查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《互联网法律通讯》
联邦贸易委员会主席Edith Ramirez的信函
【英文标题】 Letter from Federal Trde Commission Chairwoman Edith Ramirez
【期刊年份】 2016年【期号】 2
【页码】 85
【全文】法宝引证码CLI.A.1216958    
  美国
  联邦贸易委员会
  华盛顿DC,邮编20580
  2016年2月23日
  通过邮件
  Věra Jourová女士
  司法、消费者权益和性别平等委员会委员
  欧盟委员会
  比利时
  布鲁塞尔1049
  Rue de la Loi / Wetstraat 200
  尊敬的jourová委员:
  美国联邦贸易委员会(以下简称“FTC”)很感激有这个机会,来讲述有关欧盟和美国最新的《隐私保护框架》(以下简称“隐私框架”或“框架”)的实施情况。我们相信,在这个日益互联的世界中,这一框架将对促进商业交易中的隐私保护发挥重要作用。联邦贸易委员会长期致力于跨境隐私保护,并将优先实施新框架。下面,我们将介绍联邦贸易委员会铁腕实施隐私政策的历史概要,包括最初的安全港项目的实施和联邦贸易委员会实施新框架的路径。
  2000年,联邦贸易委员会首次公开承诺,表示其将执行安全港项目。当时,联邦贸易委员会主席罗伯特· 皮托夫斯基接着向欧盟委员会寄了一封信,信中列举了联邦贸易委员会积极执行《安全港协议》隐私盾原则的承诺纲要。通过近四十年的执法行为、无数的额外调查、就共同利益问题与每个欧洲数据保护机构(以下简称“EU DPAs”)进行的协调工作,联邦贸易委员会坚持着并将继续坚持着这一承诺。
  2013年11月,鉴于欧盟委员会更加关注安全港项目的管理和实施,我们和美国商务部开始与欧盟委员会的官员磋商,以期找到强化安全港项目的方法。当这些磋商正在进行时,2015年6月,欧洲法院就施雷姆斯案颁布了一项判决,宣布欧盟委员会就安全港项目具有适当性的决议及其他事项是无效的。判决以后,我们继续与商务部、欧盟密切合作,致力于提高对欧盟公民的隐私保护。隐私保护框架正是这些正在进行的磋商中的一项成果。正如安全港项目的案子所揭示的,联邦贸易委员会在此承诺,将积极实施新框架。这封信的目的是为了谨记此承诺。
  值得注意的是,我们从四个重要方面肯定了承诺:(1)申请优先级和调查;(2)处理虚假或欺骗性的隐私保护成员的声明;(3)继续进行命令监测(4)加强与欧盟数据保护机构的交流和执法合作。下面,我们将提供关于每一项承诺的更详细的信息和相关背景信息,这些背景信息是与联邦贸易保护委员会在保护消费者隐私、执行《安全港协议》、以及在美国境内更大范围的隐私保护方面发挥着作用有关的背景信息[1]。
  I.背景
  A.联邦贸易委员会隐私执法工作和政策制定工作
  联邦贸易委员会有广泛的执法权,以促进消费者保护和商业领域内的竞争。作为其保护消费者使命的一部分,联邦贸易委员会执行了一系列法律以保护隐私和消费者数据安全。联邦贸易保护委员会执行的基本法《联邦贸易委员会法案》,禁止商事活动中的“不正当”和“欺诈”行为或惯例,或者禁止那些会影响商事活动的“不正当”和“欺诈”行为[2]。如果一种表述、省略或惯例会误导本应在某种情境下理性行为的消费者,那么这种表述、省略或惯例是具有欺骗性的[3]。如果一种行为或惯例引起了,或者很有可能引起实质性的伤害,这种伤害不能被消费者合理规避,或超过了针对消费者或竞争的反补贴带来的好处,那么这种行为或惯例是不正当的[4]、联邦贸易委员会也实施了一些针对性的法律,以保护与健康、信贷、其他金融事务、以及孩子上网相关的信息,联邦贸易委员还颁布了相关规章实施这些法令。
  根据《联邦贸易委员会法案》的规定,联邦贸易委员会的管辖权适用于“商务领域或影响商务领域”的事件。联邦贸易委员会对刑法的实施或国家安全问题没有管辖权。联邦贸易委员会也不能插手其他政府机构的大部分行为。此外,联邦贸易委员会对商事活动的管辖权存在例外,对包括涉及银行、航空、保险业务和电信服务提供者的电信运营活动的事项没有管辖权。联邦贸易委员会对大部分非营利性企业也没有管辖权,但却对假慈善或者其他表面上不营利,但实际上为营利目的而运作的机构有管辖权。联邦贸易委员会也对这样的非营利机构有管辖权,这些非营利性机构为了其逐利成员的利润而运作,包括向这些成员提供可观的经济利益[5]。在某些情况下,联邦贸易委员会与其他执法机构同时享有管辖权。我们已经与联邦和州当局建立了强有力的工作关系,并与他们密切合作,以协调调查或在可能的情况下提出建议。
  联邦贸易委员会也正在实施很多政策措施,旨在提高消费者隐私保护,这些政策措施告知了消费者联邦贸易委员会的执法工作。联邦贸易委员会已经举办了研讨会、发布了报告,推荐最佳惯例,旨在提高移动生态圈的隐私保护;提高数据经纪行业的透明度;使得大数据的利益最大化,同时降低其风险,特别是对低收入和缺医少药的消费者;强调脸部识别技术和物联网等领域对隐私和安全的影响。
  联邦贸易委员会也在进行消费者教育和商业教育,以提高其执法和政策发展举措的影响。联邦贸易委员会也采用了各种工具一一出版物、网上资源、研讨会和社交媒体一一目的是就范围广泛的议题提供教育题材,议题包括移动应用程序,儿童隐私和数据安全。最近,委员会启动了“从安全开始”的倡议活动,倡议活动包括新的商业指导以及全国范围内的一系列研讨会,这些指导是从各个机构的数据安全案例中汲取的经验教训。此外,联邦贸易委员会在教授消费者基本的计算机安全知识方面长期处于领先地位。去年,我们的OnGuardOnline网站,西班牙语叫做Alerta en Linea,有超过500万的访问量。
  B.美国的法律保护使得欧盟消费者受益
  《隐私保护框架》将在美国对隐私实施更大范围内保护的背景下运行,框架将从多种途径保护欧盟消费者。
  《联邦贸易委员会法案》所禁止的不正当、欺诈行为或者惯例,不仅仅局限于保护来自美国公司的美国消费者,也禁止包括这些行为在内的做法(1)在美国境内,引起或很可能引起可合理预见的伤害,或者(2)涉及美国境内的实质行为。并且,联邦贸易委员会可以采用各种补救措施,包括既可以用于保护外国消费者也可以用于保护国内消费者的赔偿措施。
  事实上,联邦贸易委员会的执法工作对美国和外国消费者都大有裨益。举例而言,执行了《联邦贸易委员会法案》第5条的那些案例,既保护了美国消费者的隐私,也同样保护了外国消费者的隐私。在一个控告信息经纪人Accusearch的案例中,联邦贸易委员会指控,Accusearch公司在消费者不知情或者在没有获得消费者同意的情况下,将保密的电话记录销售给第三方的行为是一种不正当的行为,违反了《联邦贸易委员会法案》第5条的规定。Accusearch公司销售了有关美国消费者和外国消费者的信息[6]。法院判决禁止令予以救济,禁止Accusearch公司在没有消费者书面同意的情况下营销或者售卖消费者的个人信息及其他事项,除非信息是从可获得的公开信息中合法获取的,并判令没收近20万美元的非法所得[7]。
  另一个例子是联邦贸易委员会与TRUSTe公司的协议。该协议确保了包括欧盟国家消费者在内的消费者可以信赖一个全球自治企业声明,这种声明是一个全球自治企业就其对国内外在线服务的审查和认证所作出的声明[8]。重要的是,我们对TRUSTe公司的起诉,通过确保对这些企业的问责,更广泛地强化了隐私保护自律系统。责任在自治框架中,包括跨境隐私保护框架中都发挥着重要作用。
  联邦贸易委员会还实施了其他针对性法律,这些法律保护的对象扩展到美国以外的消费者,比如《儿童网络隐私保护法案》(以下简称“COPPA”)。《儿童网络隐私保护法案》要求那些面向儿童的网站和在线服务运营商,或者明知会收集13岁以下儿童个人信息的面向一般公众的网站,向家长提供通知,并获得可核实的家长同意及其他事项的信息。美国的网站和服务受到《儿童网络隐私保护法案》的约束,收集外国儿童的的个人信息也被要求遵守《儿童网络隐私保护法案》。如果外国网站和在线服务在美国境内是面向儿童的,或者明知会收集美国境内儿童的个人信息,他们也必须遵守《儿童网络隐私保护法案》。除了联邦贸易委员会实施的美国联邦法律,某些联邦和州的其他保护消费者和其隐私的法律也为欧盟消费者提供了额外的好处。
  C.《安全港协议》的执行
  作为其隐私和安全执法项目的一部分,联邦贸易委员会还力图通过对涉嫌违反《安全港协议》的行为提起诉讼,来保护欧盟的消费者。联邦贸易委员会已经提起了39起《安全港协议》诉讼:36起指控虚假认证的诉求,3起——控告谷歌、脸书和聚友网——涉及被控违反《安全港协议》原则的案例[9]。这些案例表明,政府对认证是有执行力的,政府会对不遵守的行为加以回应。20年的许可决议要求谷歌、脸书和聚友网实施全面的隐私保护项目,项目必须合理设计,以解决关于新老产品和服务开发和管理的隐私风险,并保护个人信息的隐私性和秘密性。基于这些决议授权的、有全面的隐私保护的项目,必须能识别可以预见的现实风险,并有处理这些风险的控制措施。企业也必须提交对其隐私项目正在进行的独立评估,这些项目必须提交给联邦贸易委员会。这些决议也禁止这些企业不实陈述其隐私保护的做法以及其参与的任何隐私或安全项目。禁令也适用于新的隐私保护框架下的企业行为和惯例。联邦贸易委员会可以通过诉诸民事处罚来执行这些决议。事实上,2012年,谷歌支付了2250万美元的民事罚款以解决起诉其违反决议的控告。因此,这些联邦贸易委员会的决议帮助保护了全球范围内超过10亿的消费者,其中有成千上万的消费者居住在欧洲。
  联邦贸易委员会的案子也聚焦于针对《安全港协议》实践中的虚假、欺诈、误导性行为的控诉。联邦贸易委员会严肃地对待这些诉求。举例而言,在联邦贸易委员会诉Karnani一案中,联邦贸易委员会在2011年,以一个美国境内的网络营销商为被告,提起了诉讼,指控Karnani和他的公司,通过利用.uk的域名扩展并指定英镑和英国邮政系统的方式,诱骗英国消费者相信这个公司的基地在英国[10].然而,当消费者收到货物时,他们发现出乎意料的进口关税,保单在英国是无效的,费用大小与得到的退款相关。联邦贸易委员会还指控被告欺骗消费者,声称自己参加了安全港项目。值得注意的是,所有的受害消费者都在英国。
  许多其他执行《安全港协议》的案例涉及到这样的机构,它们虽然参加了安全港项目,但却未能更新其年度资格认证,同时又继续以现有成员自居。正如下文将进一步讨论的,联邦贸易委员会还承诺会处理某些虚假声明,声明他们参加了隐私保护框架并有相应的资格。这项富有策略的执法活动将会补充商务部增加的执法活动,以核实符合安全港项目要求的认证和再认证,补充商务部对有效合规行为的监测,包括通过向《安全港框架》的参与者发放调查问卷和更加努力地识别虚假安全港框架成员资格声明和任何滥用安全港框架认证标志的情况的方式监测有效的合规行为[11]。
  II.申请优先权和调查
  正如我们在安全港项目下所做的,联邦贸易委员会承诺优先处理来自欧盟成员国的隐私保护申请。我们也会优先处理来自隐私自治企业和其他独立的争端解决机构提交的不符合自治纲领的、与《隐私保护框架》有关的申请。
  为了方便欧盟成员国在《隐私保护框架》下提交申请,联邦贸易委员会创设了一项标准的申请提交流程,并就信息种类问题向欧盟成员国提供指导,信息种类最能够帮助联邦贸易委员会调查一项申请。所指定的当局已经对指控的违法行为进行了初步调查,并与联邦贸易委员会合作进行调查是最有效的。
  一旦从欧盟成员国或自治企业收到申请,联邦贸易委员会能够采取广泛的措施去解决提及的问题。例如,我们可能审查公司的隐私政策,从公司或者第三方直接获取进一步的信息,跟进提及的主体,评估是否存在违法模式或者大量受影响的消费者,判断申请所指的问题是否在商务部管辖范围内,评估消费者教育和商业教育是否会有帮助,此外,如果可能的话,开启执法程序。
  联邦贸易委员会还承诺就申请,与指定的执法当局交换信息,包括符合保密法和限制范围的申请人的身份。这点未来在多大程度上是可行的,要基于收到申请的数量和种类,联邦贸易委员会所提供的信息将包含对申请事件的评估,包括对所提及的重要事件的描述和任何在联邦贸易委员会管辖范围内釆取的解决违法问题的措施。联邦贸易委员会也将把收到申请的种类反馈给指定的当局,以提高处理违法行为的工作效果。如果指定的执法当局为了进行其执法程序的目的而搜集关于特定申请者身份的信息,联邦贸易委员会将会在考虑申请者的数量、保密法和其他法律要求的约束的情况下予以回应。
  联邦贸易委员会还会与欧盟数据保护机构密切合作,以提供执法协助。在可能的情况下,合作可以包含依据《美国网络安全法案》进行的信息共享和调查协助,当外国机构正在执法禁止那些本质上与联邦贸易委员会执行的法律所禁止的行为类似的情况下,该法案授权联邦贸易委员会协助外国执法机构、作为协助的一部分,联邦贸易委员会可以分享与其调查相关的、在调查过程中获取的信息,可以代表独立实施调查的欧盟数据保护机构颁布强制程序,并结合数据保护机构的执法进程,根据《美国网络安全法案》的要求,寻求受害者或者被告的口头证明。联邦贸易委员会经常运用此授权,在隐私和消费者保护案子中,协助世界范围内的其他机构[12]。
  1在判断是否行使《美国网络安全法案》的授权时,联邦贸易委员会考虑到,尤其是“(A)请求机构是否已经同意向委员会提供或者将要提供相互的协助;(B)请求机构的调查或执法进程是否考虑了引起或者很可能引起大量人员受伤的行为或惯例。”《美国法典》第15卷第46条第(j)款第(3)项。该授权不适用于竞争法的实施。
  除了优先处理来自欧盟成员国和隐私保护自治机构的隐私保护申请以外[13],联邦贸易委员会承诺,如果可能的话,将依职权利用一系列工具调查可能存在的《安全港框架》下的违法行为。
  十多年来,联邦贸易委员会在调查涉及商业机构的隐私和安全问题上坚持稳固的程序。作为调查的一部分,联邦贸易委员会定期审查,争议机构是否做出违反《安全港协议》的行为。如果机构做出了这样的行为,调查显示存在明显的违反《安全港协议》隐私政策的行为,联邦贸易委员会将把违反《安全港协议》的指控纳入诉讼中。我们将会在新的《隐私保护框架》下继续这一积极方式。重要的是,相比于最终导致公开诉讼的调查数量而言,联邦贸易委员会进行了更多的调查。许多联邦贸易委员会的调查是保密的,因为工作人员不能识别明显的违法行为。由于联邦贸易委员会的调查是非公开和保密的,封闭的调查通常不会公开。
  由联邦贸易委员会启动的近4起涉及安全港项目的诉讼,证明了该机构有积极实施跨境隐私项目的义务。作为我们定期进行的隐私和安全调查的一部分,联邦贸易委员会将会调查潜在的违反《隐私保护框架》的行为。
  III.处理虚假或欺骗性的隐私保护成员资格的声明。
  正如上文提到的,联邦贸易委员会将会对不称职参与《隐私保护框架》的机构提起诉讼。联邦贸易委员会将会优先考虑来自商务部的申请,这些申请涉及那些不合理地把自己作为《隐私保护框架》的当前成员并以此自居的企业,或者在没有授权的情况下使用任何《隐私保护框架》认证标志的企业。
  此外,我们注意到,如果一个企业的隐私政策承诺会遵守隐私盾原则,却未能在商务部注册或继续注册,很可能不会通过自己,免于被联邦贸易委员会执法,联邦贸易委员会会执行那些《隐私保护框架》的承诺。
  IV.命令执行的监测
  联邦贸易委员会还重申了监测其判决执行的决心,以确保符合《隐私保护框架》。
  我们将通过未来联邦贸易委员会《隐私保护框架》命令中的各种合理的禁止性条款,来要求遵守《隐私保护框架》。这包括,在有基础执行联邦贸易委员会措施的情况下,禁止涉及《隐私保护框架》和其他隐私保护项目的扭曲行为。
  联邦贸易委员会的案子具有指导意义,这些案子执行了最初的《安全港协议》项目。在涉及虚假或欺诈的《安全港协议》认证声明的36个案子中,每一项判决都禁止被告继续误导其参与了《安全港协议》或任何其他隐私或安全保护项目,并要求企业向联邦贸易委员会做合规报告。在涉及违反《安全港协议》隐私盾原则的案例中,企业被要求实施全面的隐私保护项目,20年间每两年获得独立第三方对这些项目的评估,这些他们必须提交给联邦贸易委员会。
  违反联邦贸易委员会的行政命令,能够导致每项违法行为被处以16000美元的民事罚款,或者针对继续进行的违法行为每天16000美元的罚款[14],在影响许多消费者的案子中,罚款可以高达上百万美元。每一项同意令也有报告和合规条款。命令下的机构必须保留文件,以证明在规定年限内他们是合规的。这些命令也必须分发给有责任遵守命令合规性的雇员。
  联邦贸易委员会系统地监测了《安全港协议》命令的合规性,正如其对联邦贸易委员会所有命令的监测一样。联邦贸易委员会严肃地执行其隐私和数据安全命令,当必要的时候为了实施这些命令会提起诉讼。举例而言,正如上面提到的,谷歌支付了2250万的民事罚款去解决其违反联邦贸易委员会命令的指控。重要的是,联邦贸易委员会的命令会继续保护世界范围内与公司打交道的所有消费者,不仅仅是那些提起控诉的消费者。
  最后,联邦贸易委员会将会结合《安全港协议》项目和新的《隐私保护框架》的执法情况,继续维持受命令约束的在线企业名单[15]。此外,目前的隐私盾原则要求企业受到联邦贸易委员会的命令或法院判决的约束,判决是在违反隐私盾原则的基础上做出的,目的是公布任何与隐私保护框架相关的任何合规内容或提交给联邦贸易委员会的评估报告,从某种程度上来说与保密法律和规则一致。
  V.与欧盟数据保护机构交流并开展执法合作
  联邦贸易委员会认识到欧盟数据保护机构在隐私保护框架的合规性方面发挥的重要作用,并鼓励增加交流和执法合作。除了在具体案例方面与指定的数据保护机构交流,联邦贸易委员会致力于和第29条工作小组指定的代表一起参加定期会议,以探讨如何从总体上提高涉及《隐私保护框架》的执法合作。联邦贸易委员会也会与商务部、欧盟委员会、第29条工作组代表一起参加《隐私保护框架》的年度审核,以讨论其实施情况。
  联邦贸易委员会还鼓励开发工具,这些工具能够提高与欧盟数据保护机构,以及全球范围内的其他隐私执法当局之间的执法合作。特别地,去年,联邦贸易委员会与欧盟及全球范围内的执法合作伙伴一起,在全球隐私执法网络范围内(以下简称"GPEN")启动了一个报警系统,以就调查和促进执法合作方面共享信息。这个GPEN报警系统在《隐私保护框架》的背景下特别有用。联邦贸易委员和欧盟数据保护机构能够利用这个工具在《隐私保护框架》方面和其他隐私调查方面展开合作,包括作为共享信息的起点,目的是为消费者提供协调、更有效的隐私保护。我们希望继续与参与的欧盟当局合作,以在更广范围内配置GPEN报警系统,开发其他工具,从而提高包括那些涉及《隐私保护框架》的隐私案例中执法合作的开展。
  ***
  联邦贸易委员会很高兴能够重申其执行新的《隐私保护框架》的承诺。我们也希望继续与欧盟的同事们合作,像以前一样在大西洋两岸合作保护消费者的隐私。
  真诚地
  Edith Ramirez
  主席
  附件A
  Attachment A
  欧盟-美国《隐私保护框架》背景:美国隐私和安全保护概览
  The EU-U.S. Privacy Shield Framework in Context: An Overview of the U.S. Privacy and Security Landscape
  由欧盟-美国《隐私保护框架》(以下简称“Framework”)提供的保护存在于这样的背景下,即作为一个整体的美国法律系统给隐私提供了更大范围的保护。首先,联邦贸易委员会(以下简称(“FTC”)有一项针对美国商务实践、保护全球范围内的消费者的强有力的隐私和数据安全保护项目。其次,当最初的美国-欧盟《安全港协议》项目被采用后,自2000年以来,美国境内消费者的隐私和安全保护概况有了实质性的进步。从那时起,许多联邦和州的隐私和安全保护法律被制定,公诉和私人诉讼要求行使隐私权利日益变得重要。美国法律的保护范围很广泛,并适用于商业数据惯例、对消费者的隐私和安全提供保护,这对新的《隐私保护框架》下向欧盟公民提供保护起到补充作用。
  I.联邦贸易委员会隐私和安全执法的总体计划
  联邦贸易委员会是美国消费者保护的领导机构,专注于商业领域的隐私保护。联邦贸易委员会有权起诉侵犯消费者隐私的不正当或者欺诈行为或者惯例,也有权实施更具有针对性的隐私保护法律,这些法律保护特定的金融信息和医疗信息、儿童信息、被用来决定有关消费者的某些资格的信息。
  联邦贸易委员会在消费者隐私保护执法方面有着无可比拟的经验。联邦贸易委员会的起诉解决了线上线下的违法行为。举例而言,联邦贸易委员会已经对知名企业,如谷歌、脸书、推特、微软、温德姆、甲骨文、HTC和开发者,以及没有这些企业知名的公司,提起了诉讼。联邦贸易委员会起诉这些公司,指控这些公司涉嫌给消费者发垃圾邮件,在电脑上安装间谍软件,未能保护消费者个人信息的安全,疑似跟踪消费者上网,侵犯儿童隐私,非法收集消费者移动设备上的信息,未能保证用于存储个人信息联网设备的安全。基于此的判决一般会提供联邦贸易委员会20年间进行的监测,会禁止企业进一步的违法行为,判决企业因违反命令而支付大笔罚金。重要的是,联邦贸易委员会的命令不仅仅保护可能会就某一问题指控的个体,这些命令也保护所有正在与企业打交道的消费者。在跨境的情况下,联邦贸易委员会对发生在美国境内的行为都有权管辖,保护全球范围内的消费者。
  迄今为止,联邦贸易委员会提起了超过130起垃圾邮件和间谍软件的案子,超过120起“谢绝来电”的电话营销案子,超过100起违反《公平信用报告法案》的诉讼,近60起数据安全的案子,超过50起一般隐私保护的诉讼,近30起违反《金融服务现代化法案》的案子,超过20起执行《儿童网络隐私保护法案》(以下简称“COPPA”)的案子。除了这些案子,联邦贸易委员会还颁布和公开了警告信。
  作为其强有力的隐私保护执法的部分历史,联邦贸易委员会还定期调查潜在的违反《安全港协议》项目的行为。自从《安全港协议》项目被实施以来,联邦贸易委员会就《安全港协议》合规性进行了无数的主动调查,对美国公司违反《安全港协议》的行为提起了39起诉讼。联邦贸易委员会将通过优先执行新的《隐私保护框架》,继续坚持积极主动的执法方式。
  II.联邦和州对消费者隐私的保护工作《安全港协议执法情况概览》是在欧盟委员会《安全港协议》合法性决议的附件中出现一部法律,该法总结了2000年《安全港协议》项目实施以来,许多联邦和州生效的保护隐私。那时,很多联邦法律规定了监管个人信息的商业收集和商业使用行为,不仅仅是《联邦贸易委员会法案》第5条,还包括:《有线通信政策法案》,《司机的隐私保护法案》、《电子通信隐私法》、《电子资金转移法》、《公平信用报告法案》、《金融服务现代化法案》、《金融隐私权法案》、《电话消费者保护法》、《录音制品隐私保护法》。许多州在这些领域也有类似的法律。
  自2000年以来,联邦和州级别主体在提供额外的消费者隐私保护方面,有了巨大进步。在联邦级别上,例如,联邦贸易委员会为了对儿童的个人信息提供大量额外的保护,在2013年修改了《儿童网络隐私保护法案》规则。联邦贸易委员会还颁布了两条规则实施《金融服务现代化法案》—隐私原则和安全保护原则—这要求金融机构披露其信息共享的做法,并实施一个全面的信息安全项目去保护消费者信息。类似地,2003年制定的《公平准确信用交易法案》(以下简称“FACTA”),补充了美国长期以来的信用法案,为某些敏感金融数据的屏蔽、共享和处理设立了要求。鉴于以下方面和其他事项,联邦贸易委员会颁布了基于《公平准确信用交易法案》的一系列规则:消费者免费获得年度信用报告的权利;安全处理消费者报告信息的要求;消费者选择不接收某些信贷和保险服务的权利;消费者选择不使用由某个隶属公司为了营销产品和服务而提供的信息的权利;要求金融机构和放贷者实施识别和预防身份盗窃项目、此外,2013年修改了《健康保险携带和责任法案》颁布的规则,增加了额外的保障,以保护个人医疗信息的隐私和安全。国会也制定法律要求某些收集健康信息的企业在信息泄露时向消费者提供通知。
  州也积极地制定涉及隐私和安全的法律。自从2000年以来,47个州,哥伦比亚、关岛、波多黎各、维尔京群岛已经立法要求企业向个人通知其个人信息存在的安全漏洞。至少32个州和波多黎各的适用于数据处理的法律,为个人信息的破坏或处理设置了要求。大量的州也建立了一般的数据安全法律。此外,加州制定了各种隐私保护法律,包括一项要求企业具备隐私政策、披露不跟踪的法律,一项阳光法案要求数据经纪人的行为更透明,一项规定了“橡皮擦按钮”,允许未成年人要求删除某些社会媒体信息的法律。通过这些法律和其他授权,联邦和州政府向那些未能保护消费者个人信息的隐私和安全的企业征收了大笔罚款。
  私人诉讼也导致成功的判决和解决项目,这些为消费者提供了额外的隐私保护和数据安全保护。例如,2015年,Target公司同意支付给客户1000万美元作为协议的一部分,因为消费者控诉其个人的财务信息因大范围的数据泄露而被破坏。2013年,AOL公司同意支付500万美元的和解费去解决一个集体诉讼,该集体诉讼暴露出AOL在去识别化方面的不足,涉及成百上千的AOL会员检索序列的泄露。此外,联邦法院判决Netflix公司支付900万,因其保存租赁历史记录的行为被指控违反了1988年的《录音制品隐私保护法》。加州联邦法院判决脸书分别支付2笔和解费,一笔是2000万,另一笔是950万美元,涉及到该公司收集、使用和共享用户个人信息的行为。并且,2008年,加州法院判决LensCrafters公司支付2000万美元的和解费,因其违法披露了消费者的医疗信息。
  总之,正如概要所展示的,美国为消费者的隐私和安全提供了重要的法律保护。为欧盟公民提供了有价值的保障的新《隐私保护框架》,将会在这样的大背景下实施:保护消费者的隐私和安全继续成为美国重要的优先事项。
  附件B
  Attachment B
  隐私&数据安全
  Privacy & Data Security
  更新:2015
  联邦贸易委员会
  2015年1月-2015年12月
  联邦贸易委员会(以下简称FTC或委员会)一个实施美国法律的独立机构,负责在广泛的经济领域中保护消费者和提高竞争。联邦贸易委员会的主要法律权力来自于《联邦贸易委员会法案》第5条的授权,该条禁止市场中的不正当或者欺诈行为。联邦贸易委员会也有权实施各种部门的具体立法,包括《贷款实情法案》,《反垃圾邮件法》,《儿童网络隐私保护法》,《平等信贷机会法案》,《公平信用报告法案》,《公平债务催收实践法案》,和《电话营销、消费欺诈和滥用防治法案》。这种广泛的权力允许委员会处理一系列影响消费者的行为,包括那些伴随着新技术和商业模式的发展而出现的行为。
  联邦贸易委员会如何保护消费者的隐私、确保数据安全?
  联邦贸易委员会利用各种工具以保护消费者的隐私和个人信息。联邦贸易委员会的主要工具是釆取强制措施,以终止违法行为,并要求企业采取积极的措施纠正非法行为。如果可能的话,这包括,实施全面的隐私和安全项目,提供由独立第三方提供的两年一次的评估,对消费者进行货币补偿,追缴不法所得,删除非法获得的消费者信息,为消费者提供强有力的通知和选择机制。如果企业违反了联邦贸易委员会的命令,联邦贸易委员会可以就违法行为诉诸民事罚款。联邦贸易委员会也可以获得货币赔偿,因为违法行为违反了某些隐私法规和规则,包括《儿童网络隐私保护法案》、《公平信贷报告法案》、《电话销售规则规则》。迄今而至,委员会提起了成百上千的隐私和数据安全诉讼案例,保护了上亿的消费者。
  联邦贸易委员会的其他工具包括进行研究和发布报告、举办公开研讨会、为消费者和企业开发教育材料、在美国国会前作证、为那些影响消费者隐私的立法和规则提案提供建议,与国际合作伙伴就全球隐私和责任问题开展合作。
  在所有的隐私保护工作中,联邦贸易委员会的目标始终不变:保护消费者的个人信息,确保消费者有信心利用市场提供的诸多好处。
  执法
  联邦贸易委员会在消费者隐私保护的执法方面有无可比拟的经验。其执法行为涉及处理线下、线上和移动领域的行为。联邦贸易委员会已经对知名企业,如谷歌、脸书、推特、微软以及没有这些企业有名的公司,提起了诉讼。联邦贸易委员会的消费者隐私执法命令不仅仅保护美国消费者;这些命令也保护属于联邦贸易委员会管辖权限内的全球范围内的消费者,免受企业的不正当或欺诈行为的伤害。
  一般隐私保护
  联邦贸易委员会已经提起了诉讼,解决了一系列的隐私问题,包括垃圾邮件、社交网络、行为广告、电话门、间谍软件、面对面文件共享和移动问题。这些涉及包括超过130起垃圾邮件和间谍软件案子和超过50起的一般隐私诉讼。2015年,联邦贸易委员会公布了以下案例:
  >联邦贸易委员会控告被告Craig Brittain采用欺诈手段获取、发布女性的私密形象,然后链接到他们控制的另一个网站,在他们控制的网站上告知女性,如果支付上百美元,可以移除照片,Craig Brittain是被称为“色情复仇”网站的运营商。在协议中,如果没有得到那些人肯定的明示同意,被告被禁止再公开分享任何人的裸体录像或照片,同时必须销毁其在运营网站过程中收集的私密照片和个人通信信息。
  >联邦贸易委员会在简易程序中裁定运营商jerk.com,一个以“反社会网站”自称的网站,在网站内容的来源方面对用户构成欺诈。委员会发现运营商声称网站内容由其他用户发布,并通过这种方式误导消费者。然而,大部分的内容来自运营商从脸书上挖掘的资料。委员会还发现被告歪曲了付费会员的好处,这种好处是指据称支付30美元,网站就允许消费者在其网站上配置文件、更新信息。事实上,这些成为付费会员的消费者不能更正网站上关于他们的信息,也不能获得任何“会员资格”的好处。
  > Nomi Technologies公司支付了罚款以解决联邦贸易委员会的指控。 Nomi后者指控Technologies公司的技术允许零售商跟踪浏览其网店消费者的足迹,并通过承诺,误导消费者。该公司曾承诺将为消费者提供退出被跟踪的店内机制,如果商家使用了Nomi公司的跟踪服务,消费者将会被告知。原告指控这些承诺不是真的,因为店内的退出机制是不能用的,当跟踪发生时,消费者也不会被告知。
  >联邦贸易委员会向Truste有限责任公司发布了终局裁定,Truste有限责任公司是一家为网络公司提供隐私认证的供应商。联邦贸易委员会指控,Truste公司自2006至2013年1月,未能对执有Truste隐私印章的1000多家公司进行年度重人证,尽管其网站上显示持有Truste隐私印章的公司接受了每年一次的重新认证。
  >联邦贸易委员会批准了针对医疗账单公司PaymentsMD有限责任公司和其前任CEO, Michael C. Hughes的终裁。联邦贸易委员会指控他们误导成千上万注册了在线支付账户的消费者,却未能充分告知消费者,公司是从药店、医疗实验室、保险公司找寻高度详细的医疗信息的。
  >根据联邦贸易委员会的指控,数据经纪人Sequoia One购买了那些经济紧张的消费者的发薪日贷款申请书,然后将信息卖给骗子,这些骗子通过记入消费者银行账户的借方,并在没有获得消费者同意的情况下记入其信用卡账上,通过这种方式,骗子从消费者那里拿走上百万美元。结果,骗子获得了超过50万消费者的金融账户信息,从他们的账户中抢劫了至少710万美元。
  > Bayview Solutions和Cornerstone and Company这两个数据经纪商,同意支付罚款以解决控诉,起诉方指控他们披露了高度敏感信息一包括银行账户和信用卡号码、出生日期、通信信息、雇员姓名、与消费者声明所欠贷款相关的信息一关于上万消费者的高度敏感信息,同时试图在公开网站上销售消费者债务的投资组合。与联邦贸易委员会达成的协议要求被告遵守严格的新要求,以保护消费者的敏感信息。
  >在与联邦贸易委员会的协议中,CWB Services有限责任公司,发薪日贷款项目的运营商,被禁止向消费者经营贷款业务。联邦贸易委员会指控,被告利用从数据经纪人那里购买的个人财务信息,在未经授权的情况下将存款存入消费者的银行账户。未经授权存入后,被告在没有支付任何费用的情况下每两周支取重复出现的"财务费用",旨在减少贷款本金。然后被告通过电话和邮件

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.1216958      关注法宝动态: