美国一部 1988 年的老法《视频隐私保护法》(VPPA),最近让动漫流媒体平台 Crunchyroll 付出约 1600 万美元的和解代价。原告指控索尼旗下的 Crunchyroll 未经用户同意,向 Meta 的 Facebook 等第三方披露了订阅用户的个人可识别信息(PII)。2023 年 10 月,索尼接受和解,2020 年 9 月至 2023 年 9 月间在该平台看过视频的美国用户,每人可申领约 30 美元赔偿。
TL;DR
2022 年 9 月,索尼影视娱乐及其 Crunchyroll 动漫流媒体服务因涉嫌违反 VPPA 被提起集体诉讼,指控其未经用户同意向 Facebook 及其他第三方披露订阅用户 PII。2023 年 9 月 15 日,索尼虽否认违法,仍在伊利诺伊州联邦地区法院达成和解;10 月 12 日正式接受。凡在 2020 年 9 月 8 日至 2023 年 9 月 20 日期间居住在美国并在 Crunchyroll 观看过视频的用户均可索赔,赔偿约每人 30 美元,总额约 1600 万美元。这类诉讼的技术抓手通常是嵌入网站的第三方追踪像素,其原理可参考潜藏在表面下的像素追踪。
VPPA 旨在保护租赁、购买或交付录像带及视听资料过程中的个人隐私,规定未经消费者明确同意不得披露其 PII。它 1988 年由国会通过、里根签署,起因是最高法院被提名人罗伯特·博克的录像租赁记录被曝光,故又称”博克法案”。法案规定”录像带服务提供商”在正常业务过程外披露租赁信息,须对受害人承担不低于 2500 美元的实际损害赔偿,还可叠加惩罚性赔偿、合理律师费,并要求在法律程序结束后一年内销毁相关个人信息。
2007 年以前,VPPA 几乎未被用于电子信息诉讼。随着网站、第三方广告和追踪公司兴起,而联邦与州立法滞后,德州律师 Joseph Malley 研究后认定 VPPA 可填补这一空白,随即对包括 Facebook 在内的 33 家公司提起联邦集体诉讼,指控 Facebook Beacon 程序在未经同意的情况下把用户在第三方网站的私密信息发布到 Facebook,违反 VPPA。这是 VPPA 第一次被用于数据隐私保护,成为联邦数据隐私诉讼的先例。其论证是把音视频网站及关联第三方视为”视频提供者”、把网站内容与广告视为”视频”、把非法数据转移视为”错误披露”。2009 年 Malley 又以 VPPA 起诉 Netflix。2013 年 1 月,在 Netflix 游说下,奥巴马签署 H.R.6671 修订 VPPA,允许视频公司在取得客户许可后于社交网络分享用户数据,但 Malley 等人成功限制了修订范围。今天大量针对领英、医疗网站等的像素追踪诉讼,正是这条路径的延续,可对照领英被控暗中抓取用户站外医疗数据、在加州连遭三起诉讼。
VPPA 的关键在”错误披露”。它定义了消费者、正常业务过程、PII 和录像带服务提供商等概念,并列出可合法披露的有限情形:经消费者知情书面同意、执法机构持令请求、仅限姓名地址且已给予拒绝机会且不含具体片名、正常业务所需、或依法院命令的民事诉讼场景。民事责任包括不低于 2500 美元的实际损害赔偿、惩罚性赔偿、律师费及法院认为适当的衡平救济。这套”单独、明确同意 + 高额法定赔偿”的组合,正是它在集体诉讼中威力巨大的原因。
企业在讨论隐私时往往聚焦 GDPR、CCPA,但对有全球业务的音视频、流媒体、内容平台而言,VPPA 这类看似陈旧的专门法同样能带来巨额集体诉讼风险。要点有三:凡向 Facebook、Google 等第三方回传用户观看行为的像素或 SDK,都可能触发 VPPA;披露此类信息须取得明确、单独、可举证的同意,不能靠隐私政策一揽子概括;对第三方追踪工具做定期审计,明确哪些数据被回传、用于何种目的。加州层面的整体框架可参考《加州隐私权法案 CPRA》合规指南,集体诉讼的运作方式可参考谷歌大规模隐私集体诉讼。