Instagram 4.05 亿欧元罚单:GDPR 儿童隐私违规(一)

Instagram 4.05 亿欧元罚单:GDPR 儿童隐私违规(一)

Kaamel Lab
Kaamel Lab 2022年9月9日

2022年9月,爱尔兰数据保护委员会(DPC)就 Meta 旗下 Instagram 违反 GDPR 儿童数据保护要求,处以4.05亿欧元罚款,约合28亿人民币,是当时 GDPR 处罚史上第二高,仅次于2021年对亚马逊的7.46亿欧元。违规核心有两点:把13-17岁儿童账户默认设置为公开,以及允许13-17岁的商用账号公开邮箱与手机号。

TL;DR

案件背景

早在2020年,爱尔兰 DPC 就已对 Instagram 处理儿童个人信息的行为展开调查。调查发现,Instagram 将13至17岁儿童账户默认设为公开,任何网络用户都能搜索并查看这些账户,需儿童用户自行改设置才能转为私密。此外,Instagram 允许13至17岁的年轻创作者申请商用账号,并将邮箱和手机号公开展示。

DPC 对 Meta 的执法不止这一项。此前 Meta 旗下 Facebook 曾被 DPC 处以1700万欧元罚款,另有多项与 Meta 相关的隐私合规调查在进行中。

“法”的层面:触及的 GDPR 条款

从法律看,产品设计阶段就缺少对儿童数据的保护考量。

“情”的层面:为什么默认公开危险

即便是成年新用户,也未必能第一时间发现自己的关注列表或账户默认公开;对认知尚未健全的儿童而言更难察觉。社交媒体重度使用的未成年人,其账户往往包含联系方式、好友列表、行踪轨迹等敏感数据,一旦被公开并被恶意利用,风险远超成年人。这正是 GDPR 对儿童数据要求“默认保护”的现实理由。

案件进展

爱尔兰 DPC 的处罚提议曾遭芬兰、法国、德国、意大利、荷兰、挪威等国监管机构反对。负责协调欧盟各监管机构的欧洲数据保护委员会(EDPB)据此启动争议解决程序,并于2022年7月化解分歧、确认处罚。9月2日,DPC 证实对 Instagram 的4.05亿欧元罚款。

Meta 表示不认同该决定并计划上诉,强调被调查的是一年多前的旧版本 App,此后已上线多项功能:18岁以下用户加入 Instagram 时账户自动设为私密,只有相识者可见其内容,成年人也无法向未关注自己的青少年发送消息。这些整改是否彻底,本系列 第二部分的实测 做了验证。

儿童隐私合规要点

面向或可能触达未成年人的出海企业,GDPR 下需要关注的条款主要有:

在美国侧,与之对应的是《儿童在线隐私保护法》(COPPA),由联邦贸易委员会(FTC)执行,聚焦收集13岁以下儿童个人信息时的家长控制权,要求发布合规隐私政策、收集前取得家长同意、尊重家长的查看/删除/撤销请求并保障数据安全。COPPA 的具体判定标准与合规步骤,可参考 Musical.ly 被罚 570 万美元的 COPPA 分析;这封投诉如何从一次用户反馈演变成4.05亿欧元罚单,另见 从一次隐私投诉到巨额罚单

参考报道:

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.