美国FTC最新决定：公司高管或因数据泄露被追究个人责任

作者：顾萍 许雨晴 柳子通 陈少雄

导语：

“个人数据保护不容小觑，它必须是每个企业高管优先考虑的事项。”[1] 一旦数据泄露，公司高管或被追究个人责任。

2023年1月10日，美国联邦贸易委员会（FTC）在针对Drizly酒类电商平台及其首席执行官James Rellas泄露250万消费者的个人数据的执法行动中发布了同意令 (consent order)。该同意令指出Drizly公司未能采取有效数据安全措施从而导致约250万消费者的个人数据遭到泄露，要求Drizly销毁收集的与商品或服务没有关联的个人数据；限制Drizly收集或储存个人信息；要求Drizly公开其收集信息的细节和原因，并实施完善的信息安全计划。值得关注的是，Rellas作为公司的首席执行官被追究其个人责任。FTC的决定将一直跟随Rellas，如果Rellas跳槽到一家收集超过25000名消费者个人信息的公司，并且Rellas是该公司的主要股东、首席执行官或者负有信息安全责任的高管人员，则Rellas必须在该公司实施信息安全计划。[2]

一、案件背景

Drizly 经营着一个电子商务平台，达到法定饮酒年龄的消费者可以通过Drizly平台向零售商下单购买酒类产品。Drizly平台能够验证消费者的年龄，并且收集和储存消费者提供给平台的信息，以及平台从消费者的电脑等移动设备上自动获取的信息。[3]

该公司使用亚马逊云科技(Amazon Web Services,AWS)作为第三方服务器储存其收集的个人信息。这些个人信息包括消费者的姓名、电子邮件、邮寄地址、电话号码、部分支付信息，以及从第三方购买的消费者数据（包括收入水平、婚姻状态、性别、种族等）和经过加密的用户密码。该公司还使用软件开发和托管平台GitHub支持其官网和手机软件的运营。公司员工能通过个人GitHub账户访问Drizly用来储存公司数据和项目的资源库。自2013年以来，Drizly发生多起数据安全事故，但Drizly并未采取行动保证数据安全。

2018年，该公司又发生数据安全事件。一名员工在其个人GitHub账号上上传了Drizly公司的AWS验证信息。由于该安全事件，Drizly被提醒注意在GitHub资源库上储存AWS验证信息的行为存在风险，公司应该采取合理的安全措施提高其数据安全。

然而，Drizly和Rellas再次错过了采取行动的机会，与此同时，Drizly仍在官网声称其采取了合理的保护措施。

Drizly没有要求员工使用复杂的GitHub登录密码，或多重登录验证；更没有在员工无需访问公司数据库后，及时终止访问权限。2018年，Drizly授权一名员工通过个人GitHub账号访问公司资料库，该员工仅采用了七个字符的简单密码。两年后，一名黑客入侵了该员工的GitHub账户，并通过该账户访问了公司GitHub资源库。该黑客利用公司GitHub资源库的验证信息修改了Drizly的AWS安全设置，盗取了数据库中超过250万条客户信息。

针对上述事实，FTC对Drizly提出如下指控:

1) 未能制定完善的书面信息安全标准和政策,未能要求或培训员工遵守这些标准和安全政策；

2) 未能安全地储存AWS和数据库的登录验证信息；

3) 未能提供合理的数据访问限制；

4) 未能监控公司网络外未授权的登录情况，并采取相应的保护措施以防止数据泄露，未能周期性地评估公司数据保护手段是否有效；

5) 未能测试和监控其产品和程序的安全性能，并且对网络和数据库进行风险评估；

6) 缺少用以评估存储消费者个人信息必要性的政策或程序。

作为公司的首席执行官，Rellas对公司未能采取这些安全措施负有责任。事实上，在Drizly信息泄露前，Rellas聘请了市场、法律、人力资源等方面的高管人员，但却未聘请负责个人信息数据安全方面的高管。[4]

二、FTC的决定内容

FTC认为Drizly的信息泄露可能导致消费者遭受诈骗或身份信息被盗用，并由此带来经济损失。Drizly公司和Rellas未能采取合理的安全措施保护消费者的个人信息，构成了信息安全的不当行为；与此同时，Drizly和Rellas在未采取信息安全措施的情况下，仍对外声明其采取了安全措施，该行为构成欺诈性声明。

FTC命令Drizly销毁其收集的任何与向消费者提供商品或服务没有关联的个人数据；并限制其进行数据收集，仅允许其收集和储存在业务上有必要的信息，避免过度收集信息；在Drizly网站上公布其收集信息的目的和储存信息的时间；实施全面的信息安全计划，委派员工协调并负责信息安全计划，并由专业的第三方对该计划进行为期两年的评估。[5]

对于首席执行官Rellas，FTC要求其在10年内，如果跳槽到任何需要收集、使用、披露或储存超过25000万名个人用户信息的企业，并且作为企业的主要股东、首席执行官以及负有信息安全责任的高管人员，则Rellas必须确保该企业已经建立并开始实施了全面的信息安全计划。

三、对企业的警示意义

本次执法行动并不是FTC处罚数据泄露企业的个案。早在2019年，FTC就曾因缺少合理的安全保护措施和泄露消费者个人信息而处罚DealerBuilt、D-Link等收集信息的企业，更是因过度收集用户信息向Tik Tok开出高达570万美元的罚款。FTC的执法行动传递出了明确的信号, 即FTC非常重视消费者个人信息的保护，将不会容忍企业忽视信息安全政策和缺少相应措施，并将严肃追究违反FTC规定的企业的责任。[6]因此，收集和储存个人信息的企业应意识到数据安全的重要性，确保企业建立和采取全面的个人信息保护政策，并督促公司员工遵守该政策。

更重要的是，FTC本次执法行动决定追究Rellas作为公司首席执行官的个人责任。正如FTC消费者保护局官员Samuel Levine此前表示，“我们针对Drizly的命令不仅限制了该公司可以保留和收集的信息的范围，还确保了首席执行官需要承担公司漠视信息安全保护的后果。在数据安全问题上走捷径的首席执行官们需要重视该问题。”[7]

然而，FTC委员会在追究Rellas个人责任的问题上观点并不一致。FTC主席Lina M. Khan和委员Alvaro M. Bedoya在联合声明中表示，个人数据保护必须是每个企业高管优先考虑的事项。委员Rebecca K. Slaughter也表示，Rellas作为Drizly的首席执行官，需要监管公司数据安全政策的实施，确保公司的领导层重视其保护消费者个人信息的责任。然而，委员Christine S. Wilson对追究Rellas个人责任的决定则持反对意见，Wilson认为Rellas作为首席执行官，非常可能没有参与甚至不知道FTC调查的数据泄露事件，追究Rellas的个人责任将会导致其对公司的错误决定负责。

目前尚不可知本次执法行动是否代表着追究公司高管的个人责任会成为FTC未来监管中的新趋势，但可以确定的是，各家公司高管应重视起公司的数据安全问题，避免在数据安全问题上走捷径。在全球范围内收集和储存消费者个人信息的中国企业应强化数据安全意识，对企业内部潜在的数据安全风险及时监控并采取补救措施，必要时应寻求专业律师的建议，避免因数据安全问题被追究责任。

[注]

[1] FTC, Public Statement: Statement of Chair Lina M. Khan Joined by Commissioner Alvaro M. Bedoya in the Matter of Drizly. https://www.ftc.gov/system/files/ftc_gov/pdf/Statement-of-Chair-Lina-M.-Khan-Joined-By-Commissioner-Alvaro-M.-Bedoya-re-Drizly-final.pdf.

[2] FTC, Press Releases, FTC Finalizes Order with Online Alcohol Marketplace for Security Failures that Exposed Personal Data of 2.5 million People, https://www.ftc.gov/news-events/news/press-releases/2023/01/ftc-finalizes-order-online-alcohol-marketplace-security-failures-exposed-personal-data-25-million.

[3] FTC, Drizly Consent Order, https://www.ftc.gov/system/files/ftc_gov/pdf/2023185-drizly-combined-consent.pdf.

[4] FTC, Complaint 2023185, https://www.ftc.gov/system/files/ftc_gov/pdf/202-3185-Drizly-Complaint.pdf.

[5] FTC，Decision and Order, https://www.ftc.gov/system/files/ftc_gov/pdf/202-3185-Drizly-Decision-and-Order.pdf。

[6] Federal Trade Commission Finalizes Order Holding Drizly, LLC and Its CEO Accountable for Data Security Failures. https://www.lexology.com/library/detail.aspx?g=71e4c189-f375-4234-885e-990837b25324.

[7] FTC, Press Release, FTC Takes Action Against Drizly and its CEO James Cory Rellas for Security Failures that Exposed Data of 2.5 Million Consumers. https://www.ftc.gov/news-events/news/press-releases/2022/10/ftc-takes-action-against-drizly-its-ceo-james-cory-rellas-security-failures-exposed-data-25-million.

作者简介

顾萍 律师

纽约办公室 合伙人

业务领域：知识产权权利保护, 合规和反腐败, 反垄断和竞争法

许雨晴

北京办公室 知识产权部

柳子通

北京办公室 知识产权部

陈少雄

北京办公室 知识产权部

声明：本文来自中伦视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。