案例判罚|安防公司 Verkada 就数据安全漏洞等指控与美国联邦贸易委员会达成 295 万美元的和解协议
HomepageBlog
案例判罚|安防公司 Verkada 就数据安全漏洞等指控与美国联邦贸易委员会达成 295 万美元的和解协议

案例判罚|安防公司 Verkada 就数据安全漏洞等指控与美国联邦贸易委员会达成 295 万美元的和解协议

Kaamel Lab
Kaamel Lab

8 月 30 日,美国联邦贸易委员会(FTC)宣布与安防公司 Verkada 达成和解协议,以解决美国司法部(DOJ)针对 Verkada 提起的诉讼。在这起诉讼中,Verkada 被指控未能采取适当安全措施以保护用户数据,导致发生数据安全漏洞事件,且其电子邮件营销行为违反《反垃圾邮件法》(Controlling the Assault of Non-Solicited Pornography and Marketing Act,以下简称 CAN-SPAM)。
根据和解协议, Verkada 需支付 295 万美元的民事罚款,实施一个全面信息安全计划,不得再对其隐私和数据安全问题进行虚假陈述,且不得再违反 CAN-SPAM 进行电子邮件营销。

案件背景

Verkada 是一家总部位于美国加利福尼亚州的安防公司,主要销售监控摄像头等安全设备。2019 年至 2021 年间,Verkada 售出超过 24 万台监控摄像头。这些监控摄像头被连接到 Verkada 运营的网络平台,使其能够收集包括 IP 地址、摄像头位置、用户姓名等数据,以及摄像头拍摄的视频片段。
近年,Verkada 至少发生了两起数据安全漏洞事件。2020 年 12月,黑客利用 Verkada 服务器的安全缺陷在其上安装了恶意软件,并使用该服务器对其他第三方互联网地址发起网络攻击。2021 年 3 月,黑客利用安全缺陷获得管理员权限,这使得其能够访问并提取 Verkada 平台上超过 15 万个监控摄像头收集的数据,包括精神病院内患者、妇女保健诊所内患者、幼儿等群体的人像信息等数据。
上述事件发生后,FTC 对 Verkada 展开调查,认为其存在多个违规行为,并将案件移交 DOJ。DOJ 向加州北区联邦地区法院提起诉讼。

DOJ 的指控

DOJ 在起诉状中指控, Verkada 存在以下行为:

一、违反《联邦贸易委员会法》的行为

《联邦贸易委员会法》(FTC Act)第 5 条 (a) 节(15 U.S.C. § 45(a))禁止“影响商业或涉及商业的不公平或欺骗性行为”。DOJ 进一步解释称,虚假陈述或对重要事实的欺骗性遗漏构成该条所禁止的欺骗性行为,对消费者造成或可能造成无法被合理避免且无法与所得利益相抵的重大损害的行为则属于该条所禁止的不公平行为。
  1. Verkada 未能采取合理措施为其收集的用户数据提供应有的安全保障,导致这些数据在未经授权的情况下被访问,属上述条款所称之“不公平行为”。具体而言,Verkada 未能:
      • 对数据访问进行合理管控,例如采取最小特权原则(the principle of least privilege, PoLP)、使用多因素认证、对特定行为发出预警;
      • 采取数据保护措施以防止数据丢失,例如识别敏感数据并分类、监控数据泄露等可疑活动;
      • 实施集中式日志管理(centralized logging)、部署警报功能;
      • 制定并实施适当的安全漏洞管理标准、政策和程序,例如对产品或应用程序的安全功能、网络和数据库进行测试和评估。
      • 采用适当的网络安全措施,例如禁用不必要的端口、协议和服务,正确配置防火墙;
      • 在存储和传输时,对用户数据进行充分加密;
      • 制定并实施适当的信息安全标准、政策和程序,评估其执行情况,并对员工进行培训。
  1. Verkada 在宣传时,对其产品的安全性能及其隐私保护实践作出了虚假或误导性的陈述,属上述条款所称之“欺骗性行为”。具体而言,Verkada 直接或间接地表示其为保护用户数据采取了适当的安全措施,声称在隐私保护方面符合《健康保险可携带性和责任法案》(HIPAA)、并通过了欧盟-美国隐私盾框架和瑞士-美国隐私盾框架的认证,但均与事实不符。
  1. Verkada 曾利用员工和风险投资人对其产品发布的正面评价进行宣传,并声称这些评价反映了广大消费者的普遍意见,但却未披露这些评价的发布者与 Verkada 的关联性,属上述条款所称之“欺骗性行为”。

二、违反 CAN-SPAM 的行为

CAN-SPAM 第 5 条 (a) 节(15 U.S.C. § 7704(a))要求商业电子邮件中必须存在退出机制(Opt-Out;收件人可以凭借此机制拒绝接收商业电子邮件),并规定了退出机制的要求。Verkada 未能遵守这些要求,具体而言:
  1. Verkada 未遵守收件人的退出要求,违反 CAN-SPAM 第 5 条 (a) 节第 (4) 段的规定,该条款要求在收到收件人的退出要求超过 10 个工作日后,不得再向该收件人发送其拒绝范围内的商业电子邮件。
  1. Verkada 未以清晰和显著的方式对退出机制进行提示,违反 CAN-SPAM 第 5 条 (a) 节第 (5) 段的规定,该条款要求在商业电子邮件中应以清晰和显著的方式告知收件人可以凭借退出机制拒绝接收商业电子邮件。
  1. Verkada 未在商业电子邮件中提供有效的线下邮寄地址,违反 CAN-SPAM 第 5 条 (a) 节第 (5) 段的规定,该条款要求商业电子邮件中应包含有效的线下邮寄地址。

合规启示

持有个人数据的企业必须考虑这些数据可能面临的风险,提供相适应的安全保障。目前,全球各个国家和地区的数据保护法规几乎都要求个人数据持有者采取适当、合理的措施以保护个人数据的安全性、保密性和完整性。即便没有明确规定,执法机构也可能从公平交易的一般原则中解释出此项义务,本案即是一个很好的例证。事实上,虽然 FTC Act 主要关注的是消费者权益,其本身并无直接与隐私保护相关的规定,但企业在隐私保护方面的不足可能会落入该法第 5 条所禁止的“不公平行为”的范畴,因此实践中 FTC 也会参与到隐私保护领域的执法。
同时,本案以及其他一些 FTC 的执法案例也体现出,夸大所采取的隐私保护措施等安全措施,例如宣称采用“最先进的加密技术”,而实际上仅使用了一些简单甚至过时的加密算法,则很可能会被 FTC 认定为是法律所禁止的“欺骗性行为”,从而面临处罚。因此,我们建议企业在对外宣传产品的安全性能与隐私保护实践时避免使用夸大性、不实性陈述,避免有存在欺骗、误导消费者的可能。
此外,在发送电子营销邮件以推广产品或服务时,需按照相关规定设立有效的退出机制,在收件人表示拒绝后停止向其发送其拒绝范围内的营销邮件。还应注意的是,部分国家或地区对此问题作出了更加严格的规定,例如欧盟《电子隐私条例》(e-Privacy Regulation)要求向自然人发送直接营销通信(包括电子营销邮件)必须事先取得该自然人的同意。