◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
跨境电商在美使用数据追踪工具Meta Pixel收集网站浏览者信息、分享给第三方存在一定的数据合规风险,企业需采取一系列措施来保护用户的隐私和数据安全,积极履行合规义务。
作者丨顾萍 王成荫 伍波 王婷婷
2022年开始,国内的部分跨境电商、医疗、媒体直播平台等企业陆续收到了美国法院的起诉或仲裁,诉由是公司采用数据追踪工具收集网站浏览者的用户信息,并在未获得用户同意的情况下将收集网站浏览者的信息发送、传输至Meta等第三方公司。原告称这些企业帮助第三方公司窃取了用户的电子数据,同时侵犯了其隐私,违反加州隐私法,要求企业进行经济赔偿。根据相关法律,每一次违规行为可被判罚5000美金的法定赔偿。由于所有浏览该公司网站的消费者均可以作为原告发起诉讼请求或者仲裁请求,可能涉及大量用户,企业还面临集体诉讼的风险,这不仅意味着企业可能面临巨额赔偿,而且一旦卷入集体诉讼,企业声誉也将严重受损。
一、Pixel在美引发的诉讼狂潮和巨额赔偿
在美国,多家来自不同行业的公司也曾因违规使用数据追踪工具而涉被集体诉讼。2022 年9月,直播平台FloSports公司因违规使用数据跟踪器Meta Pixel被提起集体诉讼,被指控安装使用像素跟踪代码Pixel,收集用户的个人信息并与Meta共享,违反了《视频隐私保护法》(Video Privacy Protection Act),2024年3月,FloSports公司以260万美元和解费和解了该集体诉讼。[1]2023年7月,在线报税公司H&R Block 和其他税务筹划公司与 Meta 等公司共享了数位客户的敏感个人和财务数据而接受调查[2]。健康科技公司 GoodRx Holdings Inc. 和 Betterhelp 因该问题分别向 FTC 支付了140 万美元和780 万美元的罚款。《波士顿环球报》就曾同样的的隐私侵权指控达成400万美元的和解协议[3]。
Meta Pixel,作为一种数据追踪工具,是由Facebook的母公司Meta提供给网站所有者的一种分析解决方案。它能够监测用户在网站上的行为轨迹,包括访问者页面浏览、商品查看、加入购物车、开始结账以及下单等互动行为。据统计,全球大约三分之一的热门网站都安装并使用了Meta Pixel[4]。通过对获取到的信息进行数据分析确定网站访问者的兴趣偏好,以精准定位广告的目标受众,实现定制化广告投放,并借此给营销者提供优化的广告策略,最终实现提高广告投资回报率[5]。
数据是电商活动的基本要素,其构成了电子商务活动的核心,从用户打开页面到完成支付的整个过程中,包括访问者打开页面、浏览产品、填写信息、到完成购买支付的整个过程,数据贯穿于电商活动的整个流程。数据分析对电商盈利的重要性不言而喻,它不仅可以帮助企业实现精准营销和优化供应链管理,还能提升客户体验、科学化定价策略、进行风险管理和预测,从而提升企业的整体竞争力。
中国的跨境电商在美通过各网站销售其产品,使用Meta Pixel追踪用户行为所收集的数据可能包含敏感的个人信息。美国一直以来对数据保护和隐私的要求严格,且各州不同的数据保护法规规定复杂;同时由于近年来数据泄露事件频发,美国对于违规使用数据追踪工具的严格监管、完善隐私保护法律、以及对于违反者的惩罚力度方面都有所加强。有鉴于此,Meta据报道已与Facebook用户达成初步和解,同意支付7.25亿美元来了结集体诉讼,该诉讼声称这家社交媒体巨头未经用户同意就允许第三方访问用户数据[6]。
在美经营的跨境电商对于用户数据的收集、使用、共享及传输给第三方可能触及合规风险,在美跨境电商在使用此类工具时谨慎处理、依法合规开展数据采集、完善企业数据治理体系以确保符合相关法律规定。
二、Meta Pixel收集了哪些数据?
Meta Pixel 像素代码是一段 JavaScript 代码,可以添加或安装到网页中,如果用户访问目标网站,用户的浏览器将处理该代码,最终实现网站运营商对访客活动的追踪。Meta Pixel依赖于Facebook Cookie, 网站访问者的行为数据被收集后会与其Facebook用户账号匹配,匹配后,追踪到的转化事件会在广告管理工具中被统计分析、并显示在广告管理工具中。网站经营者使用这些转化事件可衡量广告成效,实现广告目标受众定位和广告营销活动的自定义。[7]Pixel收集的数据类型主要取决于用户触发的事件类型,这里的事件是指访问者在网站上进行的指定操作,分为两类:
1)标准事件:用户可在网站上触发 17 种预设操作,包括:使用的操作系统、移动设备信息、IP地址、浏览的URL网址、访问网站的时间、以及会话期间网站上的活动(包括浏览、收藏、填写订单、支付、商品试用)、访问者与销售商的联系方式(电话、电子邮件、网页聊等方式)、以及存储在网站服务器上的文件夹;
2)自定义事件 - 根据使用者的营销目标需求自行定义创建以追踪更具体的用户操作行为,例如,设定只追踪购买某种颜色物品或购买超过100元某种物品的用户[8]。
三、Meta Pixel可能触发哪些美国法律,引发合规风暴?
在搜索引擎和数据分析领域,像Pixel这样提供类似服务的工具非常普遍。然而Pixel与其他工具相比,会捕获网站上的可识别个人信息,且将这些信息与其主要平台Facebook上的社交账户相关联。可识别的个人信息包括隐私、敏感个人数据,而对该数据的收集和使用受到美国法律的严格要求。Pixel被发现收集的个人信息可能会超出其应有的用户网络行为数据范畴。
与中国、欧盟等国家采用独立的综合性法律不同,美国联邦政府针对数据保护采取根据不同行业领域分别立法的方式(包括健康、金融、电信、消费者、教育等),同时各个州也制定了各自的数据保护法规。下面仅就互联网跨境电商使用数据追踪工具较可能触及的美国法律法规进行简要说明:
《加州消费者隐私法》(California Consumer Privacy Act, CCPA)对个人信息的定义为可以识别、关联或合理地与特定消费者或家庭相关联的信息,包括姓名、社会保险号、电子邮件地址、购买的产品记录、互联网浏览历史记录、地理位置数据、指纹以及根据其他个人信息能够推断出的有关个人偏好和特征的资料。CCPA强化了消费者对个人信息的控制权,赋予了消费者包括知情权、数据删除权、选择退出权(要求企业停止销售或共享用户的个人信息)、限制使用和披露敏感个人信息的权利等[9]。
《加州侵犯隐私法案》(California Invasion of Privacy Act, CIPA)对音频、视频和电子数据(包括通过跟踪技术收集和处理的数据)的使用方式提出了要求。《电子通信隐私法》(Electronic Communications Privacy Act, ECPA)规定了使用电话、传真、计算机等电子通信方式时享有的隐私权。在上述大多数集体诉讼中原告均引用了《加州侵犯隐私法》(CIPA)的第 631条 和 632条。CIPA规定初次违反该条款的行为罚款 2,500 美元的罚款,但《加州刑法》(California Penal Code)第 637条补充规定,任何因违反 CIPA 而受到伤害的人都可对违反者提起民事诉讼,要求就每次违反行为赔偿 5,000 美元或三倍损害赔偿,以较高者为准。
四、合规建议
在当今数字化时代,电商在处理用户数据时面临诸多挑战。为了确保数据的合规性,企业需要采取一系列措施来保护用户的隐私和数据安全。对于数据追踪工具的使用,企业需要制定全面透明的隐私政策,详细说明如何收集、使用、存储和保护用户数据。例如,明确告知用户数据收集的目的、数据的存储期限以及用户对数据的访问权、删除权、知情权等权利。同时,企业在收集用户数据时,须获取用户的明确授权和同意。通过简明的用户界面和交互流程,确保用户理解其隐私政策。
具体而言,使用Meta Pixel等工具进行广告跟踪和分析时,我们建议注重以下几个方面:1)透明度:企业应向用户清晰地说明使用Meta Pixel的目的、哪些用户数据被收集、以及如何使用这些数据来优化广告投放,是否将这些用户数据传输、分享至第三方;2)用户应可选择是否同意、以及退出权,要求企业停止销售或共享用户的个人信息;3)数据安全:企业在使用Meta Pixel时,必须采取适当的技术和管理措施,确保用户数据的安全和隐私不被泄露;4)持续更新披露和隐私政策、确保客户及网站访客充分理解其网站上所采用的技术,以及深入了解这些技术如何收集、处理个人信息。
同时,鉴于美国涉及隐私与数据的法律纷繁复杂,建议在美运营的企业在使用Pixel等数据收集工具时,及时咨询专业的律师,以获取相应数据合规的专业法律意见,在专业律师的提供的指导下结合其使用的工具完善其隐私政策、数据使用政策、披露内容、许可获取机制等,尽量做到使用前合规、预防合规风险、规避诉讼纠纷、以及潜在的法律处罚。对于已经面临诉讼或仲裁的企业,专业的律师团队能够帮助其积极应对法律纠纷,避免不积极应对导致大规模集体涉诉,同时通过律师的专业谈判降低和解金额,最终达到降低企业赔偿金额,为企业争取利益。
数据合规不仅是规避法律风险的手段,更是企业赢得消费者信任的关键因素。通过积极履行合规义务,企业能够建立起强大的品牌形象,并在竞争激烈的市场中占据优势。电商企业在数据收集和数据流转过程中,应始终将用户隐私和数据安全放在首位。通过制定合理的隐私政策、获取用户授权、平衡广告效果与用户隐私保护,企业不仅能够遵守法律法规,还能赢得用户的信任和支持。
[注]
顾萍 律师
纽约办公室 合伙人
业务领域:知识产权权利保护, 合规和调查, 反垄断和竞争法
王成荫 律师
北京办公室
非权益合伙人
业务领域:知识产权权利保护, 合规和调查
伍波 律师
北京办公室
非权益合伙人
业务领域:知识产权权利保护,合规和调查
王婷婷
北京办公室 知识产权部
《超短剧出海之海外IP风险》
《揭秘美国<企业透明法案>:在美成立、注册经营的公司及其受益所有人须向FinCEN提供关键信息》
《浅析人工智能系统训练数据的合规问题》
特别声明
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
工作时间:8:00-18:00
电子邮件
扫码二维码
获取最新动态