洛阳证券公司联盟

域外观察美国联邦贸易委员会处罚首例联网玩具侵犯儿童隐私案

CAICT互联网法律研究中心2019-12-03 11:10:13


2018年1月8日,美国联邦贸易委员会(FTC)同总部位于中国香港的智能玩具制造商伟易达(VTech)及其美国子公司达成和解协议。FTC指控该公司涉嫌违反“儿童在线隐私保护法”及“联邦贸易委员会(FTC)法”第五条,收集了大量儿童的个人信息,但未履行充分的通知义务、取得儿童父母的可验证同意,同时该公司也没有使用合理的数据安全措施来保护收集到的信息。根据协议[1],伟易达将(1)支付65万美元的民事罚款;(2)实施全面的数据安全方案,未来20年内每隔一年进行一次独立的第三方审查,并遵守记录和报告要求;(3)遵守“儿童在线隐私保护法”(COPPA)。本案是FTC发起的第一例涉及联网玩具的隐私和数据安全案。


(一)本案涉及的COPPA规则与《FTC法》第五条


FTC的COPPA规则[2]适用于针对13岁以下儿童收集、使用或披露儿童个人信息的商业网站和在线服务(包括移动应用程序)的运营商。它也适用于实际知道自身从13岁以下的儿童收集个人信息的网站和在线服务。“个人信息”在规则中被广泛地定义,包括直接识别个人的信息,例如姓名、地址、电话号码等,与儿童相关的其他信息,诸如用户名,包含儿童声音的音频,包含儿童图像的照片或视频,以及能够与个人相对应识别的其他标识符,如cookie ID,设备ID或IP地址等。


根据《FTC法》第五条,FTC负有禁止市场不公平与欺诈性的商业活动的职责。在近年来的隐私执法中,FTC对第五条进行了充分的援引和解释,在特定案件中“被认为是具有误导性或欺骗性的行为包括错误的口头或书面表述,误导性的报价,未经充分披露而出售有风险或是系统缺陷的产品,未披露传销信息,使用引诱和转换的方法,未履行所承诺的服务,未实现担保义务。”都被认为是违反了第五条条款规定。


(二)FTC的指控事实


1、FTC指控伟易达的Kid Connect app是“针对儿童的在线服务”


根据FTC的调查,伟易达公司通过便携式互联网电子设备(“电子学习产品”或“ELPs”)、各种网站、应用程序和在线平台向家长和儿童提供教育产品。该公司的移动应用程序之一“Kid Connect”可以用于公司的便携式ELP设备上,与其他使用Kid Connect app的儿童或与下载成人版app的成年人进行交流。FTC称Kid Connect app是COPPA下的“针对儿童的在线服务”,虽然儿童家长首先需要为儿童建立一个Kid Connect帐户,并授权儿童同账户上的联系人交流,但伟易达还没有一个机制来验证注册账户的用户是父母而非儿童,而且伟易达由于收集了儿童的出生年月,实际知晓儿童使用其在线服务。


2、伟易达在收集信息时未遵守通知义务和同意要求


伟易达通过Kid Connect app收集了13岁以下儿童的个人信息,其中包括:“向共享电子公告板发送短信或信息的内容,可用于与儿童联系的儿童用户名,以及包含儿童图像或声音的照片和音频文件及与可识别儿童的信息相结合的其他信息。”但在收集过程中伟易达违反了COPPA规则的通知义务和同意要求,包括:(1)未能在其网站或在线服务上履行有关儿童个人信息的通知义务违反了COPPA规则第312.4(d)条;(2)未履行直接通知家长有关儿童的信息做法违反规则第312.4(b)和(c)条;(3)在收集或使用儿童的个人信息之前未取得可验证的儿童父母同意,违反了规则第312.5条。因此,FTC声称伟易达违反了FTC的COPPA规则。


3、伟易达未采取合理的数据安全保护措施


FTC还指控伟易达未能按照COPPA规则的第312.8条的要求,建立和保持合理的数据安全措施以保护收集到的信息。由于上述的安全缺陷,2015年11月在一次数据泄露事件中,伟易达数百万用户数据遭黑客窃取,并访问了儿童的个人信息。FTC指出该公司未能:(1)开发、实施或维护全面的信息安全计划;(2)实施足够的安保措施,从测试环境中分离和保护伟易达的实时网站环境;(3)采取预防、检测系统及类似的保护措施,以提醒伟易达可能有人未经授权访问其计算机网络;(4)采取监控措施,防止伟易达网络范围内有人未经授权企图渗透消费者的个人信息;(5)完成对可能被利用的环境的漏洞和渗透测试,以防止未经授权访问收集用户的个人信息;(6)对员工进行合理的数据安全指导或培训,保护用户的个人信息。


虽然伟易达的隐私政策指出,“在大多数情况下,伟易达收集的信息将使用HTTPS加密技术被加密传输,以保护您的隐私。”但实际上,伟易达并未加密从用户处收集的个人信息。因此,FTC指控伟易达对加密的陈述是虚假和误导的,还构成了《FTC法》第五条下的欺骗行为。


(三)FTC执法实践的启示


1、开展儿童业务的企业应谨慎履行合规义务


FTC在其官网“遵守COPPA:常见问题”[3]中明确指出,如果外国网站和在线服务针对美国儿童,或者他们知情地收集美国儿童的个人信息,则必须遵守COPPA。FTC代理主席Maureen K.Ohlhausen也表示,“当联网玩具越来越普遍,公司应让父母知道如何收集和使用他们孩子的数据,并采取合理措施来保护这些数据”。如若存在违规行为,日常执法实践中FTC会对相关企业处以高额的民事处罚。


随着经济全球化的发展,线上线下进入美国市场的中国公司数量在逐步增多,为此应当吸取本案中伟易达的教训,加强企业合规义务,尤其是会为美国儿童提供在线服务的中国公司应当严格遵守COPPA规则,对标“遵守COPPA:常见问题”及“COPPA规则:公司六步合规计划”[4]对以下事项逐条进行核查:(1)确定公司是否借由网站或在线服务(包括移动应用程序,联网设备和其他在线服务)从13岁以下的儿童处收集个人信息;(2)发布符合COPPA及FTC的COPPA规则的隐私政策;(3)在收集13岁以下子女的个人信息之前,按照COPPA和FTC的COPPA规则的要求直接通知家长;(4)在收集儿童的个人信息之前,征得父母的可验证的同意;(5)尊重父母对收集儿童的个人信息的持续性权利;(6)实施合理措施,保护儿童个人信息的安全。


2、国际隐私监管机构的执法合作日益增多


国际隐私监管机构越来越多地在调查和执法举措方面进行合作。本案中的伟易达也涉及到了加拿大儿童的个人信息泄露问题,在本案的处理过程中FTC根据“美国安全网法案”[5]与加拿大隐私专员办公室(OPC)共享信息并协调执行。OPC方面也称与FTC交换了信息和分析,同时因伟易达已经和FTC达成了有约束力的承诺,并已采取足够及时的事后措施,OPC仅于2018年1月8号发布了调查结果报告[6]。OPC还表示,其亦曾与伟易达总部设在中国香港的个人资料私隐专员公署合作,显示了国际隐私监管机构在调查及执法工作方面的相互协调配合。


信息和数据具有天然的流动性,互联网又存在一网接入全网接通的特点。全世界的用户也越来越多地与全球化运营的公司提供其个人信息从而使用相关服务。目前全球超过九十个国家和地区依法成立或设立了专门的个人信息保护/隐私监管机构,各国合作开展个人隐私和数据保护的执法也是当前的大势所趋。然而我国个人信息保护和管理工作主要由各行业主管机构负责,采取分散的保护机制,难以与同类型国外隐私执法监管机构有效对接,长远来看我国亟待建立统一专门的个人信息保护监督管理机构积极参与国际合作。


3、加强对未成年人的网络隐私保护


我国目前没有一部专门保护未成年人网络隐私的法律,美国的COPPA作为第一部关于儿童在线隐私保护的立法,其先进做法可供借鉴参考。COPPA里核心的要求主要是在收集13岁以下儿童的个人信息之前取得家长的可验证同意,此外设定了一些企业义务及规定了家长权利。我国去年公布的《未成年人网络保护条例(送审稿)》中第十六条至第十八条、三十一条同样强化了未成人网络隐私保护,其规定了通过网络收集、使用未成年人个人信息应当遵循合法、正当、必要的原则,在醒目位置标注警示标示的通知义务,及需征得未成年人或其监护人同意的条款,还赋予了未成年人或其监护人的删除权及施加了网络信息服务提供者在提供信息搜索服务时不得对未成年人个人信息披露的义务。以上的条款在立足国情的基础上充分吸收了域外的立法经验,同时与COPPA相比,《条例(送审稿)》针对18岁以下未成年人,有利保障各阶段未成人网络隐私。而在征得同意的方式上,《条例(送审稿)》并不必须获得父母的可验证同意,降低了网络运营者保护隐私的成本及政府部门的监管难度,提高了可操作性,以上规定兼顾了未成年人网络隐私与产业发展利益之间的平衡。


当前技术进步和产业发展提速推动未成年人触网更加普遍,网络空间安全威胁和风险也日益突出,中国的未成年人上网隐私保护亟待加强。呼吁《未成年人网络保护条例》尽快出台,促进形成更完善的信息网络安全保障体系,强有力保障未成年人网络隐私安全。

 

作者简介:沈达,中国信息通信研究院互联网法律研究中心助理研究员



[1] https://www.ftc.gov/system/files/documents/cases/vtech_file_stamped_stip_order_1-8-18.pdf?utm_source=govdelivery

[2] https://www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-rule

[3] https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppa-frequently-asked-questions

[4] https://www.ftc.gov/tips-advice/business-center/guidance/childrens-online-privacy-protection-rule-six-step-compliance

[5]“美国安全网法案”为FTC提供了措施加强有关消费者保护事宜的执法工作,尤其是具有国际性的问题,包括通过保密信息分享和提供调查援助,加强与外国执法机构的合作。详见:https://www.congress.gov/bill/109th-congress/senate-bill/1608/text

[6] https://www.priv.gc.ca/en/opc-actions-and-decisions/investigations/investigations-into-businesses/2018/pipeda-2018-001/