FTC 就導致敏感資料外洩的資安事故向 Global Tel*Link 發出最終命令

美國聯邦貿易委員會（Federal Trade Commission, FTC） 於 2024 年 2 月 23 日宣布，已與監獄通信服務商 Global Tel*Link Corp. 及其兩家子公司達成最終協議，解決 FTC 指控其未能保護數十萬用戶的敏感資料，且未及時通知所有受影響用戶的事件。

FTC 於 2023 年 11 月首次公布的投訴中指出，位於維吉尼亞州的 Global Tel*Link 及其兩家子公司未能實施足夠的安全措施來保護用戶提供的敏感個人資料。駭客利用漏洞，存取儲存在雲端用於測試的未加密個人資料。而Global Tel*Link 於事件發生後大約 9 個月才通知受影響用戶，且僅聯繫 45,000 人告知其資料外洩風險，而實際外洩則可能影響數十萬用戶。

根據協議，Global Tel*Link 及其兩家子公司不得虛假陳述其資料安全做法，並需採取多項措施，其中包括：

• 建立和執行資訊安全計畫（Mandated Information Security Program）：Global Tel*Link必須在 60 天內建立和執行一個全面的資訊安全計畫，並定期評估、測試、調整和維護該計畫，以保護個人資訊的安全、機密和完整性。
• 接受第三方資訊安全評估（Information Security Assessments by a Third Party）：Global Tel*Link必須從一個合格、客觀、獨立的第三方專業人員那裡獲得初始和次年的資訊安全評估，並將評估報告提交給 FTC。
• 與第三方資訊安全評估者合作（Cooperation with Third-Party Information Security Assessor）：Global Tel*Link必須向評估者提供或提供與評估相關的所有資訊和材料，並向評估者揭露所有重要事實，不得以任何方式歪曲或隱瞞任何與評估有關的重要事實。
• 每年向 FTC 提交認證（Annual Certification）：Global Tel*Link必須每年向 FTC 提交一份由高級公司經理或高級主管簽署的認證，證明被告已經建立、執行和維護命令所要求的資訊安全計畫，並沒有發生任何重大的不合規情況。
• 提供信用監測和身分保護產品（Credit Monitoring and Identity Protection Product）：Global Tel*Link必須為受影響的消費者提供由獨立第三方提供的信用監測和身分保護產品，包括每日的消費者報告監測、自動警報、身分盜竊保險和客戶服務中心等服務。
• 向消費者和設施通報涵蓋事件（Covered Incident Notification to Consumers and Facilities）：Global Tel*Link必須在任何未來的涵蓋事件發生後，盡合理努力識別每個受影響的消費者，並向每個識別出的消費者提供通知，包括事件的日期、事實、影響的資訊類型、被告採取的補救措施和消費者可以獲得的資源等資訊。
• 向 FTC 報告涵蓋事件（Covered Incident Reports to the Commission ）：Global Tel*Link必須在向任何美國聯邦、州或地方實體通報涵蓋事件後的 10 天內，向 FTC 提交一份報告，包括事件的日期、事實、影響的資訊類型、受影響的消費者數量和被告採取的補救措施等資訊。