10个监管处罚案例看儿童网络信息保护的美国实践

编译/陈梅瑜

案例一：视频社交网络平台Musical.ly案

Musical.ly应用程序（现称为TikTok）允许用户创建短视频，并与其他用户共享这些视频。要注册该应用程序，它需要用户提供电子邮件地址，电话号码，用户名，名字和姓氏，简短的传记和个人资料图片。自2014年以来，已有超过2亿用户在全球范围内下载了Musical.ly应用程序，同时在美国注册了6500万个帐户。除了创建和分享视频外，该应用还允许用户通过评论他们的视频和发送直接消息与其他用户进行互动。

联邦贸易委员会（FTC）认为Musical.ly收集13岁以下儿童的个人信息（如电子邮箱地址、电话号码、用户名、姓名、个人资料图片）时，未征得父母的同意。Musical.ly用户账户默认公开的行为，使得其他用户可以直接看到儿童用户的个人资料、用户名以及儿童发布在Musical.ly平台上的视频，并可以向儿童用户直接发送消息。同时，Musical.ly还允许用户查看其位置50英里范围内的其他用户，使得更多儿童周边的用户可以接触到儿童的个人信息。

Musical.ly除了支付罚款以外，其应用还需遵守儿童在线隐私保护法案将所有未满13岁的儿童发布的视频下线，以及在征得父母同意前删除儿童的个人信息。

案例二：影视类网络招聘平台ExploreTalent案

ExploreTalent网站允许用户创建自己的账号，通过网站发布的工作信息，以及他人可以浏览用户创建的个人网页，以双向选择的方式获得试镜、表演、模特表演、参加比赛等工作机会。创建该网站账户需要提供性别、姓名、电话号码、电子邮箱地址等个人信息。ExploreTalent的用户信息可以通过个人网页的形式被搜索浏览，在个人资料中还可以上传照片、视频。网站还有通过个人信息为用户匹配试镜机会，通过电子邮件发送简历等功能。

联邦贸易委员会认为ExploreTalent不符合收集有关13岁以下儿童的信息的，确保儿童的信息得到保护，并在收集儿童的任何信息之前确实征得父母同意的要求。2014年至2016年期间，ExploreTalent.com网络招聘网站有超过100,000名13岁以下的儿童注册成为会员。该网站要求用户（包括13岁以下的儿童）提交个人信息，如姓名，电子邮件地址，电话号码和邮寄地址，以便创建免费帐户或高级付费帐户。这些信息可在ExploreTalent网站上公开获取和搜索。并且该网站在其隐私政策中声明，不会故意收集13岁以下儿童的个人信息，这些儿童的帐户需要由法定监护人创建。但是，该网站没有对未满13岁的用户施加任何限制，并且没有采取措施来验证是否由儿童的法定监护人创建账户。

另外，联邦贸易委员会还认为ExploreTalent每月花费39.95美元升级为“专业会员”的好处存在一定的欺骗性，会使用户误以为虽然该网站免费提供帐户，但只有其专业会员可以申请网站上可用的潜在工作机会。最后，ExploreTalent平台被罚235000美元。

案例三：电子玩具制造商VTech Electronics CO.,Limited案

VTech公司在出售联网玩具后，购买玩具的用户可以下载KidConnect应用程序，也可以下载一个名为Planet VTech基于网络的游戏和聊天的平台。在使用Kid Connect或Planet VTech之前，父母必须注册并提供个人信息，包括他们的姓名，电子邮件地址以及孩子的姓名，出生日期和性别。截至2015年11月，约有225万家长为近300万儿童在Learning Lodge注册并创建账户。这包括约638,000个儿童独立的Kid Connect帐户。此外，截至2015年11月，美国约有134,000名用户创建了Planet VTech，其中包括130,000名儿童。

委员会声称与VTech的电子玩具配套使用的Kid Connect应用程序平台收集了数十万儿童的个人信息，且该公司通过收集儿童的个人信息而未向父母直接通知并获得同意，未能采取合理措施保护收集的数据。联邦调查局认为随着联网玩具变得越来越受欢迎，公司应当让父母知道平台如何收集和使用他们孩子的个人信息以及他们采取何种合理措施来保护这些数据比以往任何时候都更重要。

同时，VTech公司未采取合理措施保护其通过Kid Connect收集的信息，例如实施适当的保护措施和安全措施以保护传输和存储的信息，并实施入侵防御或检测系统以提醒该公司未经授权侵入其网络。VTech公司在其隐私政策中声明用户通过Learning Lodge和Planet VTech提交的大部分个人信息都将被加密。但是，该公司没有加密任何此类信息，该行为被认为违反联邦贸易法案。

除罚款65万美元外，VTech还需要实施全面的数据安全计划，该计划将进行为期20年的独立审计。

案例四：移动广告推广平台InMobi案

InMobi的广告网络已通过数千款热门应用在全球范围内销售超过10亿台设备，为客户提供多种形式的基于位置的广告服务，包括根据消费者当前位置，地点向消费者提供定向广告的服务。

使用InMobi软件的应用程序无论是否要求获得用户的许可，甚至在用户在拒绝访问其位置信息的时，InMobi实际仍在跟踪用户的位置。InMobi在未经同意的情况下，跟踪了包括儿童在内的数亿消费者的位置，在很多情况下完全无视用户的隐私偏好。尽管他们的应用程序没有明确针对儿童收集地理位置信息。但InMobi的应用确实跟踪了数以千计的儿童的位置，该行为未遵循儿童在线隐私保护法案的要求，征得父母或监护人同意后，收集和使用儿童个人信息。

InMobi将受到400万美元的罚款，根据公司的财务状况，罚款被实际执行950,000美元。此外，公司将要求删除所有收集的儿童个人信息。

案例五：在线点评网站Yelp案

Yelp是美国著名商户点评网站，囊括各地餐馆、购物中心、酒店、旅游等领域的商户，用户可以在Yelp网站中给商户打分，提交评论，交流购物体验等。当用户通过移动设备上的应用程序注册Yelp时，在注册过程中被要求提供他们的出生日期。该网站可以明显判断出用户是否为未满13岁的儿童，Yelp收集了他们的信息，包括他们的姓名，电子邮件地址和位置，以及其他提供的任何信息并将他们的信息公开在Yelp网站上。

美国联邦贸易委员会认为Yelp未能遵守儿童在线隐私保护法案的要求，即使网站知道 （根据注册人的出生日期 ）孩子们仍可以通过移动应用注册Yelp。尽管其网站上有年龄筛选机制，Yelp却未对该机制进行充分测试，以确保禁止未满13岁的用户进行注册，从而允许13岁以下的儿童注册服务。

Yelp在线点评网站除了面临450,000美元的罚款外，还必须删除在注册时表示未满13岁的用户处收集的信息，除非公司可以向FTC证明该用户实际上已超过13岁。并该公司还需要在一年内向FTC提交数据合规报告，概述其对于儿童在线隐私保护法案所作出的合规计划。

案例六：社交网络平台Path，Inc案

Path运营着社交网络服务，允许用户在自己的主页中记录他们生活中的点滴，并与150位朋友通过电子邮箱地址、电话号码或Facebook进行共享。通过Path应用程序，用户可以上传，存储和共享照片，分享生活的点滴与感想，分享自己的位置以及自己正在收听的歌曲等。Path提供了“添加好友”功能，该功能为用户提供了三个选项：从您的联系人中查找朋友；从Facebook中查找朋友；通过电子邮件或短信邀请朋友加入Path。

联邦贸易委员会称Path未经用户知情和同意的情况下，会自动从用户的移动设备中收集和存储个人信息，即使用户没有选择“从您的联系人中查找朋友”这一选项，也可以使用用户的通讯录。对于用户移动设备通讯录中的每个联系人，Path会自动收集并存储任何可用的姓名、地址、电话号码、电子邮件地址、Facebook、Twitter用户名以及出生日期。Path还不加区分且在未经父母同意的情况下，收集了包括大约3,000名13岁以下儿童的以上类型的所有信息，同时允许孩子使用应用中的所有服务，违反了儿童在线隐私保护法案。

Path，Inc公司被要求建立全面的隐私计划，并在未来20年内每隔一年进行一次独立的隐私安全评估，删除所有收集的13岁以下儿童的信息，以及删除通讯录信息，并发布完整易懂的隐私政策。另外，公司还将支付80万美元的罚款。

案例七：名人粉丝俱乐部网站案

音乐明星Justin Bieber，Rihanna，Demi Lovato和Selena Gomez的粉丝网站的运营商Artist Arena经营着粉丝网站，如www.RihannaNow.com，www.DemiLovatoFanClub.net，www.BeiberFever.com和www.SelenaGomez.com。孩子们可以通过注册账号加入粉丝俱乐部，创建个人资料并在相应的会员墙上公布。儿童还提供个人信息以订阅名人的讯息。

据FTC称，Artist Arena宣称，未经父母同意，不会收集儿童的个人信息，未经父母同意也不会激活儿童的注册。但Artist Arena在知情地情况下，网站已有超过25,000名13岁以下的儿童注册使用，另外，Artist Arena收集和保存了近75,000名儿童的个人信息，这些儿童开始了注册流程，但最终没有完成注册。

ArtistArena被罚100万美元，并被要求删除违规收集的儿童个人信息。

案例八：社交游戏平台RockYou案

RockYou运营的平台专为用户提供照片和照片连续播放服务（幻灯片，由Flash支持），并经营着《RockYou Live》、《Speed Racing》等游戏。许多消费者使用该网站将照片制作成幻灯片，并使用标题功能和网站提供的音乐。为了保存导出幻灯片，用户必须输入他们的电子邮件地址和电子邮件密码。RockYou在注册期间收集了约179,000个儿童的电子邮件地址和相关密码，儿童能够创建个人资料并且可以在线共享的幻灯片上发布个人信息。

联邦贸易委员会认为RockYou未经父母同意，收集使用儿童个人信息的行为，并且没有详细说明儿童信息的收集，使用和披露政策，并且RockYou游戏网站中的安全漏洞暴露了3200万个电子邮件地址和密码，使用户包括儿童的个人信息处于危险之中，不符合保障儿童个人信息的机密性、安全性和完整性的要求，违反儿童在线隐私保护法案。

RockYou公司被要求实施数据安全计划，并每隔一年由独立的第三方审计机构提交安全审计，为期20年，RockYou还被要求删除从13岁以下儿童的信息以及罚款25万美元。

案例九：儿童社交网站Skid-e-kids案

Skid-e-kids是一个针对7-14岁儿童的社交网站，允许儿童注册，创建和更新个人资料信息，创建公开信息，上传图片和视频，以及“添加朋友”和发送消息给其他Skid-e-kids成员。已注册的儿童需要提供个人信息，包括他们的出生日期，电子邮件地址，姓名和城市。

Skid-e-kids的在线隐私政策声称要求儿童用户提供父母的有效电子邮件地址，以便在网站上注册。我们使用此信息向父母发送可用于激活Skid-e-kids帐户的消息，通知家长有关我们的隐私惯例，发送有关父母和孩子的Skid-e-kids帐户的通信和关于我们网站的功能的介绍。但父母表示网站并未收集父母的电子邮箱地址，父母也未允许孩子参与该网站的活动。该网站被委员会认定违反儿童在线隐私保护法案，还认为其虚假的隐私政策声明违反了联邦贸易法案。

Skid-e-kids被罚款10万美元，被要求删除儿童个人信息。

案例十：移动端儿童游戏W3 Innovations，LLC案

W3Innovations，LLC公司为iPhone和iPod touch开发和分发移动应用程序，允许用户在线玩游戏和分享信息。其中一些应用是针对儿童的，包括Emily的女孩世界，Emily的装扮等。这些应用的下载次数已超过50,000次，孩子们可以玩经典游戏，如Cootie Catcher和Truth或Dare，以及创建虚拟模型和设计服装。Emily相关应用程序鼓励孩子们通过电子邮件向“Emily”发送他们的评论并通过电子邮件向“Emily"s Blog”提交博客。在这一过程中W3公司收集了用户的数千个电子邮件地址。W3还允许儿童在留言板上公开发布信息，包括个人信息，并通过互联网发送和接收信息。

联邦贸易委员会认为W3公司没有在收集和/或披露儿童的个人信息之前获得可核实的父母同意，这样的做法违反了COPPA规则。

W3公司被罚5万美元，并被要求删除违反规则收集的儿童信息。

声明：本文来自网络法实务圈，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。