美国联邦贸易委员会：2017年隐私与数据安全保护工作报告（英文版）

2018年1月18日，美国联邦贸易委员会（Federal Trade Commission，FTC）发布《2017年隐私与数据安全保护工作报告》（Privacy & Data Security Update (2017)）。FTC对公司提出实质性保护和程序性保护两个要求，即不仅要注重保护方式内在的合理性与安全性，也要以将保护作为公司的例行工作和日常事项。FTC还提出，企业所收集的用户信息应当满足“最小化的密切联系原则”，即机构收集的信息以实现服务目的为限。FTC提出三点技术性操作原则：1、对不同机构保护措施合理性的具体要求以机构所收集的用户信息的敏感性和数量多少作为衡量基础，两者成正相关关系；2、综合考虑机构运行数据的规模和复杂性，规模越大运行越复杂，则对合理性要求越高；3、综合考虑机构为提高安全性的有效措施的运行成本。FTC对“合理性”提出四点具体要求：1、合理收集：FTC认为公司应避免使用和收集不符合合法商业业务需求的敏感个人信息，如果公司因业务原因而需要保留部分敏感个人信息，则应当对此类信息做非永久保留设置，并且在书面的服务协议中，明确声明对信息的保留和处置计划。2、合理使用：机