FTC vs. YouTube:解读违规处理儿童个人信息之最大罚单(DPO社群成员观点)
2019年9月4日,美国联邦贸易委员会(FTC)宣布,以FTC和纽约州为一方,Google公司和YouTube公司为另一方,双方已达成金额为1.7亿美元的和解令。FTC内部以3:2的投票结果通过了这份和解令(其中,三位共和党委员投了赞成票,而两位民主党委员投了反对票)。目前,该和解令已经递交给哥伦比亚地区法院,待法官通过、签署后,和解令即生效。
这是自1998年颁布《儿童在线隐私保护法》(Children’s Online Privacy Protection Act, 以下简称COPPA)以来,FTC在儿童隐私案件中开出的最高罚单。FTC为何认为YouTube违反了COPPA?和解令存在哪些亮点与争议?本文基于对于FTC对Google和YouTube的指控书、和解令和五位委员的意见陈述等一手资料的分析,梳理此事件的来龙去脉,并进一步呈现和解令背后的思考。
一、COPPA以及《COPPA实施细则》的规定
上世纪90年代,大量的网站和互联网服务提供商将目光转向儿童市场,试图向儿童用户推销自己并获取大量儿童用户信息。这些对于儿童个人信息的收集引发了公众对于儿童线上隐私安全的忧虑。为此,美国国会在1998年颁布了《儿童在线隐私保护法》。该法采用了“opt-in”模式,要求在收集儿童信息前征得父母可验证的同意(verifiable parental consent),并要求公司公开他们收集、使用和保护儿童信息的方式,从而保证父母处于儿童信息收集活动中掌舵人的位置。该法由联邦贸易委员会(Federal Trade Commission, 以下简称FTC)和各州总检察长负责实施。
除了规定收集儿童信息的各项要求外,为确保可实施性,COPPA还授予了FTC制定相关实施细则的权利。1999年,FTC颁布了《儿童在线隐私保护实施细则》(Children’s Online Privacy Protection Rule , “COPPA Rule”,以下简称《实施细则》)。《实施细则》于2000年生效,并于2012年进行了修订,修订的版本于2013年7月生效。
《实施细则》适用于面向13岁以下的儿童、提供商业网站或线上服务的运营者,或“确实知道”(has actual knowledge)其网页或线上服务正在收集或持有儿童个人信息的运营者。此外,如果网站或线上服务的运营者从其他针对儿童的网站或线上服务的用户处收集儿童个人信息,则也将受到《实施细则》的规制。关于修订后的《实施细则》,2013年FTC曾声明,在《实施细则》下,平台在一般不对其上出现的以儿童为对象的内容负责,除非平台“确实知道”该内容正在从一个以儿童为对象的站点或者服务中获取个人信息。
《实施细则》规定,在线上收集儿童个人信息之前,有关运营商必须通知父母并获得父母可验证的同意。这一要求的内容包括但不限于:
在网站或其他网络服务中公布隐私政策,对于相关信息做法提供清晰、易懂、完整的说明,包括将从儿童处获取何种信息、获取的信息将被如何使用以及这些信息将被如何披露等;
直接对父母提供相关信息做法的清晰、易懂、完整的说明;
在收集、使用、披露儿童信息之前获得父母可验证的同意。
因此,未经通知并获得父母可验证的同意,运营者不得为行为广告投放而收集儿童的永久标识信息。
二、案件基本事实
签署和解令意味着被申请人既不承认也不否认指控书中原告FTC的指控。由于以下描述的“事实”基于FTC的指控书,为严谨起见,我们强调是“FTC认为”的“事实”。
YouTube是Google的子公司之一,在电脑端和移动端提供视频分享的平台服务,是美国最大的线上视频网站之一,用户可以在YouTube上创建自己的频道,上传和分享视频内容,有许多商业公司也在YouTube上开设了自己的频道。通过允许YouTube向他们的观众推送广告,频道所有者可以利用频道变现。实际上二者是一种合作关系,YouTube从广告收入中提取45%分成,剩下部分归频道所有者。
YouTube上的广告投放有两种方式:内容广告投放(根据特定频道或视频来确定广告投放)和行为广告投放(通过追踪用户行为来确定广告投放)。其中行为广告投放是YouTube频道的默认设置,但频道所有者拥有“opt-out”的权利,可以在设置中关闭行为广告投放功能,之后YouTube便会在频道中提供内容广告投放,但是,内容广告的收益少于行为广告投放。在频道所有者选择关闭行为广告投放设置时,页面上还会有文本提醒称这样做将“可能大幅减少频道收入”。而为了在这些频道上实现行为广告投放,YouTube会收集用户的永久标识以便追踪用户的在线活动,从而精准投放切合用户兴趣的广告内容。
尽管Google一直以来都声称YouTube没有13周岁以下的用户,但FTC调查发现的事实恰恰相反。以下,FTC举出了Google“确实知道”其用户中存在儿童的证据:
Google和YouTube在向一些儿童产品的品牌推销时,经常将YouTube描述为儿童最喜爱的网站之一(见下图)。
YouTube自身有一个内容分级体系,将适宜不同年龄观看的内容分入不同组别,这其中就包含13岁以下儿童观看的内容,如Y级(0-7岁),PG级(10岁以上)、G级(所有年龄)等。而在有关信息收集的问题上,YouTube对Y级内容的相关做法与其他级别内容并无区别。
在2015年,YouTube开发了一款独立的应用产品:YouTube Kids,目标群体为2-12岁的儿童。而YouTube Kids的内容通常是自动从YouTube上Y级、G级内容中搬运过来,其中也有很多内容是通过人工筛查挑选。而被搬运到YouTube Kids上的视频依然会继续在YouTube上播放。
YouTube上存在大量以儿童为目标群体的频道。根据《实施细则》的要求,一个网站或线上服务是否以儿童为目标群体,可以从其“主题、可视化内容、动画人物的运用、以儿童为目标的活动或激励、音乐或其他音频内容、模特的年龄、是否存在儿童名人或吸引儿童的名人、语言或其他特点,以及网页或服务中推销或出现的广告是否面向儿童”等方面来判断。而YouTube上存在大量满足这些要求的频道,包括一些知名儿童用品品牌运营的频道,如Mattel的“芭比”、“托马斯和他的朋友们”等。这些频道鲜明地自我标榜为以儿童为目标群体,例如在其频道页面的“About”板块中做相关陈述,或者在与YouTube的沟通中表明自己面向儿童。也有很多频道的视频中包含动画形象、儿童玩玩具或是参与其他以儿童为目标群体的活动等内容。而这些频道的内容也大量被搬运到了YouTube Kids。
从以上事实可以看出,Google和YouTube一直以来都“确实知道”其平台上存在13岁以下的儿童用户,但在收集这些用户的信息之前并没有按照COPPA的规定通知儿童的家长并获取家长可验证的同意。因此,FTC控告Google和YouTube违反了《实施细则》;而根据COPPA和《联邦贸易委员会法》,对《细则》的违反即构成《联邦贸易委员会法》第五条规定的“商业中或影响商业的不公平或欺骗性行为”。
三、和解令的内容
以FTC和纽约州为一方,Google公司和YouTube公司为另一方(以下称“被申请人”)签署的和解令就民事罚款与金钱性救济、三个方面的禁制令,以及对被申请人提交合规报告、保存记录、受合规监督等执行要求达成了一致。此次和解令的合规时限为法院登记之后的4个月。
1、禁制令
和解令首先包括了三个方面的禁制令,分别关于:将YouTube中的相关内容标明为“面向儿童”(directed to children)、从儿童处收集个人信息和使用先前收集的个人信息。
a. 关于将YouTube中的内容标明为面向儿童的禁制令
被申请人和相关人员、实体,就运行YouTube服务而言,应当为频道所有者开发、实施和维护一套系统,使频道所有者标明其在YouTube上的内容是否面向儿童。该系统应包括清晰、明显的通知,说明YouTube服务上提供的针对儿童的内容可能受《实施细则》的约束,并说明频道所有者有义务标明面向儿童的内容;
被申请人应为每位负责管理被申请人与频道所有者关系的人员提供遵守《实施细则》的年度培训。
支持和解令的FTC主席Joseph Simons和Christine Wilson委员在陈述中提到,这一规定是本次和解的亮点之一。根据COPPA的规定,本身不制作内容、但基于面向儿童内容而播放和提供广告的第三方(即此案中的YouTube和Google)本身并没有责任调查内容是否面向儿童;而此次和解令的规定则给被申请人施加了义务,要求其开发系统,由内容制造者自己在其中选定内容是否面向儿童。这是第一次对平台或第三方施加相关强制要求,使其必须主动了解内容是否面向儿童。
投反对票的Rebecca Slaughter委员认为这一措施还不够。下文将详细介绍Slaughter委员的意见与Simons委员、Wilson委员的回应。
b. 关于从儿童处收集个人信息的禁制令
被申请人和相关人员、实体,应在现有技术的允许下尽合理努力,保证儿童的父/母收到关于被申请人如何收集、使用或披露儿童个人信息的直接通知,其中,当该父/母先前已经同意的关于收集、使用、披露的做法有任何重大改变时,也应当直接通知;
应在其网站或在线服务的主页或登录页上,以及网站或在线服务中每个收集儿童个人信息的区域,公布显著的、带有清晰标签的链接,说明其有关儿童信息的做法;
在收集、使用或披露儿童的个人信息之前应获得父母可验证的同意,其中包括对父母先前已同意的关于收集、使用或披露做法有任何重大变更的同意;
遵守《实施细则》。
c. 关于使用先前收集的个人信息的禁制令
对于从合规时限过后60天内由频道所有者标明为面向儿童的内容中收集的个人信息,在合规时限过后90天内,被申请人和相关人员、实体不得披露、使用、从中获利。但在政府机关要求或法律、法规或法庭令要求的范围内,此类个人信息可以披露。
2、民事罚款和其他金钱性救济
被申请人应向FTC支付1.36亿美元作为民事罚款;向纽约州支付3400万美元作为损害赔偿、补偿及对其居民的其他补偿。
3、其他合规要求
合规时限过后的固定时间点,被申请人应及时向FTC和纽约州提交合规报告、合规通知,并在出现相应事件的情况下及时提交破产请求通知等文件。
被申请人在和解令登记后10年内应建立会计记录、人事记录、表明遵守此和解令的所有必要记录、儿童个人信息投诉与应答记录、与收集儿童个人信息有关的表格、页面和广告材料副本等记录,并将每份记录保存5年。
和解令生效后,FTC和纽约州有权监督被申请人遵守该和解令,并提出相关要求。
四、委员们的意见
如同以往对于科技巨头的执法案例,此次和解令的签署也伴随着争议。委员们在意见陈述中也表达了对和解令背后和之外的更深层问题的思考。
1、非作为内容制造者的平台的义务
本身不制作内容、但基于内容而播放和提供广告的视频平台是否“确实知道”内容面向儿童是本案的关键问题之一。本案中,FTC提出多项证据证明YouTube平台及相关方“确实知道”用户制造、上传的内容面向儿童,并在和解令中为平台施加了主动了解此类内容是否面向儿童的义务。
和解令要求被申请人开发和提供系统,由频道所有者用此系统标明其内容是否面向儿童。不过,和解令并未提出平台后续的监督等义务,而这恰恰是Rebecca Slaughter委员认为可以走得更远之处。
Slaughter委员认为,和解令没有要求YouTube监督频道所有者是否正确进行了标明,这使得措施的效果存疑。她认为,和解令应当要求YouTube进行监督,比如要求YouTube采用技术手段来识别那些未被标明为面向儿童的内容是否实际面向儿童、在需要时关停行为广告等。否则,仅根据目前和解令的规定,对于频道来说,大量频道(特别是小频道)可能发现不标明为面向儿童所获得的收益会超过被发现违反COPPA的风险,便不会将内容标明为面向儿童;对于Google来说,也可能在利益的驱使下对那些不准确的标明睁一只眼闭一只眼,并将频道所有者进行的标明作为抗辩材料,来对抗FTC未来可能收集到的其“确实知道”的证据。总之,和解令所要求的“全面限制”救济(fencing-in relief,指要求被告/被申请人作出的行为甚于单纯遵守现有法律规定的禁令性规定)本可以走得更远。
对于可能使用技术手段监督的建议,FTC主席Joseph Simons和Christine Wilson委员的回应是,抛开法庭是否会支持这种技术手段不说,在和解令中作出此番规定意义不大,原因是:提供类似手段做到表面上的合规很容易,但被申请人实际怎么做却很难保证;而且,此类手段也可能错将非面向儿童的内容划为面向儿童。对于被申请人可能利用这一规则来反驳证明其“确实知道”的证据,Simons和Wilson委员表示,在FTC发现能证明“确实知道”的新证据时,可以发起新的执法行动。关于缺乏措施激励频道所有者将内容标明为面向儿童这一问题,Simons和Wilson委员表示,FTC会定期对行业进行检查,也计划对YouTube频道进行检查。
2、罚款是否过低的争论及其他思考
本案罚款是否过低
支付给FTC的1.36亿美元罚款创下1998年COPPA生效以来FTC进行COPPA执法的最高记录。
FTC在计算罚款时,考虑的是《联邦贸易委员会法》规定的民事罚款计算应参考的五个因素:有罪程度、以前进行类似行为的历史、支付能力、对继续从事业务能力的影响、正义可能要求的其他因素。
Slaughter委员和Rohit Chopra委员认为罚款过低。Slaughter委员强调,首先,对民事罚款数额的评估不能基于过去案例的标准,而应当将法定因素适用于案件的特定事实与公司;其次,由于FTC还未曾提起过COPPA执法诉讼,因此不知道法院会如何评估民事罚款数量。Chopra委员认为,民事罚款应该是在没收不当得利这样的标准救济之外的,尽管几位投支持票的委员认为当前的“罚款”超过了Google的不当得利,Chopra的计算结果得出了不同的答案:即使是在没有计算Google规避的合规成本、Google的其他产品和服务利用违法数据获得的利益、预测性算法用违法数据训练而得到增值等因素的情况下,计算出的不当得利也相当可观(但在其陈述中并未披露具体数字,其具体的计算方法因陈述中部分信息的隐去,难以为我们所实际验证)。Chopra支持采用不当得利的倍数作为罚款(2012年Google违反与FTC达成的和解令支付的罚款数量即是其不当得利的5倍多)。
投支持票的Simons和Wilson委员在陈述中回应了Chopra委员的意见。他们同意罚款应该高于公司的不当得利,并认为本案的情况恰是如此。他们指出,此次的不当得利是“Google确实知道的、含有面向儿童内容的频道的行为广告所得”,且证明Google“确实知道”不能基于推测,法庭上需要由FTC承担举证责任去证明Google“确实知道”每个此类频道本质上面向儿童,正是考虑到这一点,结合《联邦贸易委员会法》规定的分析民事赔偿的五个因素,才计算出当前的罚款数额。至于Chopra的另一观点,即Google对那些面向儿童的内容进行分析以增强针对性、扩大在Google的其他产品和服务中的变现的这部分收入应该缴出,则因COPPA允许了对这些内容的分析而难以成立。同时,Simons和Wilson委员也认为,禁制令的要求已经能够给Google带来很大的成本,这是Chopra在反对意见中未考虑到的。
关于罚款和金钱救济的其他思考
除了上文已经提到关于罚款数量是否恰当的不同意见,此次和解也引发了关于罚款和金钱救济的其他思考。
投支持票的共和党委员Noah Joshua Philips单独撰写了一篇陈述,探讨隐私案件中民事罚款的计算问题,并对国会的隐私立法作出相关建议。Philips委员认为,国会在进行隐私立法时应该意识到隐私案件中“损害”常常难以量化,并在制定罚款规则时考虑“损害”因素,同时衡量多种其他因素。
首先,Philips委员认为,消费者实际受到的损害应该作为民事罚款的考量因素。尽管《联邦贸易委员会法》中规定的计算民事罚款总额时要考虑的因素中并未明确纳入对消费者的损害,但Philips委员认为在兜底条款下应该考虑消费者实际受到的损害。
就本案而言,他认为,损害在于儿童看到了行为广告,而这些行为广告是基于永久标识的。
另外,Philips委员还提到,除了向特殊群体如儿童提供行为广告,当前社会中对一般群体提供的行为广告已经非常普遍。他建议国会在立法时特别考虑此类案件中的禁制令和金钱救济的处理方式,特别是在不涉及儿童的情况下对金钱救济的计算。由于过高的罚款会阻遏公司创新、开发对消费者友好的产品和服务,即使周密计算的执法也会带来很高的成本(他提到,比如本次的禁制令的规定虽然能使Google和YouTube遵守《实施细则》,但也同时削减了面向儿童的行为广告,由于行为广告比内容广告收益更大,和解令可能会减少对内容创造者开发面向儿童的节目的激励,儿童可能也因此看到内容质量更差的视频),因此国会在立法时需要平衡一系列的因素,包括消费者受到的损害、创新、消费者想要的选择。
投反对票的Chopra委员则在对国会隐私立法提出相关建议的同时继续强调补偿与威慑、不当得利与罚款的区别。他也认可“损害”难以计算,但认为,更应该在意在补偿的衡平法救济下讨论这一点,而非在意在威慑的民事罚款下讨论这一点。Chopra委员也提出,如果国会要进行隐私立法,对于民事罚款应当列出更清晰的考虑因素,使执法机构和法庭更易操作。另外,他还建议国会赋予所有隐私执法机构请求罚款的权利(由于当前在COPPA之下,只有FTC能要求民事罚款,而州总检察官只能请求收缴不当得利并返还给受害者,因此此次诉讼中,纽约州总检察官无法要求民事罚款,3400万美元是作为补偿支付给纽约州的)。
3、和解令对于YouTube上的外国频道所有者是否会产生实际约束力?
除了上述两点针对和解令中主要禁令性救济措施和罚款的争论与思考, Slaughter委员还提出对外国频道所有者违法的担忧,Chopra委员则结合商业模式、个人责任问题,表达对和解令措施不够严厉的反对。对于其中部分问题,Simons和Wilson委员作出了回应。
Slaughter委员在其意见中提到有关和解令对于外国频道所有者的效力的担忧,因为他们可能不会面临FTC的执法行动。但Simons和Wilson委员提到,FTC已经依据COPPA发起过数次针对外国公司的执法,包括Tik Tok、VTech、inMobi等。另外,针对外国公司FTC也有一些其他的执法方式,如对于相关美国公司发出警告信等。之前FTC就曾向应用商店发出警告信,要求他们在相关应用程序做好COPPA合规之前下架该应用程序。与之类似,在本案中FTC也可以向YouTube发出警告信,使YouTube知悉相关频道的情况从而担负起《实施细则》下的平台责任。
4、违法背后的利益驱动
Chopra委员指出,和解令中的措施并没有触动Google侵犯儿童隐私的违法行为背后的利益驱动力,有鉴于以下几点原因,非法获取和使用儿童信息对Google将依然十分有利可图。
Google各产品、服务之间极强的交叉变现和精准营销能力
作为Google的子公司,YouTube不是一个独立的个体,而是Google营利链条中的重要一环。Google用从其他产品、服务获取的信息来提高YouTube的精准广告投放能力和变现能力,也用从YouTube获取的信息来使其他产品、服务更好地变现。这样一种产品、服务之间交叉使用所追踪的用户信息的能力提高了各产品、服务的价值,也极大地提升了Google整体的营利能力。
视频网站采用行为广告营利模式的优势
行为广告投放对于视频网站来说尤其有利可图。对于传统的文本广告投放,用户还需要滑动或点击才能看到更多的广告内容,所以广告收入还要取决于用户的积极参与度。但对于视频广告来说,用户只是被动地观看,也就是说只要YouTube有足够多的用户数量和用户观看时间,就能保证可观的广告营利。借助推荐视频、自动播放以及搜索结果等功能和技术,YouTube得以利用其推断出的用户喜好来进一步提高其用户黏性。
先发者优势和YouTube在面向儿童的视频领域主导地位的维持
在需要依赖大量信息来优化提升的科技领域,先发者优势这一现象尤其明显。视频网站的推荐功能就是一例。YouTube目前在视频网站市场占据主导地位,为了进一步提升流量和广告收入,其运用深度学习和神经网络等技术不断优化其推荐功能。非法收集的儿童信息使YouTube更加了解儿童的观看习惯,结合其推荐功能,这进一步强化了YouTube在儿童视频市场的主导地位,也使得面向儿童的内容生产者们更加依赖于YouTube进行内容分发。而那些严格遵循COPPA规定的视频平台,将很难达到可与之比肩的营利程度。
5、公司高管的个人责任
Chopra委员在其意见中指出,和解令并没有对Google、YouTube的CEO等明知公司相关违法行为的高管施加个人责任,而这与之前FTC对于其他小型公司的COPPA执法实践是不符的。在之前FTC对于一些小型公司和创业公司违反COPPA情况的调查中,公司高管都接受了严格审查并被要求承担个人责任。而本案所涉为一家行业主导公司且涉及影响广泛的违法行为,高管个人却没有承担任何责任,Chopra委员担心这会向市场释放错误的信号。
儿童个人信息保护,越来越受到各国立法者和监管者的重视,YouTube案以创纪录的罚款金额再次向外界传递了FTC的立场,也必然会深刻影响很多国家的立法或执法。然而对于很多公司来说,又是知易行难,面对明显加大的合规压力,如何找到适合自身的路径,仍然是一个没有统一答案的难题。(本文作者为北京市安理律师事务所高级合伙人,钱其沁、刘雨晴、王少倩对本文亦有贡献)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点