近日,美国联邦贸易委员会(Federal Trade Commission,FTC)宣布,微软就其非法收集和保留儿童用户个人信息一事与FTC达成和解协议,同意支付约2000万美元罚款,并于两周内删除未经父母同意而创建的儿童账号相关信息。微软方对此回应称,该情况系技术故障导致,并无儿童数据被非法使用或共享。
公开资料显示,Xbox是由美国微软公司开发并发售的一款家用电视游戏机。近日,FTC在官网披露的一则公告显示,在2021年之前,用户在Xbox上玩游戏或使用其提供的Xbox Live功能时,必须先创建一个账户。在创建账户的过程中,用户需提供姓名、电子邮箱、出生日期、电话号码等个人信息,并同意微软提供的服务协议和广告政策,允许其发送促销消息以及与广告商共享用户数据。
美国于2000年实施的《儿童在线隐私保护法》(COPPA)规定,面向13岁以下儿童的商业网站或在线服务运营商应在收集儿童个人信息之前获得其父母的授权同意,并允许父母随时删除儿童的相关数据。同时,禁止保留13岁以下儿童的个人信息超过为实现服务所需的合理必要时间。
然而,根据FTC的公告,当13岁以下的儿童创建Xbox账户时,微软直到其提交完成个人信息后才要求父母参与创建账户。在2015年至2020年期间,即使儿童父母未能参与账户创建,微软仍保留了创建过程中从儿童处收集而来的个人信息,保留时间长达数年。另外,微软还将这些儿童个人信息与其为每个用户创建的唯一持久标识符相结合,与第三方游戏和应用程序开发人员共享此类信息。
针对上述行为,FTC认为微软涉嫌违反COPPA相关规定,存在非法收集和保留儿童个人信息的情况,并对其提起诉讼。
为此,美国司法部(DOJ)代表FTC提交了一份拟议和解协议,要求微软采取相关措施加强对Xbox儿童用户的隐私安全保护。比如,要求微软将COPPA法律的保护范围扩大至与其共享儿童数据的第三方游戏发行商;明确当与其他个人信息一起收集时,儿童图像、生物特征和健康信息都受到COPPA的保护。
不仅如此,拟议和解协议还提出,微软应为单独创建的儿童账户提供额外的隐私保护;如果目前账户持有者仍是儿童,父母需对2021年前创建的儿童账户给予同意;未经父母同意而创建的儿童账号,相关信息将于两周内删除,同时删除所有非必要儿童个人信息等。另外,微软需支付约2000万美元的罚款。
据悉,目前微软与FTC已达成和解,和解协议将在相关法院批准后生效。
FTC公告发出后不久,微软方面对此作出回应称,非法收集和保留儿童用户个人信息是由于技术故障导致的,目前已成功修复故障、删除相关数据,并承诺这些儿童数据从未被非法使用或共享。此外,其将为儿童制定新的安全保护措施,包括更新账户创建流程等——如用户未满13岁,在其向微软提供电话号、电子邮箱等信息前需获父母同意。
南都记者梳理发现,微软系近半月来第二家因侵犯用户隐私被FTC处以大额罚款的互联网企业。当地时间5月底,亚马逊分别就其旗下语音助手部门Alexa和智能家居公司Ring所涉侵犯隐私问题与FTC达成和解协议,同意支付共超过3000万美元的罚款。其中Alexa被罚款约2500万,Ring被罚款约500万。
同样系因违反COPPA,2022年底,游戏《堡垒之夜》开发商Epic Games创下了FTC根据该隐私法处以的最高罚款纪录——由于非法收集儿童个人信息并诱导用户进行额外消费,Epic Games同意以支付5.2亿美元了结FTC对其提出的指控,其中包括因违反COPPA支付的2.75亿美元罚款和2.45亿美元消费者退款。
文|樊文扬
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。