引言

      2019年7月24日，美国联邦贸易委员会（FTC）就隐私合规问题针对Facebook公司科处史无前例的50亿美元罚款。Facebook公司同意支付该罚款，并且接受新的限制以及修改公司结构，这将使公司对其对用户隐私的决策负责。

     除了支付罚款外，Facebook还必须在发布之前对每个新的或修改过的产品、服务或业务进行隐私审查，并记录其有关用户隐私的决定。指定的合规官必须编制季度隐私审查报告，他们必须按照规定向首席执行官和独立审查员以及联邦贸易委员会分享该报告。

联邦贸易委员会的处罚决定还要求Facebook对第三方App履行更强力的监督，包括去除未能证明符合Facebook平台政策或者未能证明他们有权利获取特定用户数据的App开发者。此外，为期20年的处罚协议还规定许多其他具体的合规细节要求。

      美国联邦贸易委员会表示，此项罚款是迄今针对公司侵犯消费者隐私的最大处罚，是全球范围内已知最大的隐私或数据安全处罚的近20倍，这也是美国政府对各类违规行为科处的最严厉的处罚之一。空前的强力处罚令人不禁发问：能够对Facebook作出50亿美金处罚的美国联邦贸易委员会究竟是什么来头？下面就让我们一起梳理一下它的“前世今生”——

一、美国联邦贸易委员会（FTC）简介

美国联邦贸易委员会（Federal Trade Commission ，简称“FTC”） 是美国于1914年根据《联邦贸易委员会法》建立的独立监管机关，是执行多项反托拉斯和消费者保护法律的联邦机构。从起源看，其目的是确保各类市场主体在合法的框架下进行公平竞争，繁荣、高效地发展并且不受不合理的约束，进而通过消除不合理或带有欺骗性的条例、规章来促进国家市场的顺畅运作。

根据美国1914年《联邦贸易委员会法》的规定，美国联邦贸易委员会由五名委员组成，委员由总统提名经参议院推荐和批准。一政党的委员不能超过３名，第一任委员从１９１４年９月２６日起履职，任期３年、４年、５年和７年不等，具体每一委员的任期由总统指定，其继任者的任职期限为７年，但继任委员空缺者只在被继任委员的空缺期间内任职，委员在其任职届满后可继续任职，一直到任命继任者为止。

总统从具有委员资格的人中，选出委员会主席一人。委员不得从事其它实业、休假或其它职业。总统可依据委员的工作无效、玩忽职守、渎职，解除该委员的职务、委员会委员的空缺，并不影响在任者行使委员会的全部权力。

作为负责执行各项反托拉斯法律的行政机构，FTC的具体职责范围包括：搜集和编纂情报资料、对商业组织和商业活动进行调查、对不正当的商业活动发布命令阻止不公平竞争，以防止可能给消费者带来危害的非法商业行为，规范国内市场秩序。

联邦贸易委员会可以通过不同的方式进行调查，这种调查可以是公开的也可以是非公开的。但通常情况下，为了保护公司利益和保证调查本身的顺利进行，联邦贸易委员一般会采取非公开的调查方式。来自消费者的相关信件、商人或国会的要求，或者是关于消费者和经济问题的文章都可能使联邦贸易委员会采取行动。美国联邦贸易委员会除了有执行强制性法律的责任外，还应当在国会的要求下，通过非强制性措施扩大政策的影响，如：针对消费者和商家进行普法宣传教育、在事关消费者隐私权的领域提出相关立法建议或监管方案等。

FTC的其他业务还包括开展相应领域的研究并发布研究报告，公开召开专题研讨会，当国会、行政机构、或其他的独立机构，以及州和地方政府商议政策有所需要时，FTC也会为其提供相关信息或资料，并针对全球隐私权问题和问责制开展国际合作。

二、美国联邦贸易委员会（FTC）与数据安全、隐私保护

美国联邦贸易委员会是执行多种反托拉斯和保护消费者法律的联邦机构。其授权主要来自《联邦贸易委员会法》第5条的职能设定，概括起来讲，旨在禁止企业在市场中实施不公平或欺骗性的行为。根据《联邦贸易委员会法》的规定，FTC有权执行一些具体领域的部门法，比如《真实借贷法》、《平等信用机会法》、《公平信用报告法》和《公平债务催收实践法》等。随着互联网信息技术和商业模式的不断兴起和发展，国家对网络数据安全、数据隐私的保护需求逐渐提上日程。在网络数据安全、隐私保护方面，FTC可据以执行的法律有《反垃圾邮件法》、《儿童在线隐私保护法》、《电话营销与消费欺诈滥用防治法》等。

在消费者的数据安全、隐私保护方面，FTC曾经发起超过500个相关执法行动，涵盖线下、线上以及移动端，执法对象涉及到包括谷歌、Facebook、 Twitter、微软等在内的著名企业。FTC有关消费者隐私权的执法重点聚焦于对美国本土消费者权益的保护，同时也在其管辖范围内保护世界各地的消费者免受不公平或欺诈行为的侵害。FTC采取多重手段来保护消费者的数据安全和个人隐私。其中最主要的就是采取强制执法措施来制止违法行为，并要求企业采取正面措施积极进行整改，具体包括：隐私与安全项目的全面落实，建立两年一次的独立专家评估制度，建立对于消费者的赔付救济，不当得利的追缴，删除非法获取的消费者信息，为消费者提供强有力的透明度和选择机制保障。如果一家公司违反了FTC的相应指令，则FTC可以将该违法行为诉诸于民事处罚程序。同时，FTC还通过采取全面隐私与安全保护计划、独立专家双年评估、消费者货币补偿、不当得利归入权、制止非法获取消费者信息侵权等各种措施，维护消费者合法权益，营造良好的隐私保护与数据安全环境。

早在2012年，FTC就发布了涉及到个人信息数据的隐私保护指南：《在一个充满快速变化的时代，保护消费者隐私——2012年关于隐私权的建议》，提出隐私保护框架应当适用于：商业实体对于能够被合理地与特定的消费者、电脑以及其他设备相联系的消费者数据的收集和使用行为。该定义突破了传统的个人信息定义中与个人相关联的设定，而是扩展到了用户所使用的设备，如笔记本、智能手机等。

2018年1月18日，美国联邦贸易委员会（FTC）在其官网发布了《2017年隐私与数据安全保护工作报告》（Privacy & Data Security Update (2017)）。2017年，FTC针对一系列隐私问题开展的执法行动，涵盖了垃圾邮件、网络社交、在线广告投放、仿冒欺诈、手机软件、P2P文件共享等许多方面。其中，查处垃圾邮件和互联网间谍app类案件130余件，涉及一般隐私权侵权的法律诉讼50余起。

FTC对公司提出实质性保护和程序性保护两个要求，不仅要注重保护方式内在的合理性与安全性，也要以将保护作为公司的例行工作和日常事项。FTC还提出，企业所收集的用户信息应当满足“最小化的密切联系原则”，即机构收集的信息以实现服务目的为限。

FTC提出三点技术性操作原则：

1、对不同机构保护措施合理性的具体要求以机构所收集的用户信息的敏感性和数量多少作为衡量基础，两者成正相关关系；

2、综合考虑机构运行数据的规模和复杂性，规模越大运行越复杂，则对合理性要求越高；

3、综合考虑机构为提高安全性的有效措施的运行成本。

FTC对“合理性”提出四点具体要求：

1、合理收集：FTC认为公司应避免使用和收集不符合合法商业业务需求的敏感个人信息，如果公司因业务原因而需要保留部分敏感个人信息，则应当对此类信息做非永久保留设置，并且在书面的服务协议中，明确声明对信息的保留和处置计划。

2、合理使用：机构使用消费者的信息，应当在能够正常提供服务的范围内。例如医疗服务公司在员工培训课程中使用了真实人员的个人信息，然后在培训结束后未能从员工电脑中删除该信息的行为就超出了合理使用的范围。对此，FTC建议为避免消费者敏感个人信息泄露的不必要风险，企业应当使用虚拟信息进行培训或应用开发。

3、合理保留：保留期的合理性某种程度上取决于公司与消费者的关系类型和具体信息的类型。对于与消费者有直接联系的公司，其长期保留数据可能是合理的，而进行一次性交易的公司，处理和保留信息的时间则不应超出处理交易所需时间。就具体信息类型而言：儿童和青少年的信息、消费者位置数据和医疗数据信息收集的更新期间实际上也会更短。

4、合理删除：删除行为强调删除效果的安全性，为此FTC建议处理旧电脑和便携式存储设备时，应当在删除前进行格式化或者对信息进行模糊处理，消除其可识别性；对于纸张记录而言，应当采取，例如粉碎和燃烧的物理方式销毁。

三、FTC与数据安全、隐私保护相关的典型执法案例

（一）FTC与智能电视制造商Vizio公司达成和解案

美国联邦贸易委员会（FTC）发布的《2017年隐私与数据安全保护工作报告》列举了10个隐私案例与4个数据安全案例，涉及到Uber（在线出行服务）、Upromise（大学奖励金计划）、ACDI集团（所谓的债务买家）、TaxSlayer（税务筹划服务商）以及D-Link（无线路由器和网络摄像头制造商）等众多知名企业，其中以FTC与著名智能电视制造商Vizio达成和解案最具代表性。VIZIO公司作为世界上最大的智能电视生产商与销售商，同意支付220万美元和解费以应对FTC和新泽西州总检察长的指控，原因是它在电视上安装的软件，在没有保障消费者知情或取得同意的情况下收集了1100万台电视上的观看数据。根据投诉，VIZIO生产的智能电视不但能够抓取电视中正在播放视频的信息，并且能够添加具体的人口统计数据与观看数据相匹配，例如性别、年龄、收入和婚姻状况。据说VIZIO此后将上述信息出售给第三方用于各种用途，包括通过设备向消费者推送广告。FTC还指出：VIZIO在未经观众知情同意的情况下进行数据追踪，涉嫌违反FTC法案和新泽西州的消费者保护法，构成不公平竞争和欺诈。

（二）FTC与电子玩具制造商Vtech公司达成和解案

2018年1月，FTC还公布了其在儿童隐私和安全保护领域的首例案件：电子玩具制造商VTech公司未经通知及家长同意擅自收集儿童个人信息，且未能采取合理措施加以保护，涉嫌违反《儿童在线隐私保护法》（“COPPA”规则）及《联邦贸易委员会法》第五条。FTC的“COPPA”规则适用于针对或实际知道自身从13岁以下儿童收集、使用或披露儿童个人信息的商业网站和在线服务（包括移动应用程序）的运营商。根据FTC的调查，伟易达公司的移动应用程序之一“Kid Connect”可以用于公司的便携式ELP设备上，与其他使用Kid Connect app的儿童或与下载成人版app的成年人进行交流。虽然儿童家长首先需要为儿童建立一个Kid Connect帐户，并授权儿童同账户上的联系人交流，但伟易达还没有一个机制来验证注册账户的用户是父母而非儿童，而且伟易达由于收集了儿童的出生年月，实际知晓儿童使用其在线服务。最终，该公司与FTC达成了和解，并支付65万美元以解除指控，同时实施全面的数据安全方案，未来20年内每隔一年进行一次独立的第三方审查，并遵守记录和报告要求。

（三）FTC与社交网络服务巨头Facebook达成和解案

时下，最受公众瞩目的当属Facebook隐私泄露事件，Facebook的这场用户隐私风波始于一年多前，数千万Facebook用户的数据落入剑桥分析公司手中，此后Facebook的其他隐私泄露问题也相继被曝光。2019年7月24日，美国联邦贸易委员会（FTC）在其网站上公布了与Facebook达成50亿美元和解协议的新闻通告，这是FTC开出的史上最大罚单。除罚款之外，25日公布的和解令还对Facebook的业务运营施加了前所未有的新限制，并在Facebook内部创建了多个合规渠道。和解令要求Facebook从公司董事会起，由上至下全面重构其隐私保护策略，并建立强大的新课责机制，以确保Facebook高管对他们所作的隐私方面的决策承担起责任，并且这些决策能够受到有效的外部监督。根据和解协议，Facebook董事会将成立一个独立的隐私委员会，从而剥夺扎克伯格对用户隐私问题的最终决定权。此外，由FTC批准的第三方评估机构将对Facebook进行定期评估，并按季度向隐私委员会报告。

结语

联邦贸易委员会（FTC）主席Joe Simons 曾表示，保护个人隐私和数据安全是国会和FTC的优先项之一，而隐私和数据安全的保障将通过他们拥有的“每一项目职能”来实现。作为美国最强大的消费者保护机构，在消费者的个人隐私和数据安全保障工作中，联邦贸易委员会始终不忘初心，致力于保护消费者个人数据信息安全，确保消费者在现代市场经济活动中免受欺诈。去年FTC通过发布报告、开展研究和组织研讨会等方式，聚集利益相关方来共同讨论包括物联网设备、在线支付系统、人工智能以及区块链技术和学生隐私等在内的消费者个人隐私和数据安全保护新课题，这些研讨主题充分体现出今后FTC的关注动向与执法趋势。同时，FTC将继续保持高度警惕，随时准备应对现代科技发展可能带来的新变化，以巩固其“全球最活跃的隐私与数据安全保护执行者”地位。