法律专家和前联邦官员表示,推特前安全主管本周披露的爆炸性举报事件使该公司面临新的联邦调查,并可能面临美国政府数十亿美元的罚款、更严格的监管义务或其他处罚。
Twitter 面临着源自 Peiter “Mudge” Zatko 举报人披露的巨大法律风险,他在一份声明中声称 近200页的披露 向当局表示,该公司充满了信息安全缺陷,而且在某些情况下,其高管甚至在公司状况方面误导了董事会和公众,甚至是彻头彻尾的欺诈行为。
Twitter 指责 Zatko 自 2020 年 XNUMX 月起在该公司工作,直到今年 XNUMX 月因 Twitter 所说的表现不佳而被解雇,他指责他“对 Twitter 以及我们的隐私和数据安全实践进行虚假叙述,充满了不一致和不准确的地方,缺乏重要的背景。” Zatko 是一位备受推崇的网络安全专家,拥有在 Google、Stripe 和国防部担任高级职务的经验。 美国有线电视新闻网 (CNN) 和《华盛顿邮报》周二首次报道了他的举报人披露情况。
遵守 2011 年 FTC 隐私和解协议
扎特科在向美国政府披露的信息中声称,Twitter 在网络安全方面存在“严重缺陷”,在处理用户数据方面故意误导监管机构,并且该公司没有履行其在网络安全方面的义务。 2011年隐私解决方案 与联邦贸易委员会 - 一项具有法律约束力的命令,除其他外,要求建立“合理的保障措施”来保护用户的个人信息。 联邦贸易委员会拒绝就这一披露发表评论。
Zatko 的谴责性披露称,大约一半的 Twitter 员工,包括所有工程师,对公司的实时产品(在公司内部称为“生产”)以及实际用户数据拥有过多的内部访问权限。 它还声称该公司缺乏抵御内部威胁、外国政府和意外数据泄露的能力。
披露称:“基本的工程和安全原则是应尽可能限制对实时生产环境的访问。” “但在 Twitter,工程师直接在生产中构建、测试和开发新软件,可以访问 Twitter 系统中的实时客户数据和其他敏感信息。”
Twitter 告诉 CNN,其 FTC 合规记录不言而喻,并援引了根据 2011 年同意令向该机构提交的第三方审计。 Twitter 补充说,它遵守相关的隐私法规,并且一直向监管机构公开其为修复系统缺陷所做的努力。 Twitter 表示,扎特科没有参与审计工作,也没有完全理解 Twitter 的 FTC 义务或该公司如何履行这些义务。
该披露称,Zatko 的员工“非常熟悉”Twitter 在 FTC 面前提出的问题,并且正是他们告诉 Zatko Twitter 从未遵守 2011 年的命令,也没有按计划实现合规。
“我们绝对支持马奇披露的内容,”扎特科的律师兼代表他的组织举报人援助组织的创始人约翰·泰伊告诉美国有线电视新闻网。
扎特科可能有资格因其举报活动而获得美国政府的奖金。 SEC 表示,如果罚款金额超过 30 万美元,SEC 提供的“导致成功执法行动的原始、及时且可信的信息”可以使举报人获得与该行动相关的机构罚款最高 1% 的减免。 自 1 年以来,SEC 已向 270 多名举报人奖励了超过 2012 亿美元。
泰伊说,扎特科向美国证券交易委员会提交了他的披露信息,“以帮助该机构执行法律”,并获得联邦举报人的保护。 “奖励的前景并不是马奇做出决定的因素,事实上,当他决定成为一名合法举报人时,他甚至不知道奖励计划。”
联邦贸易委员会 (FTC) 几个月后才披露举报人信息 提出了自己的指控 Twitter 滥用账户安全信息用于广告目的,违反了 2011 年的命令。 推特 同意支付150亿美元 XNUMX 月,联邦贸易委员会达成第二项和解协议,以解决这些索赔问题。
现在,Zatko 的披露引发了 Twitter 可能再次违反 FTC 承诺的可能性,据 2011 年 Twitter 达成和解时担任 FTC 主席的乔恩·莱博维茨 (Jon Leibowitz) 称,这对于一家公司及其高管来说是一个极其危险的处境。
莱博维茨在接受 CNN 采访时表示:“如果事实属实,它们将违反该命令和联邦贸易委员会法案,这将使 Twitter 成为三连败。” “联邦贸易委员会没有理由不对他们进行处罚。” 当然,莱博维茨补充说,联邦贸易委员会需要首先进行彻底调查,以确定是否发生了新的违规行为。
参议院消费者保护小组委员会主席、康涅狄格州前总检察长、参议员理查德·布卢门撒尔 (Richard Blumenthal) 在周二的一份声明中表示,扎特科的披露“表明 Twitter 安全失败的责任在于高层。”
他在一封信中进一步敦促联邦贸易委员会对这些指控进行调查,称如果发现推特高管违反了联邦贸易委员会法案或推特同意令,官员们应该对其处以罚款并追究其个人责任。 布卢门撒尔在信中表示,联邦贸易委员会自身的信誉受到威胁,该信也在周二发送给联邦贸易委员会。
布卢门撒尔写道:“如果委员会不大力监督和执行其命令,这些命令就不会受到认真对待,这些危险的违规行为将继续存在。”
“事情实际上变得更糟了”
根据其章程,联邦贸易委员会有权起诉“不公平或欺骗性的商业行为和做法”。 在互联网时代,这越来越意味着要追究那些声称保护消费者数字信息但实际上未能兑现其公开声明或歪曲这些保护措施的公司。
Twitter 最初的 2011 年和解协议源于 两起涉嫌事件 尽管 Twitter 公开声明保护用户隐私和安全,但黑客仍能够破解脆弱的员工密码并滥用其访问权限来接管 Twitter 帐户并窥探私人信息。
Twitter 的和解协议并不意味着承认存在不当行为。 但它 必须 Twitter 将创建“一个全面的信息安全计划,该计划经过合理设计,旨在保护非公开消费者信息的安全、隐私、机密性和完整性”——Zatko 声称这一承诺从未兑现。
作为今年最新的 FTC 和解协议的一部分,Twitter 承诺承担更精细的网络安全义务,包括对所有包含用户数据的数据库以及授予员工访问 Twitter 帐户或拥有信息的系统制定“访问策略和控制” “启用或促进”对 Twitter 内部系统的访问。 这些义务在法官今年春天签署命令后已经生效,进一步加大了 Twitter 潜在的法律风险。
尽管 Twitter 的监管要求越来越高,但扎特科声称,自十多年前联邦贸易委员会首次投诉以来,该公司并没有发生太大变化。
“事情实际上变得更糟了,”他向国会透露的情况称。 该披露称,尽管 Twitter 去年正在积极与联邦贸易委员会进行第二次和解谈判,但该公司在另一起完全独立的事件中,允许同样类型的出于广告目的滥用数据的情况再次发生。
在回答 CNN 提出的 50 多个与该披露相关的具体问题时,Twitter 没有回应扎特科围绕该事件的指控。 它确实承认,只要有特定的业务理由,其工程和产品团队就能够访问 Twitter 的实时生产环境,并补充说其他部门的成员(例如财务、法律、营销、销售、人力资源和支持)则不能。 Twitter 还告诉 CNN,员工的计算机会被自动检查,以确定它们是否是最新的,而那些未通过检查的计算机将无法连接到生产环境。
新的和解或诉讼的可能性
披露的利害关系可能非常重大。 联邦贸易委员会发现推特第三次违反其命令,可能会导致该机构对该公司施加有史以来最严厉的处罚。 FTC 目前的主席也是 Lina Khan,她是一名 对科技平台的公开怀疑 以及她所说的“商业监控”行业,该行业从宽松的国家隐私规则中获利。 在汗的领导下,联邦贸易委员会正在考虑起草 全面的新隐私法规 这可能会直接影响包括 Twitter 在内的整个经济领域的公司,以及它们收集、使用和共享个人数据的方式。
前联邦贸易委员会官员表示,如果联邦贸易委员会断定发生了违规行为,它将有两种主要选择来追究推特的责任。 它可以寻求与该公司达成第三次和解,也可以就现有的同意令起诉 Twitter,并要求法院给予适当的处罚。
在达成和解的情况下,联邦贸易委员会甚至可以寻求点名个别高管的名字——追究他们的个人责任,并迫使他们承担自己的行为义务,如果他们或公司再次违反命令,他们可能要承担责任。
莱博维茨表示,如果事实证明推特确实违反了其法律义务,联邦贸易委员会应该“非常认真地考虑……对负责的高管进行责令”。
他补充说,仅仅威胁任命个别高管的名字就可能有效。 莱博维茨回忆道,在担任联邦贸易委员会主席期间,“我无法告诉你有多少首席执行官来到我的办公室说,‘请不要指名道姓’。 我只是不想被点名。 我不介意多付点钱; 我不介意我的公司是否受到更严厉的命令。 但我只是不想被透露姓名。”
曾参与该机构一些最大隐私案件的前联邦贸易委员会执法律师梅根·格雷表示,联邦贸易委员会可以使用的工具有很多。 (在扎特科的指控公开之前,CNN 与格雷进行了交谈,但没有透露这些指控的存在;周二,在 CNN 和《华盛顿邮报》报道了扎特科的披露后,CNN 再次采访了格雷。)
“不断升级的罚款、更多的合规报告、对其业务范围进行更精细的控制和限制,”格雷列出了一系列选项。 “或者要求广告获得机构预先批准,或者将其排除在某些类型的交易之外。”
该机构需要更多工具来让公司承担责任
Twitter 引用其第三方审计作为其遵守联邦贸易委员会承诺的证据。 但总的来说,联邦贸易委员会的审计要求在实践中经常发挥作用的方式很容易让公司摆脱困境,格雷说。
例如,格雷告诉美国有线电视新闻网,许多联邦贸易委员会的命令都写得足够广泛,允许公司根据其合规性的“证明”等来履行其义务——这是一个小指的承诺。 在向联邦贸易委员会提交的报告中,进行第三方审计的公司可能会简单地说或引用接受审计的公司的声明,表明该公司遵守规定。
从 2011 年到 2022 年,Twitter 向 FTC 发出的同意令允许基于证明的审计报告。 然后,在今年的第二次和解中,联邦贸易委员会使审计要求更加具体,禁止 Twitter 的第三方审计师“主要”依赖 Twitter 管理层的证明。
格雷表示,即使有这些类型的限制,仍有理由对联邦贸易委员会的审计报告持怀疑态度。 她说,这是因为第三方审计师的报酬不是由联邦贸易委员会支付,而是由接受审计的公司支付。
“因此,对于审计公司来说,激励措施完全不正常,”格雷补充道。
Twitter 告诉 CNN,审计只是 Twitter 为履行其联邦贸易委员会义务而必须采取的隐私和安全计划之一。
许多现任和前任联邦贸易委员会官员,以及美国立法者和消费者权益倡导者,都在推动赋予联邦贸易委员会更多工具来追究企业责任,特别是在去年最高法院审理之后 打倒 该机构在某些情况下寻求金钱救济的能力。
一些加强监管的支持者 已呼吁, 例如,让联邦贸易委员会对首次违反联邦贸易委员会法案的公司处以罚款。 目前,联邦贸易委员会一般只能寻求对公司施加民事处罚 在它违反了先前的和解之后。
另一位前联邦贸易委员会官员表示,就 Twitter 而言,第三次谈判同意令可能看起来很奇怪。为了更坦率地发言,他要求匿名。 但一旦发现违规行为,与任何案件一样,联邦贸易委员会将需要权衡它认为可以通过和解从 Twitter 获得的利益,以及该机构可能从初审法院获得的利益。
这位前官员表示,旷日持久的诉讼存在风险,法院实际上可能会减少联邦贸易委员会的裁决。
“有些人确实认为这些命令毫无意义,”这位前官员说,“但事实并非如此。 也许在某些情况下确实如此,但公司并没有认真对待它们。 但在很多情况下,他们确实这么做了,联邦贸易委员会可能会带来很多痛苦。 很多的痛苦。”
The-CNN-Wire™ & © 2022 Cable News Network, Inc.,华纳兄弟探索公司。 版权所有。
