De privacyagent van de FTC kraakt neer

Het is de taak van de Amerikaanse Federal Trade Commission om consumenten te beschermen tegen misleidende en oneerlijke handelspraktijken. En de laatste tijd begint bedrieglijk en oneerlijk te klinken als een goede beschrijving van de behandeling die consumenten op internet vinden.





Consument pleitbezorger: David Vladeck van de FTC heeft zaken aangespannen tegen Google en Facebook wegens privacyschendingen.

Sociale netwerken en adverteerders verzamelen enorme hoeveelheden informatie terwijl mensen op internet surfen. Toch begrijpen maar weinig consumenten de complexe privacyovereenkomsten die ze ondertekenen, of lezen ze zelfs maar. Bovendien negeren sommige internetbedrijven ze ook gewoon.

Onlangs heeft de FTC met 1100 medewerkers geprobeerd het gedrag van bedrijven met betrekking tot de online persoonlijke informatie van mensen te beteugelen. De afgelopen twee jaar heeft het boetes opgelegd aan gegevensmakelaars zoals Spokeo en bracht spraakmakende zaken aan tegen zowel Facebook als Google wegens het schenden van privacybeloften die de bedrijven aan honderden miljoenen consumenten hebben gedaan.



De commissie heeft hard gehandeld. Maar zijn gezag is fundamenteel beperkt. Het werkt op basis van wetten, zoals de Fair Credit Reporting Act uit 1970, die werden aangenomen voordat adverteerders konden volgen wat we online bekijken en voordat smartphones onze locaties konden lokaliseren. De FTC is van mening dat bredere nieuwe consumentenbescherming nodig is.

Het bureau heeft met internetbedrijven onderhandeld over een vrijwillige norm die bekend staat als Do Not Track. Het idee is om consumenten de mogelijkheid te geven om niet gevolgd te worden op internet terwijl ze browsen (en voor bedrijven om privacybeloften te doen die de FTC kan afdwingen). In maart gingen de vijf commissarissen van de FTC verder en riepen ze het Congres op om nieuwe basiswetgeving op het gebied van privacy en gegevensbeveiliging goed te keuren, waarin de verantwoordelijkheden worden vastgelegd van bedrijven die persoonlijke gegevens online of offline verzamelen.

David Vladeck, voormalig professor in de rechten en sinds lange tijd advocaat bij de consumentenwaakhondgroep Public Citizen, werd in 2009 directeur van het Bureau of Consumer Protection van de FTC. Vorige week sprak hij met Technologie beoordeling bedrijfsredacteur Jessica Leber.



KINDEREN : Wat zijn de risico's voor online consumenten?

Vladeck: Er zijn er meerdere. We hebben een migratie van traditionele fraude naar internet gezien. Alleen al in de afgelopen 18 maanden hebben we drie internetzwendelpraktijken stopgezet die consumenten bijna een miljard dollar opleverden. Een andere is privacy. De FTC wil ervoor zorgen dat consumenten controle hebben over hun persoonlijke informatie en dat ze gemakkelijke, effectieve en blijvende manieren hebben om die controle uit te oefenen. Ten derde maken we ons zorgen over kwaadaardige aanvallen - malware, spyware, spam - die de bruikbaarheid en veiligheid van internet dreigen te schaden.

Je hebt grote zaken aangespannen tegen Facebook en Google , en u eist dat ze tot 2032 elke twee jaar een audit ondergaan. Wat is het belang van die gevallen?



Dit zijn voorbeelden van handhavingsmaatregelen die we hebben genomen om ervoor te zorgen dat bedrijven zich houden aan de beloften die ze aan consumenten doen over privacy. Ik denk dat de toezegging die Google en Facebook hebben gedaan echt een belangrijke is. Er komen auditors binnen om te controleren of ze daadwerkelijk voldoen aan de verplichtingen die zijn vastgelegd in hun privacybeleid. De audits zijn bedoeld om ervoor te zorgen dat bedrijven privacy inbouwen bij elke stap van het aanbieden van een product of dienst. Dit gaat veel geld en veel tijd kosten voor bedrijven die niet op deze manier begonnen zijn. En ik denk dat het eerlijk is om te zeggen dat noch Facebook noch Google dat deed.

Ze moeten teruggaan en hun bedrijf opnieuw opbouwen op een manier die rekening houdt met privacy. Ik denk dat dit belangrijke signalen zijn voor de industrie. Dit zijn de grootste kinderen van het blok.

U kwam bij de FTC en wilde haar benadering van privacy veranderen. Wat was het probleem?



Ons privacyraamwerk is voornamelijk ontwikkeld vóór de komst van internet. Dat begon al te rafelen toen internet een belangrijk communicatiemiddel werd. Bedrijven zouden een privacybeleid ontwikkelen. Ze zouden moeilijk te vinden zijn op internet. Ze zijn geschreven door advocaten zoals ik die privacybeleid gebruiken, niet alleen om te praten over hoe gegevens zouden worden gebruikt en verzameld, maar ook om aansprakelijkheid af te wijzen en om elke jota en tittel aan te pakken die het bedrijf zou willen aanpakken.

Toen ik hier aankwam, denk ik dat er een gedeeld gevoel was dat het paradigma dat in een papieren wereld had gediend, niet zo goed vertaalde naar een meer digitale wereld. We hebben geprobeerd dat paradigma te veranderen om minder afhankelijk te zijn van onbegrijpelijke privacyverklaringen en om consumenten controle over hun gegevens te geven.

Is dat de reden waarom de FTC het Congres heeft opgeroepen om nieuwe privacywetten goed te keuren?

We hebben op twee gebieden om actie van het congres gevraagd. Een daarvan is gegevensbeveiliging. Een deel van privacy is het beveiligen van gegevens. We zien keer op keer dat bedrijven echt gevoelige informatie vasthouden en geen redelijke voorzorgsmaatregelen nemen om die gegevens te beschermen. We willen dat het Congres ons de bevoegdheid geeft om civielrechtelijke sancties op te leggen aan bedrijven die hun verplichting om consumenteninformatie te beschermen niet respecteren. Onlangs hebben we er bij het Congres op aangedrongen om de basisprivacywetgeving vast te stellen. We kunnen basisprivacybescherming stimuleren door middel van openbaar onderwijs, beleidsvorming en handhaving. Maar de basisprivacywetgeving zou ons een breder instrument geven. Het zou ook beter zijn om het speelveld te egaliseren, zodat bedrijven die privacy respecteren niet benadeeld worden op de markt.

In de tussentijd, uw bureau aanbevolen dat internetbedrijven vrijwillig een Do Not Track-beleid hanteren. Wat als ze dat niet doen?

We hopen dat de industrie, en de browsermakers en de adverteerders, allemaal gaan zitten en een Do Not Track-regime bedenken dat voldoet aan de markeringen die we hebben vastgelegd. Ik denk dat als ze dat niet doen, de kans groot is dat het Congres dit zelf zal opleggen.

Hoe kunnen we erop vertrouwen dat bedrijven zich aan Do Not Track houden als het vrijwillig is?

We zijn van mening dat als een bedrijf die toezegging doet en deze schendt, we dat kunnen detecteren, en dat zal leiden tot een handhavingszaak. We hebben de autoriteit om mensen in principe aan hun beloften over privacy te houden. We hebben technologen in dienst die ons verzekeren dat er al manieren zijn waarmee wij en anderen tracking kunnen detecteren, hoe geavanceerd ook.

Heb je daarom technologie-experts ingehuurd?

Ik denk niet dat we een effectieve handhavingsinstantie kunnen zijn, tenzij we de technologische capaciteit hebben om schendingen op te sporen en voor de rechtbank te bewijzen. Ongeveer twee jaar geleden zijn we begonnen met de bouw van het eerste forensische mobiele lab, voor het kijken naar mobiele apparaten. Onze zorg is dat we zowel privacyschendingen als fraude zien migreren naar smartphones. En we wilden niet alleen de mogelijkheid hebben om erachter te komen dat ze plaatsvonden, maar ook om in realtime bewijsmateriaal te verzamelen dat we vervolgens konden gebruiken in een gerechtelijke procedure. we hebben bewezen , bijvoorbeeld dat een app-bedrijf voor kinderen de geolocatiegegevens van kinderen verzamelde zonder toestemming van de ouders.

Maar er zijn tal van uitdagingen. Er is kant-en-klare software die u kunt gebruiken om bewijsmateriaal vast te leggen voor gewone computers. Op dit moment is er geen mobiele telefoon die de soorten brede bewijzen kan vastleggen die we nodig hebben. We moesten dus ingenieus zijn in het samenstellen van ons lab.

Houdt het forensisch laboratorium apps in het algemeen in de gaten of richt het zich op opsporing?

We doen onderzoeken, waar we je hier niet over gaan vertellen. Een voorbeeld dat u een idee geeft van het werk: We did een verslag op kinder-apps ongeveer drie maanden geleden. We hebben waarschijnlijk 500 of 600 apps getest.

Welke mobiele privacyvragen denkt u dat in de nabije toekomst belangrijk zullen zijn?

Zoals u weet, gebruiken overzeese mensen hun smartphone nu als portemonnee. Die technologie komt naar de VS en komt heel snel. Het is duidelijk een groot gemak voor consumenten, maar er zijn ernstige privacy- en beveiligingsproblemen. We hebben in mei ook een grote conferentie gehouden over wat we dotcom-onthullingen noemen. Dat wil zeggen: hoe kunt u effectieve [privacy] onthullingen doen op uw smartphone gezien het kleine onroerend goed?

[Noot van de redactie: de FTC heeft verduidelijkt dat het de apps voor kinderen niet heeft gedownload of getest. Zoals beschreven in haar rapport, heeft het de privacyverklaringen en beschrijvingen van die apps bestudeerd.]

zich verstoppen