作者 Amy Baker
合伙人
美国联邦贸易委员会(FTC) 致力于促进竞争,保护和教育消费者。睿盟合伙人 Amy Baker 通过具体案例,介绍FTC最新政策调整并对企业做出有益建议。欲了解更多关于消费者的话题,请登录consumer.ftc.gov,举报欺诈、诈骗和不良商业行为,请上ReportFraud.ftc.gov。
联邦贸易委员会(FTC)做出一项针对公司高管的政策调整,这一行为被称为 "积极努力的一部分,以确保公司保护消费者的数据,并确保粗心的首席执行官从他们的数据安全失败中吸取教训。"[1] FTC主席Lina Khan认为,"监督一家大公司并不是一个借口,而是让法律责任服从于其他优先事项"。这一政策调整体现在FTC与酒类递送平台Drizly就2020年的数据泄露事件提出的和解建议中[2]。FTC希望督促Drizly的首席执行官个人负责确保其公司今后有足够的数据安全--而且个人责任将伴随他今后任职的任何公司:无论是担任首席执行官、拥有多数股权或作为高级官员负责信息安全。总部位于波士顿的Drizly是Uber的子公司,经营一个在线市场,达到法定饮酒年龄的消费者可以向零售商下订单,购买啤酒、葡萄酒和酒类,并且送货上门。该公司在亚马逊网络服务的云计算服务上收集并储存了消费者的各种个人信息,如电子邮件、邮政地址、电话号码、唯一的设备识别码、地理位置信息和从第三方购买的数据。
根据FTC的投诉,Drizly和Rellas在早些时候的安全事件后曾被警告公司的数据安全程序存在问题。2018年,Drizly的一名员工在软件开发和托管平台GitHub上发布了公司云计算账户登录信息。由于这一安全故障,黑客能够使用Drizly的服务器来挖掘加密货币,直到该公司改变其云计算账户的登录信息。Drizly未能采取措施充分解决其安全问题,同时公开声称拥有适当的安全保护措施。两年后,一名黑客攻破了一个员工账户,获得了Drizly公司GitHub的登录信息,黑进了该公司的数据库,然后盗取了客户的信息。FTC在其投诉中称,Drizly和Rellas未能实施基本的安全措施。尽管称该公司在声明中声称采用了适当的安全做法来保护消费者数据,但Drizly和Rellas:未能采取合理的保障措施来确保其收集和储存的个人信息。它没有要求员工对GitHub使用双因素认证,限制员工对个人数据的访问,制定适当的书面安全政策,或对员工进行这些程序的培训;在一个不安全的平台上存储关键的数据库信息。根据FTC的投诉,Drizly将登录凭证存储在GitHub上,这违反了该平台自己的指导和涉及GitHub的广为人知的安全事件。例如,在2018年对Uber的投诉中, FTC特别公布并描述了涉及Uber的GitHub账户使用的不良安全做法,这些做法导致了涉及该共享应用程序的数据泄露;忽略了对网络安全威胁的监控。FTC称,Drizly没有安排高级管理人员负责确保公司的数据安全,也没有监测其网络是否有未经授权的访问或删除个人数据的企图;将客户暴露给黑客和身份窃贼。在该公司发生数据泄露事件后,Drizly收集的消费者个人信息在暗网的两个不同的公开网站上被出售,不法分子在那里发布和出售被黑客盗取的数据。身份窃贼和其他恶意行为者可以利用这些数据开设欺诈性的信用额度或实施其他欺诈。FTC称,当未经授权的账户以他们的名义开立时,消费者可能会产生债务并损害他们的信用,从而遭受经济损失。
针对Drizly和Rellas的拟议命令包括几项要求,旨在确保他们采取措施,解决FTC投诉中概括的问题。根据FTC的拟议命令,Drizly和Rellas被要求:
销毁不必要的数据。Drizly必须销毁其收集的、对其向消费者提供产品或服务没有必要的任何个人数据。它还必须记录并向委员会报告它销毁了哪些数据;限制未来的数据收集。今后,Drizly必须避免收集或储存个人信息,除非是为了保留时间表中列出的特定目的所需。它还必须在其网站上公开详细说明它所收集的信息以及这种数据收集的必要性;实施信息安全计划。Drizly被要求实施全面的信息安全计划,并建立安全保障措施,以防止投诉中所述的安全事件。这包括为员工提供安全培训等措施;指定一名高级别员工监督信息安全计划;对谁可以访问个人数据实施控制;并要求员工使用多因素认证来访问数据库和其他包含消费者数据的资产。值得注意的是,该命令适用于Rellas个人,他作为首席执行官对Drizly公司不严格的数据安全做法有不可推卸的责任。在现代经济中,企业高管经常从一家公司转到另一家公司,尽管他们的业绩记录有污点。认识到这一现实,委员会提议的命令将跟随Rellas,即使他离开Drizly。具体来说,如果Rellas转到一个收集超过25,000人的消费者信息的企业,并且他是该企业的主要所有者、首席执行官或负有信息安全责任的高级官员,他将被要求在未来的公司实施信息安全计划。[1] FTC对Drizly及其首席执行官James Cory Rellas采取了行动,因为其安全故障暴露了250万消费者的数据 - FTC(FTC新闻稿)命令要求公司销毁不必要的数据,限制未来的数据收集和保留,并使首席执行官受到具体数据安全要求的约束。[2] 决定和命令 [2023185] (ftc.gov)
Amy Baker是睿盟律师事务所奥兰多办事处的合伙人。贝克女士为生命科学客户提供监管咨询服务,在其生命周期的各个阶段为他们提供咨询,从成立到临床试验和商业化。她就可能影响生命科学客户的各种法律问题提供咨询,包括增长战略、新兴技术、对《食品与药品法》的监管,以及FDA和FTC的法规、标签和广告合规性、知识产权和品牌保护问题,以及隐私、数据泄露和网络安全问题。贝克女士积极参加生命科学行业协会,并担任Central BioFlorida的联合主席,是风险与保险管理协会(RIMS)佛罗里达州中部分会的董事会成员,也是美国国防研究所(DRI)版权特别诉讼小组的主席。
Amy
Baker
合伙人
数据隐私 网络安全
知识产权 生命科学
amy.baker
@rimonlaw.com
OFFICE:
Orlando
洛维茨女士是并购和私募股权律师
上期导读:睿盟律师又双叒得奖了
关于睿盟
睿盟是一家发源于硅谷的国际律所,拥有一支精通中国事务的律师团队。二十多位资深合伙人专注于与中国相关的业务,包括公司法、国际商法、科技创新、商业地产、知识产权及维权、商业诉讼、白领犯罪辩护等领域。他们助力中国各种所有制的公司、中美跨境科创公司、美籍华人等在美国及全世界拓展业务。他们在美国法庭上代表中国公司与竞争对手对抗,指导他们应对美国日益复杂的监管环境。由于睿盟独特的商业模式,对于客户而言极具性价比。睿盟的情况请复制网址:
https://rimonlaw.com/about
这些律师中有一部分母语是中文,本科毕业于清华、中科大、复旦、北师大等985名校,并在哈佛、斯坦福、哥伦比亚、伯克利这样的美国名校取得法学博士学位,经历了美国传统一流国际大所的历练。了解这些资深律师的情况请复制网址:
https://rimonlaw.com/experience/china_zh