2014年,美国第三巡回上诉法院对 FTC诉Wyndham Worldwide Corporation 同意在两个问题上立即提出上诉:“ FTC是否有权根据第45(a)条的不公平规定来规范网络安全;如果是这样,那么温德姆是否公平地注意到其特定的网络安全实践可能无法达到该规定。” 2015年8月24日,第三巡回法院确认了地方法院的裁决, 被拒绝 温德姆提出的驳回申诉的动议。

事实背景

在对温德姆公司的数据安全实践进行了为期两年的调查后,FTC在2012年对酒店公司提起诉讼,称温德姆公司从事“不公平的…违反美国联邦贸易委员会第15号法案。 §45(a),未能采取“合理且适当”的措施来充分保护酒店客人的个人信息。联邦贸易委员会(FTC)特别指出,在2008年至2010年1月期间,黑客在3个不同的场合分别获得了对温德姆计算机网络的访问权限,并且温德姆采取了许多“无谓和不必要地将消费者的个人数据暴露给未经授权的访问和盗窃行为”,包括以下:

  1. 以清晰,未加密的文本形式存储信用卡信息;
  2. 无法要求员工使用复杂的用户ID和密码来访问公司服务器;
  3. 无法使用易于使用的安全措施,例如防火墙来限制公司网络和Internet之间的访问;
  4. 在将本地计算机网络连接到公司级网络之前未能实施合理的信息安全程序;
  5. 无法“充分限制”第三方供应商对其网络的访问;
  6. 没有采取合理措施来检测和防止未经授权访问其计算机网络或进行安全调查;和
  7. 未遵循适当的事件响应程序。

美国联邦贸易委员会(FTC)的投诉称,温德姆(Wyndham)缺乏安全措施导致了“超过619,000个消费者支付卡帐号的妥协,许多此类帐号向俄罗斯注册域名的出口,许多消费者账户的欺诈性收费,以及欺诈损失为1,060万美元。”

温德姆(Wyndham)向美国新泽西州地方法院提起诉讼,驳回了联邦贸易委员会(FTC)的申诉,理由是联邦贸易委员会(FTC)无权根据《联邦贸易委员会法》第45(a)条对涉及数据安全的不公平索赔进行监管。其次,如果联邦贸易委员会确实存在授权,则联邦贸易委员会必须先颁布法规,然后再提出公平要求。温德姆还声称,它没有公平的通知,其特定的网络安全实践可能不符合该规定。 2014年4月,温德姆的动议被地方法院驳回后,该法院寻求并收到了第三巡回法院的中间上诉,以解决授权和通知问题。

第三巡回法院的举行:FTC拥有权威,Wyndham拥有公告

第三巡回法院主要基于《联邦贸易委员会法》赋予FTC的广泛权利,以保护消费者免受不公平和欺骗性的贸易行为的侵害,因此,Wyndham未能证明其所谓的行为“超出了'不公平'的明确含义。”法院驳回了温德姆的论点,即关于将FTC的不公平权力扩大到网络安全的说法无异于允许FTC起诉“草率扫除香蕉皮的杂货店”。作为回应,第三巡回赛发现这是一家超市,“到处都有太多香蕉皮,以至于有619,000名顾客跌倒,这表明它应该不受45(a)规定的责任的影响。”因此,法院裁定地方法院和联邦贸易委员会对第45(a)节的解释均符合联邦贸易委员会的先前惯例和法定授权。

此外,第三巡回法院拒绝了温德姆要求将“不公平”一词的简单含义应用为“不公平”或“以不公正,偏见或欺骗手段标记”的请求,并指出,尽管不公平主张通常涉及实际损害,但FTC可能也基于“可能”而非实际伤害采取行动。正如法院解释的那样,《联邦贸易委员会法》通常禁止商业竞争的不公平方法,并且根据该法的修正案,联邦贸易委员会可以认为这种做法是不公平的,“如果这种做法对消费者造成或有可能造成重大伤害,但并非如此。消费者自己可以合理避免的,并且不能抵消对消费者或竞争的利益。” U.S.C. 15第45(n)条。第三巡回法院指出,当一家公司“发布隐私政策以吸引关注数据隐私的客户时,没有通过在网络安全方面投入不足的资源来兑现承诺,使毫无戒心的客户遭受重大财务损失,并保留了利润存在商业不公。关于从温德姆计算机网络窃取的个人身份信息,法院认为,消费者无法合理避免伤害,因为温德姆发布的隐私政策通过夸大其网络安全做法误导了消费者。

第三巡回法院也拒绝了温德姆的论点,即联邦贸易委员会未适当告知温德姆对“适当的”数据安全性的期望。温德姆(Wyndham)认为,联邦贸易委员会(FTC)必须先发布发布规则和法规,才能采取执法行动,并且没有就联邦贸易委员会(FTC)认为合理的数据安全方法提供足够的通知,从而剥夺了温德姆(Wyndham)适当的正当程序。第三巡回法院驳回了这一论点,认为在诉讼程序的这一阶段,“相关问题不是温德姆是否对联邦贸易委员会的决定给予了合理的通知。 解释 法规,但温德姆是否对 法规本身 要求。”法院指出,如果公司“可以合理地预见法院可以将[公司]的行为认定为属于法令含义之内”,则可以接受公平通知。此外,温德姆在这里仅有权获得少量的法定通知,因为适用第45(a)条并不意味着任何宪法权利:(i)该法规是民事而非刑事法规; (ii)规范经济活动的法规受到“较不严格”的检验,因为可以期望企业在采取行动之前先咨询相关法律。因此,举例来说,温德姆缺乏“任何”防火墙,对某些客户文件的加密,较弱的密码要求以及一系列三项安全漏洞,证明温德姆知道或应该注意到法院的可能性可能会发现其做法不符合§45(a)的公平性要求。此外,第三巡回法院指出,FTC的2007年指南 保护个人信息:企业指南提出了构成“可靠数据安全计划”的做法清单,并指出FTC提起的其他公共执法行动应使温德姆注意到,其反复声称未能保护消费者数据的行为可能被认为是不公平的做法。 FTC法。

温德姆的意思–外卖

如果有任何迫在眉睫的问题,如网络安全宽松,是否存在法律风险, 温德姆 决定应提供明确的肯定答案。所有收集个人可识别信息的网络公司都必须注意,它们通常必须维护此类消费者数据的完整性和安全性。公司还必须确保其隐私政策准确无误。这意味着要确保熟悉和了解不断发展的行业标准安全惯例以及通过FTC上发布的最新安全解决方案和同意书得出的FTC准则。 网站。如果FTC主席伊迪丝·拉米雷斯(Edith Ramirez)认可,如果一家公司不遵守行业标准和发展,那么,FTC的责任是“使公司对未能保护消费者数据负责。当公司未能采取合理步骤保护敏感的消费者信息时,FTC能够代表消费者采取行动不仅​​是适当的,而且是至关重要的。”的 温德姆 该决定旨在强调所有商业公司面临的重大问题—保护他们收集和持有的消费者数据。无论是认为数据是知识产权,私人/个人通信还是消费者信息,公司都需要确保它们遵循适当,必要且“合理”的网络安全协议。当然,挑战在于“合理性”是由技术,黑客和每个公司运营所在的行业驱动的移动目标。因此,建议公司采取符合行业标准和 NIST框架 并检查联邦政府对承包商的网络安全有何要求(看到 NIST SP 800-171, 保护非联邦信息系统和组织中的受控未分类信息)。尽管此类努力可能永远不会阻止网络违规行为,但他们应确保避免对FTC进行审查,避免因将头埋在沙子中而可能产生的潜在责任。