政府IT报告FTC,私营部门锁定消费者数据保护


2014年的主要标题黑客事件涉及数据盗窃在高度可见的企业:索尼图片。

在电子商务安全方面也许同样重要,但低于传统新闻雷达,是2014年联邦法院的裁决,允许联邦贸易委员会继续对商业公司进行惩罚,以防止黑客保护消费者数据。

这一决定受到了质疑,3月初,联邦贸易委员会及其反对者将在法庭上口头辩论FTC是否超出了保护消费者记录的权力。美国费城第三巡回上诉法院将审理此案。

联邦贸易委员会诉温德姆环球,联邦贸易委员会声称酒店和酒店服务公司违反了联邦贸易委员会法。

这个诉讼被一些法律专家称为一个可能的里程碑案例。 TechAmerica执行副总裁Elizabeth Hyman说,尽管贸易集团本身对Wyndham案件没有立场,但它一直在密切关注诉讼。她对电子商务时报说:“案件的结果将对联邦政府管理消费者数据保护的能力产生重大影响。

温德姆在2008年4月至2010年1月期间经历了三次独立的计算机系统入侵。“最终,违规导致了超过500,000个支付卡账户的妥协,并出口了数十万消费者的支付卡账户数字到在俄罗斯注册的域名,“FTC说。

联邦贸易委员会得出结论,Wyndham依靠错误的软件配置,易受攻击的密码和不安全的服务器。联邦贸易委员会进一步声称,在第一次黑客活动之后,该公司未能适当提高安全性。

“我们对联邦贸易委员会进行诉讼的决定感到遗憾,并认为它的主张没有任何价值,我们与联邦贸易委员会进行了充分的合作,调查了之前报告的2008年至2010年间发生的数据泄露事件,其中网络犯罪分子可能获得的数量有限温德姆酒店和度假村品牌酒店物业的客户信息“,温德姆在一份声明中说。

温德姆要求地区法院驳回联邦贸易委员会的指控,但法院拒绝这样做。温德姆现在实际上已经要求上诉法院驳回联邦贸易委员会的投诉。根据Crowell and Moring律师事务所的合伙人克里斯·科尔(Chris Cole)的说法,如果温德姆胜诉,案件将被终止。在程序上,案件涉及“驳回动议”,所以如果上诉法院支持联邦贸易委员会,这只是意味着案件将返回地区法院审理,他解释说。如果发生这种情况,科尔告诉“电子商务时报”,“双方都是为了再打一天”。

温德姆的观点引起了联邦贸易委员会所依赖的基本法律权威的质疑,不仅仅是为了保护消费者的隐私,也是在其他方面。其中一个权威是FTC法案中的“不公平做法”规定,Cole说这是一个“远远超出数据安全范围的分歧”,如果法院对FTC施加重大限制,这将是FTC的一个重大打击这里。”

联邦贸易委员会认为,温德姆的行为“已经或可能对消费者造成或可能造成实质损害,即消费者无法合理避免自己,这并不会因消费者或竞争对手的利益而受到损害”。这一断言意味着温德姆的行为构成了FTC法下的非法不公平行为。

温德姆计数器,联邦贸易委员会未能达到证明“实质”的消费者伤害,将支持不公平的做法的发现证明的法律考验。 “事实上,联邦贸易委员会最近在调查了近五年来针对温德姆的网络攻击之后,发现它没有确定一名遭受无偿经济损失的个人消费者,因此最近在接受调查时承认,”该公司在法庭备忘录中说。 (在相关程序问题上,某些发现事项已被搁置。)公司进一步主张,信用卡欺诈限制了消费者的保护,从而使持卡人能够避免重大损失。

“在发生这些事件的时候,我们做出了迅速的努力 通知酒店信息可能受损的客户,并提供信用监控服务。迄今为止,我们还没有收到任何酒店客户因这些攻击而遭受经济损失的迹象,“Wyndham市场营销和沟通副总裁Michael Valentino告诉电子商务时报。联邦贸易委员会使用的合规标准“。在许多情况下,被告(即温德姆)未能采取合理和适当的措施来保护个人信息,”联邦法律规定,委员会只需要确定自己的合理性不合理的行为,该机构在做出这些决定之前,不需要发布任何技术性的网络安全标准,对网络安全的处理缺乏具体的技术要求,这不仅给企业带来了令人困惑的合规负担,而且也构成了法律上的不足FTC当局,温德姆及其支持者争辩

联邦贸易委员会捍卫其执法行为注意到许多处理数据泄露的同意令解决方案为确定合理的网络保护方法提供了充分的参考点。温德姆对这种说法提出了质疑,美国商会认为,在每一份同意令的情况下,变化只会导致事后指导的错综复杂。

美国商会在一份支持温德姆的简短短文中表示:“但是,从这些同意令中辨别任何一致的标准是徒劳的,因为联邦贸易委员会对什么样的数据安全原则是”不合理的“的定义取决于它正在调查的企业。此外,FTC的投诉和同意命令的前提是企业未能保持“合理的”或“适当的”保护“是模棱两可的,可以 - 而且会 - 不断变化”。

联邦贸易委员会进一步争辩说,其网络执法行动是明智的,克制和指导解决一个严重的问题。针对电子商务时报在华盛顿举行的美国TechAmerica会议上的询问,FTC委员Julie Brill指出:“Wyndham诉讼不是”棘手“监管案例。但是,电子交易协会政府事务高级副总裁Scott Talbott则有不同的看法。 “由于立法和行业举措保护消费者免受未经授权的收费,所以消费者已经免受信用卡数据盗窃的危害,因此盗窃信用卡数据的案件对保护消费者没有什么作用,但是给这些公司增加了很大的负担这些人受到了犯罪分子的袭击,“他告诉电子商务时报。 ETA还提交了一份支持温德姆的简报。

联邦贸易委员会法令的自由裁量权可以在联邦贸易委员会对温德姆案件有利的情况下起作用,该机构在过去的上诉裁决中取得了成功,Crowell和Moring's Cole观察到。但同时他指出,这个案子对联邦贸易委员会来说是“不扣篮”。尽管温德姆在法庭上站稳脚跟,但该公司表示倾向于以较少对抗的方式解决网络保护问题。

“我们仍然认为,如果未经国会授权,FTC不能在网络安全领域进行监管,也不能确定法律要求采取什么样的网络安全措施。在网络攻击大幅增加的时期,保护个人信息仍然是我们的首要任务公司,我们相信消费者最好是由政府和企业共同协作而不是作为敌人来服务,“瓦伦蒂诺说。

约翰·K·希金斯(John K. Higgins)是一位职业商业作家,在能源,金融,环境和政府政策等广泛领域拥有广泛的经验。他目前担任自由职业者,主要报道ECT新闻网的政府信息技术问题。