与一家公司的案件进行了多年的和解,据称这些公司的数据收集和使用做法与这些公司在其隐私权政策中的陈述不一致。

但是,FTC在12月5日宣布的与Goldenshores Technologies的投诉和命令(“ Goldenshores”)是第5节中一个特别值得注意的案例,因为FTC的理论是该公司涉嫌违反第5节的原因并非来自其应用程序的肯定代表据称具有欺骗性,但据称 重大遗漏,并指称无论有何披露 未达到要求的突出级别,因为它们仅在隐私政策和EULA中.

迄今为止,这些类型的指控和政策确定仅限于间谍软件,并且已经流行于在线行为广告中,但在其他情况下通常不属于FTC执法行动的一部分。  此案代表FTC向业界发出信号,即重大事实,尤其是涉及敏感数据的事实,尤其是涉及到收集,使用或披露的事实,可能超出普通用户的理解范围,因为它超出了服务使用范围,在收集数据之前,不仅必须在隐私权政策中,而且在隐私权政策之外,必须明确,显着地披露信息。

该应用程序的“敏感数据”的收集和使用

Goldenshores是非常流行的“ Brightest Flashlight Free”手电筒应用程序(“ app”)的开发商,该应用程序适用于Android设备。的 美国联邦贸易委员会投诉 解释说可以在其他地方从Google Play应用商店下载该应用。 美国联邦贸易委员会的投诉之所以令人讨厌,是因为该应用程序以手电筒的形式运行(使用手机的屏幕和相机的LED闪光灯),同时还从移动设备收集某些信息并将其传输到第三方,包括广告网络。这些信息包括精确的地理位置信息和永久性设备标识符,这些信息可用于随时间跟踪用户的位置。

该应用程序在这些所谓的数据收集和使用实践中遇到了两个问题。首先,联邦贸易委员会声称它没有充分披露将收集包括地理位置和永久性设备标识符在内的信息并与第三方(例如广告网络)共享。其次,该应用程序无法准确代表消费者在收集,使用和共享此信息方面的选择。

但是,投诉并非一开始就着眼于这些收集和使用实践以及该应用程序与之相关的披露。取而代之的是(并非无关紧要),它从描述Google Play商店中应用的促销页面开始。投诉指出,此页面描述了手电筒应用程序,但是“不会就用户移动设备中的数据收集或使用做出任何声明”(添加了重点)。同样,联邦贸易委员会(FTC)注意到,所有Android应用程序中出现的一般“权限”声明都提供了有关 采集 敏感信息,但不涉及任何 分享 敏感信息。但是,这些问题并未出现在FTC关于实际违反《 美国联邦贸易委员会法案》第5条有关欺诈行为的指控中。因此,可以安全地假设FTC引用了缺少通知 下载之前 关于敏感信息的使用和共享,以向应用程序开发人员和平台发出信号,表示希望看到此类披露。

该应用程序有关敏感数据的披露

美国联邦贸易委员会的指控专门针对该应用在其隐​​私权政策和最终用户许可协议(“ EULA”)中的披露。简而言之,投诉指出,尽管该应用程序的隐私权政策表明该应用程序收集与“您的计算机”有关的信息,但并未 具体披露:(1)收集敏感信息,例如精确的地理位置;或(2)将其传输给第三方。基于未披露的信息,FTC指控该应用违反了第5节,因为其实质性地歪曲了其数据收集和共享的范围,特别是准确的地理位置信息和持久性设备标识符的收集和共享。

对于EULA,投诉解释为,在用户下载并安装应用程序后,会向用户显示EULA,使用该应用程序时必须接受该EULA。首先,就像隐私政策一样,FTC声称EULA没有准确,完整地披露应用程序的数据和共享做法。第二,FTC声称EULA还给消费者提供了“拒绝”其条款的选择,从而误导了消费者。如投诉所述,“这种选择是虚幻的。”问题在于,该应用程序会在用户接受或拒绝EULA条款之前传输设备数据,包括精确的地理位置和永久标识符。结果,EULA歪曲了消费者可以“拒绝”收集此信息的选项,因为“无论消费者接受还是拒绝EULA的条款,Brightest Flashlight App都会进行传输。 。 。消费者启动应用程序后立即获取设备数据……”

和解要求的新披露

在大多数情况下, 协议和同意令 这是FTC在第5节与数据收集和使用实践有关的案例中所期望的。因此,例如,禁止Goldenshores及其开发的任何应用程序(包括此Flashlight应用程序)错误地陈述收集,使用,披露或共享信息的方式。

然而,令该命令与众不同的是FTC对Goldenshores必须在其应用程序中收集和使用精确地理位置信息所做的披露提供的特殊性。该命令要求发出的通知要远远超过典型的样板化“准时”选择通知,应用通常会使用这些通知来征得收集精确地理位置信息的同意。在这种情况下, 应用必须提供的单独的政策外及时通知和选择同意书 事前 收集精确的地理位置信息必须包括一项告知用户的披露: 

(1)  应用程序收集并传输地理位置信息;

(2)  如何使用此信息;

(3)  为什么 该应用程序正在访问地理位置信息;和

(4)  直接或间接从应用程序接收地理位置信息的第三方的身份或特定类别。

结论

因此,首先看起来是简单的隐私政策FTC欺骗的情况实际上很重要,原因有三个。首先,这是关于未能披露与“敏感数据”有关的收集和使用做法的,其中包括精确的地理位置 设备的唯一标识符。其次,联邦贸易委员会(FTC)指出,在下载之前,应用商店中没有有关此类收集和使用实践的披露信息。第三,FTC向该应用程序提供了非常具体和详细的​​说明,说明它必须如何提供有关收集精确地理位置信息的通知和选择,这可能表明FTC希望整个行业在此领域发展。不远的将来。