导言:
合同法的保护进路真的是美国隐私的主要保护方式吗?显然,答案并非如此。事实上,自上世纪90年代以来,联邦贸易委员会的监管(“FTC”)就已经成为隐私保护的主要规制方式。
本文的贡献在于指出,手握“欺骗”和“不公平”两把武器的FTC,通过一个又一个的执法案例,实际上建构起了美国隐私保护的新普通法(common law)。这一规则体系的能量远超其他法规,并开始从企业承诺转向注重消费者期望的隐私保护规则。
THE FTC AND THE NEW COMMON LAW OF PRIVACY
联邦贸易委员会和新隐私普通法
Daniel J. Solove & Woodrow Hartzog
哥伦比亚法律评论 第114卷 第3期
作者信息
Daniel Solove
美国乔治华盛顿大学法学院教授,隐私法权威学者,著有Nothing to Hide: The False Tradeoff Between Privacy and Security, Privacy Law Fundamentals 等著作。
Woodrow Hartzog
美国东北大学法学院法律和计算机科学教授,著有Privacy’s Blueprint: The Battle to Control the Design of New Technologies,该书被称为“我们这个时代最重要的隐私书籍之一”。
文章结构
第一部分:FTC为何能成为美国隐私的监管者?原因如下:(1)隐私政策不足以保护消费者的信息隐私;(2)美国法律体系实际上赋予了FTC的隐私保护权威地位。
第二部分:结合FTC的主要执法方式,本部分指出FTC的和解协议实际上已经成为了隐私保护领域的普通法(common law)。
第三部分:该部分结合FTC主要执法实践,介绍了这一普通法的内容,即欺骗(Deception)或(Unfairness)不公平行为的认定原则,同时指出了这一普通法的发展方式,即一般原则特定化、设置定性标准、建立最低基线以及追究共同责任。
第四部分:本部分指出,FTC所形成的新隐私普通法注重消费者期待,监管范围不再仅限于隐私协议且形成了众多实质性规则,具有发展成为更加全面的隐私监管法规的潜力。
文章正文
一、FTC为什么会成为隐私监管者
A. 隐私政策的由来
传统侵权进路难以证明隐私侵害,现有成文法亦难以有效保护原告隐私权益,加之互联网业内注重自我监管与隐私印章的普及,由此催生了隐私政策。
上世纪90年代中后期,信息隐私安全问题在美国泛滥。对于数据收集使用问题来说,侵权进路要求原告证明其受到实质损害,而对于隐私损害来说却很难证明(如在Dwyer v. American Express Co.中,美国法院认为美国运通公司出售原告姓名数据的行为并未造成其任何实质价值的损失)。同时,对于公开披露隐私问题来说,披露内容必须得是对个人隐私生活极其重要的内容,并且要以特别冒犯理性人或者不符合公众合理期待的方式披露才能构成侵权。
现有成文法的适用效果也非常一般。在In re DoubleClick, Inc.中,原告认为Double Click收集用户在其附属网站上生成在线数据构建用户画像,进而投放个性化广告的行为违反了美国《电子通信隐私法》(ECPA),但法院以该附属网站同意Double Click的数据收集行为而判决驳回原告诉求。
同时,互联网行业和一些评论人士也不希望国家对这一领域进行监管,其认为互联网需要发展的空间,需要的是业内自我监管——即基于公平信息实践原则强调的个人知情权和同意权所衍生的“告知和选择”模式,由此隐私政策开始出现。
隐私印章(privacy seal)的出现——企业能够以此证明自己具有用户隐私保护能力,使得隐私政策得以迅速推广开来。再加上一些成文法规如Gramm-Leach Bliley Act 的要求,基本所有相关企业都推出了自己的隐私政策。
B. 隐私政策是合同吗?
一开始,学界主张隐私政策属于合同,如Scott Killingsworth在1999年提出,隐私政策具有合同的全部特征,用户可以将其视为合同来执行。然而,将隐私政策视为合同在保护隐私方面的作用十分有限,因为原告无法确定其损害赔偿数额(Seein re Nw. Airlines Corps.)。
甚至有些法院提出,这种对象不特定的、公司政策的笼统陈述不能成为合同索赔的依据,甚至有些原告无法证明他们在接受服务时读过或者依赖这些隐私政策。此外,禁反言原则(promissory estoppel)也难以发挥作用,因为很难证明企业损害了用户的信赖利益。
C.FTC进行隐私执法的兴起
1995年,FTC开始对消费者隐私问题进行监管,其根据企业自己制定的隐私政策开展执法活动,法律依据是《联邦贸易委员会法》(“FTCA”)第五条规定的欺骗和不公行为。
但FTC的监管范围仍然有限,即其只能对违反FTCA或违反其他授予其监管权力的法律的行为进行执法,并且没有制定任何实质性法规的权力。如果一家企业不属于这些法律所管辖的对象,同时又没有作出如隐私政策等的承诺,FTC很难对其进行执法。
D. FTC作为数据保护机构的权势
从1997年到2014年,FTC进行了仅170件左右隐私执法活动,这一案件数量并不多。FTC内部的隐私执法人员数量也不多。尽管如此,FTC仍然成为了美国数据隐私保护的主要力量,其原因如下:
第一,FTC的管辖权一直在扩张。《儿童在线隐私保护法》(“COPPA”)和《Gramm-Leach-Bliley法案》(“GLBA”)在内的成文法不断授予FTC制定相应领域规则的权力;FTC还被授予了《安全港协议》的执法权。
第二,FTC发挥了关键作用。企业隐私政策大多都未提及违反承诺的后果,而FTC的执法活动为这种自我监管增加了一种追责途径,提升了其可信赖度;FTC的存在让这种自我监管的体系增添了几分监管和执法因素,这也是《安全港协议》能够运行的关键。
不过,囿于权力和资源有限,FTC其实并不被企业重视。实际上,截止作者写文时已发生的170余件和解协议中,仅1起因违反和解协议而被处以罚款。因为FTC没有权力规定对企业施加民事处罚,同时其也很少依据其他法规对企业处以罚款。
哪怕有罚款,与隐私危害以及企业盈利相比,也只是九牛一毛。企业声誉因此受到的损害也往往微乎其微。FTC的应对方式是,通过复杂严苛又漫长的合规审计等来影响企业(50%的和解协议中规定的审计时长超过20年)。
二、成为实际普通法的FTC和解协议
几乎所有FTC执法活动,最后都是以和解协议的方式结案。这种和解协议更接近合同,而非具有约束力的判例,但事实上,这些和解协议的作用远大于合同。因为其一方面反映了FTC关于违反FTCA第五条的行为的认定标准;另一方面这也反映了FTC所认定的最佳实践(best practices)。
然而,这种方式仍不乏批判之音。批评者认为,这种方式缺乏可预测性,没有任何指导方针或先例让企业知道什么是该做的,什么是不该做的。但作者认为,FTC的执法活动并非不可预测或任意而为,其呈现出了一套可遵循的标准,即FTC的和解协议实际上成为了隐私普通法。
A.对FTC诉讼的分析
FTC共有三大职权,即调查、执行、起诉。在FTC起诉后,企业有两种选择,即和解或者向法院提出异议。若企业接受和解协议后,FTC就将放弃其诉权转而监督和解协议的执行。同时,消费者本身也没有根据FTCA第五条提起诉讼的诉权,故而和解协议成为了FTC主要的结案方式。
B.FTC的和解协议
FTC至2014年已经提起了170余次隐私诉讼,然而仅三例未以和解协议结案,原因为何?企业为何不愿进行诉讼?
首先,和解协议中的处罚往往并不会很高(1000美元到3500万美元不等),比起与FTC进行诉讼的成本和不确定性,和解协议是更优选项。其次,在与FTC进行诉讼时,法院必须在实质上尊重FTC对FCTA第五条的解释,而FTC决定起诉时往往胜诉率极高。最后,接受和解协议意味着不用承担不利法律责任,即企业的行为不再视为违法行为。
就内容来说,FTC在和解协议内容上几乎不受限制,可以包括罚款、活动禁止、消费者通知、产品纠正、数据删除与避免使用、修改隐私政策、建立综合隐私计划、进行独立专业人士风险评估、合规审计、报告、重大变更通知以及其他纠正措施。
C. FTC隐私“普通法”
FTC的和解协议并不具备司法判例的“先例(decisis)”属性,因为其并未要求前后保持一致。但在具体实践中,FTC已经证明其和解协议具有前后的一致性,因此从业者认为这些和解协议具有“先例”作用,也即成为了“普通法”。
1. 和解协议
FTC和解协议实质上成为普通法的原因在于:(1)FTC基本没有制定规则的权力,因此其依赖于和解协议来向企业表明其所认可的守法的基本规则;(2)FTC也希望企业能够贯彻认可其规则和标准(有时甚至会告知类似企业参考往例);(3)企业也纷纷会从FTC以往的和解协议中分析推测FTC的认定标准和规则并贯彻;(4)一些地方法规也会参考FTC的和解协议;(5)FTC有时也会在和解协议中引用以往的和解协议里的内容,以表示一致性。
当然,和解协议并非判例,缺乏司法判例的某些优点。和解协议是由FTC和被告双方共同协商而成的,即它代表了一种妥协,但司法判例无需与被告妥协。这种妥协的确也有好处,即对于关键的利益相关者来说都是可接受的。但这种妥协方案对于其他类似企业就不太适用,还存在相应风险,即FTC可能会通过迫使小企业达成和解协议以形成规则,间接管制大企业。
无论从和解协议中提炼出监管规则是否可取,FTC和解协议都朝着可预测、明确的方向发展,将其视为普通法为理解FTC的隐私法理提供了视角。
2. FTC报告及材料
除和解协议外,FTC还创造了另一种“软法”,其中包括指南、新闻稿、研讨会和白皮书。FTC从未阐明这些材料中的内容哪些是强制性的,哪些只是倡导性的最佳实践,因此许多人认为这种做法缺乏明确性。
然而,这些材料有助于阐明FTC的理念和方法,以及其对FTCA第五条的解释,在某些情况下,这些材料可以被视为一种“软法”。这些软规则如最佳实践与和解协议存在一个关键的区别,即在确定这些最佳实践时,FTC通常会与所有利益相关者进行深入且持续的沟通。
三、新隐私普通法法理
如果将FTC的隐私执法理论体系视为普通法体系,那么首先就要回答这一体系的法理支撑是什么,它又将走向何方。
A. FTC隐私法理概述
1. 欺骗
FTC早期隐私执法集中于对欺骗行为的监管,欺骗被定义为通过虚假陈述、遗漏信息或者其他方式,在合理情况下会误导消费者的行为,从而对其造成损害。要件如下:(1)行为(陈述、遗漏或其他行为);(2)欺骗消费者的合理可能性;(3)重要性。FTC起初仅仅关注失信行为,但其随后发展出了一套更加全面有力的欺骗理论。
(1) 违背隐私承诺
FTC的大量隐私执法案例都运用了这一理论,承诺类型包括:
•承诺保密或不向第三方披露信息;
•承诺只收集符合公司隐私政策的数据;
•承诺为个人数据提供足够的安全保障;
•承诺保持匿名;
•承诺不通过在破产程序中出售个人数据以向第三方披露个人数据。
FTC关注的范围并不限于企业自己提供的隐私政策内容。例如,in re Google Inc.中,FTC以Google不尊重用户先前的隐私设置为由认定其构成欺骗。
不过,FTC并不认为所有数据泄露行为都是违反隐私承诺的行为,这些行为常常指未履行其“承诺”的程序性保护措施如员工培训( See in re Eli Lilly & Co.)。
(2) 一般欺骗
FTC根据公司为诱导个人信息泄露而采取的各类欺骗行为,发展出一套欺骗理论。如在FTC v. ReverseAuction.com中,ReverseAuction.com公司被指控利用从eBay获得的客户信息向eBay用户发送欺骗性的电子邮件,虚假地告知用户其ID即将到期,以将用户引导到ReverseAuction.com.,FTC认为这种虚假陈述构成欺骗。除此之外,还包括遗漏欺骗、诱导欺骗、托辞欺骗等。
(3) 非有效告知
美国企业的隐私管理活动中的很大一部分是充分告知用户数据的收集和使用情况,因此未有效告知也是欺骗行为的认定标准之一,如未恰当通知隐私政策或网站设计中的变化、未充分告知数据追踪行为等。
(4) 数据安全
含糊的安全承诺,如提供“合理的安全措施,以防止未经授权访问或未经授权修改、披露或销毁个人信息”,也可能迫使FTC开展执法活动。如在In re Microsoft Corp.案中,FTC曾指控微软“通过在特定情况下采取充分合理和适当的措施来维持和保护从消费者那里获得的个人信息的隐私和机密性”属于虚假陈述。
2. 不公平
“不公平”贸易行为是指“对消费者造成或可能造成重大损害,而且这种损害是消费者自己无法合理避免的,同时对消费者或竞争的反补贴利益也无法抵消这种损害”。在认定不公平时,FTC主要关注点为实质性损害,包括人身损害、财产损害以及安全风险,琐碎的、偶发的、情绪上的损害以及其他主观伤害通常都不认为是实质性损害。
是否违反特定法律不是构成不公平行为的必要条件。在确定损害能否被给消费者或者竞争带来的反补贴利益抵消时,FTC不仅会考虑消费者弥补损害的成本,还将考虑整个社会所面临的成本,并且是否违反既定公共政策也是评估因素之一。具体类型如下:
(1) 追溯变更政策
即企业变更隐私政策后,新政策继续适用于原授权用户。
(2) 欺骗性数据收集
企业的不当数据收集行为可能构成不公平贸易行为,即便企业并未作出相关承诺。如在 in re Aspen Way案中,FTC并未声称Aspen Way违背其隐私承诺,因为其并未作出相关承诺,但其安装间谍软件并未通知就收集数据的行为给消费者造成了实质性损害,并且消费者无法合理避免这种无形监控。
(3) 数据使用不当
在in re Aspen Way案中,FTC指控“被告利用从消费者那里不当收集的信息,来根据消费者租赁合同来收取或试图收取债务、金钱或财产”。
(4) 不公平设计
FTC认为,某些网站或软件的设计是不公平的,这种设计会影响消费者的行为。如在FTC v. Frostwire, LLC案中,FTC指出,预先设置的默认共享信息设计以及繁琐的取消设计,构成了不公平贸易行为。
(5) 不公平信息安全实践
在United States v. rent Research Services案中,FTC认为 “被告未采取合理和适当的措施来确保其收集的个人信息的安全。虽然没有安全承诺,但联邦贸易委员会认为被告缺乏足够的安全措施是一种不公平的做法。
3. 成文法及《安全港协议》的执法活动
在执行COPPA、GLBA等成文法以及《安全港协议》的过程中,FTC同样发展出了隐私保护规则和标准。这些法规和FTCA第五条存在重叠。例如,数据安全是隐私政策中的常见条款,这就落入了第五条监管范围,但数据安全同时也是FCRA、GLBA、COPPA和《安全港协议》的强制要求。FTC时常采取“双重倾斜”标准,即认为相应行为同时遵守第五条和其他成文法。
(1) FCRA
在众多案例中,FTC认为未能满足FCRA的告知要求的行为构成了不公平或欺骗行为,但却很难区分究竟是违反第五条还是FCRA。
(2) COPPA
根据FTC的案例,企业遵守COPPA,必须“在网上收集、使用或披露儿童的个人信息之前要满足特定要求”,包括有效通知、透明、父母同意、适当安全保密措施等。
(3) GLBA
FTC主要根据GLBA的保障规则和隐私规则展开执法。根据其解释,保障规则“要求金融机构通过制定包含合理的行政、技术和物理保障措施的综合信息安全计划,以保护客户信息的安全性、保密性和完整性”;隐私规则“要求金融机构,在客户关系形成时和客户关系持续期间每年向客户提供清晰显著的、准确反映金融机构的隐私政策和做法的通知”。
(4) 安全港
《安全港协议》是企业可自愿选择受其规制的国际条约,FTC认为加入该协议的企业必须遵守七个相关原则及要求,否则就构成欺骗行为。
B.FTC隐私法理的发展模式
FTC的执法例远远不是任意而为的,而是逐渐地、可预见地发展起来的。一开始,FTC的隐私执法仅依据欺骗理论,后来经逐渐发展,其隐私法理逐渐深厚,其发展模式主要包括如下四种:
1. 从一般到具体
第五条本身即一种抽象、一般的规则,FTC的执法例将其具体化。虽然是抽象的一般原则,但是这些一般原则的具体认定有社会共识——行业规则作为依据,或者可以依此反向排除。此外,即使FTC延伸出来的具体规则并未提前明文告知企业,但是这些都是符合逻辑推导的,符合判例法性质的。
2. 纳入定性标准
FTC在其执法例中,为告知设定了标准。如在Path与FTC的和解协议中,FTC要求Path在收集和访问的信息类别方面的通知,必须与其他“隐私政策”、“使用条款”或其他界面或文件分开,并且还要取得用户明确的肯定性同意。这一注解方式与法院通过判例对成文法进行解释的模式非常近似。
3. 建立最低基线标准
FTC基于行业规范和消费者期望制定了最低的实质性基线标准,这种逐步设置最低基线的方式很接近普通法。例如,FTC在在In re BJ "s Wholesale Club案中给数据处理企业设置了最低安全保护基线标准,即使没有企业的安全承诺和也法定要求,企业仍然有义务保证数据安全。
4. 识别共同责任
FTC的隐私执法例中还存在另一趋势,即认可因违反其他公司的隐私政策等承诺而产生的责任以及协助其他公司的不公平或欺骗行为而产生的责任。这与侵权中的次要责任类似,而次要责任并非由成文法规定,而是一个公认的普通法原则。
四、 建立更完备的隐私监管制度
A. 从违背承诺到违背期望
虽然FTC仍在对违反隐私承诺的行为展开执法,但其重点已经转移到了消费者的隐私预期上,越来越以消费者合理期待作为衡量企业是否违法的标准。受用户自身能力和选择框架的限制,隐私政策中往往存在许多不正确的假设选项,如果FTC将这些选项视为“欺骗”,其违背的就非承诺而是消费者期望。
B. 超出隐私政策的限制
FTC已经开始超出隐私政策的限制,全面审查消费者与公司的交互,如弹出窗口、图标、隐私设置、用户界面设置、企业的电子邮件等。在FTC对HTC展开的执法活动中,FTC认为若HTC在用户界面中不设置“添加位置信息”的选项,用户数据就不会发送给该企业。FTC认为这种界面设计不符合消费者期待,添加该选项的行为就是一种用户界面欺骗行为。
C. 制定实质性规则
FTC已经超越了承诺,转向了实质性的隐私保护,从一个几乎完全自我监管的制度演变为更接近实际监管的制度。随着隐私相关规范、习俗、公式以及实践模式等的发展,FTC从中借鉴并将其作为实质性规则,如在执法中将其视为隐私政策中的默示条款或将其视为消费者的合理预期内容。
结语
与自上而下形成的欧盟模式不同,FTC的隐私普通法采取的是自下而上的方式。美国隐私法常常令人困惑,企业自我监管成为了主导模式。然而,联邦贸易委员会已经崛起为美国的数据保护机构。FTC已然将重点转移到消费者合理期待上,扩大监管范围,并建立起了更实质性的标准。FTC的隐私规则应当值得更广泛的学术关注。
翻译:黄昊
审核:朱利
编辑:黄昊
声明:本文来自网络西东,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
