美国FinCEN如何成为敏感个人数据的蜜罐,由于银行业对可疑活动报告的防御性提交,情况变得更糟
这可能是金融机构最近向美国金融犯罪执法网络(FinCEN)提交的2,000多个可疑活动报告(SAR)的数据转储中最被忽视却令人不安的含义。
BuzzFeed News的一个调查系列(称为FinCEN文件)着眼于大型银行使用SAR来避免对潜在非法交易承担责任的方式。但是泄漏引发了有关数据隐私的更大问题:SAR包含哪些个人数据,保留了多长时间,政府是否真正在保护它?
通过注册,您将收到有关CoinDesk产品的电子邮件,并且您同意我们的条款&条件和隐私政策。
CoinDesk采访了众多律师和法规遵从专家,包括前FinCEN员工,但没有人能提供政府保留SAR数据多长时间的具体细节。大多数人怀疑该信息是否曾经被实际删除。
总体而言,这些对话描绘了坐在大量数据之上的人手不足的机构。由于金融机构仅需要报告大型交易或潜在的可疑交易,因此它们还收集未犯罪个人的数据。
Melissa G.R.说:“您已经在数据库中获得了个人,私人信息以及有关行为的指控。” Goldstein,FinCEN的前律师顾问,现在是金融律师事务所Schulte Roth& amp;的特别法律顾问。 Zabel。 “仅仅因为某人在SAR中被任命并不一定意味着他们犯了刑事罪。”
FinCEN没有回答本文的多次采访请求,也没有回答包括数据安全程序以及SAR或货币交易报告(CTR)保留在数据库中多长时间的一系列问题。
FinCEN成立于1990年,负责预防和检测洗钱活动。这意味着它维护着庞大的特别行政区数据库,其中提供了有关涉嫌洗钱或欺诈事件的详细文档。
根据财政部网站的说法,FinCEN的最初任务是“提供一个遍及整个政府的,多来源的情报和分析网络,以支持对国内和国际洗钱及其他金融犯罪的侦破,调查和起诉。”根据2001年的《爱国者法案》,它成为了美国财政部的一个部门,减轻恐怖分子的资助成为其职责范围的重要组成部分。
SAR旨在记录银行认为与众不同的任何事物。提交后,它们会包含有关个人的详细信息。
数字资产交换运营商CrossTower的首席合规官Vanessa Williams在电话采访中说,这些文件“包括姓名,地址,出生日期,社会保险号以及涉嫌活动的描述。如果有间接证据,建议您提供这些证据,其中可能包括职业信息。”
这些信息将收集到所有相关各方的信息,以及诸如护照或驾照号码,相关日期以及可疑活动的代码等详细信息。
在美国,例如,如果涉嫌进行内幕交易,潜在的洗钱活动或违反《银行保密法》,则必须提起SAR。出现计算机黑客入侵或经营无牌货币服务业务的客户的证据也自动需要SAR。
但是也可以记录潜在的无害交易。 10,000美元或以上的任何现金存款都会触发向FinCEN提交CTR,并且如果银行员工认为可疑,可以与SAR结合使用。如果银行发现涉及$ 5,000或以上的可疑交易,则必须提交SAR。以避免达到点击率阈值的方式将存款分成较小的数量是犯罪。点击率包括个人信息,例如社会保障和驾驶执照号码。
关于提高触发点击率的金额的讨论一直在进行,但是诸如反恐和非法金融法的法案于2018年出台,该法案将起征点从10,000美元提高至30,000美元,但没有通过。该法案还提议将必须提交特别行政区的时限从5,000美元提高到10,000美元。
实际上,FinCEN正试图朝相反的方向发展,以寻求捕获更多数据。它建议降低“旅行规则”门槛,即银行必须收集和存储资金转账信息的交易金额。正如CoinDesk报道的那样,其提议将任何离开美国的转账的最低金额从3,000美元降低至250美元。
同时,BuzzFeed声称,备案特别行政区为金融机构提供了“近乎豁免权”,这些金融机构即使在向监管机构发出警告后,仍继续为与黑幕有关的货币变动提供便利,并从中收取费用。
BuzzFeed泄露的文件表明,尽管在某些情况下提交了多个SAR,但并未针对SAR所基于的银行或个人或实体采取任何措施。
BuzzFeed报道:“有些银行将SAR视为一种摆脱困境的卡,对大量交易发出警报,而实际上并没有阻止它们。”
根据该机构的说法,FinCEN在2011年至2017年间收到了来自各行各业的1200万特区。仅在2019年,它就被发送了200万个,或者一天将近5500个。这些报告必须在报告后由银行保存五年。
卡尔顿菲尔德律师事务所的股东迈克尔·耶格(Michael Yaeger)表示:“我认为,在政府层面上并没有认真考虑数据保留问题。”他专注于政府调查和网络安全事务。 “他们指定在银行一级保留多长时间,但政府没有规定。这不是破坏数据的习惯。”
FinCEN的任务是获取和传播数据。 2012年,FinCEN收集了所有数据,包括搜救报告中包含的个人详细信息,并使其变得电子化且可搜索,这意味着具有资质的执法人员可以按狭窄或宽泛的参数搜索某人的社会保险号或姓名,并获取与之相关的所有数据。给他们。根据FinCEN,该数据库包含3亿份报告的详细信息。
戈德斯坦(Goldstein)是团队的一员,负责监督她从2009年到2013年在FinCEN任期结束时的过渡。
在BSA电子归档系统于2013年启用后,银行可以以数字方式提交SAR档案。具有访问凭证的执法人员也可以登录并按社会安全号码,姓名,日期和邮政编码进行搜索。他们还可以缩小搜索参数以获取特定的报告和信息。
戈德斯坦说,FinCEN陷入困境,因为其使命是“收集,分析并向执法和监管机构传播信息”。
FinCEN在其网站上概述了执法部门从其收集的财务数据中获得的收益:
“与执法机构和情报界收集的其他数据结合使用时,FinCEN数据将允许调查人员通过以下信息更全面地识别各个受试者,从而帮助他们将调查中的问题联系起来:以前未知的地址;企业和个人协会;银行模式;出行方式;和沟通方式。”
FinCEN中有一群人,他们的工作是搜寻每个登录凭证,由该登录凭证执行的每个搜索以及其他活动。从理论上讲,每个美国检察官办公室只有几个人可以访问该系统。但是,这些内部预防措施仍不能防止不良行为者入侵或泄漏数据。自2017年以来,已经发生了三起引人注目的SAR泄漏。
DLx Law联合创始人,区块链软件公司Digital Asset的前首席法律和合规官Angela Angelovska-Wilson说:“毫无疑问,任何存储数据的中央机构都被视为蜜罐。” “政府可能是那里最好,最大的蜜罐之一。”
她指出,3月份发布的《网络空间日光浴室委员会报告》是担心政府数据安全的原因。
Angelovska-Wilson说:“它对我们的政府系统(例如金融系统和其他关键基础设施)的状态进行了非常令人担忧的分析。” “他们对现代网络安全战争没有做好充分的准备。因此,对于FinCEN,就SAR数据而言,它将被视为一个绝佳的蜜罐吗?我个人认为,绝对。”
Yaeger得知人事管理办公室(OPM)被黑时,曾是美国助理律师。这次入侵主要归因于中国人民解放军。
他在电话中说:“我有一份国家安全调查表,其中我必须填写24页,其中包含很多信息。” “就像其他填写表格的人一样,我不得不在那里过很多细节,包括家人的生活。”
他说,由于违反了OPM,他相信那24页数据现在掌握在中国政府手中。
“是否需要更多资源来保护数据? FinCEN的Goldstein说。
多个执法机构的参与也创造了一种动态,可以更广泛地共享数据。由于处理实体的数量众多,因此在各个执法部门和政府机构中这样做会带来更大的风险。
Yaeger说,FinCEN存储的数据可用于查看SAR中记录了哪些资金流。您可以查看特定的银行来源以查看其活动,也可以出于其他原因重新使用数据。
Yaeger表示:“这是进入金融系统的窗口,特别是标记为潜在非法活动的窗口。” “因此,无论它有什么用途,无论是个别罪犯看到‘哦,是的,他们是在我身上”,还是可以用来对付他人的勒索材料,限制的确取决于您的想象力。”
除非公司将数据保留规定的五年期限,否则将对其处以罚款。尚不清楚FinCEN本身存储数据的时间。 Angelovska-Wilson和Yaeger都表示他们怀疑数据是否曾被删除。
“对于保留问题,通常没有太多关注,因为总的来说,我们需要数据,对吗?大数据的第一条规则是获取大量数据。” Yaeger说。
银行已经提交了越来越多的特别行政区,在过去十年中,特别行政区的数量几乎增加了一倍。
Angelovska-Wilson表示,金融机构一直在进行更具防御性的SAR备案,将原本经过深思熟虑的过程变成了类似于仅检查复选框的过程。本质上,其想法是,银行正在申请大量特区,以保护自己免于承担责任或因可能违反BSA而受到罚款。
即使只是不寻常的交易,为了以防万一,合规官也有权酌情提出SAR。现在,即使您是守法公民,您也可以享有全部个人信息的SAR。
Angelovska-Wilson表示,金融机构现在提交的文件太多,导致“数据雪崩”。
随着提交给FinCEN的SAR数量增加,该部门本身也在萎缩。 FinCEN员工同期减少了10%,目前大约有300名员工。
由于金融交易具有24小时的性质,执法部门要求遵守法规的压力以及基本的睡眠需求,因此,在决定提交何种文件或文件时,金融机构的法规执行人员的工作并不轻松。不。因此数据一直在传来。
“ [SARs]数据的使用与其他大规模监视计划的数据一样,”前联邦调查局特工,国家安全和隐私专家Michael German告诉Buzz Fed。 “找到出于任何原因想要得到的人,然后筛选收集的大量数据,找到可以与之联系的任何东西。”
披露CoinDesk是区块链新闻的领导者,是一家致力于追求最高新闻标准并遵守一套严格的编辑政策的媒体机构。 CoinDesk是Digital Currency Group的独立运营子公司,该公司投资于加密货币和区块链初创公司。
