¹³

Даже после настройки определенных процедур проверки личности Qchex обходит эти процедуры для некоторых клиентов. ¹⁴ В конце концов, суд заметил, что «недобросовестным авантюристам было несложно получить информацию о личности и выписывать чеки со счетов, которые им не принадлежали». ¹⁵ Этот суд подтвердил, что Qchex нанесла ущерб потребителям, создав и доставив непроверенные чеки в нарушение раздела 5 Закона о Федеральной торговой комиссии. ¹⁶ Внедрение практики, основанной на здравом смысле, включая те, которые теперь требуются в соответствии с правилом безопасности FTC, защищает потребителей от травм и, в свою очередь, снижает потенциальную ответственность для бизнеса.

Ответственность за недобросовестные действия или действия также наступает в контексте управления паролями и регулярных обновлений программного обеспечения. В 2012 году FTC подала в суд на несколько организаций, связанных с гостиничной компанией Wyndham, за их неспособность «применить разумные и надлежащие меры для защиты личной информации от несанкционированного доступа» в нарушение Закона FTC о запретах на вводящие в заблуждение и недобросовестные действия и методы. ¹⁷ Неадекватные методы защиты данных включали «использование устаревших операционных систем, которые не могли получать обновления безопасности или исправления для устранения известных уязвимостей безопасности», серверы, которые использовали «хорошо известные идентификаторы пользователя и пароли по умолчанию… которые были легко доступны хакерам через простые Интернет-поиск» и политики управления паролями, которые не требовали «использования сложных паролей для доступа к системам управления собственностью отелей под брендом Wyndham и позволяли использовать легко угадываемые пароли». ¹⁸

Федеральная торговая комиссия заявила, что из-за этих и других несовершенных мер безопасности «злоумышленники смогли получить несанкционированный доступ к компьютерной сети [Wyndham]… в трех отдельных случаях» и получить «номера счетов платежных карт клиентов, срок действия даты и коды безопасности». ¹⁹ Один из таких инцидентов привел к «компрометации более 500 000 счетов платежных карт и экспорту сотен тысяч номеров счетов платежных карт потребителей в домен, зарегистрированный в России». ²⁰ Когда компания Wyndham заявила, что вопросы безопасности данных выходят за рамки полномочий FTC по борьбе с недобросовестностью, суды подтвердили, что «FTC имеет полномочия регулировать кибербезопасность в соответствии с разделом 5(a) Закона FTC и организации должным образом уведомлены о том, что проблемы кибербезопасности могут привести к нарушению этого положения. ²¹

В марте 2022 года FTC объявила об административной жалобе и предложила постановления о согласии против Residual Pumpkin Entity, LLC и PlanetArt, LLC, соответственно, бывших и нынешних операторов CafePress, специализированной платформы электронной коммерции товаров. ²² В жалобе FTC задокументировано несколько неадекватных методов обеспечения безопасности данных, в том числе неспособность «внедрить политики и процедуры управления исправлениями для обеспечения своевременного устранения критических уязвимостей безопасности», неспособность «установить или обеспечить выполнение правил, достаточных для того, чтобы учетные данные пользователя (такие как имя пользователя и пароль) трудно угадать», неспособность сообщить об инцидентах безопасности соответствующим сторонам и неадекватные «меры по предотвращению захвата учетной записи путем сброса пароля с использованием данных, о которых известно, что они были получены хакерами». ²³

Несмотря на то, что запрет на недобросовестные действия зависит от конкретных фактов, опыт агентств показывает, что несоблюдение общепринятых методов обеспечения безопасности данных значительно увеличивает вероятность того, что фирма может нарушить запрет. В приведенных ниже примерах Циркуляр описывает поведение, которое, как правило, отвечает первым двум элементам претензии о несправедливости (вероятно, причиняет существенный вред потребителям, которого потребители не могут разумно избежать), и, таким образом, увеличивает вероятность того, что поведение организации повлечет за собой ответственность согласно запрет CFPA на недобросовестную практику.

1. Многофакторная проверка подлинности

Многофакторная проверка подлинности (MFA) — это усовершенствование системы безопасности, требующее нескольких учетных данных (факторов) для доступа к учетной записи. ²⁴ Факторы делятся на три категории: то, что вы знаете, например, пароль; что-то, что у вас есть, например жетон; и что-то, чем вы являетесь, как ваш отпечаток пальца. Обычная настройка MFA предусматривает предоставление как пароля, так и временного числового кода для входа в систему. Другим фактором MFA является использование аппаратных идентификационных устройств. Многофакторная аутентификация значительно повышает уровень сложности для злоумышленников при компрометации учетных записей корпоративных пользователей и, таким образом, получении доступа к конфиденциальным данным клиентов. Решения MFA, защищающие от фишинга учетных данных, например, использующие стандарт веб-аутентификации, поддерживаемый веб-браузерами, особенно важны.

Если застрахованное лицо или поставщик услуг не требует MFA для своих сотрудников или не предлагает многофакторную аутентификацию в качестве опции для доступа потребителей к системам и учетным записям или не внедрил достаточно безопасный эквивалент, маловероятно, что организация сможет продемонстрировать, что компенсационные выгоды для потребителей или конкуренции перевешивают потенциальный вред, что влечет за собой ответственность. ²⁵

2. Управление паролями

Несанкционированное использование паролей является распространенной проблемой безопасности данных. Комбинации имени пользователя и пароля могут продаваться в темной сети или бесплатно размещаться в Интернете, что может использоваться для доступа не только к рассматриваемым учетным записям, но и к другим учетным записям, принадлежащим потребителю или сотруднику.

Если застрахованное лицо или поставщик услуг не имеет надлежащих политик и методов управления паролями, маловероятно, что им удастся продемонстрировать компенсационные преимущества для потребителей или конкуренцию, которые перевешивают потенциальный вред, что приведет к ответственности. ²⁶ Это включает в себя отсутствие процессов для отслеживания взломов в других организациях, где сотрудники могут повторно использовать логины и пароли (включая уведомление пользователей, когда в результате требуется сброс пароля), а также использование корпоративных логинов по умолчанию или пароли.

3. Своевременные обновления программного обеспечения

Поставщики программного обеспечения регулярно обновляют программное обеспечение для устранения уязвимостей безопасности в программе или продукте. Когда выпускаются исправления, общественность, в том числе хакеры, узнают о предыдущих уязвимостях. Поэтому, когда компании используют общедоступное программное обеспечение, в том числе программное обеспечение с открытым исходным кодом и библиотеки с открытым исходным кодом, ²⁷ , и не устанавливают исправление, выпущенное для этого программного обеспечения, или не предпринимают другие смягчающие меры, если исправление невозможно, они пренебрегают исправить широко известную уязвимость системы безопасности. Как отмечается в жалобе CFPB на Equifax, неспособность Equifax в 2017 году исправить известную уязвимость привела к тому, что хакеры получили доступ к системам Equifax, которые раскрыли личную информацию почти 148 миллионов потребителей. ²⁸

Если лица или поставщики услуг, на которые распространяется действие страховки, не обновляют регулярно системы, программное обеспечение и код (в том числе используемые подрядчиками) или не обновляют их при получении уведомления о критической уязвимости, маловероятно, что им удастся продемонстрировать компенсационные преимущества. потребителям или конкуренции, которые перевешивают потенциальный ущерб, что влечет за собой ответственность. Это включает в себя отсутствие инвентаризации активов, в которых системы содержат зависимости от определенного программного обеспечения, чтобы убедиться, что программное обеспечение обновлено, и выявить потребности в исправлениях и обновлениях. Это также включает использование версий программного обеспечения, которые больше не поддерживаются их поставщиками.