美國聯邦貿易委員會(FTC)週二提交了一份抱怨並提出決定與命令針對維吉尼亞州的兩家數據經紀人,指控他們非法追蹤和出售敏感的消費者位置數據。這些數據包括有關訪問衛生相關設施和禮拜場所的信息,據稱是在未獲得可驗證的用戶同意的情況下收集並出售給政府和商業團體的,這違反了聯邦貿易委員會法案。
一旦最終確定,該命令將具有法律效力,任何違規行為都可能導致每次違規最高 51,744 美元的民事處罰。聯邦貿易委員會在其投訴中稱,總部位於維吉尼亞州的肉汁分析及其子公司,文特爾公司.,“聲稱每天‘收集、處理和管理’來自約 10 億移動設備的超過 170 億個信號。”
美國聯邦貿易委員會指控這兩家公司「違反了聯邦貿易委員會法案,不公平地出售敏感的消費者位置數據,以及在未獲得可驗證的用戶同意的情況下收集和使用消費者的位置數據用於商業和政府用途。
Gravy Analytics 的網站稱,它“尊重消費者隱私,並確保在敏感地點收集的位置數據不被使用、共享或轉售。”
聯邦貿易委員會的最新行動標誌著該委員會針對資料經紀人不當處理敏感位置資料的第五次執法行動。先前針對涉及出售與敏感地點相關數據的類似違規行為(包括今年的兩起)採取了行動科恰瓦,X模式,市場內和移動瓦拉。
美國聯邦貿易委員會針對 Venntel 和 Gravy Analytics 的最新舉措可能會加劇國會對政府從數據經紀人購買消費者資訊的不滿。八月,生物辨識更新 眾議院通過了一項兩黨法案,禁止政府從數據經紀人和聚合商購買美國人的個人識別資訊。該法案將填補法律中資料經紀人的漏洞,該漏洞允許政府購買原本需要搜索令才能獲得的資料。該法案是在資料經紀人國家公共資料將數以百萬計的資訊置於危險之中。
立法者和司法部 (DOJ) 也擔心第三方資料經紀人和企業將其收集的資料出售給與俄羅斯、伊朗、中國和其他相關國家有聯繫的實體所構成的國家安全威脅。這些數據經紀人是司法部於 10 月發布的規則將禁止他們將收集的資料出售給與司法部在規則中指定的國家有聯繫的任何實體。
司法部於 10 月公佈了最終擬議規則,以執行喬·拜登總統 2 月 28 日的行政命令,防止相關國家存取美國人的大量敏感個人資料和美國政府相關數據。
根據 FTC 的最新投訴,Gravy Analytics 在得知消費者未提供知情同意後繼續使用消費者的位置資料。美國聯邦貿易委員會稱,Gravy Analytics 還不公平地出售源自消費者位置資料的敏感特徵,例如健康或醫療決策、政治活動和宗教觀點。
FTC 提出的三項指控指控兩家公司違反了FTC 法案第5(a) 條,不公平地出售敏感位置數據以及在未經同意驗證的情況下不公平地收集、使用和傳輸消費者位置數據,而Gravy Analytics 違反了第5 條透過不公平地出售從位置資料得出的有關消費者敏感特徵的推論,違反了《聯邦貿易委員會法案》。
2022 年 7 月,美國公民自由聯盟 (ACLU) 發布了數千頁的之前未公開的唱片關於海關和邊境保護局、移民和海關執法局以及國土安全部的其他機構如何通過購買和使用大量人們的手機位置信息來“迴避第四修正案反對政府不合理搜查和扣押的權利” Venntel 和Babel Street 悄悄地從智慧型手機應用程式中提取出來。
四年前,最高法院作出裁決卡彭特訴美國 政府需要獲得授權才能從行動服務提供者取得一個人的手機位置歷史記錄,因為這些記錄可能會洩露「生活隱私」。
ACLU 表示,“在我們收到的文件中……我們發現 Venntel 發送給 DHS 的營銷材料解釋了該公司如何每天從超過 2.5 億部手機和其他移動設備收集超過 150 億個位置點。”
作為 FTC 擬議和解協議的一部分,Gravy Analytics 和 Venntel 將被禁止在任何產品或服務中出售、揭露或使用敏感位置資料。他們還需要建立敏感位置資料計劃,以防止此類資料的進一步濫用。
美國聯邦貿易委員會消費者保護局局長塞繆爾·萊文強調了這些公司做法的更廣泛影響,他表示:「數據經紀人的秘密監視破壞了我們的公民自由,並使軍人、工會工人、宗教少數群體和其他人面臨風險。這是聯邦貿易委員會今年針對出售敏感位置數據的第四次行動,該行業現在已經是認真保護美國人隱私的時候了。
「你可能對 Gravy Analytics 一無所知,但 Gravy Analytics 可能對你相當了解,」委員 Alvaro M. Bedoya、主席 Lina M. Khan 和委員 Rebecca Kelly Slaughter 在一份聯合聲明中表示。
委員聲稱,Gravy Analytics 向個人消費者附加了 1,100 個標籤,以便將其捆綁數據出售給私人公司以進行定向廣告,或更好地了解公司要求其提供數據的任何特定個人的「角色」。根據我們的投訴,受訪者積極鼓勵他們的客戶使用他們出售的數據來識別個人。
委員們在聲明中表示,手機數據可以判斷一個人何時在麥當勞吃早餐、購買 CBD 油、是共和黨人還是民主黨人、購買內衣、懷孕、全職父母、“藍領” X 世代父母”或“最近正在研究醫療保險的高爾夫愛好者」。
訴狀稱,“Venntel 告訴潛在客戶,‘位置數據使我們能夠在現實生活中深入了解設備用戶的生活模式 (POL)、訪問過的位置以及已知的同事。” Venntel 進一步解釋說,透過對「VIP 設備」進行 90 天的跟踪,該公司能夠識別該設備用戶的「就寢位置、工作位置以及對…美國政府大樓的訪問情況」。
“此外,”投訴指出,“在‘快速指南在其一項服務的文件中,Venntel 指出,設備在晚上的位置將向客戶顯示消費者何時在「家中、健身房、夜校等」。事實上,公司和其他實體正在使用精確的地理位置數據來識別消費者及其活動。
FTC 投訴稱,「在一個廣為人知的例子中,一個組織使用精確的行動地理定位數據來識別一位曾造訪 LGBTQ+ 相關地點的天主教牧師的姓名,從而暴露了該牧師的性取向並迫使他辭職。另一個例子是,從數據經紀人那裡購買了精確的行動地理定位的記者能夠隨著時間的推移追蹤消費者,從而識別出一些消費者,包括軍事官員、執法人員和其他人。記者能夠透過姓名(並確認了她的身份)確認身份的一個人被追蹤到正在教堂參加祈禱儀式。
FTC 聲稱,這兩家維吉尼亞公司每天從約 10 億台行動裝置收集超過 170 億個位置訊號。該委員會非匿名表示,「這些訊號可用於識別個人消費者。據報道,Gravy Analytics 採用地理圍欄技術來追蹤用戶訪問與敏感活動相關的地點,包括醫療活動和宗教活動。
聯邦貿易委員會對這些做法對消費者造成的潛在傷害表示擔憂,包括恥辱、歧視和暴力的風險。聯邦貿易委員會表示,源自位置資料的敏感特徵可能會讓用戶遭受各種形式的傷害,特別是在用戶不知情或未經同意的情況下共享這些特徵。
根據 FTC 提議的決定和命令(有 30 天的公眾意見徵詢期),這些公司將面臨銷售、轉讓或披露敏感位置資料的嚴格禁止,涉及國家安全或執法的情況除外。兩家公司還需要實施一項計劃,以確定和保護敏感地點,包括醫療設施、禮拜場所、學校、懲教設施和弱勢群體庇護所。
此外,Gravy Analytics 和 Venntel 將被要求刪除所有歷史位置資料以及從該資料派生的任何產品,除非他們能夠確保資訊被去識別化或呈現為非敏感資訊。
和解協議還要求兩家公司告知過去三年內收到敏感位置資料的客戶,他們有義務刪除或取消識別這些資料。此外,這些公司必須建立供應商評估計劃,以核實消費者是否同意收集和使用精確位置數據,並禁止歪曲其數據實踐,包括審查同意框架合規性的程度,並確保數據去識別化。
FTC 以 5 比 0 的一致投票結果發出行政申訴並批准擬議的同意協議。委員貝多亞、汗、斯勞特、克里斯汀威爾遜和安德魯弗格森發表聲明支持這項行動,其中一些還附有補充評論。
擬議的同意令將在聯邦公報徵求公眾意見,允許利害關係人在 FTC 決定是否最終敲定協議之前 30 天提交回饋。一個分析以幫助公眾評論將伴隨聯邦公報注意。
文章主題
||||||
