美国联邦贸易委员会(FTC)周二提交了一份抱怨并提出决定与命令针对弗吉尼亚州的两家数据经纪人,指控他们非法跟踪和出售敏感的消费者位置数据。这些数据包括有关访问卫生相关设施和礼拜场所的信息,据称是在未获得可验证的用户同意的情况下收集并出售给政府和商业团体的,这违反了联邦贸易委员会法案。
一旦最终确定,该命令将具有法律效力,任何违规行为都可能导致每次违规最高 51,744 美元的民事处罚。联邦贸易委员会在其投诉中称,总部位于弗吉尼亚州的肉汁分析及其子公司,文特尔公司.,“声称每天‘收集、处理和管理’来自约 10 亿移动设备的超过 170 亿个信号。”
美国联邦贸易委员会指控这两家公司“违反了联邦贸易委员会法案,不公平地出售敏感的消费者位置数据,以及在未获得可验证的用户同意的情况下收集和使用消费者的位置数据用于商业和政府用途。”
Gravy Analytics 的网站称,它“尊重消费者隐私,并确保在敏感地点收集的位置数据不被使用、共享或转售。”
联邦贸易委员会的最新行动标志着该委员会针对数据经纪人不当处理敏感位置数据的第五次执法行动。此前针对涉及出售与敏感地点相关数据的类似违规行为(包括今年的两起)采取了行动科恰瓦,X模式,市场内和移动瓦拉。
美国联邦贸易委员会针对 Venntel 和 Gravy Analytics 的最新举措可能会加剧国会对政府从数据经纪人处购买消费者信息的不满。八月,生物识别更新 众议院通过了一项两党法案,禁止政府从数据经纪人和聚合商处购买美国人的个人身份信息。该立法将填补法律中数据经纪人的漏洞,该漏洞允许政府购买原本需要搜查令才能获得的数据。该法案是在数据经纪人国家公共数据将数以百万计的信息置于危险之中。
立法者和司法部 (DOJ) 还担心第三方数据经纪人和企业将其收集的数据出售给与俄罗斯、伊朗、中国和其他相关国家有联系的实体所构成的国家安全威胁。这些数据经纪人是司法部于 10 月发布的规则将禁止他们将收集的数据出售给与司法部在规则中指定的国家有联系的任何实体。
司法部于 10 月公布了最终拟议规则,以执行乔·拜登总统 2 月 28 日的行政命令,防止相关国家访问美国人的大量敏感个人数据和美国政府相关数据。
根据 FTC 的最新投诉,Gravy Analytics 在得知消费者未提供知情同意后继续使用消费者的位置数据。美国联邦贸易委员会称,Gravy Analytics 还不公平地出售源自消费者位置数据的敏感特征,例如健康或医疗决策、政治活动和宗教观点。
FTC 提出的三项指控指控称,两家公司不公平地出售敏感位置数据以及在未经同意验证的情况下不公平地收集、使用和传输消费者位置数据,违反了 FTC 法案第 5(a) 条,而 Gravy Analytics 则不公平地出售从位置数据得出的有关消费者敏感特征的推论,违反了 FTC 法案第 5 条。
2022 年 7 月,美国公民自由联盟 (ACLU) 发布了数千页的之前未公开的唱片关于海关和边境保护局、移民和海关执法局以及国土安全部的其他机构如何“通过购买和使用从智能手机应用程序中悄悄提取的大量人们的手机位置信息,规避第四修正案反对政府不合理搜查和扣押的权利”,作者:Venntel 和 Babel Street。
四年前,最高法院作出裁决卡彭特诉美国 政府需要获得授权才能从移动服务提供商处获取一个人的手机位置历史记录,因为这些记录可能会泄露“生活隐私”。
ACLU 表示,“在我们收到的文件中……我们发现 Venntel 发送给 DHS 的营销材料解释了该公司如何每天从超过 2.5 亿部手机和其他移动设备收集超过 150 亿个位置点。”
作为 FTC 拟议和解协议的一部分,Gravy Analytics 和 Venntel 将被禁止在任何产品或服务中出售、披露或使用敏感位置数据。他们还需要建立敏感位置数据计划,以防止此类数据的进一步滥用。
联邦贸易委员会消费者保护局局长塞缪尔·莱文强调了这些公司做法的更广泛影响,他表示,“数据经纪人的秘密监视破坏了我们的公民自由,并使军人、工会工人、宗教少数群体和其他人面临风险。这是联邦贸易委员会今年针对出售敏感位置数据发起的第四次行动,该行业现在已经是认真保护美国人隐私的时候了。”
“你可能对 Gravy Analytics 一无所知,但 Gravy Analytics 可能对你相当了解,”委员 Alvaro M. Bedoya、主席 Lina M. Khan 和委员 Rebecca Kelly Slaughter 在一份联合声明中表示。
委员会称,Gravy Analytics 向个人消费者附加了 1,100 个标签,以便将他们的捆绑数据出售给私营公司以进行定向广告,或者更好地了解公司要求提供数据的任何特定个人的“角色”。根据我们的投诉,受访者积极鼓励他们的客户使用他们出售的数据来识别个人。”
委员们在声明中表示,手机数据可以判断一个人何时在麦当劳吃过早餐、购买了 CBD 油、是共和党人还是民主党人、购买了内衣、怀孕了、全职父母、“蓝领 X 一代父母”或“最近正在研究医疗保险的高尔夫爱好者”。
诉状称,“Venntel 告诉潜在客户,‘位置数据使我们能够在现实生活中深入了解设备用户的生活模式 (POL)、访问过的位置以及已知的同事。” Venntel 进一步解释说,通过对“VIP 设备”进行 90 天的跟踪,该公司能够识别该设备用户的“就寝位置、工作位置以及对……美国政府大楼的访问情况”。
“此外,”投诉指出,“在‘快速指南在其一项服务的文件中,Venntel 指出,设备在晚上的位置将向客户显示消费者何时在“家里、健身房、夜校等”。事实上,公司和其他实体正在使用精确的地理位置数据来识别消费者及其活动。”
联邦贸易委员会投诉称,“在一个广为人知的例子中,一群人使用精确的移动地理定位数据来识别一位访问过 LGBTQ+ 相关地点的天主教牧师的姓名,从而暴露了该牧师的性取向并迫使他辞职。另一个例子是,从数据经纪人那里购买了精确移动地理定位的记者能够随着时间的推移跟踪消费者,从而识别出一些消费者的身份,包括军事官员、执法人员和其他人。记者能够通过姓名识别出其中一个人的身份。” (并证实了她的身份)被追踪到正在教堂参加祈祷仪式。”
FTC 声称,这两家弗吉尼亚公司每天从大约 10 亿台移动设备收集超过 170 亿个位置信号。该委员会非匿名表示,“这些信号可用于识别个人消费者。据报道,Gravy Analytics 采用地理围栏技术来跟踪访问与敏感活动(包括医疗活动和宗教活动)相关地点的用户。”
联邦贸易委员会对这些做法对消费者造成的潜在伤害表示担忧,包括耻辱、歧视和暴力的风险。联邦贸易委员会表示,源自位置数据的敏感特征可能会让用户遭受各种形式的伤害,特别是在用户不知情或未经同意的情况下共享这些特征。
根据 FTC 提议的决定和命令(有 30 天的公众意见征询期),这些公司将面临销售、转让或披露敏感位置数据的严格禁止,涉及国家安全或执法的情况除外。两家公司还需要实施一项计划,以确定和保护敏感地点,包括医疗设施、礼拜场所、学校、惩教设施和弱势群体庇护所。
此外,Gravy Analytics 和 Venntel 将被要求删除所有历史位置数据以及从该数据派生的任何产品,除非他们能够确保信息被去识别化或呈现为非敏感信息。
和解协议还要求两家公司告知过去三年内收到敏感位置数据的客户,他们有义务删除或取消识别这些数据。此外,这些公司必须建立供应商评估计划,以验证消费者是否同意收集和使用精确位置数据,并禁止歪曲其数据实践,包括审查同意框架合规性的程度,并确保数据去识别化。
FTC 以 5 比 0 的一致投票结果发出行政申诉并批准拟议的同意协议。委员贝多亚、汗、斯劳特、克里斯汀·威尔逊和安德鲁·弗格森发表声明支持这一行动,其中一些还附有补充评论。
拟议的同意令将在联邦公报征求公众意见,允许利益相关者在 FTC 决定是否最终敲定协议之前 30 天提交反馈。一个分析以帮助公众评论将伴随联邦公报注意。
文章主题
||||||||
