他山之石:美国20年间33个儿童信息保护违法案例分析(DPO社群成员观点)
COPPA的全称为《儿童在线隐私保护法》(Children’s Online Privacy Protection Act, COPPA),于1998年颁布。COPPA为保护儿童数据提供了有效和可行的机制,是提高在线儿童隐私保护水平的先驱立法,主要体现在:1. 明确“ 针对儿童的网站” 的标准定义;2. 鼓励家长同意方式的创新机制;3. 儿童数字年龄限制在 13 岁和;4. 为自我管理提供机制。[i]
中国《儿童个人信息网络保护规定》(国家互联网信息办公室令第4号)已经由国家互联网信息办公室室务会议审议通过,于2019年8月22日公布,自2019年10月1日起施行。《儿童个人信息网络保护规定》对儿童个人信息全生命周期管理做出了规定和要求,包括专人负责、监护人同意、告知、委托处理、转让、共享、评估、加密存储、披露、更正、删除、应急预案等。同时,根据《个人信息安全规范》,儿童个人信息属于敏感信息,对敏感信息的收集、传输、存储、访问、修改、加工、处理、删除、共享、转让、披露、管理等,适用更加严格的规定。
因违反COPPA,美国联邦贸易委员会(Federal Trade Commission, FTC)自1999年至2019年共处罚了33家企业[ii]。其中包括2019年9月4日对谷歌(Google)旗下的社交平台YouTube处以1.7亿美元的罚款,2019年2月27日对社交平台“抖音”的运营方北京字节跳动科技有限公司在美国的运营实体Musical.ly, Inc.处以570万美元的罚款。
本文将总结该33个案例中的违法事实,供企业在进行儿童个人信息保护合规工作时参考。
1 | Google LLC and YouTube, LLC (2019) | Google公司的子公司YouTube违反了COPPA规则,其使用在互联网上跟踪用户的永久性标识符,从儿童频道的观看者那里收集个人信息,而无需先通知父母并获取他们的同意。 YouTube通过使用标识符(通常称为cookie)向这些频道的观看者投放定向广告来获得数百万美元的收入。投诉指控被告违反了COPPA规则和《美国联邦贸易法》,因为他们未在其在线服务上发布隐私政策,从而未就其从儿童那里收集个人信息的信息做法提供清晰、可理解和完整的通知,未能直接向父母告知此类信息做法,以及在收集、使用或披露儿童的个人信息之前未获得可验证的父母同意。 |
2 | Unixiz, Inc. doing business as i-Dressup.com (2019) | Unixiz,Inc.以i-Dressup.com的身份开展业务时,违反了COPPA,其在收集13岁以下儿童的个人信息之前未获得父母的同意,且没有为i-Dressup收集的数据提供合理适当的安全性。FTC指控i-Dressup以纯文本格式存储和传输了用户的个人信息,但未能对其网络进行漏洞测试,实施入侵检测和防御系统以及监视潜在的安全事件。这些故障导致安全漏洞。i-Dressup的运营商于2016年9月发现黑客已经访问了他们的计算机网络和有关消费者的信息,包括使用i-Dressup的儿童。黑客访问了大约210万用户的信息,其中包括大约245,000位表示未满13岁的用户。 |
3 | Musical.ly, Inc. (2019) | Musical.ly应用程序的运营商未通知13岁以下用户的父母有关该应用程序收集和使用个人信息的行为,在此类收集和使用之前未征得父母的同意,并且未在父母的要求下删除该信息,因此违反了COPPA规则。 Musical.ly应用程序除了创建和共享视频外,还允许用户通过评论他们的视频并发送直接消息来与其他用户互动。默认情况下,用户帐户是公开的,这意味着其他用户可以看到孩子的个人资料,用户名,图片和视频。投诉称,尽管该网站允许用户将默认设置从公开更改为私有,以便只有经过批准的用户才能关注它们,但用户的个人资料图片和个人简历仍保持公开状态,用户仍然可以向他们直接发送消息。实际上,正如投诉所指出的那样,有公开报告称成年人试图通过Musical.ly应用程序联系儿童。此外,直到2016年10月,该应用程序均包含一项功能,该功能使用户可以查看其位置50英里范围内的其他用户。 |
4 | Prime Sites, Inc. (Explore Talent) (2018) | 对Prime Sites,Inc.的投诉称,该公司(以“探索才华”作为业务开展)在未获得父母同意的情况下收集和披露儿童的个人信息,并且未向家长和公众对其收集、使用和披露的做法予以详细说明,因此违反《儿童在线隐私保护法》(COPPA)。投诉还称,该公司违反了《联邦贸易委员会法》,无根据地向其高级服务的潜在购买者表示,选任导演对他们感兴趣,或者特别选择他们担任即将出现的角色。 Explore Talent收集了超过100,000名儿童的个人信息,但未遵守法律规定的保障措施。根据投诉,该公司在其隐私权政策中错误地声明,它不会有意收集13岁以下儿童的个人信息,并且此类儿童的帐户需要由法定监护人创建。但是,该网站对表示自己未满13岁的用户没有任何限制,并且未采取任何步骤来验证个人资料是否由法定监护人创建。美国联邦贸易委员会(FTC)还称,“探索才华”曲解了升级为“专业会员”的好处,后者每月收费39.95美元。虽然该网站免费提供帐户,但只有其专业会员才能申请该网站上的潜在工作机会。为了出售注册专业会员的用户,该公司的电话推销员错误地声称,特定电影的演员指导有意将用户扮演即将上任的角色。 |
5 | VTech Electronics Limited (2018) | 根据对伟易达公司的投诉,该公司在其Learning Lodge Navigator在线平台上(该平台可下载Kid Connect应用程序)以及现已停产的基于网络的游戏和聊天平台Planet VTech,从父母那里收集了个人信息。在使用Kid Connect或Planet VTech之前,父母必须注册并提供个人信息,包括他们的姓名,电子邮件地址,孩子的姓名,出生日期和性别。伟易达还从儿童使用Kid Connect应用程序时收集了他们的个人信息。 关于Kid Connect,伟易达未能直接向父母提供其信息收集和使用的通知,并且未链接到每个区域从儿童那里收集个人信息的隐私政策。同时,该投诉称该公司未采取合理措施来保护通过Kid Connect收集的信息,例如采取适当的安全措施和防护措施以保护传输和存储的信息,并实施入侵防御或检测系统在未经授权入侵其公司网络时发出警报。 2015年11月,记者报道,黑客访问了其计算机网络和有关消费者的个人信息,包括使用其Kid Connect应用程序的儿童。FTC还指控VTech违反了FTC法案,在其隐私政策中错误地指出,用户通过Learning Lodge和Planet VTech提交的大多数个人信息将被加密。但是,该公司未对任何此类信息进行加密。 |
6 | InMobi Pte Ltd. (2016) | 美国联邦贸易委员会(FTC)指控InMobi误称其广告软件仅会在消费者选择并以符合其设备隐私设置的方式跟踪消费者的位置。根据投诉,InMobi实际上是在跟踪消费者的位置,无论使用InMobi软件的应用程序是否征求了消费者的许可,即使消费者拒绝了访问其位置信息的许可。 inMobi建立了一个数据库,该数据库基于从允许公司访问其地理位置信息的消费者收集的信息中建立,并将该数据与他们附近的无线网络相结合,以记录无线网络本身的物理位置。然后,即使消费者关闭了设备上的位置收集功能,InMobi仍会使用该数据库根据他们附近的网络推断消费者的物理位置。 美国联邦贸易委员会(FTC)声称,InMobi违反了《儿童在线隐私保护法》(COPPA),尽管它承诺不会这样做,但他们从专门针对儿童的应用程序中收集了这些信息。投诉指出,InMobi的软件跟踪了面向儿童的应用程序中的亿万个用户的位置,但没有遵循COPPA的要求,获得父母或监护人关于收集和使用儿童的个人信息的同意。 |
7 | Retro Dreamer (2015) | 在对Retro Dreamer及其负责人Craig E. Sharpe和Gavin S. Bowman的投诉中,FTC声称该公司创建了许多针对儿童的应用程序,包括Ice Cream Jump, Happy Pudding Jump, Ice Cream Drop, Sneezies, Wash the Dishes, Cat Basket and Tappy Pop,并且在未获得父母或监护人关于收集和使用儿童的个人信息的同意下,通过这些程序收集小于13岁以下儿童的个人信息。此外,被告允许第三方广告网络以持久标识符的形式收集个人信息,以便根据用户在一段时间内以及跨站点的活动在应用程序上投放有针对性的广告。但是被告没有告知这些第三方广告网络该应用程序是针对儿童的,也没有指示或以合同方式要求广告网络避免针对性的广告。被告也未提供必要通知或获得父母同意。 |
8 | LAI Systems,LLC (2015) | 在对LAI Systems,LLC的投诉中,FTC指控该公司创建了许多针对儿童的应用程序,包括“我的蛋糕店”,“我的比萨店”,“美发沙龙改头换面”,“星期五晚上改头换面”,“会说话的狗马利”和“动物之声”。根据美国联邦贸易委员会(FTC)的投诉,被告允许第三方广告商以永久性标识符的形式从孩子那里收集个人信息。被告未能通知广告网络该应用程序是针对儿童的,并且未就收集和使用该信息提供通知或未征得其父母的同意。 |
9 | Yelp Inc. (2014) | 对Yelp的投诉称,从2009年到2013年,该公司通过Yelp应用程序收集了孩子的个人信息,而没有先通知父母并征得他们的同意。根据投诉,当消费者通过移动设备上的应用程序注册Yelp时,要求他们在注册过程中提供出生日期。数千名注册人提供了出生日期,表明他们未满13岁,Yelp收集了他们的信息,包括他们的姓名,电子邮件地址和位置,以及他们在Yelp上发布的任何信息。 美国联邦贸易委员会(FTC)的投诉称,尽管Yelp基于注册人的出生日期知道孩子正在通过移动应用程序注册Yelp,但它未能遵守COPPA规则的要求。Yelp未能在其应用程序中实现功能性的年龄屏幕,因此尽管其网站上具有年龄屏幕机制,但仍允许13岁以下的儿童注册该服务。此外,该投诉称,Yelp没有充分测试其应用程序以确保禁止13岁以下的用户注册。 |
10 | TinyCo, Inc. (2014) | 美国联邦贸易委员会(FTC)对TinyCo的投诉称,该公司的许多受欢迎的应用都是针对儿童的,这些应用在主要移动应用商店中的下载次数超过3400万次。投诉中提及的应用包括Tiny Pets,Tiny Zoo,Tiny Monsters,Tiny Village和Mermaid Resort。这些应用程序通过使用吸引儿童的主题,色彩鲜艳的动画角色和简单的语言,针对了13岁以下的儿童,因此TinyCo受COPPA规则的约束。 TinyCo的许多应用程序都包含一项可选功能,该功能从用户(包括13岁以下的儿童)收集电子邮件地址。在公司的某些应用程序中,通过提供电子邮件地址,用户获得了可用于游戏的额外游戏货币在游戏中购买物品或加快游戏速度。美国联邦贸易委员会(FTC)的投诉称,该公司未遵循该规则要求的与收集儿童个人信息有关的步骤。 |
11 | Path, Inc. (2013) | FTC在其投诉中指控Path的iOS应用程序中的用户界面具有误导性,并没有为消费者提供关于其个人信息收集的有意义的选择。在适用于iOS的应用程序的2.0版中,Path提供了“添加朋友”功能来帮助用户向其网络添加新连接。该功能为用户提供了三个选项:“从联系人中查找朋友;”从Facebook中查找朋友;或“邀请朋友通过电子邮件或短信加入Path。”但是,Path会自动从用户的移动设备收集并存储个人信息,即使用户未选择“从您的联系人中查找朋友”选项,也不会删除通讯录。对于用户的移动设备地址簿中的每个联系人,Path会自动收集并存储所有可用的名字和姓氏,地址,电话号码,电子邮件地址,Facebook和Twitter用户名以及生日。 FTC还声称,Path的隐私权政策欺骗了消费者,其声称仅自动收集某些用户信息,例如IP地址,操作系统,浏览器类型,推荐站点的地址和站点活动信息。实际上,当用户首次启动该应用程序的版本2.0以及每次用户重新登录该帐户时,iOS的Path应用程序的2.0版都会自动从用户的移动设备通讯簿中收集和存储个人信息。 该机构还指控,在用户注册期间收集出生日期信息的Path违反了《儿童在线隐私保护法》(COPPA)的规定,未经事先征得父母同意,从大约3,000名13岁以下的儿童中收集了个人信息。通过适用于iOS和Android的应用程序以及网站,Path使孩子们可以创建个人日记,并上传,存储和共享照片,书面的“想法”,他们的确切位置以及孩子正在听的歌曲名称。。 Path版本2.0还从孩子的通讯录中收集了个人信息,包括全名,地址,电话号码,电子邮件地址,出生日期和其他可用信息。 FTC通过以下方式指控Path违反了COPPA规则: 未详细说明其对儿童个人信息的收集、使用和披露政策; 没有直接通知父母其对儿童个人信息的收集、使用和披露政策;在收集儿童的个人信息之前未获得可验证的父母同意。 |
12 | Artist Arena LLC, United States of America (for the Federal Trade Commission) (2012) | Artist Arena经营着粉丝网站,例如www.RihannaNow.com,www.DemiLovatoFanClub.net,www.BeiberFever.com和www.SelenaGomez.com,孩子们可以在此注册加入粉丝俱乐部并创建个人资料。并发布在成员的墙上。孩子们还提供了个人信息以订阅粉丝新闻。 FTC称,Artist Arena错误地声称未经父母的事先同意不会收集儿童的个人信息,未经父母的同意也不会激活儿童的注册。根据投诉,Artist Arena有意地注册了超过25,000名13岁以下的儿童,并从另外75,000名开始但未完成注册过程的儿童中收集并保存了个人信息。 |
13 | RockYou, Inc. (2012) | RockYou在未经父母同意的情况下在注册过程中有意收集了大约179,000个孩子的电子邮件地址和相关密码,并使孩子能够创建个人资料并将个人信息发布在可以在线共享的幻灯片上。该公司要求孩子的生日,并因此接受13岁以下孩子的注册。此外,FTC称,该公司的安全漏洞使包括孩子的个人信息在内的用户受到威胁。 FTC指控RockYou通过以下方式违反了COPPA规则: 未详细说明其收集、使用和披露儿童信息的政策; 在收集儿童的个人信息之前未获得可验证的父母同意; 不维护合理的程序,例如加密,以保护从儿童那里收集的个人信息的机密性、安全性和完整性。 |
14 | Godwin, Jones O., d/b/a skidekids.com(2011) | Skid-e-kids是一个针对7-14岁儿童的社交网站,允许他们注册,创建和更新个人资料信息,创建公共信息,上传图片和视频以及“朋友”并发送消息给其他Skid-e-Kids成员。 FTC称,Skid-e-kids的在线隐私政策声称该网站“要求儿童用户提供父母的有效电子邮件地址,以便在该网站上进行注册。我们使用此信息向父母发送一条消息,该消息可用于激活Skid-e-kids帐户,通知父母我们的隐私惯例,向父母发送有关父母和孩子的Skid-e-kids帐户的通讯或关于我们网站的功能...” 投诉称,被告在未获得父母的电子邮件地址或未获得父母同意其孩子参与的情况下在网站上允许孩子注册。注册的孩子能够提供个人信息,包括他们的出生日期,电子邮件地址,名字和姓氏以及城市。 FTC指控在未经父母许可的情况下收集孩子的个人信息违反了COPPA规则,此外,Skid-e-kids的虚假隐私权政策主张也违反了FTC法案。 |
15 | W3 Innovations, LLC d/b/a Broken Thumb Apps and Justin Maples, U.S. (2011) | W3 Innovations,LLC(以“断拇指应用程序”经营)以及公司总裁兼所有者Justin Maples为iPhone和iPod touch开发和分发移动应用程序,使用户可以在线玩游戏和共享信息。根据美国联邦贸易委员会(FTC)的说法,其中一些应用程序是针对儿童的,其中包括Emily's Girl World,Emily's DressUp,Emily's Dress Up&Shop和Emily's Runway High Fashion等,这些应用程序已在Apple,Inc.的App Store的“儿童游戏”部分列出。 这些应用程序的下载量已超过50,000, Emily应用程序鼓励孩子通过电子邮件向他们发送“ Emily”评论,并通过电子邮件向“ Emily的博客”提交博客,例如向朋友“大喊大叫”和提出建议。FTC指控被告从Emily应用程序的用户那里收集并维护了数千个电子邮件地址。 FTC声称,除了收集和维护儿童的电子邮件地址外,被告还允许儿童在留言板上公开发布包括个人信息在内的信息。根据FTC的投诉,这些交互式应用程序通过Internet发送和接收信息,并且是COPPA规则涵盖的在线服务。 |
16 | Playdom, Inc. (2011) | 游戏开发商Playdom,Inc.和公司高管Howard Marks运营着20个虚拟世界网站,用户可以在其中访问在线游戏和其他活动。在这些虚拟世界中,至少有一个叫“小马之星”,是一个专门针对儿童的网站,该公司的其他面向普通大众的网站也吸引了大量儿童。从2006年到2010年,大约403,000名儿童在被告的一般观众网站上注册,另外821,000位用户在Pony Stars儿童网站上注册。 美国联邦贸易委员会(FTC)投诉称,被告在注册时收集了孩子的年龄和电子邮件地址,然后使孩子们可以在个人资料页面和在线社区论坛上公开发布其全名,电子邮件地址,即时通讯ID和位置等信息。美国联邦贸易委员会(FTC)指控被告在收集或披露儿童的个人信息之前未给予适当的通知或未获得父母的事先可验证同意,这违反了COPPA规则。它还指控被告违反了《联邦贸易委员会法》,因为Playdom的隐私权政策误称该公司将禁止13岁以下的儿童在线发布个人信息。 |
17 | United States (For the Federal Trade Commission), Plaintiff, v. Iconix Brand Group, Inc., Defendant(2009) | Iconix要求消费者在其许多特定品牌的网站上提供个人信息,例如全名,电子邮件地址,邮政编码,在某些情况下还包括邮寄地址,性别和电话号码以及出生日期-为了接收品牌更新,参加抽奖竞赛,并参加交互式品牌意识运动和其他网站功能。根据FTC的投诉,自2006年以来,Iconix有意收集并存储了大约1,000名儿童的个人信息,而没有事先通知父母或未获得父母同意。投诉称,Iconix在一个网站MyMuddWorld.com上还允许女孩子在网上公开分享个人故事和照片。 委员会的投诉还指控Iconix违反了COPPA和《联邦贸易委员会法》,在其隐私权政策中错误地指出,在未获得父母事先同意的情况下,它不会寻求从孩子那里收集个人信息,并且一经发现会删除任何有关孩子的关于以下方面的个人信息。根据FTC的投诉,Iconix故意在未事先征得父母同意的情况下从孩子那里收集了个人信息,并未删除。 |
18 | Sony BMG Music Entertainment, a general partnership subsidiary of Sony Corporation of America, United States of America (For the Federal Trade Commission) (2008) | 该公司为其音乐艺术家和唱片公司运营着1,000多个网站。索尼音乐要求用户提交广泛的个人信息以及出生日期,以便注册这些网站。在其中的196个网站上,索尼音乐有意收集了至少30,000名未成年儿童的个人信息,而未事先征得父母的同意,这违反了COPPA。这些网站中的许多网站还使孩子们可以创建个人粉丝页面,查看艺术家的专辑,上传照片或视频,在留言板和在线论坛中发表评论以及参与私人消息传递。这样,孩子们就可以与各个年龄段的索尼音乐迷(包括成人)进行互动。 美国联邦贸易委员会(FTC)的投诉称,索尼音乐未能在索尼音乐网站上提供足够的通知,表明该公司从儿童网上收集了哪些信息,如何使用这些信息以及其披露做法,从而违反了COPPA;没有直接向父母告知索尼音乐的信息惯例;没有获得可验证的父母同意;并且,没有为父母提供合理的手段来审查从其子女那里收集的个人信息,并拒绝允许该公司进一步使用或维护。 FTC的投诉还指控索尼音乐违反了联邦贸易委员会法第5条,在其隐私权政策中错误地指表示,其网站注册页面上未满13岁的用户将被禁止参与索尼音乐的网页活动。实际上,索尼音乐接受了输入生日表明他们未满13岁的儿童的注册。 |
19 | Industrious Kid, Inc. and Jeanette Symons., U.S. (for the FTC) (2008) | 根据美国联邦贸易委员会(FTC)的投诉,imbee通过在提交之前的姓氏和名字,出生日期,个人电子邮件地址,父母的电子邮件地址,性别,用户名和密码,使10,500名儿童创建了imbee帐户。该网站向父母提供通知或征得他们的同意。注册的孩子还可以在其个人imbee博客页面上创建和发布文本,照片和其他内容,除非父母完成注册过程,否则其他人无法查看。孩子在imbee.com上注册后,该网站向孩子的父母发送了一封电子邮件,要求父母完成注册过程并允许孩子完全访问imbee网站。当父母没有回应imbee的电子邮件通知或完成注册过程时,该站点仍然保留了孩子的个人信息。 尽管imbee给父母的电子邮件通知提供了有关imbee网站的一般信息,但它没有透露imbee.com已经收集了孩子的全名,电子邮件地址,出生日期,性别和身份。该电子邮件通知也未能告知父母他们有权查看或删除其孩子的个人信息。 Imbee的隐私权政策也有类似的缺点,并且也没有透露Imbee将利用孩子的个人信息向孩子邮寄带有孩子的姓名,地址,照片,imbee名称和imbee个人资料页面URL的孩子“ imbee卡”。 |
20 | Xanga.com, Inc., John Hiler, and Marc Ginsburg., United States of America (for the FTC) (2006) | 被告人清楚,他们正在收集并披露儿童的个人信息。 Xanga网站声称,13岁以下的孩子无法加入,但即使访问者提供了表明他们未满13岁的生日的信息,Xanga网站仍允许他们创建Xanga帐户。此外,他们没有将其信息惯例通知给孩子的父母或提供给父母可以访问和控制孩子的信息。被告在过去五年中为提交年龄信息表明年龄在13岁以下的170万个用户创建了Xanga帐户。 |
21 | Bonzi Software, Inc. (2004) | 受访者Bonzi Software, Inc.开发,广告,销售,许可和分发各种软件产品,包括“ InternetALERT”,通过横幅广告,按钮,和弹出广告,当它们被点击时,会将消费者转移到几个网页之一广告软件,使InternetALERT软件的标语、按钮和弹出广告进行传播。受访者明示或暗示表示InternetALERT大大降低了未经授权的风险访问计算机及其中存储的数据。实际上,InternetALERT不会显着降低未经授权访问计算机及其中存储的数据的风险。 |
22 | UMG Recordings, Inc., a corporation, US (2004) | 投诉指控UMG的网站注册表单收集了广泛的个人信息,包括全名,生日,电子邮件地址,家庭住址,电话号码,性别以及其他信息,例如访问者对音乐,体育和服装的偏爱。每当一个儿童在该站点上进行注册,输入一个表明他未满13岁的出生日期时,UMG充分了解。然而,UMG在未事先通知父母并获得可验证的父母同意的情况下从儿童那里收集了此个人信息。此外,根据FTC的说法,UMG的至少一个网站www.lilromeo.com是该规则规定的“针对儿童”的网站。该网站推广13岁的流行歌星“ Lil'Romeo”,并举办面向儿童的游戏和活动,该网站使用的注册表格与其他UMG网站相同。投诉称,www.lilromeo.com既是“面向儿童的网站”又是“实际知识(actual knowledge)”网站,违反了该规则。 在某些情况下,UMG在收集了孩子的个人信息后向父母发送了通知。投诉称,这些通知违反了《规则》的父母同意要求,因为它们是在收集个人信息之后发送的,并且在其他方面存在缺陷。申诉还声称,在某些情况下,UMG使用孩子们的个人信息通过电子邮件将他们在其他音乐家和网站上的营销材料通过电子邮件发送给他们。 |
23 | Bonzi Software, Inc. (2004) | BonziBUDDY在线注册表要求用户提供出生日期和其他几种类型的个人信息。由于收集出生日期信息,Bonzi软件清楚,成千上万的孩子正在注册BonziBUDDY。美国联邦贸易委员会(FTC)投诉称,Bonzi Software未能在收集此类信息之前直接向父母通知其试图从儿童那里收集哪些信息或获得可验证的父母同意。Bonzi软件未能为其在线服务发布清晰完整的隐私声明,或者未能为父母提供合理的手段来审查从孩子那里收集的个人信息。 |
24 | Mrs. Fields Famous Brands, Inc., Mrs. Fields' Holding Company, Inc., and Mrs. Fields' Original Cookies, Inc., U.S. (for the FTC) (2003) | 菲尔德夫人的网站(mrsfields.com,pretzeltime.com和pretzelmaker.com)的部分内容是针对儿童的。这些网页为12岁或12岁以下的儿童提供了生日俱乐部,并提供了生日问候和免费饼干或椒盐脆饼的优惠券。尽管菲尔兹夫人没有将收集到的信息传播给第三方,但据称该公司未经事先征得父母同意,就从84,000多名儿童那里收集了个人信息,包括全名,家庭住址,电子邮件地址和生日。 |
25 | Hershey Foods Corporation., U.S. (for the FTC) (2003) | 好时(Hershey)指示13岁以下的儿童让父母填写在线父母同意书。 FTC指控该公司未采取任何措施来确保父母或监护人看到或填写同意书。美国联邦贸易委员会进一步声称,即使父母或监护人未在同意书上提交信息,该公司仍继续从孩子那里收集个人信息,包括全名,家庭住址,电子邮件地址和年龄。根据投诉,这种获得父母同意的方法没有得到合理的考量,以确保提供同意的人是孩子的父母。这是COPPA首次质疑公司获得父母同意的方法的案件。 |
26 | Ohio Art Company, The (2002) | FTC称,俄亥俄州艺术公司从注册“ Etchy的生日俱乐部”的孩子那里收集了个人信息。该网站收集了希望获得在生日那天赢得Etch-A-Sketch玩具的孩子的姓名,通讯地址,电子邮件地址,年龄和出生日期。美国联邦贸易委员会(FTC)指控该公司仅仅指示儿童“先获得您父母或监护人的许可”,然后就收集信息,而没有实际先获得法律要求的父母同意。此外,联邦贸易委员会(FTC)指控该公司从儿童那里收集了比儿童参加“生日俱乐部”活动合理所需的更多信息,并且该网站的隐私权政策声明未明确或完全披露其所有信息收集做法或进行COPPA要求的某些披露。美国联邦贸易委员会称,该网站还没有为父母提供机会审查从他们的孩子那里收集的个人信息,并告知他们他们有能力阻止进一步收集和使用这些信息。 |
27 | American Pop Corn Company (2002) | FTC在其申诉中声称,APC维护了一个网站www.jollytime.com,其中有一个“儿童俱乐部”部分,其中包含针对13岁以下儿童的游戏,手工艺品,比赛和笑话。未经父母的同意,该公司从前往“儿童俱乐部”部分的孩子那里收集了个人信息,包括姓名,电子邮件地址和家庭住址。 美国联邦贸易委员会声称,这也使参加某些奖励活动的条件是儿童提供的信息比参加活动所需的信息更多。两种做法都违反了COPPA规则。此外,APC在其网站上发布了一份隐私政策声明,指出只要在其网站上注册的18岁以下的“客人”都会通过电子邮件通知父母或监护人。它指出,父母或监护人可以选择使注册无效。但是该机构称,APC没有联系注册并提供个人信息的孩子的父母,因此隐私政策声明是虚假的,违反了FTC法案。 |
28 | Frank, Lisa, Inc., U.S. (2001) | FTC在其投诉中声称,Lisa Frank网站www.lisafrank.com是针对儿童的,这是该规则定义的。它还声称,在2001年4月21日至2001年1月之间,lisafrank.com要求女孩注册,然后才能访问网站的许多区域,包括“俱乐部”和“商店”区域。注册表要求女孩提供名字和姓氏,街道地址,电话号码,电子邮件地址和出生日期,以及她们最喜欢的颜色和季节。投诉称,尽管该网站是针对儿童的,但在按照规则要求收集该信息之前未获得父母的同意。投诉还声称,违反本规则,丽莎·弗兰克(Lisa Frank)没有向父母提供有关公司隐私做法的直接通知,也没有告知父母公司要从其子女那里收集信息,并且需要事先获得父母的同意。此外,根据该投诉,该公司未在其网站的隐私权政策中加入必要的通知,即运营商不得以其披露的个人信息超出参与该活动的合理必要程度,限制该儿童参与某项活动;父母有权查看并删除其孩子的个人信息。最后,该投诉指控该公司违反了FTC法案对欺骗性行为禁止的规定,因为lisafrank.com的隐私权政策错误地声称该网站要求13岁及以下的孩子获得父母的同意,并且要求父母填写注册表同意收集使用。 |
29 | Looksmart, Ltd (2001) | 被告是涉及儿童的网站或在线服务的运营商,实际知道它正在收集或维护儿童的个人信息。但是未能向父母通知其从儿童那里在线收集的哪些信息,如何收集使用此类信息,其披露惯例以及所有其他必需的内容,未能在收集,使用和/或披露儿童的个人信息之前获得可验证的父母同意,未能为父母提供合理的方式来审查收集的个人信息禁止儿童继续其活动,并拒绝允许其继续使用或维持其活动,以使儿童参与其所披露的个人信息超出参与该活动所合理需要的个人信息的范围,违反了FTC法案对欺骗性行为禁止的规定。 |
30 | Bigmailbox.Com, Inc., et al. (2001) | 被告是涉及儿童的网站或在线服务的运营商,实际知道它正在收集或维护儿童的个人信息。但是未能向父母通知其从儿童那里在线收集的哪些信息,如何收集使用此类信息,其披露惯例以及所有其他必需的内容,未能在收集,使用和/或披露儿童的个人信息之前获得可验证的父母同意,未能为父母提供合理的方式来审查收集的个人信息禁止儿童继续其活动,并拒绝允许其继续使用或维持其活动,以使儿童参与其所披露的个人信息超出参与该活动所合理需要的个人信息的范围,违反了FTC法案对欺骗性行为禁止的规定。 |
31 | Monarch Services, Inc., et al. (2001) | 被告一直是针对儿童的网站的经营者,并且实际知道他们正在从儿童那里收集或维护个人信息。但是未能向父母通知其从儿童那里在线收集的哪些信息,如何收集使用此类信息,其披露惯例以及所有其他必需的内容,未能在收集,使用和/或披露儿童的个人信息之前获得可验证的父母同意,未能为父母提供合理的方式来审查收集的个人信息禁止儿童继续其活动,并拒绝允许其继续使用或维持其活动,以使儿童参与其所披露的个人信息超出参与该活动所合理需要的个人信息的范围,违反了FTC法案对欺骗性行为禁止的规定。 |
32 | Toysmart.com, LLC, and Toysmart.com, Inc. (2000) | Toysmart通过其网站收集有关访客的详细个人信息,包括姓名,地址,账单信息,购物偏好和家庭资料,其中包括孩子的姓名和生日。自1999年9月起,Toysmart发布了一项隐私权政策,该政策规定从客户那里收集的信息将永远不会与第三方共享。 该政策规定: 访客自愿向我们网站提交的个人信息,例如姓名,地址,账单信息和购物偏好,永远不会与第三方共享。 当您在toysmart.com上注册时,您可以放心,您的信息将永远不会与第三方共享。 Toysmart在2000年5月22日宣布,它将关闭其业务并出售其资产。此后不久,联邦贸易委员会从非营利性隐私印章组织TRUSTe了解到Toysmart可能违反其自身隐私政策的行为,该组织已授权Toysmart展示其印章。 FTC员工调查了这些信息,发现Toysmart违反了自己的隐私政策,正在出售其客户清单。 |
33 | GeoCities(1999) | 美国联邦贸易委员会(FTC)的投诉称,GeoCities歪曲了其通过会员申请表收集的个人识别信息仅用于向会员提供他们所要求的特定广告,产品或服务,以及“可选”信息(教育水平,收入,婚姻状况)。身份,职业和利益)在未经会员许可的情况下不会透露给任何人。投诉称,实际上,此信息已泄露给第三方,后者将其用于针对会员的邀约活动,超出了会员同意的范围。 投诉还指控,GeoCities从事与从儿童那里收集信息有关的欺诈行为。根据FTC的说法,GeoCities促进了官方的GeoCities GeoKidz俱乐部,并在魔法森林附近为儿童举办比赛。希望参加这些活动的儿童必须填写表格,以征集个人识别信息。该机构指控GeoCities虚假陈述了GeoCities本身经营GeoKidz俱乐部和某些竞赛,并且通过该俱乐部和竞赛在线收集的信息由GeoCities维护。实际上,根据投诉,俱乐部和竞赛是由GeoCities网站上托管的第三方“社区负责人”主持的,他们收集并维护了这些信息。 |
综上,美国联邦贸易委员会(FTC)对违反《儿童在线隐私保护法》(COPPA)的处罚焦点集中在5个方面。1. 收集和处理儿童个人信息未获得监护人可验证的同意;2.违反透明度原则未向监护人做出有效的说明;3.隐私政策与业务功能不符,涉嫌欺诈和虚假陈述;和4.违反隐私政策处理儿童信息;以及5.未能采取有效措施保障儿童个人信息安全。
[i]黄晓林,张亚男,吴以源:“共同打造儿童数字未来 ——欧美儿童数据保护对我国的借鉴”,载《信息安全与通信保密》2018年8月。
[ii] https://www.ftc.gov/tips-advice/business-center/legal-resources?type=case&field_consumer_protection_topics_tid=246
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
时评见:
DPO社群成员观点