联邦贸易委员会警告数据经纪人关于未经控制的原始位置数据销售

• 2024-10-30 15:02:10

联邦贸易委员会警告数据经纪人关于未控制的原始位置信息销售

发表于2024年2月7日，作者：Glyn Moody

几周前，我们提到了一项来自美国联邦贸易委员会FTC的重要命令。该命令为商业环境中的生物识别监控设定了最低隐私要求，并标志着FTC在这一领域扩展其活动的有趣举措。为了进一步确认这一点，FTC最近对销售敏感位置数据这一棘手问题发布了命令：

数据经纪人 XMode Social 及其继任者 Outlogic 将被禁止分享或出售任何敏感位置信息，以解决联邦贸易委员会对该公司销售精确位置信息的指控，这些数据可用于追踪个人访问信息，比如医疗和生育健康诊所、宗教场所和家庭暴力庇护所等敏感地点。

FTC的新闻稿解释说，XMode/Outlogic出售的原始位置信息与移动广告ID相关，后者是每个移动设备的唯一识别符。这些原始位置信息并未匿名化，因此可用于将个人消费者的移动设备与其访问过的地点进行匹配。一些公司甚至提供服务，帮助将这些数据与个人消费者进行匹配。

根据FTC的投诉，直到2023年5月，XMode/Outlogic并未制定任何政策来从其出售的原始位置信息中移除敏感地点。此外，FTC表示，该公司未采取合理或适当的保护措施，以防止其出售的精确位置信息被下游使用，从而使消费者的敏感个人信息面临风险。因此，FTC指出，这些位置信息“不仅侵犯了消费者的隐私，也使他们面临潜在的歧视、身体伤害、情感困扰及其他损害。” FTC主席Lina M Khan和两位委员的联合声明进一步表明了FTC对隐私问题的重视。在这份声明中，明显是对其他数据经纪人的警告：

此次行动表明，委员会拒绝了数据经纪行业普遍存在的假设，即模糊措辞的披露可以让公司自由使用或出售人们的敏感位置信息。

FTC将继续利用所有工具保护美国人免受恶劣的数据处理行为，包括非法追踪和使用他们的敏感信息。随着人工智能模型和算法决策的广泛应用进一步激励企业不断收集人们的个人数据，为如何追踪和使用敏感信息设定实质性限制至关重要。

另一位对此FTC举措发表意见的重要人物是美国参议员Ron Wyden。他一直在揭露美国情报机构的非法行为。他写道：

我感谢FTC采取果断行动，让这个阴暗的位置信息经纪人对其售卖美国人的位置信息负责。2020年，我发现该公司通过国防承包商向美国军事客户出售美国人的位置信息。虽然FTC的行动鼓舞人心，但该机构不应该只是在进行数据经纪人的“打地鼠”游戏。国会需要通过严格的隐私立法来保护美国人的个人信息，防止政府机构通过从数据经纪人那里购买数据来绕过法院。

正如Wyden所提到的，他是最早呼吁警惕允许数据经纪人出售美国公民智能手机位置信息的危险之一。在这个案例中，数据是被情报机构的军事部门国防情报局购买的。PIA博客在2021年时就对此事进行了报道。Wyden最近发布的最新信息显示，美国情报和执法机构正在购买可能敏感和揭示性的国内数据，这些数据在直接获取时需要法院命令，尤其是互联网元数据但不包括消息的实际内容。Wyden指出，元数据通常足够识别那些寻求自杀热线、性侵或家庭暴力幸存者热线帮助的人，或那些通过邮件订购堕胎药物的人。

Wyden接着写道，FTC对XMode/Outlogic的命令应作为美国情报界“急需的警示”。他要求未来情报机构只能购买符合FTC设定的合法数据销售标准的美国公民数据。这进一步表明，FTC及其政策正成为美国隐私保护的关键基准，填补了当前缺乏联邦隐私法所留下的空白。

值得注意的是，情报机构的隐私侵犯并非小问题，且可能带来深远的后果。例如，正如我们两年前所写，2013年爱德华斯诺登的揭露显示美国国家安全局可以访问欧盟公民的个人数据，得益于Prism计划，这导致隐私专家Max Schrems提出的投诉，涉及将其个人数据从欧盟转移到美国。最终，这导致欧盟最高法院欧洲联盟法院CJEU推翻了两个个人数据在EU与US之间传输的框架。Wyden最新消息显示美国情报机构以不受控制的方式收集元数据，这让美欧数据传输的第三个版本数据隐私框架面临在法律挑战时被CJEU推翻的可能性。

图像来源：维基媒体。