美国联邦贸易委员会国际事务办公室迈克尔·潘泽拉先生在第五届APEC电子商务工商联盟论坛上演讲

美国联邦贸易委员会国际事务办公室迈克尔·潘泽拉先生

迈克尔·潘泽拉：我感到非常荣幸能够参加会议，我要解释一下美国联邦贸易委员会的制度，所以我先要抱歉一下，因为我的中文不够，不太标准，所以我不敢说。但是我没有时间翻译我的ppt，非常抱歉，对不起。

这边我开始说英文，抱歉翻译听了我很烂的中文。今天我们听到过有关国际跨国大公司，他们是如何做尽职调查的，包括对第三方的，包括供应商的合规的最低的要求，包括个人信息的隐私信息的保护。在我这边，想要先说一些，就是为什么有这样的需求。就是说，我们这个数据安全为什么这么重要，为什么要保护个人信息。我们说在联邦政府当中，电子商务是一个非常好的开发国际国家经济的一个方式。但是如何进行开发，来进一步发展电子商务呢？约翰刚才所说的，一是要建立信任。你可以有很多的开发的项目，你可以有很多的发展项目，你也可以有一些可持续的发展项目，而且基于这些项目的支持，来开发一些项目，专门针对这些保密隐私信息的。我们要知道，在这当不单单是有关隐私的问题，这个市场当中还包括一些数据的操作，比方说有些公司总是比较忽略一些它所收集的客户的个人隐私信息，因为我们要说到信息安全，一方面是信息的完整性，还有一方面是信息的隐私性。

对于联邦政府是鼓励，比如美国联邦贸易委员会，就要求能够在这方面采取最佳实践，而且采取所给的一个指南的政策，来应对这方面的挑战。还有包括我们的执法团队，如果你违规的话他们会来惩罚你的。只要你的业务涉及到其它的业务合作伙伴，或者是客户或者是其它利益相关方，如果他们的相关隐私受到侵犯，你也会受到惩罚。刚才徐秀智说到数据桥梁的问题，有的公司这方面做得很差，收集到数据之后不知道怎么样很好的存储。包括也说到有些供应商在数据的利用方面做得很差，这边就要求他们做好，来达到标准。对于联邦政府来讲就是充分考虑到了隐私的重要性。他们考虑这个问题，如果所有的公司能够很好的享受到被充分保护的业务环境所带来的益处的时候，这是多么美好。尤其是所有人知道他们的隐私会得到很好的保护，他们会非常乐意见到这样的事情。

在中国，非常大的电子商务公司，包括世界五百强的公司，都非常注重这一点，就是要保护他们的供应链是安全的。我今天要说到一些有关的最佳实践是什么，我会说到一些例子。我们的司法是什么样的，指导原则是什么样的，第三点是告诉大家一些案例分享，有关我们的法规的执行，针对那些对隐私做得不好的这些公司该怎么来做，看看时间够不够，最后可能会告诉大家一些非常具体的美国联邦的法律。在最后可能会说到教育和国际合作，当然时间允许的话我才能说，这上面有非常丰富的信息。

那么在这之前已经提到了一些基本原则，我这里要问这样一个问题，FTC是否有这样的权限来监督我们的隐私呢？我要告诉大家，对于数据隐私并不是非常简单的统一的法律。在美国，我们有不同州的法律，所以FTC在这里有一个很好的解读，就是怎么很的保护消费者的相关隐私信息。如何根据这个规则来保护我们的消费者的隐私信息。这边有主要的管理区域，首先是不正当的竞争，有一个是欺诈法案。什么叫欺诈行为？就是有一些公司对于整个的法律注解不对，他们误解读了，所以他们在信息披露方面没有尊重隐私，所以我们的法案就针对它来实施，我们可以针对它来启动这样一个不正当行为的法案。有时候，对于消费者来讲是比较弱势的一方，他们不清楚会出现什么样的漏洞。而我们会从专业的角度来执掌立法。

确保客户隐私数据安全，我们在美国境内根据这个原则，我们必须保护客户的敏感隐私信息。而且他们必须要在收集信息的时候，向我们要提交相关的报告，说明他们会如何进行处理。

我们的指导原则就是，我会说明这个原则是什么，我们是什么样的合理的原则。实际上要有一个概念，之前提到跨境的隐私框架，有区域内的执法监管法律单位。在国际上，对最佳实践是有一个共识的，他们已经共识到有些方法，事实上是做得非常好，有些公司有些组织在这方面做得非常好。对于消费者来讲，他有知情权，他要知道对于公司收集他们的隐私信息之后是怎么处理的。消费者比较弱势，他们无法充分的了解和意识到公司可能会如何使用收集到的信息。有的信息，可能第一轮使用之后会再利用第二轮，有时候可能会用作营销，通过E-mail推送一些信息，这些可能是消费者不希望看到的。这些信息如果想进入市场，我们会要求他们提供相关的报告，来说明你要使用这些信息。当他们把这些信息转交给第三方的时候，实际上做了很多外包的服务，有很多的顾虑，很多的支付的服务不是自己做的，是外包给第三方做的。那么他们要意识到这些信息的使用是第三方的，从而让他们充分的意识到这是安全的。在这之后，还有对消费者来讲，他是有权利来访问自己的这些信息，这些信息如果不正确，他们是有权利进行，针对某一公司的信息来进行更正，因为错误的信息可能会有很负面的效果。错误的信息可能会导致他们的信用下降，包括他们在批贷款的时候可能更难批出来。所以这些信息非常重要。

所以有些信息可能是消费者没有意识到的，这边的框架可以充分的从国际层面，能够在保护消费者的隐私的基准上来保护他们的权益。

还有一个要重点说一下，执法方面的问题。我们是不断的鼓励使用最佳实践和指导方针，但是对政府部门来讲，还有一个很大的角色是说，法律是充分尊重了隐私，但是有些公司还是没有做，还是没有达到最低的法律法规，如果是这样的话会导致一系列的问题。这样的话它会被我们意识到，你会受到相应的惩罚。

去年我们刚刚发布的一个指导意见，帮助指导我们在电子商务方面企业对于隐私的保护。比方说我们通过制定我们的政策来保护隐私。比方说我们隐私的政策需要贯彻到，一开始就要参与到整个企业的运作当中。因此在这边强调的就是说，对于隐私的考量应该从一开始就去考虑到。那么这样子，从我们企业整个链条当中，都能够贯彻进去，其实我们也知道，很多网站上都有有关隐私条款，但是我们从来不会仔细去阅读，但是这个工作我们还是要在企业当中去做的。

此外第二点，我们要简化消费者所面临的选择，也就是说我们要将自己的解释语言更加的简化。我们鼓励公司，在和其它的公司，或者在传递自己的信息的时候，不是说扔给他们一大堆文件，而是要保证在这个环节当中，特别是跟消费者打交道的环节当中，要进行有效的沟通。所以我们在鼓励更加标准化的这样一个沟通。

在这边有两个理论，之前也提到了，第一是欺骗，第二是不公平。什么叫做欺骗？欺骗就是误读或者是说歪曲隐私条款，比分说在将信息交送给第三方的时候，没有给消费者相应的告知，或者说没有得到消费者的权限就这样做。说到公平，在操作的过程中应该要采用一种合理化的安全手续，不然就可能对消费者产生很大的伤害。不过我不想给大家留下这样一个印象，就是我们的FTC，只要违反了一点点数据安全，我们就会将他告上法庭，不是这样的，我们还有一定的合理性的宽容的范围。我们必须要有一个100%安全的环境，可是这样的环境其实是不存在的，这样的体制是不存在的。现在我们的挑战就是说，我们要意识到我们必须不断的持续的改进或者是说去升级更新我们的信息和数据，这是非常重要的。不是说你违反了我们的数据或者是信息的合同，我就会起诉你。虽然这样说，我们还是有可能会起诉一个企业，它有可能之前是违反了我们这个法案，它可能只是损害了一个消费者的利益。所以这就是我们合理化的意义。

我们在执法方面有哪些行动呢？这是针对公司来说的，范围非常的广，大家可以看到这边的清单非常的长，各种行动，也就是说如果说我们的公司，没有保存合理的信息或者数据的话，抑或是他们的数据保存得有缺陷，身份验证失败，或者员工的培训不够的话，这一切都可能是我们执法的范围。如果说他们在数据传输，特别是国际数据传输的流程当中，他们没有遵守我们的法规，没有合规的话，那也很有可能成为我们的执法对象。的确是如此，很有可能我们会将这样的消息放在新闻报纸上，没有企业想要得到这样的结果。

接下来我想和大家分享一些案例，我们的这些法规怎么样影响美国的公司，它对于美国公司的合作伙伴或者说供应商又有什么样的影响。有时候，他们会来问你，或者说美国的公司会对这些合作伙伴做一个尽职调查，有的时候他们不太理解，我们就要去解释。为什么要这样做呢？因为我们要合乎美国的隐私政策和法律。所以即使是一个在义乌的小公司，如果说你有一些外资的合作伙伴，你必须要对其有所了解，你必须要知道，它如果是美国公司的话，它必须要符合联邦法规。

这就是一个案例，GMR做了一个事情，就是转录。他们需要一个声音文件的转录，比方说他们去采访医生，他们可能会在采访当中提供一些关于医疗方面的，或者说病人的信息，这一切都是录音录下来的。这个公司可以下载这样的文件，那么接下来这个公司将它传输给在印度的第三方公司，再将这个声音文件转录成文字，是这样一个背景。那么大家可以想像，我们知道这是一个医疗的信息，非常的敏感，特别是涉及到一些病人的敏感信息，病人可能不太愿意去分享，那么我们发现GMR这个公司将这样的一些信息传给了在印度的第三方公司，这个公司再将这些录音传给一些个人的速录员，这些速记员就会将它转录成文字。因此大家就会看到，这个环节当中牵扯到很多的方面，有很多方的参与。那如果说，这样的一个链条上有所缺陷的话，那怎么保证我们信息的安全性？的确我们是发现了这样的事情。

我们要保证GMR有合理的措施，来防止信息的不安全。我们在调查当中发现他们没有这样的政策，没有适当的措施去防止未经授权的访问。那么有可能对于消费者来说，会损害他们的利益。我们在这边的一个主诉是什么？就是美国的GMR公司未能保证提供给印度第三方的信息是有安全性保护的，并且它违反了联邦的信息安全法。之前也解释了我们怎么要求所有的供应商遵守数据安全、信息安全政策，因为我们意识到在这个环节当中存在风险。所以我在这边也是提醒大家，你必须在和外资合作伙伴做交易的时候，要将这点考量进去。

我刚才也是说了，你必须要在这个公司当中去配置这样的一套政策，可是如果你没有去跟进，没有保证它落实到实处，这也是无用功。你必须要保证它这个体系执行的完整性、数据的完整性。我们知道公司必须要负责整个信息传输的安全性，如果说你没有办法保证在印度这边的信息安全的话，你也要去负责。但是过程当中发现他们并没有安全相关的合同，印度这一方没有签订这样的合同，所以这个问题就非常的大。这也就是我的案例分享，相信大家也知道了，为什么我们一再的去强调信息和数据安全政策非常重要，这对消费者来说十分重要，这对于我们整个跨国企业以及小企业来说，都是至关重要的。

最后这就是我的发言内容，谢谢。