美国证券交易委员会
华盛顿特区 20549
豁免招标通知
根据第 14a-103 条
注册人姓名:美国运通公司
依赖豁免的人员姓名:Change Finance,P.B.C.
依赖豁免的人的地址:弗吉尼亚州亚历山大 Grand View Drive 705 号 22305
书面材料是根据1934年《证券交易法》颁布的 第14a-6 (g) (1) 条提交的。根据该规则的条款,该申报人无需提交,而是出于公开披露和考虑这些重要问题而自愿提交的 。
代理备忘录
| 到: | 美国运通公司的股东 |
| 回复: | 第 6 项(“与堕胎和消费者数据隐私有关的提案”) |
| 日期: | 2023年4月11日 |
| 联系人: | 多丽特·洛森,Change Finance 网址为 shareholder.advocacy@change-finance.com |
这不是在征求对你的代理人进行投票的权力。请 不要把你的代理卡发给我们;Change Finance,P.B.C. 无法对你的代理人进行投票,本次通信也没有考虑这样的 事件。Change Finance敦促股东按照管理层代理邮件中的指示对第6项进行投票。
Change Finance,P.B.C. 敦促股东在美国运通公司(“公司”)2023年代理投票中对第6项 投赞成票。已解决条款规定:
股东要求我们的董事会发布 一份公开报告,详细说明公司为执行将堕胎定为犯罪的州法律而满足有关美国 Express 客户的信息请求所面临的任何已知和潜在的风险和成本,并提出公司为最大限度地减少或减轻这些风险而可能采取的除法律合规 之外的任何策略。该报告应以合理的费用编制,不包括专有 或法律特权信息,并且不迟于 2024 年 9 月 1 日发布。
.
关于 Change Finance,P.B.C.
Change Finance,P.B.C. 旨在利用资本市场的力量 来促进一个更加公正和可持续的世界——一个由为生活服务的经济推动的世界。
Change Finance是美国运通公司的长期股东。 我们之所以支持这项股东提议,是因为公司积累了大量的个人敏感数据,但缺乏透明度,因为 无法了解这些数据的现状或可能危及获得生殖保健的机会。在一半的州将堕胎准入定为犯罪或严格限制 的时代,有必要对公司的数据处理做法有更多的了解。
提案的背景
生殖权利在美国受到围困。从那以后,各州 已经通过了超过1,380项堕胎限制 罗伊诉韦德案— 1973 年美国最高法院的裁决使 该程序合法化。1在逆转之后 罗伊诉韦德案2022 年 6 月,十二个州彻底禁止了大多数堕胎服务 。2
颠覆了保护措施 罗伊诉韦德案提升了本提案中要求的报告的 需求。限制堕胎的州的执法部门依靠消费者数据来调查 ,起诉寻求堕胎或向已经寻求堕胎或提供过援助的个人,预计还会继续这样做。
法律 执法部门可以轻松获取数字生殖健康足迹,并导致刑事指控。Meta 在遵守了 当地内布拉斯加州警察局关于母女之间私下 Facebook 消息的数据请求后,最近收到了大量负面报道,两人随后都被指控犯有与涉嫌非法终止女儿妊娠有关的 重罪(更多示例,见附录A)。3
_____________________________
1https://tinyurl.com/4az3pce3
2https://www.nytimes.com/interactive/2022/us/abortion-laws-roe-v-wade.html
3https://tinyurl.com/msazvebu
作为一家全国性企业,美国运通积累了大量 消费者数据。事实上,该公司仅在美国就有5,640万张卡在流通,并在国内信用卡市场占据了近19%的份额 。4尽管如此,在撤销宪法堕胎保护后,美国运通对数据隐私问题基本保持沉默 。例如,为了回应一个受欢迎的 《纽约时报》 2022年6月关于支付数据如何成为非法堕胎证据的报道,美国运通 “拒绝置评”。5
鉴于公司敏感数据的性质,American Express 将特别容易受到与堕胎有关的执法数据请求的影响,尤其是在堕胎仍然合法的州与行使生殖权利有关的州际冲突 方面。美国人普遍反对将堕胎定为犯罪,因此 加剧了该公司参与执行与堕胎有关的 刑法可能造成的声誉损害的风险。事实上,Change Research代表计划生育组织在2023年1月进行的一项全国民意调查显示,“美国人 强烈反对利用执法来执行堕胎禁令。”6同样,凯撒家庭基金会 2023年5月的一项全国调查发现,“大多数美国公众反对将妇女、医生或协助寻求 堕胎护理的人的人员定为犯罪。”7根据凯撒的调查,居住在受堕胎禁令威胁的某些州 的受访者中,至少有三分之二反对 “将进行堕胎的医生定为犯罪(69%),将妇女越界 堕胎定为犯罪(76%),将妇女堕胎定为犯罪(74%),或者允许普通公民起诉提供 或协助堕胎的人(78%)。”8
股东们有理由担心 的非法堕胎法的实施是否会影响公司的声誉和财务状况。因此,该提案呼吁管理层 审查与公司当前的数据处理做法相关的风险,包括在新的限制性堕胎法面前对政府信息 请求的回应。
支持该提案的理由
| 1. | 该公司的数据处理政策不明确、不一致且不完整。 |
| 2. | 美国运通不提供有关数据隐私的透明度报告。 |
| 3. | 除了信用卡使用数据外,公司还收集敏感的消费者信息,这些信息可能容易受到与堕胎相关的起诉。 |
| 4. | 监管和法律合规性不足以最大限度地减少与生殖保健相关的隐私风险。 |
_____________________________
4https://www.zippia.com/american-express-careers-566/statistics/
5https://www.nytimes.com/2022/06/29/business/payment-data-abortion-evidence.html
6https://changeresearch.com/wp-content/uploads/2023/01/PPFA-_-Poll-Results-January-2023-1.pdf
7https://www.kff.org/womens-health-policy/poll-finding/kff-health-tracking-poll-views-knowledge-abortion-2022/
8同上。
公司的数据处理政策不明确、不一致、 且不完整
消费者以多种方式与美国运通互动 ,这些方式受不同的隐私政策的约束,这些政策不明确、模糊和不完整。
信用卡交易。根据该公司的 隐私 通知 对于消费品,美国运通保留信用卡用户的个人信息,例如 “交易 历史记录和账户历史记录” 等。9它指出,可以共享个人用户数据以响应 “法律调查”。 这些调查可能包括执法机构提起的与堕胎有关的法律诉讼,或那些试图利用 “私刑堕胎法” 的人提起的法律诉讼,该法激励公民在成功起诉帮助他人进行非法堕胎(例如2021年颁布的德克萨斯州SB 8)的个人 时获得现金奖励。
与消费者的在线互动。消费者可以在线与 American Express 互动以研究信息、在社交媒体上与公司互动或支付信用卡账单。 根据该公司的说法 在线隐私声明,公司可能会通过与消费者的在线互动 收集个人信息,包括个人的大致位置、IP 地址、浏览历史记录和地理位置。10但是, 与共享信用卡数据的方式类似,美国运通可能会向执法部门提供个人在线信息,以遵守 政府的数据请求。
尽管有防止政府入侵的宪法保障措施,但 这些保障措施并不能保护自愿与第三方共享信息的消费者。由于 American Express 征得其信用卡用户和在线消费者的明确 或默示同意,因此执法人员通常可以通过简单的请求(例如来自政府官方电子邮件地址的信件或传票)要求公司交出 消费者数据,这两者均未经法官审查 以确保请求在法律上是合理的。但是,美国运通不是 规定的移交数据,除非 数据请求是根据搜查令等司法强制执行的命令提出的。
美国运通未能澄清执法数据 请求是否必须附有法院命令,或者公司是否可以自愿共享数据。例如,即使该请求未经法官审查或批准,公司 能否披露有关在生殖保健机构进行的交易的信息,以回应警察部门要求提供与非法堕胎有关的 证据?诸如PayPal和Salesforce之类的金融机构 已确认,他们只有在法律要求时才会回应执法部门的请求。11
_____________________________
9https://www.americanexpress.com/content/dam/amex/us/company/Privacy/Personal-Charge_5.2021.pdf
10https://www.americanexpress.com/us/company/privacy-center/online-privacy-disclosures/
11https://www.paypal.com/us/legalhub/privacy-full (PayPal); https://tinyurl.com/mr2rkue6 (Salesforce)
在没有明确披露公司的数据共享 做法的情况下,美国运通的消费者和投资者对如何使用这些数据来执行可能导致巨额经济处罚和监禁的与堕胎相关的 法律感到困惑。
美国运通不提供有关 数据隐私的透明度报告,这使公司面临财务和声誉风险
最近的一项实证研究 市场营销杂志表明 ,与滥用商业数据有关的漏洞会给企业带来负面后果,包括负面的 股票回报异常和损害性的客户行为,例如负面口碑和转向亲密的商业竞争对手。12这些 发现可能适用于向执法部门实际和潜在披露堕胎相关数据所产生的数据漏洞,因此 加剧了消费者对数据滥用的担忧。因此,收集大量消费者数据的公司,例如美国运通, 可能会使自己面临更高的财务和声誉风险。与目前的提案相似,该研究发现,除其他外,数据 的透明度可以减轻这些不利影响。
与许多专门就政府 数据请求问题提供透明度报告的上市公司相比,美国运通不发布有关 数据隐私的透明度报告。Meta、亚马逊和谷歌每半年提供一次此类报告,其中包括有关请求类型、合规率 和司法管辖信息的详细信息。13这些信息将非常有助于投资者确定 公司的风险敞口,也可以作为问责工具。反过来,消费者将获得更多的保证,即American Express尊重他们的数据隐私。
为什么需要投赞成票:对美国运通 反对声明的回应
在反对该提案时,该公司表示其数据管理惯例 很容易在网上获得。然而,正如我们上面描述的那样,这些隐私披露缺乏关键信息,尤其是关于 公司出于执法目的共享消费者数据的能力的信息。自 2022 年 6 月美国最高法院撤销宪法堕胎权之前,美国运通一直没有更新其在线隐私声明 。
_____________________________
12参见Kelly D. Martin 等人, 数据隐私: 对客户和公司绩效的影响,81.1《市场营销杂志》,36-58 (2017),https://doi.org/10.1509/jm.15.0497
13https://transparency.fb.com/data/government-data-requests/ (Meta); https://tinyurl.com/y37bzv97(Amazon); https://transparencyreport.google.com/?hl=en_US(谷歌)。
公司进一步规定,它从 信用卡购买中获得的信息有限,并且必须遵守规范政府数据请求和数据保留的法律。但是,现有的隐私 法规可能不足以最大限度地减少提案所考虑的隐私风险。此外,公司 引用的据称限制改善其数据处理做法的能力的法律要么仅监管一种类型的数据(财务信息) ,要么与本提案的担忧无关。
除信用卡 卡使用数据外,公司还收集敏感的消费者信息,这些数据可能容易受到与堕胎相关的起诉
根据该公司的反对声明,它 “ 没有关于客户用信用卡购买什么的信息”,例如可以揭示 信用卡用户实际购买的产品或服务的 “产品级别” 数据。但是,公司确认保留了有关 “交易金额 和交易发生的商家” 的数据。光是这些信息对于执行 的非法堕胎法将非常有用。例如,有关在特定日期在生殖保健机构购买商品的信息可以作为证据,表明客户访问该机构是出于堕胎相关目的。执法部门可以将有关在州外药房购买 的信息用作证据,表明客户在堕胎合法的 州购买了堕胎药物,但在将堕胎定为犯罪的州服用了堕胎药物。
如上所述,除交易信息外,美国运通还从其与消费者的在线互动中收集 数据。其中一些数据非常敏感且属于个人数据,也可以 作为证据,证明某人协助、提供或接受了非法堕胎。例如,公司可以收集与生殖健康数据和隐私相关的搜索相关的 数据(例如,“美国运通月度报表会显示我去了 计划生育组织吗?”)或者关于消费者在生殖保健诊所的地理位置。作为所要求的风险分析报告的一部分,该提案敦促American Express进行评估,这些数据是否确实会产生此类信息或实际使消费者面临与堕胎相关的起诉的风险。
监管和法律合规性不足以最大限度地减少与生殖保健相关的隐私 风险
许多专家 认为美国的数据隐私法范围不够广且过时了。实际上,没有单一、全面的联邦法律来规范公司如何收集、 存储或共享客户数据。在反对该提案时,该公司指出了两项联邦法律,本质上是说 加强消费者隐私保护的能力受到严重限制,或者必须采取提案中讨论的 的一些缓解措施。然而,该公司再次忽略了所有有争议的数据,并误导性地引用了一项与投资者在本提案中提出的 担忧无关的法律。
| 1. | 诸如删除权之类的隐私保护措施可以应用于消费者的非财务数据 |
联邦银行机构受Gramm-Leach-Bliley 法案(“GLBA”)的保护,该法案要求保留某些数据,例如金融交易数据。但是,提案中有争议的消费者 信息类型不仅限于交易信用卡数据,还涵盖其他类型的非财务数据,例如在线 消费者信息。如前所述,执法部门可能利用客户的浏览历史记录来验证 是否有任何与堕胎相关的搜索,或者利用客户手机的位置来确定客户在特定时间是否在生殖 医疗诊所附近(有关此类执法行为的示例,请参阅附录A)。因此,类似于《加州消费者隐私法》规定的删除权 可能仍适用于不受GLBA管辖的数据。
正如提案所设想的那样,大多数在加利福尼亚州、弗吉尼亚州和欧洲 联盟开展业务的公司还必须向消费者提供 “删除权”。14删除 权利通常赋予消费者在企业无需维护 数据的情况下删除个人信息的能力。实施可持续的数据删除计划可以帮助美国运通加强其数据删除标准和治理, 满足监管要求,降低数据泄露的风险,并改善整体数据卫生状况。15由于 American Express 已经遵守了加利福尼亚州和弗吉尼亚州法律规定的数据删除要求,因此在全国范围内适用删除权可能是 可行且具有成本效益的缓解措施,可以缓解提案中发现的问题。实际上,万事达卡和PayPal等其他金融机构 已将删除权扩大到全国范围内的消费者。16
| 2. | 新颁布的堕胎法颁布后,加强数据隐私保护可以降低与公司数据处理做法相关的风险 |
作为 《纽约时报》 报告,”[t]人们每天使用的绝大多数产品 收集的数据不受监管。”17在大多数州,公司可以使用、共享 或出售他们收集的大部分消费者数据,而无需通知他们公司正在这样做。没有联邦法律对 何时(或是否)如果消费者的数据被泄露或暴露给未经授权的各方,则必须通知消费者。如果公司与第三方(例如广告商 或数据经纪人)共享某些 消费者数据,包括个人位置等敏感信息,则这些第三方通常可以在不通知受影响消费者的情况下出售或共享数据。
_____________________________
14https://oag.ca.gov/privacy/ccpa(加利福尼亚州);https://law.lis.virginia.gov/vacodefull/title59.1/chapter53/ (Virginia);https://gdpr-info.eu/art-17-gdpr/(欧盟)
15https://www.grantthornton.com/insights/articles/advisory/2020/how-data-deletion-empowers-data-protection
16https://tinyurl.com/yck8twbp(万事达卡);https://www.paypal.com/us/legalhub/privacy-full (PayPal)。
17https://www.nytimes.com/wirecutter/blog/state-of-privacy-laws-in-us/
由于这种宽松的监管环境,许多企业 实施了更严格的隐私惯例,以更充分地保护消费者免受恶意数据使用的侵害,并提高品牌信任度。其中一种做法 是遵守 “数据最小化” 原则,即公司仅收集提供用户期望获得的服务所必需的 个人数据,并仅将其用于该目的。18对于某些在欧盟开展业务的公司,数据最小化已经是 的一项法律要求。19由于数据最小化,公司 积累的信息减少了,这些信息可能会受到执法部门信息请求的约束,或者与寻求参与 执行堕胎限制法律的第三方共享。值得注意的是,数据最小化还将减少公司的责任、声誉 风险敞口和存储成本。20尽管如此,美国运通未能在其各种隐私政策中透露 它是否遵守了这一原则。
隐私专家进一步建议,为了保护消费者 免受堕胎相关起诉的目标,公司应采用数据加密、去身份识别、 和匿名化等数据安全措施。21加密是将信息或数据转换为代码的过程,尤其是防止未经授权的 访问的过程。去身份识别需要将姓名和地址等个人身份数据与公司 存储的敏感数据隔离开来。匿名化通过删除将个人与存储的数据联系起来的标识符来保护私人或敏感信息。 尚不清楚这些措施是否可以应用于提案中考虑的消费者信息,例如在美国 Express 网站上收集的数据。所要求的报告将告知投资者此类措施是否确实为公司带来了实质性好处。
总而言之,我们认为,实施所要求的报告将有助于 确保美国运通采取更多措施来监控其数据处理行为,这样他们就不会使消费者面临因堕胎相关刑事起诉而产生的 严重风险,从而通过降低公司的声誉、消费者 忠诚度、品牌和价值观来侵蚀股东价值。
对第6号股东项目投赞成票。
如有疑问,请联系 shareholder.advocacy@change-finance.com。
上述信息不应被解释为投资 建议。
_____________________________
18https://pirg.org/articles/do-you-know-where-your-data-is-because-facebook-doesnt/
19https://www.business.com/articles/how-to-apply-data-minimization/
20https://tinyurl.com/2p92fr8t
21https://www.securitymagazine.com/articles/98414-privacy-and-data-protection-in-the-wake-of-dobbs
附录 A:
公司未经消费者同意与第三方共享生殖 健康相关数据的危害示例
在 涉嫌堕胎后,Facebook 的数据曾被用来起诉内布拉斯加州的母亲、女儿
亚伦·桑德福德为 内布拉斯加州考官(2022 年 8 月 10 日), https://tinyurl.com/2etavr8t
2022 年,Meta 遵守了内布拉斯加州当地警察 部门提出的关于母女之间在Facebook上私密消息的数据请求,他们随后都被指控犯有与涉嫌非法终止女儿妊娠有关的 重罪。
监视数字堕胎日记,作者:辛西娅·康蒂-库克
《巴尔的摩大学法律评论》(2020 年 10 月),https://tinyurl.com/49wcm5uy
2017年,密西西比州的一名妇女在家流产。 大陪审团后来以二级谋杀罪起诉了她,部分原因是她的在线搜索记录,其中记录了她曾查过 如何诱发流产。
您的孕期应用程序是否与老板共享您的私密数据?
Drew Harwell 为 《华盛顿邮报》 (2019 年 4 月 10 日),https://tinyurl.com/57mrfs3n
2019年的一份报告显示,怀孕应用程序Ovia Health在未经用户同意的情况下将用户健康 数据出售给了雇主。
帕特尔诉印第安纳州案,60 n.e.3D 1041 (2016)
https://www.leagle.com/decision/ininco20160722184
2013年,一名妇女在服用在线购买的堕胎药后,因 “忽视受抚养人并杀胎” 而被判处二十年徒刑。在审判中对她不利的证据包括她进行的 在线研究、她从internationaldrugmart.com收到的电子邮件确认信,以及发给 朋友的关于她的关系、怀孕和她购买的药丸的未加密短信。
这些公司知道你何时怀孕,而且他们并没有保密
肖莎娜·沃丁斯基和凯尔·巴尔为 Gizmodo(2022 年 7 月 30 日), https://tinyurl.com/mthv8jzc
在 2022 年, Gizmodo发现有32家经纪人出售29亿 份被视为 “正在怀孕” 或 “购买孕妇用品” 的美国居民档案的数据。
出售堕胎药的网站正在与 Google 共享敏感数据
ProPublica 的詹妮弗·戈兰(2023 年 1 月 18 日),https://tinyurl.com/3ty8cb45
在 2023 年进行的一项调查 ProPublica发现 出售米非司酮和米索前列醇等堕胎药物的在线药房正在与谷歌和其他第三方网站共享敏感数据,包括用户的网址、相对位置、 和搜索数据,这使得数据可以通过执法请求恢复。
联邦贸易委员会诉 Kochava, Inc.(2022 年 8 月 29 日), https://tinyurl.com/ywbffb4b
2022 年,联邦贸易委员会起诉 Kochava(主要由公司用于营销目的的数据分析 平台)出售追踪生殖健康诊所、 礼拜场所和其他敏感地点人员的数据。
上述信息可以通过电话、 美国邮件、电子邮件、某些网站和某些社交媒体渠道传播给股东,不应被解释为投资建议或征求 授权您的代理人。向股东传播上述信息的费用完全由本次招标的申报者 承担。不接受代理卡。请不要将您的代理发送给塔拉健康基金会。要为您的代理人投票,请 按照代理卡上的说明进行操作。