撰文、编辑 / Kaamel Labs
本文亦发表在 Kaamel 官网博客中,点击文末 阅读原文 可查看相关内容。
2024 年 4 月 29 日,美国联邦通信委员会(FCC)发布了一系列罚款命令,对 AT&T, Verizon, Sprint, T-Mobile 四家公司总计罚款 2 亿多美元,本文选择针对 AT&T 的罚款案件进行分析。
2020 年 2 月 28 日,美国联邦通信委员会(FCC)对 AT&T 公司发出了一份警告和罚款通知(Notice of Apparent Liability for Forfeiture and Admonishment, NAL)。该通知指出 AT&T 未经客户同意就将客户专有网络信息(customer proprietary network information, CPNI)泄露给未经授权的第三方,违反应采取合理措施保护客户位置信息的规定,提出对 AT&T 处以 57,265,625 美元的罚款。在审查了 AT&T 对通知的答复后,委员会驳回了 AT&T 取消、撤回或减少罚款的理由,最终决定对 AT&T 执行 57,265,625 美元的罚款。
案件背景
(一)事实背景
AT&T 公司是一家无线网络服务提供商,向全美消费者提供可拨打、接听电话和传输数据的移动语音和数据服务。在 2019 年 3 月之前,AT&T 开展了一项提供定位的 LBS 服务计划。通过 LBS 计划,AT&T 将其客户的位置信息出售给“位置信息聚合商”,后者再将位置信息转卖给第三方定位服务提供商,或者是先转售给中介,再转售给第三方。AT&T 总共向 88 家第三方公司直接或间接出售了其客户的位置信息访问权。AT&T 的 LBS 计划主要通过合同条款进行管理,根据合同,AT&T 有权监督聚合商,而聚合商又与定位服务提供商分别签订合同。最终向客户提供通知并征得同意的义务落在定位服务提供商上,而不是聚合商或 AT&T。尽管 AT&T 声称在层层合同下规定了“一些列保障措施”,但 AT&T 在提供位置信息访问权限之前并没有核实客户的同意。此外,AT&T 在 2016 年到 2019 年之间进行了五次审查,但只提供了其中两次的审查结果。就在这两次审查中,大量存在聚合商不遵守安全要求的情况以及 AT&T 自身提供客户位置信息时违反用户同意完整性和用户同意记录保留做法的问题。
FCC 对 LBS 计划中的一家为执法机关提供定位服务的公司 Securus 进行了调查,发现早在 2018 年,《纽约时报》就揭露了该公司在向执法官员提供位置搜索服务时,存在允许官员在客户完全不知情的情况下获取其位置数据的违法行为,并且其服务完全超过了与聚合商签订的合同中的数据使用目的。同时它没有核实执法者使用此类数据的法律授权,因此发生了执法者没有法律授权滥用位置信息的事件。另一项数据安全问题随着电信诈骗犯 Hutcheson 的认罪被揭发。Hutcheson 曾是 LBS 软件的授权用户,他在供述中称,只需输入他想要定位的设备的电话号码,然后手动勾选一个方框并上传一份任意文件(内容为“勾选此方框,我特此证明所附文件为官方文件,其允许查询所请求的电话号码的位置”),LBS 平台就会立即提供所请求的位置信息(无论上传的文件是否真实、充分)。这说明 AT&T 没有设置真实有效的获取用户同意的机制,授权方可以规避进入“选择加入同意”程序。事发之后,AT&T 终止了与多家定位服务提供商的合作,但直到 2019 年逐渐叫停了 LBS 计划,并且期间没有进行合理的数据保护整改。
2020 年 2 月 28 日,FCC 发布了 AT&T NAL ,建议对 AT&T 处 5726万 美元的罚款,理由是 AT&T 明显故意并多次违反了《通信法案》第 222 条和委员会 CPNI 法令第 64.2010 条,未能采取合理的保护措施防止未经授权访问客户位置信息。FCC 还对 AT&T 未获取客户同意即向未经授权的第三方披露客户位置信息的行为进行了警告。AT&T 提交了一份对 NAL 的答复。AT&T 提出了以下观点:其一,客户位置信息不是 CPNI,不应受法案和 CPNI 规则的约束,即便位置信息属于 CPNI,公司也没有收到官方通知;其二,AT&T 在上述数据安全事件爆发的前后都采取了合理的补救措施;其三,AT&T 不认可罚款金额。在审查这份答复后,FCC 驳回了 AT&T 的辩证,执行了 5726万 美元的罚款决定。
(二)法律要点
本案涉及到两处数据安全风险:一是运营商和第三方没有核实使用、披露和访问 CPNI 的请求是否有有效授权;二是 AT&T 在向第三方披露 CPNI 时没有获取客户同意(Opt-in approval)。结合案情和 NAL,本案主要包括以下法律要点:
1. AT&T 披露的涉案客户位置信息是否属于 CPNI?
2. FCC 在执法之前是否需要向 AT&T 发出违反法定 CPNI 保护义务的公平通知?
3. 运营商能否将 CPNI 保护义务通过委托转移给第三方?
4. AT&T 在向第三方披露 CPNI 之前是否需要取得客户同意?
5. AT&T 是否对涉案客户位置信息采取了合理保护措施?
法律分析
(一)位置信息属于客户专有网络信息(CPNI)
《通信法案》第 222 (c) 条定义 CPNI 为“电信运营商的任何客户订阅的电信服务的数量、技术配置、类型、目的地、位置和使用量有关的信息”,并且“仅因客户-运营商关系而向运营商提供”。FCC 发布了实施第 222 条的 CPNI 法令,要求运营商采取合理措施以发现和防范未经授权获取 CPNI 的企图。
其一, FCC 认为 AT&T 的无线网络移动服务属于第 222 (h) 条中的“电信服务”。移动设备通过最近的信号塔对运营商的无线网络进行认证和连接。移动设备通过认证并连接到无线网络后,可能处于连接(发送/接收数据/语音)或闲置状态。在这两种状态下,运营商都必须收集设备的位置信息,才能让客户接拨电话。因此,只要 AT&T 使客户的设备能够拨打和接听电话,AT&T 就在为这些客户提供电信服务。
其二,根据法案第 222 (h) 条对 CPNI 的定义,只要客户位置信息与电信服务有关就属于 CPNI,无需区分该位置信息被收集时客户是否正在使用通信服务,也无需区分运营商收集位置信息的目的。
其三,第 222 条对 CPNI 定义所强调的另一部分是“客户-运营商双边关系”,数据是“客户提供给运营商的”,而不简单描述为“由运营商获取”。AT&T 在答复中辩解,其涉案信息是通过特殊的技术(LBS 软件)获取的,区别于客户使用通信服务时提供的信息。但是 AT&T 无法证明其与客户签订了另外的信息提供协议,或者说客户没有可以不提供位置信息就使用其移动服务的途径。因此,应当认为 AT&T 收集的位置信息是客户提供的。虽然一些订购服务但从未使用过的用户(如平板电脑用户)的信息也被收集,但是 AT&T 涉案位置信息并非仅为这类特殊用户的信息,FCC 拟执行的罚金也并非单独针对这类用户。
(二)FCC 无需在执法前向 AT&T 发出通知
FCC 驳回了 AT&T 没有收到 LBS 计划涉及的客户位置信息会被《通信法案》约束的公平通知的主张。华盛顿特区巡回法院曾解释,公平通知原则是程序正当的要求,只有在有权机关的解释“与一般人对法规的理解相去甚远”时,才应在执法之前进行公平通知。当被监管方被合理认为已知或应知法规的要求时,不需要执法机构实现通知。事实上,本案中 AT&T 被合理认为已知或应知如下内容:
其一,AT&T 涉及的客户位置信息属于 CPNI。FCC 曾在其宣告性裁决中解释,法规并不会详细无遗地列举所有的 CPNI 数据类型。法案隐含一条可反驳的推定:符合第 222 (h) (1) 条定义的信息就是 CPNI。并且,委员会对 CPNI 定义的解释与既往判例一致,没有对 AT&T 区别对待。
其二,AT&T 通过 CPNI 法令第 64.2010 条 可充分了解保护 CPNI 的义务。法令指出运营商应当尽一切可能的措施对 CPNI 进行保护,一旦 CPNI 披露给第三方,仅依靠“合同保障措施”不足以应对数据风险,并且必须杜绝向不良行为人提供“在未经授权的情况下获取 CPNI 的指南”等行为。
其三,根据上述内容,AT&T 应当知道其未按照法案 222 条和法令第 64.2010 条履行义务将会受到处罚。
(三)禁止运营商将 CPNI 保护义务通过委托转移给第三方
《通信法案》第 217 条规定,“任何官员(officer)、代理人(agent)或其他为任何公共运营商(common carrier)或用户(user)行事或受雇于任何公共运营商或用户的人在其工作(employment)范围内的行为、不行为或失职,在任何情况下应视为该运营商或用户的同样的行为、不行为或失职”。该条明确了禁止运营商将保护 CPNI 的义务委托给第三方。在本案中可作如下解释:
1. AT&T 在接收到授权请求时有获取客户“选择加入同意”的义务,该义务不可通过合同转移。
2. AT&T 有采取合理措施防止将数据披露给未授权方的义务,AT&T 应当审计授权的合法性,不能仅仅因为没有直接负责操作发生未经授权披露的程序而免除责任。该义务不可通过合同转移。
3. AT&T 具有“运营商”的特殊身份,是数据的原始收集方和实际披露方,其他非运营商第三方只能起到数据披露的连接或辅助作用,因此运营商的 CPNI 保护义务“永久且持续”,不可通过合同转移。
(四)AT&T 未在向第三方披露 CPNI 之前取得客户同意
CPNI 法令第 64.2003 (k) 条规定了“选择加入同意”(Opt-in approval),运营商应当向客户发出适当的通知,获得客户肯定明确的同意,才能使用、披露或访问所请求的 CPNI。第 64.2003 (l) 条规定了另一种获取客户同意的方式:选择不加入同意(Opt-out approval)。当客户收到请求通知后,没有在规定的等候期提出异议,就视为同意使用、披露或访问 CPNI。不论采取何种方式,运营商都需要在披露 CPNI 前向用户发送通知并获取同意。为了防止他人假冒客户作出选择加入同意或者通过虚假官方授权规避选择同意程序,运营商应当采取有效的客户身份认证措施,比如设置密码和登录通知等。本案中,AT&T 的选择加入同意程序可以通过上传虚假官方文件被规避,FCC 认为其没有真实有效地履行获取客户同意的义务。
(五)AT&T 未采取合理措施保护 CPNI
1. 运营商应承担 CPNI 规则下的举证责任
2007 年 CPNI 法令指出,如果发生了未经授权的披露,运营商就有责任证明其保护消费者数据的措施是合理的。本案中,数据安全事故直接发生在 Securus 公司,但最终的举证责任在属于 AT&T 公司。根据《法案》第 217 和 222 (c) (1) 条,运营商不能通过将保护客户 CPNI 的义务委托给第三方来免除义务,即 AT&T 不能仅仅因为没有直接负责操作发生未经授权披露的程序而免除责任。应注意的是,此处的举证责任只要求提供证据,不等同于说服责任。
AT&T 曾试图以法案第 222 (c) (1) 条规定的法定披露例外(as required by law)辩证自己披露信息行为合法。但适用披露例外事由的前提是 AT&T 查证了授权真实符合该例外事由。如事实背景部分所述,Securus 在数据披露前的授权审查形同虚设,AT&T 在将数据转移给 Securus 也没有对请求和同意进行实质审查,因此客户位置数据被从 AT&T 披露给 Securus 再披露给未经授权的接受者,实际经历了双重未经授权的非法披露。在这情况下无法适用法定披露的例外事由。
2. AT&T 在 Securus 事发前采取的保障措施并不合理
AT&T 所称的 CPNI 保护措施几乎完全依赖于其与第三方签订的合同。如果要使合同措施有效,AT&T 应当采取措施保障合同得到遵守,还应当能区分第三方提交的 CPNI 请求是否是获得了客户有效同意的且已经授权的请求。显然 AT&T 没有做到这些要求。在事发后,AT&T 无法迫使 Securus 配合调查,这更加说明 AT&T 与其第三方之间合同的乏力性,AT&T 对第三方几乎没有控制权。
3. AT&T 在 Securus 事发后采取的保障措施也不合理
AT&T 在事发后没有立即彻底关闭 LBS 项目,而是继续与其他第三方在有数据安全风险的这套系统上披露 CPNI。直到接收到另一份 LBS 系统被滥用的报告后,AT&T 才开始考虑开发新系统,这中间的一段时间里,AT&T 没有采取任何有效足以补救系统核心漏洞的保护措施。针对 AT&T 的辩解,FCC 指出,本案重点在于 AT&T 是否合理地保护了其客户的位置信息,而不是 LBS 项目给客户带来多少好处。后者可能会作为一种执法考虑因素,但在本案中,其带来的好处明显小于造成的损害。
合规分析
本案主要针对的合规主体 AT&T 是一家提供移动通信服务的运营商,其区别于个人数据传播环节的其他企业,是数据的原始收集者,《通信法案》第222条及其委员会 CPNI 法令专门对运营商的义务进行了规定。结合本案内容,提供移动通信服务的企业在收集涉及位置等客户专有网络信息时,应当注意以下几点:
1. 运营商在披露 CPNI 前应取得有效的客户同意。建议企业内部系统建立对不同披露请求及客户同意披露的区分和实质审查机制,以避免本案中出现的无法区分请求合法性以及同意真实性的情况。此外,还应当保证获取同意的对象是真正的数据主体,具体来说,企业应当有身份认证机制,如设置账户密码、异地登录通知等。
2. 运营商不能通过合同将保护 CPNI 的义务转移给第三方。《通信法案》第 222 条重点强调客户-运营商的双边关系,在数据披露过程中,每经历一次披露,数据泄露的风险就增大一层,第三方有其独立的数据保护义务,而不是直接顺承运营商的义务。
3. 运营商应当采取一切可行的合理措施对 CPNI 进行有效保护。《通信法案》第 222 条规定了“客户认证”的最低标准,CPNI 法令第 64.2010 条提高了保护义务的要求。企业应当进行风险监测和定期审查,并且建立事故响应机制。数据泄露发生时,应当及时与受影响客户沟通。根据 FCC 的解释,还要求企业在发生数据泄露事件时,立即、迅速地采取彻底的补救措施。
