美国FTC处罚首例联网玩具侵犯儿童隐私案解读及启示

('美国FTC处罚首例联网玩具侵犯儿童隐私案解读及启示作者：沈达来源：《信息通信技术与政策》2018年第6期摘要：2018年年初，美国联邦贸易委员会处罚了其历史上首例联网玩具侵犯儿童隐私案，美国对未成年人的网络隐私保护相关实践对我国具有重要的参考意义。本文对该案进行了解读，重点剖析了其中涉及的案件事实及法律规则，通过分析得出此次执法实践对我国的启示。一方面在企业层面，开展涉美儿童业务的企业应谨慎履行合规义务；另一方面在政府层面，我国应当借鉴域外经验，亟待建立统一专门的个人信息保护监督管理机构，探索完善数据泄露相关制度，加强未成年人网络隐私保护。关键词：联邦贸易委员会；联网玩具；儿童隐私；执法实践1引言2018年1月8日，美国联邦贸易委员会（FederalTradeCommission，FTC）同总部位于中国香港的智能玩具制造商伟易达（VTech）及其美国子公司达成和解协议。FTC指控该公司涉嫌违反《儿童在线隐私保护法》（Children’sOnlinePrivacyProtectionActof1998，COPPA）及《联邦贸易委员会法》（FederalTradeCommissionAct，以下简称《FTC法》）第五条，收集了大量儿童的个人信息，但未履行充分的通知义务、取得儿童父母的可验证同意，同时该公司也没有使用合理的数据安全措施来保护收集到的信息。根据协议，伟易达将支付65万美元的民事罚款；实施全面的数据安全方案，于未来20年内每隔一年进行一次独立的第三方审查，并遵守记录和报告要求；遵守《儿童在线隐私保护法》。本案是FTC发起的第一例涉及联网玩具的侵犯儿童隐私案。2涉及的法律规则美国较早就意识到对未成年人上网安全的保护，通过立法的形式对儿童网络活动加以保护，出台了专门的儿童网络保护立法，形成了比较完善的未成年人网络保护体系。在美国隐私立法中，对于个人信息的收集使用，出于对产业发展的平衡考虑，通常是采用了默示同意的原则，除非权利人明确反对，企业可以收集使用，然而美国针对儿童的个人信息是采取了特殊保护的模式同一般的个人信息加以区分。美国既制定了《儿童在线保护法》（ChildOnlineProtectionAct，COPA）、《儿童在线隐私保护法》、《儿童互联网络保护法》（Children’sInternetProtectionAct，CIPA）等专门的儿童网络保护立法，也在《FTC法》等相关立法中进行了规定或者可援引相关内容施加相关企业对儿童的隐私的保护义务。除了相关立法之外，FTC为了切实保护儿童隐私还提出了行业自律与立法相结合的安全港模式（SafeHarbor），即相关的行业组织可以来创设跟儿童隐私相关的行业自律规范性文件，规范需包含有独立监管或者惩戒的程序，需要提交给FTC公开征求公众意见并批准，同时该规范也有一定约束力，商业网站和在线服务（包括移动应用程序）的运营商只要遵守了行业自律规范，就被认为遵守了COPPA。本案中对FTC对伟易达的执法实践主要涉及到了FTC的COPPA规则及《FTC法》第五条。FTC的COPPA规则适用于针对13岁以下儿童收集、使用或披露儿童个人信息的商业网站和在线服务（包括移动应用程序）的运营商。它也适用于实际知道自身从13岁以下的儿童收集个人信息的网站和在线服务。“个人信息”在规则中被广泛地定义，包括直接识别个人的信息，例如姓名、地址、电话号码等，与儿童相关的其他信息，诸如用户名，包含儿童声音的音频，包含儿童图像的照片或视频，以及能够与个人相对应识别的其他标识符，如CookieID，设备ID或IP地址等。COPPA详细规定了商业网站和在线服务（包括移动应用程序）的运营商的义务以及儿童家长的权利。在运营商方面应该制定隐私政策、通知并征得儿童父母的可验证的同意、应父母要求终止向儿童提供服务等。在儿童家长权利方面对应的有审查权、删除权、拒绝收集及使用权等。此外根据《FTC法》第五条，FTC负有禁止市场不公平与欺诈性的商业活动的职责。在近年来的隐私执法中，FTC对第五条进行了充分的援引和解释，在特定案件中“被认为是具有误导性或欺骗性的行为包括错误的口头或书面表述，误导性的报价，未经充分披露而出售有风险或是系统缺陷的产品，未披露传销信息，使用引诱和转换的方法，未履行所承诺的服务，未实现担保义务。”都被认为是违反了第五条条款规定。3案情解读3.1伟易达的“KidConnect”应用程序是“针对儿童的在线服务”根据FTC的调查，伟易达公司通过便携式互联网电子设备（“电子学习产品”或“ELPs”）、各种网站、应用程序和在线平台向家长和儿童提供教育产品。该公司的移动应用程序之一“KidConnect”可以用于公司的便携式ELP设备上，与其他使用“KidConnect”应用程序的儿童或与下载成人版APP的成年人进行交流。FTC称“KidConnect”应用程序是COPPA下的“针对儿童的在线服务”，虽然儿童家长首先需要为儿童建立一个“KidConnect”账户，并授权儿童同账户上的联系人交流，但伟易达还没有一个机制来验证注册账户的用户是父母而非儿童，并且伟易达由于收集了儿童的出生年月，实际知晓儿童使用其在线服务。3.2伟易达在收集信息时未遵守通知义务和同意要求伟易达通过“KidConnect”应用程序收集了13岁以下儿童的个人信息，其中包括：“向共享电子公告板发送短信或信息的内容，可用于与儿童联系的儿童用户名，以及包含儿童图像或声音的照片和音频文件及与可识别儿童的信息相结合的其他信息。”但在收集过程中伟易达违反了COPPA规则的通知义务和同意要求，包括：（1）未能在其网站或在线服务上履行有关儿童个人信息的通知义务违反了COPPA规则第312.4（d）条。（2）未履行直接通知家长有关儿童的信息做法违反规则第312.4（b）和（c）条。（3）在收集或使用儿童的个人信息之前未取得可验证的儿童父母同意，违反了规则第312.5条。因此，FTC声称伟易达违反了FTC的COPPA规则。3.3伟易达未采取合理的数据安全保护措施FTC还指控伟易达未能按照COPPA规则的第312.8条的要求，建立和保持合理的数据安全措施以保护收集到的信息。由于上述的安全缺陷，2015年11月在一次数据泄露事件中，伟易达近500万用户数据遭黑客窃取，并被访问了儿童的个人信息，当时伟易达数据泄露事件被添加到HaveIBeenPwned（知名的泄露信息监测网站）上，就泄露的信息数量而言成为该网站史上第四大数据泄露事件。FTC指出该公司未能开发、实施或维护全面的信息安全计划；实施足够的安保措施，从测试环境中分离和保护伟易达的实时网站环境；采取预防、检测系统及类似的保护措施，以提醒伟易达可能有人未经授权访问其计算机网络；采取监控措施，防止伟易达网络范围内有人未经授权企图渗透消费者的个人信息；完成对可能被利用的环境的漏洞和渗透测试，以防止未经授权访问收集用户的个人信息；对员工进行合理的数据安全指导或培训，保护用户的个人信息。虽然伟易达的隐私政策指出，“在大多数情况下，伟易达收集的信息将使用HTTPS加密技术被加密传输，以保护您的隐私。”但实际上，伟易达并未加密从用户处收集的个人信息。因此，伟易达对加密的陈述是虚假和误导的，还构成了《FTC法》第五条下的欺骗行为。4执法实践的启示4.1在美开展儿童业务的中国企业应谨慎履行合规义务FTC在其官网“遵守COPPA：常见问题”中明确指出，如果外国网站和在线服务针对美国儿童，或者他们知情地收集美国儿童的个人信息，则必须遵守COPPA。FTC代理主席MaureenK.Ohlhausen也表示，“当联网玩具越来越普遍，公司应让父母知道如何收集和使用他们孩子的数据，并采取合理措施来保护这些数据”。如若存在违规行为，日常执法实践中FTC会对相关企业处以高额的民事处罚。随着经济全球化的发展，线上线下进入美国市场的中国公司数量在逐步增多，为此应当吸取本案中伟易达的教训，加强企业合规义务，尤其是会为美国儿童提供在线服务的中国公司应当严格遵守COPPA规则，对标“遵守COPPA：常见问题”及“COPPA规则：公司6步合规计划”对以下事项逐条进行核查：（1）确定公司是否借由网站或在线服务（包括移动应用程序，联网设备和其他在线服务）从13岁以下的儿童处收集个人信息。（2）发布符合COPPA及FTC的COPPA规则的隐私政策。（3）在收集13岁以下子女的个人信息之前，按照COPPA和FTC的COPPA规则的要求直接通知家长。（4）在收集儿童的个人信息之前，征得父母的可验证的同意。（5）尊重父母对收集儿童的个人信息的持续性权利。（6）实施合理措施，保护儿童个人信息的安全。4.2隐私监管机构的执法合作日益增多，我国亟待建立统一监管机构加强国际协作国际隐私监管机构越来越多地在调查和执法举措方面进行合作。本案中的伟易达也涉及到了加拿大儿童的个人信息泄露问题，在本案的处理过程中FTC根据《美国安全网法》（U.S.SAFEWEBActof2006）与加拿大隐私专员办公室（OfficeofthePrivacyCommissionerofCanada，OPC）共享信息并协调执行。OPC方面也称与FTC交换了信息和分析，同时因伟易达已经和FTC达成了有约束力的承诺，并已采取足够及时的事后措施，OPC仅于2018年1月8号发布了调查结果报告。OPC还表示，其亦曾与伟易达总部设在中国香港的个人资料私隐专员公署合作，显示了国际隐私监管机构在调查及执法工作方面的相互协调配合。信息和数据具有天然的流动性，互联网又存在一网接入全网接通的特点。全世界的用户也越来越多地与全球化运营的公司提供其个人信息从而使用相关服务。目前，全球超过90个国家和地区依法成立或设立了专门的个人信息保护/隐私监管机构，各国合作开展个人隐私和数据保护的执法也是当前的大势所趋。然而，我国个人信息保护和管理工作主要由各行业主管机构负责，采取分散的保护机制，难以与同类型国外隐私执法监管机构有效对接，长远来看我国亟待建立统一专门的个人信息保护监督管理机构积极参与国际合作。4.3数据泄露安全事件频发引人担忧，探索完善相关制度迫在眉睫本案中伟易达应存在密码保护薄弱等问题，数百万的用户数据曾被泄露遭到多国执法部门的调查，此次危机事件无疑反映了伟易达在安全防护方面的严重疏忽。近些年来，国内外数据泄露事件层出不穷，安全威胁与日俱增，从此前全世界最大的婚外情交友网站AshleyMadison.com导致3600万的用户资料发生泄漏，到近期影响5000万用户的Facebook数据泄露事件，可以说大规模数据泄露时代已经来临。本案的发生地美国是第一个立法提出数据泄露通知义务的国家，当前全球范围内已有超过30个国家和地区规定了强制性数据泄露通知义务。我国也在《网络安全法》中明确了数据泄露通知制度，但是跟欧美国家相比，对于泄露通知的对象、事件、内容及补救措施等具体制度要件规定仍不明确，为此我国当前应当借鉴国外相关经验，细化确定数据泄露事件通知的具体规则，加快探索建立数据泄露通知的长效保障机制切实强化企业的责任意识，保障公民的信息安全。4.4借鉴经验加强未成年人的网络隐私保护，呼吁专门立法尽快出台我国目前没有一部专门保护未成年人网络隐私的法律，美国的COPPA作为第一部关于儿童在线隐私保护的立法，其先进做法可供借鉴参考。COPPA里核心的要求主要是在收集13岁以下儿童的个人信息之前取得家长的可验证同意，此外设定了一些企业义务及规定了家长权利。我国去年公布的《未成年人网络保护条例（送审稿）》中第十六条至第十八条、三十一条同样强化了未成人网络隐私保护，其规定了通过网络收集、使用未成年人个人信息应当遵循合法、正当、必要的原则，在醒目位置标注警示标示的通知义务，及需征得未成年人或其监护人同意的条款，还赋予了未成年人或其监护人的删除权及施加了网络信息服务提供者在提供信息搜索服务时不得对未成年人个人信息披露的义务。以上的条款在立足国情的基础上充分吸收了域外的立法经验，同时与COPPA相比，《条例（送审稿）》针对18岁以下未成年人，有利保障各阶段未成人网络隐私。而在征得同意的方式上，《条例（送审稿）》并不必须获得父母的可验证同意，降低了网络运营者保护隐私的成本及政府部门的监管难度，提高了可操作性，以上规定兼顾了未成年人网络隐私与产业发展利益之间的平衡。当前技术进步和产业发展提速推动未成年人触网更加普遍，网络空间安全威胁和风险也日益突出，中国的未成年人上网隐私保护亟待加强。呼吁《未成年人网络保护条例》尽快出台，促进形成更完善的信息网络安全保障体系，强有力保障未成年人网络隐私安全。参考文献[1]FTC.UnitedStatesDistrictCourtNorthernDistrictofIllinoisEasternDivision:CaseNo:1:18-cv-114[EB/OL].(2018-01-08)[2018-01-14].https://www.ftc.gov/system/files/documents/cases/vtech_file_stamped_stip_order_1-8-18.pdf?utm_source=govdelivery.[2]FTC.COPPARule[EB/OL].(2013-01-17)[2018-01-16].https://www.ftc.gov/system/files/2012-31341.pdf.[3]FTC.ComplyingwithCOPPA:Frequentlyaskedquestions[EB/OL].(2015-03-20)[2018-01-17].https://www.ftc.gov/tipsadvice/business-center/guidance/complying-coppa-frequentlyasked-questions.[4]FTC.Children’sOnlinePrivacyProtectionRule:Asix-stepcomplianceplanyou’reyourbusiness[EB/OL].(2013-07-01)[2018-01-17].https://www.ftc.gov/tips-advice/business-center/guidance/childrens-online-privacy-protection-rule-six-stepcompliance.[5]CONGRESS.U.S.SafeWebActof2006[EB/OL].(2006-12-22)[2018-01-17].https://www.congress.gov/bill/109thcongress/senate-bill/1608/text.[6]OPC.Connectedtoymanufacturerimprovessafeguardstoadequatelyprotectchildren’sinformation[EB/OL].(2018-01-08)[2018-01-18].https://www.priv.gc.ca/en/opc-actions-anddecisions/investigations/investigations-into-businesses/2018/pipeda-2018-001/.Theinterpretationandenlightenmentoffirstconnectedtoysinfringementonchildren’sprivacycasesettledbyUSFTCSHENDaAbstract:Inearly2018,theUSFederalTradeCommission(FTC)broughtitsfirst-everchildren’sprivacycaseinvolvingconnectedtoys.TherelevantpracticeoftheUSontheChildren’sOnlinePrivacyProtectionhasanimportantreferencevaluetoourcountry.Thisarticlehascarriedontheinterpretationtothiscase,hasmainlyanalyzedthecasefactandthelawrulesinvolvedinit,toobtaintheenlightenmenttoourcountrythroughthislawenforcementpractice.Ononehand,attheenterpriselevel,companiesthatconductchild-relatedbusinessesinvolvingtheUSshouldexercisecautiouscomplianceobligations.Ontheotherhand,ourgovernmentshouldlearnfromtheexperienceofcountriesoutsidetheterritory,urgentlyestablishingaunifiedandspecializedpersonalinformationprotectionsupervisioninstitution,exploringandimprovingthedatabreachnotificationsystemandstrengtheningtheprotectionofchildren’sonlineprivacy.Keywords:federaltradecommission;connectedtoys;children’sprivacy;enforcementpractices（收稿日期：2018-02-09）',)