Facebook事件之後美國數據隱私保護的執法狀況

上個月初，Facebook首席執行官兼創始人馬克·扎克伯格出席美國國會聽證，涉及Cambridge Analytica公司涉嫌濫用約8,000萬擁有Facebook賬號美國居民的數據。在兩次共計9個小時的國會聽證程序中，扎克伯格先生面臨近100名議員的質詢。某些國會議員呼籲制定新的法律法規，加強美國數據隱私保護體系，並可能借鑒歐盟的《通用數據保護條例》(「GDPR」)。

美國國會是否將出台新的數據隱私保護法律，目前尚不明確。然而，即便沒有新法律出台，美國監管機構已經擁有廣泛的權利，可以針對Facebook或其他涉嫌濫用消費者數據的公司開展調查和執法。持有個人數據的公司還面臨消費者和投資人提起的潛在民事訴訟。可以明確的一點是，自2018年上半年起，受託持有消費者數據的公司應當未雨綢繆，應對監管機關和媒體對數據隱私保護和數據使用行為日益嚴格的規制和監督，而不是坐等新法律出台後才加強數據隱私保護政策和控制措施。

如果國會沒有採取行動，在美經營業務的企業會面臨哪些風險？

在美國開展業務的公司將受到美國聯邦貿易委員會（「聯邦貿易委員會」）和各州監管機構的監管和執法行動，此外還可能面臨消費者和投資人提起的民事訴訟。

聯邦貿易委員會

美國聯邦貿易委員認為該機構是美國 「隱私權保護的主導執法機構」，並已經嘗試援引《聯邦貿易委員會法》第5條 「在商業過程中或影響商業的不公平或欺騙性行為或做法」的規定，追究違法公司的責任。聯邦貿易委員會已經宣布將調查針對Facebook提起的索賠。

聯邦貿易委員會關於數據保護的執法行動通常以存在誤導性廣告或信息披露為前提。 《聯邦貿易委員會法》規定，在下列情況下，一項行為或做法將被認定為有失公平：

?導致或可能導致消費者的實質性損害；

?消費者無法合理避免；並且

?即便考慮到對消費者或競爭的利益，也不會出現利大於弊的情況。

根據聯邦貿易委員會的一貫立法解釋，下列情況下，一項行為或做法將被認定為欺騙行為：

?一項陳述、遺漏或行為可能誤導消費者；

?消費者對遺漏、陳述或做法存在合理的解釋；以及

?誤導性陳述的程度達到重大程度。

聯邦貿易委員會曾於2011年11月針對Facebook開展一項執法行動，涉及Facebook涉嫌未能遵循向用戶承諾的為用戶數據保密的承諾，該案最終達成和解。Facebook同意，在用戶隱私設置允許的範圍外共享用戶信息之前，Facebook需要徵得用戶同意。儘管Facebook未被處以罰款，但一旦聯邦貿易委員會發現Facebook違反了和解條款，針對每次違規可以向Facebook處以高達40,000美元的罰款。

同樣，聯邦貿易委員會曾於2012年向谷歌提起權利主張，涉及谷歌向Safari（一款網路瀏覽器）的用戶做出虛假陳述，虛假陳述關於通過追蹤「cookies」的使用以及定向廣告的使用等方式追蹤客戶。谷歌同聯邦貿易委員會達成和解，並支付了2250萬美元的罰款。

各州監管機構

截至2018年7月，美國各州都將制定數據泄露的上報規定，明確了在發生數據泄露事件後公司必須採取的行動。如果數據被第三方竊取，或可能被用於超過服務條款（或類似條款）的用途，州級的數據違規法律規定了企業必須遵守的通知類型以及補救方式。 受影響的個人通常獲得身份盜竊保護以及其他監控服務。

此外，美國各州還通過了用戶隱私數據保護法律，禁止不公正及欺騙性商業行為，包括對用戶使用虛假或具誤導性信息披露，適用於用戶數據隱私及安全相關的聲明。依據這些州級法律，各州監管部門有權採取打擊公司對發生數據泄漏及欺騙性或具誤導性網路安全行為及程序的應對措施。舉例言之，若干州的州檢察官就優步近期發生的用戶數據泄漏事件，對優步提起了訴訟。

鑒於對Facebook及Cambridge Analytica的指控不斷湧現，許多州級檢察官宣布將考慮提起法律訴訟。2018年3月26日，美國41個州的州級檢察官聯合向Facebook發函，要求Facebook提供公司服務條款、第三方應用監督、數據保護保障措施以及預防未來數據濫用所採取的任何措施的信息。

民事訴訟

除美國聯邦及州級政府提起訴訟外，公司還面臨用戶及投資人提起民事訴訟的風險，以期尋求民事救濟，指控公司違約、疏忽及欺詐。除此之外，美國有13個州規定了關於違反數據泄漏報告法律規定的民事起訴權。主張公司違反數據泄漏通知義務的相關訴訟人需證明其「具有訴訟資格」或因該等違約事實受損。為此，原告必須證明(1)遭受實際損害；(2)損害可以歸因於被告涉嫌的違法行為；且(3)通過勝訴判決可能補救損害。不久前，美國法院還不願意推進數據泄漏訴訟，但隨著法院發現身份信息竊取所導致的高風險也是一種「事實受損」，因此相關受害人符合起訴資格要求，所以法院的觀念也在發生轉變。

Facebook用戶代表已提起了逾十幾起訴訟，指控Facebook違約、違反善意及公平交易默示承諾、違反州級消費者保護法律（諸如加州《反不當競爭法》）以及因疏忽未能保護用戶數據。其中有關Facebook違約的指控稱，Facebook違反其服務條款及隱私政策，需要原告證明(1)各方之間訂有合同；(2)其中一個締約方違反合同；以及(3)因濫用數據導致經濟損失。最後，個人原告代表Facebook投資人提起了集體訴訟程序，指控Facebook違反公司自身數據隱私政策，違反聯邦數據保護法律發表重大錯誤及具誤導性陳述。繼指控Facebook濫用用戶數據後，對其提起的未決訴訟還將釐清哪些民事訴訟可以順利執行消費者及投資人對私人領域數據收集方的權利。

結束語

繼Facebook及Cambridge Analytica用戶數據泄漏事件後，美國國會將如何應對、採取何種措施應對個人數據保護，目前尚未可知。其中有一項提案引起了廣泛注意，即要求Facebook、谷歌等公司在使用、銷售或分享用戶數據之前需獲得用戶同意。擬出台的立法也將規定，如發生用戶數據泄漏，公司需通知用戶，作為對州級法律下通知要求的補充救濟。美國聯邦貿易委員會將被賦予相關法律的執法權。在密切關注相關立法及監管發展的同時，我們建議公司審慎檢查目前適用的數據操作規程，積極應對社會對個人數據保護日漸關注的大趨勢。

來源：高偉紳律師事務所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！