美国联邦贸易委员会根据《儿童在线隐私保护法》的要求修订了《儿童在线隐私保护规则》,并在2024年1月11日发布了最新版《儿童在线隐私保护规则》的提案。拟议的修改旨在应对技术和在线实践的变化,并酌情澄清和简化该规则。拟议的修改基于联邦贸易委员会对公众意见的审查及其执法经验,旨在澄清该规则的范围和/或加强其对所收集的儿童个人信息的保护。公众意见必须在2024年3月11日之前提交。[1]
1 COPPA规则的修订背景
美国国会于1998年颁布了《儿童在线隐私保护法案》(“COPPA”或“COPPA法规”),即《美国法典》第15编第6501条以下。COPPA法规指示联邦贸易委员会("委员会"或"FTC")颁布实施COPPA要求的法规。1999年11月3日,委员会颁布了《儿童在线隐私保护规则》(《美国联邦法规汇编》第16卷第312部分)(“COPPA规则”或“规则”),并于2000年4月21日生效。COPPA法规第6506条和初始规则第312.11条要求委员会在初始规则生效后五年内启动审查,以评估规则的执行情况。委员会于2005年4月21日开始了这一强制性审查。在收到并考虑了广泛的公众意见后,委员会于2006年3月决定保留COPPA规则,不作任何修改。
2010年,委员会再次对COPPA规则进行审查,以确定该规则是否与不断变化的技术保持同步。2013年,以反映移动设备和社交网络使用的增加,其中包括扩大个人信息的定义,包括持久标识符,如跟踪儿童在线活动的 cookie,以及地理位置信息、照片、视频和音频记录,委员会发布了该规则的最终修正案,并于2013年7月1日生效(“2013年修正案”)。
2019年7月25日,美国联邦贸易委员会在《联邦公报》上宣布,将再次对COPPA规则进行审查,并指出该规则在教育技术领域、支持语音的联网设备以及承载第三方儿童导向内容的普通受众平台的应用方面出现了问题(“2019年规则审查倡议”)。FTC在《2019年规则审查倡议》中就这些问题和其他问题征求公众意见。除了确定委员会是否应保留、取消或修改COPPA规则的标准监管审查问题外,FTC还询问2013年修正案是否为儿童提供了更有力的保护,以及修订是否产生了任何负面影响。FTC还就该规则的条款提出了具体问题,包括规则的定义、通知和同意要求、访问和删除权、安全要求以及安全港条款。
在征求意见期间,FTC于2019年10月7日举行了一次公开研讨会,详细讨论了委员会征求公众意见的几个领域。具体讨论内容包括COPPA规则在教育科技领域的应用、新技术和商业模式的发展如何影响儿童隐私,以及2013年修正案是否达到预期效果等。作为对2019年规则审查启动的回应,FTC收到了来自各利益相关方的175,000多条意见。上述意见总体上对COPPA表示支持,但也指出了委员会可以就COPPA规则的要求提供额外澄清或指导的一些领域,以及一些对该规则的潜在修改。
2 主要修改内容
联邦贸易委员会提出了对该规则的几项修改,其中主要包括:
1. 对该《规则》第312.2条中的一些定义进行修改,以更新该规则的覆盖范围和功能:例如修改“在线联系信息”和“个人信息”(包括生物识别数据、推断数据和其他数据、永久标志符等)的定义;修改“面向儿童的网站或在线服务”的定义,包括明确需要考虑的多因素测试、增加从针对儿童的其他网站和在线服务收集个人信息的运营商、以及增加“混合受众网站或在线服务”的独立定义。此外,还增加了“学校和学校授权的教育目的”的定义,而这两个新定义与《规则》提议的新的父母同意例外有关,也即允许学校和学区授权教育技术提供商收集、使用和披露学生的个人信息,但仅限于学校授权的教育目的,不得用于任何商业目的。最后,FTC还建议修改了“支持网站或在线服务的内部运作”定义的第二段,对支持内部运作例外情况进行限制,要求利用这一例外情况的运营商提供在线通知,说明运营商收集持久性标识符的具体内部操作,以及他们将如何确保此类标识符不会被用于或披露用于联系特定个人,包括通过定向广告。此外,还对鼓励儿童继续上网的行为进行限制,禁止运营商使用根据 COPPA 的多重联系和支持内部运营例外规定收集的在线联系信息和持久性标识符向儿童发送推送通知,以提示或鼓励他们更多地使用其服务。如果运营商使用从儿童处收集的个人信息来提示或鼓励儿童使用其服务,也必须在其 COPPA 要求的直接和在线通知中标明此类使用。
2. 对该规则第312.4条的通知规则的若干条款进行修改:包括直接通知家长、直接通知的内容、网站或在线服务上的通知以及经营者根据第312.5(c)(10)条收集个人信息时在网站或在线服务上发布的额外通知(新段落第312.4(e))。
3. 对该规则第312.5条的父母同意规则的若干条款进行修改:包括一般要求、可核实家长同意的方法、以及事先征得父母同意的例外情况,包括学校授权例外(例如是否在规则中纳入学校授权例外情况、哪些数据属于允许使用通过学校授权例外情况收集的数据、应由学校的哪些人员提供授权以及如何通知父母);音频文件例外情况;以及其他例外。此外,《规则》要求对定向广告进行单独的选择同意:在第312.5条现有的同意要求的基础上,COPPA 所涵盖的网站和在线服务运营商现在必须单独获得可核实的家长同意,才能向包括第三方广告商在内的第三方披露信息——除非披露信息与网站或在线服务的性质密不可分,否则公司不能以向第三方披露个人信息作为获得服务的条件。
4. 新增该规则第312.6条审查儿童提供的个人信息的权利:该修正是与FTC建议的学校授权例外有关的新段落。具体而言,FTC建议要求利用这种例外情况的运营商向学校提供运营商目前根据第 312.6(a)条向家长提供的权利支持情况,即审查从儿童那里收集的个人信息、拒绝允许运营商进一步使用或今后在线收集个人信息以及指示运营商删除此类信息的权利。根据这项建议,利用学校授权例外的经营者无须就根据例外规定收集的信息向家长提供这些权利。但要求运营商满足每位家长的要求(如删除要求),可能导致学校不得不向不同的儿童提供不同的服务,或根据个别家长的要求放弃向整个班级提供特定的服务。为了减轻这一负担,FTC提出了这一修改建议并建议删除第312.6条标题中对“家长”的提法,以反映该修改。
5. 完善该规则第312.7条禁止以收集个人信息作为儿童参与活动的条件: 该提案加强了现行规则中禁止以收集个人信息作为儿童参与活动的条件的规定,以明确禁止收集超出儿童参与游戏、提供奖品或其他活动所合理需要的个人信息。此外,联邦贸易委员会正在考虑在本条中增加新的措辞,以澄清“活动”的含义。
6. 提高该规则第312.8条对收集的儿童个人信息的保密性、安全性和完整性的要求:要求分成若干独立段落,并就运营商为遵守每项要求可采取的步骤提供进一步指导。第二段将就经营者必须根据新编号的第312.8(a)条建立和维护的“合理程序”提供更多指导,以保护儿童个人信息的保密性、安全性和完整性。第三段将涉及经营者应采取的“合理步骤”,即只向有能力保护儿童个人信息并提供书面保证保护信息的人披露儿童个人信息。具体来说,规定经营者至少必须建立、实施和维护一个书面的全面安全计划,该计划应包含与儿童信息的敏感性以及经营者的规模、复杂性、活动性质和范围相适应的保障措施。例如该计划包括指定一名员工负责协调信息安全计划;确定并至少每年进行一次额外的针对上述保密性、安全性和完整性的风险评估;设计、实施和维护保障措施,以控制任何已确定的风险,并测试和监控此类保障措施的有效性;以及至少每年评估和修改信息安全计划。
7. 加强该规则第312.10条经营者在保留和删除从儿童收集的个人信息方面的限制:明确规定经营者保留个人信息的期限只能是出于收集信息的特定目的所合理需要的时间,而不能是出于任何次要目的。例如,如果经营者出于创建账户的目的收集了儿童的电子邮件地址,那么在未获得可核实的父母同意将该信息用于特定目的之前,经营者不得将该电子邮件地址用于营销目的。此外,当收集信息的目的不再合理地需要这些信息时,经营者必须删除这些信息。无论如何,从儿童那里收集的个人信息不得无限期保留。委员会还建议要求经营者至少制定和维持一项书面的数据保留政策,说明其保留儿童个人信息的业务需要和删除信息的时限,排除无限期保留的可能性。
8. 修改该规则第312.11条安全港的相关条款:拟议的规则将提高 COPPA 安全港计划的透明度和问责制,包括要求每个计划公开披露其成员名单,并向委员会报告额外的信息。包括批准自律计划指南的标准(第312.11(b)条)、报告和记录的要求(第312.11(d)条和312.11(f)条)、以及撤销对自律计划指南的批准(现行第 312.11(f)条,建议改为第 312.11(g)条)。
3 与修改相关的主要讨论
1. 针对扩大COPPA规则适用范围的讨论
(1)对修订“针对儿童的网站或在线服务”的定义的讨论
一些评论者认为,应修改“面向儿童的网站或在线服务“的定义,以包括有大量儿童的网站和服务、有一定比例的儿童用户的网站和服务,或包括吸引儿童的网站和服务内容。例如,联邦贸易委员会批准的 COPPA 安全港计划 PRIVO 声称,应该要求有大量儿童的一般受众服务遵守 COPPA,指出“不针对有大量儿童的服务必须解决,因为它可能由于固有的隐私和安全风险而导致对儿童的在线伤害。”维权组织进一步认为,委员会应确定必须提供《儿童保护法》保护的儿童使用者人数的门槛。同样,常识媒体鼓励委员会将“针对儿童的网站或在线服务”的定义解释为包括“吸引或可能被过多儿童访问的网站和服务”。
然而,其他评论者反对以这种方式扩大“针对儿童的网站或在线服务”的定义。例如,玩具协会反对采用数字或百分比受众门槛作为确定儿童导向网站或在线服务的决定性因素。同样,COPPA 研讨会期间的小组成员指出对儿童的吸引力与以儿童为目标导向的是非常不同的,COPPA 的法定语言是“儿童导向”而不是“儿童吸引力”。评论者对扩大定义以包括“不面向儿童的活动但有大量儿童的网站和服务”提出了更多的质疑,包括这种改变与法规不一致、减少了为儿童提供的在线服务、对非面向儿童的网站或在线服务的运营商造成过度的负担,并导致了监管的不确定性。一些评论者还指出,这一修正将是没有必要的,因为定义已经包括“关于受众构成的合格和可靠的经验证明”,作为确定一个网站或服务是否针对儿童的一个考虑因素。
2013年修正案的规则审查期间委员会就曾拒绝以修订“针对儿童的网站或在线服务”的定义来扩大《规则》的适用范围,此次修改仍然拒绝此种方式。
(2)对改变COPPA规则的“实际知情”标准的讨论
有观点认为需要将那些有理由知道他们可能正在从儿童那里收集信息的经营者和故意避免获得他们正在从儿童那里收集信息的实际知情的经营者也纳入 COPPA 管辖范围,以防止“故意忽视儿童的个人信息正在被收集”。但是,也有更多的反对理由,例如全国广告商协会指出,推定知情标准将与委员会长期以来的立场相冲突,即运营商没有义务调查其用户的年龄,并将增加对公司潜在的 COPPA 义务的不确定性。同样,非营利政策组织 Engine 指出,从实际知情的“明线”标准转向不那么明确的推定知情标准,可能会给小公司和初创企业带来不成比例的负担。因此,延续之前拒绝以推定知情为基础将一般受众网站和服务的经营者置于 COPPA 的管辖之下的做法,本次修改时委员会再次拒绝将“实际知情”标准改为“推定知情”标准。
2.针对“可反驳推定制度”的讨论
COPPA规则的推定制度是指,面向儿童的网站或在线服务的运营商如果收集用户的个人信息,则必须遵守 COPPA,无论他们是否实际了解特定用户实际上是儿童。因此,在实际操作中,面向儿童的网站和服务的运营商必须假定所有用户都是儿童。2013 年修正案委员会更是将 COPPA 责任扩展至实际知晓自己直接从另一个面向儿童的网站或在线服务的用户处收集个人信息的运营商。因此,此类运营商因为已经有效地将儿童导向的内容作为自己的内容,所以其服务的这一部分也可以适当地被视为是针对儿童的。
“可反驳推定制度”的讨论则是指联邦贸易委员会在《2019年规则审查倡议书》中就是否应允许那些允许第三方向平台上传内容的普通受众平台推翻上传儿童导向内容的所有用户实际上都是儿童的推定征求意见,也即,如果平台经营者没有实际了解上载内容是儿童导向的,是否就没有责任遵守COPPA规则。
(1)反对“可反驳推定制度”的论点
a. FTC和一些州的总检察长指出,平台运营商可能有动机避免了解内容存在儿童导向的性质,因为这将使他们能够收集所有用户的数据以发布有针对性的广告。b.消费者联盟指出,由于家庭中的用户可能共享持续登录的设备、账户和应用程序,儿童可能在使用父母账户的同时访问儿童导向的内容,但运营商可能会错误地认定用户是成年人,使得儿童得不到相应的保护。c.尽管存在成人观看儿童内容的亚文化,但此类内容的成人观众可能非常少,保护这些成年人接收个性化广告的权利,并不能抵消收集儿童个人数据并对其进行在线跟踪的风险。d.此外,美国联邦贸易委员会批准的 COPPA 安全港计划认为,允许推翻推定 “非常复杂”,对大型科技公司与中小型公司并不公平。因为只有大型科技公司才有足够的资金、丰富的客户数据和后端基础设施来满足推翻推定的标准。
(2)支持“可反驳推定制度”的论点
a.以谷歌为代表的大型企业以及行业组织认为,如果不允许反驳推定,将会损害成年人的用户体验。b.应当采取灵活、基于标准的方法允许平台采用各种措施推翻推定,例如结合额外的身份确认步骤,重新输入密码、指纹、声纹或设备PIN码等。c.推翻推定则需要要求平台调查和识别平台上以儿童为导向的内容,而此举会将《规则》的“实际知情”标准改为“推定知情”标准,违背立法意图。
(3)结论
整体上不修改、仍不支持“可反驳推定”制度。FTC认为,虽然允许平台推翻推定将允许更多形式的货币化,并在某些情况下为与儿童内容互动的成年人提供更多的功能和便利。但是,这些好处并不能超越保护儿童隐私这一重要目标。而且不支持“可反驳推定”制度具有说服力,特别是,父母和儿童共用设备的现实,以及账户持有人永久登录其账户的情况,会使运营商难以可靠地区分儿童用户和非儿童用户。但是提出对“混合受众”类网站和在线服务的认可,即,FTC允许那些主要受众不是儿童的网站和服务的经营者推翻对儿童导向网站和服务的用户的推定。例如,如果一个平台上的第三方内容根据该规则的多因素测试是儿童导向的,但该平台并不以儿童为主要受众,那么运营商可以要求提供年龄信息,并只向13岁以下的用户提供 COPPA 保护。此种混合受众类别为运营商提供了适当程度的灵活性。
[1]但联邦贸易委员会决定是否批准娱乐软件分级委员会(ESRB)和其他机构根据《儿童在线隐私保护规则》提出的新机制申请的最新截止日期为2024年3月29日。
[2]https://www.federalregister.gov/documents/2024/01/11/2023-28569/childrens-online-privacy-protection-rule
[3]https://www.ftc.gov/news-events/news/press-releases/2023/12/ftc-proposes-strengthening-childrens-privacy-rule-further-limit-companies-ability-monetize-childrens
[4]https://www.ftc.gov/news-events/news/press-releases/2019/07/ftc-seeks-comments-childrens-online-privacy-protection-act-rule
[5]https://www.ftc.gov/business-guidance/resources/childrens-online-privacy-protection-rule-six-step-compliance-plan-your-business
[6]https://www.ftc.gov/system/files/documents/public_statements/1266473/coppa_policy_statement_audiorecordings.pdf
[7]https://www.ftc.gov/news-events/news/press-releases/2024/01/ftc-extends-deadline-60-days-commission-decision-esrb-application-new-consent-mechanism-under-coppa
[8]http://www.ecfr.gov/cgi-bin/ECFR?SID=39883669cbc422eaf39a25a51116d3b7&mc=true&page=browse
撰稿 | 王瑞,清华大学智能法治研究院实习生
选题&指导 | 刘云
编辑 | 沈廖佳
注:本公众号原创文章的著作权均归属于清华大学智能法治研究院,需转载者请在本公众号后台留言或者发送申请至computational_law@tsinghua.edu.cn,申请需注明拟转载公众号/网站名称、主理者基本信息、拟转载的文章标题等基本信息。
声明:本文来自清华大学智能法治研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。