Kommer FTC att hamna hårt på Facebook? Det hände bara två gånger på 20 år

Om Facebook måste betala en straffavgift för Federal Trade Commission för dataskandalen i Cambridge Analytica, det kommer att ansluta sig till en mycket kort lista över företag som har gjort det.

Av 91 fall som rörde integritetsfrågor online som Federal Trade Commission har väckt sedan det första 1998, bara två företag har betalat civilrättsliga påföljder specifikt för kränkning av vuxna användares integritet, visar en USA TODAY-analys av FTC-data.

De är Google, som betalade 22,5 miljoner dollar 2012 och Upromise, som betalade $500, 000 under 2017.

Siffrorna är inte förvånande för experter på grund av begränsningarna på FTC när det gäller att kontrollera konsumenternas integritetsrättigheter.

Brutna löften

USA har ingen specifik lag mot integritetsintrång. FTC, en statlig övervakningsmyndighet, kan bara väcka talan mot ett företag om det lovade att skydda kundernas integritet och sedan inte levde upp till sitt löfte, eller om företaget brutit mot specifika regler som skyddar barns integritet eller kreditupplysning. I några fall har man också krävt att företag ska betala tillbaka pengar som erhållits på bedrägligt sätt.

När barn eller kreditupplysning inte är inblandade, det kan inte utvinna monetära påföljder om inte ett företag redan har nått en uppgörelse med kommissionen för att ha brutit mot integritetslöften, och sedan finner företaget brutit mot förlikningen. Om ett företag vägrar att nå en uppgörelse, FTC kan vidta rättsliga åtgärder och eventuellt kräva påföljder omedelbart.

Eftersom det redan är under en FTC-uppgörelse, Facebook riskerar att bli ett av de sällsynta fallen där ett företag drabbas av monetära påföljder, en rap som kan uppgå till miljontals dollar.

Det hade sin "första strejk" 2011 när FTC fann att det lurade konsumenter genom att berätta för dem att de kunde hålla sin information på Facebook privat, och sedan upprepade gånger tillät det att delas och offentliggöras, enligt FTC.

Det gick med på ett samtyckesdekret som hindrade det från att göra felaktiga framställningar om integriteten eller säkerheten för konsumenternas personliga information, krävde att den be användarna att godkänna innan de införde ändringar som åsidosätter deras integritetspreferenser och hindrade den från att låta någon komma åt en användares material mer än 30 dagar efter att användaren har tagit bort sitt konto.

Dessutom, Facebook krävdes att upprätta och underhålla ett omfattande integritetsprogram utformat för att hantera integritetsrisker i samband med utveckling och hantering av nya och befintliga produkter och tjänster. Den var också tvungen att producera oberoende, tredjepartsrevisioner av det sekretessprogrammet vartannat år under de kommande 20 åren.

Cambridge Analytica utlöser en sond

Förra månaden, på tröskeln till två explosiva tidningsutredningar, Facebook avslöjade att man 2015 visste att nästan 300, 000 Facebook-användare som hade laddat ner en personlighetsfrågesport-app som heter This Is Your Digital Life fick sin information delad med Cambridge Analytica. Facebook misslyckades med att varna enskilda användare om att deras data hade skördats på felaktigt sätt förrän denna månad.

FTC undersöker nu huruvida den politiska annonsinriktningsföretaget Cambridge Analytica tillåter åtkomst till personlig information om 87 miljoner användare. utan deras samtycke, utgör ett brott mot det dekretet. Om FTC finner att det gör det, som kan leda till civilrättsliga påföljder på så mycket som $16, 000 för varje överträdelse av beställningen.

Facebooks vd Mark Zuckerberg tror inte att det kommer att bli så.

I sitt vittnesmål inför kongressen förra veckan, han sa "det verkar verkligen som att vi borde ha varit medvetna om att den här apputvecklaren skickade in en term som var i konflikt med reglerna för plattformen."

Men på frågan om händelsen utgjorde ett brott mot FTC-uppgörelsen, Zuckerberg sa nej.

"Min förståelse är att - inte är att detta var ett brott mot samtyckesdekretet, " han sa.

Googles straff på 22,5 miljoner dollar

Om det slutar med att Facebook betalar, det kommer att bli det tredje företaget som gör sig skyldigt till denna typ av kränkning som tvingas göra det. I de flesta fall som FTC har väckt mot företag för sekretessfrågor online—49 av 91—kommissionen kunde inte begära pengar. Istället nådde man ett icke-monetärt förlikningsavtal med företagen, i huvudsak en "första strejk". Skulle dessa företag få en andra strejk, de kan bli föremål för en monetär påföljd, men inte innan.

Uppgörelserna kräver att de implementerar ett omfattande integritetsprogram och i allmänhet erhåller regelbundna, oberoende revision. Vanligtvis måste företaget lämna en rapport vartannat år i 20 år efter förlikningen, som Facebook har varit.

Pengar från civilrättsliga påföljder kommer bara till spel när ett företag har brutit mot sitt "first strike"-förlikningsavtal, vilket både Google och Upromise gjorde. Vid den tidpunkten kan FTC drabba företaget med straff.

Google har betalat ut det största beloppet hittills, 22,5 miljoner dollar, från en kommission från 2012 som konstaterade att företaget felaktigt framställt för användare av webbläsaren Safari att det inte skulle placera spårnings-"cookies" eller visa riktade annonser till dessa användare.

Det bröt mot en förlikningsorder från 2011 som FTC hade med företaget över Googles sociala nätverk Buzz som var en del av Gmail. Google hade fått Gmail-användare att tro att de kunde välja om de ville gå med i nätverket eller inte, men alternativen för att avböja eller lämna det sociala nätverket fungerade inte fullt ut.

I Upromise-fallet, som kostade 500 dollar, 000, FTC fann 2017 att företaget inte avslöjade för konsumenterna hela omfattningen av den data som det samlat in om dem eller hur det använde dessa uppgifter.

Detta bröt mot ett avtal från 2012 som FTC hade med medlemsbelöningstjänsten, som riktade sig till konsumenter som försökte spara pengar till college. Den hade använt ett webbläsarverktygsfält för att samla in konsumenternas personliga information utan att på ett adekvat sätt avslöja omfattningen av den information den samlade in.

Det har funnits ett fall där en till synes andra strejk inte resulterade i någon utbetalning. Förra veckan stärkte FTC sin uppgörelse med Uber över en överträdelse 2016 där tiotals miljoner Uber-åkare och förares data fick åtkomst, utan att lägga till civilrättsliga påföljder.

Men 2017 års uppgörelse med Uber hade ännu inte slutförts. Administrativa klagomål och order måste gå ut för offentliga kommentarer och måste få slutgiltigt godkännande från kommissionen efter kommentarsperioden. För det hade inte hänt ännu, det fanns ingen grund för att begära civilrättsliga påföljder från Uber.

Blev användarna lurade?

I Facebooks fall, FTC-kommissionärer måste nu avgöra om det verkligen bröt mot villkoren för sin uppgörelse. Experter är inte överens om vad resultatet kan bli.

"Man måste argumentera för att konsumenter blev lurade när det gäller att dela information om vänner, och det är en svår poäng att bevisa, " sa Chris Hoofnagle, en juridikprofessor vid University of California i Berkeley och författare till Federal Trade Commission Privacy Law and Policy.

Andra säger att det inte råder någon tvekan om att Facebook kommer att slås ut.

"Detta måste vara det enklaste fallet som någonsin presenterats för FTC, sa Marc Rotenberg, verkställande direktör för det icke-vinstdrivande Electronic Privacy Information Center i Washington D.C. EPIC pressade FTC att inkludera integritet i sitt ansvarsområde redan 1995 och stämde byrån 2012 för att inte verkställa ordern mot Facebook.

Han förväntar sig att Facebooks straffavgift kommer att ligga på mellan 100 och 200 miljoner dollar och att det kommer att ta mellan tre månader och ett år att utfärda.

På många sätt, pengar kommer att vara det minsta av Facebooks bekymmer, sa William Kovacic, en juridikprofessor och integritetsexpert vid George Washington University.

Med ett börsvärde på 485 miljarder dollar, till och med hundratals miljoner dollar är bara ett avrundningsfel för Facebook. Mycket mer skadlig kan vara en ny uppgörelse som FTC kan komma att göra mot företaget, en som ställer ännu starkare villkor för hur den kan behandla användarnas data – och tjäna pengar på den – i framtiden.

I sitt vittnesmål inför kongressen förra veckan, Facebooks vd Zuckerberg sa:"Vi måste ta en bredare syn på vårt ansvar kring integritet än bara vad som föreskrivs i den nuvarande lagen."

"FTC kan säga, 'Du bör tro på det, '" sa Kovacic, som var ordförande för FTC från 2008 till 2009.

Eftersom FTC får bättre koll på omfattningen av datainsamling och användning av sådana webbplatser, det kan börja göra mer på integritetsupprätthållandet än det har gjort tidigare.

"Jag tror att detta bara är början på en lång och livlig debatt om integritet, sade Stephen Calkins, en juridikprofessor vid Wayne State University Law School. Han var chefsjurist för Federal Trade Commission från 1995 till 1997.

Intelligenta komponenter för framtidens elnät

Skärmläsare plus tangentbord hjälper blinda, synskadade användare surfar på moderna webbsidor

Elektronik

Thoreaus Walden får nytt liv som tv-spel

Säkra vägar:Ett tillvägagångssätt för kontaktspårning som tar integritet först

En ny omkonfigureringsstrategi för modulära robotar inspirerad av origamivikning

Vetenskap

En gnisslande ren:Vänliga robotar piggar upp Singapore

En strukturell ljusströmbrytare för magnetism

PNNL samarbetar med medicinska isotopproducenter för att säkerställa en fortsatt effektiv kärnkraftsexplosionsövervakning