? 北京市環球律師事務所

隱私盾并非無懈可擊——美國FTC加大執法力度的影響分析

朱健飛 | 陳楠

 

引言

 

中國企業在不斷加大全球化布局的過程中,越來越多地需要在不同國家地區之間進行數據傳輸。一個典型的場景是將從歐盟收集到的個人數據傳輸至美國進行存儲與處理。由于歐盟對于個人數據較高的保護標準,企業在進行個人數據跨境傳輸時必須遵循歐盟的合規框架,“歐盟-美國隱私盾”(以下簡稱“隱私盾”)就是可行的合規框架之一。但企業還應注意近來美國聯邦貿易委員會(以下簡稱“FTC”)的執法動向,以免在利用隱私盾時又成為FTC的執法目標。

 

一、歐盟-美國隱私盾框架的由來

 

在個人數據保護方面,歐盟和美國之間一直存在較大的差異。歐盟方注重于嚴格地保護個人隱私,對數據跨境傳輸所需要符合的合規標準要求甚高,因此從歐盟向至美國的數據傳輸嚴重受限。為了促進經濟交流,歐盟委員會和美國商務部于2000年11月01日簽訂了“安全港協議”給數據傳輸松綁。但是 2015年歐盟法院在Max Schrems v Data Protection Commissioner案件中以“安全港協議”無法達到歐盟法律對歐盟公民提供的保護要求為由而宣判其無效。“歐盟-美國隱私盾框架原則”隨即取而代之,目的仍然是使自愿加入協議的企業和機構基于符合歐盟數據傳輸的要求而能夠將在歐盟收集到的數據傳輸至美國。2016年7月16日,歐盟委員會做出決定,認可隱私盾可以為個人數據提供充分保護。從2016年08月01日起,位于美國的公司及組織可以向美國商務部國際貿易局要求認證,并通過公開承諾遵守隱私盾框架的所有要求,以獲得隱私盾的管轄。

 

歐盟于2018年05月25日生效了 《一般數據保護條例》 (以下簡稱“GDPR”)。此條例被視為最為嚴格的個人隱私及數據保護條例。GDPR對所有在歐盟有業務的企業進行嚴格的數據合規要求,其中包括跨境傳輸上的合規要求。延續歐盟此前的規定,GDPR第25條規定只有在第三國能夠為個人數據提供“充分程度”的保護時,歐盟才允許將個人數據傳輸至第三國。在GDPR條例的管控下,歐盟委員會會對第三國進行信息保護評估以確認該國的數據保護是否達到充分保護的水平。在歐盟委員會確認的名單內,達到充分數據保護水平的第三國可以不需要特別授權而相互傳輸個人數據。目前,歐盟委員會列出的此類國家和地區尚不到十五個。而美國能進入此名單完全依賴于隱私盾,即隱私盾管轄下的企業可直接進行個人數據跨境傳輸,而其他未在隱私盾管轄內的企業則需通過其他的合規途徑,例如傳輸者與收集者簽訂數據保護標準條款(以下簡稱“SCC”),以及具有約束力的公司規則(以下簡稱“BCR”)。

 

二、歐盟-美國隱私盾框架的特點

 

隱私盾運作機制的核心是美國機構通過自我認證承諾其將遵守美國商務部指定的一套隱私保護原則,即“歐盟-美國隱私盾框架原則”。而隱私盾管轄下的企業之所以能夠被歐盟認定為提供充分保護是因為隱私盾具有以下特點:

 

首先,隱私盾框架原則的要求符合GDPR對于個人數據保護的實質性要求。例如,按照“通知原則”,美國機構應當向數據主體提供關于個人數據處理的關鍵信息,包括收集的數據種類、數據處理的目的、獲取和選擇數據的權利等。

 

其次,隱私盾管轄下數據的控制者和處理者均受其約束,特別是數據處理者必須通過協議承諾其必須按照位于歐盟的數據控制者的指令行事并協助其保護個人數據。

 

再次,隱私盾包括了一整套監督和執行機制。據此美國商務部應當公開并保持更新隱私盾企業清單,而美國FTC則需公開其執法的案件。持續不符合隱私盾框架原則的機構將被移除出清單,并且應當返還或銷毀其依靠隱私盾獲取的個人數據。

 

最后,隱私盾包含一項年度審查制度,即允許歐盟和美國定期共同審查隱私盾的執行情況。

 

隱私盾在2019年9月12和13日于華盛頓舉行了第三次年度評估。據美國商務部報道,從隱私盾實施開始,已經有5000多家公司加入了隱私盾的管轄權內,并推進了7.1萬億美元的經濟往來。

 

三、美國FTC的執法動向

 

隱私盾框架下,美國FTC具體負責與此有關的執法。根據隱私盾官方網站2019年12月03日的報道,自2016年隱私盾建立以來,FTC已經采取了21項與隱私盾有關的執法行動。從趨勢上來看,FTC正在加大對企業涉嫌違反隱私盾的執法力度。從近期的案例來看,FTC的執法主要針對以下兩個方面:

 

● 一些參與隱私盾框架的企業在其自我認證已經失效后,仍然在其隱私政策中聲稱其參與隱私盾框架。(例如下文所述Cambridge Analytica案件和RagingWire案件)

 

● 一些企業并未聲明參與了隱私盾框架,但是聲稱支持隱私盾框架(例如下文所述SecurTest案件)。

 

Cambridge Analytica案件

 

2019年07月,FTC對數據分析企業Cambridge Analytica, LLC.(以下稱“Cambridge Analytica”)及其CEO和應用開發者提起的指控即是較新案例。FTC指控Cambridge Analytica采用了做出參與隱私盾的虛假陳訴的欺騙手段,從數千萬 Facebook用戶那里獲取個人信息,用于選民身份分析和數據分析。根據FTC的指控,Cambridge Analytica至少于2018年11月之前仍然聲稱自己是隱私盾的參與者,盡管該公司的隱私盾認證早在2018年05月失效。FTC還指稱,該公司沒有遵守隱私盾的要求,即停止參與隱私盾框架的公司應向商務部申明,并繼續對參與該方案時收集的個人信息適用隱私盾框架所要求的保護。

 

2019年12月06日,FTC發布了此案的最終決定。最終決定禁止Cambridge Analytica就其保護個人信息的隱私和保密性的程度作出虛假陳述,以及禁止Cambridge Analytica參與隱私盾框架及其他類似的監管或標準制定組織。此外,Cambridge Analytica還被要求對其在參與隱私盾框架時收集的個人信息繼續適用隱私盾框架所要求的保護措施,或應當返還或刪除該等信息。

 

RagingWire案件

 

FTC近期正在處理的一個案件中的執法對象是RagingWire Data Centers, Inc. (以下簡稱“RagingWire”),一家數據存儲服務公司。RagingWire的隱私盾認證于2017年1月獲得隱私盾認證,但是該次認證于2018年1月失效;之后RagingWire于2019年6月重新獲得隱私盾認證,該次認證將于2020年6月失效。2019年11月7日,FTC指控RagingWire在2017年1月至2018年10月期間違反了《公平貿易法》的第5條,其一是在隱私盾失效期間在網站上聲明其遵守了隱私盾框架,因此誤導了消費者;其二是在隱私盾認證失效前未能遵守隱私盾框架的要求。RagingWire則辯稱,“任何有關隱私盾框架遵從性的虛假陳述對于其客戶而言都不是也不可能是重要的”,因為該公司的業務是“為客戶擁有和運營的內部服務器提供物理空間,并且RagingWire本身無法訪問客戶服務器上的數據。”

 

雖然尚未結案,FTC在指控中提出禁止RagingWire對公司參與或遵守隱私盾框架做出不實陳述。FTC還發布了一項擬議的指令,要求RagingWire在撤銷隱私盾認證或允許其認證在未來失效時,應繼續對其在參與隱私盾框架時收集的個人信息提供隱私盾框架要求的保護,或者返還或刪除這些信息。

 

SecurTest案件

 

FTC于2019年指控SecurTest, Inc.(以下簡稱“SecurTest”)在其官方網站上虛假陳述該公司參與了歐盟-美國隱私盾和瑞士-美國隱私盾框架。FTC在其指控中稱SecurTest雖然在2017年9月向美國商務部提交了參與隱私盾的申請,但實際并未完成隱私盾框架認證下的所有步驟,即未完成認證,因此該公司網站聲稱自己是隱私盾框架的參與者構成虛假陳述。雙方在2019年6月達成和解,和解內容包括FTC禁止SecurTest虛假陳述其參與由政府、自律或標準制定組織發起的任何隱私保護或隱私安全計劃。

 

Medable案件

 

同在2019年,FTC還指控了Medable, Inc.(以下簡稱“Medable”), 一家位于加州的制藥和生物技術公司。FTC指控該公司在其隱私政策中聲稱自己是隱私盾框架的參與者,并遵守了該框架下的所有原則。與SecurTest案件相同,Medable于2017年12月向商務部提交了申請,但并未完成參與隱私盾框架的所有必要步驟,因此該隱私政策中提到的參與隱私盾框架構成虛假陳述。

 

以上Cambridge Analytica案件和RagingWire案件都反映出,在通過自我認證加入隱私盾框架后,企業必須謹慎地遵守隱私盾框架,并確保在認證失效后在所有對外文件中刪除關于其遵守隱私盾框架的聲明。而在SecurTest案件和Medable案件,FTC將企業對于隱私盾框架的聲明直接與《公平貿易法》下的欺詐或不實陳述關聯起來,因此對于那些并未加入隱私盾框架的企業,應避免在隱私政策或任何用戶協議中引用或者聲稱支持隱私盾框架。

 

四、結語

 

中國企業在進行歐盟到美國的個人數據傳輸時可以考慮通過加入隱私盾框架以提升合規性和便利性。但是在考慮使用隱私盾框架時,企業應該仔細檢查其隱私政策或對外文件中所做的陳述與聲明。雖然參與隱私盾框架是自愿的,但企業必須對其作出的任何聲明承擔責任。一方面,加入隱私盾框架的企業必須追蹤自我認證的更新日期,避免隱私盾認證過期,并確保在隱私盾認證過期后對其隱私盾的狀態做出真實的陳述;另一方面,根據FTC的執法動向,若企業沒有參與隱私盾框架,則應當避免在其隱私政策或對外文件中提到支持隱私盾或符合隱私盾保護標準的表述,以避免被認定為構成欺詐或虛假陳述。

 

 


近期新聞

更多新聞
fun88官网备用 <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>