FTC-reglering av beteendebaserad reklam
United States Federal Trade Commission (FTC) har varit inblandad i övervakningen av beteendeinriktningstekniker som används av onlineannonsörer sedan mitten av 1990-talet. Dessa tekniker, från början kallade "onlineprofilering", kallas nu för " beteendemålinriktning" ; de används för att rikta beteendereklam online (OBA) till konsumenter baserat på preferenser som härleds från deras onlinebeteende. Under perioden från mitten av 1990-talet till idag höll FTC en serie workshops, publicerade ett antal rapporter och gav många rekommendationer angående både industrins självreglering och federal reglering av OBA . I slutet av 2010 föreslog FTC ett rättsligt ramverk för amerikanska konsumentdatasekretess inklusive ett förslag om en "Do Not Track"-mekanism. Under 2011 infördes ett antal lagförslag i USA:s kongress som skulle reglera OBA.
Tidig historia
"Federal Trade Commission har varit involverad i att ta itu med sekretessfrågor online nästan lika länge som det har funnits en onlinemarknad." FTC ansvarar nu för upprätthållandet av ett antal sektorspecifika integritetsstatyer, inklusive Gramm-Leach-Bliley Act , Children's Online Privacy Protection Act , CAN-SPAM Act of 2003 , och Telemarketing and Consumer Fraud and Abuse Prevention Act ("Ring inte-regeln").
Under 1995, 1996 och 1997 höll FTC offentliga workshops som utforskade frågor om konsumentdataskydd. Vid dessa workshops pressade förespråkare för onlinereklambranschen på självreglering, medan integritetsförespråkare hävdade att självreglering endast kunde vara framgångsrik om den backades upp av "lagligt verkställbara rättigheter till informationsintegritet". Branschlobbyister argumenterade för opt-out , som tillåter företag att använda personlig information för de syften som anges i en integritetspolicy eller annan form av meddelande, såvida inte konsumenten "väljar bort" och meddelar företaget att inte använda personuppgifterna i en viss sätt, till exempel för marknadsföring. Integritetsförespråkare argumenterade för förhandsgodkännande och föreslog att programvara kunde användas av konsumenter för att kommunicera sina integritetspreferenser automatiskt.
1998 släppte FTC en rapport där den genomförde en omfattande granskning av kommersiella webbplatsers avslöjande av deras sekretesspraxis och fastställde Fair Information Practice Principles (FIPPs). Rapporten drog slutsatsen att, "som bevisas av kommissionens undersökningsresultat, och trots kommissionens treåriga integritetsinitiativ som stöder ett självreglerande svar på konsumenternas integritetsproblem, har den stora majoriteten av onlineföretag ännu inte antagit ens mest grundläggande rättvis informationspraxis (meddelande/medvetenhet)”.
FTC höll ytterligare en offentlig workshop 1999 och släppte i maj 2000 en rapport som för första gången rekommenderade kongressen att anta sekretesslagstiftning online för att skapa en grundläggande nivå av dataintegritetsskydd för konsumentinriktade kommersiella webbplatser.
I juli 2000 rekommenderade FTC för första gången att lagstiftning skulle antas för att skydda Internetanvändares integritet gentemot profilering online. FTC uttalade vidare att "backstop-lagstiftning som tar itu med onlineprofilering fortfarande krävs för att fullt ut säkerställa att konsumenternas integritet skyddas online" och rekommenderade att [teknikneutral] lagstiftning antas som skapade en grundläggande nivå av integritetsskydd för användare av "konsumentorienterad kommersiella webbplatser med avseende på profilering”. Enligt FTC:s förslag från 2000 skulle alla onlineannonseringsnätverk och konsumentinriktade kommersiella webbplatser som möjliggjorde insamling av information från eller om konsumenter vara skyldiga att implementera och följa FIPPs.
Kongressen antog inte FTC:s rekommenderade lagstiftning, och ytterligare ett decennium skulle gå innan FTC återigen föreslog lagstiftning för att reglera OBA.
FTC-kommissionär Timothy Muris vände FTC:s uppmärksamhet bort från integritetsskydd online och OBA-reglering 2001, och sa: "[d]en avbromsning av internettillväxten understryker behovet av att förstå kostnaderna för integritetslagstiftning på nätet ... Vid denna tidpunkt behöver vi mer brottsbekämpning, inte fler lagar”.
Återgå till regleringsfokus
2006 tog FTC återigen upp manteln av online integritetsskydd vid FTC-forumet i november 2006, "Tech-ade", som undersökte den "nyckelteknologiska och affärsmässiga utvecklingen som kommer att forma konsumenternas kärnupplevelser under de kommande tio åren". Deltagarna på forumet beskrev hur tekniska framsteg inom profilering online (nu kallad "beteendebaserad" reklam, inriktning eller marknadsföring) hade gjort det möjligt för praktiken att bli mer utbredd och effektiv.
Med utgångspunkt i Tech-ade-utfrågningarna, stod FTC värd för ett rådhusmöte i november 2007 som fokuserade specifikt på integritetskonsekvenserna av beteendebaserad reklampraxis som kallas "Ehavioral Advertising: Tracking, Targeting, and Technology". Det offentliga mötet föranleddes delvis av tillväxten av beteendebaserad reklam och stora internetföretags intresse av att använda sådana tekniker för att leverera snävt riktade annonser. Dessa utvecklingar inkluderade Googles planer på att förvärva DoubleClick , AOL :s intresse i Tacoda och Microsoft och Yahoos fortsatta expansion av sina egna beteendebaserade reklamprodukter. De inkluderade också en presentation av eBay med en livedemonstration av webbplatsen ebay.com, som lyfte fram den första på annonslänkar som gör det möjligt för konsumenter att välja bort beteenderelaterade annonser via ett eBay-program som heter AdChoice.
I december 2007 offentliggjorde FTC en uppsättning föreslagna "principer" avsedda att ge en grund för onlinereklambranschens självreglerande ansträngningar för att ta itu med integritetsproblem. Principerna "uppmanar företag att erhålla bekräftande uttryckligt samtycke från konsumenter innan de använder data på ett sätt som är väsentligt annorlunda än vad som utlovades vid tidpunkten för insamlingen och innan de samlar in och använder "känsliga" konsumentdata för beteendebaserad reklam".
FTC följde upp denna rapport från 2007 med ytterligare en rapport 2009, som ytterligare förtydligade självregleringsprinciperna. Vid den tiden föreslog en koalition av konsumentgrupper en "Do Not Track List" i sina kommentarer till 2007 års rådhusmöte.
FTC:s rapport för 2010
I en rapport från december 2010 föreslog FTC ett nytt regelverk för konsumentdatasekretess, inklusive ett förslag om en "Do Not Track"-mekanism som skulle tillåta internetanvändare att välja bort OBA.
I rapporten beskriver FTC begränsningarna i den befintliga meddelande- och valmodellen, som den säger, "har blivit alltmer uppenbara de senaste åren". FTC säger att den meddelande- och valbaserade modellen "uppmuntrar företag att utveckla sekretessmeddelanden som beskriver deras informationsinsamling och användningsmetoder för konsumenter, så att konsumenter kan göra medvetna val". Men "meddelande-och-val-modellen, som den har implementerats, har lett till långa, obegripliga integritetspolicyer som konsumenter vanligtvis inte läser, än mindre förstår. Likaså har den skadebaserade modellen kritiserats för att inte erkänna ett bredare spektrum av integritetsrelaterade problem, inklusive skada på rykte eller rädsla för att bli övervakad”.
För att lösa problemen med den meddelande-och-val-baserade modellen, uppmanar FTC:s föreslagna integritetsramverk företag att ge konsumenterna ett meningsfullt val när det gäller OBA-spårning, men anger "en begränsad uppsättning datapraxis för vilka val är inte nödvändigt” som kallas ”allmänt accepterad praxis”. De allmänt accepterade metoderna inkluderar: Produkt- och tjänstuppfyllelse, intern verksamhet, bedrägeriförebyggande, laglig efterlevnad och förstapartsmarknadsföring, inklusive kontextuell marknadsföring.
OBA, tillsammans med deep packet inspection (DPI), noteras specifikt som inte "allmänt accepterad praxis". Dessutom sägs det i rapporten att FTC stöder tidigare "bekräftande uttryckligt samtycke" när det gäller insamling av "känslig information" (barn, ekonomisk och medicinsk information, exakt geolokaliseringsdata ) för OBA.
Spåra inte
I 2010 års rapport föreslog FTC en "enhetlig och omfattande mekanism för konsumentval" för OBA, kallad "Do Not Track". FTC säger, "[d]en mest praktiska metoden för att tillhandahålla enhetliga val för beteendebaserad annonsering online skulle sannolikt innebära att placera en inställning som liknar en beständig cookie i en konsuments webbläsare och förmedla den inställningen till webbplatser som webbläsaren besöker, för att signalera om eller inte konsumenten vill bli spårad eller få riktade annonser”. FTC anser att en "Do Not Track"-mekanism är att föredra framför befintliga webbläsarbaserade cookie-opt-outs eftersom den är mer "tydlig, lätt att hitta och effektiv" och den förmedlar användarens val att välja bort spårning direkt till webbplatser .
FTC går till kongressen
Den 16 mars 2011 framträdde FTC inför USA:s senats handelskommitté . Vid utfrågningen rekommenderade FTC att införa strängare åtgärder för att skydda Internetanvändare mot obehörig spårning till stöd för beteendebaserad reklam, inklusive en universell webbläsarinställning för inte spåra.
FTC tillkännagav också sitt första ärende för beteendebaserad reklam, inlämnat mot nätverksannonsören Chitika för att ha använt en vilseledande opt-out-mekanism. Som en del av uppgörelsen krävde FTC att Chitika kopplade all sin reklam till en effektiv opt-out-mekanism i framtiden. Det har kommenterats att "[detta] krav på en hyperlänk inbäddad i onlineannonser är en bra indikator på vilken typ av Do Not Track-mekanism som kommer att accepteras av FTC om "Do Not Track" blir obligatoriskt".
Vid samma utfrågning i senaten efterlyste Barack Obama -administrationen en ny "Internetanvändares rättighetsförklaring", som skulle ge FTC auktoritet att reglera beteendebaserad reklam på nätet.
Kongressen föreslår lagstiftning
Do Not Track Me Online Act från 2011
Representanten Jackie Speier (D-CA) introducerade "Do Not Track Me Online Act of 2011", som skulle ge FTC tillstånd att utfärda bestämmelser som kräver att onlineannonsörer och webbplatser tillåter användare att välja bort att få sina onlineaktiviteter spårade genom att skapa en inte-spår-mekanism. Lagförslaget ger användarna möjligheten att blockera all insamling av data för OBA men ger ett undantag för allmänt accepterade metoder såsom bedrägeriförebyggande och lagerkontroll. Lagförslaget bemyndigar FTC att upprätthålla de nya bestämmelserna genom att utföra slumpmässiga granskningar av webbpublicister, även om de föreslagna bestämmelserna innehåller ett undantag för webbplatser som har mindre än 10 000 besökare per år. Lagförslaget nådde aldrig någon omröstning och dog i kongressen.
Commercial Privacy Bill of Rights Act från 2011
Den 12 april 2011 introducerade senator John Kerry "Commercial Privacy Bill of Rights Act of 2011", medsponsrad av senator John McCain . Vid presskonferensen för att presentera lagförslaget sa senatorerna Kerry och McCain att lagförslaget utgjorde en kompromiss mellan affärs- och konsumentintressen, och noterade att lagförslaget stöddes av Microsoft, Intel och eBay .
Lagförslaget ger FTC i uppdrag att utveckla regler som är specifikt inriktade på OBA, som kräver att företag ska erbjuda konsumenter "en robust, tydlig och iögonfallande" opt-out-mekanism från användningen av deras personligt identifierbara information av tredje parter "för beteendebaserad reklam eller marknadsföring " .
Lagförslaget uppmanar FTC att skapa bestämmelser som kräver att företag som samlar in personligt identifierbar information, såsom namn och e-postadresser, ska ge "tydlig, kortfattad och snabb information" om datainsamling, användning och överföring, tillsammans med "en tydlig och iögonfallande mekanism för välja bort samtycke för all obehörig användning av [konsumenternas] personligt identifierbar information."
Lagförslaget innehåller en bestämmelse som skulle kräva opt-in samtycke för "insamling, användning eller överföring av känslig personlig identifierbar information". Känslig personligt identifierbar information definieras som "personligt identifierbar information som, om den går förlorad, äventyras eller avslöjas utan tillstånd antingen ensam eller tillsammans med annan information, medför en betydande risk för ekonomisk eller fysisk skada" eller är relaterad till ett visst medicinskt tillstånd, hälsojournal eller en individs religiösa tillhörighet.
Lagförslaget ger också FTC i uppdrag att inrätta ett frivilligt safe harbor -program för att granska, godkänna och övervaka självreglerande program som ger konsumenter "tydlig, iögonfallande, ihållande och effektiv" att välja bort beteendebaserad reklam online eller platsbaserad reklam . När väl ett självreglerande program har godkänts av FTC och medlemmarna i det programmet omfattas av den säkra hamnen, skulle dessa medlemmar vara undantagna från några av bestämmelserna i lagförslaget.
Lagförslaget inkluderar inte FTC:s föreslagna Do Not Track-mekanism, som senator McCain sade vid presskonferensen, "inte verkade passa in i vår förmåga att få en balans mellan konsument- och industristöd".
Lagförslaget inkluderar inte heller en privat rätt att vidta åtgärder, vilket överlåter verkställigheten till FTC och statens åklagare.
Konsument- och integritetsförespråkare har förklarat att lagförslaget inte var tillräckligt starkt och borde innehålla FTC:s Do Not Track-förslag.