美國聯(lián)邦貿(mào)易委員會國際事務(wù)辦公室邁克爾·潘澤拉先生

    邁克爾·潘澤拉：我感到非常榮幸能夠參加會議，我要解釋一下美國聯(lián)邦貿(mào)易委員會的制度，所以我先要抱歉一下，因為我的中文不夠，不太標(biāo)準(zhǔn)，所以我不敢說。但是我沒有時間翻譯我的ppt，非常抱歉，對不起。

    這邊我開始說英文，抱歉翻譯聽了我很爛的中文。今天我們聽到過有關(guān)國際跨國大公司，他們是如何做盡職調(diào)查的，包括對第三方的，包括供應(yīng)商的合規(guī)的最低的要求，包括個人信息的隱私信息的保護(hù)。在我這邊，想要先說一些，就是為什么有這樣的需求。就是說，我們這個數(shù)據(jù)安全為什么這么重要，為什么要保護(hù)個人信息。我們說在聯(lián)邦政府當(dāng)中，電子商務(wù)是一個非常好的開發(fā)國際國家經(jīng)濟(jì)的一個方式。但是如何進(jìn)行開發(fā)，來進(jìn)一步發(fā)展電子商務(wù)呢？約翰剛才所說的，一是要建立信任。你可以有很多的開發(fā)的項目，你可以有很多的發(fā)展項目，你也可以有一些可持續(xù)的發(fā)展項目，而且基于這些項目的支持，來開發(fā)一些項目，專門針對這些保密隱私信息的。我們要知道，在這當(dāng)不單單是有關(guān)隱私的問題，這個市場當(dāng)中還包括一些數(shù)據(jù)的操作，比方說有些公司總是比較忽略一些它所收集的客戶的個人隱私信息，因為我們要說到信息安全，一方面是信息的完整性，還有一方面是信息的隱私性。

    對于聯(lián)邦政府是鼓勵，比如美國聯(lián)邦貿(mào)易委員會，就要求能夠在這方面采取最佳實踐，而且采取所給的一個指南的政策，來應(yīng)對這方面的挑戰(zhàn)。還有包括我們的執(zhí)法團(tuán)隊，如果你違規(guī)的話他們會來懲罰你的。只要你的業(yè)務(wù)涉及到其它的業(yè)務(wù)合作伙伴，或者是客戶或者是其它利益相關(guān)方，如果他們的相關(guān)隱私受到侵犯，你也會受到懲罰。剛才徐秀智說到數(shù)據(jù)橋梁的問題，有的公司這方面做得很差，收集到數(shù)據(jù)之后不知道怎么樣很好的存儲。包括也說到有些供應(yīng)商在數(shù)據(jù)的利用方面做得很差，這邊就要求他們做好，來達(dá)到標(biāo)準(zhǔn)。對于聯(lián)邦政府來講就是充分考慮到了隱私的重要性。他們考慮這個問題，如果所有的公司能夠很好的享受到被充分保護(hù)的業(yè)務(wù)環(huán)境所帶來的益處的時候，這是多么美好。尤其是所有人知道他們的隱私會得到很好的保護(hù)，他們會非常樂意見到這樣的事情。

    在中國，非常大的電子商務(wù)公司，包括世界五百強(qiáng)的公司，都非常注重這一點，就是要保護(hù)他們的供應(yīng)鏈?zhǔn)前踩?。我今天要說到一些有關(guān)的最佳實踐是什么，我會說到一些例子。我們的司法是什么樣的，指導(dǎo)原則是什么樣的，第三點是告訴大家一些案例分享，有關(guān)我們的法規(guī)的執(zhí)行，針對那些對隱私做得不好的這些公司該怎么來做，看看時間夠不夠，最后可能會告訴大家一些非常具體的美國聯(lián)邦的法律。在最后可能會說到教育和國際合作，當(dāng)然時間允許的話我才能說，這上面有非常豐富的信息。

    那么在這之前已經(jīng)提到了一些基本原則，我這里要問這樣一個問題，F(xiàn)TC是否有這樣的權(quán)限來監(jiān)督我們的隱私呢？我要告訴大家，對于數(shù)據(jù)隱私并不是非常簡單的統(tǒng)一的法律。在美國，我們有不同州的法律，所以FTC在這里有一個很好的解讀，就是怎么很的保護(hù)消費(fèi)者的相關(guān)隱私信息。如何根據(jù)這個規(guī)則來保護(hù)我們的消費(fèi)者的隱私信息。這邊有主要的管理區(qū)域，首先是不正當(dāng)?shù)母偁帲幸粋€是欺詐法案。什么叫欺詐行為？就是有一些公司對于整個的法律注解不對，他們誤解讀了，所以他們在信息披露方面沒有尊重隱私，所以我們的法案就針對它來實施，我們可以針對它來啟動這樣一個不正當(dāng)行為的法案。有時候，對于消費(fèi)者來講是比較弱勢的一方，他們不清楚會出現(xiàn)什么樣的漏洞。而我們會從專業(yè)的角度來執(zhí)掌立法。

    確?？蛻綦[私數(shù)據(jù)安全，我們在美國境內(nèi)根據(jù)這個原則，我們必須保護(hù)客戶的敏感隱私信息。而且他們必須要在收集信息的時候，向我們要提交相關(guān)的報告，說明他們會如何進(jìn)行處理。

    我們的指導(dǎo)原則就是，我會說明這個原則是什么，我們是什么樣的合理的原則。實際上要有一個概念，之前提到跨境的隱私框架，有區(qū)域內(nèi)的執(zhí)法監(jiān)管法律單位。在國際上，對最佳實踐是有一個共識的，他們已經(jīng)共識到有些方法，事實上是做得非常好，有些公司有些組織在這方面做得非常好。對于消費(fèi)者來講，他有知情權(quán)，他要知道對于公司收集他們的隱私信息之后是怎么處理的。消費(fèi)者比較弱勢，他們無法充分的了解和意識到公司可能會如何使用收集到的信息。有的信息，可能第一輪使用之后會再利用第二輪，有時候可能會用作營銷，通過E-mail推送一些信息，這些可能是消費(fèi)者不希望看到的。這些信息如果想進(jìn)入市場，我們會要求他們提供相關(guān)的報告，來說明你要使用這些信息。當(dāng)他們把這些信息轉(zhuǎn)交給第三方的時候，實際上做了很多外包的服務(wù)，有很多的顧慮，很多的支付的服務(wù)不是自己做的，是外包給第三方做的。那么他們要意識到這些信息的使用是第三方的，從而讓他們充分的意識到這是安全的。在這之后，還有對消費(fèi)者來講，他是有權(quán)利來訪問自己的這些信息，這些信息如果不正確，他們是有權(quán)利進(jìn)行，針對某一公司的信息來進(jìn)行更正，因為錯誤的信息可能會有很負(fù)面的效果。錯誤的信息可能會導(dǎo)致他們的信用下降，包括他們在批貸款的時候可能更難批出來。所以這些信息非常重要。

    所以有些信息可能是消費(fèi)者沒有意識到的，這邊的框架可以充分的從國際層面，能夠在保護(hù)消費(fèi)者的隱私的基準(zhǔn)上來保護(hù)他們的權(quán)益。

    還有一個要重點說一下，執(zhí)法方面的問題。我們是不斷的鼓勵使用最佳實踐和指導(dǎo)方針，但是對政府部門來講，還有一個很大的角色是說，法律是充分尊重了隱私，但是有些公司還是沒有做，還是沒有達(dá)到最低的法律法規(guī)，如果是這樣的話會導(dǎo)致一系列的問題。這樣的話它會被我們意識到，你會受到相應(yīng)的懲罰。

    去年我們剛剛發(fā)布的一個指導(dǎo)意見，幫助指導(dǎo)我們在電子商務(wù)方面企業(yè)對于隱私的保護(hù)。比方說我們通過制定我們的政策來保護(hù)隱私。比方說我們隱私的政策需要貫徹到，一開始就要參與到整個企業(yè)的運(yùn)作當(dāng)中。因此在這邊強(qiáng)調(diào)的就是說，對于隱私的考量應(yīng)該從一開始就去考慮到。那么這樣子，從我們企業(yè)整個鏈條當(dāng)中，都能夠貫徹進(jìn)去，其實我們也知道，很多網(wǎng)站上都有有關(guān)隱私條款，但是我們從來不會仔細(xì)去閱讀，但是這個工作我們還是要在企業(yè)當(dāng)中去做的。

    此外第二點，我們要簡化消費(fèi)者所面臨的選擇，也就是說我們要將自己的解釋語言更加的簡化。我們鼓勵公司，在和其它的公司，或者在傳遞自己的信息的時候，不是說扔給他們一大堆文件，而是要保證在這個環(huán)節(jié)當(dāng)中，特別是跟消費(fèi)者打交道的環(huán)節(jié)當(dāng)中，要進(jìn)行有效的溝通。所以我們在鼓勵更加標(biāo)準(zhǔn)化的這樣一個溝通。

    在這邊有兩個理論，之前也提到了，第一是欺騙，第二是不公平。什么叫做欺騙？欺騙就是誤讀或者是說歪曲隱私條款，比分說在將信息交送給第三方的時候，沒有給消費(fèi)者相應(yīng)的告知，或者說沒有得到消費(fèi)者的權(quán)限就這樣做。說到公平，在操作的過程中應(yīng)該要采用一種合理化的安全手續(xù)，不然就可能對消費(fèi)者產(chǎn)生很大的傷害。不過我不想給大家留下這樣一個印象，就是我們的FTC，只要違反了一點點數(shù)據(jù)安全，我們就會將他告上法庭，不是這樣的，我們還有一定的合理性的寬容的范圍。我們必須要有一個100%安全的環(huán)境，可是這樣的環(huán)境其實是不存在的，這樣的體制是不存在的。現(xiàn)在我們的挑戰(zhàn)就是說，我們要意識到我們必須不斷的持續(xù)的改進(jìn)或者是說去升級更新我們的信息和數(shù)據(jù)，這是非常重要的。不是說你違反了我們的數(shù)據(jù)或者是信息的合同，我就會起訴你。雖然這樣說，我們還是有可能會起訴一個企業(yè)，它有可能之前是違反了我們這個法案，它可能只是損害了一個消費(fèi)者的利益。所以這就是我們合理化的意義。

    我們在執(zhí)法方面有哪些行動呢？這是針對公司來說的，范圍非常的廣，大家可以看到這邊的清單非常的長，各種行動，也就是說如果說我們的公司，沒有保存合理的信息或者數(shù)據(jù)的話，抑或是他們的數(shù)據(jù)保存得有缺陷，身份驗證失敗，或者員工的培訓(xùn)不夠的話，這一切都可能是我們執(zhí)法的范圍。如果說他們在數(shù)據(jù)傳輸，特別是國際數(shù)據(jù)傳輸?shù)牧鞒坍?dāng)中，他們沒有遵守我們的法規(guī)，沒有合規(guī)的話，那也很有可能成為我們的執(zhí)法對象。的確是如此，很有可能我們會將這樣的消息放在新聞報紙上，沒有企業(yè)想要得到這樣的結(jié)果。

    接下來我想和大家分享一些案例，我們的這些法規(guī)怎么樣影響美國的公司，它對于美國公司的合作伙伴或者說供應(yīng)商又有什么樣的影響。有時候，他們會來問你，或者說美國的公司會對這些合作伙伴做一個盡職調(diào)查，有的時候他們不太理解，我們就要去解釋。為什么要這樣做呢？因為我們要合乎美國的隱私政策和法律。所以即使是一個在義烏的小公司，如果說你有一些外資的合作伙伴，你必須要對其有所了解，你必須要知道，它如果是美國公司的話，它必須要符合聯(lián)邦法規(guī)。

    這就是一個案例，GMR做了一個事情，就是轉(zhuǎn)錄。他們需要一個聲音文件的轉(zhuǎn)錄，比方說他們?nèi)ゲ稍L醫(yī)生，他們可能會在采訪當(dāng)中提供一些關(guān)于醫(yī)療方面的，或者說病人的信息，這一切都是錄音錄下來的。這個公司可以下載這樣的文件，那么接下來這個公司將它傳輸給在印度的第三方公司，再將這個聲音文件轉(zhuǎn)錄成文字，是這樣一個背景。那么大家可以想像，我們知道這是一個醫(yī)療的信息，非常的敏感，特別是涉及到一些病人的敏感信息，病人可能不太愿意去分享，那么我們發(fā)現(xiàn)GMR這個公司將這樣的一些信息傳給了在印度的第三方公司，這個公司再將這些錄音傳給一些個人的速錄員，這些速記員就會將它轉(zhuǎn)錄成文字。因此大家就會看到，這個環(huán)節(jié)當(dāng)中牽扯到很多的方面，有很多方的參與。那如果說，這樣的一個鏈條上有所缺陷的話，那怎么保證我們信息的安全性？的確我們是發(fā)現(xiàn)了這樣的事情。

    我們要保證GMR有合理的措施，來防止信息的不安全。我們在調(diào)查當(dāng)中發(fā)現(xiàn)他們沒有這樣的政策，沒有適當(dāng)?shù)拇胧┤シ乐刮唇?jīng)授權(quán)的訪問。那么有可能對于消費(fèi)者來說，會損害他們的利益。我們在這邊的一個主訴是什么？就是美國的GMR公司未能保證提供給印度第三方的信息是有安全性保護(hù)的，并且它違反了聯(lián)邦的信息安全法。之前也解釋了我們怎么要求所有的供應(yīng)商遵守數(shù)據(jù)安全、信息安全政策，因為我們意識到在這個環(huán)節(jié)當(dāng)中存在風(fēng)險。所以我在這邊也是提醒大家，你必須在和外資合作伙伴做交易的時候，要將這點考量進(jìn)去。

    我剛才也是說了，你必須要在這個公司當(dāng)中去配置這樣的一套政策，可是如果你沒有去跟進(jìn)，沒有保證它落實到實處，這也是無用功。你必須要保證它這個體系執(zhí)行的完整性、數(shù)據(jù)的完整性。我們知道公司必須要負(fù)責(zé)整個信息傳輸?shù)陌踩裕绻f你沒有辦法保證在印度這邊的信息安全的話，你也要去負(fù)責(zé)。但是過程當(dāng)中發(fā)現(xiàn)他們并沒有安全相關(guān)的合同，印度這一方?jīng)]有簽訂這樣的合同，所以這個問題就非常的大。這也就是我的案例分享，相信大家也知道了，為什么我們一再的去強(qiáng)調(diào)信息和數(shù)據(jù)安全政策非常重要，這對消費(fèi)者來說十分重要，這對于我們整個跨國企業(yè)以及小企業(yè)來說，都是至關(guān)重要的。

    最后這就是我的發(fā)言內(nèi)容，謝謝。