本文节选翻译自美国联邦贸易委员会(FTC)《2017年隐私与数据安全保护工作报告》。FTC作为美国在消费者保护和禁止市场不公平或欺诈行为领域的重要执法机构,在2017年的执法工作中交出了一份不俗的成绩,其执法范围广泛、对象多元、手段多样,其中不乏公众耳熟能详的公司企业与热点性事件。我们选取其中有关消费者隐私权保护的执法案例部分,关照我国近年来愈发受到关注的个人信息和数据安全问题,对比之间可以发现不少有趣的相似之处,以资诸位同仁思考借鉴。
一、美国联邦贸易委员会(FTC)的主要职能
美国联邦贸易委员会(以下简称FTC)是执行多种反托拉斯和保护消费者法律的联邦机构。FTC的授权主要来自于《联邦贸易委员会法》第5条,该法禁止在市场中实施不公平或欺骗性的行为。FTC也有权执行一些具体领域的部门法,包括《真实借贷法》、《反垃圾邮件法》、《儿童在线隐私保护法》、《平等信用机会法》《公平信用报告法》、《公平债务催收实践法》和《电话营销与消费欺诈滥用防治法》。上述授权使得FTC可以将执法范围覆盖到与消费者相关的各个方面,包括那些伴随着新技术应用和商业模式不断发展而出现的新兴领域。
二、FTC如何保护消费者隐私并促进数据安全?
FTC采取多重手段来保护消费者隐私和个人信息。其中最主要的手段就是采取强制执法措施来制止违法行为,并要求企业采取积极整改措施。
具体包括:隐私与安全项目的全面落实,建立两年一次的独立专家评估制度,建立对于消费者的赔付救济,不当得利的追缴,删除非法获取的消费者信息,为消费者提供强有力的透明度和选择机制保障。如果一家公司违反了FTC的相应指令,则FTC可以将该违法行为诉诸于民事处罚程序。当然FTC还可以对某些违反隐私法令和规则的行为直接主张获得民事罚款的支持,法令和规则的范围包括《儿童在线隐私保护法》、《公平信用报告法》和《电话销售规则》等等。 迄今为止,FTC已经通过上百个隐私与数据安全的执法案例为百亿计的消费者提供了保护。
FTC的其他业务还包括开展相应领域的研究并发布研究报告,公开召开专题研讨会,向消费者和商家发放普法教育材料,在事关消费者隐私权领域提出相应的立法建议与监管方案。并针对全球隐私权问题和问责制开展国际合作。
在其所有的隐私保护工作中,FTC始终不忘初心:致力于保护消费者个人信息,并确保消费者安于享受市场行为中的产品利益而不必过分担心遭受欺诈。
三、执法行动
FTC在消费者隐私权执法方面拥有无与伦比的经验,其曾经发起超过500个有关消费者个人信息及隐私权的执法行动。它的执法范围已经覆盖到线下、线上以及移动端,执法对象涵盖包括谷歌、Facebook、 Twitter、微软在内的知名企业,也包括一些不甚知名的公司。FTC有关消费者隐私权的执法重点聚焦于对美国本土消费者权益的保护,但同时也保护全世界各地的消费者免受FTC管辖范围内企业存在的不公平或欺诈行为的侵害。
2017年,FTC已经针对一系列隐私问题开展执法行动,涵盖了垃圾邮件、社交网络、基于在线行为的广告投放、仿冒欺诈、间谍软件、P2P文件共享、手机等诸多场景与情形。其中,有关垃圾邮件和间谍软件的执法案例超过130件,有关一般隐私权的法律诉讼超过50起。在其2017年的工作报告中,FTC已经公布了以下针对消费者隐私权的执法案例:
1、联想Lenovo
据FTC和32个州的检察长指控:联想公司作为全球最大的计算机生产商,自2014年开始在美国境内销售个人电脑,其中包含一款名叫VisualDiscovery的预装软件,存在干涉用户浏览器与互联网进行信息交互的问题。投诉中称,由Superfish公司研制开发的VisualDiscovery软件,会在用户查看网站上的某类商品时,利用弹窗广告的方式向用户推送其公司合作伙伴正在销售的同类产品。为了推送广告,visualdiscovery充当起消费者的浏览器与他们所访问网站之间“中间人”角色,甚至包括加密的敏感网站。FTC称,这个“中间人”visualdiscovery可以在消费者既不知情也未授权同意的情况下直接访问消费者的全部个人敏感信息,包括登录证书,社保账号,医疗信息,金融和支付类信息。FTC称,抛开其他不论,联想对于visualdiscovery在消费者和其所访问网站(包括敏感的加密网站)之间充当中间人角色、并收集用户的上网数据传输给Superfish等事项未尽到披露义务,属“不公平的”和“欺诈性的”行为。
2、优步Uber
在一起网约车平台Uber被FTC指控并和解的案子中,FTC投诉Uber并未如它所承诺的那样将密切监察其员工获取消费者和司机信息的权限,构成对消费者的欺诈。根据指控,在出现关于“Uber员工存在不当访问消费者数据问题”的新闻报道之后,该公司随即发表声明:除为了实现有限的合法商业目的外,公司对于员工访问消费者和司机数据的问题上具备“严格限制”。同时,公司还将密切持续监察员工对于消费者和司机数据的的访问情况。 2014年12月,Uber开发了一款自动化系统来监测员工获取消费者信息的情况,但该公司在投入使用不到一年后就停止使用了。FTC指控到,Uber在系统上线的九个多月后,便几乎停止了对内部访问用户和司机信息情况的监测。根据拟达成的协议,Uber同意执行全面的隐私项目计划,并进行定期且独立的审计。
3、环球蓝联Blue Global
FTC投诉环球蓝联(一家领先级企业)存在误导消费者填写贷款申请书的情况,并将这些申请中所包含的信息(包括消费者的敏感信息)卖给愿意为其付费的任何人。 投诉中称,环球蓝联运营了数十家网站,向寻求各种贷款的消费者提供服务,包括发薪日贷款和汽车贷款。 该公司声称它将提供100个成员以上的贷方网络,为每一个贷款申请人匹配到提供最佳条件的贷款方。 FTC指出:事实上蓝联极少向贷款方出售贷款申请,也并非基于利率或其他条件对申请进行匹配,而是把贷款申请书(中的消费者信息)卖给第一个出价的买家。蓝联还承诺将保护消费者敏感信息的安全,例如社保账号和银行账号,并声称这些信息只提供给“值得信任的贷方合作伙伴”。 FTC进一步指控到:蓝联将向消费者收集到的完整贷款申请信息无条件地出售给任何买家,且对于信息的未来使用情况漠不关心。这导致了消费者敏感的个人信息和财产信息,在未获得信息主体知情或同意的情况下被随意共享和出售。
4、Upromise
一款名为 Upromise的会员奖励服务,目标人群定位在正打算存钱上大学的消费群体,在2012年因为隐私问题被FTC处以50万美元的民事罚款。此后,Upromise开始鼓励消费者下载一款名为 “RewardU”的浏览器工具栏。FTC要求 Upromise对RewardU收集、使用数据的情况进行明晰而显著地披露,并就工具栏在保护消费者个人信息的具体措施及其有效性方面措获得第三方的评估、认证。FTC称 Upromise 未能履行上述要求。
5、 VIZIO, Inc.
VIZIO公司作为世界上最大的智能电视生产商与销售商,同意支付220万美元和解费以应对FTC和新泽西州总检察长的指控,原因是它在电视上安装的软件,在没有保障消费者知情或取得同意的情况下收集了1100万台电视上的观看数据。根据投诉,VIZIO生产的智能电视不但能够抓取电视中正在播放视频的信息,并且能够添加具体的人口统计数据与观看数据相匹配,例如性别、年龄、收入和婚姻状况。据说VIZIO此后将上述信息出售给第三方用于各种用途,包括通过设备向消费者推送广告。FTC还指出:VIZIO在未经观众知情同意的情况下进行数据追踪,涉嫌违反FTC法案和新泽西州的消费者保护法,构成不公平竞争和欺诈。
6、SQ Capital
在SQ资本案中,FTC开出了410万美元的罚单,并且在处理消费者债务的财产类敏感信息方面获得一纸禁令,以限制SQ资本向收债人出售虚假发薪日贷款清单的行为。投诉中称,SQ资本出售了包含有数百万消费者信息的虚假发薪日贷款债务清单,被讨债人用于催收借款。清单中涉及大量广泛的个人信息,包括社保账号、银行账号。结果,消费者因为虚假债务而不胜其扰,甚至在某些纠纷下,他们还偿还了假债。
7、ACDI Group
FTC向ACDI集团提出指控,称其购买了一项超过2000笔逾期贷款的投资组合。虽然这些贷款后来被证实是伪造的,但是随债务清单附上的姓名、地址、社保账号、电话号码和电子邮件地址却都是真实的。据称,ACDI集团利用上述个人信息进行收账,并且在得知这些贷款系伪造、且已经因为前述的债务组合投资获得全额的退款之后,仍然要求清单上的个人偿还贷款。
8、 Stark Law
FTC和伊利诺斯州总检察长在债务催收业务和债务组合出售领域对Stark Law(一个虚假债务催收计划的运营者)获得一纸禁令,要求后者上缴总数至少在900万美元以上的资产用于返还给消费者。FTC还禁止Stark Law在金融产品和服务方面做虚假宣传,禁止他们将挑战性实践活动中收集来的用户个人信息用于获利以及未能妥善处置这些信息的行为。据投诉,至少从2011年起,Stark Law将目标锁定为已获得或正在申请发薪日贷款或其他短期贷款的消费者,迫使他们偿还虚假贷款或Stark Law无权催收的债务。Stark Law被指控利用消费者的个人敏感信息和财务信息,致电后者要求立即支付所拖欠的贷款。
9、Turn Inc.
FTC针对移动互联网广告公司Turn做出最终决定:该公司存在欺诈消费者的行为,具体表现为误导消费者,使他们相信自己可以减少通过手机上网被该公司追踪的程度。FTC在申诉中称,Turn告知其用户他们可以选择删除cookies或更改设备设置从而免于被跟踪。然而在2013年,Turn与运营商Verizon Wireless 开启合作项目,后者可以根据用户的手机流量使用情况为其添加唯一的识别码,由此Turn可以追踪到数百万Verizon Wireless用户的设备,并在这些设备上重现cookies,即使设备的使用者已经删除这些cookies或者重置设备识别码。此外,FTC还指控该公司提供的opt-out机制仅适用于移动端浏览器,且并未有效阻止移动端匿名化的广告推送。
10、Jerk.com
FTC修订了其在对Jerk.com运营者做出的决定中有关合规监管条款的部分,以回应第一巡回法庭对FTC在本案中责任判定的认可,同时法院也支持了FTC在补充决定中所认定的其他内容。FTC投诉称,Jerk.com是一家标榜“反社交网络”的网站,其声称该网站上的内容来自于用户发布的事实存在对消费者的误导。事实上,Jerk.com上的绝大部分内容都来自于该网站运营者对Facebook用户档案内容方面的挖掘。FTC同时指出,Jerk.com还对价值30美元的会员利益上进行了误导性宣传,声称加入会员后可以允许消费者对自己在Jerk.com上的档案内容进行修改。事实上,用户在购买会员后根本无法修正他们在网站上的信息,甚至根本没有享受到任何会员福利。
译者:刘笑岑,美团点评法律研究中心高级研究员
声明:本文来自美团点评法律评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。