FTC 近期对儿童数据隐私的执法密集且金额高:依《儿童在线隐私保护法》(COPPA),它要求 Epic Games 的《堡垒之夜》为 COPPA 违规支付 2.75 亿美元罚款、并另退还 2.45 亿美元消费款,对微软 Xbox 开出 2000 万美元罚款。两案的共同点是,FTC 不看服务商的自我声明,而是通过业务内容、营销材料与客观事实判断”实际用户”是否包含儿童,从而认定 COPPA 是否适用。对游戏出海企业而言,这划定了目标受众判定与父母同意的红线。
TL;DR
COPPA 是一部美国联邦法律,旨在保护 13 周岁以下儿童的安全与隐私,禁止网站及在线服务在未经许可或非必要情况下收集儿童个人信息,并要求在收集使用前取得经验证的监护人同意。FTC 是 COPPA 的监管机构,拥有规则制定权与执法权,并发布过《企业六步合规计划》《常见问题解答》等指导文件。COPPA 合规的系统梳理,可参考深度专题 一站通关 COPPA 合规(上)。
《堡垒之夜》2017 年推出后吸引超过 4 亿玩家,深受儿童与青少年喜爱。据 2019 年调查,美国 53% 的 10–12 岁儿童每周都玩。Epic 邀请儿童喜爱的名人举办线上演唱会、推出官方授权周边,员工还密切关注并传播游戏在社媒上的讨论——这些市场实践使 FTC 推断其主要用户群体包含儿童。
黑暗模式指控:游戏免费下载,但可购买虚拟道具。FTC 认定《堡垒之夜》用黑暗模式与欺骗性设计诱导玩家启动自动计费或误购:玩家从睡眠模式唤醒游戏、处于加载屏幕、或预览物品时按下相邻按钮,都可能被收费;直到 2018 年,儿童还能在未经持卡人或家长同意下用信用卡消费,产生数百万美元未授权交易。据此 FTC 要求 Epic 退还 2.45 亿美元。这类设计的风险,可对照 隐私保护设计中的”暗黑模式”问题。
COPPA 指控:FTC 调查显示,运营前两年里《堡垒之夜》在未经父母同意下收集了儿童姓名、邮箱、购买记录与联系人;Epic 未向家长发出直接通知,也未在在线通知中以明显链接说明儿童数据处理情况。它还通过复杂验证流程抬高家长查看或删除儿童信息的门槛,要求提供所有游戏 IP、账户创建日期、购买地点等与”验证家长身份”不成比例的信息。此外,游戏默认为 13 岁以下及 13–17 岁玩家开启语音与文字通讯,增加了儿童受侵害的风险。据此 FTC 处以 2.75 亿美元罚款,并要求 Epic 删除已收集的儿童信息、调整默认隐私设置、建立强制隐私计划、接受第三方评估与年度认证,和解令生效后十年内保存相关记录,接受 FTC 与司法部监督。
自 2005 年起,微软通过 Xbox 品牌产品与 Xbox Live 服务收集包括儿童在内的个人信息。用户创建微软账户时,即便声明未满 13 岁,微软仍会收集其邮箱、姓名、详尽出生日期与电话;直到 2019 年底,注册流程还用预先勾选框让用户同意与在线广告商共享数据。
FTC 发现,对未满 13 岁的儿童,微软直到其提交完个人信息后才基于年龄提示父母参与;2015 年至 2020 年 10 月间,即便父母未完成账户创建,微软仍无限期保留从儿童处收集的信息,远超 COPPA 允许的合理必要期限。即使儿童退出广告共享并经父母参与完成账户创建,隐私仍可能受损:微软为每个 Xbox Live 用户创建永久标识符(XUID),玩家代号(gamertag)与之匹配后用于与第三方开发者共享数据;而儿童可能将照片与玩家代号关联,其中涉及 COPPA 禁止关联收集的生物识别面部信息。因未遵守 COPPA,微软被处以 2000 万美元罚款,并须通知未单独创建儿童账户的父母、对 2021 年 5 月前创建的儿童账户取得额外授权、在必要目的达成后两周内删除儿童信息、并在披露儿童信息时告知第三方开发者该用户为儿童。
两案都表明,COPPA 的适用取决于客观事实而非声明。其适用范围包括:面向儿童的网站或在线服务(含使用动画角色、儿童向活动或儿童周边吸引儿童的情形),以及虽非面向儿童但”实际知悉”在收集儿童信息的服务(如 Xbox 收集了详尽出生日期)。企业应先评估是否收集了 13 岁以下儿童信息,若适用 COPPA,须在产品端落地五件事:
其中可验证父母同意是难点。COPPA 实施细则列举了多种方式:父母签署同意书并经传真、邮件或扫描发送;通过信用卡、借记卡或在线支付完成交易并即时通知父母;提供由受训人员接听的免费电话;视频会议核验;与政府颁发的身份证明核对等。企业可结合整改成本与用户体验选择落地方案。更多同类执法可参考 FTC 对 TikTok 违反 COPPA 提起诉讼 与 Google、YouTube 3000 万美元儿童隐私和解。