专家 | 黄晓林 李妍:美国儿童网络隐私保护实践及对我国启示(上篇)
2017-04-12 18:12
由于篇幅所限,CGi将分三期为您带来黄晓林的《美国儿童网络隐私保护实践及对我国启示》,今天推送的是三篇中的第一篇。
前言
随着计算机和网络技术的发展,接触、使用互联网的儿童越来越多,互联网越来越成为儿童学习、娱乐和社交的重要场所。由于互联网固有的交互性和虚拟性,网络运营商可以轻易地越过家长这道屏障,直接与儿童进行交流,收集其个人隐私信息。对儿童网络隐私的保护已经引起世界各国的普遍关注,目前美国通过专项立法保护儿童在互联网上的隐私安全。为了保障未成年人网络空间安全,保护其合法网络权益,我国日前公布了《未成年人网络保护条例(送审稿)》(以下简称条例草案),条例草案部分内容对通过网络收集、使用未成年人个人信息的行为进行了规制。鉴于此,本文研究美国儿童隐私保护立法、执法和企业自律情况,对比分析中美差异,对我国未成年人个人信息保护提出建议。
一、立法搭筑堡垒——《儿童网络隐私保护法》
美国的隐私立法一向走在世界的前列, 1998年美国国会制定并由总统签署通过《儿童网络隐私保护法》(Child Online Privacy Protection Act,COPPA)并于2000年正式生效。COPPA作为第一部关于儿童网络隐私保护的法律,有较大的影响力。
(一)COPPA的主要内容
COPPA适用于商业网站的经营者以及专门面向13岁以下儿童的网上服务。商业网站主要指以营业为目的的网站,在确定一个网站是否是针对13岁以下的儿童时,不仅要根据网站经营者的意图,而且要考虑网站的语言、画面和整体设计。对于那些并不专门针对儿童的网站或网上服务,如果它们向儿童收集个人信息并实际知道其是在收集儿童在线隐私,也要遵守COPPA的规定。需要特别注意的是,联邦贸易委员会(Federal Trade Commission, FTC)明确指出,如果外国网站和在线服务针对美国儿童,或者他们知情地收集美国儿童的个人信息,则必须遵守COPPA。此外,COPPA只适用于收集个人信息的网络运营商,个人信息包括姓名、家庭住址或其他地址、电子邮箱地址、电话号码、社会安全号码、FTC确定的能够与线上或者线下的个人相对应的其他标识符,包括但不限于保存在cookies、IP中的客户号码、能够与本段描述的标识符对应的被收集信息的儿童本人或父母的信息。
COPPA还详细规定了相关网络运营商的义务以及儿童家长的权利:
1. 网络运营商的义务
(1)制定隐私政策。网络运营商必须制定清晰的隐私政策,解释其收集儿童个人信息的行为,包括明确提示正在收集有关儿童的信息,并说明将如何使用这些信息。
(2)通知并取得父母可验证的同意(Verifiable parental consent)。网络运营商在收集、使用或披露儿童个人信息之前必须通知其父母并且取得可验证的父母的同意。其必须在网站上设有显著链接以告知其收集、使用及披露儿童个人信息的方式,说明文字必须语意清晰。除特殊情况外,网络运营商必须事先取得可验证的父母的同意,即其通过合理的努力使父母能够收到授权申请的申明并做出的授权决定。并且,即使先前已经征得家长同意,但若收集、使用、披露的方式有重大改变时,须再次征得家长的同意。
(3)禁止故意使儿童暴露过多信息。禁止网络运营商在儿童参加活动的时候,通过有奖或其他方式使儿童暴露超过合理必要范围内的信息。
(4)确保个人数据的安全。网络运营商应当建立和维持合理的程序,确保被收集的儿童个人数据的安全性、保密性与完整性。
(5)应父母要求终止向儿童提供服务。如果家长在收到相关通知后,拒绝同意网络运营商进一步使用或用可辨认的方式保存信息,网络运营商应当终止向儿童提供服务。
(6)应当审查父母的身份。网络运营商在收到父母行使其权利的请求时,应当在不给父母带来不合理负担的情况下审查父母的身份,在验证之后采取相应措施行动。
2. 监护人权利
(1)审查权。父母有权审查儿童向网络运营商提供的个人信息,并且随时可以拒绝允许经营者进一步使用或者以后继续在线收集儿童的个人信息。
(2)删除权。父母有权要求网络运营商删除其从儿童处收集的个人信息。
(3)拒绝收集、使用权。父母有权随时拒绝网络运营商对儿童个人数据的继续收集或进一步使用。
(二)COPPA执行情况
1. 美国大型科技公司相关实践
COPPA虽然在出台后受到很多争议,但是美国的大型互联网企业,如google、Twitter、facebook等,还是积极地采取措施以全面执行COPPA。
Google相关实践。Google虽然没有在其隐私政策中声明其不再为13岁以下的儿童创建个人账号,但是若用户在注册Google账号时填写的年龄在13岁以下,Google会拒绝给予注册、告知其不能成功注册的理由,并向其提供COPPA的链接网址。若儿童以虚假年龄注册成功,而运营商后来经过某种方式获悉该用户在13岁以下,Google可能停止该帐户。Google旗下的视频网站Youtube实行与Google一致的政策,不允许13岁以下的儿童创建个人账号。并且在其服务条款中明确说明其不为13岁以下的儿童提供服务。
图为Google在用户注册账号时填写的年龄显示未满13岁时的提示
Twitter相关实践。Twitter没有限制13岁以下的儿童注册成为其用户,在其最新版本的隐私政策中也没有关于儿童隐私保护的政策,仅在其服务条款中提及:“在任何情况下,您至少必须已满13岁才能使用服务”。此外,Twitter为了更具体地对家长和青少年提供建议,在安全中心里创建了Tips for families页面,向家长提供了如何使其孩子在Twitter上尽可能安全地社交的建议。
图为Twitter创建的Tips for families的部分页面
但是,在Twitter之前的11个版本的隐私政策中都包含专门针对儿童的政策,在政策中明确声明其服务对象不包括13岁以下的儿童,如果父母发现儿童未经其同意向Twitter提供个人信息,可以通过邮件联系Twitter;Twitter不会故意从13岁以下的儿童处收集个人信息,如果发现13岁以下儿童向其提供个人信息,Twitter将采取措施删除这些信息,并且终止该用户的账号。最新版本和上一版本之间间隔时间仅仅是7个月,但是隐私政策却做了较大幅度的修改,甚至将关于儿童个人信息的规定完全删除,个中原因我们不得而知。从目前Twitter的相关实践来看,其对COPPA的遵守程度比较低,在注册用户时没有做出限制,在隐私政策中也没有做出说明,仅在已注册用户填写个人资料时把年龄限制在了13岁以上,但这种做法在实践中并不能很好地起到防止13岁以下儿童成为其用户的作用。
图为Twitter在给已注册用户的个人资料填写做出的年龄限制
Facebook相关实践。同样作为社交网站,facebook也将13岁儿童排除在用户范围之外。在其注册页面,其要求用户提供出生年月,并告知用户此举是为确保得到适合注册者年龄的Facebook体验。若用户年龄未满13岁,会被告知Facebook不能处理他们的注册申请。但是在facebook的数据使用政策中仅提供了“未成年人及其安全”的链接,称为保护未成年人,可能会采取特殊保障措施(如对成年人与未成年人的分享和联系设限),这可能使未成年人使用Facebook受到限制。其并没有明确说明13岁以下儿童不能使用的规定,在网络页面上也没有任何对无法注册的说明和解释。
图为Facebook注册页面的说明以及输入13岁以下的年龄时拒绝注册的提示
Apple的相关实践。Apple在其隐私政策中明确声称其为了保护儿童使用其产品和服务的隐私安全,采取了额外的预防措施。Apple在其隐私政策中规定,除非父母提供可验证的同意书,或作为家庭共享中的子账户创建过程的一部分,否则13岁以下的儿童不得创建自己的Apple ID。此外,Apple还有了专门的儿童隐私政策,其在该政策中明确指出其收集、使用、披露儿童个人信息的方式、目的和范围,父母的删除权、更正权、审查权以及其行使方式,并且规定如果父母提供了可验证的同意书,给其13岁以下的儿童创建了Apple ID,则该儿童获得Apple所有的功能和服务,但是父母可以在设置中对其进行限制,并且提供了如何设置的操作方法。从其隐私政策中看,Apple比较完全地贯彻了COPPA的相关规定。
Microsoft的相关实践。微软虽然没有专门的儿童隐私政策,但是在其隐私政策中对涉及到儿童的信息收集和使用做出了明确规定。其规定,13岁以下的用户不得使用微软产品,除非其在使用之前提供父母或监护人的同意,微软不会故意要求13岁以下的儿童提供超过该产品所必需的数据。一旦父母同意批准,则该13岁以下用户可以获得微软产品所有的功能和服务,但是父母有权审查、编辑或请求删除该儿童的个人数据,可以随时更改或撤销之前做出的同意选择,并且提供了操作方法指南。
Yahoo的相关实践。在用户注册时,雅虎要求用户输入出生年月日以判断该用户的年龄,如果年龄在13岁以下,会被告知由于没有达到年龄要求,故暂时不能完成注册,并提供了指向FTC的儿童在线安全指南页面的链接。但是雅虎同时也在其隐私政策中规定,经过父母的许可,13岁以下的儿童可以拥有雅虎家庭账户,并且贴出了指向儿童隐私政策的链接。在其儿童隐私政策中,其对收集、使用儿童相关的个人信息的类型和方式进行了说明,并且对父母的审查权、删除权、随时撤销同意权以及如何操作进行了说明,表示雅虎不会要求13岁以下的儿童以提交超过合理必要性的个人信息作为参与某项活动的条件,会提供给儿童个人信息充分的保护。
图为Yahoo注册页面输入出生年月的要求以及年龄不足13岁时拒绝注册的提示
Amazon.com的相关实践。亚马逊作为目前全球最大的互联网线上零售商之一,其隐私政策中只有一条涉及收集儿童个人信息的内容:“我们不向儿童销售产品,但我们向成年人销售儿童用品。如果您不满18岁,只有在父母或监护人参与的情况下您才能使用本网站。”由此可知,亚马逊在一定程度上将整个未成年人都排除在用户范围之外,并没有对13岁以下儿童做出特殊规定。但是,它并没有阻止未成年人,尤其是13岁以下的儿童注册账号,在亚马逊儿童商品的评论栏常常有已注册用户发表评论,其内容中透露出自己是13岁以下的儿童,美国电子隐私信息中心(Electronic Privacy Information Center, EPIC)还因此向FTC投诉称亚马逊违反了COPPA的规定。EPIC称,1.亚马逊的玩具购买页面有部分内容是指向儿童的,因此亚马逊在COPPA的规制范围之内;2.许多13岁以下的儿童注册成为了亚马逊用户,亚马逊也因此获得了这些13岁以下儿童的电子邮箱地址和名称等个人信息;3.在该用户发表评论时,其全名、年龄、性别等个人信息会公布在亚马逊的网页上。EPIC认为亚马逊的这些行为是明显违反COPPA的相关规定的,因此其要求FTC对亚马逊做出相应处罚措施。而FTC在审查该投诉后认为,亚马逊的玩具购买页面不是指向儿童的,因此亚马逊并不是在明知访客是13岁以下儿童的情况下收集其个人信息,故FTC拒绝了这一投诉指控。
表1:互联网公司COPPA执行情况总结
以上列举了美国大型科技型公司对COPPA的实践情况,可以看出,其主要有两种模式:一,直接将13岁以下儿童排除在用户范围之外;二,在提供父母许可的情况下,13岁以下儿童可以成为其公司产品的用户。采用不同模式的公司出于自身的情况和提供产品和服务的要求有不同的考量。采取第一种模式的公司可能认为,其主要用户群体是13岁以上的人群,将13岁以下儿童纳入用户范围之内,要达到COPPA要求的对其在线隐私的保护水平所需要的成本可能远超过其作为用户所产生的经济利益。而采取第二种模式的公司可能认为,在明确告知父母公司对儿童在线隐私的收集、使用情况以及父母的相关权利的情况下,尽到了COPPA要求的基本义务,并且在儿童提供了父母可验证的同意的情况下向儿童提供其产品的所有服务和功能,不需要将其和其他用户区分开来提供服务,既可以降低对COPPA的执行成本,又可以扩大自己的用户群体。
2. 美国儿童指向型网站相关实践
对上文所提到的美国科技型公司而言,13岁以下的儿童只是其指向用户的一部分,其隐私政策最主要还是针对所有的用户,而对于专门针对儿童的网站而言,由于13岁以下的儿童都能注册成为其用户,因而其隐私政策对COPPA的贯彻执行的要求更加具体和严格。
The Walt Disney Company的相关实践。The Walt Disney Company(简称为TWDC)是美国娱乐和传媒的多元化集团,儿童是其主要的用户群体。在TWDC的官方网站的隐私政策中,专门有指向儿童在线隐私政策的链接,其在儿童在线隐私政策中明确规定该政策符合COPPA,并概述了其关于儿童个人信息的隐私实践,主要内容为:1.在从13岁以下儿童处收集个人信息之前会要求其提供家长或监护人的电子邮件地址,并发送邮件通知家长并征得其可验证的同意;2.在为寻求家长同意而向家长发送的邮件中,TWDC将会解释其收集信息的类型、使用的方式、父母如何提供同意、父母如何撤销同意等基本内容;3.在合理时间内没有收到家长同意,将删除父母联系信息以及从儿童处收集的其他相关信息;4.只会要求儿童提供参与某活动所必需的最少信息;5.在针对儿童的聊天系统中,会使用信息过滤器和实施审核等方式保证儿童的个人信息安全;6.家长对儿童个人信息有选择和控制权,可以要求拒绝允许TWDC进一步对该儿童进行信息的收集,还可以要求TWDC对儿童的个人信息和相关记录进行删除。
值得注意的是,TWDC在其网站首页展示了TRUSTe的儿童隐私标志。TRUSTe是美国首家、同时也是成员数目最多的网络隐私认证民间机构,是COPPA规则下的安全港计划之一,下文会有详细介绍。TRUSTe有专门针对儿童的隐私认证标准和标志,TWDC在其网站主页上展示TRUSTe Kids Privacy的标志,表示其儿童隐私政策和隐私实践已经通过审核,达到了COPPA和TRUSTe要求的标准,能提供儿童在线隐私一定的保护。
图为TRUSTe Kids Privacy的标志
Learning A-Z的相关实践。Learning A-Z是与教师合作的,致力于提供孩子所需要的英语教学资源的早教网站。其在隐私政策中表明“根据COPPA,我们针对13岁以下儿童用户的隐私实践将在‘儿童隐私政策’部分列出”,并且提供了链接。Learning A-Z在其儿童隐私政策部分中明确规定:1.不会在没有事先获得父母可验证同意的情况下收集、使用、披露或存储儿童个人信息;2.收集、使用、披露或存储儿童个人信息的类型、目的和范围,不会收集比儿童参与服务所需的合理信息更多的个人信息;3.一旦发现以不符合COPPA要求的方式收集了儿童的个人信息,将立即删除该信息并通知该儿童的家长;4.会向家长发送确认邮件,邮件内容包括家长对收集的儿童个人信息的权利,以及其如何操作的说明。
Funbrain的相关实践。Funbrain是美国最流行的游戏教育网站之一,是旨在开发儿童在数学、阅读和读写方面的能力的游戏学习网站。Funbrain在其隐私政策中的儿童隐私部分表明:1.不会在没有事先经过家长或监护人同意的情况下,故意收集、使用或披露13岁以下儿童的个人信息;2.收集、使用、披露儿童个人信息之前会尽最大努力通知家长,并且征得父母可验证的同意;3.收集、使用的个人信息的类型、目的和范围,强调Funbrain只会出于网站内部的目的使用儿童的个人信息;4.会建议13岁以下儿童在分享任何个人信息之前必须获得家长或监护人的许可;5.列举了父母提供可验证同意的方式和途径,如电子邮件、传真、电话或扫描同意书等。
ABCya.com的相关实践。ABCya.com是一个由老师创建的网站,旨在给孩子提供免费的、有趣的教育游戏,13岁以下的儿童是其主要的用户群体,因而其在隐私政策中明确指出:“我们依据COPPA的要求提供这一隐私政策,以通知父母和法定监护人以及其他使用者关于我们的隐私实践。”ABCya.com在其隐私政策中明确列出:1.收集、使用个人信息的类型、目的和范围;2.父母对儿童个人信息的审查权和删除请求权;3.表明其会在收集、使用儿童的个人信息之前通知家长并获得其同意;4.只会出于收集时的目的使用儿童的个人信息并且仅供内部使用;5.会提供适当的措施保护儿童个人信息的安全性、保密性和完整性;6.只会在确定第三方服务提供商能提供同等的安全保障的情况下向该第三方披露儿童的个人信息。
此外,Funbrain和ABCya.com的网页上都有KidSAFE seal program的认证标志。KidSAFE seal program是一个专为对儿童友好的网站设计的独立的安全认证机构和审批程序,是经联邦贸易委员会批准的COPPA规则下的安全港计划之一(下文会介绍安全港计划,在此暂且不表),Funbrain和ABCya.com网页上的KidSAFE seal program标志表明其达到了KidSAFE建立在COPPA基础上的关于儿童在线隐私安全和保护标准的要求。
图为KidSAFE seal program的标志
结合上文对美国针对儿童的几大网站的儿童隐私政策的介绍和分析可知,专门针对儿童网站的儿童相关隐私政策更加详细具体,对家长提供了更多的协助网站保护儿童在线隐私的建议和要求,试图在尽到自己主要义务的基础上借助家长、教师等对儿童影响更大的人群和社会力量对儿童在线隐私提供更完善的保护。
(为便于排版,省去原文注释和参考文献。)
本文后续内容,请见明日发布的《黄晓林:美国儿童网络隐私保护实践及对我国启示(中篇)》!
编辑 | 张钰莹
作者
黄晓林
腾讯公司
腾讯公司法务部数据及隐私中心负责人
李妍
腾讯公司
中南财经政法大学 硕士在读返回搜狐,查看更多
责任编辑:
