纽约当局与Equifax就2017年数据泄露事件达成和解

消费者信贷评级公司Equifax Inc.将为2017年的数据泄露事件付出代价。该事件使数百万美国人的敏感财务和个人信息遭曝光，其中包括850万纽约人。今天，纽约当局与Equifax就数据泄露事件达成和解。此次和解是由美国金融服务部(Department of Financial Services)和纽约总检察长办公室(New York Attorney Generals Office)分别对Equifax进行调查后达成的。

根据和解协议，Equifax将向美国金融服务部支付1,000万美元罚款，向纽约总检察长办公室支付920万美元——Equifax需向包括纽约在内的多个州的总检察长办公室支付总计1.75亿美元的罚款。此外，Equifax还向消费者赔偿基金(Consumer Recovery Fund)承诺支付至多4.25亿美元。

除了罚款，Equifax还将向纽约消费者提供信用监测服务和免费的年度信用报告，并将向受数据泄露影响的消费者支付赔偿金。受数据泄露影响的纽约消费者可以参加Equifax、Experian和Transunion这三家主要信用监测服务机构至少4年的信用监测，并在5年内每12个月从Equifax免费获得两份信用报告。

消费者还可以向法院指定的管理人(Administrator)提出索赔，要求赔偿数据泄露造成的某些损失。Equifax还将向消费者金融保护局(CFPB)支付5,000万美元。

美国金融服务部调查了数据泄露事件发生前和发生时Equifax的安全实践，以及宣布数据泄露后向消费者提供的服务，发现Equifax的行为违反了《多德弗兰克法案(Dodd-Frank Act)》和《金融服务法(Financial Services Law)》第408条。

美国金融服务部的调查发现，Equifax 2017年的数据泄露使纽约消费者的敏感个人信息遭到曝光，包括他们的全名、社会安全号码、出生日期、地址，以及部分消费者的信用卡号码、驾照号码和包含个人身份信息的争议文件(dispute documents)，因而有可能会对消费者和企业造成伤害，包括金融伤害。

美国金融服务部还发现，在数据泄露事件于2017年9月7日宣布后，Equifax未能向受影响的消费者提供足够的帮助，包括：

·在不经意间将消费者导向了一个并非Equifax所有的网站

·未能提醒消费者他们的数据不仅被攻击者访问，而且被窃取了

·提供了一个数据泄露网站，该网站无法让消费者确定他们是否受到此次泄露的影响

在此期间，Equifax对信息安全计划进行了内部和外部审查，确定了需要改进的地方，但未能及时执行其自身政策规定的一些安全措施。此外，公司的内部文件显示，他们意识到自己在开发和测试环境中存储了个人身份信息，使得身份盗窃、数据滥用和欺诈的风险上升。Equifax还未能加密某些消费者的个人识别信息，未能解密某些进出流量，违反了自身的政策。