联邦贸易委员会批准了拟议的和解令,对Twitter处以1.5亿美元的罚款,并要求其执行多项整改措施。
整改措施如下:
1
禁止虚假陈述
在保障特定非公开用户信息的隐私、安全、保密或完整性上,Twitter及其代表不得直接或间接通过任何(第三方)公司,子公司,部门,网站,移动应用程序或者其他设备,提供在商业中或者影响商业的任何产品或服务,以任何明示或暗示的方式,进行虚假陈述,包括但不限于与下列情况有关的误导:
Twitter为阻止未经授权的访问而对受保护的信息采取的隐私与安全措施;
Twitter为尊重用户作出的隐私选择而采取的隐私与安全措施;
Twitter对受保护的信息的收集、维护、使用、披露或者删除;
用户可以控制任何由Twitter维护的受保护的信息的隐私程度,以及用户为实现此类控制所必须采取的步骤;
Twitter向任何第三方提供的或者已经提供的受保护的信息的程度;
Twitter向用户投放广告或使第三方向用户投放广告的程度;或
Twitter在多大程度上是坚持,遵守、认证、认可或以其他方式参与,由政府或任何自律或标准制定组织主办的任何隐私或者安全项目,包括但不限于欧盟-美国隐私保护框架,瑞士-美国隐私保护框架,以及亚太经合组织跨国隐私规则的成员。
2
限制使用电话号码或者邮箱地址,尤其是基于账户安全目的而提供的
Twitter及其代表不得在本命令生效前基于启用账户安全功能的目的为提供广告服务而使用、访问或披露从用户那里获得的任何电话号码或电子邮件地址。
3
必须通知消费者
在本命令生效后十四(14)天内,Twitter必须向所有目前在2019年9月17日之前使用Twitter的美国用户提供一份时间轴通知,其中写道"Twitter正如在2019年10月8日所说那样,使用您的个人信息进行定制广告,我们根据您为确保账户安全而向我们提供的电子邮件地址或电话号码向您提供有针对性的广告”,并包括了一个“了解更多关于您的选择 ”的按钮。
4
提供多因素认证选项
自本命令生效之日起,Twitter必须允许用户在不提供他们电话号码的情况下利用多因素身份认证登录Twitter账户。
5
建立隐私与个人信息安全计划
Twitter在收集、维护、披露或者提供受保护的信息方面,必须在本命令发布后的一百八十(180)天内,建立、实施并且在此后维护一套完备的隐私及信息安全计划。
6
进行第三方独立机构评估
在遵循第5条“隐私与个人信息安全计划”的基础上,Twitter必须取得初步评估以及两年一次的评估。
7
与第三方评估员合作
Twitter,无论直接或者间接地,与本命令第6条“第三方独立机构评估”的评估要求相关的,必须遵循如提供或者以其他方式向评估员提供他们所拥有的、保管的、控制的所有信息材料等等要求。
8
涉及的事件报告(covered incident reports )
Twitter在发现涉及的事件后30日内必须向委员会递交报告。命令还明确了报告需要涵盖的具体内容。
9
命令的确认
Twitter应当收到本命令的确认书,并且在本命令生效后10日内向委员会递交在伪证处罚下宣誓的本命令的收讫确认书,并且在本发布之日起5年内将本命令的副本送达相关主体。
10
合规报告及通知
在本命令发布后的240天内,Twitter必须提交一份包含列明具体事项如主要物理上、邮政、邮箱及电话号码等的合规报告。
11
记录保存
Twitter应当在本命令发布之后20年内建立某些记录,如出售商品和服务的会计记录,人事记录等,并将每份记录保存5年。
12
合规监测
为了监测Twitter对本命令的遵循情况,命令还规定了一系列Twitter应当遵循的要求,如接到委员会代表的书面要求后的14日内,Twitter应当提交额外的合规报告或者其他要求的信息等。
13
命令的生效日期
本命令在委员会网站(ftc.gov)上作为最终命令公布后即为最终命令并生效,并且本命令将终止于自其发布之日起20年后。