来源：FTC官网 翻译：魏雪颖 上海交大法学院本科生

一家犹他州的科技公司同意实施一个全面个人信息数据保护的项目以达成与FTC的和解。FTC此前指控该公司未能实施合理的安保措施，以至于黑客取得了将近一百万消费者的个人信息。

InfoTrax Systems公司为不同层次的营销人员提供后台运营服务，包括工资计算、库存、订单、会计、培训、数据安保以及客户网站的运营等服务。

FTC在起诉中声称InfoTrax公司和其前任CEO Mark Rawlins未能采取合理、低成本、轻松可得的保护措施来保护其代表客户所储存的个人信息。这包括了其未能：

·清点并删除不再需要的个人信息；

·对其软件进行代码审查并对其网络进行测试；

·检测恶意文件上传；

·充分细分其网络；

·实施网络安全防护措施以检测其网络上的异常活动。

此外，FTC声称InfoTrax将消费者个人信息均以清晰可读的文本存储在它的网络中，个人信息包括了社保号码、支付卡信息、银行账户信息、用户名和密码等

FTC消费者保护局局长Andrew Smith说到：“像InfoTrax的服务提供商们没有就保护他们所掌握的敏感数据得到许可，仅仅因为他们的客户是企业而非消费者个人。正如本案所示，保护消费者个人数据是每个公司的责任，尤其是对于社保账号之类的敏感数据。”

由于InfoTrax公司保护数据措施不力，一黑客在2014年5月至2016年3月超过20次的潜入了其服务器以及其代为运营的网站。根据起诉，该入侵者获取了大约一百万消费者的敏感个人信息。

FTC声称，InfoTrax公司在2016年3月被警告其服务器已到最大容量时才发觉上述入侵。这次警告是由于黑客创建的数据存档文件所引起。InfoTrax的失误不仅影响到了其自身的网络，同时也影响到了其客户的网站。

入侵者获取的个人信息可被用来实施身份盗窃和欺诈。FTC声称InfoTrax未对其应保护的个人数据提供合理的安保违反了FTC所禁止的不当行为。

和解的一部分条件为，InfoTrax公司和前CEO Rawlins在实施一个信息保护项目以解决安保不力问题前，他们不得再收集，出售，共享或存储个人信息。这个信息保护项目包括了评估存档内部和外部的安全风险，实施安保措施来保护个人信息免受网络安全风险，监测与测试上述安保措施的有效性。

此外，拟达成的和解要求公司需每两年接受第三方对其个人信息保护项目的评估。在这个命令下，评估者必须明确支持其结论的依据，必须独立实施取样、雇员采访和文件审阅等行为。最后，这个命令授予FTC任命每两年期的评估者的权力。

FTC以5-0的投票通过了针对InfoTrax公司和前CEO Rawlins的行政申诉以及拟达成的同意协议（consent agreement）。

FTC即将在《联邦公报》中发布同意协议的说明。该协议将在《联邦公报》上公布后30天内接受公众评论，然后由委员会决定是否将拟议的同意令最终确定。评论将发布在Regulations.gov上。

注：FTC在其“有理由相信”法律已被违反或正在被违反时会提起行政申诉（administrative complaint），该委员会认为该程序符合公共利益。当委员会最终发布同意令（consent order）时，它就未来的行动具有法律效力，每次违反该命令均可能导致最高42,530美元的民事罚款。

文章来源：公众号数据法盟，转载请标明出处，发布此信息的目的在于传播更多信息，如有侵权请联系删除。