2022年8月11日,联邦贸易委员会(“FTC”)宣布它的拟制定规则的预先通知(“ANPR”)就95个问题征求公众意见,这些问题集中在“商业监控和宽松的数据安全实践”造成的所谓危害上。ANPR还邀请各方就是否需要根据《联邦贸易委员会法案》第18条制定新的贸易监管规则或其他监管替代方案来保护消费者的隐私和信息提出意见。美国联邦贸易委员会表示,ANPR旨在征求“对所有潜在规则的意见,包括目前在外国司法管辖区、美国个别州和其他法律管辖区生效的规则”。联邦贸易委员会最终可能决定根本不追求规则,追求单一的规则制定程序,或追求针对某些ANPR主题的多项规则制定。ANPR是在联邦公报上发表2022年8月22日,并在2022年10月21日的60天内结束评议期。
在本数据博客系列中,我们将探讨联邦贸易委员会的ANPR,因为它涉及四个领域:第一部分将提供当前ANPR的背景,以及联邦贸易委员会根据《联邦贸易委员会法案》第18条制定规则的方法的背景;第二部分将关注隐私;第3部分:数据安全;第四部分关于人工智能、算法和辨别。
司法问题和感知的消费者损害
ANPR强烈表明,联邦贸易委员会将继续广泛解释其管辖权,以解决潜在的消费者损害,并且规则制定可能扩展到联邦贸易委员会拥有管辖权的所有实体。尽管联邦贸易委员会声称对几乎所有经济部门拥有广泛的管辖权,但该机构的管辖权受到某些法定限制。从广义上讲,联邦贸易委员会通过《联邦贸易委员会法案》对任何影响商业的商业企业拥有管辖权,但有某些豁免,包括银行、储蓄和贷款机构、联邦信用合作社、某些非营利组织和某些公共承运人。“保险业务”也不受公平贸易委员会的管辖。
根据联邦贸易委员会的说法,潜在的消费者伤害包括身体安全、经济伤害、心理伤害、声誉损害和不必要的入侵。ANPR强调了隐私和安全领域,联邦贸易委员会认为,在这些领域需要制定贸易监管规则,以遏制《联邦贸易委员会法》第5节所指的“不公平或欺骗性行为或做法”。联邦贸易委员会还发布了一份商业监察及资料保安简介该公司简要概述了其对商业监控的担忧,包括数据安全松懈、对儿童的伤害、报复、监控蠕变、算法和数据集的不准确、偏见和歧视,以及黑暗模式。
联邦贸易委员会于2021年底预览了ANPR,它对联邦贸易委员会在隐私和安全执法行动中确定的许多主题进行了回应和扩展。ANPR强调,宽松的数据安全措施和有害的商业监控做法影响了不同部门(如卫生、金融、就业)或互联网经济的不同“堆栈”的不同类型的消费者(如年轻人、工人、妇女、家庭暴力受害者、少数族裔等)。ANPR提出了以下问题:(a)潜在的新贸易监管规则应如何解决对不同部门的不同消费者的损害,(b)对于任何给定的损害,综合监管方法在多大程度上优于部门监管方法,以及(c)是否应明确限制或禁止任何商业监督做法。
ANPR概述
委员会以3比2的投票通过在联邦公报上公布ANPR。椅子汗,专员丽贝卡·凯利·斯劳特,阿尔瓦罗·贝多亚专员投票支持ANPR并发表了单独的声明。委员诺亚·约书亚·菲利普斯而且克里斯汀·s·威尔逊投了反对票,并发表了强烈的反对声明。阿尔瓦罗·m·贝多亚委员公开承认关于ANPR的声明如果国会通过了《美国数据隐私与保护法案》(ADPPA),他将不会投票支持任何与该法案重叠的规定。汗主席和斯劳特专员也表达了对ADPPA的支持。
在ANPR中,联邦贸易委员会提出了95个问题,并邀请公众就以下问题发表意见:(a)联邦贸易委员会所称的“有害商业监视和松懈的数据安全做法”的性质和普遍程度,(b)这种做法对消费者和竞争的成本和抵消收益的平衡,以及任何给定的潜在贸易监管规则的成本和收益,以及(c)保护消费者免受“有害和普遍的商业监视和松懈的数据安全做法”的建议。ANPR定义了关键术语,包括:
- ”数据安全,指的是"减少违约风险、数据管理和保留、尽量减少数据以及违约通知和披露做法";
- ”商业监视指的是“消费者数据及其直接衍生品的收集、汇总、分析、保留、转移或货币化”。联邦贸易委员会解释说,这些数据包括消费者主动提供的信息(例如,当他们肯定地注册一项服务或进行购买时),以及更广泛的个人标识符类别和公司收集的其他信息(例如,当消费者随意浏览网页或打开一个应用程序时);而且
- ”消费者,其中包括企业和工人,而不仅仅是为零售商品和服务购买或交换数据的个人。
正如联邦贸易委员会所断言的那样,“他的ANPR只暗示了潜在消费者伤害的一小部分”,但所选择的主题和小标题提供了联邦贸易委员会关注的焦点。ANPR的95个问题的主题和小标题是:
- 商业监控或松懈的安全措施在多大程度上伤害了消费者?
- 商业监控或松懈的数据安全措施在多大程度上伤害了儿童,包括青少年?
- 佣金如何平衡成本和收益?
- 如果有的话,委员会应该如何监管普遍存在的有害商业监视或数据安全做法?
- 一般的规章
- 数据安全
- 消费者数据的收集、使用、保留和转移
- 自动决策系统
- 基于受保护类别的歧视
- 消费者同意
- 通知、透明度和披露
- 不透明的机制是什么?
- 谁应该管理通知或披露要求?
- 公司应该提供什么通知或披露什么?
- 补救措施
- 过时
联邦贸易委员会根据《联邦贸易委员会法》第18条制定规则的方法
正如我们所见以前讨论的在汗主席的领导下,美国联邦贸易委员会一直在努力扩大隐私和安全执法,以及潜在的监管。联邦贸易委员会将潜在的关于商业监视的贸易管制规则作为一项2022年监管议程并在它的规管优先次序声明于2021年12月出版。值得注意的是,在她在2022年IAPP全球隐私峰会上的讲话汗主席最近预示了这些潜在的“市场范围规则”的广泛性质,“可能有助于提供明确的通知,并使执法更具影响力和效率”。
自2021年4月败诉以来,FTC显然一直在寻求一种有效的隐私和安全违规执法机制AMG资本管理有限责任公司诉联邦贸易委员会在该案中,最高法院裁定,法院不能再对根据《联邦贸易委员会法案》第13(b)条提起的联邦贸易委员会案件给予金钱赔偿。重要的是,AMG的资本并不影响联邦贸易委员会在执行规则过程中获得民事处罚的能力。因此,联邦贸易委员会致力于“精简”其制定规则的权力,以解决某些隐私和安全实践,特别是在“贸易监管规则”方面。根据《联邦贸易委员会法案》第18条的规定FTC可规定“贸易监管规则”,意指“在法案第5(a)(1)条的意义内,具体界定商业中或影响商业的不公平或欺骗性行为或做法的规则”。在委员会颁布贸易规则后,任何违反规则的人“在实际知道或根据客观情况公平地暗示该行为是不公平的或具有欺骗性的,并且该规则禁止该行为”的情况下,对每次违规行为承担民事处罚责任。
虽然国会根据各种法律提供了制定规则的权力(例如,杯,GLBA),联邦贸易委员会执行《联邦贸易委员会法》第5条的规则制定权力基于《马格努森-莫斯法》(“麦格-莫斯法”)。正如我们所见之前解释在美国,联邦贸易委员会历史上一直回避第18条或“Mag-Moss”规则制定,因为其复杂而艰巨的程序过程。自1975年以来,联邦贸易委员会在magmoss流程下仅完成了7次规则制定工作,平均完成时间近6年。然而,随着我们也强调过,在2021年7月,联邦贸易委员会投票更新传统程序以实现“现代化”并加快未来的规则制定工作。
即使联邦贸易委员会最近对其规则实践进行了更改,magmoss的规则制定也是一项长期而具有挑战性的工作。随着ANPR的公布,联邦贸易委员会现在必须参与公众评论程序。委员会是举办公共论坛关于商业监控和数据安全的会议将于2022年9月8日(星期四)下午2点至7点半举行。欢迎公众人士参加。联邦贸易委员会还发布了一份公众参与第18条制定规则过程的资料简介.
如果联邦贸易委员会从ANPR阶段推进,委员会将发布一份拟议规则制定的通知,为此它必须再次征求公众意见。评议期至少为《联邦公报》公布后60天。然后,联邦贸易委员会需要公布最终规则,并接受豁免规则的请愿书。即使在那之后,任何人都可以在华盛顿上诉法院寻求对FTC最终规则的司法审查。在美国最高法院于2022年6月作出裁决后,规则制定的司法审查阶段通常变得更加重要西弗吉尼亚州诉环保局案,我们在这里讨论过。
结论
为了在任何新法规出台之前加强准备和合规计划,企业必须了解第18条规则制定过程,以及联邦贸易委员会如何在ANPR中解决商业监视和数据安全实践,以及其指导和执法行动。如上所述,本数据博客系列的第2部分将关注隐私,第3部分关注数据安全,第4部分关注人工智能、算法和歧视。
订阅数据博客,请点击这里.
作者要感谢Debevoise法律助理Lily Coad在Debevoise数据博客上所做的工作。
