第三巡回上诉温德姆(第二部分):在网络安全背景下,“欺骗性”也是“不公平”的

第I部分,我们讨论了第三巡回上诉法院的裁决,即联邦贸易委员会法案的“不公平”方面不要求该机构提供特定的网络安全标准。可确定的确定性“公司必须符合。在第二部分,我们讨论了FTC禁止“欺骗性”行为和不公平的网络安全行为之间的相互作用。

长期以来,联邦贸易委员会一直将其“欺骗性行为”的执法权用于监督可能误导消费者的陈述、遗漏或做法,[1]和其“不公平行为”的执法权用于监督可能伤害消费者的行为,但这是消费者自己无法合理避免的。[2]在网络安全方面,第三巡回法院在联邦贸易委员会诉温德姆环球公司案通过明确地将据称的百分比与隐私政策明确联系起来的问题,说明了欺骗和不公平之间的“频繁重叠”。因此,公司应该在隐私政策,使用条款和其他面向消费者的陈述中进行认真关注,以证实这些陈述密切符合实际的内部商业惯例。

背景

正如我们上次报道的,在2008年和2009年的三个不同场合,据称,黑客从温德姆酒店的公司网络和一些独立酒店的物业管理系统中获取并窃取了超过61.9万名温德姆酒店客人的支付款卡信息(据报道造成了约1060万美元的欺诈性收费)。

联邦贸易委员会提出了一个执法行动根据FTC法案第5条的不公平叉,声称Wyndham的数据安全实践“不合理地和不必要地”暴露了消费者的个人数据,以未经授权的访问和盗窃。(见我们的讨论第I部分)。联邦贸易委员会的指控还对温德姆集团提出了欺诈指控,称其在线隐私政策的误导性陈述至少可以追溯到2008年。涉及争议的声明包括温德姆的陈述,称其通过“行业标准做法”和“商业上合理的努力”保护客户信息,比如“128位加密”、“防火墙”和“其他适当的防护措施”。然而,根据联邦贸易委员会的说法,温德姆没有使用加密、防火墙和其他一系列据称在商业上合理的方法来保护消费者数据。地方法院允许联邦贸易委员会的欺诈指控和不公平指控,继续通过温德姆驳回的动议。

隐私政策“直接相关”到不公平的网络安全实践

虽然FTC的欺骗性做法没有直接考虑上诉,但是据称欺骗性隐私政策陈述被出现为肯定地区法院否认本公司试图驳回的关键因素不公平索赔。[3]

首先,当公司断言这一行为时,第三次电路转动了Wyndham对它的论据,如果它是“不公平的”,如果它是“不公平的”或“不公平的”或“不公平”,偏袒或欺骗。“The Court roundly rejected Wyndham’s position, noting that a company does not act equitably when it “publishes a privacy policy to attract customers who are concerned about data privacy, fails to make good on that promise by investing inadequate resources in cybersecurity, exposes its unsuspecting customers to substantial financial injury, and retains the profits of their business.”

其次,法院指出,“FTC法”规定了不公平实践的成本福利框架,其中不公平的做法由可能导致大量伤害的人(i)(ii)消费者自己不合理地避免(III)并非违反反补贴福利的胜利。然后它记得FTC的论点,即“由于Wyndham发表了一种夸大其网络安全的误导性隐私政策,”消费者无法合理地避免受到伤害。“发现它是合理的 - 在诉讼中,在这个阶段撤消的动议 - 消费者被温德姆的隐私政策误导,第三次电路认为公司的行为是不公平的“直接相关”政策。

结论

联邦贸易委员会利用第5条来监管面向消费者的陈述中的虚假陈述或遗漏,这已经不是什么新鲜事了。到目前为止,联邦贸易委员会已经获得了50多个网络安全同意法令,以及数百个联邦贸易委员会的其他消费者保护行动,其中最显著的是在广告和营销环境中,欺骗指控是标准内容。最近的一个例子是FTC的蔑视动作根据FTC和35州律师将军未能遵守其2010年同意法令未能遵守救生仪。涉嫌违法行为是歪曲,公司通过提供警报“一旦”收到问题的迹象,并未能维持全面的信息安全计划来保护客户的个人信息,以保护消费者的身份。

第三巡回上诉法院的意见是一个明确的信息,即企业应该期待他们面对消费者的声明(例如,将对准确度进行测试,隐私政策,使用条款,广告等)将进行测试公平。公司应保持警惕,立即考虑以下事项:

  • 关于安全,你应该公开说明什么(以及说明多少)?决定关于计划、协议、流程和工具的详细说明是否必要,并产生业务价值。避免夸大您的安全实践,或暗示要全面应用高级别的安全,而实际上它只应用于数据集的某些部分。慎重考虑两者之间的界限透明度这向客户提供了收集,使用,共享,存储和传输数据的方式,以及含糊的语言或口头语,比如“行业标准的安全”、“银行级别的加密”或“我们尽我们所能保护你的数据”,这些可能会让一家公司陷入困境。
  • 你如何(以及多久)测试你的公开声明?所有面向消费者的陈述应每年审计不低于两倍。应通过设计新产品或服务将部署新产品或服务,加快评论作为隐私式流程的一部分。并始终包括IT / INFOSEC团队在审查和批准所有与隐私和法律团队中的所有安全相关的陈述。
  • 合理的安全免责声明是合适的吗?鉴于经常转向网络威胁景观,几乎任何关于安全的保证易于审查。这就是为什么许多公司包括毯子免责声明,通知消费者可能会发生安全措施,不时不可用,甚至被复杂的演员规避(例如,“我们不能保证100%的安全性,没有任何安全性是失败证明的”)。需要有能力的判断来达到一个深思熟虑的平衡:免责声明语言可能提供的任何法律利益,都应该与被视为将风险转移给消费者的公关/业务影响进行权衡。
    ________________________________________
    [1]看到联邦贸易委员会关于欺骗的政策声明,附于Cliffdale Associates,Inc。,103 f.t.c.110,174(1984)。
    [2]看到15 U.S.C.§45(n)。
    [3]中国英语学习网为支持不能完全“理清”FTC的欺骗和不公平理论,第三巡回上诉法院引用了FTC在一系列行政裁决中“将欺骗描述为不公平的一个子集”的例子。