大数据时代网络安全必读

      当今是一个大数据的网络时代社会，我们都离不开互联网。每天人们都会在网上注册各种类型的账号或者上传各种信息，网站商家或机构都会提示我们“您的信息会高度保密，绝不会私自传播！可是无论怎样都无法阻止无数的骚扰电话、垃圾短信、广告邮箱等因为信息泄密而带来的烦恼。小编百思不得其解，这种信息泄露的情况怎么破？最近小编看了一本书，书中有一个的新技能或者说一个利器需要和大家分享一下。

美国个人数据保护主要执法机构

美国联邦贸易委员会FTC

      自1990年末期以来，FTC通过其对不公正及欺诈性贸易实践管制的权威，对公司的隐私政策进行执法。根据《FTC法》第5条，FTC负有禁止市场不公平与欺诈性的商业活动的职责。在近年来的隐私执法中，FTC对第五条进行了充分的援引和解释，在特定案件中“被认为是具有误导性或欺骗性的行为包括错误的口头或书面表述，误导性的报价，未经充分披露而出售有风险或系统缺陷的产品，未披露传销信息，使用引诱和转换的方法，未履行所承诺的服务，未实现担保义务”都被认为是违反了第5条规定。

      需要说明的是，因为美国在隐私保护方面，呈现出分散性的立法特点，因此在执法层面，FTC可以被看作是一个综合性的，跨越行业的隐私保护执法机构。除了FTC之外，美国的其他行业、部门也有涉及隐私保护职能的机构。

      FTC利用多种执法手段来保护消费者隐私和个人信息。其中最主要的工具是通过执法行动来停止违法行为，要求企业采取切实的措施来纠正违法行为。其他还包括：要求企业执行全面的隐私和安全计划；要求企业聘请独立专家进行定期评估;对用户进行金钱赔偿;退还不法所得;删除非法获取的用户信息;给用户提供明确的通知和选择机制；保留记录与合规报告。与FTC达成和解协议的公司一般都会同意定期保存记录，以为FTC执法提供便利。在很多情况下，公司还同意定期制作合规报告。

      在企业违反FTC命令的时候，FTC还可以寻求民事赔偿。FTC也可以就违反某些隐私法令寻求民事赔偿，包括《儿童在线隐私保护法》《公平信用报告法》。除了在和解协议中巨额的罚款之外，最为公司忌惮的恐怕还是隐私合规审计要求。公司担心FTC冗长的审计程序超过50%的案件的审计程序都长达20年。FTC审计程序非常彻底、要求非常严格。

      迄今为止，FTC已经办理了成百上千件隐私和数据安全的案件，保护了数以亿计的消费者。执法范围遍及线上、线下和移动环境，并涉及一些非常知名的公司，例如Google、Facebook、Twitter和微软。尽管FTC对隐私保护领域执法了15余年，但案件几乎全都以和解协议而非司法裁决的形式告终。然而，公司指望通过这些协议来引导其关于隐私实践的决策。因此，在实践中，FTC隐私体系已经成为了美国信息隐私方面最广泛、最有影响的调节力量。以下例举近年来发生的最新案例。

 

案例1：

Google

       

      2012年8月，美国FTC针对Google违反其隐私承诺的行为做出了2250万美元的民事罚金决定，并要求Google立刻停止所有的cookie跟踪设置。Google表示接受。这是FTC针对隐私违规行为开出的最大罚单。

      Google之前声明，针对苹果Safari浏览器的默认设置是禁止第三方cookie跟踪的。但是FTC经调查发现，在2011-2012年的几个月中，Google针对苹果的Safari浏览器用户，设置了第三方的跟踪cookie，该cookie绕开了Safari的默认设置。对于所有访问了Google doubleclick广告网络网站的用户来说，其网络行为能够被Google的cookie进行跟踪。对此，FTC认为谷歌违反了此前谷歌与FTC在另外一起隐私案例（2011年，Google buzz）中达成的和解协议。该协议禁止谷歌不得误导用户认为，用户对于个人信息的收集能够有完整的控制能力。

      在本案中，FTC委员以4:1的投票表决，同意批准该和解令并提交给司法部备案。司法部将代表FTC把该案件提交给美国地区法庭，并由地区法庭批准该和解令。

      注意：当FTC“有理由相信”相关行为活动“已经或正在违反相关法律”，并且相关程序符合公共利益时，FTC可将该指控提交给司法部备案。该指控并不是对被告人实际违反法律的发现或裁决。和解令也并不构成被告人承认违法，而只是用于和解之用。和解令一旦被地区法官签署即具有法律效力。

案例2：

Facebook

      Facebook与FTC于2012年8月10日达成了和解协议，该协议主要解决FTC对Facebook欺骗消费者保护其个人信息的私密性，实际却对用户隐私进行共享和公开的披露。FTC对于Facebook的指控具体有8项。

      例如：欺骗性的隐私设置。至少从2009年11月开始，Facebook在许多情形下给用户提供了一个“主隐私页面”。进入该页面，Facebook声称用户可以“控制谁能看见你的资料和个人信息”，例如“仅朋友可见”或“朋友的朋友可见”。但是这些页面并未披露，用户对个人信息的限制对于特定第三方是无效的。例如，在许多情形下，Facebook使得用户已经限制“仅朋友可见”或“朋友的朋友可见”的个人信息，对于用户的朋友已经使用的平台应用是可见的。因此，FTC认为Facebook关于“控制谁能看见你的资料和个人信息”的表述，是一个错误或误导性的表述。

      再如：违规披露用户相片和视频。Facebook收集和存储了大量用户上传的相片和视频信息，Facebook宣称，用户可以通过关闭或删除其账户来限制对其个人信息的访问，包括但不限于用户上传的相片和视频。当用户关闭或删除账户，不会再有其他第三方看见该账户信息。但实际上，Facebook在用户关闭或删除其账户后，Facebook仍继续向任何访问Facebook的内容URL的人显示用户的相片和视频。因此FTC认为，Facebook关于关闭和删除账户后不再向他人显示用户相片和视频的表述构成了虚假或误导性表述。

基于8项FTC所指控的违规行为，FTC认为Facebook构成了不正当、欺骗性行为，违反了《联邦贸易委员会法》的第5(a)条。

      不过Facebook将不会面临任何形式的财务处罚，但是协议要求Facebook在未来20年内保护用户隐私，以下是和解协议的一些细节规定：

◎禁止在用户的个人隐私信息和安全问题上进行虚假陈述；

◎在更改用户隐私的默认设置前要得到用户的明确同意；

◎禁止以任何手段在用户删除其账户或用户信息后访问其资料；

◎要求建立和维护一个考虑周全的隐私政策，以控制现有和未来产品可能会产生的隐私风险，保护用户隐私；

◎要求在未来20年内，每隔2年都要获得一个由第三方独立调查机构出示的证明，表示 Facekook遵循了FTC的隐私规定，保护了用户隐私。

      在看完书中一系列实际案例后，小编就放心多了，这么好的书长什么样子呢？

      来，揭开庐山真面目！

     《大数据时代：数据保护与流动规则》结合当前大数据发展浪潮新形势，在对大数据产业、应用、技术做概貌介绍的基础上，重点阐述国内外有关大数据发展的重要规则，包括在数据保护、数据交易、数据跨境流动、数据开放等方面的国家战略、立法、监管政策，既包括对规则的全面系统介绍，也包括国际上围绕相关规则的新发展动态，并能够落脚于国内大数据发展的需要，为企业开展大数据应用与商业实务提供可具操作性的合规指南，为政府等监管机构了解国外数据规则体系。旨在系统介绍当前数据保护的基本规则，并通过典型案例的方式，深入浅出地反映数据保护法律原理与具体规范，是企业开展大数据应用与商业实务的可操作性合规指南。

书号：978-7-115-43919-2

日期：2017年3月

开本：小16开

定价：89元

作者

王融

腾讯研究院资深专家

长期从事电信、互联网立法与监管政策研究。曾任中国信息通信研究院互联网法律中心副主任，多次主持部级研究课题，出版著作六部（合著），发表论文等五十余篇。近年来主要研究方向为个人数据保护法、网络信息安全法。 

瞄准下方任意二维码，即可优惠购买此书！

图书出版投稿、合作电话和邮箱

唐老师

010-81055448

tmw@bjxintong.com.cn

文中部分图片来源于网络