这篇文章也是由 克里斯托弗·克瓦利纳, 艾米·S·穆沙赫瓦尔弗雷德里克·拉(Frederick Lah).

On December 1, 2010 the FTC released its 长-awaited 瞬息万变的时代保护消费者隐私。这份123页的初步工作人员报告提出了美国隐私法的巨变。美国联邦贸易委员会(FTC)在2011年1月31日之前接受对此报告的评论。

FTC在报告中提议对美国隐私法的框架进行重大修改,直言不讳地指出,“工业必须做得更好。”

  • 美国联邦贸易委员会说,事先知情同意是行不通的。人们不阅读或不理解现在所写的隐私声明。委员会’我认为隐私政策已经成为“long” and “incomprehensible”.
  • 该报告说,等待伤害伤害消费者并不是实施隐私规范的有效方法。传统上,伤害是指经济或人身伤害。根据该报告,隐私损害包括名誉损害,甚至包括拥有一个人的情感损害。’s information “out there,” and/or “害怕被监视”。美国联邦贸易委员会说,新框架必须解决和缓解这些焦虑。但是,专员之间存在一些分歧。专员J. Thomas Rosch表示同意“委员会可以超越界限”在评估消费者伤害时是否要开始分析这些更加无形的危害。
  • 根据该报告,行业自我监管太少,太迟,并且未能提供足够的有意义的保护。

该报告还挑战了我们如何看待数据隐私和安全性的许多假设。

  • 美国联邦贸易委员会(FTC)对声称不需要保护身份标识的信息提出了严重怀疑,理由是可以通过多种实例和方法从不包含姓名(即IP地址或IP地址)的数据中剔除个人身份信息(“ PII”)。其他唯一标识符)。 FTC得出结论,PII与非PII之间的区别是“相关性下降”。因此,该报告的范围非常广泛,适用于“收集或使用可以合理链接到特定消费者,计算机或其他设备的消费者数据的所有商业实体。”
  • 该报告旨在应用于在线和离线世界,而不仅限于直接与消费者合作的公司。
  • 美国联邦贸易委员会(FTC)建议,必须让消费者了解并同意将信息向非关联企业继续转移,无论其行业如何,都应普及消费者通知要求,该要求迄今为止仅适用于某些高度管制的行业(例如,电信,教育,医疗保健,金融服务)或某些类型的高度敏感数据(例如,信用报告信息,银行帐户信息)。
  • 该报告区分了“公认的数据惯例”以及所有其他数据实践。从GLBA和HIPAA借用的常见做法,例如使用数据来协助执法或响应司法程序或防止欺诈,不需要通知或征得消费者同意。所有其他数据惯例都需要以易于阅读和理解的形式进行通知和同意,理想情况下应在消费者输入其个人数据时提供给消费者。行为广告和深度包检查明确指定为not“公认的数据惯例”。此外,联邦贸易委员会(FTC)建议在对公司实施任何重大变更之前先征得同意’适用于根据先前政策收集的数据的隐私政策。
  • 该报告建议,为了促进自由竞争的市场,公司的隐私惯例需要对消费者更加透明,并且公司应为消费者提供“reasonable access” to their data.
  • 根据报告,适当的数据保留期应为法律要求。该报告中的地理位置数据对于逐步淘汰尤为重要。
  • 该报告还赞同“Do Not Track”机制,请注意,这种机制比“国家禁止致电”注册机构要复杂得多。美国联邦贸易委员会(FTC)支持立法或自我监管,以开发一种系统,使消费者可以选择不“tracked.”美国联邦贸易委员会表示“tracking” and “interest-based”广告。而且,在有关该报告的后续讨论中,FTC表示它将比第三方广告服务器更优惠地对待第一方广告。美国联邦贸易委员会(FTC)尚未决定创建此类注册表的技术机制,但已提出一种浏览器级别的解决方案,该解决方案类似于Firefox浏览器上的隐私插件或Google Chrome中的隐身模式。对于开发的任何浏览器隐私插件/模式,FTC均未表示加入还是退出是默认浏览器设置。

那么企业应该怎么做?

首先,公司应仔细审查报告以及附录A中公开征询公众意见的50多个问题(在专员不同意声明中还存在其他问题)。

其次,公司应强烈考虑对报告发表评论。根据我们的经验,FTC将倾听并经常解决业务问题,但必须听取它们。行业协会可能是一个很好的起点,但也要考虑贵公司可能面临的应解决的独特问题。

第三,现在是公司撤回考虑其隐私计划以及将隐私纳入其日常业务实践的程度的好时机。报告建议每家公司都应采用“privacy by design,” “将隐私保护纳入日常业务实践中,” “在开发新产品和服务时,指派人员监督隐私问题,对员工进行隐私问题培训,并进行隐私审查”.

美国联邦贸易委员会’完整的报告可用 这里.