近日,美國線上廣告提供商OpenX科技公司因違法收集兒童資訊被美國聯邦貿易委員會(FTC)起訴,該案以OpenX科技公司向FTC支付200萬罰款的方式結案。而實際FTC給OpenX開出的罰單數額為750萬美元,但因Openx無力支付,FTC將罰款數額減少到200萬美元。
什麼是COPPA?
COPPA全稱為美國《兒童線上隱私保護法》(Children’s Online Privacy Protection Act)。COPPA於2000年4月21日生效,主要針對線上收集13歲以下兒童個人資訊的行為。它詳細說明了網站經營者必須在隱私政策中包含哪些內容,何時以及如何尋求父母或監護人的可驗證同意,以及經營者線上保護兒童隱私和安全的責任規則。
COPPA對網際網路企業有哪些影響?
COPPA法律實施接近二十年了,但在2019年之前形同虛設,幾乎未對網際網路企業造成任何實質影響,facebook,YouTube一直收集兒童隱私,甚至向兒童展示廣告,但2019年FTC加大了對違反COPPA的企業的處罰力度,引起網際網路企業的高度重視。2019年2月,抖音海外版TIKTOK因違反COPPA,向FTC支付罰金570萬美金,TIKTOK刪除全部兒童影片,並禁止13歲以下的兒童上傳影片。同年9月,因YouTube違規收集13歲以下兒童資訊及向兒童推送定製化廣告,被FTC罰款1.7億美金,成為美國《兒童線上隱私保護法》(下稱“COPPA”)自生效以來最高金額罰款。
COPPA最重要的內容就是在收集、使用和披露兒童個人資訊前,必須徵得其父母的可驗證的同意。實踐中,對於“可驗證”的標準,COPPA將這個問題留給企業,要求企業須透過清晰可用的設計,合理選擇一個方法以確保作出同意的是兒童的父母,而非兒童本人,這既是企業實操中的難點,也是COPPA合規審查的重點。作為COPPA唯一的監管機構,美國聯邦貿易委員會(Federal Trade Commission,簡稱FTC)為COPPA制定了包括《企業六步合規計劃》(A Six-Step Compliance Plan for Your Business)在內的合規指南,為企業遵守COPPA提供了實用指引。
該指南提出的可接受的“可驗證的同意”方法包括:
(1)父母簽署一個同意表格並透過傳真、郵箱或電子掃描方式郵寄;
(2)讓父母使用信用卡、借記卡或其他線上支付系統等可以向賬戶持有人提供每筆單獨交易的通知的系統;
(3)使父母可以透過免費號碼與經過相關知識培訓的人員通話;
(4)使父母可以與經過相關知識培訓的人員進行視訊會議;
(5)使父母提供政府頒發的可在資料庫中查詢的ID影印件,但要在完成認證程式後刪除認證記錄;
(6)使父母回答一系列對於父母之外的人很難回答的問題;
(7)驗證由父母提供的父母的駕照和父母本人照片,透過人臉識別技術進行對比。
如果僅將兒童的個人資訊用於內部目的而不會披露,可以使用“加強型電子郵件”(email plus)的方法。根據該方法,向父母傳送電子郵件並讓他們回覆以表示同意。然後,必須透過電子郵件,信件或電話向父母傳送確認。如果使用“電子郵件+”,必須讓父母知道他們可以隨時撤銷他們的同意。
必須讓父母選擇允許收集和使用他們孩子的個人資訊,而不能捆綁式同時同意向第三方披露該資訊。如果對父母已經同意的收集,使用或披露做法進行了更改,必須向父母傳送新通知並徵得父母的同意。
只有在運營者對兒童資訊進行非披露性的內部使用時,才可以採用較為簡單的“加強型電子郵件”(email plus)的驗證方式,即透過電子郵件取得父母的同意後,再以郵件、信件、電話等形式傳送第二次通知,並告知父母有隨時撤回同意的權利。TikTok被處罰並非是因為其未採取任何嚴重措施,二是因為其所採取的單次郵件驗證的方式,連內部使用情況下的“加強型電子郵件”驗證的標準都達不到,因此被FTC認為是未取得可驗證的同意而被罰款。
以下為《企業六步合規計劃》的主要內容:
第1步:確認公司是否從13歲以下兒童收集個人資訊
根據COPPA第3條,該規則適用於任何面向兒童的網站或線上服務的經營者,或者任何實際知道其正在從兒童收集或維護個人資訊的經營者的收集、使用和披露兒童個人資訊的行為。因此,COPPA主要影響的企業包括以下三種:
面向兒童並收集、使用或披露兒童個人資訊的商業網站和線上服務(包括移動應用程式)的經營者;
實際知道其正在從兒童收集、使用或披露個人資訊的一般受眾網站或線上服務的經營者;
實際知道其直接從另一個面向兒童的網站或線上服務的使用者收集個人資訊的網站或線上服務的經營者。
也就是說,所有對未成年人有潛在吸引力的資料收集、商業isp、外掛、應用和網站都必須遵守這一規則。即使您的網站或應用不是針對未成年人的,但有兒童實際使用,您仍然有責任遵守COPPA規則。
實踐中,FTC會考慮各種因素,以確定網站或服務是否針對13歲以下的兒童,包括網站或服務的主題、視聽內容、動畫角色的使用或其他面向兒童的活動和獎勵、模特的年齡、吸引孩子的兒童名人或名人的存在、網站或服務上針對兒童的廣告、以及關於實際或目標受眾年齡的其他可靠證據。
COPPA經過多次修訂,“個人資訊”的範疇在逐漸擴大。根據COPPA的當前版本,以下內容均被視為“個人資訊”,足以可見COPPA對兒童隱私的保護力度:
全名;
家庭或其他實際地址,包括街道名稱和城市或城鎮;
線上聯絡資訊,如電子郵件地址或允許某人直接聯絡某人的其他識別符號,例如IM識別符號、VoIP識別符號或影片聊天識別符號;
用作線上聯絡資訊的螢幕名稱或使用者名稱;
電話號碼;
社會保障號碼;
持久識別符號,可用於隨時間和跨不同站點識別使用者,包括cookie號,IP地址,處理器或裝置序列號或唯一裝置識別符號;
包含兒童影象或聲音的照片,影片或音訊檔案;
足以識別街道名稱和城市或城鎮的地理定位資訊;或
有關從兒童收集的兒童或父母的其他資訊,並與其中一個識別符號結合使用。
第2步:釋出符合COPPA的隱私政策
COPPA要求網站釋出政策,準確說明如何使用和儲存收集的資料。
1.隱私政策的釋出位置
經營者必須在其網站或線上服務的主頁上以及在收集兒童個人資訊的每個頁面釋出其隱私政策連結。具有單獨兒童區的一般受眾網站的經營者必須在兒童區的主頁上釋出其通知的連結。
隱私政策的連結必須清晰和突出。例如在對比鮮明的背景上使用較大的字型大小或不同的顏色型別,使其脫穎而出。頁面底部的小字中的連結、或者與您網站上的其他連結無法區分的連結一般被認為不符合清晰和突出的要求。
2.隱私政策的內容要求
隱私政策必須寫得清楚易懂,不應包含任何無關或混淆的內容(例如廣告)。必須說明以下資訊:
(1)收集個人資訊的所有經營者的列表。
列明透過您的網站或服務收集或維護兒童個人資訊每一個第三方經營者(例如廣告網路或社交網路外掛)的名稱和聯絡資訊(地址,電話號碼和電子郵件地址)。如果不止一個經營者正在收集資訊,可以只提供一個聯絡資訊,只要該公司能回覆父母關於您的網站或服務實踐的所有詢問。即便如此,您仍需在您的隱私政策中列出所有收集者的名稱。
(2)所收集的個人資訊及其使用方式的說明:
從兒童收集的個人資訊型別(例如,姓名,地址,電子郵件地址,愛好等);
如何收集個人資訊,直接來自兒童或被動地,例如透過cookie;
如何使用個人資訊(例如,向孩子進行營銷,通知比賽獲勝者,或允許孩子透過聊天室公開提供資訊);
是否向第三方披露從兒童收集的個人資訊。如果這樣做,隱私政策必須列出向其披露資訊的企業型別(例如,廣告網路)以及他們如何使用這些資訊。
(3)父母權利的描述:
他們可以檢視孩子的個人資訊,要求刪除,並拒絕允許進一步收集或使用孩子的資訊;
他們可以同意收集和使用他們孩子的資訊,但仍然可以不允許向第三方披露,除非這是服務的一部分(例如,社交網路);和父母行使權利的方式和程式。
第3步:在收集兒童的個人資訊之前,直接通知家長
COPPA要求經營者在收集孩子的資訊之前,向父母“直接通知”(“direct notice”)經營者的資訊實踐(information practices)。此外,如果經營者對父母之前同意的做法做了實質性的改變(material change),也必須發出更新的直接通知。
經營者可以使用任何有效的方法來通知家長,例如向家長髮送電子郵件或透過郵政郵件傳送通知。
“直接通知”應當包含以下內容:
您為了獲得他們的同意而收集了他們的聯絡方式資訊;
您想從他們的孩子那裡收集個人資訊,需要徵得他們的同意;
想要收集的具體個人資訊以及如何向他人披露這些資訊;
附上線上隱私政策的連結;
父母如何表示同意(參見第4步);以及
如果父母在合理的時間內未同意,您將從您的記錄中刪除父母的聯絡方式資訊。
第4步:在收集兒童的個人資訊之前獲得父母的可驗證同意
在收集,使用或披露兒童的個人資訊之前,經營者必須獲得其父母的可驗證同意。如何得到父母的可驗證同意呢?COPPA列出了幾種非詳盡的選項,但最終由經營者來決定,重要的是選擇一種(或任意種)根據現有技術合理設計的方法,以確保給予同意的人是孩子的父母。
FTC批准了幾種可接受的方法在前文中已經介紹,此處不再贅述。
第4步是整個COPPA規則中最為關鍵的一環,也是最為繁瑣和給企業帶來負擔的一步。實踐中,企業可以根據自身的業務型別採取相對較為方便的方式。
第5步:尊重家長對收集的兒童個人資訊的持續權利
根據COPPA的規定,即使父母同意了從他們的孩子那裡收集資訊,父母仍有持續的權利,包括隨時能夠:
審查從其孩子那裡收集的個人資訊;
撤銷他們的同意並拒絕進一步使用或收集他們孩子的個人資訊;和
要求刪除孩子的個人資訊。
企業應當設定合理的機制,為父母行使其權利提供便利,並在隱私政策及“直接通知”中告知父母行使權利的方式。
第6步:實施合理手段,保護兒童個人資訊保安
COPPA要求經營者建立並維護合理的程式,以保護從兒童收集的個人資訊的機密性,安全性和完整性。最大限度地減少收集的資訊內容。採取合理措施,僅向能夠保持資訊機密性,安全性和完整性的第三方服務提供商釋出個人資訊,並得到他們的保證,將履行這些責任。只有在收集個人資訊的目的合理需要的情況下才能保留個人資訊,一旦不再有合法理由保留,請安全地處置這些個人資訊。
FTC對違反COPPA企業的處罰,對中國企業的啟示
首先,並非只有美國境內註冊的企業才適用COPPA。COPPA的適用範圍不僅包括美國境內的企業,也包括在美國伺服器上託管的網站和麵向美國市場的商業網站。因此,中國企業走出去之前,需要特別注意,如果提供的網際網路服務面向美國市場,其行為也受COPPA約束。
其次,鑑於中美之間目前的微妙關係,不排除FTC會持續加大對中國出海企業的監管和處罰力度,這就對出海企業的合規風險控制提出了更高的要求,企業需要嚴格按照COPPA以及《企業六步合規計劃》設立隱私政策,樹立並增強資料合規意識,避免因水土不服導致企業出海揚帆受阻。
資料是網際網路企業的重要資產和發展動力,作為一把雙刃劍,資料在為網際網路企業提供助力的同時,如何對其有效、合規的使用也對企業提出了更高的要求,尤其是企業如果想在國際化的舞臺上展現自身競爭力,需要首先配置好合規的“鎧甲”,才可以合法合規的揮灑汗水,征戰商場。
參考文獻:
[1]https://www.sohu.com/a/510049081_121124603
[2]https://www.shangyexinzhi.com/article/2575512.html
[3] Children’s Online Privacy Protection Rule:A Six-Step Compliance Plan for Your Business|Federal Trade Commission(ftc.gov)
[4] COPPA中對運營者的定義:
The term"operator"-
(A)means any person who operates a website located on the Internet or an online service and who collects or maintains personal information from or about the users of or visitors to such website or online service,or on whose behalf such information is collected or maintained,where such website or online service is operated for commercial purposes,including any person offering products or services for sale through that website or online service,involving commerce-
(i)among the several States or with 1 or more foreign nations;
(ii)in any territory of the United States or in the District of Columbia,or between any such territory and-
(I)another such territory;or
(II)any State or foreign nation;or
(iii)between the District of Columbia and any State,territory,or foreign nation;but
(B)does not include any nonprofit entity that would otherwise be exempt from coverage under section 45 of this title.
本文作者:劉麗霞
