Подробный разбор
Пошаговый разбор
Шаг 1. Отчеты FTC о краже личных данных: нормативный триггер
Отчет FTC о краже личных данных является основополагающим документом в федеральной системе споров по краже личных данных. Создаваемый через IdentityTheft.gov (теперь управляется в рамках потребительского портала FTC), отчет генерирует уникальный номер дела и предзаполненную аффидевит, которая удовлетворяет требованиям FCRA §605B и FACT Act. Без этого отчета потребители, пытающиеся использовать права на блокировку, сталкиваются со значительно более высокими требованиями к доказательствам. С ним кредитные бюро и поставщики данных обязаны заблокировать мошенническую информацию в течение четырех рабочих дней.
Данные FTC показывают, что агентство получило 1,4 миллиона отчетов о краже личных данных в 2023 году, что больше по сравнению с 1,1 миллиона в 2022 году и всего 651 000 в 2019 году. Мошенничество с кредитными картами и мошенничество с государственными документами/льготами были двумя крупнейшими категориями, составляя 40% и 26% отчетов соответственно. Consumer Sentinel Network FTC, которая агрегирует данные о краже личных данных от FTC, FBI IC3, генеральных прокуроров штатов и других источников, зарегистрировала 5,7 миллиона общих отчетов о мошенничестве в 2023 году, из которых кража личных данных составила примерно 25%.
Существует критическое различие между отчетом FTC о краже личных данных и полицейским рапортом. До FACT Act потребители нуждались в полицейском рапорте для использования большинства мер защиты от кражи личных данных. Многие полицейские департаменты отказывались принимать рапорты о краже личных данных, особенно когда жертва находилась в другой юрисдикции, чем преступник. Отчет FTC был разработан для заполнения этого пробела — он принимается всеми тремя бюро и поставщиками данных как замена полицейскому рапорту. Однако некоторые кредиторы и коллекторы все еще запрашивают полицейские рапорты, и CFPB разъяснило в Bulletin 2017-01, что одного отчета FTC о краже личных данных достаточно для запуска обязательств FCRA по блокировке.
- Отчет FTC о краже личных данных запускает обязательную блокировку в течение 4 рабочих дней согласно FCRA §605B
- 1,4 миллиона отчетов о краже личных данных подано в FTC в 2023 году; 40% касались мошенничества с кредитными картами
- Создается на IdentityTheft.gov, отчет генерирует уникальный номер дела и предзаполненную аффидевит
- CFPB Bulletin 2017-01: одного отчета FTC о краже личных данных достаточно — полицейский рапорт не требуется
- Consumer Sentinel Network зарегистрировала 5,7 миллиона общих отчетов о мошенничестве в 2023 году; кража личных данных составила 25% от общего числа
Шаг 2. Блокировка по FCRA §605B: механизм обязательного удаления
Section 605B FCRA (добавленный FACT Act в 2003 году) создает самый мощный механизм удаления, доступный жертвам кражи личных данных. Когда потребитель подает отчет о краже личных данных, копию отчета (или номер отчета FTC), подтверждение личности и заявление, идентифицирующее мошенническую информацию, кредитное бюро должно заблокировать указанные пункты в течение четырех рабочих дней. Блокировка предотвращает появление информации в кредитном отчете потребителя и запрещает бюро перепродавать или перераспределять ее.
Обязательство по блокировке не является дискреционным. В отличие от стандартного спора согласно §611, где бюро расследует и может подтвердить информацию, блокировка по §605B запускается подачей отчета о краже личных данных — бюро не проверяет независимо, произошла ли кража личных данных, перед блокировкой. Единственным основанием для отказа в блокировке является случай, когда бюро 'обоснованно определяет', что отчет о краже личных данных был подан по ошибке, спор является существенно неточным или потребитель получил товары или услуги, связанные с заблокированным счетом. Бремя доказательства лежит на бюро, чтобы подтвердить одно из этих исключений.
Однако механизм блокировки имеет значительный пробел: он обращается к кредитному отчету, но не к основному долгу. Заблокированная торговая линия не устраняет претензию коллектора или предотвращает будущую коллекторскую деятельность через каналы, отличные от кредитной отчетности. Потребители, которые успешно заблокировали мошеннический счет, должны также отправить письменный спор коллектору, ссылаясь на кражу личных данных, включить копию отчета FTC и потребовать, чтобы коллектор прекратил взыскание согласно FDCPA §1692c и проверил долг согласно §1692g. Этот двухтрековый подход — блокировка в бюро и спор с коллектором — необходим для решения всего спектра проблемы.
- §605B требует от кредитных бюро блокировать пункты кражи личных данных в течение 4 рабочих дней после получения необходимой документации
- Блокировка обязательна при правильной подаче — расследование не требуется перед блокировкой
- Бюро может отказать только если оно обоснованно определяет, что отчет был подан по ошибке, является существенно неточным или потребитель получил товары/услуги
- Блокировка удаляет информацию из кредитного отчета, но не устраняет основную претензию по долгу
- Потребители должны отдельно спорить с коллектором, чтобы остановить коллекторскую деятельность по мошенническим счетам
Шаг 3. Расширенные уведомления о мошенничестве: 7-летняя защита согласно FCRA §605A
FCRA §605A предоставляет два уровня уведомлений о мошенничестве. Первоначальное уведомление о мошенничестве (§605A(a)) длится один год и требует только заявления о добросовестной вере, что кража личных данных произошла или неизбежна. Расширенное уведомление о мошенничестве (§605A(b)) длится семь лет и требует подачи отчета о краже личных данных. Оба типа инструктируют кредиторов предпринимать разумные шаги для проверки личности потребителя перед предоставлением нового кредита — обычно звоня по номеру телефона, который предоставляет потребитель. Economic Growth, Regulatory Relief, and Consumer Protection Act (2018) продлил первоначальное уведомление с 90 дней до одного года.
Практическая эффективность уведомлений о мошенничестве зависит от соблюдения кредиторами требований. Согласно §605A(h), любой кредитор, который предоставляет кредит без соблюдения процедур проверки в уведомлении о мошенничестве, несет ответственность за получившийся долг. Однако исследование FTC 2014 года показало, что соблюдение кредиторами требований по проверке уведомлений о мошенничестве было непоследовательным: примерно 30% опрошенных кредиторов не имели систематических процессов проверки уведомлений о мошенничестве перед одобрением заявок. CFPB не проводило последующего исследования, но данные жалоб предполагают, что пробел в соблюдении требований сохраняется.
Одно часто упускаемое из виду преимущество расширенных уведомлений о мошенничестве: они дают потребителю право на два бесплатных кредитных отчета в год от каждого бюро (дополнительно к ежегодному бесплатному отчету согласно §612). Это означает, что жертва кражи личных данных с расширенным уведомлением может получить доступ к девяти бесплатным отчетам бюро в год (три ежегодных плюс шесть дополнительных), обеспечивая частый мониторинг без затрат. Согласно расширению CARES Act (продленному до 2026 года), еженедельные отчеты уже доступны бесплатно, что делает это преимущество несколько избыточным в текущей среде — но оно снова станет актуальным, когда программа еженедельных бесплатных отчетов истечет.
- Первоначальное уведомление о мошенничестве: 1 год, требует только заявления о добросовестной вере (продлено с 90 дней в 2018 году)
- Расширенное уведомление о мошенничестве: 7 лет, требует подачи отчета о краже личных данных
- §605A(h): кредиторы, которые предоставляют кредит без соблюдения процедур проверки уведомлений о мошенничестве, несут ответственность
- FTC (2014): ~30% кредиторов не имели систематических процессов проверки уведомлений о мошенничестве перед одобрением заявок
- Расширенные уведомления предоставляют 2 дополнительных бесплатных кредитных отчета на бюро в год сверх стандартного ежегодного права
Шаг 4. Заморозки безопасности против уведомлений о мошенничестве: нормативные различия
Заморозка безопасности (заморозка кредита) согласно FCRA §605A(i)-(j), добавленная Economic Growth Act 2018 года, запрещает бюро выдавать кредитный отчет потребителя новым кредиторам без явного разрешения потребителя. В отличие от уведомления о мошенничестве, которое является уведомлением, которое кредиторы могут игнорировать (на свой правовой риск), заморозка является жесткой блокировкой — бюро не может выдать файл. Заморозки бесплатны согласно федеральному закону с сентября 2018 года; до этого бюро брали до $10 за заморозку за бюро в большинстве штатов.
Операционное различие важно для жертв кражи личных данных. Уведомление о мошенничестве говорит 'позвоните для проверки перед одобрением'. Заморозка говорит 'не выдавайте этот файл'. Для потребителей, которые пережили кражу личных данных и хотят предотвратить новые мошеннические счета, заморозка является более эффективным инструментом. Однако заморозки создают трение, когда потребитель подает заявку на законный кредит — потребитель должен временно снять или 'разморозить' заморозку с каждым бюро перед тем, как кредитор сможет получить отчет. Разморозка может быть выполнена онлайн, по телефону или по почте и должна вступить в силу в течение одного рабочего дня согласно §605A(i)(1)(C).
Распространенная ошибка — предполагать, что заморозка останавливает всю деятельность по краже личных данных. Заморозки предотвращают мошенничество с новыми счетами (кто-то открывает счета на ваше имя), но не предотвращают: захват существующих счетов (мошеннические списания со счетов, которые у вас уже есть), мошенничество с налоговыми возвратами (подача ложной налоговой декларации, используя ваш SSN), мошенничество с трудоустройством или медицинскую кражу личных данных. FTC рекомендует многоуровневый подход: заморозка со всеми тремя бюро плюс расширенное уведомление о мошенничестве плюс мониторинг существующих счетов плюс IRS Identity Protection PIN. Ни одна мера не покрывает все векторы кражи личных данных.
- Заморозка безопасности: жесткая блокировка выдачи файла, бесплатная с сентября 2018 года согласно федеральному закону
- Уведомление о мошенничестве: уведомление кредиторам о необходимости проверки, но не предотвращает выдачу файла
- Заморозки должны быть разморожены в течение 1 рабочего дня, когда потребитель запрашивает это (§605A(i)(1)(C))
- Заморозки предотвращают мошенничество с новыми счетами, но не захват существующих счетов, налоговое мошенничество или медицинскую кражу личных данных
- FTC рекомендует многоуровневый подход: заморозка + расширенное уведомление о мошенничестве + мониторинг счетов + IRS IP PIN
Шаг 5. Обязательства бюро и поставщиков данных после заявления о краже личных данных
Помимо блокировки, FCRA §605B накладывает цепь обязательств. Когда бюро блокирует информацию на основе отчета о краже личных данных, оно должно уведомить поставщика данных о том, что блокировка установлена. Поставщик данных должен затем прекратить сообщать заблокированную информацию любому бюро и не должен продавать, передавать или направлять на взыскание долг, связанный с заблокированным счетом. Нарушение этого запрета составляет умышленное нарушение FCRA согласно §616, влекущее установленные законом ущербы $100-$1,000, плюс фактические и штрафные ущербы.
Принуждение CFPB сосредоточилось на поставщиках данных, которые повторно сообщают заблокированные счета. Согласительное постановление Бюро 2022 года против крупного банка (штраф $3,5 миллиона) касалось автоматической системы банка, повторно сообщающей счета, которые были заблокированы бюро из-за заявлений о краже личных данных. Система банка не имела флага для предотвращения повторного сообщения после блокировки, заставляя счета циклически переходить между заблокированным и сообщаемым статусом в течение месяцев. Постановление требовало от банка внедрить системные контроли, предотвращающие автоматическое повторное сообщение любого счета, подлежащего блокировке из-за кражи личных данных.
Для потребителей правоприменительный ландшафт означает, что документация имеет первостепенное значение. Каждое сообщение — отчет FTC, запрос на блокировку каждому бюро, подтверждение блокировки бюро, любое последующее повторное сообщение заблокированной информации и спор с поставщиком данных — должно быть сохранено. Согласно FACT Act §151(b), жертвы кражи личных данных также имеют право запрашивать копии заявлений и записей деловых транзакций, связанных с мошенническими счетами, от кредиторов, которые их открыли. Эти записи могут идентифицировать преступника и служить доказательством, если дело направляется в правоохранительные органы.
- После блокировки бюро должно уведомить поставщика данных; поставщик данных должен прекратить сообщение и прекратить взыскание по заблокированному счету
- Нарушение запрета на повторное сообщение является умышленным нарушением FCRA согласно §616 ($100-$1,000 установленных законом ущербов)
- Согласительное постановление CFPB 2022 года ($3,5M) против банка за автоматическое повторное сообщение заблокированных из-за кражи личных данных счетов
- FACT Act §151(b): жертвы кражи личных данных могут запрашивать копии мошеннических заявлений и записей транзакций от кредиторов
- Сохраняйте каждый документ: отчет FTC, запрос на блокировку, подтверждение бюро, доказательства повторного сообщения, споры с поставщиками данных
