查看原文
其他

美国联邦贸易委员会隐私和数据安全2017年年度报告(二)

汪庆华译 大数据和人工智能法律研究院 2020-02-27

  点击蓝字关注我们哦~

 FTC Privcay & Data Security Update:2017

执法

 一般隐私

      见上文

 数据安全

2002年来,联邦贸易委员会提起了六十余起针对公司不公平和欺诈行为的执法行动,这些公司未能充分保护消费者个人数据。2017年的重要进展包括:

UBER公司,如上所述,被指控欺诈消费者还因为它未能为云存储中的敏感消费者数据提供合理保护。联邦贸易委员会指控,尽管UBER主张,数据“安全存储于数据库中,实际上UBER没有采取合理的安全措施以防止访问存于第三方云服务提供商数据库中的消费者个人信息。比如说,根据诉状,UBER 并没有要求工程师和程序员利用特别密钥访问云中的个人信息。与此相反,UBER允许他们运用同一密码访问所有数据。UBER将所有敏感的消费者信息,包括位置信息,以完全可读的文本形式备份存在云中。结果,2004年,黑客侵入,非法获得10万多UBER存储于AMAZON WEB SERSIVES云中的司机个人信息,包括他们的姓名和汽车牌照。

联邦贸易委员会和三十二州的总检察长指控,联想售出几十万的预装了名为VisuaDiscovery的“中间人”软件,这引发大量的安全漏洞。加密网站要求数字证书。为了便于在加密网站弹出弹窗广告,诉状指称VisuaDiscovery用自身的签名证书取代数字证书,这是不安全的做法。数字证书是用来告知用户浏览器,消费者所访问网址是真实而非仿冒的。VisualDiscovery在取代数字证书前,没有充分确认它所取代的网址的数字证书是有效的,并在所有的笔记本电脑上设定了了易于破解的同一密码,没有采用每台一码的形式。因为这些安全漏洞,消费者的浏览器在访问数字证书无效的假冒网站和不良网站时,浏览器无法预警。这些漏洞使潜在的攻击者只要破解了预装程序的密码就可以拦截消费者和任何网址包括金融机构和医疗服务机构的网址之间的电子通讯。诉状进一步指称,联想由于没有对预装在笔电上的第三方软件的安全漏洞进行评估,因此并没有发现这些漏洞。

联邦贸易委员会指控计算机网络设备提供商D-LINK安全保护措施不足,导致其路由器和网络相机易于遭受黑客攻击。根据指控,D-LINK在公司网站上宣称路由器安全可靠,实际上公司没有采用有效措施去解决众所周知的和易于防范的安全漏洞。诉讼仍在进行中。

 信用报告和财务隐私

《公平信用报告法》为公司运用数据评估信用度、保险可得性、雇佣适宜度和过滤房客。联邦贸易委员会就公司违反《公平信用报告法》提出100多起诉讼,获得了三千多万美元的民事罚款。Gramm-Leach-Bliley Act(“GLB 法”) 要求,所有的金融机构必须要向消费者发出初始隐私告知书和年度隐私报告,消费者有权选择退出和不相关第三方信息分享的机制。它还要求金融机构落实合理的安全政策和程序。2005年以来,联邦贸易委员会提出了三十多起违反《GLB法》的诉讼。2017年,联邦贸易委员会提出了下列诉讼:

联邦贸易委员会指控,在线报税机构TaxSlayer违反了《GLB法》的安全保护措施,该法要求金融机构必须采取措施,保护客户信息。而隐私规则和规章P,它们要求金融机构向客户发送隐私告知书。联邦贸易委员会指控TaxSlayer违反了安全保护措施,它直到2015年11月都没有全面的书面安全规划;没有进行风险评估,以辨识可合理预见的来自内外风险挑战;也没有落实可以预防网络攻击的信息安全防护。例如,TaxSlayer没有采取充分认证措施,这本来会有效降低黑客以盗用的证书访问TaxSlayer 客户账户的风险。联邦贸易委员会进一步指控,公司没有要求消费者选用强度密码,让客户暴露在风险之中,黑客很容易猜出通常所用的秘密从而侵入客户账户。恶意黑客从2015年10月到2015年12月侵入了近9000名Taxslayer客户的账户,利用这些信息实施税务身份盗窃,骗取退税。联邦贸易委员会进一步指控,公司违反了隐私规则和规章P, 没有给客户发出清晰的初始隐私告知书,也没有采取确保当事人可以收到的方式来进行送达。

 国际执法

联邦贸易委员会是关键国际隐私框架,包括欧盟-美国隐私盾框架和亚太经合组织跨境隐私规则体系的执行者。

 

欧盟-美国隐私盾框架提供了公司将个人信息从欧盟转移到美国的法律机制。这一架构由商务部负责,通过一整套隐私盾原则保护消费者的隐私和安全。联邦贸易委员会在确保公司执行隐私保护承诺,避免违反联邦贸易委员法第五款方面扮演了重要角色。今年,联邦贸易委员会基于隐私盾头一回采取三次执法行动,并参与了对框架的年度审查,它成为了2016年的行动指南。联邦贸易委员会还确认它将致力于实施第三套数据跨境流动机制,即瑞士-美国盾框架,它是以欧盟-美国盾框架为基础的。

 

联邦贸易委员会还是亚太经合组织跨境隐私规则体系的执行机构。亚太经合组织跨境隐私规则体系是一套自愿的可实施的行为规则,目的在于落实亚太经合组织九大数据隐私原则,保在美国和其他亚太经合组织国家之间消费者个人信息跨境流动的隐私和安全。在这一机制下,对符合亚太经合组织跨境隐私规则体系的合规要求的公司可以进行认证。

 

联邦贸易委员会为了履行上述国际隐私框架下的职责,提起了46起诉讼——39起基于“美国-欧盟”避风港项目,4起基于亚太经合组织跨境隐私规则体系,3起基于欧盟-美国隐私盾。在过去的一年,联邦贸易委员会提起了下列案件:

三家美国公司冒称参加欧盟-美国隐私盾框架,从而误导消费者。根据联邦贸易委员会,打印服务公司TRU COMMUNICA-TION,人力资源软件公司DECUSOFT还有MD7,一家为无线公司管理办公租赁的企业,它们因冒称加入欧盟-美国隐私盾框架,从而违反了《联邦贸易委员会法》。联邦贸易委员会进一步指控DECUSOFT公司冒称它参加了瑞士-美国盾框架。所有三家公司实际上都没有完成隐私盾的认证流程。

联邦贸易委员会批准了对三家公司的终局行政命令,涉及他们通过冒称加入了亚太经合组织跨境隐私规则体系欺骗消费者。就投诉而言,贸易委员会指控SENTINEL LABS,一家为企业客户提供软件安全防护的企业,SPYCHATTER,私人信息APP销售商以及VIR2US,网络安全软件推销商,在它们的在线隐私政策中冒称它们加入了亚太经合组织跨境隐私规则体系。SENTINEL LABS还冒称它是所谓的TURSTE隐私项目的参加者。

 儿童隐私

《儿童在线隐私保护法,1998》(“COPPA”)通常要求网站和APP在收集13岁以下儿童信息的时候,必须获得父母的同意。2000年以来,联邦贸易委员会就公司违反《儿童在线隐私保护法》提出20多起诉讼,获得了成百上千万美元的民事罚款。2013年,联邦贸易委员会更新了它为实施《儿童在线隐私保护法》而制定的规范性文件,以回应影响儿童隐私的新发展—如社交网络、智能手机上网,位置信息使用等。在过去的一年中,委员会采取了如下执法行动:

在一项新的政策实施声明中,联邦贸易委员会提供了《儿童在线隐私保护法》规则如何适用于收集儿童音视频的指引。《儿童在线隐私保护法》规则要求针对儿童的网站和在线服务在收集儿童的音频前必须要获得可证实的父母的同意,这引发了孩子的声音采集是在联网设备下指令或者要求时,该规则应如何适用的问题。当运营商采集儿童音频其唯一目的是为了代替书面指令,比如说去搜索或者实现口头指令,且持续时间极短暂的时候,联邦贸易委员会同意不会就此情形下运营商没有获得父母同意的采集行为采取执法行动。

联邦贸易委员会批准了TRUSTE拟议的对《儿童在线隐私保护法》规则下避风港原则的修改。联邦贸易委员会的《儿童在线隐私保护法》规则包含了“避风港”条款,它使得落实了《儿童在线隐私保护法》规则中所包含的对 “儿童同样的或更大程度保护”的工业集团和其他机构可以请求委员会批准其自我规制指引。联邦贸易委员会批准的避风港规程在大多数情况下,和正式的贸易委员会调查和执法过程中的避风港程序的审核和纪律程序是相同的。在审核完公众评论以后,联邦贸易委员会批准拟议的对TRUSTE现有避风港规程的修改,包括增加新要求,参与者应当对第三方在网络或在线服务中收集儿童个人信息的行为进行内部年度评估。

待续

来源:https://www.ftc.gov/system/files/documents/reports/privacy-data-security-update-2017-overview-commissions-enforcement-policy-initiatives-consumer/privacy_and_data_security_update_2017.pdf

本文图片来源于网络


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存