2020年2月25日,美国联邦贸易委员会(FTC)发布了《2019年隐私和数据安全报告》,介绍了过去一年FTC在消费者隐私保护和数据安全方面所开展的工作。
FTC通过采取各项措施来保护消费者的隐私和数据安全。FTC的主要措施是采取执法行动以制止违法行为,要求公司采取积极措施纠正违法行为,包括酌情实施全面的隐私和安全计划、独立专家的年度评估、对消费者救济措施、删除非法获取的消费者信息、以及向消费者提供健全的透明度和选择机制。如果公司违反FTC规定,FTC可以对相关违规行为进行民事处罚。FTC也可以因公司违反某些隐私立法和规则而给予其民事处罚,包括《儿童在线隐私保护法》《公平信用报告法》和《反垃圾邮件法》等。此外,FTC也会采取其他措施,包括进行研究和发布报告、举办公共研讨会、对消费者和企业进行宣传教育、在美国国会作证并对影响消费者隐私的立法和监管提案进行评价、以及与国际合作伙伴就全球隐私保护问题进行合作。
工作一:开展执法
一、 隐私方面
FTC对社交媒体、广告和移动应用生态系统在内各种行业存在的隐私问题进行了执法,包括130多个垃圾邮件和间谍软件案件以及80项一般隐私诉讼。2019年,FTC进行以下隐私执法行动:
Facebook案件。2019年7月,FTC、美国司法部宣布与Facebook达成和解。Facebook侵犯了用户对其个人信息的控制权,并且未制定和维护合理的程序来确保消费者的隐私,从而违反了FTC在2012对Facebook作出的要求。而且,Facebook欺骗用户,未披露其将使用用户电话号码对针对这些用户的定向广告进行两重身份验证。对Facebook开出50亿美元的罚单创下了FTC历史上对科技公司的最高罚单记录。和解令还对Facebook的业务运营增加了新限制,要求Facebook从公司董事会层面上重新调整其隐私保护方案,并建立强有力的新机制,以确保Facebook高管对他们做出的有关隐私的决定负责,并确保这些决定受到有效的外部监督。
剑桥分析案件。在一个相关但独立的案件中,FTC还对剑桥分析公司及其前首席执行官Alexander Nix和应用程序开发人员Aleksandr Kogan提起了诉讼。FTC指出,剑桥分析公司、Nix和Kogan使用虚假和欺骗性手段收集数百万Facebook用户个人信息以进行选民分析,并欺骗用户其不会收集用户ID或其他可识别信息。但该应用却收集了用户的Facebook ID,并将该ID连接到他们的Facebook上以获取用户信息。Kogan和Nix同意与FTC达成和解协议,两人将被限制未来从事业务的方式。FTC认为剑桥分析公司实施了欺骗性行为,违反了《联邦贸易委员会法》(FTC Act)。
Retina-X案。FTC对“跟踪”应用程序作出了第一例执法行动。2019年10月,FTC禁止三个“跟踪”应用程序的开发者Retina-X出售监视消费者移动设备的应用程序,除非Retina-X采取步骤以确保这些应用程序仅用于合法目的。FTC要求 Retina-X 删除从跟踪的应用程序中收集的数据,禁止 Retina-X 推广、出售或分发任何要求用户规避设备安全保护措施以安装的监视应用程序,要求采取合理步骤以确保该应用程序被用于合法目的。
Unrollme案。FTC与电子邮件管理公司Unrollme达成了关于该公司欺骗消费者访问和使用电子邮件的和解。Unrollme欺骗消费者,声称自己不会使用消费者的个人电子邮件,以说服消费者提供电子邮件帐户的访问权限。实际上,Unrollme与其母公司Slice共享消费者的电子邮件,其中包括消费者的姓名、账单和送货地址以及有关消费者购买的产品或服务的信息。FTC要求Unrollme删除非法收集的用户数据,除非获得消费者的肯定、明确的同意。
Hylan案。FTC和纽约总检察长办公室指控Hylan资产管理公司的两个业务部门及其负责人就虚假债务和未经授权的债务向消费者收款。该公司获得了消费者的私人财务信息,然后用它来说服消费者——他们是催收债务的合法收款人。FTC禁止Hylan公司从事收债行业,并要求该公司不得使用客户的个人信息。
此外,报告中还介绍了ACDI、Grand Teton等众多隐私保护案件。
二、 数据安全方面
自2002年以来,FTC提起了70多起针对不公平或欺骗性行为的诉讼,这些行为涉及了对消费者个人数据的保护不足问题。2019年,FTC提高了其在数据安全案件中的和解要求,即公司需实施全面的安全计划,FTC对该计划进行严格的两年期评估,并由高级官员提交有关公司是否遵守该计划的年度证明。
Equifax案。2017年9月,美国三大信用报告机构之一的Equifax公司发生了一起数据泄露事件,1.47亿人的社保号码、出生日期等个人信息遭到泄露。数据泄露的原因是因为Equifax公司使用的网络安全方案没有足够的能力来保护消费者的数据,而且Equifax公司没有选择最合适的网络安全方案并且没有遵循防止和缓解数据泄露影响的基本步骤,没有以一种及时、有效的方式向客户、投资者和管理者通告数据泄露事件。2019年9月,Equifax公司已同意与FTC、消费者金融保护局(CFPB)以及美国50个州和地区达成和解,被处罚款5.75亿美元。
DealerBuilt案。2019年6月,FTC与DealerBuilt达成和解。FTC指控以DealerBuilt的名义经营的LightYear Dealer Technologies没有采取合理的安全保障措施来保护从经销商那里获得的个人信息。FTC表示由于缺乏安全保障措施,黑客从2016年10月下旬开始破坏DealerBuilt的备份数据库,窃取了由130个经销商存储的大约1250万个消费者的未加密个人信息。和解协议规定,禁止DealerBuilt收集、共享或存储个人信息,除非其实施了相应的安全保障措施,还要求DealerBuilt公司需每两年接受第三方对其信息安全保障能力的评估。
InfoTrax案。2019年6月,FTC与一家总部位于犹他州的科技公司InfoTrax Systems达成和解。FTC指控InfoTrax Systems公司没有使用合理的安全保护措施来保护客户的个人信息。由于存在安全漏洞,从2014年5月至2016年3月期间,黑客入侵了公司的服务器达到20次以上,黑客获取了大约一百万用户的敏感个人信息。和解协议规定,禁止InfoTrax System收集、共享或存储个人信息,除非实施了相应的信息安全程序,还要求InfoTraxSystems公司需每两年接受第三方对其信息安全保障能力的评估。
D-Link案。2019年7月,智能家居产品制造商D-Link已同意实施一项全面的软件安全计划。FTC指控D-Link公司虚假陈述,承诺自己已采取合理措施保护其无线路由器和互联网的摄像头。实际上,D-Link未能执行基本的安全软件开发,包括测试和修复以解决众所周知的和可预防的安全漏洞,这些漏洞暴露了敏感的消费者信息,包括可以将用户的实时视频和音频提供给第三方,并且容易受到黑客攻击。
此外,报告中还介绍了ClixSense、Unixiz, d/b/a i-Dressup等数据安全案件。
三、 金融隐私方面
《格拉姆-里奇-布莱利法案》(GLB)要求金融机构向客户发送隐私通知,并允许他们选择不与非关联第三方共享信息。它还要求金融机构实施合理的安全政策和程序。自2005年以来,FTC提起了35起指控违反GLB及其实施规则的案件。在2019年,FTC采取了以下行动:
Equifax案。在上面讨论的Equifax案中,FTC指控Equifax违反了GLB,Equifax没有设计和实施保护措施来应对可预见的内部和外部风险,这些风险对客户信息的安全性,保密性和完整性;定期测试或监控保障措施的有效性;根据测试和监视的结果以及其他相关情况评估和调整其信息安全计划都产生了影响。
Dealerbuilt案。在上面讨论的Dealerbuilt中,FTC指控该公司违反了GLB,原因是该公司未能开发、实施和维护书面信息安全程序;确定合理可预见的对客户信息的安全性,保密性和完整性的内部和外部风险;评估是否有足够的措施来控制这些风险;设计和实施基本保障措施,并定期测试或以其他方式监控此类保障措施的关键控制系统和程序的有效性。
四、 国际执法方面
FTC按照欧盟-美国隐私盾保护框架、瑞士-美国隐私盾保护框架以及亚太经合组织跨境隐私规则进行执法。FTC在认定公司是否违反框架下的隐私承诺发挥着重要作用。FTC还是亚太经济合作组织跨境隐私规则(APEC CPBR)的执行机构。2019年,FTC提起了13起国际执法行动。
五、儿童隐私方面
1998年的《儿童在线隐私保护法》(COPPA)要求网站和应用在收集13岁以下儿童的个人信息之前必须获得可验证的父母同意。自2000年以来,FTC提起了近30例违反COPPA的案件,并作出了数亿美元的民事罚款。2019年,FTC采取了以下行动:
Musical.ly案。2019年2月,短视频应用Musical.ly(被今日头条收购后并入抖音海外版TikTok)因违反美国COPPA而被FTC处以570万美元罚款。FTC指出Musical.ly存在以下违法行为:一是未采用技术手段,确保父母得知其收集、使用或披露儿童个人信息的实践做法;二是未在网站页面或登录页面发布明确完整、通俗易懂的关于儿童个人信息实践做法的通知;三是收集儿童用户的姓名、电子邮件地址和其他个人信息时,未征得父母的同意;四是在应父母要求删除儿童的个人信息;五是超期存储儿童个人信息。
YouTube案。2019年9月,谷歌旗下视频分享网站YouTube因非法收集和分享儿童个人信息,违反COPPA而被罚款1.7亿美元,这笔1.7亿美元的罚款是COPPA迄今开出的最大罚单。其中,FTC对谷歌罚款1.36亿美元,剩余3400万美元谷歌需向纽约州支付以了结类似指控。在和解协议中,FTC和纽约总检察长指控YouTube未经父母同意,通过跟踪儿童频道观众网络浏览的识别码(cookie)向用户提供有针对性的广告,并从中赚取了数百万美元。YouTube向潜在的企业客户推销自己是儿童最喜欢的视频网站,但在涉及到遵守保护儿童隐私的法律时,YouTube却拒绝承认平台的部分内容是明确针对儿童的。和解协议还要求YouTube和母公司Google通知各频道主,其针对儿童的内容需要遵守COPPA。YouTube和Google还必须建立能够识别儿童内容的系统,确保YouTube遵守COPPA。
六、免扰电话方面(Do Not Call)
2003年,FTC修改了《电话销售规则》(TSR),建立全国性的免扰电话登记簿(Do Not Call Registry),此条款使得消费者能够将他们的电话放在限制拨入的名单上,这样就可以向外界表明他们不想接听电话销售人员的拨入电话。自2003年以来,FTC提起了147起针对电话推销员违反免扰电话规定的案件。迄今为止,FTC对139起案件进行了结案处理,累计处以17亿美元罚款。2019年,FTC也发起了一系列的执法行动。
工作二:提出倡议
当法院、政府机构或其他组织在研究有关消费者或竞争的案件或政策时,FTC会提供其专业知识并倡导制定保护消费者和促进竞争的政策。2019年,FTC提出了以下与隐私问题有关的评论:
一是FTC对美国国家标准技术研究院(NIST)提出的隐私框架提出了评论,该框架试图为寻求管理隐私风险的组织提供指导。在评论中,FTC消费者保护局的工作人员称赞NIST提出了一项自愿工具,旨在帮助组织开始对话,以管理组织内部的隐私风险。评论中建议对隐私框架进行一定程度的完善。例如,呼吁更加关注隐私框架草案提出的在每个步骤下解决隐私风险的必要性;隐私风险管理程序应说明信息的敏感性;公司应审查其数据实践是否符合消费者的期望、是否符合对公众的作出的承诺。
二是FTC在国会上就隐私和数据安全问题多次进行陈述。例如,FTC在国会上呼吁制定隐私和数据安全立法。FTC还在参议院国土安全和政府事务常设调查小组委员会以及众议院经济和消费者政策监督与改革小组委员会上作了关于数据安全立法必要性的阐述。
工作三:制定规则
根据《FTC Act》第五条,FTC负有禁止市场不公平与欺诈性的商业活动的职责。在近年来的隐私执法中,FTC对第五条进行了充分的援引和解释,在特定案件中“具有误导性或欺骗性的行为包括错误的口头或书面表述,误导性的报价,未经充分披露而出售有风险或是系统缺陷的产品,未披露传销信息,使用引诱和转换的方法,未履行所承诺的服务,未实现担保义务”都被认为是违反了第五条规定。除了FTC法之外,FTC在执法实践中还不断获得了其他立法的授权,包括:《反垃圾邮件法》《儿童在线隐私保护法》《平等信用机会法》《公平信用报告法》《公平债务催收实践法》《电信营销与消费者诈骗滥用预防法》等。上述立法都不同程度地赋予了FTC在消费者隐私保护方面的执法权力。另外,依据FTC及相关法规的授权,FTC制定了有关隐私保护的各类规则(rule):
健康信息泄露通知规则(The Health Breach Notification Rule)
红旗规则(The Red Flags Rule),面向金融机构及信贷机构提出关于防范身份盗窃的相关规则
儿童在线隐私保护法执行规则(COPPA Rule)。要求网站及APP在收集不满13岁用户的个人信息时,应当取得其父母的同意。
金融服务现代法隐私规则(GLBPrivacy Rule)。规定汽车销售商必须告知用户其隐私政策与实践,将用户个人信息向非具有所属关系的第三方提供时应当为用户提供退出机制。
金融服务现代法保障规则(GLBPrivacy Rule),该规则要求FTC具有监管权的金融机构制定、实施、维持全面的信息安全计划。
金融服务现代法隐私规则(GLBPrivacy Rule)
电话营销规则(TheTelemarking Sales Rule)
反垃圾信息规则(CAN-SPAMrull)
2019年6月,FTC最终确定了军事信用监控规则(MilitaryCredit Monitoring Rule,),该规则要求全国范围内的消费者报告机构为现役军人提供免费的电子信用监控服务。
工作四:举办研讨会
从1996年开始,FTC共举办了超过75场的研讨会,讨论消费者隐私和安全方面的最新问题。2019年,FTC举办了以下隐私保护方面的研讨会:
4月,作为21世纪竞争与消费者保护听证会的一部分,FTC探讨了以下问题:收集、共享、和使用信息对消费者的风险和利益;在自动化决策中使用大数据;在保护隐私方面如何进行有效平衡等。
6月,FTC举行了第四届年度PrivacyCon会议,该会议旨在研究保护消费者隐私和安全方面的前沿问题和趋势, 探讨了物联网、人工智能和虚拟现实等新兴技术对隐私和安全的影响。
10月,FTC举办了一个研讨会,以探讨是否应当根据儿童网络市场上的新进展来更新COPPA规则。
12月,FTC与消费者金融保护局一起举办了有关消费者信用报告准确性的研讨会,就影响消费者信用报告准确性的诸多因素进行了广泛的公开讨论。
工作五:消费者教育和商业指导
FTC向消费者发布相关信息和资料,以帮助消费者应对隐私威胁。FTC还发布了计算机安全、儿童互联网安全、信用报告、移动隐私等方面的指南。2019年,FTC作出了以下工作:
一是开展小型企业网络安全活动。FTC继续推广由国土安全部(DHS)、美国国家标准技术研究院(NIST)和小企业管理局(SBA)发起的“小型企业网络安全活动”。
二是注重移动设备的隐私和安全。2019年,FTC创建了有关移动支付应用的在线消费者教育程序,并更新了有关保护消费者手机及其数据的指南。
三是撰写消费者博客。FTC的消费者博客会提醒消费者注意潜在的隐私和数据安全隐患。
四是撰写商业博客。FTC的商业博客介绍了最近的执法行动、报告和指南。
工作六:参与国际活动
FTC在全球消费者隐私保护工作方面也发挥了积极作用。
一是执法合作。FTC通过非正式磋商、谅解备忘录、投诉共享以及依据《美国网络安全法》与外国执法机构进行合作。《美国网络安全法》授权FTC在适当的情况下与外国执法机构共享信息、提供调查协助。例如,2019年FTC与英国执法机构就剑桥分析事件开展了执法合作。
二是制定政策。FTC倡议制定完善的政策,以确保为消费者数据的跨境流动提供强有力的隐私保护支撑。FTC还致力于建立具有全球互操作性的隐私制度,并增强参与数据跨境流动企业的责任感。
作者简介:杨婕,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。