撰稿人:Lia / 責任編輯:Zaphyra
2019年7月24日,美國聯邦貿易委員會(FTC)宣布與社群媒體巨擘Facebook達成歷史性和解協議,就其違反用戶隱私的行為處以50億美元的民事罰款,此為該機構有史以來對企業開出的最高金額罰單。此案源於Facebook在劍橋分析(Cambridge Analytica)醜聞及其他事件中,未能有效保護用戶數據,違反了其在2012年與FTC簽署的同意令。和解協議強制要求Facebook在數據治理結構上進行改革,包括加強對第三方應用程式的數據存取管理、在使用人臉辨識技術前須取得用戶的「肯定性同意」、禁止將用戶為安全目的提供的電話號碼用於廣告業務,並設立更嚴格的數據外洩通報機制。儘管罰款金額創下紀錄,協議內容卻引發兩極評價。部分批評者,包括FTC內部的反對意見,認為協議未能從根本上改變Facebook以用戶數據為核心的商業模式,而美國缺乏一部如歐洲《通用數據保護規則》(GDPR)的聯邦層級綜合性隱私保護法,也限制了監管機構的權力範圍。
全文
Lia. Independent Media 台北報導
在數位時代,個人的生活軌跡、人際網絡與思想偏好,被悄然轉化為一組組數據,儲存在遙遠的伺服器中。這些數據的價值與其所引發的權力失衡,正成為21世紀最核心的治理議題之一。2019年7月24日,美國聯邦貿易委員會(FTC)投下的一顆震撼彈,將此議題推向了全球矚目的焦點。該機構宣布,Facebook(現稱Meta)同意支付高達50億美元的罰款,以了結對其一系列用戶隱私侵犯行為的調查。這個數字不僅空前,其背後所代表的監管意涵,以及未能觸及的結構性問題,更值得我們深入探究。
這項調查的起點,可追溯至多年前。2012年,FTC已針對Facebook就用戶數據的隱私設定誤導消費者一事提出訴訟,最終雙方達成一份具有法律約束力的「同意令」(consent order),要求Facebook在分享用戶數據給第三方前,必須取得用戶明確的同意。然而,隨後爆發的「劍橋分析」醜聞揭示,數千萬用戶的個人資料在未經授權的情況下,被第三方應用程式不當擷取並用於政治目的,這無疑證明了Facebook未能恪守其法律承諾。FTC的再次調查發現,即便許多用戶已設定數據保持私密,該公司仍持續與第三方分享資訊,構成對2012年同意令的嚴重違反。
此次高達50億美元的罰款,正是針對這種屢次違規的懲罰性措施。但相較於罰金本身,和解協議中所強制要求的具體改革措施,更能體現監管機構試圖重塑其行為模式的努力。這些措施主要涵蓋四個層面:
首先,是對第三方應用程式的嚴格控管。協議要求Facebook必須強化對其平台上數以萬計的第三方開發者的監督。未來,任何開發者若無法提出存取用戶數據的合理解釋與正當需求,Facebook必須終止其數據存取權限。這旨在修補過往因平台開放性而導致的數據濫用漏洞。
其次,是針對敏感的生物特徵數據—人臉辨識資料的規範。FTC明文規定,除非事先取得用戶主動提供的「肯定性同意」(affirmative consent),否則Facebook不得再使用人臉辨識技術。對於既有的用戶人臉辨識模板,協議生效90天內若未取得用戶同意,則必須予以刪除。
第三,是約束將安全措施用於商業目的的行為。許多用戶曾應Facebook要求,為「強化帳戶安全」而提供個人電話號碼,用於雙重驗證(2FA)。然而,這些電話號碼卻可能被用於廣告投放。新的協議命令禁止此類行為,明確規定出於安全目的所收集的電話號碼,不得與廣告商或其他第三方分享。
最後,是建立更透明、更迅速的數據外洩應對機制。協議強制要求,一旦發生涉及500名或以上用戶的數據外洩事件,Facebook必須在發現事件後的30天內向主管機關通報,並詳述為解決問題已採取的補救措施。
然而,當我們撥開罰金數額的迷霧,細究協議的條款與背後的角力,便會發現其深刻的局限性。在FTC內部,這份和解協議並非獲得全體委員的一致支持。有委員發表措辭強烈的反對意見書,直指協議「未能對導致這些違規行為的系統施加任何有意義的改變」。批評者認為,罰款雖高,但對於年收入數百億美元的Facebook而言,更像是可以預先計入的「營運成本」,而非足以改變其核心商業模式的結構性懲罰。其商業模式的根基——大規模收集用戶數據並用於精準廣告投放——在此次和解中幾乎未受影響。
更深層次的問題在於美國法律框架的限制。FTC官員在記者會上坦言,與歐洲全面性的《通用數據保護規則》(GDPR)相比,此次的命令範圍較為狹窄,且僅針對Facebook一家公司。其根本原因在於,美國至今仍缺乏一部聯邦層級的綜合性數據隱私保護法。這使得FTC的權力基礎並非保護隱私本身,而是禁止「不公平或欺騙性的商業行為」。換言之,只要Facebook在用戶協議中以繁複的條款告知了其數據收集行為,FTC便難以直接限制其收集數據的種類與範圍。監管的重點只能放在確保Facebook「沒有就其數據的使用方式誤導消費者」上,而非從源頭規範何種數據可以被收集、如何被使用。
此案清晰地反映出,在全球性的數位治理競賽中,美國的監管哲學與歐洲路徑的差異。歐洲GDPR以「個人權利」為核心,賦予用戶對其數據擁有被遺忘權、可攜權等多項權利,並對企業的數據處理行為施加嚴格限制。相較之下,美國的模式更側重於「市場透明」與「消費者選擇」,相信透過要求企業誠實揭露其行為,能讓市場力量發揮作用。然而,當平台規模達到Facebook這般具有壟斷性質的程度時,用戶是否真正擁有「選擇」的權利,已成為一個備受質疑的問題。
對於這份和解協議,Facebook在其官方聲明中表示,這將標誌著公司「向隱私保護的一次更清晰的轉變,其規模將超越我們過去所做的任何事」。這番言論既是向公眾與監管機構的承諾,亦是企業在巨大壓力下的策略性回應。此次事件無疑將迫使Facebook投入更多資源於合規與內部監督,但其是否願意或能夠在不損及核心盈利模式的前提下,真正實現以隱私為中心的轉型,仍待時間的檢驗。
總體而言,這份50億美元的和解協議是一個矛盾的混合體。它既是美國監管史上對科技巨頭問責的里程碑,展現了執法機構前所未有的決心;但同時,它也暴露了現行法律工具在面對數據驅動型經濟時的無力感。它處理了過去的違規行為,卻未能為未來的數據治理提供一個清晰、穩固的框架。這場關於數據、權力與隱私的拉鋸戰遠未結束,而這份協議,或許僅僅是漫長序曲中的一個沉重音符。
資料來源
The New York Times: F.T.C. Approves Facebook Fine of About $5 Billion
https://www.nytimes.com/2019/07/12/technology/facebook-ftc-fine.html
The Wall Street Journal: FTC Hits Facebook With $5 Billion Fine, Imposes New Privacy Rules
https://www.wsj.com/articles/ftc-hits-facebook-with-5-billion-fine-imposes-new-privacy-rules-11563980093
Federal Trade Commission: FTC Imposes $5 Billion Penalty and Sweeping New Privacy Restrictions on Facebook
https://www.ftc.gov/news-events/news/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions-facebook
The Washington Post: Facebook to pay record $5 billion fine to settle FTC privacy probe
https://www.washingtonpost.com/technology/2019/07/24/facebook-pay-record-billion-fine-settle-ftc-privacy-probe/
Reuters: U.S. FTC approves $5 billion Facebook privacy settlement: source
https://www.reuters.com/article/us-facebook-privacy-ftc/u-s-ftc-approves-5-billion-facebook-privacy-settlement-source-idUSKCN1U7232
The Guardian: Facebook to be fined $5bn for Cambridge Analytica privacy violations – reports
https://www.theguardian.com/technology/2019/jul/12/facebook-to-be-fined-5bn-for-cambridge-analytica-privacy-violations
The Verge: Facebook to pay $5 billion FTC fine, create new board committee on privacy
https://www.theverge.com/2019/7/24/20708453/facebook-ftc-privacy-fine-5-billion-cambridge-analytica