案件指控Retina X的产品制造了安全隐患并侵犯消费者隐私权

2019年10月22日,联邦贸易委员会(Federal Trade Commission,以下简称“FTC”)发布声明,禁止三款监控消费者移动设备位置App的开发者继续销售该等App。FTC认为三款App损害了消费者的隐私权以及移动设备的安全性。

FTC同时要求Retina-X Studios,LLC(以下简称“Retina-X”)及其负责人James N. Johns, Jr. (以下简称“Johns”)删除该等App中收集的数据,并在采取足够措施确保App仅用于合法的目且安装App不会损害设备的安全保护屏障前,禁止推广、销售或上线任何监控类产品。

FTC消费者保护局局长Andrew Smith表示,这是他们首次对所谓的“追踪App”采取行动,“尽管追踪手机位置可能有合法的理由,但这些App却被设计成能在后台偷偷运行并且引发非法和危险的使用。在这种情况下,我们将要求App开发者对设计并销售此等危险产品负责。”

FTC认为,Retina-X和Johns未经移动设备用户的知情或同意,允许App的购买者监控安装了该App的移动设备地理位置。例如,Retina-X和Johns的“Mobile Spy”的App可以监控员工和儿童位置;PhoneSheriff App和TeenShield App可以监控儿童使用的移动设备定位。截至2018年Retina-X公司停止销售前,三款App已经卖出了超过15000份。

在安装App时,购买者需要绕过移动设备生产商设置的限制。FTC认为,这将导致设备的安全性降低并可能导致用户失去对移动设备厂家的保修主张。此外,尽管Retina-X在其法律政策中声称这些App旨在监视员工和儿童,但Retina-X并未采取任何措施来确保其App仅用于这些目的。

FTC的诉状中称,每个App都向购买者提供了如何在移动设备主屏幕上删除该App图标的说明,从而导致使用该设备的使用者不知道该App已经安装在该设备上,同时面临因安装该App导致的安全漏洞。App的购买者则能够获取设备使用者的敏感信息,包括用户的身体移动和线上活动轨迹。

此外,Retina-X和Johns未能充分保护从移动设备收集的信息。Retina-X将其大部分产品的开发和维护外包给第三方,却未能采用和实施合理的信息安全制度和程序对其App进行安全测试或对第三方服务提供商进行监督。

尽管存在诸多隐患,这三个App的法律政策均宣称“我们已安全保护您的私人信息”。FTC诉称,黑客在2017年2月至2018年两次成功访问该公司的云存储账户,并删除某些信息。其中一次黑客访问了PhoneSheriff和TeenShield两个App收集的数据,包括登录用户名、加密的登录密码、短信、GPS位置、联系人和照片。然而,Retina-X和Johns直到2017年4月收到记者联络时才知道其系统被黑客入侵。

FTC认为,Retina-X和Johns违反了《FTC法案》禁止的不公平和欺骗行为和《儿童在线隐私保护法》(Children’sOnline Privacy Protection Act, 以下简称“COPPA”)。根据COPPA的规定,运营商须保护收集的13岁以下儿童的信息。Retina-X收集了儿童的GPS、短信和其他的个人信息,却没有尽到保护义务,违反了COPPA的相关规定。

根据审议的和解协议,Retina-X和Johns必须要求App的购买者作出声明,确定App仅用于监控儿童或员工,或获得另一名成年人的书面同意。此外,Retina-X和Johns必须确保在移动设备屏幕上设置带有App图像和App名称的图标。除非由未成年人的父母或法定监护人移除外,任何人均不可删除该图标。同时,Retina-X和Johns不得违反COPPA的规定,歪曲他们对隐私和个人信息的保护程度。

此外,FTC要求Retina-X和Johns采取措施全面保障其收集的个人信息的隐私和安全,解决FTC的诉状中确定的安全问题,并每两年对其信息安全计划进行评估。评估须由第三方完成,评估者须明确支持其结论的证据,并独立进行取样、员工访谈和文件审查。此外,公司须制定一位负责监督信息安全计划的高管,以监督每年的信息安全计划的合规性。最后,该命令收取每两年审核该公司评估的权利。

FTC以5-0的投票同意了Retina-X和Johns提出的和解协议。FTC将在《联邦公报》(Federal Register)上发布对和解协议同意的说明,并在发布后的30天内接受公众评论。此后,FTC将决定是否最终做出同意令,并将处理结果发布在Regulation.gov网站上。

注:当FTC有理由相信某行为已违反法律,且认为对该行为进行诉讼符合公共利益时,FTC会发起行政诉讼。FTC最终的发布同意令对未来的行动均有法律拘束力。违反该指令的行为可能导致最高42530美元的民事罚款。

链接

https://www.ftc.gov/news-events/press-releases/2019/10/ftc-brings-first-case-against-developers-stalking-apps

孟洁 张淑怡

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。