美FTC正式起诉Cambridge Analytica，“剑桥分析”究竟做错了什么？【附FTC行政诉讼书中文版】

摘要

在与Facebook签署50亿美元处罚和解书的同时，美国联邦贸易委员会FTC于2019年7月24日对Facebook案件中的数据分析公司，即剑桥分析（“Cambridge Analytic”）正式提出了行政诉讼，指控Cambridge Analytica采用欺骗手段从Facebook数千万用户那里收集个人信息并进行选民分析。2019年8月9日，美国联邦贸易委员会FTC正式指定了审理本案的行政法官D. Michael Chappell，这说明剑桥分析案件又走出了实质性程序，本案的审理结果令人期待。以下是美国联邦贸易委员会对Cambridge Analytic提出的行政诉讼书全文（除部分定义性条款）。

美利坚合众国联邦贸易委员会

诉状

联邦贸易委员会有理由相信Cambridge Analytic有限责任公司(或称“被告”)违反了《联邦贸易委员会法案》的规定，并且在委员会看来本诉讼程序符合公众利益，指控如下:

案由

本诉讼旨在追究被告为获取Facebook用户的个人信息并用于政治和商业目的的欺诈行为之责任。被告Alexander Nix和Aleksandr Kogan共同开发、经营、使用Facebook平台上称为“GSRApp”的应用程序，也就是大众所熟知的“thisisyourdigitallife”应用程序。通过Facebook为开发者提供的GraphAPI，GSRApp收集了约25万至27万直接与该应用互动的Facebook用户的个人资料，以及这些用户社交网络中的5000万-6500万关系链中的“朋友”个人资料。被告Cambridge Analytic、Alexander Nix和Aleksandr Kogan通过虚假手段获得了应用程序用户的同意以允许他们收集用户在Facebook上的个人资料。具体来说，他们错误地声称GSRApp没有从授权它的Facebook用户那里收集任何可识别的个人信息。

被告

被告Cambridge Analytic是特拉华州的一家私营有限责任公司，成立于2013年12月，主要办公地点位于纽约第五大道597号，邮编10017。被告Cambridge Analytic是SCL家族企业的一部分。SCL Elections有限公司(“SCL Elections”)是一家私营的英国公司，拥有被告Cambridge Analytic的所有权。被告Cambridge Analytic是一家数据分析和咨询公司，提供选民分析和营销服务，其网站上自称是“一家数据科学咨询和营销机构”并宣称“政治中立”。2018年5月，被告Cambridge Analytic申请破产，目前仍在审理中。在相关期间，Cambridge Analytica和SCL Elections通过具有共同业务功能、所有权、管理人员和员工的相互关联的公司网络进行业务运营。例如，Alexander Nix既是SCL Elections的负责人，也是被告Cambridge Analytic的首席执行官。SCL Elections于2019年4月17日进入清算阶段。

有关各方

管辖

被告在本诉讼中所述的行为属于影响商业行为，符合《联邦贸易委员会法》第4条中定义的“商业”，构成《联邦贸易委员会法》第5条中所述的“涉及外国商业的欺诈行为或行为”。

相关行为

A. 同意以商业目收集Facebook用户个人资料

2013年末或2014年初，Nix、SCL Elections和被告Cambridge Analytic注意到，剑桥大学(University of Cambridge)心理测量学中心(Psychometrics Centre)的个人研究发现，Facebook的个人资料可以用来成功分析一个人的性格。

该中心的研果成果即“海洋”量表(OCEAN scale)，这是一种心理测量模型，衡量一个人开放性、责任心、外向性、亲和性和神经质。

具体来说，研究人员开发了一种算法，可以根据个人在Facebook公共页面上的“点赞”来预测他的个性。比如，喜欢“如何在10天内甩掉一个男人”、“乔治·w·布什”等社交网站的Facebook页面，以及说唱和嘻哈乐，可能与保守和传统的性格有关。研究人员认为，他们的算法对Facebook上拥有更多“点赞”的人更准确，可能比这个人的同事、朋友、家人甚至配偶更能预测一个人的性格。

Nix、SCL Elections和Cambridge Analytica对这项研究很感兴趣因为Cambridge Analytica打算为美国竞选团队和其他美国公司提供选民分析、微定位和其他营销服务。2014年初，SCL Elections的代表(他们在被告Cambridge Analytic担任双重角色)通过相关人士，联系了Kogan和隶属于心理测量学中心的学者，讨论了将该研究成果商业化事宜。

通过在CPW实验室的工作，Kogan拥有研究和分析Facebook数据的专业知识，以及他之前与Facebook的研究合作，他分析了与世界各地的人们如何联系和表达情感有关的聚合的Facebook数据。Kogan愿意与SCL Elections进行商业合作，经过几个月的讨论，双方就工作范围(“项目”)达成了协议。

重要的是，Kogan已经在Facebook平台上注册了一个名为CPW Lab的Facebook应用程序，它可以通过Facebook的开发工具Graph API (v.1)来收集Facebook用户及其“朋友”的个人资料。

Facebook的Graph API允许开发者通过Facebook登录功能，收集那些直接安装或以其他方式与开发人员的应用程序或网站互动的用户的个人资料，以及这些用户的Facebook“朋友”个人资料。Facebook允许这种数据收集行为，即使“好友”与开发者的应用程序或网站没有任何直接互动（“关系链用户”）。2014年4月，Facebook宣布将推出新版的Graph API-v2版，这个版本将不再允许开发者从关系链用户那里收集个人资料，只允许从用户自己那里收集。但是，Kogan的应用程序“继承”了原Graph API (v.1)允许的更宽松的数据收集，使Kogan成为Nix、Cambridge Analytica和SCL Elections的一个有吸引力的合作伙伴。

2014年5月29日，Kogan组建了GSR公司来执行这个项目，与他在剑桥大学的职责分离。Kogan在所有相关时期都是GSR的首席执行官，在GSR于2017年10月解散之前，他负责GSR产品和服务的所有方面。

2014年6月4日，GSR和SCL Elections签订了GS数据和技术订阅协议，Nix代表SCL Elections签署了这项协议。根据该协议，GSR同意从美国11个州的应用程序用户和关系链用户那里收集Facebook个人资料，为这些人生成个性评分，然后将这些个人资料与SCL Elections提供给GSR的美国选民记录进行匹配。然后，GSR会将这些匹配的记录连同相关的人格分数发送回SCL Elections。GSR保留了原始数据集，并授予SCL Elections访问数据和使用专有GSR个性评分的许可证。随着GSR的创建和2014年6月协议的签署，Kogan将CPW实验室应用程序重新定义为“GSRApp”。

虽然SCL Elections是与GSR签订协议的实体，但它是代表Cambridge Analytica行事的。SCL Elections与Cambridge Analytica签订了一项服务协议，SCL Elections同意：(a)为Cambridge Analytica获取目标人群中消费者的人口、交易、生活方式和行为数据，并代表该公司获取这些数据; (b)确定和编制目标选民名单; (c)应用研究技术，更好地了解目标选民群体的习惯和日常生活; (d)对目标选民群体进行心理画像。在另一份协议中，SCL Elections还同意将其所有知识产权授权给Cambridge Analytica。

SCL Elections和Cambridge Analytica在GSRApp的开发和实施，以及在GSRApp收集的数据分析中发挥了重要和直接的作用。例如:（a）SCL Elections和Cambridge Analytica对发源于CPW Lab app的GSRApp之使用条款进行了修订；（b）SCL Elections和Cambridge Analytica公司支付了与运营GSRApp和数据分析相关的所有费用，总计超过50万美元，其中包括支付了专门针对美国Facebook用户进行GSRApp调查的专家组费用；（c）SCL Elections和被告Cambridge Analytic在调查中加入了一些具体的问题，包括一些关于美国国家安全的问题，因为这是被告Cambridge Analytic美国分部的一客户特别感兴趣的话题;（d）SCL Elections和被告Cambridge Analytic直接与美国调查专家组沟通有关GSRApp调查的时间和重点内容；（e）SCL Elections和Cambridge Analytica积极协助将来自美国App用户和其受影响朋友的数据与美国选民登记记录进行匹配，并将Kogan的性格得分与美国选民登记记录进行匹配。

Nix曾亲自参与了数据收集项目。除了2014年6月签署协议,他就项目直接和Kogan进行了沟通和会见，亲自授权支付项目相关成本，回顾调查问题，分析GSRApp数据并为Cambridge Analytic的美国客户所使用。

B.GSRApp通过虚假手段，从应用用户和关系链用户那里收集了大量的Facebook个人资料

GSRApp要求用户回答调查问题，并同意收集他们在Facebook上的个人资料，包括在Facebook公共页面的“点赞”信息。然后，Kogan利用最初参与者的调查反馈和Facebook上的“点赞”，训练他的算法，使其能够仅根据Facebook上的“点赞”数据预测用户的性格特征。这个算法的灵感来自剑桥大学其他人的原创研究，这让Kogan能够为关系链用户提供性格评分，他从这些关系链用户那里收集了Facebook的数据。

然后，Kogan根据每个美国人在公共页面上的“点赞”数量，给每个人的个性打分，Facebook用户通常需要在Facebook上“点赞”至少10个公共页面，其个性评分才比较靠谱。

随后，被告Cambridge Analytic、Nix和Kogan进行了一项小规模试验，以确定Facebook的个人资料与美国选民记录和其他公共数据库的信息匹配程度。如果人格分数不能与实际的美国选民相匹配，该项目对SCL Elections和被告Cambridge Analytic就没有什么价值。

最初的试验是成功的，表明Facebook的个人资料数据可以与美国选民的记录相匹配。基于这一成功，Cambridge Analytica、Nix和Kogan使用位于犹他州普罗沃的Qualtrics调查平台在更大范围内继续运营GSRApp。

于是，2014年夏天，Qualtrics招募了一些美国消费者并进行了四波调查。每一次调查都向参与者提出不同的问题，Kogan的个性调查涵盖了广泛的话题，包括政治热情、政治取向、投票频率、投票支持同一政党的一致性，以及对特定争议问题的看法。完成调查并授权GSRApp收集其Facebook个人信息的调查参与者只需支付几美元作为参与调查的象征性费用。

在GSRApp要求美国消费者授权该应用程序收集他们的Facebook数据的每次调查中，GSRApp都做出了如下声明：“我们希望使用我们的Facebook应用程序下载一些您的Facebook数据。我们希望您知道，我们不会下载您的姓名或任何其他可识别的个人信息，我们对您的人口统计信息和喜好信息感兴趣。”

但与GSRApp所做的声明相反的是，GSRApp实际上收集了授权用户的Facebook用户ID。Facebook用户ID是一个持久的、唯一的标识符，它将个人与他们的Facebook个人资料连接起来。实际上，在一开始，被告Cambridge Analytic、Nix和Kogan发现一半的调查参与者都拒绝向GSRApp授予收集他们Facebook个人资料，于是才在GSRApp中做出了上述声明。

被告Cambridge Analytic、Nix和Kogan通过GSRApp从美国的应用程序用户和关系链用户那里收集了大量Facebook个人资料。具体来说，他们从应用程序用户那里收集了以下Facebook个人资料数据：Facebook用户ID、性别、生日、位置(“当前城市”)、好友列表，以及公众Facebook页面的“点赞”信息。他们从关系链用户那里获得他们的Facebook用户ID、名称、性别、生日、位置(“当前城市”)，以及以及公众Facebook页面的“点赞”信息。

在这个项目的过程中，被告Cambridge Analytic、Nix和Kogan从美国大约25万至27万应用程序用户那里收集了其Facebook的个人资料，并从大约5000万至6500万关系链用户那里收集了个人资料数据，其中包括至少3000万可识别个人信息的美国消费者信息。

2015年1月，GSR和SCL Elections就SCL Elections和Cambridge Analytica希望获得的项目额外数据签订了补充协议。根据该补充协议，GSR为美国其余39个州的应用程序用户和关系链用户提供了数据和分析。与美国最初11个州的消费者相比，GSR还为这些消费者提供了一套更为有限的性格分析。

2015年4月，GSR和SCL Elections签订了2015年1月所签补充协议的附录(“附录”)，根据该附录，GSR向SCL Elections和Cambridge Analytica提供了用于“训练”生成OCEAN personality评分算法的Facebook基础数据。GSR还向SCL Elections和Cambridge Analytica提供了额外的信息，以了解根据2015年1月的协议提供的第二组数据中包含的应用程序用户和关系链用户是否对SCL Elections和Cambridge Analytica识别的约500个特定页面有“点赞”。

Nix、SCL Elections和Cambridge Analytica向Kogan报告说，他们从客户那里得到了非常积极的反馈，并表示有兴趣继续与Kogan和GSR在其他类似项目上合作。虽然Kogan和GSR有兴趣开展后续项目，但在GSR于2015年5月将增编中同意的数据转移后，双方未能达成协议，停止了合作。

2015年12月，Cambridge Analytic发表了几篇关于使用Facebook数据的新闻报道。在这些报道之后，Facebook公司要求Kogan、Cambridge Analytic及其SCL附属公司删除了他们拥有的所有Facebook数据。虽然Kogan和SCL election向Facebook证明他们已经删除了通过GSRApp获得的数据，但相关实体仍然拥有这些数据和/或基于这些数据的数据模型。

C. 被告Cambridge Analytica欺诈性地声称他遵守了欧美隐私盾协议并坚持了数据原则。

欧美隐私盾协议(Privacy Shield framework，或称“隐私盾”)由美国商务部(U.S. Department of Commerce)和欧盟委员会(European Commission)共同设计，旨在为美国公司在欧盟以外转移个人数据提供一种机制，该机制符合欧盟数据保护指令的要求，该指令于1995年颁布并规定了欧盟对隐私和个人数据保护的要求，它要求欧盟成员国实施立法，禁止在欧盟以外转移个人数据，除非欧盟委员会已确定接收国的法律能确保保护此类个人数据。这一裁定通常被称为符合欧盟的“充分性”标准。

为了满足欧盟对某些商业转移的充分性标准，美国商务部和欧盟委员会就欧盟与美国之间的贸易协定进行了谈判。隐私盾协议于2016年7月生效，它允许公司合法地将个人数据从欧盟转移到美国。若有意加入隐私盾，公司必须自行向美国商务部证明其符合“隐私盾”原则及相关规定，并已被认为符合欧盟的充分性标准。任何公司自愿撤回或让其认证失效时，若其仍保留用户的个人信息，则其必须继续将隐私盾原则应用到个人信息收集使用过程之中。

美国联邦贸易委员会和美国运输部管辖下的公司都有资格加入隐私盾。根据《联邦贸易委员会法案》第5条，在联邦贸易委员会管辖下的公司，如果声称自己已对隐私盾进行了自我认证而实际并没有，则可能会牵涉基于联邦贸易委员会欺诈授权的执法行动。

Commerce运营了一个公共网站，即https://www.privacyshield d.gov/welcome，并在该网站上发布了根据隐私盾进行自我认证的公司的名称，若相关公司处于https://www.privacyshield d.gov/list名单之中，则表明该公司的自我认证有效。

2017年5月11日，Cambridge Analytic加入隐私盾。虽然通过GSRApp收集的Facebook数据因早于其加入Privacy Shield，故不受保护。被告Cambridge Analytic在加入Privacy Shield后继续从美国和欧洲消费者那里收集Facebook和其他数据。

直至2018年11月27日，Cambridge Analytic在https://cambridgeanalytica.org上发布隐私政策声明如下:

Cambridge Analytic加隐私盾了吗?

是的: Cambridge Analytic遵守欧盟-美国隐私盾，以转移我们用于提供服务的欧盟数据，包括后续转移责任条款。对于根据Privacy Shield框架接收或传输的个人数据，Cambridge Analytica受美国联邦贸易委员会FTC的监管执行权管辖。有关这些原则的更多信息，请访问Privacy Shield网站:https://www.privacyshield d.gov/。

然而，在其2018年5月11日认证过期后，Cambridge Analytic并没有完成认证更新，也没有撤回并确认其对保护其在项目期间获得的任何个人信息的承诺。在允许Cambridge Analytic的认证失效后，Cambridge Analytic却继续声称其参与了欧盟-美国隐私盾。

违反FTC法案事项

收集个人信息中的欺诈行为(第一项)

如上文所述，被告Cambridge Analytic直接或间接、明确或含蓄地欺诈表示：GSRApp并未从授权该应用程序的Facebook用户处收集任何可识别的个人信息。

而事实上，GSRApp收集了授权该应用的Facebook用户的可识别信息，包括使用该应用的用户的Facebook用户ID。因此，被告Cambridge Analytic作了虚假陈述。

参与隐私盾计划中的欺诈行为(第二项)

如上文所述，被告Cambridge Analytic直接或间接、明确或暗示，至少在2018年11月27日之前一直是Privacy Shield的参与者。

事实上，被告Cambridge Analytic并没有延长其对Privacy Shield的参与，其认证早在2018年5月就失效了。因此，Cambridge Analytic的陈述是错误的，或误导人的。

关于遵守隐私盾中持续义务的欺骗性声明(第三项)

如上文所述，被告Cambridge Analytic遵守欧盟-美国隐私盾原则，其中包括一个要求，即，如果一家公司停止参与隐私盾，则它必须向美国商务部确认，它将继续将这些原则应用于其参与该计划期间收到的个人信息。

听证会通知

在此，现通知你，我们将于2020年3月24日上午10点，于美国联邦贸易委员会办公室，我们的一名行政法法官将举行一个听证会。届时，您将有权根据《联邦贸易委员会法》出庭并有权提出抗辩，说明我们为何不应下达命令要求您停止本诉讼中指控的违法行为。

您被告知，您有机会在您收到诉讼文书后的第14天或之前，向联邦贸易委员会提交对该诉讼的抗辩答复。对控诉的指控提出异议的答复必须载有构成每一抗辩理由的事实的简明陈述，对诉讼中所述的每一事实作出具体承认、否认或解释，或(如果你不知道的话)就此作出相关声明。未得到如此答复的指控将被视为已被您承认。

如果你选择不反驳诉讼中所陈述的事实，你的回答应该包括一项声明，即你承认所有重要事实都是真实的。这样的答复将构成对申诉中指称的事实的听证的放弃，并将与申诉一起提供一个记录基础，委员会可在此基础上作出载有适当调查结果和结论的最后决定，以及处理该程序的最后命令。然而，在这样的回答中，您可以保留根据FTC规则§3.46提交关于事实和法律结论的建议调查结果的权利。

未能及时答复将被视为放弃您的权利，以出现和抗辩的指控的诉讼。它还将授权委员会，不再作进一步说明。

行政法法官应当在被告提出答辩状之日起十日内，召开初审排期会议。除非行政法法官另有指示，否则日程安排会议和其他程序将在联邦贸易委员会举行。根据第3.21(a)条规定，双方律师应在预审排期会议之前尽早举行会议，但无论如何不得迟于答辩人提出答辩书后5天。第3.31(b)条规定，每一当事方的律师在收到答辩人的答复后5天内必须在不等待正式的开示要求的情况下作出某些初步披露。

委员会有理由相信，如果发现诉讼所指称的事实，委员会可能有必要和适当地寻求救济，以补救对消费者（或其他人士、合伙企业或公司）造成的损害。这种救济的形式可以是对过去、现在和未来消费者的赔偿，以及《联邦贸易委员会法》第19(b)条所规定的其他类型的救济。委员会将决定是否根据对这一事项的审判程序以及与审议这种行动的必要性和适当性有关的其他因素，向法院申请这种救济。