FTC 三度追罚 Meta:缴罚款只是合规起点

FTC 三度追罚 Meta:缴罚款只是合规起点

Kaamel Lab
Kaamel Lab 2023年5月15日

美国联邦贸易委员会(FTC)于 2023 年 5 月 3 日第三次就隐私问题对 Meta 采取行动,提出五项修改建议,其中最受关注的是全面禁止 Meta 以营利为目的获取和使用 18 岁以下儿童与青少年的数据。推动这次决定的不是新的违规行为,而是 Meta 未能按 FTC 早前判决完成整改。这意味着:被监管判罚后,重新向监管机构证明合规是一个持续过程,罚款只是其中最表层的一步。

TL;DR

十年三次:Meta 与 FTC 的往来

事情要从 2012 年说起。FTC 当年指控 Facebook 过量采集用户数据、对隐私设置作虚假陈述、掩盖将数据分享给第三方作营销、以及在用户删除账号后继续向第三方分享其照片和视频。同年双方和解,FTC 提出十项合规要求,包括更正虚假陈述、在超出用户隐私设定分享数据前须告知并获同意、以及在此后 20 年内每两年提交一次由独立第三方完成的评估报告。

2019 年,FTC 再次调查后认定 Facebook 并未按 2012 年判决整改,一些当年为应对调查而做的合规改动后来又被改回;2018 年新增的人脸识别功能宣称由用户自行选择启用(opt-in),实际却默认开启,只留给用户拒绝(opt-out)的选项。FTC 据此提出新要求:禁止继续虚假声明、履行 2012 年合规要求、设立隐私计划(Privacy Program),并罚款 50 亿美元,约相当于 Facebook 2018 年收入的 9%。这是当年隐私相关案件的最高罚款金额。

2023 年的五项修改建议

为响应用户投诉,FTC 再次调查 Meta,并提出针对 2020 年判决的五项修改建议:

隐私执法罚款金额对比:FTC 诉 Facebook 50 亿美元居首(数据源 FTC.gov)

第一项最受媒体关注。FTC 把门槛定在 18 岁,而非 COPPA 定义儿童的 13 岁,也高于常被视为最严格的 GDPR 所提及的 16 岁。FTC 的调研指出 Meta 在 2018 年获得 558 亿美元收入,其中大部分来自广告。第 2、4 项限制其产品开发与使用,第 3 项限制其商业扩张——FTC 显然意识到单靠罚款已达不到威慑,这次直接拿捏了 Meta 的经济命脉。面部识别相关的后续,可参考Meta 就生物识别数据与德州达成 14 亿美元和解

合规整改不是 FTC 的专利

在判决中要求企业完成整改,几乎是所有监管机构的通行做法。爱尔兰监管机构 DPC 在对 Twitter 的判罚中,认定其实现删除权存在瑕疵(用户提交身份证明后数据仍未被删除),要求 Twitter 整改内部数据处理流程以符合 GDPR。法国监管机构 CNIL 对 Microsoft 的 “bing.com” 未经同意使用 Cookie 罚款六千万欧元,要求三个月内上线 Cookie 同意管理方案,逾期则每天再罚六万欧元。CNIL 选择“日结”而非“一次性买断”,说明它在意的不是罚款金额本身,而是督促企业真正完成整改。CNIL 对谷歌 Cookie 同意的类似执法,见法国 CNIL 对谷歌 Cookie 同意的处罚

对出海企业的启示

Meta 这次“三进宫”给其他企业的警示很直接:监管调查和判决的最终目的是确保数据处理活动合规,罚款只是第一步、也是最简单的一步,后续的隐私整改、合规实践与体系重建才是重中之重。对以数据处理盈利、或业务重度依赖数据处理的企业,尤其是收集处理儿童数据的企业,应采取额外保护措施:不过量采集、充分告知数据主体或家长、提前获得监护人明示同意。针对 FTC 法规的核心,则是确保对外披露的信息(隐私政策、广告)与真实的数据处理机制相符——虚假陈述本身就构成不当商业行为。Meta 因个性化广告在欧洲面临的进一步压力,可参考挪威禁止 Meta 违规投放个性化广告 ;儿童隐私的判例背景,可参考从 FTC 对 Epic Games、Xbox 的判例看儿童数据保护

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.