Facebook事件之后美国数据隐私保护的执法状况

 

2018年05月22日 09:28:20
来源：凤凰国际智库

文章来源： 高伟绅律师事务所；作者：上海市商务委

上个月初， Facebook首席执行官兼创始人马克·扎克伯格出席美国国会听证，涉及Cambridge Analytica公司涉嫌滥用约8,000万拥有Facebook账号美国居民的数据。在两次共计9个小时的国会听证程序中，扎克伯格先生面临近100名议员的质询。某些国会议员呼吁制定新的法律法规，加强美国数据隐私保护体系，并可能借鉴欧盟的《通用数据保护条例》(“GDPR”)。

 

美国国会是否将出台新的数据隐私保护法律，目前尚不明确。然而，即便没有新法律出台，美国监管机构已经拥有广泛的权利，可以针对Facebook或其他涉嫌滥用消费者数据的公司开展调查和执法。持有个人数据的公司还面临消费者和投资人提起的潜在民事诉讼。可以明确的一点是，自2018年上半年起，受托持有消费者数据的公司应当未雨绸缪，应对监管机关和媒体对数据隐私保护和数据使用行为日益严格的规制和监督，而不是坐等新法律出台后才加强数据隐私保护政策和控制措施。

如果国会没有采取行动，在美经营业务的企业会面临哪些风险？

在美国开展业务的公司将受到美国联邦贸易委员会（“联邦贸易委员会”）和各州监管机构的监管和执法行动，此外还可能面临消费者和投资人提起的民事诉讼。

联邦贸易委员会

美国联邦贸易委员认为该机构是美国“隐私权保护的主导执法机构”，并已经尝试援引《联邦贸易委员会法》第5条“在商业过程中或影响商业的不公平或欺骗性行为或做法”的规定，追究违法公司的责任。联邦贸易委员会已经宣布将调查针对Facebook提起的索赔。

联邦贸易委员会关于数据保护的执法行动通常以存在误导性广告或信息披露为前提。 《联邦贸易委员会法》规定，在下列情况下，一项行为或做法将被认定为有失公平：

·导致或可能导致消费者的实质性损害；

·消费者无法合理避免；并且

·即便考虑到对消费者或竞争的利益，也不会出现利大于弊的情况。

根据联邦贸易委员会的一贯立法解释，下列情况下，一项行为或做法将被认定为欺骗行为：

·一项陈述、遗漏或行为可能误导消费者；

·消费者对遗漏、陈述或做法存在合理的解释；以及

·误导性陈述的程度达到重大程度。

联邦贸易委员会曾于2011年11月针对Facebook开展一项执法行动，涉及Facebook 涉嫌未能遵循向用户承诺的为用户数据保密的承诺，该案最终达成和解。 Facebook同意，在用户隐私设置允许的范围外共享用户信息之前，Facebook需要征得用户同意。尽管Facebook未被处以罚款，但一旦联邦贸易委员会发现Facebook违反了和解条款，针对每次违规可以向Facebook处以高达40,000美元的罚款。

同样，联邦贸易委员会曾于2012年向谷歌提起权利主张，涉及谷歌向Safari （一款网络浏览器）的用户做出虚假陈述，虚假陈述关于通过追踪“cookies”的使用以及定向广告的使用等方式追踪客户。谷歌同联邦贸易委员会达成和解，并支付了2250万美元的罚款。

各州监管机构

截至2018年7月，美国各州都将制定数据泄露的上报规定，明确了在发生数据泄露事件后公司必须采取的行动。如果数据被第三方窃取，或可能被用于超过服务条款（或类似条款）的用途，州级的数据违规法律规定了企业必须遵守的通知类型以及补救方式。 受影响的个人通常获得身份盗窃保护以及其他监控服务。

此外，美国各州还通过了用户隐私数据保护法律，禁止不公正及欺骗性商业行为，包括对用户使用虚假或具误导性信息披露，适用于用户数据隐私及安全相关的声明。依据这些州级法律，各州监管部门有权采取打击公司对发生数据泄漏及欺骗性或具误导性网络安全行为及程序的应对措施。举例言之，若干州的州检察官就优步近期发生的用户数据泄漏事件，对优步提起了诉讼。

鉴于对Facebook及Cambridge Analytica的指控不断涌现，许多州级检察官宣布将考虑提起法律诉讼。2018年3月26日，美国41个州的州级检察官联合向Facebook发函，要求Facebook提供公司服务条款、第三方应用监督、数据保护保障措施以及预防未来数据滥用所采取的任何措施的信息。

民事诉讼

除美国联邦及州级政府提起诉讼外，公司还面临用户及投资人提起民事诉讼的风险，以期寻求民事救济，指控公司违约、疏忽及欺诈。除此之外，美国有13个州规定了关于违反数据泄漏报告法律规定的民事起诉权。主张公司违反数据泄漏通知义务的相关诉讼人需证明其“具有诉讼资格”或因该等违约事实受损。为此，原告必须证明(1) 遭受实际损害；(2) 损害可以归因于被告涉嫌的违法行为；且(3) 通过胜诉判决可能补救损害。不久前，美国法院还不愿意推进数据泄漏诉讼，但随着法院发现身份信息窃取所导致的高风险也是一种“事实受损”，因此相关受害人符合起诉资格要求，所以法院的观念也在发生转变。

Facebook用户代表已提起了逾十几起诉讼，指控Facebook违约、违反善意及公平交易默示承诺、违反州级消费者保护法律（诸如加州《反不当竞争法》）以及因疏忽未能保护用户数据。其中有关Facebook违约的指控称，Facebook违反其服务条款及隐私政策，需要原告证明(1) 各方之间订有合同；(2) 其中一个缔约方违反合同；以及(3) 因滥用数据导致经济损失。最后，个人原告代表Facebook投资人提起了集体诉讼程序，指控Facebook违反公司自身数据隐私政策，违反联邦数据保护法律发表重大错误及具误导性陈述。继指控Facebook滥用用户数据后，对其提起的未决诉讼还将厘清哪些民事诉讼可以顺利执行消费者及投资人对私人领域数据收集方的权利。

结束语

继Facebook及Cambridge Analytica用户数据泄漏事件后，美国国会将如何应对、采取何种措施应对个人数据保护，目前尚未可知。其中有一项提案引起了广泛注意，即要求Facebook、谷歌等公司在使用、销售或分享用户数据之前需获得用户同意。拟出台的立法也将规定，如发生用户数据泄漏，公司需通知用户，作为对州级法律下通知要求的补充救济。美国联邦贸易委员会将被赋予相关法律的执法权。在密切关注相关立法及监管发展的同时，我们建议公司审慎检查目前适用的数据操作规程，积极应对社会对个人数据保护日渐关注的大趋势。