美国著名隐私自律组织将受处罚

周辉

       互联网和电子商务的发展，给消费者带来了许多便利，也让个人隐私遭遇到了前所未有的挑战。在全球数字经济蓬勃发展的背景下，这已成为各国政府关注的重要问题。两年多以前，美国总统奥巴马发布了《网络环境下消费者数据隐私保护法案》，强调在促进信息技术持续创新的同时，要为隐私权保护提供一个强有力的保护方案。
       目前，该法案虽然仍未获得通过，但在消费者隐私保护方面，美国政府却加强了监管力度。最近美国联邦贸易委员会(FTC)针对著名的隐私行业自律机构TRUSTe(True Ultimate Standards Everywhere，Inc.)所做的一项处理决定就是一个重要体现。
       2014年11月20日，FTC在其网站上发布了一项公告，核心内容是公布了TRUSTe的违规行为内容及相关的处理决定。TRUSTe的这个案件之所以非常重要，并不是因为它比美国其他互联网公司收集了更多的个人隐私数据或是有更高的侵犯个人隐私的风险，而是首先在于其身份的特殊性，理解这一点，必须首先了解美国的隐私监管方式。
       美国一直以来信奉并尊重数字经济的自由发展，坚持主要通过行业自律而不是通过政府的直接干预来实现隐私保护。以TRUSTe为代表的隐私认证组织承担了日常隐私监管的主要职能。
       以TRUSTe为例，其专门设立了隐私合规系列认证项目，针对不同的应用或服务设立了不同的项目和认证标准，有关服务提供者通过自愿承诺接受有关标准的要求参与到项目中。TRUSTe主要产品包括但不限于：自1997年起针对网站的隐私认证项目；自2001年起针对FTC执行COPPA有关规定实施的儿童隐私项目；自2002年起按照欧美隐私安全港框架协助实施的跨境数据流动的认证项目；自2006年起针对软件实施的下载认证项目；自2011年起针对云平台上的数据处理服务的认证项目；自2011年起针对移动应用的认证项目；自2011年起针对非消费面向的机构的数据收集行为的认证项目；自2012年起针对收集消费者能源使用信息的智能电网认证项目。
       TRUSTe确立的隐私认证标准融入了OECD(经济合作与发展组织)、APEC(亚太经合组织)、FTC、COPPA(美国儿童在线隐私保护法)、U.S.-EU Safe Harbor Framework(美欧安全港框架)的隐私要求。因此，有关服务提供者遵守TRUSTe隐私框架的要求就是一个自愿而有效的隐私合规过程。在这个合规过程中，TRUSTe具有规则制定者(例如，TRUSTe在其网站上发布的《TRUSTe Program Requirements》)和规则执行者(例如，TRUSTe可以通过对申请认证的客户进行技术监控、文件审查、人工测试等措施或手段，保证被认证的项目的持续合规性)的双重身份，是某种意义上的私权力主体。
       TRUSTe的这种特殊身份意味着，其在确保有关服务提供者真正合规、持续合规方面具有某种程度上的决定性作用。这种通过行业自律实现隐私保护的路径，事实上将隐私保护的成效寄托在认证组织的私权力实施成效上，消费者对TRUSTe所认证的服务或产品的隐私保护水平的信赖就建基于TRUSTe的公信力及其私权力“执法”水平之上。
       任何权力都存在滥用和不作为的问题，私权力同样不会例外。FTC在公告中，指控TRUSTe存在两个重大违规问题：第一，TRUSTe未能按照其认证要求的规定，对其认证对象展示认证标志(用户点击认证标志可以跳转到TRUSTe的网站上)的行为未能实施年度审查。根据FTC的调查，在2006年至2013年1月之间，未能实施年度审查的案例超过1000起。FTC认定，其隐私认证项目介绍中有关进行审查的声明，将会因此构成虚假或误解性陈述，触犯联邦贸易委员会法第5条的规定。第二，设立于1997年的TRUSTe已于2008年从非营利性的行业组织转变为私有的营利性企业，但是接受其认证的某些机构在他们的隐私政策中对TRUSTe的表述仍然是非营利的机构，对此TRUSTe仍然在审查后予以认证通过。FTC认定，这种行为构成违反联邦贸易委员会法第5条规定的欺诈。
       针对这两项指控，FTC并没有直接作出处罚或起诉，而是与TRUSTe展开了和解。最终，双方达成了和解方案。如果和解方案最终生效，TRUSTe除了应当纠正有关可能造成误解的陈述以外，还应向美国财政部支付20万美元的民事罚款。
       从FTC过往的执法情况来看，援引联邦贸易委员会法第5条适用隐私监管还比较少见，适用该条处以这么高金额的罚款更是罕见。就此两点可以看出，FTC在加强对隐私资料组织监管方面已经开始着力。
       FTC的这一转向有着国内、国外两层背景。一方面，奥巴马政府在公布《网络环境下消费者数据隐私保护法案》后，必须要适应隐私保护形势的需要，采取适度从严的监管态度。另一方面，欧盟是美国网络企业的重要市场，目前双方是通过隐私安全港协议(该协议事实上为美国企业处理欧洲数据降低了保护要求)达成了不同保护标准和监管方式妥协。
       2012年1月，欧盟委员会提出《数据保护通用条例》、2014年5月欧洲法院就被遗忘权作出决定，这些都表明，欧洲会更加强化数据隐私的保护水平。在这种背景下，欧盟对美国企业隐私保护水平和政府隐私监管力度意见越来越大，欧盟内部修改甚至终止欧美隐私安全港协议的声音也不时出现。因此，美国必须在加强隐私保护和监管方面做出表现。这种应对又可能背离美国隐私监管的基本路径——“自律为主、干预为辅”，从严审查隐私自律组织的活动就成为最佳的突破口和着力点。
       （作者为国家行政学院博士后）

上一页  [1] [2] [3] [4] [5]