I re DoubleClick
| In om DoubleClick Inc. Integritetstvister | |
|---|---|
 | |
| Domstol | USA:s distriktsdomstol för södra distriktet i New York |
| Bestämt | 28 mars 2001 |
| Docket nr. | 1:00-cv-00641 |
| Citat(er) | 154 F. Supp. 2d 497 |
| Fallhistorik | |
| Efterföljande åtgärd(er) | Klagomålet avvisats och domen skrivs av In re DoubleClick Inc. Privacy Litig. , nr. 1:00-cv-00641, 2002 US Dist. LEXIS 27099 (SDNY 23 maj 2002). |
| Att hålla | |
| DoubleClicks placering av webbläsarcookies på datorhårddiskar för internetanvändare som besökte DoubleClick-anslutna webbplatser bröt inte mot Lagen om lagrad kommunikation, avlyssningsstadgan eller lagen om datorbedrägeri och missbruk . | |
| Domstolsmedlemskap | |
| Domare som sitter | Naomi Reice Buchwald |
| Nyckelord | |
| Computer Fraud and Abuse Act , Privacy law , Stored Communications Act , Avlyssningsstadgan | |
I re DoubleClick Inc. Privacy Litigation , 154 F. Supp. 2d 497 (SDNY 2001) ( "DoubleClick" ), fick internetanvändare att inleda förfaranden mot DoubleClick och hävdade att DoubleClicks placering av webbcookies på hårddiskar för Internetanvändare som besökte DoubleClick-anslutna webbplatser utgjorde brott mot tre federala lagar: The Stored kommunikationslagen , avlyssningsstadgan och lagen om datorbedrägeri och missbruk .
Domstolen ansåg att DoubleClick inte var ansvarigt enligt någon av de tre federala lagarna eftersom det föll inom samtyckesundantagen enligt Lagen om lagrad kommunikation och avlyssningsstadgan . DoubleClick uteslöts inte från samtyckesundantaget i avlyssningsstadgan eftersom det inte avlyssnade kommunikationen i kriminella eller skadeståndsmässiga syften. DoubleClick var inte heller ansvarigt enligt Computer Fraud and Abuse Act eftersom kärandena inte hade uppnått den lagstadgade tröskeln på 5 000 USD i förluster. Domstolen fastställde att skadestånd enligt Computer Fraud and Abuse Act endast får sammanställas för obehörig åtkomst av varje cookie.
Fakta
DoubleClick ägnade sig åt beteendeinriktning och placerade en cookie på varje användares hårddisk när användaren gick in på DoubleClick-anslutna webbplatser. DoubleClick kunde sedan spåra användarnas webbsurfaktiviteter och bygga användarprofiler i syfte att leverera riktade annonser. DoubleClicks server identifierar användarens profil med hjälp av cookiens identifieringsnummer och ger användaren annonser som är skräddarsydda efter användarens intresse. Kärandena hävdade att DoubleClicks erhållande av användarinformation lagrad i webbcookies utgjorde otillåten åtkomst och avlyssning av deras elektroniska kommunikation med de webbplatser de besökte.
Lagkrav för lagrad kommunikation
Lagen om lagrad kommunikation , 18 USC § 2701 , förbjuder avsiktlig obehörig åtkomst av elektronisk kommunikation medan den är i elektronisk lagring. Undantaget för samtycke inom lagen om lagrad kommunikation utesluter avlyssning av kommunikation mellan användare och webbplatser av DoubleClick.
Domstolen ansåg vid bedömningen av DoubleClicks förhållande till dess anslutna webbplatser att webbplatserna hade engagerat DoubleClick i det exakta syftet att leverera riktade annonser. DoubleClick kan endast tillhandahålla skräddarsydd reklam till specifika användare genom att samla in användarinformation och spåra användarnas onlineaktiviteter baserat på webbplatsernas överenskommelse om att aktivt meddela DoubleClick när användare besöker webbplatsen, nämligen genom användning av cookies. Således hade webbplatserna i praktiken samtyckt till DoubleClicks avlyssning av användarnas kommunikation med webbplatserna. Detta trots att webbplatser inte förstår den teknik som används av DoubleClick för att tillhandahålla riktad reklam.
Domstolen ansåg att den långvariga vistelsen för DoubleClicks cookies på användarnas hårddiskar utesluter cookies från definitionen av "elektronisk lagring" som innebär tillfällig och tillfällig lagring. Cookies identifikationsnummer, som skickas från användarnas datorer, faller inte heller inom gränserna för "elektronisk lagring" och lagen om lagrad kommunikation . DoubleClick kunde inte hållas ansvarigt för åtkomst till cookies eller cookie-identifikationsnummer.
Domstolen i DoubleClick ansåg vidare att även om cookiess identifikationsnummer antogs vara "elektronisk kommunikation[s] . . . i elektronisk lagring" är DoubleClicks åtkomst fortfarande tillåten eftersom lagen om lagrad kommunikation undantar beteende som är auktoriserat av en användare av tjänsten med avseende på en kommunikation av eller avsedd för den användaren. Cookiens identifieringsnummer är interna i DoubleClick-kommunikation och är både "av" och "avsedda för" DoubleClick.
"DoubleClick skapar cookies, tilldelar dem identifikationsnummer och placerar dem på målsägandens hårddiskar. Cookies och deras identifikationsnummer är avgörande för DoubleClick och meningslösa för någon annan. Däremot är praktiskt taget alla målsägande omedvetna om att cookies finns, dvs. dessa cookies har identifieringsnummer, att DoubleClick kommer åt dessa identifieringsnummer och att dessa nummer är avgörande för DoubleClicks verksamhet."
Avlyssningsstadgans krav
Avlyssningsstadgan , 18 USC § 2511 , begränsar avsikten eller strävan att avlyssna all elektronisk kommunikation eller upphandling av någon annan person att göra detta .
Domstolen tillämpade sin analys enligt Stored Communications Act för att fastställa DoubleClicks ansvar enligt Wiretap-stadgan , med utgångspunkt från de liknande egenskaperna hos båda lagarna. Baserat på antagandet att DoubleClick faller inom tillämpningsområdet för Wiretap-stadgan , fortsatte domstolen att avgöra om DoubleClick var undantagen från ansvar på grund av samtyckesundantaget enligt Wiretap-stadgan . Domstolen ansåg att DoubleClick var befriad från ansvar för avlyssning av kommunikationen enligt avlyssningsstadgan eftersom webbplatserna, som var en av parterna i den elektroniska kommunikationen med användarna, hade gett DoubleClick förhandsgodkännande till avlyssningen. Domstolen ansåg att samtyckesundantaget förblir giltigt eftersom kommunikationen inte avlyssnades i syfte att begå någon brottslig eller skadegörande handling.
Datafraud and Abuse Act-anspråk
Computer Fraud and Abuse Act , 18 USC § 1030 , förbjuder avsiktlig åtkomst av en skyddad dator för att få information utan tillstånd som orsakar minst $5 000 skada eller förlust till följd av en enda obehörig åtkomst. 18 USC § 1030(a)(5)(A) förbjuder avsiktlig och obehörig orsakande av skada på en skyddad dator som är ett resultat av att medvetet orsakar överföring av ett program, information, kod eller kommando.
Klagandena begärde skadestånd för den förlust som orsakats av obehörig åtkomst till deras datorer och förskingring av information av DoubleClick. DoubleClick bestred inte att kärandenas datorer var skyddade enligt Computer Fraud and Abuse Act eller att dess åtkomst var obehörig. Domstolen konstaterade att skador och förluster enligt lagen om datorbedrägerier och missbruk endast får samlas över offer och över tid för en enda handling. Eftersom varje åtkomst av en cookie på användarnas datorer utgör en enda och separat handling av obehörig åtkomst, kan skador och förluster endast aggregeras för varje cookie och kan inte aggregeras över flera datorer. Domstolen avslog kärandenas anspråk enligt Computer Fraud and Abuse Act med motiveringen att skadan som orsakats av varje cookie inte uppfyllde den lagstadgade tröskeln på $5 000.
Målsägandens påstådda känslomässiga ångest på grund av DoubleClicks intrång i deras integritet, intrång i deras personliga egendom och förskingring av konfidentiell data kunde inte åtgärdas enligt Computer Fraud and Abuse Act som endast godkände återvinning av ekonomiska förluster. Domstolen bestred kärandenas påstående att den påstådda skadan på värdet av deras individuella demografiska information, som härrör från DoubleClicks insamling av användarinformation, utgör ersättningsbar ekonomisk förlust. Domstolen noterade att även om demografisk information var värdefull, representerade dess insamling inte ekonomisk förlust.
DoubleClick-förlikning
DoubleClick ingick så småningom ett förlikningsavtal med kärandena. Enligt förlikningens villkor var DoubleClick skyldig att förklara sin integritetspolicy på ett "lättläst" språk; genomföra en offentlig informationskampanj bestående av 300 miljoner bannerannonser som bjuder in konsumenter att lära sig mer om att skydda sin integritet; och införa datarensning och opt-in-procedurer bland andra krav.