自联邦贸易委员会表示正在调查Facebook以来,经过一年多的猜测在隐私失误方面,监管机构已正式宣布与陷入困境的社交网络达成和解协议的条款:50亿美元(如先前所传言)并改善了公司内部的隐私监督。订单授权的隐私计划涵盖Facebook拥有的WhatsApp和Instagram,以及Facebook的同名社交平台。Facebook评估了50亿美元的罚款,受到了用户隐私决定的全新限制,以解决FTC问题指控该公司违反了2012年联邦贸易委员会的命令,欺骗用户控制其个人信息隐私的能力。
该命令由该机构的委员以3-2的投票批准。美国联邦贸易委员会指出,对Facebook的处罚是对任何公司侵犯消费者隐私的最大规定 - 并且标志着它“比全球有史以来规定的最大隐私或数据安全惩罚高出近20倍”。
除了资金,Facebook还必须建立一个关于隐私的董事会委员会,并且必须提供用户数据得到尊重的执行保证。
有意义的疏忽?
“今天公布的结算订单还对Facebook的业务运营施加了前所未有的新限制,并创建了多种合规渠道。该命令要求Facebook从公司董事会层面重组其隐私方法,并建立强大的新机制,以确保Facebook高管对他们对隐私做出的决策负责,并且这些决定受到有意义的监督,“ FTC在宣布该决定的新闻稿中写道。
FTC董事长乔·西蒙斯在一份声明中说:“尽管全球数十亿用户多次承诺他们可以控制个人信息的共享方式,但Facebook会破坏消费者的选择。”“50亿美元的罚款和彻底的行为救济的规模在联邦贸易委员会的历史上是史无前例的。此救济不仅旨在惩罚未来的违规行为,更重要的是,改变Facebook的整个隐私文化,以减少持续违规的可能性。委员会认真对待消费者隐私,并将在法律的最大范围内执行FTC命令。“
美国联邦贸易委员会表示,其针对Facebook的20年订单的结构消除了对首席执行官马克扎克伯格所做出的隐私决定的“无拘束控制” - 通过建立所谓的“独立隐私委员会”,在董事会层面建立更大的责任感”。
“隐私委员会的成员必须是独立的,并由独立的提名委员会任命,”它写道。“会员只能被Facebook董事会的绝大多数人解雇。”
Facebook还将被要求指定负责Facebook隐私计划的合规官员。
“这些合规官员将受到新董事会隐私委员会的批准,并且只能由该委员会删除 - 而不是由Facebook的首席执行官或Facebook员工删除,”它写道。“Facebook首席执行官马克扎克伯格和指定的合规官员必须独立向FTC提交季度认证,证明公司遵守订单规定的隐私计划,以及公司全面遵守订单的年度认证。任何虚假证明都会使他们受到个人的民事和刑事处罚。“
另一个目标是加强对Facebook的外部监督,FTC声称必须每两年对审计流程进行一次改进,以评估Facebook隐私计划的有效性并找出任何差距。
“评估员对Facebook隐私计划的双年度评估必须基于评估员的独立事实收集,抽样和测试,并且不得主要依靠Facebook管理层的断言或证明,”它写道,听起来像是Facebook的结束能够在其主场标记自己的监管功课。
它继续说:“该命令禁止公司向评估员做出任何虚假陈述,评估员可以被FTC批准或删除。重要的是,独立评估员将被要求每季度直接向新的隐私委员会委员会报告。该命令还授权FTC使用联邦民事诉讼规则提供的发现工具来监控Facebook对该命令的遵守情况。“
Facebook还必须在实施之前对每个新的或修改过的产品,服务或实践进行隐私审查,并根据订单记录其有关用户隐私的决策。
虽然指定的合规官员必须提交季度隐私审查报告 - 与Facebook的首席执行官和独立评估员以及FTC应要求分享。
该命令还规定了Facebook上的安全漏洞披露要求,这需要记录500或更多用户的数据遭到入侵时的事件,以及它如何解决问题的详细信息 - 并将其提供给FTC和评估员在发现违规行为后的30天内。
美国联邦贸易委员会首次证实,它正在调查Facebook去年3月,当时围绕剑桥分析公司滥用从网络中窃取的数据的新喧嚣。监管机构特别关注的是,Facebook一直在系统地违反其2012年协议的条款,该协议禁止他们进行一系列有关用户数据的做法。
谣言开始不到一年后,联邦贸易委员会考虑的罚款将是“创纪录的”,尽管当时许多人指出,几乎任何可以想象的金额都很容易(如果不是很乐意)被公司注销,每年带来超过500亿美元的收入。
4月份,看到写在墙上并且可能知道某些谈话,Facebook预留了30亿美元来支付它知道即将达成的和解协议的成本(它仍然获得了24亿美元的利润),但表示它预计这个数字实际上可能是50亿美元。事实上,这是两周前在联邦贸易委员会投票的早期报告中出现的数字。(有些人认为罚款要高得多,或许可以通过良好的行为来缓解,但联邦贸易委员会似乎没有接受他们的想法。)
虽然数十亿美元的罚款成为引人注目的头条新闻,但Facebook的商业成本(和产品摩擦力)可能会受到更严重的行政和官僚主义要求。
美国联邦贸易委员会(FTC)记录了一份清单,列出了它对公司施加的“重要的新隐私要求” - 写下:
Facebook必须对第三方应用程序进行更大的监督,包括终止未能证明其符合Facebook平台策略的应用程序开发人员,或无法证明他们对特定用户数据的需求;
禁止Facebook使用为获得广告安全功能(例如,双因素身份验证)而获得的电话号码;
Facebook必须提供明确且醒目的使用面部识别技术的通知,并在任何使用之前获得肯定的明确用户同意,这大大超过了之前向用户披露的内容;
Facebook必须建立,实施和维护全面的数据安全计划;
Facebook必须加密用户密码并定期扫描以检测是否有任何密码以明文形式存储;和
当消费者注册其服务时,Facebook禁止向其他服务要求电子邮件密码。
虽然已经有人批评该命令不够强大 - 包括来自FTC本身。
毯子免疫力,没有威慑力
投票反对该和解的委员之一罗希特乔普拉发表了一份声明,解释了为什么他没有支持这一说法 - 他警告称,它“不能解决导致这些重复隐私滥用的动机”,因为它未能阻止Facebook从“参与监控或整合平台”。
“数据收集策略没有限制 - 只是文书工作。$ FB可以签署可以接受的内容,“他在一系列推文中写道,他们在宣布和解后总结了他的观点。
乔普拉还反对对扎克伯格,谢丽尔桑德伯格和其他Facebook高管缺乏处罚 - 指出联邦贸易委员会正在追踪个人附属于剑桥分析公司滥用Facebook数据,但让Facebook的领导层“在违规行为中获得全面豁免权” ”。
他还指出“结算细则使Facebook对'已知'和'未知'违规行为具有广泛的豁免权” - 想知道:“这些免疫协议涵盖了哪些内容?Facebook知道,但公众一直处于黑暗中。“
“Facebook的公然侵权行为是他们的大规模监视和操纵商业模式的直接结果,而这一行动祝福了这一模式。和解并不能解决这个问题。它现在上法庭审批,“他补充道。“我们都应该担心,大型科技平台行为广告的商业激励会刺激分裂我们社会的做法。当公司违法并造成巨大伤害时,他们需要追究责任。“
此次和解也是FTC专员Rebecca Kelly Slaughter的观点,他也认为该命令不足以“有效阻止Facebook参与未来的违法行为” - 在她自己的反对声明中写道她本来希望该机构煽动针对Facebook和扎克伯格的诉讼,争取“公共法院的正确结果”。
“如果没有对Facebook如何收集,使用和分享有关Facebook数据使用和订单合规性的数据和公共透明度的有效限制,我无法将订单视为具有足够的威慑力,”她还说,并补充说她“最深切关注”的是“发布Facebook及其官员的法律责任过于宽泛“。
FTC限制
与FTC前任首席技术官Ashkan Soltani的TechCrunch通电话讨论解决方案,称其为前雇主“可怕的结果”。他告诉我们,“Facebook在整个时间内主导了新闻发布时间表”。“他们控制的时间与Mueller [证词]同一天,与他们的收入电话同一天。价值5亿美元的数字 - 虽然对该机构来说意义重大,但实际上是Facebook的“退出监狱”卡,“他补充说,并指出该命令将对6月12日之前的任何行为进行赔偿 - ”这是我认为闻所未闻的“。
“就这对公司的交易有多好而言,这有点疯狂。”
他还说,即使是五位委员中的三位也可以签署这样一个有利的结果,这是“FTC是谁的标志”。
“这个案例的重要性表明该机构的能力有限,”他建议道。“他们的权力有限,但解决方案 - 这是闻所未闻的。我从来没有在另一个FTC订单中看到类似的规定。“
“我认为就他们能做什么而言,他们在摇滚和硬地之间是有道理的,”他补充说。“另一种选择是对世界上最大的公司之一进行法庭审判,预算无穷无尽,而且[执法]权威有点薄弱。”
根据订单中是否存在可以控制Facebook未来行为的任何实质内容,Soltani建议有一些“有用的”禁令暗示该机构会审视剑桥分析公司丑闻之外的行为。
但与此同时,这里还没有足够的回应“公司的发展方向”。
“我认为这并不能真正解决Facebook走向的方向,而且它确实凸显了该机构缺乏权威,”他告诉我们,讨论美国在数据挖掘技术时代保护隐私的局限性巨头。
“FTC是贸易委员会的权利,”他补充道。“它旨在基本上防止不公平和欺骗性的做法,它的确旨在保护行业彼此......并且不知何故,它发展成为我们领先的消费者保护机构 - 但这种权威非常有限,特别是在隐私领域。”
大卫卡罗尔是一名学者,他对剑桥分析公司使用他的数据作为The Great Hack的焦点- 刚刚发布的Netflix纪录片深入研究Facebook数据滥用丑闻 -的投诉也在他对FTC订单的评估中萎缩。
他告诉我们,“也许一个Netflix文档对Facebook的惩罚可能比这个解决方案更具惩罚性。”
Facebook的回应
Facebook已在总法律顾问Colin Stretch撰写的一篇冗长的博客文章中回应了这一点球公告。
“该协议将要求我们处理工作的方式发生根本转变,并将对在公司各个层面构建我们产品的人员承担额外责任,”他写道。“它将标志着一种更加明显的隐私转向,其规模与我们过去所做的不同。
“该协议要求的问责制超越了现行的美国法律,我们希望这将成为该行业的典范。它引入了更严格的流程来识别隐私风险,更多文档记录这些风险,以及更广泛的措施,以确保我们满足这些新要求。展望未来,我们的隐私控制方法将与我们的财务控制方法相媲美,通过严格的设计流程和个人认证,旨在确保我们的控制措施正常运行 - 并且我们会发现并修复它们。
Stretch继续将剑桥Analytica数据滥用丑闻描述为“Facebook与依赖我们保护其数据的人之间的信任遭到破坏”之前,声称该公司将采用一种新的更“强大”的隐私风险方法。
“我们将更加健壮地确保我们识别,评估和降低隐私风险,”他写道。“我们将采用新的方法来更全面地记录我们做出的决策并监控其影响。我们将引入更多技术控制措施,以更好地实现隐私保护的自动化。“
他还表示,Facebook将对其“系统”进行审查 - 他表示,公司预计该系统将出现“问题” - 承诺“当它发生时,我们将迅速解决这些问题”。
后来在博客中埋葬,Stretch还证实,Facebook已经结束了美国证券交易委员会的另一项调查 - 同意再支付1亿美元来解决其向投资者披露数据滥用程序的调查。
“我们赞同证券交易委员会的利益,确保我们的投资者对我们面临的重大风险透明,并且我们已经更新了我们在这方面的披露和控制,”他写道。
在另一个回应中,扎克伯格在他的Facebook页面上发布了关于和解的评论- 他说“我们将对我们如何构建产品和运营这家公司进行一些重大的结构性改变”。
他还写道,Facebook希望遵守美国联邦贸易委员会命令所煽动的变化,将“数百名工程师和我们公司的一千多名员工”。
虽然目前尚不清楚这是否意味着Facebook将增加其员工人数,增加1,000名员工,或改变其现有员工关注的重点。