“FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)
美国时间2019年7月24日,美国联邦贸易委员会(FTC)在其网站上公布了与Facebook达成和解令的新闻通告。DPO社群第一时间将通告翻译成中文,供大家参考。
通告中文译文如下:
FTC对Facebook处于50亿美元罚款
并对其强加了广泛的隐私保护限制性要求
Facebook将支付创纪录的50亿美元罚款,并接受FTC提出的新的限制要求和公司结构,以保证公司能够对其关于用户隐私的各项决策真正地负责。Facebook的上述措施,旨在与FTC就违反2012年FTC命令一事达成和解。FTC认定Facebook在用户对其个人信息控制方面,欺骗了用户。
FTC对Facebook的50亿美元罚款,是迄今为止所有因侵犯消费者隐私对公司所进行的处罚中数据最为巨大的,几乎是全球范围内已有的因隐私或数据安全而处罚的数额的20倍。该处罚也是美国政府对任何违规行为进行过最严厉的处罚之一。
除罚款之外,今天公布的和解令还对Facebook的业务运营施加了前所未有的新限制,并在Facebook内部创建了多个合规渠道。和解令要求Facebook从公司董事会起,由上至下全面重构其隐私保护策略,并建立强大的新课责机制,以确保Facebook高管对他们所作的隐私方面的决策承担起责任,并且这些决策能够受到有效的外部监督。
FTC主席Joe Simons说:“Facebook向全球数十亿用户多次承诺过用户可以控制其个人信息的共享,但Facebook还是违背了消费者的选择”。“50亿美元的罚款规模和行为方面彻底变革的程度在FTC的历史上是史无前例的。这不仅是对未来可能的违规行为进行[预防性]惩戒,更重要的是要改变Facebook公司的整体隐私文化,以减少未来再次违规的可能性。FTC高度重视消费者的隐私,并将在法律允许范围内最大程度地执行此次和解令。”
司法部民事司助理检察长Jody Hunt说:“司法部致力于保护消费者数据隐私,并确保像Facebook这样的社交媒体公司不会在个人信息使用方面误导用户”。“此和解令中史无前例的惩罚和合规条款将有利于美国消费者,而且司法部希望Facebook能够极其严肃地对待其隐私方面的保护义务。”
在美国和加拿大,超过1.85亿人在每天使用Facebook。Facebook通过定向广告(targeted advertising)将用户的信息货币化。2018年,定向广告为Facebook带来了558亿美元年收入的绝大部分。为了鼓励用户在其平台上共享信息,Facebook向用户承诺,他们可以通过Facebook的隐私设置对其个人信息进行控制。
在FTC进行为期一年的调查之后,司法部将代表FTC提出申诉:Facebook违反了2012年其与FTC达成的和解令,多次使用欺骗性披露和设置来削弱用户实现自己的隐私偏好。Facebook的这些策略,使其能与第三方应用共享用户的个人信息,只要该用户的Facebook好友下载并使用了该第三方应用。FTC认为多数用户并不知道Facebook正在以此类方式共享其信息,因此没能采取必要步骤以选择退出上述的信息共享。
此外,FTC认为Facebook对明知违反其平台政策的第三方应用程序所采取的应对措施不够充分。
与该和解令相关的是,今天FTC还同时宣布对数据分析公司Cambridge Analytica、其前任首席执行官Alexander Nix以及与该公司合作的应用程序开发人员Aleksandr Kogan,启动独立的执法程序。FTC认为他们使用了虚假和欺骗性的策略,从数千万Facebook用户那里收集了个人信息。Kogan和Nix已经同意与FTC达成和解。未来,他们开展任何业务都将受到限制。
新的Facebook和解令中的要求
为了防止Facebook在未来再次就隐私问题欺骗用户,FTC会在与Facebook新的为期20年的和解令中,通过提高公司内部决策透明度,以及通过相互叠加的不同的合规渠道,以彻底改变该公司关于隐私方面的决策方式。
该和解令在公司董事会层面建立了更强的可课责性。例如,其要求Facebook在董事会层面建立独立的隐私委员会,剥夺了Facebook首席执行官马克·扎克伯格对可能影响用户隐私的公司决策的压倒性控制力。隐私委员会的成员必须是独立的,并由独立的提名委员会任命。委员会成员只能经Facebook董事会的绝大多数人协商一致后才可解雇。
和解令还改善了个人层面的可课责性。Facebook将被要求指派负责Facebook隐私保护计划(privacy program)的合规官。这些合规官的任命将由新的董事会隐私委员会批准,并且只能由该委员会而非所移除,Facebook的CEO或其他员工无该权力。Facebook首席执行官马克·扎克伯格和指定的合规官必须每季度独立向FTC提交证明,即公司确实符合和解令中所规定的隐私保护计划,以及每年提交公司全面遵从和解令的证明。任何虚假证明都将使他们受到个人的民事和刑事处罚。
该和解令还加强了对Facebook的外部监督。该命令增强了独立第三方评估员评估Facebook隐私保护计划有效性和识别差距的能力。评估员对Facebook隐私保护计划的两年期评估,必须基于该评估员独立的事实收集、抽样和测试,并且不得主要依赖于Facebook管理层所提供的承诺或证明。评估员由FTC批准或移除,且和解令禁止公司向评估员做出任何虚假陈述。重要的是,独立评估员将被要求每季度直接向新的董事会隐私委员会报告。和解令还授权FTC使用联邦民事诉讼规则(the Federal Rules of Civil Procedure)提供的开示工具以监测Facebook对和解令的遵从情况。
作为和解令强制要求的隐私保护计划的一部分(该隐私保护计划同时涵盖WhatsApp和Instagram),Facebook必须对每项新的产品和服务上线前,或产品和服务的每次更新前,进行隐私审查(privacy review)并记录其有关用户隐私的决定。指定的合规官必须每季度撰写隐私审查报告。该报告必须与首席执行官、独立评估员、以及FTC(当其需要时)共享。该和解令还要求当Facebook发生的数据安全事件涉及500位或更多的用户时,Facebook应忠实纪录该事件及其解决此事件所采取的措施,并在公司发现事件后30天内将此文档提交给FTC和第三方评估员。
此外,该和解令还提出了下列重大的隐私方面的新要求,具体包括:
Facebook必须对第三方应用程序进行更强的监督,包括对未能证明其符合Facebook平台策略,或无法证明他们获取特定用户数据必要性的应用程序开发人员,终止合作;
禁止Facebook将出于安全功能(例如双因素身份验证)而获得的电话号码,用于广告目的;
Facebook必须就人脸识别技术提供提供清晰、明确的告知,并在将该技术用于未经实质性披露的用途之前,获得用户的明示同意;
Facebook必须建立、实施和维护全面的数据安全计划;
Facebook必须加密用户密码并定期扫描以检测是否有任何密码以明文形式存储;以及
当消费者注册其服务时,禁止Facebook向用户索要用于其他服务的电邮密码。
涉嫌违反2012年和解令
目前的和解令,源于Facebook涉嫌违反其与FTC在2012年达成的和解令。除其他事项外,2012年的和解令禁止Facebook对消费者个人信息的隐私保护或安全性,以及其与第三方分享个人信息(如姓名和出生日期)的程度,做出失实性陈述。2012年和解令还要求Facebook建立并维护合理的隐私保护计划,以保护用户对信息的控制和信息的机密性。
FTC称,当公司与第三方应用开发商共享用户Facebook好友的数据时,即使这些好友选择了更严格的隐私设置,Facebook上述欺骗用户的行为,违反了2012年的和解令。
2012年5月,Facebook在其“隐私设置”页面中添加披露了一项信息——即用户与Facebook好友所共享的信息,也可以被这些朋友所使用的第三方应用所获取。FTC称,2012年8月,也就是2012年和解令达成后的四个月后,Facebook从“隐私设置”页面中删除了此披露信息,尽管它仍在与第三方应用持续共享用户的Facebook好友信息。
此外,Facebook在2012年底推出了各种服务,例如“隐私快捷方式”,在2014年退出了“隐私检查”。这些服务均声称能帮助用户更好地管理他们的隐私设置。然而,这些服务实际上未能透露以下情况:即使用户选择最严格的信息共享设置,Facebook仍然可以与用户的Facebook好友所使用的第三方应用,共享用户的信息,除非用户也进入“应用设置页面”并选择退出这种分享。FTC认为,Facebook没有在“隐私设置”页面或个人资料页面的“关于”部分中透露:Facebook仍然可与Facebook平台上第三方开发者,分享该应用用户的Facebook好友的信息。
2014年4月,Facebook宣布其将停止允许第三方开发者收集有关应用用户的朋友的数据(“受影响的朋友数据”)。尽管有此承诺,该公司还是通过其他途径告诉第三方开发人员,如果他们已经在平台上有现成的应用程序,他们可以在2015年4月前持续收集“受影响的朋友数据”。FTC声称Facebook至少等到2018年6月,才完全停止与Facebook好友使用的第三方应用共享用户的信息。
此外,FTC认为,Facebook并未对其平台的第三方应用程序开发人员开展合适的监督。FTC认为,作为一般流程,Facebook在授予他们访问大量用户数据之前,并不会筛选开发人员或他们的应用程序。相反,Facebook只需开发人员在Facebook平台上注册应用程序时同意Facebook的政策和条款。该公司声称对第三方程序和开发人员的监督,仅依赖于在其事后发现违反Facebook政策和条款的行为。但此时,第三方程序和开发人员已经获取了Facebook用户的数据。而且,FTC认为,Facebook事实上并未始终如一地执行上述事后惩戒的政策,其经常根据是否从与开发者的合作中获益来决定是否执行以及多大程度上执行上述政策。FTC认为Facebook的该行为,违反了2012年和解令中要求的建立并维护合理的隐私保护计划的要求。
FTC还认为Facebook对用户控制人脸识别技术的能力,做出了错误的陈述。FTC认为,Facebook于2018年4月更新的数据政策,实际上欺骗了数千万开启了“标签建议”(Facebook的一种人脸识别设置)的用户。因为该设置实际上是默认开启的,而2018年4月更新的数据政策则声称,用户需要选择加入(opt-in)以在其账户中开启该设置。
除了上述违反2012年和解令的行为外,FTC认为,Facebook违反了“FTC法”中关于禁止欺诈行为的要求。即Facebook告诉用户其将收集他们的电话号码以启用安全功能,但并没有同时透露Facebook也将这些号码用于了广告目的。
FTC决定向司法部提交其投诉和撰写的最终和解令的投票是3-2。司法部将在美国哥伦比亚特区地方法院提交FTC的投诉和撰写的和解令。FTC主席Simons与委员Noah Joshua Phillips和Christine S. Wilson就此事发表了声明。委员RohitChopra和Rebecca Kelly Slaughter就此事发表了单独的声明。
注释:在“有理由相信”所指被告已经违反或即将违反法律时,并且FTC认为诉讼符合公共利益时,FTC会提起诉讼。在地区法院法官批准和签署后,和解令将具有法律效力。
以下为FTC网站截图:
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点