美國聯邦貿易委員會(FTC)週二提交了一份抱怨並提出決定與命令針對弗吉尼亞州的兩家數據經紀人,指控他們非法跟踪和出售敏感的消費者位置數據。這些數據包括有關訪問衛生相關設施和禮拜場所的信息,據稱是在未獲得可驗證的用戶同意的情況下收集並出售給政府和商業團體的,這違反了聯邦貿易委員會法案。
一旦最終確定,該命令將具有法律效力,任何違規行為都可能導致每次違規最高 51,744 美元的民事處罰。聯邦貿易委員會在其投訴中稱,總部位於弗吉尼亞州的肉汁分析及其子公司,文特爾公司.,“聲稱每天‘收集、處理和管理’來自約 10 億移動設備的超過 170 億個信號。”
美國聯邦貿易委員會指控這兩家公司“違反了聯邦貿易委員會法案,不公平地出售敏感的消費者位置數據,以及在未獲得可驗證的用戶同意的情況下收集和使用消費者的位置數據用於商業和政府用途。”
Gravy Analytics 的網站稱,它“尊重消費者隱私,並確保在敏感地點收集的位置數據不被使用、共享或轉售。”
聯邦貿易委員會的最新行動標誌著該委員會針對數據經紀人不當處理敏感位置數據的第五次執法行動。此前針對涉及出售與敏感地點相關數據的類似違規行為(包括今年的兩起)採取了行動科恰瓦,X模式,市場內和移動瓦拉。
美國聯邦貿易委員會針對 Venntel 和 Gravy Analytics 的最新舉措可能會加劇國會對政府從數據經紀人處購買消費者信息的不滿。八月,生物識別更新 眾議院通過了一項兩黨法案,禁止政府從數據經紀人和聚合商處購買美國人的個人身份信息。該立法將填補法律中數據經紀人的漏洞,該漏洞允許政府購買原本需要搜查令才能獲得的數據。該法案是在數據經紀人國家公共數據將數以百萬計的信息置於危險之中。
立法者和司法部 (DOJ) 還擔心第三方數據經紀人和企業將其收集的數據出售給與俄羅斯、伊朗、中國和其他相關國家有聯繫的實體所構成的國家安全威脅。這些數據經紀人是司法部於 10 月發布的規則將禁止他們將收集的數據出售給與司法部在規則中指定的國家有聯繫的任何實體。
司法部於 10 月公佈了最終擬議規則,以執行喬·拜登總統 2 月 28 日的行政命令,防止相關國家訪問美國人的大量敏感個人數據和美國政府相關數據。
根據 FTC 的最新投訴,Gravy Analytics 在得知消費者未提供知情同意後繼續使用消費者的位置數據。美國聯邦貿易委員會稱,Gravy Analytics 還不公平地出售源自消費者位置數據的敏感特徵,例如健康或醫療決策、政治活動和宗教觀點。
FTC 提出的三項指控指控稱,兩家公司不公平地出售敏感位置數據以及在未經同意驗證的情況下不公平地收集、使用和傳輸消費者位置數據,違反了 FTC 法案第 5(a) 條,而 Gravy Analytics 則不公平地出售從位置數據得出的有關消費者敏感特徵的推論,違反了 FTC 法案第 5 條。
2022 年 7 月,美國公民自由聯盟 (ACLU) 發布了數千頁的之前未公開的唱片關於海關和邊境保護局、移民和海關執法局以及國土安全部的其他機構如何“通過購買和使用從智能手機應用程序中悄悄提取的大量人們的手機位置信息,規避第四修正案反對政府不合理搜查和扣押的權利”,作者:Venntel 和 Babel Street。
四年前,最高法院作出裁決卡彭特訴美國 政府需要獲得授權才能從移動服務提供商處獲取一個人的手機位置歷史記錄,因為這些記錄可能會洩露“生活隱私”。
ACLU 表示,“在我們收到的文件中……我們發現 Venntel 發送給 DHS 的營銷材料解釋了該公司如何每天從超過 2.5 億部手機和其他移動設備收集超過 150 億個位置點。”
作為 FTC 擬議和解協議的一部分,Gravy Analytics 和 Venntel 將被禁止在任何產品或服務中出售、披露或使用敏感位置數據。他們還需要建立敏感位置數據計劃,以防止此類數據的進一步濫用。
聯邦貿易委員會消費者保護局局長塞繆爾·萊文強調了這些公司做法的更廣泛影響,他表示,“數據經紀人的秘密監視破壞了我們的公民自由,並使軍人、工會工人、宗教少數群體和其他人面臨風險。這是聯邦貿易委員會今年針對出售敏感位置數據發起的第四次行動,該行業現在已經是認真保護美國人隱私的時候了。”
“你可能對 Gravy Analytics 一無所知,但 Gravy Analytics 可能對你相當了解,”委員 Alvaro M. Bedoya、主席 Lina M. Khan 和委員 Rebecca Kelly Slaughter 在一份聯合聲明中表示。
委員會稱,Gravy Analytics 向個人消費者附加了 1,100 個標籤,以便將他們的捆綁數據出售給私營公司以進行定向廣告,或者更好地了解公司要求提供數據的任何特定個人的“角色”。根據我們的投訴,受訪者積極鼓勵他們的客戶使用他們出售的數據來識別個人。 ”
委員們在聲明中表示,手機數據可以判斷一個人何時在麥當勞吃過早餐、購買了 CBD 油、是共和黨人還是民主黨人、購買了內衣、懷孕了、全職父母、“藍領 X 一代父母”或“最近正在研究醫療保險的高爾夫愛好者”。
訴狀稱,“Venntel 告訴潛在客戶,‘位置數據使我們能夠在現實生活中深入了解設備用戶的生活模式 (POL)、訪問過的位置以及已知的同事。” Venntel 進一步解釋說,通過對“VIP 設備”進行 90 天的跟踪,該公司能夠識別該設備用戶的“就寢位置、工作位置以及對……美國政府大樓的訪問情況”。
“此外,”投訴指出,“在‘快速指南在其一項服務的文件中,Venntel 指出,設備在晚上的位置將向客戶顯示消費者何時在“家裡、健身房、夜校等”。事實上,公司和其他實體正在使用精確的地理位置數據來識別消費者及其活動。 ”
聯邦貿易委員會投訴稱,“在一個廣為人知的例子中,一群人使用精確的移動地理定位數據來識別一位訪問過 LGBTQ+ 相關地點的天主教牧師的姓名,從而暴露了該牧師的性取向並迫使他辭職。另一個例子是,從數據經紀人那裡購買了精確移動地理定位的記者能夠隨著時間的推移跟踪消費者,從而識別出一些消費者的身份,包括軍事官員、執法人員和其他人。記者能夠通過姓名識別出其中一個人的身份。” (並證實了她的身份)被追踪到正在教堂參加祈禱儀式。 ”
FTC 聲稱,這兩家弗吉尼亞公司每天從大約 10 億台移動設備收集超過 170 億個位置信號。該委員會非匿名表示,“這些信號可用於識別個人消費者。據報導,Gravy Analytics 採用地理圍欄技術來跟踪訪問與敏感活動(包括醫療活動和宗教活動)相關地點的用戶。”
聯邦貿易委員會對這些做法對消費者造成的潛在傷害表示擔憂,包括恥辱、歧視和暴力的風險。聯邦貿易委員會表示,源自位置數據的敏感特徵可能會讓用戶遭受各種形式的傷害,特別是在用戶不知情或未經同意的情況下共享這些特徵。
根據 FTC 提議的決定和命令(有 30 天的公眾意見徵詢期),這些公司將面臨銷售、轉讓或披露敏感位置數據的嚴格禁止,涉及國家安全或執法的情況除外。兩家公司還需要實施一項計劃,以確定和保護敏感地點,包括醫療設施、禮拜場所、學校、懲教設施和弱勢群體庇護所。
此外,Gravy Analytics 和 Venntel 將被要求刪除所有歷史位置數據以及從該數據派生的任何產品,除非他們能夠確保信息被去識別化或呈現為非敏感信息。
和解協議還要求兩家公司告知過去三年內收到敏感位置數據的客戶,他們有義務刪除或取消識別這些數據。此外,這些公司必須建立供應商評估計劃,以驗證消費者是否同意收集和使用精確位置數據,並禁止歪曲其數據實踐,包括審查同意框架合規性的程度,並確保數據去識別化。
FTC 以 5 比 0 的一致投票結果發出行政申訴並批准擬議的同意協議。委員貝多亞、汗、斯勞特、克里斯汀·威爾遜和安德魯·弗格森發表聲明支持這一行動,其中一些還附有補充評論。
擬議的同意令將在聯邦公報徵求公眾意見,允許利益相關者在 FTC 決定是否最終敲定協議之前 30 天提交反饋。一個分析以輔助公眾評論將伴隨聯邦公報注意。
文章主題
||||||||
