美國證券交易委員會
華盛頓特區 20549

豁免招標通知
根據第 14a-103 條

註冊人姓名：美國運通公司

依賴豁免的人員姓名：Change Finance，P.B.C.

依賴豁免的人的地址：弗吉尼亞州亞歷山大 Grand View Drive 705 號 22305

書面材料是根據1934年《證券交易法》頒佈的 第14a-6 (g) (1) 條提交的。根據該規則的條款，該申報人無需提交，而是出於公開披露和考慮這些重要問題而自願提交的 。

代理備忘錄

這不是在徵求對你的代理人進行投票的權力。請 不要把你的代理卡發給我們；Change Finance，P.B.C. 無法對你的代理人進行投票，本次通信也沒有考慮這樣的 事件。Change Finance敦促股東按照管理層代理郵件中的指示對第6項進行投票。

Change Finance，P.B.C. 敦促股東在美國運通公司（“公司”）2023年代理投票中對第6項 投贊成票。已解決條款規定：

股東要求我們的董事會發布 一份公開報告，詳細説明公司為執行將墮胎定為犯罪的州法律而滿足有關美國 Express 客户的信息請求所面臨的任何已知和潛在的風險和成本，並提出公司為最大限度地減少或減輕這些風險而可能採取的除法律合規 之外的任何策略。該報告應以合理的費用編制，不包括專有 或法律特權信息，並且不遲於 2024 年 9 月 1 日發佈。

.

關於 Change Finance，P.B.C.

Change Finance，P.B.C. 旨在利用資本市場的力量 來促進一個更加公正和可持續的世界——一個由為生活服務的經濟推動的世界。

Change Finance是美國運通公司的長期股東。 我們之所以支持這項股東提議，是因為公司積累了大量的個人敏感數據，但缺乏透明度，因為 無法瞭解這些數據的現狀或可能危及獲得生殖保健的機會。在一半的州將墮胎准入定為犯罪或嚴格限制 的時代，有必要對公司的數據處理做法有更多的瞭解。

提案的背景

生殖權利在美國受到圍困。從那以後，各州 已經通過了超過1,380項墮胎限制 羅伊訴韋德案— 1973 年美國最高法院的裁決使 該程序合法化。¹在逆轉之後 羅伊訴韋德案2022 年 6 月，十二個州徹底禁止了大多數墮胎服務 。²

顛覆了保護措施 羅伊訴韋德案提升了本提案中要求的報告的 需求。限制墮胎的州的執法部門依靠消費者數據來調查 ，起訴尋求墮胎或向已經尋求墮胎或提供過援助的個人，預計還會繼續這樣做。

法律 執法部門可以輕鬆獲取數字生殖健康足跡，並導致刑事指控。Meta 在遵守了 當地內布拉斯加州警察局關於母女之間私下 Facebook 消息的數據請求後，最近收到了大量負面報道，兩人隨後都被指控犯有與涉嫌非法終止女兒妊娠有關的 重罪（更多示例，見附錄A）。³

_____________________________

¹https://tinyurl.com/4az3pce3

²https://www.nytimes.com/interactive/2022/us/abortion-laws-roe-v-wade.html

³https://tinyurl.com/msazvebu

作為一家全國性企業，美國運通積累了大量 消費者數據。事實上，該公司僅在美國就有5,640萬張卡在流通，並在國內信用卡市場佔據了近19％的份額 。⁴儘管如此，在撤銷憲法墮胎保護後，美國運通對數據隱私問題基本保持沉默 。例如，為了迴應一個受歡迎的 《紐約時報》 2022年6月關於支付數據如何成為非法墮胎證據的報道，美國運通 “拒絕置評”。⁵

鑑於公司敏感數據的性質，American Express 將特別容易受到與墮胎有關的執法數據請求的影響，尤其是在墮胎仍然合法的州與行使生殖權利有關的州際衝突 方面。美國人普遍反對將墮胎定為犯罪，因此 加劇了該公司參與執行與墮胎有關的 刑法可能造成的聲譽損害的風險。事實上，Change Research代表計劃生育組織在2023年1月進行的一項全國民意調查顯示，“美國人 強烈反對利用執法來執行墮胎禁令。”⁶同樣，凱撒家庭基金會 2023年5月的一項全國調查發現，“大多數美國公眾反對將婦女、醫生或協助尋求 墮胎護理的人的人員定為犯罪。”⁷根據凱撒的調查，居住在受墮胎禁令威脅的某些州 的受訪者中，至少有三分之二反對 “將進行墮胎的醫生定為犯罪（69％），將婦女越界 墮胎定為犯罪（76％），將婦女墮胎定為犯罪（74％），或者允許普通公民起訴提供 或協助墮胎的人（78％）。”⁸

股東們有理由擔心 的非法墮胎法的實施是否會影響公司的聲譽和財務狀況。因此，該提案呼籲管理層 審查與公司當前的數據處理做法相關的風險，包括在新的限制性墮胎法面前對政府信息 請求的迴應。

支持該提案的理由

_____________________________

⁴https://www.zippia.com/american-express-careers-566/statistics/

⁵https://www.nytimes.com/2022/06/29/business/payment-data-abortion-evidence.html

⁶https://changeresearch.com/wp-content/uploads/2023/01/PPFA-_-Poll-Results-January-2023-1.pdf

⁷https://www.kff.org/womens-health-policy/poll-finding/kff-health-tracking-poll-views-knowledge-abortion-2022/

⁸同上。

公司的數據處理政策不明確、不一致、 且不完整

消費者以多種方式與美國運通互動 ，這些方式受不同的隱私政策的約束，這些政策不明確、模糊和不完整。

信用卡交易。根據該公司的 隱私 通知 對於消費品，美國運通保留信用卡用户的個人信息，例如 “交易 歷史記錄和賬户歷史記錄” 等。⁹它指出，可以共享個人用户數據以響應 “法律調查”。 這些調查可能包括執法機構提起的與墮胎有關的法律訴訟，或那些試圖利用 “私刑墮胎法” 的人提起的法律訴訟，該法激勵公民在成功起訴幫助他人進行非法墮胎（例如2021年頒佈的德克薩斯州SB 8）的個人 時獲得現金獎勵。

與消費者的在線互動。消費者可以在線與 American Express 互動以研究信息、在社交媒體上與公司互動或支付信用卡賬單。 根據該公司的説法 在線隱私聲明，公司可能會通過與消費者的在線互動 收集個人信息，包括個人的大致位置、IP 地址、瀏覽歷史記錄和地理位置。¹⁰但是， 與共享信用卡數據的方式類似，美國運通可能會向執法部門提供個人在線信息，以遵守 政府的數據請求。

儘管有防止政府入侵的憲法保障措施，但 這些保障措施並不能保護自願與第三方共享信息的消費者。由於 American Express 徵得其信用卡用户和在線消費者的明確 或默示同意，因此執法人員通常可以通過簡單的請求（例如來自政府官方電子郵件地址的信件或傳票）要求公司交出 消費者數據，這兩者均未經法官審查 以確保請求在法律上是合理的。但是，美國運通不是 規定的移交數據，除非 數據請求是根據搜查令等司法強制執行的命令提出的。

美國運通未能澄清執法數據 請求是否必須附有法院命令，或者公司是否可以自願共享數據。例如，即使該請求未經法官審查或批准，公司 能否披露有關在生殖保健機構進行的交易的信息，以迴應警察部門要求提供與非法墮胎有關的 證據？諸如PayPal和Salesforce之類的金融機構 已確認，他們只有在法律要求時才會迴應執法部門的請求。¹¹

_____________________________

⁹https://www.americanexpress.com/content/dam/amex/us/company/Privacy/Personal-Charge_5.2021.pdf

¹⁰https://www.americanexpress.com/us/company/privacy-center/online-privacy-disclosures/

¹¹https://www.paypal.com/us/legalhub/privacy-full (PayPal); https://tinyurl.com/mr2rkue6 (Salesforce)

在沒有明確披露公司的數據共享 做法的情況下，美國運通的消費者和投資者對如何使用這些數據來執行可能導致鉅額經濟處罰和監禁的與墮胎相關的 法律感到困惑。

美國運通不提供有關 數據隱私的透明度報告，這使公司面臨財務和聲譽風險

最近的一項實證研究 市場營銷雜誌表明 ，與濫用商業數據有關的漏洞會給企業帶來負面後果，包括負面的 股票回報異常和損害性的客户行為，例如負面口碑和轉向親密的商業競爭對手。¹²這些 發現可能適用於向執法部門實際和潛在披露墮胎相關數據所產生的數據漏洞，因此 加劇了消費者對數據濫用的擔憂。因此，收集大量消費者數據的公司，例如美國運通， 可能會使自己面臨更高的財務和聲譽風險。與目前的提案相似，該研究發現，除其他外，數據 的透明度可以減輕這些不利影響。

與許多專門就政府 數據請求問題提供透明度報告的上市公司相比，美國運通不發佈有關 數據隱私的透明度報告。Meta、亞馬遜和谷歌每半年提供一次此類報告，其中包括有關請求類型、合規率 和司法管轄信息的詳細信息。¹³這些信息將非常有助於投資者確定 公司的風險敞口，也可以作為問責工具。反過來，消費者將獲得更多的保證，即American Express尊重他們的數據隱私。

為什麼需要投贊成票：對美國運通 反對聲明的迴應

在反對該提案時，該公司表示其數據管理慣例 很容易在網上獲得。然而，正如我們上面描述的那樣，這些隱私披露缺乏關鍵信息，尤其是關於 公司出於執法目的共享消費者數據的能力的信息。自 2022 年 6 月美國最高法院撤銷憲法墮胎權之前，美國運通一直沒有更新其在線隱私聲明 。

_____________________________

¹²參見Kelly D. Martin 等人， 數據隱私： 對客户和公司績效的影響，81.1《市場營銷雜誌》，36-58 (2017)，https://doi.org/10.1509/jm.15.0497

¹³https://transparency.fb.com/data/government-data-requests/ (Meta); https://tinyurl.com/y37bzv97(Amazon); https://transparencyreport.google.com/?hl=en_US（谷歌）。

公司進一步規定，它從 信用卡購買中獲得的信息有限，並且必須遵守規範政府數據請求和數據保留的法律。但是，現有的隱私 法規可能不足以最大限度地減少提案所考慮的隱私風險。此外，公司 引用的據稱限制改善其數據處理做法的能力的法律要麼僅監管一種類型的數據（財務信息） ，要麼與本提案的擔憂無關。

除信用卡 卡使用數據外，公司還收集敏感的消費者信息，這些數據可能容易受到與墮胎相關的起訴

根據該公司的反對聲明，它 “ 沒有關於客户用信用卡購買什麼的信息”，例如可以揭示 信用卡用户實際購買的產品或服務的 “產品級別” 數據。但是，公司確認保留了有關 “交易金額 和交易發生的商家” 的數據。光是這些信息對於執行 的非法墮胎法將非常有用。例如，有關在特定日期在生殖保健機構購買商品的信息可以作為證據，表明客户訪問該機構是出於墮胎相關目的。執法部門可以將有關在州外藥房購買 的信息用作證據，表明客户在墮胎合法的 州購買了墮胎藥物，但在將墮胎定為犯罪的州服用了墮胎藥物。

如上所述，除交易信息外，美國運通還從其與消費者的在線互動中收集 數據。其中一些數據非常敏感且屬於個人數據，也可以 作為證據，證明某人協助、提供或接受了非法墮胎。例如，公司可以收集與生殖健康數據和隱私相關的搜索相關的 數據（例如，“美國運通月度報表會顯示我去了 計劃生育組織嗎？”）或者關於消費者在生殖保健診所的地理位置。作為所要求的風險分析報告的一部分，該提案敦促American Express進行評估，這些數據是否確實會產生此類信息或實際使消費者面臨與墮胎相關的起訴的風險。

監管和法律合規性不足以最大限度地減少與生殖保健相關的隱私 風險

許多專家 認為美國的數據隱私法範圍不夠廣且過時了。實際上，沒有單一、全面的聯邦法律來規範公司如何收集、 存儲或共享客户數據。在反對該提案時，該公司指出了兩項聯邦法律，本質上是説 加強消費者隱私保護的能力受到嚴重限制，或者必須採取提案中討論的 的一些緩解措施。然而，該公司再次忽略了所有有爭議的數據，並誤導性地引用了一項與投資者在本提案中提出的 擔憂無關的法律。

聯邦銀行機構受Gramm-Leach-Bliley 法案（“GLBA”）的保護，該法案要求保留某些數據，例如金融交易數據。但是，提案中有爭議的消費者 信息類型不僅限於交易信用卡數據，還涵蓋其他類型的非財務數據，例如在線 消費者信息。如前所述，執法部門可能利用客户的瀏覽歷史記錄來驗證 是否有任何與墮胎相關的搜索，或者利用客户手機的位置來確定客户在特定時間是否在生殖 醫療診所附近（有關此類執法行為的示例，請參閲附錄A）。因此，類似於《加州消費者隱私法》規定的刪除權 可能仍適用於不受GLBA管轄的數據。

正如提案所設想的那樣，大多數在加利福尼亞州、弗吉尼亞州和歐洲 聯盟開展業務的公司還必須向消費者提供 “刪除權”。¹⁴刪除 權利通常賦予消費者在企業無需維護 數據的情況下刪除個人信息的能力。實施可持續的數據刪除計劃可以幫助美國運通加強其數據刪除標準和治理， 滿足監管要求，降低數據泄露的風險，並改善整體數據衞生狀況。¹⁵由於 American Express 已經遵守了加利福尼亞州和弗吉尼亞州法律規定的數據刪除要求，因此在全國範圍內適用刪除權可能是 可行且具有成本效益的緩解措施，可以緩解提案中發現的問題。實際上，萬事達卡和PayPal等其他金融機構 已將刪除權擴大到全國範圍內的消費者。¹⁶

作為 《紐約時報》 報告，”[t]人們每天使用的絕大多數產品 收集的數據不受監管。”¹⁷在大多數州，公司可以使用、共享 或出售他們收集的大部分消費者數據，而無需通知他們公司正在這樣做。沒有聯邦法律對 何時（或是否）如果消費者的數據被泄露或暴露給未經授權的各方，則必須通知消費者。如果公司與第三方（例如廣告商 或數據經紀人）共享某些 消費者數據，包括個人位置等敏感信息，則這些第三方通常可以在不通知受影響消費者的情況下出售或共享數據。

_____________________________

¹⁴https://oag.ca.gov/privacy/ccpa（加利福尼亞州）；https://law.lis.virginia.gov/vacodefull/title59.1/chapter53/ (Virginia）；https://gdpr-info.eu/art-17-gdpr/（歐盟）

¹⁵https://www.grantthornton.com/insights/articles/advisory/2020/how-data-deletion-empowers-data-protection

¹⁶https://tinyurl.com/yck8twbp（萬事達卡）；https://www.paypal.com/us/legalhub/privacy-full (PayPal）。

¹⁷https://www.nytimes.com/wirecutter/blog/state-of-privacy-laws-in-us/

由於這種寬鬆的監管環境，許多企業 實施了更嚴格的隱私慣例，以更充分地保護消費者免受惡意數據使用的侵害，並提高品牌信任度。其中一種做法 是遵守 “數據最小化” 原則，即公司僅收集提供用户期望獲得的服務所必需的 個人數據，並僅將其用於該目的。¹⁸對於某些在歐盟開展業務的公司，數據最小化已經是 的一項法律要求。¹⁹由於數據最小化，公司 積累的信息減少了，這些信息可能會受到執法部門信息請求的約束，或者與尋求參與 執行墮胎限制法律的第三方共享。值得注意的是，數據最小化還將減少公司的責任、聲譽 風險敞口和存儲成本。²⁰儘管如此，美國運通未能在其各種隱私政策中透露 它是否遵守了這一原則。

隱私專家進一步建議，為了保護消費者 免受墮胎相關起訴的目標，公司應採用數據加密、去身份識別、 和匿名化等數據安全措施。²¹加密是將信息或數據轉換為代碼的過程，尤其是防止未經授權的 訪問的過程。去身份識別需要將姓名和地址等個人身份數據與公司 存儲的敏感數據隔離開來。匿名化通過刪除將個人與存儲的數據聯繫起來的標識符來保護私人或敏感信息。 尚不清楚這些措施是否可以應用於提案中考慮的消費者信息，例如在美國 Express 網站上收集的數據。所要求的報告將告知投資者此類措施是否確實為公司帶來了實質性好處。

總而言之，我們認為，實施所要求的報告將有助於 確保美國運通採取更多措施來監控其數據處理行為，這樣他們就不會使消費者面臨因墮胎相關刑事起訴而產生的 嚴重風險，從而通過降低公司的聲譽、消費者 忠誠度、品牌和價值觀來侵蝕股東價值。

對第6號股東項目投贊成票。

如有疑問，請聯繫 shareholder.advocacy@change-finance.com。

上述信息不應被解釋為投資 建議。

_____________________________

¹⁸https://pirg.org/articles/do-you-know-where-your-data-is-because-facebook-doesnt/

¹⁹https://www.business.com/articles/how-to-apply-data-minimization/

²⁰https://tinyurl.com/2p92fr8t

²¹https://www.securitymagazine.com/articles/98414-privacy-and-data-protection-in-the-wake-of-dobbs

附錄 A：

公司未經消費者同意與第三方共享生殖 健康相關數據的危害示例

在 涉嫌墮胎後，Facebook 的數據曾被用來起訴內布拉斯加州的母親、女兒

亞倫·桑德福德為 內布拉斯加州考官（2022 年 8 月 10 日）， https://tinyurl.com/2etavr8t

2022 年，Meta 遵守了內布拉斯加州當地警察 部門提出的關於母女之間在Facebook上私密消息的數據請求，他們隨後都被指控犯有與涉嫌非法終止女兒妊娠有關的 重罪。

監視數字墮胎日記，作者：辛西婭·康蒂-庫克

《巴爾的摩大學法律評論》（2020 年 10 月），https://tinyurl.com/49wcm5uy

2017年，密西西比州的一名婦女在家流產。 大陪審團後來以二級謀殺罪起訴了她，部分原因是她的在線搜索記錄，其中記錄了她曾查過 如何誘發流產。

您的孕期應用程序是否與老闆共享您的私密數據？

Drew Harwell 為 《華盛頓郵報》 （2019 年 4 月 10 日），https://tinyurl.com/57mrfs3n

2019年的一份報告顯示，懷孕應用程序Ovia Health在未經用户同意的情況下將用户健康 數據出售給了僱主。

帕特爾訴印第安納州案，60 n.e.3D 1041 (2016)

https://www.leagle.com/decision/ininco20160722184

2013年，一名婦女在服用在線購買的墮胎藥後，因 “忽視受撫養人並殺胎” 而被判處二十年徒刑。在審判中對她不利的證據包括她進行的 在線研究、她從internationaldrugmart.com收到的電子郵件確認信，以及發給 朋友的關於她的關係、懷孕和她購買的藥丸的未加密短信。

這些公司知道你何時懷孕，而且他們並沒有保密

肖莎娜·沃丁斯基和凱爾·巴爾為 Gizmodo（2022 年 7 月 30 日）， https://tinyurl.com/mthv8jzc

在 2022 年， Gizmodo發現有32家經紀人出售29億 份被視為 “正在懷孕” 或 “購買孕婦用品” 的美國居民檔案的數據。

出售墮胎藥的網站正在與 Google 共享敏感數據

ProPublica 的詹妮弗·戈蘭（2023 年 1 月 18 日），https://tinyurl.com/3ty8cb45

在 2023 年進行的一項調查 ProPublica發現 出售米非司酮和米索前列醇等墮胎藥物的在線藥房正在與谷歌和其他第三方網站共享敏感數據，包括用户的網址、相對位置、 和搜索數據，這使得數據可以通過執法請求恢復。

聯邦貿易委員會訴 Kochava, Inc.（2022 年 8 月 29 日）， https://tinyurl.com/ywbffb4b

2022 年，聯邦貿易委員會起訴 Kochava（主要由公司用於營銷目的的數據分析 平臺）出售追蹤生殖健康診所、 禮拜場所和其他敏感地點人員的數據。

上述信息可以通過電話、 美國郵件、電子郵件、某些網站和某些社交媒體渠道傳播給股東，不應被解釋為投資建議或徵求 授權您的代理人。向股東傳播上述信息的費用完全由本次招標的申報者 承擔。不接受代理卡。請不要將您的代理髮送給塔拉健康基金會。要為您的代理人投票，請 按照代理卡上的説明進行操作。