查看原文
其他

案例采撷 | Twitter被罚1.5亿美元,出海企业值得关注

中伦蔡鹏律师团队 数据与电商研究室
2024-08-26

编者按

2022年5月25日,联邦贸易委员会宣布对Twitter进行行政处罚,认定其违反了《联邦贸易委员会法》(Federal Trade Act,简称“FTC Act”)的规定,欺诈性地以用户账户安全为目的收集相关个人信息,却转而将收集的个人信息用于定向广告推送。最终Twitter被处以1.5亿美元罚款,并需要执行多项整改措施。


该案中,Twitter借助行业常用的多因素身份认证(Multifactor Authentication),假借“安全之名”,违法收集个人信息涉及主体达到1.4亿人,同时联邦贸易委员会也对Twitter提出了十分详尽具体的整改措施。


考虑到美国隐私法规认可用户选择退出(opt-out)的机制完成合法收集、销售或共享用户信息,Twitter被处以如此高额的罚金实属罕见,同时鉴于本次监管事件中,FTC向Twitter出具了详细的整改方案及要求,我们希望通过梳理本案,帮助企业在出海面对类似场景时,知悉相关风险,防范于未然。



本案并不是Twitter被指控违反FTC Act规定的首案。早在2010年时,Twitter公司就因其未履行承诺采取合理措施保障用户对其个人账户的控制、访问与展示权,导致用户的个人信息被非法访问。当时,Twitter曾告知用户可以控制谁访问他们的Twitter,以及用户的私人信息只能被收件人查看到。最终2010年该案中,Twitter与美国联邦委员会达成了一项和解:若Twitter公司在保障非公开用户信息的隐私、安全、保密或完整性上,再进行虚假陈述的话,将被处以巨额处罚。


而在今年5月, Twitter被指控违反先前的裁决命令,以虚假陈述的方式将声称以安全目的收集的用户个人信息,用于商业用途(实施定向广告),并最终处以其1.5亿美元的民事处罚



联邦贸易委员会在对Twitter的行为调查结束后,认为其违反了《联邦贸易委员会法》第45 (a)(1)和(l) 条,第53 (b) 条及第56 (a)(1) 条。因第56(a)(1)条为程序性规定,在此不做介绍。



Twitter声称着“保护您的账号”的安全目的,诱使并收集用户的电话号码或者邮箱地址,并对用户宣称“额外地保护以确保仅您能够访问您的Twitter账户”。据FTC调查数据,从2014年到2019年,有超过1.4亿人次的用户向Twitter提供了电话号码或者邮箱地址。但事实上,Twitter还使用收集的这些个人信息来向用户提供定制广告,却并没有告知用户此用途,这些广告为Twitter带来数百万美金的非法收入。


因此,联邦贸易委员会最终认为Twitter:

1

违反了《联邦贸易委员会法》第45(a)(1)和(l)条 的规定

第45条 联邦委员会的制止(措施):针对非法且不正当的竞争方式


(a)宣布不合法;行使禁止不正当(商事)行为的权力;(宣布)不宜从事对外贸易;


(1)在商业中或者影响商业的不公平的竞争方法,以及在商业中或者可能影响商业的不公平地或者欺诈性的行为或者做法都被认定为违法。


以及根据(I)对违反命令的处罚;禁止令和其他适当的公平救济。并据此认定应当向美国支付每项违法行为不超过1万美元的民事罚款。


2

违反了《联邦贸易委员会法》第53(b)条,关于虚假广告,禁止和限制令中临时限制令,初步指令的规定



联邦贸易委员会批准了拟议的和解令,对Twitter处以1.5亿美元的罚款,并要求其执行多项整改措施


整改措施如下:

1

禁止虚假陈述

在保障特定非公开用户信息的隐私、安全、保密或完整性上,Twitter及其代表不得直接或间接通过任何(第三方)公司,子公司,部门,网站,移动应用程序或者其他设备,提供在商业中或者影响商业的任何产品或服务,以任何明示或暗示的方式,进行虚假陈述,包括但不限于与下列情况有关的误导:


  1. Twitter为阻止未经授权的访问而对受保护的信息采取的隐私与安全措施;


  2. Twitter为尊重用户作出的隐私选择而采取的隐私与安全措施;


  3. Twitter对受保护的信息的收集、维护、使用、披露或者删除;


  4. 用户可以控制任何由Twitter维护的受保护的信息的隐私程度,以及用户为实现此类控制所必须采取的步骤;


  5. Twitter向任何第三方提供的或者已经提供的受保护的信息的程度;


  6. Twitter向用户投放广告或使第三方向用户投放广告的程度;或


  7. Twitter在多大程度上是坚持,遵守、认证、认可或以其他方式参与,由政府或任何自律或标准制定组织主办的任何隐私或者安全项目,包括但不限于欧盟-美国隐私保护框架,瑞士-美国隐私保护框架,以及亚太经合组织跨国隐私规则的成员。


2

限制使用电话号码或者邮箱地址,尤其是基于账户安全目的而提供的

Twitter及其代表不得在本命令生效前基于启用账户安全功能的目的为提供广告服务而使用、访问或披露从用户那里获得的任何电话号码或电子邮件地址。


3

必须通知消费者

在本命令生效后十四(14)天内,Twitter必须向所有目前在2019年9月17日之前使用Twitter的美国用户提供一份时间轴通知,其中写道"Twitter正如在2019年10月8日所说那样,使用您的个人信息进行定制广告,我们根据您为确保账户安全而向我们提供的电子邮件地址或电话号码向您提供有针对性的广告”,并包括了一个“了解更多关于您的选择 ”的按钮。


4

提供多因素认证选项

自本命令生效之日起,Twitter必须允许用户在不提供他们电话号码的情况下利用多因素身份认证登录Twitter账户。


5

建立隐私与个人信息安全计划

Twitter在收集、维护、披露或者提供受保护的信息方面,必须在本命令发布后的一百八十(180)天内,建立、实施并且在此后维护一套完备的隐私及信息安全计划。


6

进行第三方独立机构评估

在遵循第5条“隐私与个人信息安全计划”的基础上,Twitter必须取得初步评估以及两年一次的评估。


7

与第三方评估员合作

Twitter,无论直接或者间接地,与本命令第6条“第三方独立机构评估”的评估要求相关的,必须遵循如提供或者以其他方式向评估员提供他们所拥有的、保管的、控制的所有信息材料等等要求。


8

涉及的事件报告(covered incident reports )

Twitter在发现涉及的事件后30日内必须向委员会递交报告。命令还明确了报告需要涵盖的具体内容。


9

命令的确认

Twitter应当收到本命令的确认书,并且在本命令生效后10日内向委员会递交在伪证处罚下宣誓的本命令的收讫确认书,并且在本发布之日起5年内将本命令的副本送达相关主体。


10

合规报告及通知

在本命令发布后的240天内,Twitter必须提交一份包含列明具体事项如主要物理上、邮政、邮箱及电话号码等的合规报告。


11

记录保存

Twitter应当在本命令发布之后20年内建立某些记录,如出售商品和服务的会计记录,人事记录等,并将每份记录保存5年


12

合规监测

为了监测Twitter对本命令的遵循情况,命令还规定了一系列Twitter应当遵循的要求,如接到委员会代表的书面要求后的14日内,Twitter应当提交额外的合规报告或者其他要求的信息等。


13

命令的生效日期

本命令在委员会网站(ftc.gov)上作为最终命令公布后即为最终命令并生效,并且本命令将终止于自其发布之日起20年后。



该项处罚体现了美国监管机构对于互联网大型平台的日益趋严的监管趋势,也可以看出世界各国对于个人信息的收集标准正在日趋统一,即必须遵守“最小、必要、目的限制”的基本原则。本案对于大型企业颇有警示意义:即收集目的、处理路径必须和告知披露的相一致,否则会面临强监管。我国对APP的监管日趋严格,此类“隐蔽处理”行为,在国内也会成为监管对象。


当前,美国并没有全国统一性质的隐私安全立法,其于近期发布了《美国数据隐私和保护法》草案,但该草案尚处于听证会环节。从法律制度来看,美国在个人隐私及个人信息的保护上不如欧盟等国家那么严格;但是从司法判例来看,美国的司法环境对于企业实施欺诈、舞蹈或者其他商业不诚信行为的容忍度是非常之低的。


就本案而言,FTC的处罚力度如此惊人,也警示了中国国内科技和互联网企业在出境开展相关业务时,应当高度重视个人信息保护与数据安全,切忌在隐私政策、或者其他信息处理活动的说明中采用了欺诈性或者误导性的表述,以规避不必要的法律风险。


长按二维码一键关注

继续滑动看下一个
数据与电商研究室
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存