FTC vs Facebook:50亿美元和解令的来龙去脉(DPO社群成员观点)
2019年7月24日,美国联邦贸易委员会(FTC)宣布已与Facebook达成50亿美元的和解令,FTC内部以3:2的投票结果通过了这份和解令,三位共和党委员投了赞成票,而两位民主党委员投了反对票。目前,这份和解令尚未生效,有待法院的最终签发,但几无悬念。
FTC究竟为何对Facebook开出巨额罚单?50亿罚款由何得出,是“天价”还是远远不足?和解令中除了罚款还包含哪些内容?以和解代替诉讼究竟是惩戒还是姑息?本文基于对于FTC对Facebook的指控书、和解令、同意动议书(与和解书一起递交法院希望法院同意和解令的文件)和五位委员的赞成、反对意见等一手资料的分析,试图对此事件的来龙去脉进行梳理,并进一步分析和解令背后的利益权衡与争议。
需要说明的是,签署和解令意味着被申请人Facebook既不承认也不否认指控书中原告FTC的指控。以下描述的“事实”基于FTC的指控书,为严谨起见,我们强调是“FTC认为”的“事实”。
一、FTC的指控
2018年3月,英美媒体曝光,英国政治咨询公司“剑桥分析”(Cambridge Analytica)在未获得用户授权的情况下,通过在线性格测验的方式获取了8700万Facebook用户的个人信息,并将这些数据用于对美国选民定向推送政治信息。由此,Facebook向第三方泄露用户信息的情况一时成为各方关注焦点。
其实早在2011年,FTC就调查发现Facebook未经用户授权将用户信息泄露给第三方,并通过带有欺诈性的设置和描述使用户难以发现,2012年,Facebook与FTC最终达成和解令。“剑桥分析”事件之后,FTC重启了对于Facebook的调查,旨在探明其是否违反了2012和解令的相关要求。
Facebook与第三方分享用户信息的历史可以追溯到2010年。2010年4月,Facebook启用了第一版Graph API,第三方开发者可以通过其获取用户信息,这些第三方开发者包括Facebook用户可以用来互动的游戏软件,以及用户可以使用Facebook账号登录的其他App或网站等。当Facebook用户安装使用某一由第三方开发者开发的App时,第三方开发者可以通过Graph API获取、收集该等用户的数据,以及其Facebook好友(以下称“受波及好友”)的数据,甚至包括并未下载使用这一第三方App的好友的数据。在初始安装时,Facebook会通过弹窗征求用户对App获取其特定数据的同意(如下图)。
但这一过程中,“受波及好友”并没有直接同意第三方开发者获取自己的个人信息。在这种情况下,Facebook实际上仅基于App用户的同意,就自动一并开放了其Facebook好友的信息。
如果这些“受波及好友”想要避免这种情况,唯一方法是找到Facebook的“应用”(Application)页面上的相关设置,并选择不向第三方开发者开放自己的信息。通常来讲,我们想要限制自己在某一App上的信息的开放范围时,会在“隐私”相关页面上寻找相关设置。而在Facebook网页中,“应用”这一页面是和“隐私设置”(Privacy Settings)页面相分离的。在Facebook的其他页面中,也没有任何信息提示用户这一更改设置存在于“应用”页面。由于不使用其他第三方App的用户可能并不会打开“应用”页面,对于这些用户,这种限制数据分享的设置方式很可能形同虚设。
另一方面,第三方开发者收到这些用户信息和“受波及好友”的信息后,可能将这些信息用于提升App内用户体验或者定向广告投放。但如果使用不当,用户和“受波及好友”的数据则可能被用于实现身份窃取、网络诈骗或其他非法目的。
2011年,FTC对Facebook发起调查,指控Facebook与第三方开发者分享“受波及好友”信息的行为是欺诈性行为。最终Facebook与FTC达成和解,和解令的主要内容包括:
禁止Facebook虚假描述消费者自己可控的信息范围及Facebook允许第三方访问信息的情况等内容;
若Facebook超出用户隐私设置,将信息分享给第三方,必须提前额外向用户告知并获取用户的明示同意;
Facebook应停止第三方访问那些用户已经删除一定时间的信息;
Facebook须制定并实施全面隐私计划;
由独立第三方专家每两年就隐私计划进行评估并出具报告;
Facebook须保证FTC可以获取相关内容,进行监督等。
FTC的调查促使Facebook作出了一些改变。但是Facebook并没有将限制数据分享的设置转移至“隐私设置”页面,而是在“隐私设置”页面增加了一项免责声明,警告用户说,其分享给Facebook好友的信息可能也会被分享给这些好友使用的第三方App。在2014年4月的F8开发者大会上,Facebook向公众宣布启用第二版Graph API以代替原有版本,新版本将不再允许第三方开发者获取“受波及好友”的数据。
然而,对于Facebook而言,完全结束第三方开发者对于“受波及好友”数据的获取,并没有说起来这么简单,其背后牵动的,是Facebook整体的商业模式和盈利链条。Facebook的核心商业模式是将用户信息用于广告投放而营利,其利润主要来源于广告收入。与传统的出售广告产品不同,Facebook是通过用户行为实现变现。某一行为的用户参与度越高,例如越多人点击某一个内容链接,Facebook赚取的收入也就越多。因此,如果要将用户参与度的营利可能性最大化,Facebook需要尽可能延长用户使用Facebook的时间,并创造条件引导这些用户去从事那些可以为Facebook带来收益的行为。
第三方开发者恰好可以帮Facebook实现这两点。Facebook用户用Facebook账户登录第三方App,同时还可以将第三方App上的内容转发分享回Facebook平台,从而延长了用户使用Facebook的时间;而用户对于第三方App的使用、对于某些内容的分享以及对于他人分享内容的“赞”等行为本身又带来大量信息,使Facebook能更精确地对用户进行画像,从而提高定向广告投放的精准度。另一方面,第三方通过Facebook获取用户信息和用户Facebook好友的数据,用于自己的营销等目的,因此二者之间其实是互惠共生的关系。事实上,Facebook自2012年上市之后,正是通过与第三方开发者建立“亲密互惠关系”的方式,快速占据了移动端的主导地位,给予了投资者信心。
正如上文所述,2012和解令签署后,Facebook并未改变其“应用”页面上限制信息分享的设置,而是在“隐私设置”页面增加了免责声明。但仅在2012和解令达成的4个月之后,Facebook就移除了免责声明,同时继续与第三方开发者分享“受波及好友”的信息。另外,2014年4月宣布禁止第三方开发者获取“受波及好友”数据之后,不为公众所知的是,Facebook对既有第三方开发者的数据获取权限保留了一年的过渡期,也即持续到2015年4月。事实上,即使是2015年4月之后,Facebook依然与几十位开发者保持着私下协议,即所谓的“白名单开发者”,允许一些开发者继续收集“受波及好友”的信息。
而“剑桥分析”事件正是发生在上述过渡期及以后的时间里。FTC重启对于Facebook的调查后发现,Facebook并没有改变之前误导用户的欺诈性设置和虚假描述,也没能制定、实施全面合理的隐私安全保护计划;并且其后续的一些行为又构成对2012和解令“禁止虚假描述”等内容的进一步违反。调查还发现Facebook实施了欺诈性的商业行为,涉嫌违反《联邦贸易委员会法》(FederalTrade Commission Act)的第5条(a)。
那么具体来说,Facebook到底做错了什么呢?
首先,FTC认为Facebook涉及多项虚假描述,我们归纳为,侵犯了用户“opt-out”的权利。
美国隐私保护适用的是“opt-out”(选择退出)为主,“opt-in”(选择接受)为辅的机制,将数据处理的初始决策权交由企业,并要求企业提供用户选择退出的权利。在该机制下,通常情况下,收集信息无需事先征得数据主体的同意,但是在后续使用、售卖过程中需要给用户拒绝的权利。当所收集的信息可能直接涉及个人隐私或敏感信息时,则采取“opt-in”的机制,需要用户的事先授权同意。目前美国关于个人信息保护尚未出台联邦层面的立法,但2018年通过的作为美国各州目前就个人信息保护最具体和严格的立法的《加州消费者隐私法案》(California Consumer Privacy Act of 2018),即采取了这种以“opt-out”为主,“opt-in”为辅的机制。就本案而言,FTC认为:
Facebook的隐私设置带有欺诈性,使用户意识不到自己可以“opt-out”,也很难发现行使“opt-out”权利的方式。从2012年12月至2018年,Facebook向用户表明他们可以通过使用Facebook程序中的隐私设置来限制Facebook与他们好友分享信息,从而实现对个人隐私数据的控制。可以利用的设置包括隐私设置页面上的内容、内联设置、隐私快捷设置和个人简介设置。然而如前所述,这些设置并没有向用户提供限制其数据被第三方开发者获取的途径。当用户选择将自己的数据仅开放给Facebook好友甲、乙而自以为完美地拥有了“私密空间”时,并没有意识到第三方在通过甲、乙获取自己的数据,因此FTC认为Facebook夸大了其用户可以控制自己隐私的程度。
在2014年开发者大会上公开宣称将不再允许第三方开发者获取用户信息之后,Facebook在隐瞒公众的情况下继续向部分开发者提供“受波及好友”的信息,也是向用户隐瞒了其“opt-out”的权利。
FTC认为Facebook在其新开发的人脸识别技术的使用问题上,未向用户如实描述有关“opt-in”还是“opt-out”的问题。2017年12月,Facebook启用了新的“人脸识别技术”以取代原有的“标签建议”(Tag Suggestion)面部识别功能。从2018年4月至今,Facebook向用户明示或暗示他们需要“开启”新的人脸识别技术,即用户有“opt-in”的权利。但事实上,启用新的“人脸识别技术”的通知包括一个“了解更多”链接和一个通往“设置”页面的链接,在“设置”页面,用户可以开启人脸识别设置。如果用户不点击任何一个链接,Facebook会为这位用户提供3次新人脸识别技术通知,然后将这位用户自动迁移至新人脸识别技术的功能设置。最终有6千万用户被自动迁移,这部分用户相当于被默认设置为需要“opt-out”,然而他们却并不知道自己“opt-out”权利的存在。
其次,FTC还认为Facebook并没有按照2012和解令的要求制定和实施全面的隐私计划。以对于能获取用户信息的第三方开发者进行资格审查为例,Facebook并没有对于这些第三方进行实质审查的过滤机制,而是完全依赖其平台政策来实现隐私控制。但在实际实施这些平台政策时,Facebook最看重的因素是这些第三方能为Facebook带来的经济利益。已披露的Facebook内部文件表明,Facebook为这些第三方向其支付的广告付费设置了一个门槛,高于门槛者可以获取用户信息,低于门槛者则不可以,这种政策施行从保护消费者隐私的角度来看显然缺乏合理性,也违反了2012和解令。
另外,FTC认为Facebook未明确告知用户将其信息用于广告投放,这构成欺诈行为。FTC注意到,从2011年5月开始,Facebook允许用户通过一种“双重验证”机制来登录Facebook账户,即当用户使用一台新设备或未识别设备登录Facebook账户时,用户除需使用用户名、密码外,还需要输入发送至他们手机的验证码。Facebook向用户解释说这是为了提供额外的账户安全保护,并使用户更方便地与Facebook好友联结。然而事实上Facebook却将收集的电话号码用于向这些用户定向投放广告。由于Facebook未披露或未充分披露此类重要信息,加上Facebook对于收集数据目的的解释,构成了商业中或影响商业的不公平或欺诈性行为,违反《联邦贸易委员会法》第5款(a)。
二、50亿美元罚金:创纪录但是仍太少?
FTC与Facebook双方签署《民事罚金、金钱判决和禁止性救济的和解令》(StipulatedOrder for Civil Penalty, Monetary Judgment, and Injunctive Relief,以下简称“2019和解令”),就罚金要求和整改措施要求达成一致。
根据《联邦贸易委员会法》第5条(l),“联邦贸易委员会终局性的命令生效后,在其有效期限内,违反该命令的个人、合伙或公司,每违反一次,都应当支付不高于10,000美元的民事罚金,该罚金归美国政府所有……。每次单独违反命令都被视为一次独立的违法行为;……”由于含有欺诈性描述的页面被公众浏览了约9亿次,每一次浏览构成一次对2012和解令的违反,每次违反约被处罚5.56美元,因此总额共计50亿美元。
从总额看,这一罚金超过了目前所有侵犯消费者隐私案件的赔偿或惩罚金额。2012年,Google因被FTC调查发现违反2011年签署的和解令,向消费者虚假描述收集cookies、投放广告情况等,与FTC重新达成和解令,其中的2250万美元民事罚金创下当时的历史新高;2018年,Uber因未能及时报告数据外泄与美国各州达成和解协议,须支付1.48亿美元民事罚金;2019年7月,FTC、消费者金融保护局、50个州和地区与美国征信巨头Equifax的和解令要求Equifax支付给50个州和地区共1.75亿美元、消费者金融保护局1亿美元,并支付3亿美元建立基金、在基金金额不足时可能还需追加支付1.25亿美元。
就单次违反支付的罚金数额而言,这一罚金也稍高于类似案件。如2017年最终定案的卫星广播服务提供商Dish Network违反FTC电话销售规则案,法院判决的1.68亿(2.8亿总罚金还有另一部分支付给州政府)罚金基于6600万次违反,每次违反的罚金为2.54美元。
FTC主席Joseph J.Simons等人在多数意见陈述中表示,这一罚款,相当于Facebook2018年总收入的约9%、盈利的23%,以及欧盟GDPR出台至今最高罚款的20多倍,有很强的威慑作用。
反对意见则认为,罚金数额对于Facebook来说过低了。
持反对意见的FTC委员Rohit Chopra和Rebecca Kelly Slaughter分析了由1981年United Statesv. Reader’s Digest Ass’n, Inc.一案确立的违反和解令下民事罚金的5个考量因素:被告的善意或恶意、对公众的损害、被告的支付能力、消除不当得利、证明FTC权威的必要性,认为50亿罚金并不够。
Rohit Chopra特别强调,Facebook行为的不当得利数额本身很可能就已经超过了50亿美元,若诉至法庭,法庭在没收不当得利之外还可以再判处罚金,而且,罚金数额应该超过不当得利数额——比如,2012年Google被要求支付的罚金数量就是其不当得利的5倍多——因此,罚金数额应当更高。
7月12日,FTC就与Facebook和解令的投票结果的新闻首先流出后,Facebook当日股价增长1.8%,市值增长了100多亿美元,似乎也为罚金过低这一观点提供了一定论据。
三、对2012和解令的修改
罚金之后,2019和解令规定了“禁令性救济”,其内容主要是修改2012年FTC与Facebook达成的和解令(FTCDocket No. C-4365)。
修改后的2019和解令的要点包括:
继续禁止Facebook作出虚假描述;
细化对2012和解令中“全面隐私计划”的要求(其中,核心是要求Facebook对第三方开发者、对自己新推出或修改的产品与服务等可能构成的隐私风险进行评估和管控);
增强对该隐私计划的第三方评估要求;
新设立独立于Facebook管理层的隐私委员会,以审查和监督等方式管理Facebook的隐私问题;
加强FTC对Facebook遵守隐私计划、和解令的监督的措施规定。
和解令的有效期为20年。
正如上文已经介绍的,FTC调查发现,一方面,Facebook违反了2012和解令的内容,另一方面,Facebook也因欺诈行为直接违反《联邦贸易委员会法》。于是,在2019和解令中,可以看到几方面内容:2012和解令要求Facebook遵守而Facebook未遵守的要求;直接要求Facebook停止或整改此次违反2012和解令或《联邦贸易委员会法》的行为;其他新要求。
在详细介绍上述几类要求之前,有必要先了解2019和解令对于2012和解令概念和定义的重要修改和补充。
概念和定义方面值得注意之处
2019和解令扩大了“(和解令)涵盖的信息”(为理解之便利,下文称“相关个人信息”)的范围,纳入了社会保险码、驾照或其他政府颁发证件的号码、金融账号号码、信用或借记信息、出生日期、生物特征识别信息、非公开用户信息;
2019和解令还增加了“(和解令)涵盖的事故”(下文简称“事故”)的概念,指经Facebook证实有500名或以上用户遭受或可能遭受相关个人信息被第三方以违反平台条款的方式访问、收集、使用或分享的事件,和解令针对此类事故作出特殊要求。
对于FTC认为Facebook违反的2012和解令内容,2019和解令进行了保留或有了进一步发展
Facebook应当继续遵守其未能遵守的要求,2019和解令对原先的相关要求也有了新的发展。
(1)关于虚假描述
FTC的指控书中指出Facebook违反2012和解令中“禁止虚假描述”的要求,虚假描述了“消费者可以控制的、由被申请人持有的相关个人信息的范围,以及消费者必须采取的实施此类控制的步骤”、“被申请人将相关个人信息开放给第三方的程度”,对这两条列举内容,2019和解令仍然保留,要求Facebook继续遵守。
除此之外,对于“禁止虚假描述”的具体内容,2019和解令列举的第一条内容在2012和解令“对相关个人信息的收集、披露”的基础上,增加了“使用”。
(2)与“全面隐私计划”相关的要求
2019和解令对“全面隐私计划”做出了进一步的规定。
“全面隐私计划”保护数据的隐私性、保密性和完整性,其中,“完整性”为此次修订新增。
2012和解令对该计划的已有要求有:指派员工协调、负责该计划;进行隐私风险评估;设计、实施风险控制、处理程序并定期测试或评估有效性;采取合理程序,选择保留有能力保护相关个人信息的服务提供商,并要求其提供恰当的隐私保护等。2019和解令对计划有了更详细和严格的要求:
指派一个或多个合格的员工(即“指定合规官”)来协调、负责该隐私计划,经独立隐私委员会(关于该组织,下文详细介绍)批准后,其中一人将成为产品的首席隐私官,且指定合规官必须经独立隐私委员会多数同意才可能被撤职;
隐私计划的内容和执行信息,要求以书面形式记录,并且每12个月提交给首席执行官(即扎克伯格)和独立隐私委员会,其中应包含任何对隐私计划的评估和调整;
风险评估和周期,要求至少每12个月评估和记录隐私计划每一项内容的内外运行风险;当风险与事故相关时,证实事故发生后30天内就应评估记录;
就应当设计、实施、维持、记录的应对风险的保护措施,要求应该与相关个人信息的体量、敏感性和遭受风险可能性相适应。2019和解令详细规定了Facebook对那些获得和访问数据用于自己的应用和网站的独立第三方应采取的措施,对Facebook新推出或调整后的产品、服务和实践在收集、使用和分享相关个人信息等方面的要求,对员工访问存储在Facebook数据库的相关个人信息、Facebook与关联公司分享相关个人信息、面部识别的保护等方面的要求。其中,回应此次事件最核心的要求为,Facebook应对上述第三方采取如下安全措施:(1) 要求每个这样的第三方每年提交遵守平台条款的证明,及时终止不提交合规证明的第三方的访问权限;(2) 使用各种方式监督第三方遵守平台条款的情况,且仅根据违反条款情况和行为严重性等客观因素惩罚第三方;(3) 对每个新产品、服务、实践提前进行隐私审查,分析风险并进行记录,对其中可能对相关个人信息构成风险的,出具书面隐私审查报告,并由指定合规官每季度向首席执行官和第三方评估人员提交《季度隐私审查报告》等;
另外,还有评估、监控和测试保护措施要求、对所有员工进行定期隐私培训计划的相关要求等。
全面隐私计划中要求的对于新产品、服务、实践的审查以及应当形成的审查报告,是FTC主席Joseph J. Simons在多数意见陈述中提到的“信息流”之一,他们希望用各种信息流铸就透明度,以实现有意义的监督。
投反对票的委员RohitChopra则指出,从计划的内容可以看到,Facebook仍然可以自行决定其保护用户隐私的程度。他认为,就Facebook对第三方的要求来说,2019和解令并没有给出判断第三方“合理”收集的标准,这给了第三方利用规则狡辩的机会;对新产品、服务等的限制也很有限;而对于所谓“风险”,2019和解令的要求只是侧重“记录”试图减轻风险的过程,而非实质减轻风险。《经济学人》也指出,Facebook不用对其收集个人信息的实践操作做出改变,如果FTC的此次和解令成为指引,大科技公司可能并不会受到什么损害。
就违令和违法的相关行为,2019和解令中直接予以禁止
(1)关于人脸识别模板的要求
如上所述,FTC指控Facebook的一项虚假描述与使用新人脸识别技术有关。2019和解令要求,必须以清晰显著的方式在隐私政策之外单独披露如何使用相关信息,并征得用户的主动明示同意;否则,Facebook必须删除现有的模板,也不得再制作任何新的人脸识别模板。
(2)限制和禁止处理以双重验证目的之名收集电话号码信息
FTC调查发现Facebook以启用双重验证措施保护账号安全为由,鼓励用户提供电话号码信息,但并未有效告知用户该信息会被用于广告投放目的,因此构成欺诈行为。2019和解令直接要求Facebook不得将此前以双重验证为由获得的用户电话号码用于提供广告目的,也不得将其分享给第三方用于提供广告目的。
上述直接涉及违令和违法的内容之外的要求
就具体的数据处理而言,关于数据删除的要求更加严格,比如,用户删除自己输入的信息(如用户原创内容)后,Facebook应该删除或对该信息进行匿名化处理。
比这些针对具体问题的要求更引人注目的可能是,FTC对于Facebook的组织机构设置和长期制度安排作出了众多要求:
(1)增强对隐私计划独立评估的要求
2012和解令已经要求由独立第三方专家对隐私计划进行初次评估及之后每两年一次的后续评估,2019和解令对此有了更详细的要求。并且,这样的第三方评估人员虽由Facebook选任,但必须经过独立隐私委员会(后文详细介绍)的多数同意才能成功任职和撤职。
强制隐私计划和独立第三方对其进行评估是FTC隐私执法的常见要求。本次案件的独特之处在于,在独创隐私委员会机制后,隐私计划、第三方评估与隐私委员会机制有了连接点。(独立隐私委员会如何具体影响隐私计划和第三方评估,后文将继续介绍)。
按照FTC主席Joseph J. Simons等人的多数意见,第三方评估人员的评估也是造就透明度的信息流之一。反对意见则认为,由于标准和要求的形式化和空洞,第三方评估人员对促进Facebook保护隐私的意义不大。
(2)命令设立独立隐私委员会和相关管理制度
2019和解令要求Facebook建立独立的隐私委员会,确立其章程。委员会的成员必须是独立董事,委员会每年至少召开四次固定会议。
隐私委员会管理Facebook隐私问题的方式有:由Facebook每季度向委员会提交管理简报,说明隐私计划、遵守和解令情况、相关个人信息的重大风险,至少每年由Facebook管理层向委员会汇报对相关个人信息的重大风险评估、相关监控或缓解风险措施。
隐私委员会与第三方评估人员的关系,重点包括:隐私委员会与第三方评估人员至少每季度、每次评估后进行一次会议;隐私委员会评估第三方评估人员的独立性;第三方评估人员未经委员会多数同意不得由Facebook的董事会任命或撤职。
相应地,Facebook应当建立独立提名委员会,确立其章程。仅独立提名委员会有权推荐任命Facebook董事、提名董事会候选人,仅独立提名委员会有权推荐任命、免除独立隐私委员会的董事的职务,董事会不得在未经独立提名委员会有利推荐的情况下任命或提名;独立提名委员会也负责判断独立隐私委员会的成员作为独立董事是否尽职、符合任职要求。
FTC希望,Facebook每季度向隐私管理委员会提交的简报,以及第三方评估人员在Facebook管理人员不在场的情况下与隐私委员会进行的会议,都能够构成或提供信息流,塑造透明度,以实现有意义的监督。
如FTC的通稿展示的多层结构图所示,在机构设置上,首席执行官、首席合规官、独立隐私委员会理应从内部,第三方评估人员和FTC理应从外部,共同确保隐私问题上的可责性、透明度与监督。
新设的管理层制衡制度是此次FTC执法的一大亮点。如上文所述,要求强制隐私计划和独立第三方对隐私计划进行评估是常见的FTC保护隐私的执法措施,而以独立隐私委员会为特色的一整套制衡机制设置是本案的特殊之处。
尽管媒体报道独立隐私委员会的设置使“扎克伯克失去了关于隐私问题的最终决定权”,但事情可能没有那么简单。Rohit Chopra委员指出,独立隐私委员会对隐私计划的设计、预算和管理并没有实际权力,也没有否决管理层决定的权利。由于独立隐私委员会委员的任命和免职的决定权在提名委员会,而提名委员会的人员设置仍会受股东(而扎克伯格是控股股东)的影响,独立隐私委员会独立性堪忧;而且独立隐私委员会的成员是独立董事,仍要对股东负责,不一定会对用户负责。
除机构设置之外,2019和解令还有对日常运行行为制度的要求,主要体现了FTC的外部监督:
(3)新增对事故报告的要求
在Facebook证实事故发生后30天内,Facebook应当向第三方评估人员和FTC提交相关报告,并在事故完全查清、补救措施完全实施前每30天更新报告,2019和解令规定了报告应当包含的内容。
FTC希望,事故报告也构成造就透明度的信息流之一。
(4)新增向FTC证明遵守隐私计划的要求
Facebook应当每季度向FTC提交由总执行官和指定合规官代表Facebook签署的证明文件,证明其建立、实施、维持着符合和解令要求的隐私计划和和解令的重要要求,且所有已知的重大不遵守行为已经被改正或披露给独立隐私委员会。
除此之外,对于提交给FTC的合规报告的要求更加严格,对信息记录保留期限的要求一律改为5年,FTC监督Facebook遵守和解令情况的具体措施也更为丰富。通过上述Facebook对FTC的义务,可以看到2019和解令赋予了FTC在Facebook处理数据和隐私问题上更强的监督角色。
FTC的多数意见称,以上措施包括了“新的实质的隐私和数据安全要求”以及结构性改革,而该结构性改革是为了“增强企业可责性、合规监督严格性和透明度”。
四、正反意见之争
FTC以保护消费者为己任,作为隐私执法机关,在本案中面临和解或起诉的选择。由于诉讼会耗费更多时间和资源,又有较多不确定性,FTC最终选择了和解。但是,对于和解的决定、2019和解令的措施等问题,争议和思考不会随着和解令的签署而结束。
1.“监督”会有效吗?
结合2019和解令文本看,反对意见的一些批评并非没有道理,至少引人思考。
反对意见和新闻报道指出,2019和解令没有对Facebook收集、使用、分享信息做出很大的实质限制,Facebook不需要改变其收集信息的实践操作。从文本看,和解令似乎更强调“监督”,包括Facebook对第三方开发者的监督、独立于Facebook董事会的机构对Facebook管理层的监督、外部机构对Facebook的监督。
但是,2019和解令却常常难以给出“监督”的标准。——Facebook应该监督第三方合规,那么合规的标准是什么?第三方评估人员应当监督隐私计划的有效性,而有效的标准又是什么?至少在2019和解令中没有给出。
另一方面,在监督者实权不足的情况下,监督的效果可能难以保障。以最受关注的独立隐私委员会的设置为例,Rohit Chopra指出,独立隐私委员会没有设计、管理隐私计划以及对其进行预算的实际权力,也没有权利否决管理层的决定。
除此之外,反对意见还指出,2019和解令所强调的“透明度”并没有面向公众。公众是直接利害关系人,在数量和范围上更有监督优势,理论上,公众监督的效果可能更明显,但在本案中却未被加以利用。
在这样情况下,广泛的监督措施会在多大程度上实现FTC多数派的初衷,有待日后的实践揭示。
2.“监督”或是更远?
少数意见要求的是比监管更远的制裁措施。
从Rohit Chopra的陈述看,他所提倡的措施,甚至是比“监督”更进一步的直接干预。Chopra指出,正是Facebook利用行为广告变现的商业模式导致了其一而再、再而三侵犯消费者隐私,如果不改变这一源头,很难阻止Facebook继续侵犯消费者隐私。
当然,FTC不可能直接改变Facebook的商业模式。但是,在其权限范围内,FTC原本有可能对Facebook的行为做出更严苛的要求,以及要求Facebook及其高管承担更重的责任。
2019和解令没有对Facebook与其关联公司之间的信息传输做出特别大的限制,施加的要求以采取保护措施预防风险为主。若要求更严苛,可能对Facebook近年布局关联应用、扩大商业版图造成重大影响。
如果高管承担个人责任,对Facebook的影响也难以估量。投反对票的两位委员都认为,实际上可以找到充足的证据证明扎克伯格等人的个人责任。我们无法得知未让Facebook高管承担个人责任的结果当中蕴含了Facebook向FTC施加的多少压力,但现有材料表明,得出现在的决定是艰难的,有理由相信FTC的最终抉择经过了谨慎的利益衡量,包含了让步妥协。
3.是商业模式的问题吗?
Rohit Chopra指出,Facebook在2012和解令以后并没有改过的根源在于其以广告收入为主的商业模式,在这种模式下,用户参与度和用户信息是提高广告投放精准度和广告营销收入的基础,Facebook存在无限制地攫取个人信息的动机;若不从内部改变这种商业模式,一切外部的监督和调整都是徒劳。
可惜这种观点只“破”而未“立”。与Facebook类似的商业模式具有相当的普遍性,调整起来也要考虑很多因素,究竟是否应该改变,应该如何改变,都是Facebook案留给整个行业的问题。
50亿美元罚款,已是空前,但未必绝后。(作者为北京市安理律师事务所高级合伙人,钱其沁、刘雨晴对本文亦有贡献)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点