案例采撷丨某知名媒体因非法交易用户数据在美被诉,凸显“私人信息市场”的合规风险
背景介绍
作为数据交易最为活跃的美国,不仅衍生了“数据中介”等数据职业交易人,还形成了专门的“私人信息市场”(注:目前该市场并未被美国法律所禁止,但其存在的合法性受到了近期美国部分州立法的挑战,我们将在本文合规启示中介绍)。通过上下游的流转和处理加工,消费者的个人信息被大量用于用户画像、定制化广告投放、精准营销等。随着全球加强个人数据与隐私保护的趋势,美国原有的“私人信息市场”也迎来了新的合规挑战。
例如近日,某全球著名新闻杂志(以下简称“该杂志”)针对消费者关于侵犯隐私权的集体诉讼支付了950万美元的和解费,根据原告诉状以及公开资料显示,该杂志涉诉原因疑为未经消费者的同意,利用“私人信息市场”,引入数据中介等对消费者数据进行违法加工,并将消费者的私人信息通过租赁等方式提供给了第三方,最终面临不利诉讼。
案件梳理
在2015年4月2日至2016年7月30日这段时间内,该杂志将包含其订阅者私人信息的邮件列表以出租、交换等方式披露给了数据聚合商(data aggregators)、数据附加商(data appenders)、数据合作商(data cooperatives) 以及数据代理(data brokers)(以下统称“数据中介”)。
数据中介根据所掌握的数据库对邮件列表里订阅者的身份信息进行加工,通过将数据库中与订阅者关联的个人信息进行关联,对订阅者及其偏好进行进一步的识别与分析,并发回给该杂志。其后,该杂志将含有订阅者私人阅读信息的邮件列表披露给需求方,其中包括一些面向消费者的广告公司、政治组织以及其他寻求捐款、投票和志愿活动的非营利组织,导致订阅者收到较多以精准营销为目的的垃圾邮件。然而在此过程中,该杂志从未告知和获得任何订阅者的个人同意,因此被指控违反了密歇根州的《个人隐私保护法》(Michigan’s Preservation of Personal Privacy Act — the “PPPA”) 第二条关于保护隐私权的规定。
(点击可查看大图)
2021年8月,原告作为消费者代表在密歇根州地区法院向该杂志提起了集体诉讼。原告具体提出了以下诉求:
法院应向被告发布禁令,要求被告在披露订阅者私人阅读信息之前根据PPPA的规定获得订阅者的书面同意;
被告根据PPPA第5(a)条的规定向每位集体诉讼的成员赔偿5,000美元;以及
被告根据PPPA第5(b)条的规定支付律师费用。
2023年2月13日,双方达成了和解,该杂志没有承认任何不当行为,但同意支付950万美元和解费用。根据双方的和解协议,参与集体诉讼的每位成员预计将获得261美元的退款。该案件的最终批准听证会 (Final Approval Hearing) 将于2023年3月15日举行。
什么是私人信息市场?
“私人信息市场”起源于美国联邦贸易委员会(FTC)委员Orson Swindle在2001年提出的“信息市场”这一概念。他预测信息强大的传输和流动能力将带来一场全新的数字革命。[1] 大量的消费者数据让消费者信息市场及数字广告行业将在此后的20多年间得以蓬勃发展。而如他所预测的那样, 2022年美国全球数字广告的总支出就高达6160亿美元。[2]需求庞大的“私人信息市场”自然也催生出了更为复杂的数据产业链。随着大数据分析、人工智能等技术的发展,目前 “私人信息市场”上的交易模式已经发展出了数据聚合 (data aggregation)、数据挖掘 (data mining) 等能够通过算法等AI技术,从大量数据中搜寻个人敏感信息的深度加工处理技术。我们初步认为,在前述新数据加工技术的加持下形成的“私人信息市场”,其本质就是基于数据上下游交易、数据抓取、数据加工而形成的由私人企业所控制的个人信息数据库,以及伴随着此类数据库产生的精准营销、定制化广告推送等商业模式,“私人信息市场”所收集的数据与政府收集与处理的“政务数据”相区别。
本案中,数据聚合商 (data aggregators) 就是通过在“私人信息市场”上出售消费者的个人敏感信息来获利。由此可见,消费者的个人信息具有更为实际、甚至等同于“货币”的价值。而数据聚合商通过长期积累,已拥有巨大的数据库,其中包含的美国消费者信息范围包括了年龄、种族、性别、体重、身高、婚姻状况、教育水平、政治倾向、购买习惯以及家庭和健康状况。
同样,数据中介(data broker)也聚合了各种来源的消费者个人信息。他们从其他公司购买信息或在互联网上爬取有关用户的有用信息,然后进行深度处理——丰富数据维度并进行分析挖掘,形成新的个人信息再 “出售”给其他组织。本案中,该杂志将订阅者的邮件列表和数据中介交换,数据中介通过对其中个人信息进行加工,形成用户画像,再发回给该杂志。该杂志将处理过的个人信息以租赁、交换等方式披露给第三方,由第三方向订阅者的邮箱发送定向广告。
随着消费者的个人数据越来越商品化,“私人信息市场”这个监管的灰色地带也经历了快速、大规模的增长。但对于消费者来说,这种增长极可能是牺牲其隐私权作为代价而形成的。此次诉讼的发生与和解,表现出现阶段消费者个人信息被滥用的情况正在受到监管与执法打击。
合规启示
2023年,美国部分州参议院开始陆续提交规范数据中介、生物识别隐私等敏感信息以及保障消费者隐私的法案。
例如,纽约州参议员于1月4日提交了《隐私法法案》,该法案明确了消费者的权利,如通知权、选择退出权、访问权和删除权,并且对数据中介做出了定义,明确了数据中介向州检察长进行业务注册等义务。此外,马里兰州、明尼苏达州参议院分别于1月29日、1月30日提交了与生物识别隐私有关的法案;肯塔基州、俄勒冈州以及弗吉利亚州以及参议院也分别于1月3日、1月9日和1月11日提交了关于保护消费者个人数据的法案。上述法案中不乏限制或禁止将个人信息,尤其是生物识别数据作为商品,与数据中介进行交易的规定。
近期,美国各州立法释放出了消费者的个人数据权益将被进一步保障的信号。此外,我们理解该信号也将进一步推进美国“私人信息市场”各产业链的规范化。因此,我们建议国内出海科技企业,在进驻美国市场时,应当根据自身业务情况,重点关注美国市场可交易的数据类型以及数据交易前应当履行的合规义务,进行合规梳理以及准备有效的应对方案,以符合美国趋于严格的法规要求。
关于近期美国数据中介相关立法详情,请点击蓝色字体,查看我们已发布的“域外板块”资讯:
注:
[1] The Information Marketplace: Merging and Exchanging Consumer Data (Mar. 13, 2001), at 8:15-11:16, available at https://www.ftc.gov/sites/default/files/documents/public_events/information-marketplace-merging-and-exchanging-consumer-data/transcript.pdf (last visited February 16, 2023).
[2] Digital advertising in the United States - statistics & facts, available at https://www.statista.com/topics/1176/online-advertising/#topicOverview (last visited February 16, 2023).
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
解读文章
Core Issues When Processing Employees’ Personal Information(Q&A)
Landmark Rules on Certification for Cross-Border Data Processing
案例分享
★
长按二维码一键关注