在美国,联邦贸易委员会(Federal Trade Commission,FTC)无疑是联邦层面个人信息保护领域执法的“桥头堡”。在美国联邦层面的综合性个人信息保护立法迟迟未能出台的情况下,FTC以《联邦贸易委员会法案》(Federal Trade Commission Act)第5条“禁止欺诈或不公平实践”和《儿童在线隐私保护法案》(Children’s Online Privacy Protection Act,COPPA)为抓手,仅在2023年便已对Meta、Amazon、Drizly、GoodRx、BetterHelp、Easy Healthcare、Edmodo等多家企业违规处理个人信息、未采取充分的安全保障措施等行为开出多份罚单,罚款金额高达数千万美元,同时还要求这些公司遵守特别的行为禁令和实施整改措施。在这些执法活动中,对收集大量个人信息数据并出售的数据经纪人也成为FTC的监管和执法重点。早在2014年,FTC便针对数据经纪人的产业现状和存在的问题发布了一份调查报告。[1]在2024年1月9日,FTC发布了针对X-Mode Social, Inc.(Outlogic)的命令草案,拟禁止X-Mode(Outlogic)使用、销售或披露敏感位置信息并要求其实施多项合规整改计划。这是2024年FTC公布的针对数据经纪人的首份命令,结合其一同公布的投诉书等材料,可以从中窥见FTC如何在缺乏针对个人信息保护和数据经纪人监管的专门性法律的情况下,针对滥用数据的企业开展执法行动。[2]为此,本文将介绍X-Mode的背景、FTC对X-Mode滥用数据的指控以及最终的处罚决定。

案件背景

据FTC在其投诉文件中的介绍,X-Mode是美国第二大的位置数据经纪人,其向房地产、金融等行业的企业以及政府承包商出售消费者的位置数据。具体而言,X-Mode通过两种方式出售位置数据,其一,X-Mode许可第三方访问与移动设备广告ID(Mobile Advertiser ID,MAID)等“唯一持续性标识符”(unique persistent identifier)相关联的包含经纬度信息和时间戳的原始位置数据,进而使第三方能够基于其自身目的使用和分析这些位置数据,或进一步许可其自己的用户访问和使用。其二,X-Mode还通过对其所获取的位置数据进行分析,基于从位置数据中反映出的用户兴趣或特征和MAID进行分类,形成所谓的“X-Mode受众群体(audience segment)”服务,并许可第三方使用;在该服务中,X-Mode所提供的“受众群体”标签包含尺码包容的服装店(Size Inclusive Clothing Stores)、消防站、军事基地以及外国战争退伍军人(Veterans of Foreign Wars)等敏感标签。

同时,FTC不仅介绍了X-Mode的位置数据“到哪里去”,也介绍了其“从哪里来”。X-Mode主要通过三种渠道收集位置数据。其一,X-Mode通过嵌入了其SDK的第三方App收集消费者的位置数据,该SDK会在设备用户的许可下获取移动设备的经纬度、时间戳等实时位置数据以及其他关于设备操作系统的数据,并将这些数据传输到X-Mode;在某些情况下,X-Mode还会通过服务器之间的数据传输等方式从App的开发者或运营者处直接获取位置数据。为了鼓励App开发者嵌入X-Mode的SDK,其承诺就通过SDK收集的位置数据所获得的收入向开发者分成,在此种激励之下,已经有包括游戏、健康追踪以及宗教等超过300个App嵌入了X-Mode的SDK。其二,X-Mode还会直接向其他数据经纪人或数据聚合者购买与MAID相关联的位置数据。其三,X-Mode还会通过其自己运营的App(Drunk Mode 和Walk Against Humanity)直接收集用户的位置数据和MAID。据X-Mode介绍,通过前述方式,其每天从全世界获取超过100亿个数据点,并表示其中70%的定位精度小于20米。如前所述,在收集这些位置数据后,X-Mode会将其进行聚合,并向第三方客户进行销售。向其购买数据的第三方客户包括广告商、软件服务(Software as a Service,SaaS)公司、分析机构、咨询机构、商业和教育研究组织以及政府承包商。

X-Mode案的源起可以追溯到2020年11月媒体关于美国军方从X-Mode等数据经纪人处购买位置数据的报道。2020年11月6日,Motherboard表示,通过查阅公开的采购记录、采访应用开发者以及技术分析等方式,其发现美国军方正在通过两种独立、并行的渠道购买关于世界各地的个人的位置数据,其中一个渠道便是通过政府承包商向X-Mode公司购买其从应用程序当中收集的位置数据。该报道进一步介绍了X-Mode获取数据的流程,即通过名为“Muslim Pro”和“Muslim Mingle”的App收集用户的位置信息,前者在各平台的总下载量超过9800万次,是一款能够提醒用户何时进行祈祷、麦加的方向以及与用户的相对位置的App,而后者是一款约会App,其下载次数也超过10万次。该报道表示,X-Mode所提供的位置数据本身是匿名的,但是有消息人士称,其完全可以基于这些数据,针对特定的个人实现去匿名化。此外,美国参议院Ron Wyden也就X-Mode出售位置数据发布了一份声明,表示其从X-Mode的律师处得知X-Mode正在向美国军方销售从美国用户手机处获取的位置数据,但其拒绝透露购买方的具体信息。[3]

除了该新闻报道所掲示的X-Mode对外出售位置数据的情况外,2022年6月联邦最高法院作出推翻1973年“罗伊诉韦德案”(Roe v. Wade)的判决,令美国各州可以自行制定关于堕胎的法律,进而可能导致堕胎者及提供堕胎服务的人员遭受处罚,也是促使FTC对X-Mode等一系列数据经纪人采取执法行动的原因。具体而言,在最高法院作出判决之后,Axios报道称美国总统拟要求FTC采取措施以保护消费者的隐私数据,尤其是与堕胎相关的位置信息和其他数据,因为这些数据可能会被禁止堕胎的州的执法机关获取并被用于侦查、指控相关犯罪。虽然在2022年7月8日正式发布的行政命令中并没有提及FTC,而是要求卫生与公众服务部(Secretary of Health and Human Services,HHS)采取行动保障妇女堕胎的权利、采取额外措施保护患者隐私以及打击与堕胎相关的数字监控活动,但并不意味着FTC并未为此而采取执法行动。紧接着行政命令的发布,FTC隐私和身份保护部门副主任Kristin Cohen便在一篇文章中介绍了该部门为打击非法处理位置数据和敏感健康数据所采取的执法行动,并表示对非法使用位置、健康或其他敏感数据的行为将严格执法。随后,在2022年8月29日,FTC宣布其对数据经纪人Kochava Inc.提起诉讼,指控其违法出售数亿条可用于追踪前往生殖健康诊所(reproductive health clinics)、宗教礼拜场所、无家可归者和家庭暴力受害者庇护所等敏感地点的个人的行踪轨迹,可能导致个人面临侮辱、追踪、歧视乃至暴力威胁,并要求该公司删除这些敏感地理位置信息。[5]此外,在“罗伊诉韦德案”被推翻后,部分数据经纪人也表明态度,承诺将停止出售关于到访堕胎诊所的个人的位置数据。例如,2022年7月,美国参议院议员Elizabeth Warren宣布,SafeGraph 和 Placer.ai 两家数据经纪公司已经承诺,将永久停止出售堕胎诊所到访者的位置数据,避免这些数据被禁止堕胎的州用于执法和起诉。[6]具体到X-Mode案当中,FTC在投诉文件中也指控X-Mode出售了能够用于追踪到访包括医疗机构、宗教礼拜场所等敏感地点的位置数据,由此可见,FTC对X-Mode的调查和处罚也是“罗伊诉韦德案”被推翻所引发的保护堕胎相关位置数据的执法行动的一部分。

FTC对X-Mode的指控

在投诉文件中,FTC首先对X-Mode所出售的位置数据进行了定性,表示这些数据能够被用于识别个人并对个人访问敏感地点进行追踪。[7]一方面,通过X-Mode所提供的位置数据中的经纬度信息,能够标记用户的位置,从而识别或推断出特定用户的移动设备曾经位于医疗机构、宗教礼拜场所以及能够用于识别LGBTQ+取向的地点等敏感地点,还能够获取用户访问该地点的时间。另一方面,X-Mode所提供的位置数据并非匿名数据,购买方能够结合MAID和位置数据识别移动设备的使用者或所有者,例如部分数据经纪人所提供的广告服务能够将MAID与消费者的姓名、住址等数据进行匹配,从而识别特定个人。此外,即便不依靠前述匹配服务,通过数据中的多个时间戳以及相应的经纬度信息,购买者也能够推断出移动设备的所有者,例如通过移动设备在夜晚的位置数据推断个人的家庭住址,进而结合公众记录或其他记录以获取该住址的所有者或居住者的个人信息。在厘清X-Mode所出售的位置数据的定性后,FTC在投诉文件中列举了X-Mode的“五宗罪”。

其一,FTC指控X-Mode未能尊重个人的隐私选择,即便个人通过操作系统选择拒绝接收个性化广告(定向广告),X-Mode仍然收集个人的MAID以及位置数据。FTC表示,从2013年开始,Android操作系统便已提供了允许选择退出个性化广告的隐私控制功能,该功能允许个人拒绝App收集、使用手机的MAID以构建用户画像并向其推送个性化广告;同时,操作系统还会要求App在收集MAID前需要通过系统弹窗等方式告知用户其有权拒绝接收个性化广告,在完成此种告知后,操作系统才会允许App获取MAID。然而,在2018年到2020年7月期间,在未向个人告知的情况下,X-Mode仍然获取了已经选择拒绝个性化广告的个人的MAID、位置数据以及其他标识符,并将这些数据提供给第三方,这违背了个人的隐私选择。此外,FTC还指出,X-Mode在此期间也未能够采取必要的技术安全措施和监测措施以确保其能够充分尊重个人关于数据收集的隐私选择。FTC认为,此种未能尊重个人的隐私选择的行为构成了不公平的行为。

其二,FTC指控X-Mode未能告知其App的用户收集位置数据的目的。如前所述,X-Mode会通过自己运营的两个App收集位置数据。由于iOS和Android系统都要求App在收集数据前需要告知用户数据处理目的,因而X-Mode向用户提供了包括数据用途在内的关于其收集位置数据的信息并请求用户的许可,并在网站上发布了隐私通知以供用户查阅。然而,X-Mode并没有将所有数据处理的目的完整地告知用户。直至2020年8月,X-Mode都仅告知用户其位置数据会被用于个性化广告以及基于位置的分析(如产品表现分析、市场研究、交通和健康研究等);在数据共享方面,也仅告知用户其会将MAID、位置数据、使用数据等数据与包括品牌方、数据平台、在线广告商、消费者行为研究公司等客户共享。尽管X-Mode告知用户其位置数据可能会被基于商业目的而使用,但并未告知用户其数据还可能会被基于国家安全目的而售卖给政府承包商。FTC认为,X-Mode是通过隐瞒关键信息来获取个人的同意,因为个人数据的收集目的对于个人决定是否许可App收集位置数据至关重要。FTC指出,对于当前个人越来越多地被迫分享其个人信息,以及这些个人信息被越来越广泛的主体所掌握和使用,引发了公众对隐私保护的忧虑;在个人不清楚哪些主体会获取其个人信息以及如何使用其个人信息的情况下,将构成对个人隐私的侵犯。基于此,FTC认为,X-Mode并未能就收集和使用位置数据而获得个人的有效同意。

其三,FTC指控X-Mode未能确保第三方App是否向消费者告知位置数据的使用目的。除了X-Mode自己运营的App未能向用户完整告知数据处理目的,X-Mode也未能监督和验证嵌入了其SDK的第三方App是否就收集位置数据向用户告知并取得同意。FTC指出,X-Mode并未采取充分、有效的措施确保第三方App已经取得了知情同意,其只是通过合同当中的条款而非第三方审计等更为有效的方式确保第三方App取得了个人的知情同意。此外,FTC还指出,虽然X-Mode会对第三方App是否取得知情同意进行监控和追踪,但其通常并未能根据监控的结果采取纠正行动。换言之,X-Mode知道第三方App并没有充分告知用户其位置数据会被基于国家安全目的提供给政府承包商,但X-Mode并没有暂停或终止与这些第三方App的合作关系,并且仍然继续使用数据。FTC认为,X-Mode自身未能充分披露处理位置数据的相关信息,以及鼓励第三方使用其提供的存在误导信息的告知模版,构成欺诈性的行为。

其四,FTC指控X-Mode主动向第三方App开发者或运营者提供存在误导信息的告知模版。由于X-Mode的绝大部分数据都是通过嵌入第三方App的SDK所获取的,因而其也依赖第三方App代其取得用户关于收集、使用和销售位置数据的知情同意。为此,X-Mode向第三方App提供了告知内容或隐私政策的模版。然而,X-Mode所提供的模版中也没有充分告知用户其数据将会被如何使用,也并未告知其位置数据会被基于国家安全目的而提供给政府承包商,而是仅告知用户其位置数据会与第三方分享以开展个性化广告业务和基于位置的分析业务。

其五,FTC指控X-Mode所提供的“X-Mode受众群体”的数据产品基于敏感特征标记个人。如前所述,X-Mode向第三方提供名为“X-Mode受众群体”的数据产品,该产品是基于用户特征对MAID进行分类。对于分类的指标,X-Mode即提供了标准、通用的“受众群体”类目,同时也能够针对客户的特别要求定制“受众群体”类目。而在这些分类指标中,不乏关于个人的敏感信息。例如,X-Mode与一家私营医疗研究公司达成许可协议,为其定制关于:1)到访哥伦比亚、俄亥俄州的心脏科、内分泌科或胃肠科诊室,以及到访药店,且逗留时间超过30分钟的个人的数据;2)访问了专业注射中心,且逗留时间超过1小时的个人的数据,同时还许可该公司能够灵活地调整分类的参数、增加定位的地点等。这表明X-Mode会基于获取医疗服务等敏感特征对个人进行标记。FTC认为,此种基于敏感特征对个人进行分类的行为,是不公平的。

基于前述“五宗罪”,FTC认为,X-Mode的行为可能会对消费者造成实质性的损害,违反了《联邦贸易委员会法案》(Federal Trade Commission Act,FTC Act)第5(a)条的规定,该规定禁止不公平或欺诈性的行为;同时,该法第五章规定,如果特定行为会对消费者产生其无法合理自行避免的实质性损害,且该损害不能被该行为对于消费者或者竞争的积极利益所抵消的,便属于不公平行为;至于欺诈性的行为,则是指对重要事实的虚假陈述或故意隐瞒。具体而言,此种实质性损害体现在以下三方面。其一,数据泄露可能对消费者产生的损害。FTC指出,X-Mode与其客户签订的许可协议当中并没有要求其客户采取与实时位置数据的敏感度相当的、合理的数据安全措施,这增加了数据泄露的风险。其二,下游数据处理者滥用数据所可能造成的损害。FTC还指出,X-Mode仅能对其所销售的实时位置数据的下游使用实施较低程度的控制或者完全没有控制,这导致了至少两起客户违反合同再销售限制条款的事件。在这些事件中,X-Mode无法知悉数据接收方的具体身份、数据用途以及是否会将其所获得的位置数据再提供给其他接收方,这使得相关消费者处于数据被滥用的风险之中。其三,X-Mode销售的数据可能被用于识别特定消费者或者到访某些敏感地点的消费者,这也可能导致消费者遭受实质性损害。具体而言,X-Mode所销售的位置数据可能被用于追踪前往礼拜地点的消费者,进而推断出消费者的宗教信仰和相关活动;也可能被用于追踪到访女性生育健康诊所的消费者,进而导致其被发现接受或考虑接受堕胎、辅助生殖等敏感的医疗程序;此外,第三方还可能会通过追踪这些到访医疗机构的消费者,进而掲示单亲家庭的居住地址。FTC指出,基于敏感特征对消费者进行分类,导致特定的消费者以及其敏感特征被识别,尤其是由并未与消费者直接建立联系的公司进行此种分类和识别,大幅偏离了消费者的隐私预期,其可能造成消费者的隐私被侵犯、遭受歧视、身体损害或者情感困扰等实质性损害。而对于消费者而言,位置数据市场是复杂且不透明的,一旦其位置数据被X-Mode等数据经纪人收集并多次销售,消费者便丧失了控制其数据被使用、传播和存储的能力,因而无法合理避免前述可能造成的损害。此外,这些可能造成的损害也不能被任何可量化的对消费者或竞争的积极利益所抵消。因此,FTC认为X-Mode违反了FTC Act第5(a)条。

FTC拟作出的处罚

2024年1月9日,FTC以3票赞成、0票反对的表决结果通过了对X-Mode的拟议命令,该命令禁止X-Mode从事一系列行为,同时要求X-Mode实施多项合规整改计划。[8]

第一,FTC拟禁止X-Mode以任何形式就其收集、使用、留存、披露或删除(下文中统称“处理”)包括位置数据在内的任何受规制的数据作出虚假陈述,即不得再有前述不向个人全面告知数据处理目的等信息的情形。所谓“受规制的数据”,是指来自或者关于个人的数据,包括但不限于姓名、位置数据、在线联系方式、电话号码、社会安全号码(SSN)、驾照或其他政府发放的身份证件号码、持续性标识符(如Cookie中存储的账号、IP地址、设备ID等),但不包括去标识化信息。“位置数据”,则是指任何能够反映移动设备或者个人实时位置的数据,包括但不限于GPS数据、基站数据或者基于BSSIDs推断出的实时位置信息、WIFI的SSID信息、蓝牙接收者的信息或者任何与这些数据相结合的具有唯一性的持续性标识符,但不包括仅能够反映设备或个人模糊位置(定位精度大于1850英尺,约564米)的数据,或者基于国家安全或公共安全目的而在美国境外收集的位置数据。

第二,FTC还拟禁止X-Mode在命令作出后180天内使用、销售或披露“敏感位置数据计划”所订明的关于敏感地点的位置数据(下文简称“敏感位置数据”),除非这些敏感位置数据是用于转换成非敏感位置数据或非位置数据,或者使用、销售和披露敏感位置数据是旨在向消费者直接提供其请求的服务,并取得了消费者可核实的明示同意。

第三,FTC还要求X-Mode建立、实施并维持一个“敏感位置数据计划”,其旨在创建一个全面的敏感地点列表,从而预防使用、销售、许可、转移或披露敏感位置数据;如果某一建筑或地点既涉及敏感地点也涉及非敏感地点,则X-Mode仅能够将位置数据与非敏感地点相关联。同时,X-Mode需要实施旨在验证和防范X-Mode使用、销售、许可、转移或披露敏感位置数据的政策、流程和技术措施,并且至少每六个月评估和测试这些措施的有效性。此外,为保障该计划的有效性,FTC还要求X-Mode遵循一系列的程序性义务,包括:1)书面记录该计划的内容以及实施、维持该计划的方案;2)指明一个高级管理人员,如首席隐私官或首席合规官,负责该计划的执行,该人需要由董事会或CEO直接任命并向其直接报告工作;3)至少每六个月评估敏感地点列表的完整性,核实该列表已经包含了X-Mode所知悉的敏感地点,并充分考虑未被纳入列表中的地点是否属于敏感地点以及需要添加到列表当中,还需要评估X-Mode所开发或采用的第三方提供的用于识别敏感地点的方法、资源、产品或服务的有效性,以及根据评估的结果更新敏感地点列表;4)在将新的地点纳入敏感地点列表后五天内,对相关位置数据进行删除或脱敏处理,除非根据前述条款能够保留和使用这些数据,在合理必要的情况下,删除或脱敏的期限可以延长到四十五天,但在此期间X-Mode不得基于任何目的再处理这些数据;5)至少每12个月或在发生可能影响该计划有效性的情形时,评估并调整该计划。

第四,FTC禁止X-Mode违背个人的隐私选择收集位置数据,同时要求其删除此前违规收集的位置数据。一方面,FTC禁止X-Mode在个人已经在操作系统中或以其他方式选择退出、限制个性化广告或追踪,且未能够保证第三方已经取得了个人的明示同意的情况下,处理设备所产生的位置数据;此外,对于X-Mode自己运营的App,除非X-Mode清晰、显著地告知个人其位置数据正在被收集,并提供关于如何拒绝位置数据被收集的简要提示说明,或者X-Mode确认个人所使用的操作系统能够提示其位置数据正在被收集(如iOS在App收集数据时会弹出标识),抑或操作系统在默认情况下会限制App的位置数据收集功能,否则也不能够处理相关位置数据。另一方面,在该命令生效后90天内,对于无法证明在处理位置数据前已经获得个人同意的数据,X-Mode不得再作进一步处理。

第五,FTC要求X-Mode对其数据接收者(客户)实施有效的控制措施,以防止数据接收者将位置数据与公众知悉的向LGBTQ群体提供服务的地点、公共机会的地点进行关联,或者推断个人的住所位置。具体而言,这些控制措施包括:1)禁止数据接收者以原始形式向第三方再销售、转移或披露位置数据,以及将位置数据与前述敏感地点相关联;2)使用标记技术以发现数据接收者不遵守合同条款的情况;3)至少每十二个月评估并记录一次接收者的守约情况;4)当数据接收者违反合同条款时,终止合作。

第六,针对X-Mode从其他数据经纪人或数据聚合者处购买位置数据的行为,FTC要求X-Mode实施一个旨在确保数据供应者已经就位置数据的收集、使用和转移取得了个人的知情同意的“供应商评估计划”,此种评估应当在X-Mode与第三方供应商达成数据共享协议后三十天内或该命令生效后三十天内进行,并且每年重新进行评估。对于未能取得同意的位置数据,X-Mode需要将其排除在处理范围之外。

第七,对于通过X-Mode自己运营的App所获取的位置数据,FTC要求X-Mode就此给予个人撤回同意和要求删除的权利。首先,X-Mode需要向个人提供简便、显著的撤回关于位置数据处理的同意的方式,如能够取消操作系统所给予App的收集位置数据权限的链接或按钮,并要求X-Mode不能基于任何其他目的而进一步处理为撤回同意而收集的任何数据。当X-Mode接到个人关于撤回其同意的请求后,需要在15日内停止所有关于该App或设备的位置数据收集活动。FTC还强调,X-Mode所运营的App不得不合理地限制消费者撤回同意的权利,例如以降低其所提供的产品或服务的质量作为撤回同意的报复,除非处理位置数据是保持此种质量所必需。其次,X-Mode需要向个人提供简单、显著的要求其删除此前收集的位置数据的方式,并在收到删除请求后的三十日内删除位置数据。但是,X-Mode可以基于防范、政策或调查数据安全事件,或防范欺诈和直接针对其的非法活动,在满足此类目的的最小、合理、必要的时限内保留这些位置数据,但不得将其挪用于其他目的。

第八,对于通过X-Mode嵌入在第三方App中的SDK所收集的位置数据,FTC要求X-Mode删除其中不合规的数据并向个人告知。具体而言,FTC要求X-Mode在命令生效后60日内删除或销毁所有通过SDK收集的历史位置数据,并就此向FTC提供一份书面声明,除非X-Mode能够在90日内获得相关个人的可核实同意,或者在此期间对这些数据进行去标识化或脱敏处理。此外,在命令生效后的90日内,X-Mode需要告知消费者其近三年收集的位置数据都将会依照FTC的要求被删除、去标识化或脱敏处理,同时还需要将告知的情况报告FTC。

最后,FTC还要求X-Mode建立、实施并维持一个全面的隐私计划以保障受规制数据的安全,这一计划需要由一个或多个合资格的员工负责实施,并且至少每十二个月评估并记录关于受规制数据的内部和外部隐私风险,包括未经授权的收集、存储、使用、访问、披露的风险,以及根据所识别的风险采取与其性质和敏感度相匹配的安全措施,还需要每十二个月评估此类措施的有效性,并根据结果进行调整。此外,FTC还要求其中包含每年向所有能够访问或持有受规制数据的雇员和独立合同承包商提供隐私培训的计划。为保障该计划的有效实施,FTC要求前述负责实施的合资格员工需要至少每十二个月向董事会进行报告。

结语

本文以X-Mode为例,介绍了该案的背景、FTC的指控和处理结果,从中可以看出FTC如何对数据经纪人进行监管。具体而言,在《美国隐私和数据保护法》(American Data Privacy and Protection Act,ADPPA)这一综合性数据保护立法历时两年仍然未能出台,以及2023年6月向参议院提交的针对数据经纪人进行监管的《数据删除和限制数据追踪及交换法案》(DELETE法案)也无起色的情况下,《FTC法案》第5条“禁止欺诈或不公平实践”条款便成为了监管和处罚的抓手。通过该条款,能够有效约束包括数据经纪人在内的数据处理者不完整告知、虚假告知、不遵守隐私政策以及滥用数据侵害个人权益的行为,从而在联邦层面为美国个人的个人信息提供一定程度的保护。但此种监管模式的弊端也是显著的,FTC在2022年8月发布的针对制定关于“打击有害的商业监视和松懈的数据安全”规则的《关于拟议中制度制定的预先通知》(Advance Notice of Proposed Rulemaking,ANPR)中也提到,当前依赖《FTC法案》的个案执法模式存在较大的不足。一方面,依赖单薄的、原则性的条款进行个案监管和执法,难以为企业和个人的行为提供明确的指引和预期。另一方面,由于《FTC法案》规定FTC不能够在没有制定详细规则的情况下对初次违法行为进行罚款,FTC难以通过增加违法成本阻却违法行为的发生,使得对个人权益的保护具有滞后性。[9]由此看来,利用《FTC法案》规制日趋庞大的数据经纪人行业,实属是“无奈的选择”,未来仍需ADPPA等联邦层面立法或FTC所提出制定的《商业监视和数据安全规则》等部门规则出台,才能够为个人信息提供充分、有力的保障,同时厘清数据处理者的行为边界和违法后果。

[1] 赵润卓:《数据经纪人产业治理方向》,https://mp.weixin.qq.com/s/bU20U1HwkK2w2mgdUfbsjw。

[2] X-Mode Social, Inc, https://www.ftc.gov/legal-library/browse/cases-proceedings/2123038-x-mode-social-inc.

[3] How the U.S. Military Buys Location Data from Ordinary Apps, https://www.vice.com/en/article/jgqm5x/us-military-location-data-xmode-locate-x .

[4] Biden to warn FTC about abortion related data sharing, https://www.axios.com/2022/06/30/biden-ftc-abortion-data-sharing .

[5] FTC Sues Kochava for Selling Data that Tracks People at Reproductive Health Clinics, Places of Worship, and Other Sensitive Locations, https://www.ftc.gov/news-events/news/press-releases/2022/08/ftc-sues-kochava-selling-data-tracks-people-reproductive-health-clinics-places-worship-other .

[6] Warren Announces Two Key Data Brokers’ Commitment to Permanently Stop Selling Location Data of People Seeking Abortion Services, https://www.warren.senate.gov/newsroom/press-releases/warren-announces-two-key-data-brokers-commitment-to-permanently-stop-selling-location-data-of-people-seeking-abortion-services.

[7] COMPLAINT, https://www.ftc.gov/system/files/ftc_gov/pdf/X-Mode-Complaint.pdf.

[8] FTC Order Prohibits Data Broker X-Mode Social and Outlogic from Selling Sensitive Location Data, https://www.ftc.gov/news-events/news/press-releases/2024/01/ftc-order-prohibits-data-broker-x-mode-social-outlogic-selling-sensitive-location-data. DECISION, https://www.ftc.gov/system/files/ftc_gov/pdf/X-Mode-D%26O.pdf.

[9] 何深睿:FTC《商业监视和数据安全规则》综述,https://mp.weixin.qq.com/s/tUX6jTr4KiBQfOckLoZxVw。

撰稿 | 何深睿,清华大学智能法治研究院实习生

选题&指导 | 刘云

编辑 | 王欣辰

注:本公众号原创文章的著作权均归属于清华大学智能法治研究院,需转载者请在本公众号后台留言或者发送申请至computational_law@tsinghua.edu.cn,申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。

声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。