美国联邦贸易委员会2018年隐私与数据安全报告
译者张露予
(中国社会科学院大学法学系博士生)
一 美国联邦贸易委员会2018年隐私与数据安全的相关更新
美国联邦贸易委员会(FTC或委员会)是独立的执法机构,承担的职能包括消费者保护和促进市场竞争。FTC的主要法律授权来自《联邦贸易委员会法》第5条,该条规定禁止在市场上实施不公平的或欺骗性的行为。FTC还有权执行多种具体的法律,包括《真实借贷法》、《反垃圾邮件法》、《儿童网络隐私保护法》、《平等信用机会法》、《公平信用报告法》、《公平收债法》以及《远程销售和消费者欺诈和不公对待防治法》。这样广泛的权力使FTC能够处理影响消费者的各种行为,包括随着技术和商业模式的新发展而出现的行为。
FTC如何保护消费者隐私并促进数据安全?
为保护消费者的隐私和个人信息,FTC可使用各种规制工具。FTC主要以采取执法行动的方式来制止违法行为,并要求公司采取积极措施来纠正违法行为。这包括在适当的时候执行全面的隐私和安全方案、由独立专家进行两年期评估、向消费者提供金钱赔偿、没收违法所得、删除非法获得的消费者信息,以及向消费者提供有力的提高透明度的措施和选择机制。如果一家公司违反了FTC的行政指令,FTC可就相关违法行为诉请民事罚款。FTC还可以对违反某些隐私法规和规则的行为诉请民事罚款,这些法规包括《儿童网络隐私保护法》、《公平信用报告法》、《电话销售规则》、《公平收债法》和《反垃圾邮件法》。迄今为止,FTC已受理了数百件隐私和数据安全案件。
FTC的其他规制工具包括进行研究和发布报告;举办公共研讨会;为消费者和企业编写教育材料;在美国国会作证,对影响消费者隐私的立法和规制提案进行评论;与国际伙伴合作,讨论全球隐私和问责问题。
在其所有隐私和数据安全工作中,FTC的目标始终如一:保护消费者的个人信息;并保证消费者有信心享用市场提供的各种产品的诸多益处。
二 执法
FTC在消费者隐私执法方面拥有丰富经验,已采取数百项保护消费者隐私的执法行动,这些执法行动的对象包括线下、线上和移动电话环境中的相关行为。FTC已对包括谷歌、脸书、推特和微软等知名公司及其他公司采取了执法行动。FTC的消费者隐私执法侧重于保护美国消费者,但FTC通过执法营造出公平的市场秩序,也保护了全球消费者避免遭受FTC管辖范围内的企业的不公平待遇或欺骗行为。
(一)一般隐私
FTC已采取执法行动解决各种隐私问题,包括垃圾邮件、社交网络、行为广告、预先短信、窥伺软件、P2P文件共享以及手机等涉及的隐私问题,包括130个垃圾邮件和窥伺软件案件以及75起一般隐私诉讼。2018年,FTC公布了以下隐私类案件:
*FTC和内华达州获得了法院的最终命令,命令关闭报复色情网站
MyEx.com并要求运营商支付超过200万美元的罚款。FTC和内华达州诉称MyEx.com索取了受害者的亲密照片和视频,以及他们的姓名、地址、雇主和社交媒体账户信息等个人信息。据称,在受害者要求从网站上删除其图像和信息的情况下,被告会收取受害者499美元到2800美元不等的费用。除了关闭网站和处以罚款外,法院还禁止被告发布其所拥有的私人图像和个人信息,并要求被告销毁所有此类图像和信息,禁止他们向个人收取从网站删除这些内容的费用。该命令进一步要求,当第三方知道该网站发布报复色情内容的情况下,第三方禁止使用由被告运营的任何网站。
*FTC与PayPal公司达成和解。据称,除其他事项外,PayPal的P2P支付服务——Venmo中的隐私设置存在欺骗性。诉状称,Venmo未如实陈述保护金融交易隐私的必要步骤。该诉状还指称Venmo没有满足《格雷姆—里奇—比利雷法》(“GLB法”)隐私规则和保障规则的要求。该和解协议禁止Venmo在隐私设置中对其控制能力做出虚假陈述,并要求Venmo对其隐私行为做出积极的披露。
*FTC称,手机制造商BLU Products公司及其共有人允许中国的第三方服务提供商收集消费者的详细个人信息,例如短信内容,即使该服务提供商根本不需要这些信息,这与BLUProducts公司向消费者做出的承诺背道而驰。和解协议中要求,被告必须实施全面的数据安全计划,以防止消费者的个人信息遭到未经授权的访问,并解决与BLU手机相关的安全风险。此外,BLUProducts公司将每两年接受一次对其安全计划的第三方评估,为期20年。
*FTC指控Sunkey出版社和Fanmail.com使用欺骗手段获取消费者的个人信息,以将其作为高等教育市场指导信息销售。诉状称,被告以对服兵役感兴趣的消费者为目标,通过冒用并运营诸如army.com,armyenlist.com和navyenlist.com等的军队征兵网站,诱使消费者在线上提供个人信息。该诉状进一步指控被告向消费者承诺,在其冒用的征兵网站上提交的信息不会与其他任何人共享。消费者在提交信息后会接到运营方推销员的电话,在这一过程中他们会继续扮演军队的角色。FTC获得了一项法院命令,要求被告停止欺骗行为,并对其处以超过120万美元的民事罚款。法院还要求被告移交数个用于欺骗消费者的军事相关域名,被告接受了这一处罚。
*在移动货币代码案中,FTC获得了针对被告的法院最终命令。被告通过欺骗性垃圾邮件与消费者联系,并向消费者虚假承诺通过每天使用被告的移动货币代码产品可赚取数百至数千美元,由此骗取了数百万美元。事实上,这些产品只不过是通用的软件应用,可以帮助用户创建更便于手机使用的网站。法院最终判处了700万美元的罚款,同时冻结了被告698500美元的应收款项,这笔款项将用于退还给受被告诈骗的消费者。法院命令还禁止被告使用通过其违法行为收集到的任何消费者信息。
*在联盟法律集团案中,FTC制止了一起通过伪装成律师并威胁起诉或逮捕消费者,从而收取虚假债务的行为,判处被告超过700万美元的罚款。被告的收款员拥有消费者的私人信息——包括社会保障号码、银行账号、亲属的姓名和联系方式——使消费者相信这些电话是合法的收款行为,因此消费者必须支付据称拖欠的债务。
*FTC制止了Lombardo,Daniels和Moss的假债务催收计划。FTC指控被告利用恐吓和欺骗手段,以拖欠应付的贷款或其他债务为由,从消费者处收取超过210万美元的款项。FTC指控被告获取了消费者的私人财务信息,然后利用这些信息使消费者相信他们是来催收债务的合法讨债人。最终的法院命令禁止被告买入或出售债务,禁止其通过违法行为利用所收集的客户个人信息,并从中获利,也禁止被告不适当地处理这些信息。
*在Hylan资产管理有限责任公司案中,FTC和纽约总检察长办公室指控该公司的两个业务部门及其负责人就虚假债务和未经授权的债务向消费者收款。根据FTC的说法,被告购买、收集并出售虚假债务清单,包括由被告捏造或消费者提出异议的债务。FTC称,被告获得了消费者的私人财务信息,然后用它来说服消费者——他们是催收债务的合法收款人。许多幽灵债务都是从一些个人手中购得的,这些个人要么此前被禁止出售债务组合,要么处理过关于消费者债务的敏感财务信息。
*FTC宣布对脸书的隐私行为进行非公开调查。此前有媒体报道称,该公司可能与剑桥分析公司共享消费者信息,这违反了脸书与FTC的和解协议。
(二)数据安全和身份盗窃
自2002年以来,FTC针对涉及不公平或欺骗性行为的公司提起了65起诉讼,其中涉及到了对消费者个人数据保护不足的情况。2018年的重大进展包括:
*优步科技公司同意由2016年数据泄露引发的额外和解要求。FTC于2017年先行宣布了针对优步的隐私和数据安全和解方案。在该公告发布后,FTC了解到优步未能披露在FTC调查中发生的严重泄露消费者数据的情况,正是这一情况导致了2017年和解方案的制定。由于优步与2016年信息泄露有关的不当行为,优步现在需要接受额外的要求。除其他事项外,如果优步未能向FTC披露某些涉及未经授权访问消费者信息的事件,修订后的和解协议将使其受到民事处罚。
*在上文提到的针对手机制造商BLUProducts公司及其共有人的指控中,FTC称,被告谎称他们已经实施了“适当的”物理、电子和管理程序来保护消费者的个人信息。事实上,根据投诉,被告未能实施适当的安全程序来监督其服务提供商的安全行为。因此,预装在BLU设备上的软件会包含常见的安全漏洞,可能使攻击者能够获得对设备的完全访问权限。
*在上文提到的关于Venmo的指控中,Venmo声称它使用了“银行级安全系统”,FTC指称该公司虚假表述了它向消费者金融账户提供的安全保护程度。FTC称,Venmo至少在2014年8月前,没有书面的信息安全计划,并且至少在2015年3月之前,在用户的密码或电子邮件地址发生变更或有新设备添加到账户时,Venmo未做到通知用户。因此,在未经授权的他人从Venmo用户账户中提取资金的情况下,Venmo未做到通知用户。此外,Venmo缺乏足够的客户服务来回应消费者对这些事件的投诉。
*FTC开展了阻止销售假文件的行动,其中假文件指用于进行身份盗用和其他欺诈行为的虚假文件。作为该行动的一部分,FTC诉称Katrina More,Steven Simmons,George Jiri Strnad及其相关企业通过销售假文件来从事不公平行为,其销售的假文件为看起来很真实的文件,例如工资单、纳税申报表和银行对账单。根据投诉,More的网站还提供伪造服务,承诺用虚假信息编辑真实银行对账单和类似文件。据称,Strnad的网站提供假工作验证服务,使欺诈者能够使用假工作申请贷款。
FTC和解协议禁止被告出售假证件或从事制作假证件的任何服务,同时没收被告的非法所得。
*VTech电子有限公司及其美国子公司受到了未能采用合理和适当的数据安全措施来保护个人信息的指控,并同意达成和解。FTC称,被告未能实施适当的保护措施,例如实施入侵检测或建立预防系统,以保护其收集的个人信息。被告所有的个人信息是通过Kid Connect移动应用程序收集的。被告相关数据安全措施的不完善导致黑客能够访问其计算机网络以及用户的个人信息,其中包括儿童。VTech电子有限公司声称,用户通过其LearningLodge和PlanetVTech平台提交的大多数个人信息都将被加密,而事实上该公司未能加密这些数据。FTC称该公司因做出虚假表述而违反了《联邦贸易委员会法》。在和解协议中,被告同意实施全面的数据安全计划,以及接受为期20年的双年度独立审计。
(三)信用报告与财务隐私
《公平信用报告法》(“FCRA”)对使用数据的公司设定了诸多要求,这些公司使用数据来确定信用度、保险资格、就业是否合适和甄别租户。FTC对违反《公平信用报告法》的公司提起了10多起诉讼,并收缴了超过3000万美元的民事罚款。《GLB法》要求金融机构向消费者发送初始和年度隐私声明,并允许他们选择不与无关联第三方分享信息。它还要求金融机构实行合理的安全政策和程序。2005年以来,FTC针对违反《GLB法》的行为提起了将近30起诉讼。2018年,联邦贸易委员会提起以下诉讼:
*因违反《公平信用报告法》,未采取合理措施来确保其向房东和物业经理提供的租户筛选信息的准确性,RealPage公司受到FTC指控并达成和解,同意支付300万美元的民事罚款。FTC称,从2012年1月至2017年9月,RealPage公司使用广泛标准将申请人与犯罪记录相匹配,但仅对匹配结果使用了有限的过滤手段,并且没有制定规则或程序来评估这些结果的准确性。RealPage公司的筛选报告将一些潜在的租房者与不属于他们的犯罪记录联系起来,导致这些租房者可能会被房东或其他租房机会所拒绝。除民事处罚外,和解协议还要求
RealPage公司持续使用合理的程序,以确保其消费者报告中包含的个人信息的最大准确性。
*6月,就FTC的指控,联邦法院判决信用局中心及其所有者支付超过520万美元。FTC指控信用局中心使用伪造的出租房产广告和“免费”信用报告的来欺骗消费者,诱使消费者注册每月信用监控服务,且该服务耗资不菲。许多消费者在注意到银行或信用卡账单上的额外收费前,并没有意识到他们已经注册该服务,有的消费者甚至在几个计费周期之后才发现这一点。
*在Lending Club公司案中,FTC指控该公司没有提供符合《GLB法》隐私规则和条例要求的隐私声明。FTC指控Lending Club公司违反了这些规则。该公司在收集客户的财务数据之前,没有向客户提供明确及明显的初始隐私声明,也没有确保客户会收到该通知。相反,客户为了找到该隐私声明,需单击使用政策这一条款的链接,然后进一步查找LendingClub公司的隐私政策的链接。
*FTC向联邦地方法院起诉,要求向AlianceSecurity公司颁发初步禁令。FTC称该公司是一家家庭安全设置安装公司,其创始人在消费者不知情或未经消费者许可的情况下获得了数十万份消费者信用报告,违反了《公平信用报告法》。
*上文提到的FTC与P2P支付服务Venmo的和解协议中称,Venmo不符合《GLB法》隐私规则和保障规则的要求。诉状称,Venmo并不满足隐私规则的要求,未向消费者递交年度隐私声明。FTC还指控Venmo违反了保障规则的要求,该规则要求金融机构实施保障监督,保障客户信息的安全性、保密性和完整性。
(四)国际执法
FTC执行重要的国际隐私框架,包括欧盟—美国隐私盾框架和亚太经济合作跨境隐私规则体系。它还执行瑞士—美国隐私盾框架,该框架以欧盟—美国隐私盾牌为蓝本。
欧盟—美国隐私盾框架为公司将个人数据从欧盟转移到美国提供了法律机制。该框架由美国商务部管理,通过商定的隐私盾原则保护消费者的隐私和安全。FTC在确保公司隐私承诺的执行方面发挥了重要作用,因《联邦贸易委员会法》第5条规定了违反承诺的法律后果。该框架于2016年8月开始运作,今年,FTC与商务部和其他美国政府机构一起参加了该框架的第二次年度审查。
FTC还是亚太经济合作组织跨境隐私规则体系(APEC CBPR体系)中的隐私政策执行机关。APECCBPR系统是一个自愿、可执行的行为准则,旨在增强美国和其他APEC成员之间的消费者个人信息的隐私和安全。在该系统下,参与公司可被认证为符合APECCBPR计划的要求,即实施APEC的九个数据隐私原则。
FTC在这些国际隐私框架下履行其执法职责,采取了51项行动——其中39项采用较旧的“美国—欧盟安全港”计划,4项采用APEC CBPR体系,8项采用隐私盾框架。在过去一年中,FTC提起了以下诉讼:
*五家美国公司被指控其误导消费者,使消费者误认为其参与了欧盟—美国隐私盾框架。这些公司与FTC达成了和解。根据FTC的指控,ReadyTech公司在其网站上虚假地声称,它正处于加入欧盟—美国隐私盾框架的认证过程中,但实际上,该公司未完成加入欧盟—美国隐私盾框架所需的步骤。FTC还指控,IDmision公司虚假地声称其参与了欧盟—美国隐私盾框架,事实上,它也从未完成认证的必要步骤。FTC称,SmartStart、VenPath、muroment等公司均在其网站上声明他们参与了隐私盾牌框架,但事实上,它们的认证已失效。
(五)儿童隐私
1998年的《儿童网络隐私保护法》(“COPA”)一般要求网站和应用程序在收集13岁以下儿童的个人信息前,需要获得可验证的父母同意。自2000年以来,FTC共处理了25宗《儿童网络隐私保护法》案件,并收取了数百万美元的民事罚款。2013年,FTC更新了它的监管规则,即通过实施《儿童网络隐私保护法》来以处理影响儿童隐私的新发展——如社交网络、智能手机上网以及使用地理信息的能力。在过去一年里,FTC采取了下列行动:
*在FTC诉VTech电子有限责任公司及其美国子公司的案件中,FTC称,被告从数十万名儿童那里收集了个人信息,但未能提供他们的收集信息时的通知或获得可验证的父母同意。被告也未能按照《儿童网络隐私保护法》的要求,使用合理的数据安全保护措施保护儿童的个人信息。在和解协议中,被告同意支付65万美元的民事罚款。
*FTC针对人才搜索公司Explore Talent的控诉称,该公司实际掌握了超过10万名13岁以下儿童的个人信息,但没有向父母提供有关其收集信息行为的通知或获得可验证的父母同意。为了解决违反《儿童网络隐私保护法》的指控,ExploreTalent公司同意支付235000美元的民事罚款。
*FTC向总部位于中国的Gator集团有限公司和总部位于瑞典的Tinitell公司发出警告信,通知他们:销售给美国儿童使用的智能手表必须遵守《儿童网络隐私保护法》。FTC的警告信中指出,对两公司服务的审查表明,在收集、使用或披露儿童的个人信息(包括地理定位信息)之前,这些公司似乎没有提供关于收集行为的通知或寻求可验证的父母同意。
*娱乐软件评级委员会(ESRB)对《儿童网络隐私保护法》规则下的安全港计划提出了修改建议,获得了FTC的批准。FTC的《儿童网络隐私保护法》包括一个安全港条款,允许行业团体和其他机构向FTC提出申请,由FTC批准实施“对儿童给予同样或更大的保护”的自律准则,这些准则将载于《儿童网络隐私保护法》规则中。在多数情况下,经FTC批准参与安全港计划的公司和组织应遵守安全港准则规定的审查和纪律程序,这将代替正式的FTC调查和执法。在审查了公众意见之后,FTC批准了娱乐软件评级委员会现有安全港计划的修改。
(六)请勿拨打电话
203年,FTC修改了《电话销售规则》(“TSR”),以创建一个全国“请勿拨打电话”(DNC)登记机构,该注册机构现在拥有超过2.35亿个有效登记。“请勿拨打电话”条款禁止卖家和电话推销员从事某些侵犯消费者权利的滥用行为,包括致电“请勿拨打电话”登记机构中登记的号码,在消费者要求不再接听电话后致电消费者,并使用自动语音电话联系消费者以销售商品或服务。自2003年以来,FTC已经针对电话推销员违反“请勿拨打电话”条款的行为提起了140起诉讼。通过这些执法行动,FTC处以民事罚款、寻求对电话销售诈骗受害者的货币赔偿以及没收465家公司和374名涉案人员的违法所得。到目前为止,已结案的126起案件总共产生了超过15亿美元的民事处罚、赔偿及追缴,实际收款超过1.21亿美元。在过去一年中,FTC采取行动,解决或赢得了以下的判决:
*FTC起诉了一家膳食补充剂企业RedwoodScientific Technologies,该公司使用非法的自动语音电话销售可溶解的口服薄膜条,并进行欺骗性的宣传,声称其产品可作为有效的戒烟、减肥和性能辅助工具。FTC称这些产品不符合被告的宣传,并且被告对骚扰性自动语音电话的使用违反了《电话销售规则》的规定。法院批准了FTC的动议,暂时停止这些产品的营销。诉讼正在进行中。
*在上文提到的SunKey出版社案中,被告经营冒用的军队征兵网站,例如army.com和navyenlist.com,他们将目标对准希望加入武装部队的人,谎称与军方有关联,进而欺骗他们,并将受害者的个人信息作为高等教育市场指导信息进行销售。被告同意就相关指控与FTC达成和解。FTC称,被告违反了《电话销售规则》的“请勿拨打电话”条款,向“请勿拨打电话”登记机构中登记的号码拨打了数十万个非法营销电话,并且未支付所需费用。
*FTC指控Travis Deloy Peterson冒用退伍军人慈善机构的名义,使用非法的自动语音电话让消费者捐赠具有重要价值的东西,之后出售并获取利益。据称Peterson拨打了数百万的自动语音电话,要求人们捐赠汽车、船只、房地产和分时享用度假别墅所有权。自动语音电话谎称这些捐款将捐给退伍军人慈善机构并且可以免税。FTC指控Peterson违反了《联邦贸易委员会法》和《电话销售规则》。在FTC的要求下,联邦法院发布了一项临时禁止令,在FTC进行执法行动的期间内,禁止Peterson拨打非法的自动语音电话或谎称慈善捐款。
*FTC获得了对16名被告的临时禁制和初步禁令,包括自动语音电话诈骗惯犯Aaron MiChaelJones和JustinRamsey。这两名被告是Point-breakMedia公司的运营者,该公司是一家总部位于佛罗里达州的自动语音电话诈骗实施者。该公司欺骗小企业主,谎称代表谷歌,并威胁受害企业称,他们会将这些企业的信息将从谷歌的搜索结果中删除。FTC的指控称被告与谷歌没有任何关系,但他们用自动语音电话骚扰消费者,威胁称谷歌会将他们的业务“永久关闭”,除非他们“按1”与“谷歌专家”交谈。被告告诉有回应的小企业主:他们可以“索取并验证”他们的谷歌列表并拥有独特的“关键词”,这样当人们搜索他们的产品或服务时,他们的业务就会显得突出。据称,一次费用从300美元到700美元不等。诉状称,在不加区别地向其骗局潜在受害者发送骚扰信息的同时,被告也向“请勿拨打电话”登记机构中登记的号码打电话,违反了《电话销售规则》的规定。
*在FTC诉James Christiano案中,FTC向两个相关业务部门及其负责人提起诉讼,其业务是为面向全国消费者的数十亿自动语音电话提供便利,涉及从汽车保修到家庭安全系统,以及债务减免服务等各方面。据称,一组被告人提供了一个基于计算机的电话拨号平台,用于拨打数十亿的自动语音电话,并数以亿计地拨打“请勿拨打电话”登记机构中登记的号码。FTC称,另一组被告人在危地马拉经营一家呼叫中心并支付了自动语音电话,在消费者按下“1”响应自动语音电话后,该呼叫中心会收到电话转接。法院已准许与其中一组被告人达成和解。
*在上文提到的Aliance Security公司案中,FTC向联邦地方法院提起诉讼和动议,指控AlianceSecurity公司及其创始人直接或通过被其授权的电话推销员致电在“请勿拨打电话”登记机构中登记有号码的数百万消费者。FTC称,Aliance Security公司的两名授权电话推销员及其负责人已同意就他们代表公司非法拨打电话的指控进行和解。其中一名电话推销员同意被禁止进行所有电话销售,另一位电话推销员同意被禁止出售任何家庭安全系统。到目前为止,通过这些和解,FTC已赢得了总额超过550万美元的判决。
*FTC获得了临时禁令和初步禁令,来禁止HigherGoals销售有限公司拨打自动语音电话,该公司经营所谓的信用卡降息骗局,欺诈了众多因信用卡债务而陷入困境的消费者。起诉书称,本案中的被告们之前曾从事一项几乎相同的电话营销业务工作,于2016年在FTC的请求下被法院命令停止。在法院命令其停止先前业务的几周内,又成立了一项新的类似虚假信用卡降息服务的销售业务。
*FTC指控A1 DocPrep向“请勿拨打电话”登记机构中登记的号码拨打骚扰电话,以寻求与非法学生贷款债务减免和抵押贷款援助救济计划相关的销售。根据诉状,被告冒充教育部,并虚假承诺减少借款人的每月还款或减免他们的贷款。FTC还指控被告针对陷入困境的房主,向其作出虚假承诺,即他们将提供抵押贷款减免并防止被告丧失抵押品赎回权。法院准许了一项和解协议,其中被告同意对其处以超过910万美元的罚款。
*FTC指控M&T金融集团、美国咨询中心公司,以及他们的主要负责人Salar Tahour,被告以学生债务减免集团的名义开展经营活动,对那些正在努力偿还学生贷款的消费者进行欺诈。根据诉状,被告谎称自己隶属于教育部,欺骗消费者支付高达1000美元的非法预付费用,以便将他们纳入免费政府计划,并向消费者每月收取费用,并声称该费用将会计入学生贷款的归还。事实上,FTC称,被告将消费者的钱收入囊中,并通过更改名称而不是商业行为来回应增加的消费者投诉。FTC还称,被告向“请勿拨打电话”登记机构中登记的号码拨打销售骚扰电话,违反了《电话销售规则》的规定。法院准许了一项和解协议,其中被告同意对其处以超过1160万美元的罚款。
*FTC指控分时度假转售计划的运营商,J. William企业,欺诈了1500万美元,他们通过虚假承诺可以出售或出租业主的房产来征收高额的前期费用。FTC诉称,被告致电分时度假业主,谎称自己有买家或租客愿意以特定价格购买或租赁他们的房产,有时承诺会在指定的时间内快速出售分时度假产权。被告的推销电话包含有非法电话,即拨打“请勿拨打电话”登记机构中登记的号码。FTC与被告达成了一项和解协议,被告同意对其处以超过1870万美元的罚款。
三 宣传倡导
当法院、政府机关或其他组织审议影响消费者、影响竞争的案件或政策时,FTC可以提供其专业知识,并倡导保护消费者和促进竞争的政策。2018年,FTC提交的涉及隐私问题的评论如下:
*FTC的工作人员向消费者产品安全委员会提交了一份回复,作为该机构关于与互联网连接的消费产品相关的潜在安全问题和危害的意见征询的一部分。该评论强调,物联网(IoT)设备的安全性较差,可能会产生与关键安全功能丧失、连接丢失或数据完整性降低相关的技术危害。例如,如果感染了恶意软件,汽车的制动系统可能会失效,或者如果失去互联网连接,一氧化碳或火灾探测器可能会停止工作。该评论还概述了FTC在设备和信息安全方面的教育和执法工作,特别是与物联网相关的工作。正如评论中所解释的那样,FTC之前为物联网制造商提供了如何预测和减轻隐私和安全风险的指导。
*FTC工作人员向国家电信和信息管理局(NTIA)提交了有关隐私的评论。该评论呼吁采取平衡的方法,保护消费者隐私和创新,并引用FTC在保护消费者隐私和促进创新方面的丰富经验。该评论重申了
FTC对数据安全的承诺,总结了公司对隐私政策进行准确披露的重要性,并呼吁采取平衡的选择方法,其中控制水平将取决于消费者的偏好、背景和风险。该评论指出,无论是在现有的还是新的隐私和安全框架下,FTC应继续成为与市场信息流动相关的法律的主要执行者。该评论进一步指出,国会和政府都在考虑联邦隐私立法,FTC强烈支持这些努力。
*在参议院商业消费者保护、产品安全、保险和数据安全小组委员会以及众议院能源和商业数字商务和消费者保护小组委员会前,FTC提供了证词,重申其对消费者隐私和数据安全执法的承诺。FTC还重申了长期以来两党对全面数据安全立法的呼吁,并敦促国会考虑制定将由FTC执行的隐私立法。
*FTC在参议院银行、住房和城市事务委员会作证说,《公平信用报告法》的执行仍然是重中之重,并概述了自身对教育消费者和企业遵守法律所做出的努力。该证词还概述了自1970年《公平信用报告法》颁布以来,FTC在实施、执行和解释方面发挥的关键作用。证词指出,在过去十年中,FTC已经针对消费者征信机构、征信报告使用者和向消费者征信机构提供信息的人提起了30多项诉讼。
四 规则
国会已授权FTC颁布规范消费者隐私和安全领域的规则。自2000年以来,FTC在这些领域颁布了若干规则:
*健康违反通知规则要求某些基于Web的企业在其电子健康信息的安全性遭到破坏时通知消费者。
*红色标识符规则要求金融机构和某些债权人制定身份盗窃预防方案,以查明、发现并回应可能导致身份盗窃的模式、做法或特定活动。今年,FTC宣布进行监管审查,同时正在征求公众意见,以确定是否应该根据市场的新发展更新该规则。
*《儿童网络隐私保护法》规则要求网站和应用程序在收集13岁以下儿童的个人信息前获得父母同意。该规则在2013年修订,以加强儿童隐私保护,并使父母对网站和在线服务收集到的13岁以下儿童的个人信息有更大的控制权。
*《GLB法》隐私权规则规定,汽车经销商必须向消费者提供初始和年度的隐私声明,解释经销商的隐私政策和做法,并向消费者提供选择的机会,即选择不披露某些信息给非关联第三方。
*《GLB法》保障监督规则要求金融委员会管辖的金融机构制定、执行和持续实施包含行政、技术和实体保障的全面信息安全方案。
*《电话销售规则》要求电话推销员对重要信息进行具体披露;禁止虚假陈述;限制电话推销员可以呼叫消费者的时间;并设定销售某些商品和服务的付款限制。“请勿拨打电话”条款禁止卖方和电话推销员呼叫“请勿拨打电话”登记机构中登记的号码,以及要求不接收来自特定公司电话的个人。该规则还禁止向消费者拨打自动语音电话,即预先录制的商业营销电话,除非电话推销员已经获得希望接收此类电话的消费者的书面许可。
*《反垃圾邮件法》(“CAN-SPAM”)规则旨在保护消费者免受欺骗性商业电子邮件的侵害,并要求公司建立选择退出机制。
*2003年《公平和准确信用交易法》(“FACTA”)的处置规则对
《公平信用报告法》做出了修订,要求公司以安全可靠的方式处置信用报告和从中获取的信息。在对所有现行FTC规则和指南的进行审查且征询公众意见后,2017年FTC决定将不做任何更改,重新发布处置规则。
*《公平和准确信用交易法》规定的预先筛选退出规则要求向消费者发送“预先筛选”的信用或保险请求的公司提供简单易懂的通知,解释消费者选择不接受未来优惠的权利。
*5月,国会修订了《公平信用报告法》,要求FTC颁布规则,要求全国范围内的消费者征信机构为现役军人提供免费的电子信用监控服务。11月,FTC发布了规则制定的草案,该草案规定全国消费者征信机构在对现役军人的信用档案进行任何“重大”增补或修改后的24小时内通知他们。除了定义关键术语外,草案还规定了军队消费者如何证明其现役状态。该草案还禁止消费者征信机构从事一些行为,例如提出消费者必须购买产品或服务才能获得免费信用监控服务。
五 研讨会
从196年开始,FTC已经举办了70多场研讨会、回复公众提问的集会和圆桌会议,将利益相关者聚集在一起讨论消费者隐私和安全方面的新问题。2018年,FTC举办了以下隐私活动:
*2月,FTC举办了第三届年度Privacy Con会议,旨在研讨保护消费者隐私和安全的前沿研究和趋势。该活动汇集了具有领先地位的利益相关者,包括研究人员、学者、行业代表、联邦政策制定者和消费者保护提倡者。2018年PrivacyCon会议探讨了新兴技术对隐私和安全的影响,例如物联网、人工智能和虚拟现实。2018年的会议重点关注隐私经济学,包括如何量化公司未能保护消费者信息的情况所带来的危害,以及如何平衡隐私保护技术和实践的成本与收益。
*6月,FTC主持了“解密加密货币欺诈”活动,这是该委员会首次举办涉及加密货币的欺诈行为的研讨会。为期半天的活动汇聚了消费者团体、执法部门、研究机构和私营企业的代表。
*11月,作为21世纪竞争和消费者保护意见听取会的一部分,FTC举行了意见听取会,主题是大数据、隐私和竞争的交叉领域。会议调查了数据在竞争和创新中的作用。与会者讨论了数据的发展如何改变了对个人与商业信息的理解和使用;利益相关方是否应就数据如何促进竞争提出政策建议;以及是否个人信息或隐私问题的存在关系到告知,是否改变了竞争分析。
*11月,FTC举行意见听取会,调查在商业决策和行为中使用算法、人工智能和预测分析的竞争和消费者保护问题。该会议是FTC意见听取会计划的一部分。会议的重点是这些技术的当前和潜在用途;与使用这些技术相关的道德和消费者保护问题;企业和行业的竞争动态如何受到这些技术的使用的影响;与使用这些技术相关的政策、创新和市场因素。
*12月,FTC主办了一次关于数据安全的意见听取会,其中包括有关数据泄露和数据安全威胁的讨论。该会议是FTC意见听取会计划的一部分。会议调查了投资数据安全、消费者对数据安全的需求、数据安全评估、与消费者数据安全相关的美国框架以及FTC数据安全执行计划的激励措施。
六 报告与调查
FTC是制定与消费者隐私和数据安全相关的政策建议的领导者。根据独立研究以及隐私和安全研讨会的讨论和意见,FTC撰写了60多份报告。2018年,FTC发布了以下内容:
*2月,FTC工作人员发布了《移动安全更新:了解问题》,这是一份探讨移动操作系统修补复杂性的员工报告。该报告主要基于从八个移动设备制造商处收集的数据,对整个行业的安全更新实践提供独特的见解。该报告在以下三个方面提出了建议:简化更新流程;向消费者宣传更新的重要性;并在符合消费者合理期望的一段时间内及时更新所有移动设备。
*FTC的工作人员发布了一份工作人员观点,概述了去年与美国国家公路交通安全管理局联合举办的FTC联网汽车研讨会的主要内容。工作人员的观点指出,整个联网汽车生态系统中的许多不同实体将从车辆收集数据,这些数据将提供许多有益的创新,包括更快的紧急响应、更短的通勤和更多量身定制的娱乐选择。工作人员的观点指出,所收集的数据类型包括汇总统计数据、特定汽车或司机的非敏感数据以及敏感的个人信息。鉴于此信息的广度,消费者可能会担心该数据的意外二次使用。该观点进一步表明,互联汽车和无人驾驶汽车将面临网络安全风险,黑客可能会利用这些风险来勒索钱财甚至造成人身伤害。为解决这些问题,研讨会参与者讨论了最佳的实践方式,包括信息共享、网络设计、风险评估和缓解,以及标准设定。
*FTC的工作人员发布了一份工作人员观点,概述了2017年12月调查信息的伤害的研讨会上的关键信息,即消费者可能会遭受隐私和安全事故。工作人员的观点讨论了消费者因此类事件而遭受的非财务损害的例子,包括医疗身份盗窃,人肉搜索(故意和有针对性地发布关于个人的私人信息),披露私人事实以及信任受损。该观点还讨论了如何将受伤风险与信息收集带来的好处相平衡。
*FTC的工作人员发布了一份工作人员观点,概述了FTC编写和分发读者友好型教育材料的计划,其中包含小型企业所需的网络安全信息。这项工作源于FTC在2017年与小企业主、非营利组织、雇员和管理人员举办的小企业与网络安全圆桌会议,了解他们在处理网络威胁和安全问题时面临的挑战,以及关于政府如何帮助他们的想法。
七 消费者教育和商业指导
向企业和消费者进行关于隐私和数据安全问题以及如何应对相关威胁的教育,对FTC的使命至关重要,FTC已经分发了数百万份教育材料,其中多以英文和西班牙文出版,供消费者和企业使用,以解决安全和隐私问题的持续威胁。FTC制作了大量材料,为一系列主题提供指导,例如身份盗窃、儿童网络安全、移动隐私、信用报告、行为广告、
“请勿拨打电话”和计算机安全。2018年发布的此类教育和指导材料的例子包括:
*美国联邦贸易委员会(FTC),国土安全部(DHS),国家标准与技术研究院(NIST)和小企业管理局(SBA)发起了一项全国教育活动,帮助小企业主了解常见的网络威胁以及他们如何助力保护自身的业务。活动材料包括概况介绍、视频和测验,这些材料涵盖十几个主题,包含了网络安全基础知识、了解国家标准与技术研究院的网络安全框架、供应商安全和网络保险等内容。该活动源于FTC去年与小企业主进行的一系列圆桌讨论,讨论他们面临的网络安全挑战。
*作为“身份盗用宣传周”的一部分,FTC举办了一系列网络研讨会并进行社交媒体宣传,面向消费者、税务专业人士、退伍军人和小企业,提醒他们如何最大限度地降低税务身份盗用的风险,以及在发生该情况时如何进行恢复。FTC与美国税务局(IRS)、退伍军人事务部、AARP欺诈观察网络等组织联手,讨论税务身份盗窃、IRS冒用骗局、网络安全,以及身份窃取行为的恢复。
*FTC针对虚拟专用网络应用开展新的消费者在线教育,提供了有关网络如何工作的基本信息,以及消费者在下载应用程序之前应该做什么和想什么。
*6月,FTC发布了《诈骗与小企业:商业指南》,提供了一些能够帮助小企业主发现骗局迹象的技巧,以及如果一个骗子的目标是他们的公司时应该怎么办。该出版物包括有关网络钓鱼、勒索软件、社交工程、技术支持诈骗和电话诈骗的提示。
*由于对《公平信用报告法》的修订,9月份,免费信用冻结和长达一年的欺诈警报首次出现。为了帮助人们了解他们的权利,FTC发布了一个新的消费者信用冻结常见问题解答、一个面向企业的博客和三个面向消费者的博客——分别面向普通群众、军事消费者和护理人员。此外,FTC工作人员修订了十几种英文和西班牙文印刷出版物和在线文章,变更了信用冻结和欺诈警报的相关内容。
*FTC的消费者博客提醒读者注意潜在的隐私和数据安全隐患,并提供帮助他们保护个人信息的技巧。在2018年,阅读量最大的消费者博客文章解决了如何阻止和报告来自诈骗号码的不受欢迎的电话,以及如何躲避社会安全管理领域的骗子。
*FTC面向企业的博客介绍了最近的执法行动、报告和指导。2018年,该博客上发布了38个数据安全和隐私帖子。其中最受欢迎的帖子涉及的主题包括FTC的指控对P2P支付服务的隐私和安全实践提出了挑战;与儿童电子学习产品公司就与数据安全和存储相关的《儿童网络隐私保护法》违规行为达成和解;《儿童网络隐私保护法》要求企业在某些情况下删除孩子的个人信息。
八 国际参与
FTC隐私和安全工作的一个关键部分是与国际伙伴进行合作。FTC与外国隐私权机构、国际组织和全球隐私权管理网络密切合作,在隐私和数据安全调查方面开展强有力的相互执法合作。FTC还在倡导为全球消费者提供强大的、全球合作的隐私保护方面发挥主导作用。
(一)实施合作
FTC通过非正式磋商、谅解备忘录、投诉分享以及根据《美国安全网络法》案制定的机制,与外国同行合作执法。《美国安全网络法》授权FTC在适当情况下与外国执法当局分享信息,以及使用FTC的法定证据收集权力向外国执法当局提供调查协助。2018年重要的执法合作进展包括:
FTC与加拿大隐私专员办公室(OPC)合作,首次联合执法行动涉及与香港电子玩具制造商VTech公司有关的玩具。双方在协调后发布公告,FTC宣布了上文提到的起诉与和解方案,OPC发布了自己的调查报告,发现有关玩具制造商未能采取足够的安全措施保护儿童的敏感个人信息。FTC依赖于《美国安全网络法》的关键条款来促进与OPC的合作。
FTC在旧金山举办了第49届亚太隐私权管理论坛。来自13个国家的18个机构的代表讨论了成员的隐私调查和执法行动,以及与人工智能、数据泄露通知和跨境执法合作相关的机遇和挑战。
FTC帮助全球隐私执法网络管理委员会(GPEN)组织了一系列电话会议和第二次GPEN执法研讨会,这些会议是全球隐私执法网络管理委员会工作的一部分。在2018年,全球隐私执法网络管理委员会发展了来自50个国家的69个隐私机构,来自这些机构的350多名员工均在全球隐私执法网络管理委员会的内部论坛上注册。
(二)政策
FTC倡导制定健全的政策,确保对跨境转移的消费者数据提供强有力的隐私保护。它还致力于促进隐私制度之间的全球互用性以及对参与数据传输的企业更好的问责机制。
在过去的一年里,除了与美国商务部和其他美国机构一道参加欧盟和美国的第二次年度审查外,FTC还在国际上对隐私和数据安全的政策审议和项目上发挥了主导作用。例如,FTC参加了亚太经合组织
(OECD)电子商务指导小组、电信数据保护问题国际工作组以及经济合
作与发展组织的会议和活动,在儿童隐私、与健康有关的隐私以及隐私制度的互通性等问题上投入了努力。
FTC还直接与众多同行就隐私和数据安全问题进行了接触。FTC组织了代表团,与巴西、哥斯达黎加、法国、日本、韩国和英国的官员、欧洲议会成员以及欧洲数据保护机构进行了双边讨论。
此外,FTC还就印度和墨西哥的隐私和跨界数据转移问题开展技术合作访问。
本文来源于:《网络信息法学研究》2019年第1期
为便于阅读,将脚注全部略去,望理解
声明:本文来自网络与信息法学会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
