8 月 30 日,美国联邦贸易委员会(FTC)宣布与安防公司 Verkada 达成和解协议,以解决美国司法部(DOJ)针对 Verkada 提起的诉讼。在这起诉讼中,Verkada 被指控未能采取适当安全措施以保护用户数据,导致发生数据安全漏洞事件,且其电子邮件营销行为违反《反垃圾邮件法》(Controlling the Assault of Non-Solicited Pornography and Marketing Act,以下简称 CAN-SPAM)。
根据和解协议, Verkada 需支付 295 万美元的民事罚款,实施一个全面信息安全计划,不得再对其隐私和数据安全问题进行虚假陈述,且不得再违反 CAN-SPAM 进行电子邮件营销。
Verkada 是一家总部位于美国加利福尼亚州的安防公司,主要销售监控摄像头等安全设备。2019 年至 2021 年间,Verkada 售出超过 24 万台监控摄像头。这些监控摄像头被连接到 Verkada 运营的网络平台,使其能够收集包括 IP 地址、摄像头位置、用户姓名等数据,以及摄像头拍摄的视频片段。
近年,Verkada 至少发生了两起数据安全漏洞事件。2020 年 12月,黑客利用 Verkada 服务器的安全缺陷在其上安装了恶意软件,并使用该服务器对其他第三方互联网地址发起网络攻击。2021 年 3 月,黑客利用安全缺陷获得管理员权限,这使得其能够访问并提取 Verkada 平台上超过 15 万个监控摄像头收集的数据,包括精神病院内患者、妇女保健诊所内患者、幼儿等群体的人像信息等数据。
上述事件发生后,FTC 对 Verkada 展开调查,认为其存在多个违规行为,并将案件移交 DOJ。DOJ 向加州北区联邦地区法院提起诉讼。
DOJ 在起诉状中指控, Verkada 存在以下行为:
《联邦贸易委员会法》(FTC Act)第 5 条 (a) 节(15 U.S.C. § 45(a))禁止“影响商业或涉及商业的不公平或欺骗性行为”。DOJ 进一步解释称,虚假陈述或对重要事实的欺骗性遗漏构成该条所禁止的欺骗性行为,对消费者造成或可能造成无法被合理避免且无法与所得利益相抵的重大损害的行为则属于该条所禁止的不公平行为。
CAN-SPAM 第 5 条 (a) 节(15 U.S.C. § 7704(a))要求商业电子邮件中必须存在退出机制(Opt-Out;收件人可以凭借此机制拒绝接收商业电子邮件),并规定了退出机制的要求。Verkada 未能遵守这些要求,具体而言:
持有个人数据的企业必须考虑这些数据可能面临的风险,提供相适应的安全保障。目前,全球各个国家和地区的数据保护法规几乎都要求个人数据持有者采取适当、合理的措施以保护个人数据的安全性、保密性和完整性。即便没有明确规定,执法机构也可能从公平交易的一般原则中解释出此项义务,本案即是一个很好的例证。事实上,虽然 FTC Act 主要关注的是消费者权益,其本身并无直接与隐私保护相关的规定,但企业在隐私保护方面的不足可能会落入该法第 5 条所禁止的“不公平行为”的范畴,因此实践中 FTC 也会参与到隐私保护领域的执法。
同时,本案以及其他一些 FTC 的执法案例也体现出,夸大所采取的隐私保护措施等安全措施,例如宣称采用“最先进的加密技术”,而实际上仅使用了一些简单甚至过时的加密算法,则很可能会被 FTC 认定为是法律所禁止的“欺骗性行为”,从而面临处罚。因此,我们建议企业在对外宣传产品的安全性能与隐私保护实践时避免使用夸大性、不实性陈述,避免有存在欺骗、误导消费者的可能。
此外,在发送电子营销邮件以推广产品或服务时,需按照相关规定设立有效的退出机制,在收件人表示拒绝后停止向其发送其拒绝范围内的营销邮件。还应注意的是,部分国家或地区对此问题作出了更加严格的规定,例如欧盟《电子隐私条例》(e-Privacy Regulation)要求向自然人发送直接营销通信(包括电子营销邮件)必须事先取得该自然人的同意。