FTC消费者隐私保护2019年度案例回顾

什么是FTC？

（一）FTC的历史

联邦贸易委员会（Federal Trade Commission， FTC）是美国执行反垄断和保护消费者法律的联邦政府机构。FTC依据《联邦贸易委员会法》（《FTC Act》）于1914年成立，至今已超过百年。FTC最初成立的目的是防止有碍竞争的行为，也就是说，它的主要职责在于保护企业而非消费者。1938年，美国国会认识到应当扩大FTC的职权范围，通过发布《惠勒—利法》（Wheeler-Lea Amendment）修改了《FTC Act》第5条，将“不公平的竞争手段”修改为“不公平的竞争手段以及不公平或欺骗性的商业行为或做法”，从而达到保护消费者的目的。这一看似微小的改变在相当程度上加强了FTC的监管权力，为FTC保护消费者免受不公平或欺骗性商业行为或做法的侵害提供了法定依据。

（二）什么是不公平或欺骗性商业行为或做法？

美国法院确定了消费者不公平案件中必须考虑的三个主要因素：(1) 该做法是否伤害消费者；(2) 该做法是否违反既定的公共政策；(3) 它是否在商业上或其他方面不道德。

1983年，FTC对能源和商业委员会就“欺骗性的商业行为或做法”含义的询问，进行了如下回复：

（1）必须有可能误导消费者的陈述/遗漏或实践。陈述包括具有误导性或者欺骗性的虚假口头或者书面陈述。在遗漏的情况下，FTC会考虑消费者的一般理解，未披露的信息如果属于消费者的合理期望，即属于误导性遗漏；

（2）FTC会以消费者的合理目标为标准来审查实践；

（3）这种陈述或遗漏具有改变消费者购买产品或服务的重大作用。

（三）FTC如何保障消费者的合法权益？

在职能上，FTC是唯一在经济各领域均具有消费者保护和竞争管辖权的联邦机构。FTC通过采取违法案件调查的执法行动、与联邦和州立法机关以及美国和国际政府机构进行专业信息的共享、召开发布听证会和各类研讨会、发布各行业贸易规则和研究报告等方式，来加强对于消费者权益的保护。

在组织上，FTC由5名委员领导，经总统提名并由参议院批准，任期7年并可连任，FTC委员会主席由总统在5人中指定。FTC的工作由消费者保护局、竞争局和经济局共同负责，同时还得到了总法律顾问办公室和七个区域办事处的协助。

（四）FTC的执法流程

FTC对案件进行调查后，可能采取不同的方式结案，包括与当事人达成协议，当事人签订此协议书时，不用承认违反了法规，但必须同意停止这种有争议的行为。如果双方无法达成协议，FTC将根据《行政程序法》（The Administrative Procedure Act，简称APA）自行做出当事人是否合法的决定。该决定由FTC的行政法官（Administrative Law Judge，简称ALJ）主持调查后提出建议，由FTC委员会的5名委员投票决定当事人行为是否合法。ALJ拥有独立的行政决策权，以APA为依据做出决定。如果5名委员的投票结果为当事人行为不合法，FTC则做出最后决定（Final Order），要求当事人遵守FTC提出的要求。如果被告当事人违反了FTC的要求或者其它规则，FTC则可向联邦法院寻求民事救济或要求法院发布禁令。《FTC Act》第五条规定，如果FTC公开说明理由并得到法院的批准，FTC可以通过和解的方式来解决民事处罚诉讼。当事人若对ALJ做出的建议不服，可向FTC提出上诉；如果对FTC决定仍然不服，可向联邦法院提出上诉，在法院受理后进入司法程序的调查。

（五）什么是FTC的和解令？

FTC的和解令有其特殊性，与法院的裁决不同，美国没有相关法律对和解令的内容进行规定，是FTC与当事人谈判和解的结果。从FTC历来的和解令来看，和解令的内容构成多元化，有可能是企业承诺停止从事某种行为，有可能是按照案情缴纳一定金额的款项，也可能是企业接受一定期限的独立第三方监察评估，或要求企业保存记录并定期报告合规行为。

2019年FTC消费者隐私保护案例回顾

（一）消费者隐私保护方面

1. FTC VS Facebook

2019年7月，FTC宣布就剑桥分析公司丑闻与Facebook达成和解，对Facebook开出50亿美元“罚单”的同时还加限制条款，创下了FTC历史上对科技公司的最高罚单记录。和解令还对Facebook的业务运营增加了新限制，要求Facebook从公司董事会层面上重新调整其隐私保护方案，并建立强有力的新机制，以确保Facebook高管对他们做出的有关隐私的决定负责，并确保这些决定受到有效的外部监督。FTC联邦贸易委员会主席乔·西蒙斯说：“尽管Facebook一再向全球数十亿用户承诺，他们可以控制个人信息的共享方式，但Facebook却破坏了消费者的选择。在FTC的历史上，50亿美元的罚单和大规模的行为方式变革是史无前例的。目的不仅是警戒未来可能发生的违规行为，更重要的是改变Facebook公司的隐私保护文化，以减少未来违规的可能性。FTC委员会高度关切消费者隐私的保护，并将在法律许可的最大范围内执行本次命令。”

2. FTC VS Retina-X

2019年10月，FTC禁止三个“跟踪”应用程序的开发者Retina-X出售监视消费者移动设备的应用程序，除非Retina-X采取步骤以确保这些应用程序仅用于合法目的。FTC消费者保护局局长安德鲁·史密斯（Andrew Smith）表示，这是FTC针对“跟踪”应用程序采取的第一个行动。他补充说：“尽管可能有合理的理由来跟踪电话，但该公司的应用程序被设计为在后台秘密运行，并且特别适合非法和危险用途。” FTC要求 Retina-X Studios删除从跟踪的应用程序中收集的数据，禁止 Retina-X 推广、出售或分发任何要求用户规避设备安全保护措施以安装的监视应用程序，要求采取合理步骤以确保该应用程序被用于合法目的。

（二）儿童隐私保护方面

1.FTC VS Musical.ly

2019年2月，短视频应用Musical.ly（被今日头条收购后并入抖音海外版TikTok）因违反美国《儿童在线隐私保护法》（COPPA）而被美国联邦贸易委员会处以570万美元罚款。FTC指出Musical.ly存在以下违法行为：一是未采用技术手段，确保父母得知其收集、使用或披露儿童个人信息的实践做法；二是未在网站页面或登录页面发布明确完整、通俗易懂的关于儿童个人信息实践做法的通知；三是收集儿童用户的姓名、电子邮件地址和其他个人信息时，未征得父母的同意；四是在应父母要求删除儿童的个人信息；五是超期存储儿童个人信息。

2. FTC VS YouTube

2019年9月，谷歌旗下视频分享网站YouTube因非法收集和分享儿童个人信息，违反COPPA而被罚款1.7亿美元，这笔1.7亿美元的罚款是COPPA迄今开出的最大罚单。其中，FTC对谷歌罚款1.36亿美元，剩余3400万美元谷歌需向纽约州支付以了结类似指控。在和解协议中，FTC和纽约总检察长指控YouTube未经父母同意，通过跟踪儿童频道观众网络浏览的识别码（cookie）向用户提供有针对性的广告，并从中赚取了数百万美元。YouTube向潜在的企业客户推销自己是儿童最喜欢的视频网站，但在涉及到遵守保护儿童隐私的法律时，YouTube却拒绝承认平台的部分内容是明确针对儿童的。和解协议还要求YouTube和母公司Google通知各频道主，其针对儿童的内容需要遵守COPPA。YouTube和Google还必须建立能够识别儿童内容的系统，确保YouTube遵守COPPA。

（三）数据安全

1. FTC VS DealerBuilt

2019年6月，FTC与DealerBuilt达成和解。FTC指控以DealerBuilt的名义经营的LightYear Dealer Technologies没有采取合理的安全保障措施来保护从经销商那里获得的个人信息。FTC表示由于缺乏安全保障措施，黑客从2016年10月下旬开始破坏DealerBuilt的备份数据库，窃取了由130个经销商存储的大约1250万个消费者的未加密个人信息。和解协议规定，禁止DealerBuilt收集、共享或存储个人信息，除非其实施了相应的安全保障措施，还要求DealerBuilt公司需每两年接受第三方对其信息安全保障能力的评估。

2. FTC VS InfoTrax

2019年6月，FTC与一家总部位于犹他州的科技公司InfoTrax Systems达成和解。FTC指控InfoTrax Systems公司没有使用合理的安全保护措施来保护客户的个人信息。由于存在安全漏洞，从2014年5月至2016年3月期间，黑客入侵了公司的服务器达到20次以上，黑客获取了大约一百万用户的敏感个人信息。和解协议规定，禁止InfoTrax System收集、共享或存储个人信息，除非实施了相应的信息安全程序，还要求InfoTraxSystems公司需每两年接受第三方对其信息安全保障能力的评估。

3. FTC VS D-Link

2019年7月，智能家居产品制造商D-Link已同意实施一项全面的软件安全计划。FTC指控D-Link公司虚假陈述，承诺自己已采取合理措施保护其无线路由器和互联网的摄像头。实际上，D-Link未能执行基本的安全软件开发，包括测试和修复以解决众所周知的和可预防的安全漏洞，这些漏洞暴露了敏感的消费者信息，包括可以将用户的实时视频和音频提供给第三方，并且容易受到黑客攻击。

4. FTC, CFPB，50个州 VS Equifax

2017年9月，美国三大信用报告机构之一的Equifax公司发生了一起数据泄露事件， 1.47亿人的社保号码、出生日期等个人信息遭到泄露。数据泄露的原因是因为Equifax公司使用的网络安全方案没有足够的能力来保护消费者的数据，而且Equifax公司没有选择最合适的网络安全方案并且没有遵循防止和缓解数据泄露影响的基本步骤，没有以一种及时、有效的方式向客户、投资者和管理者通告数据泄露事件。2019年9月，Equifax公司已同意与FTC、消费者金融保护局（CFPB）以及美国50个州和地区达成和解，被处罚款5.75亿美元。

作者简介：杨婕，中国信息通信研究院互联网法律研究中心研究员

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。