TMT观察网_独特视角观察TMT行业

互聯(lián)網(wǎng)時代兒童的信息安全問題讓人擔(dān)憂，00后屬于互聯(lián)網(wǎng)時代的原住民，如今，信息的違法獲取、使用正在威脅到兒童的隱私安全。

美國聯(lián)邦貿(mào)易委員會（FTC）近日對抖音國際版（TikTok）做出570萬美元的處罰裁決，因TikTok違法收集13歲以下兒童隱私信息，違反了美國的《兒童網(wǎng)絡(luò)隱私保護法》（COPPA）。這是該機構(gòu)在美國兒童隱私案件中做出的最大一筆民事罰款。

（FTC裁決聲明網(wǎng)址：https://www.ftc.gov/news-events/press-releases/2019/02/video-social-networking-app-musically-agrees-settle-ftc）

FTC在指控中稱，抖音國際版要求用戶提供電子郵件地址、電話號碼、用戶名、姓名、個人簡介和頭像等資料。該應(yīng)用還允許用戶通過評論視頻和發(fā)送直接信息與他人互動。此外，用戶帳號默認(rèn)是公開的，這意味著兒童的個人資料、用戶名、照片和視頻可以被其他用戶看到。

根據(jù)美國《兒童網(wǎng)絡(luò)隱私保護法》規(guī)定，商業(yè)網(wǎng)站在未獲得兒童父母或其監(jiān)護人可驗證的同意下，不得收集13周歲以下用戶的個人信息。

FTC在公告中表示，這一創(chuàng)紀(jì)錄的處罰決定是在警示所有針對兒童的在線服務(wù)和網(wǎng)站，F(xiàn)TC非常重視《兒童網(wǎng)絡(luò)隱私保護法》的執(zhí)行，不會容忍公然無視法律的行為。

抖音方面隨后表示，接受FTC裁決和解方案，并根據(jù)聯(lián)邦貿(mào)易委員會的指導(dǎo)，對產(chǎn)品設(shè)計進行改變。在最新發(fā)布的應(yīng)用更新中，抖音國際版的所有用戶都需要驗證其年齡，13歲以下的用戶將被引導(dǎo)到單獨的應(yīng)用內(nèi)體驗，該應(yīng)用不再允許分享兒童的個人信息，并對內(nèi)容和評論互動等進行更多限制。

抖音國際版表示：

我們非常關(guān)心用戶的安全和隱私。

這是一個持續(xù)的承諾，而我們也將繼續(xù)擴大和改進我們的保護措施來支持這一承諾。

（TikTok聲明全文網(wǎng)址：https://newsroom.tiktok.com/musical-lys-agreement-with-ftc/）

美國出臺兒童隱私保護法案

實際上，美國聯(lián)邦貿(mào)易委員會此次對TikTok的裁決也是傳遞了一個明確的信號：企業(yè)要意識到，兒童的個人信息使用是受到嚴(yán)格限制的。曾參與撰寫《兒童網(wǎng)絡(luò)隱私保護法》的美國參議員Ed Markey在一份聲明中表示，“盡管對違反該法的公司來說，這筆罰款可能是創(chuàng)紀(jì)錄的歷史最高水平，但相比對兒童造成的傷害和阻止其他公司今后違反該法的行為來說，罰款還不夠高。”

《兒童網(wǎng)絡(luò)隱私保護法》（COPPA）是在1998年被美國國會通過，2000年4月正式生效，適用于商業(yè)網(wǎng)站的經(jīng)營者以及專門面向13歲以下兒童提供的網(wǎng)上服務(wù)。

COPPA適用于商業(yè)網(wǎng)站的經(jīng)營者以及專門面向13歲以下兒童的網(wǎng)上服務(wù)。商業(yè)網(wǎng)站主要指以營業(yè)為目的的網(wǎng)站，在確定一個網(wǎng)站是否是針對13歲以下的兒童時，不僅要根據(jù)網(wǎng)站經(jīng)營者的意圖，而且要考慮網(wǎng)站的語言、畫面和整體設(shè)計。對于那些并不專門針對兒童的網(wǎng)站或網(wǎng)上服務(wù)，如果它們向兒童收集個人信息并實際知道其是在收集兒童在線隱私，也要遵守COPPA的規(guī)定。

需要特別注意的是，聯(lián)邦貿(mào)易委員會（Federal Trade Commission, FTC）明確指出，如果外國網(wǎng)站和在線服務(wù)針對美國兒童，或者他們知情地收集美國兒童的個人信息，則必須遵守COPPA。此外，COPPA只適用于收集個人信息的網(wǎng)絡(luò)運營商，個人信息包括姓名、家庭住址或其他地址、電子郵箱地址、電話號碼、社會安全號碼、FTC確定的能夠與線上或者線下的個人相對應(yīng)的其他標(biāo)識符，包括但不限于保存在cookies、IP中的客戶號碼、能夠與本段描述的標(biāo)識符對應(yīng)的被收集信息的兒童本人或父母的信息。

COPPA還詳細(xì)規(guī)定了相關(guān)網(wǎng)絡(luò)運營商的義務(wù)以及兒童家長的權(quán)利：

1. 網(wǎng)絡(luò)運營商的義務(wù)

（1）制定隱私政策。網(wǎng)絡(luò)運營商必須制定清晰的隱私政策，解釋其收集兒童個人信息的行為，包括明確提示正在收集有關(guān)兒童的信息，并說明將如何使用這些信息。

（2）通知并取得父母可驗證的同意（Verifiable parental consent）。網(wǎng)絡(luò)運營商在收集、使用或披露兒童個人信息之前必須通知其父母并且取得可驗證的父母的同意。其必須在網(wǎng)站上設(shè)有顯著鏈接以告知其收集、使用及披露兒童個人信息的方式，說明文字必須語意清晰。除特殊情況外，網(wǎng)絡(luò)運營商必須事先取得可驗證的父母的同意，即其通過合理的努力使父母能夠收到授權(quán)申請的申明并做出的授權(quán)決定。并且，即使先前已經(jīng)征得家長同意，但若收集、使用、披露的方式有重大改變時，須再次征得家長的同意。

（3）禁止故意使兒童暴露過多信息。禁止網(wǎng)絡(luò)運營商在兒童參加活動的時候，通過有獎或其他方式使兒童暴露超過合理必要范圍內(nèi)的信息。

（4）確保個人數(shù)據(jù)的安全。網(wǎng)絡(luò)運營商應(yīng)當(dāng)建立和維持合理的程序，確保被收集的兒童個人數(shù)據(jù)的安全性、保密性與完整性。

（5）應(yīng)父母要求終止向兒童提供服務(wù)。如果家長在收到相關(guān)通知后，拒絕同意網(wǎng)絡(luò)運營商進一步使用或用可辨認(rèn)的方式保存信息，網(wǎng)絡(luò)運營商應(yīng)當(dāng)終止向兒童提供服務(wù)。

（6）應(yīng)當(dāng)審查父母的身份。網(wǎng)絡(luò)運營商在收到父母行使其權(quán)利的請求時，應(yīng)當(dāng)在不給父母帶來不合理負(fù)擔(dān)的情況下審查父母的身份，在驗證之后采取相應(yīng)措施行動。

2. 監(jiān)護人權(quán)利

（1）審查權(quán)。父母有權(quán)審查兒童向網(wǎng)絡(luò)運營商提供的個人信息，并且隨時可以拒絕允許經(jīng)營者進一步使用或者以后繼續(xù)在線收集兒童的個人信息。

（2）刪除權(quán)。父母有權(quán)要求網(wǎng)絡(luò)運營商刪除其從兒童處收集的個人信息。

（3）拒絕收集、使用權(quán)。父母有權(quán)隨時拒絕網(wǎng)絡(luò)運營商對兒童個人數(shù)據(jù)的繼續(xù)收集或進一步使用。

值得注意的是，《兒童網(wǎng)絡(luò)隱私保護法》（COPPA）在出臺之后引起了很大爭議，F(xiàn)acebook創(chuàng)始人扎克伯格就曾公開表示過反對，但盡管如此，美國的互聯(lián)網(wǎng)科技巨頭企業(yè)，如谷歌、推特、Facebook等，還是積極地采取措施全面執(zhí)行COPPA法案，其中，很多做法也值得國內(nèi)的借鑒。

然而遺憾的是，我國目前尚未出臺任何針對性的兒童個人信息保護法規(guī)，僅有一部《未成年人網(wǎng)絡(luò)保護條例（送審稿）》草案正在征求意見中。2017年6月生效的《網(wǎng)絡(luò)安全法》對個人信息保護做出了法律性的規(guī)定，此外，另有一部《個人信息保護法》也已被列入全國人大常委會立法規(guī)劃當(dāng)中。

上千款A(yù)pp違規(guī)收集兒童隱私信息

據(jù)了解，此前美國相關(guān)機構(gòu)曾做過一項調(diào)查，對安卓平臺上的手機軟件收集兒童信息情況進行測評，發(fā)現(xiàn)有3337款面向兒童或者家庭的手機軟件違規(guī)采集兒童隱私信息。

在這些軟件中，“高調(diào)”違規(guī)收集兒童隱私的App占少數(shù)，多數(shù)軟件的數(shù)據(jù)采集手段則很容易引起業(yè)內(nèi)人士的懷疑。

與成年人相比，兒童對市場上魚龍混雜的眾多App分辨力更差，且更容易受到傷害和造成隱私泄露。如今，隨便打開一款A(yù)pp，都會發(fā)現(xiàn)名目眾多的權(quán)限名稱：短信、電話、通訊錄、日歷、調(diào)用攝像頭、啟動錄音、使用身體傳感器、讀取位置信息、使用呼叫轉(zhuǎn)移，這些都稱之為基礎(chǔ)權(quán)限。

與隱私相關(guān)的權(quán)限，還包括發(fā)送短信、讀取運動數(shù)據(jù)、獲取瀏覽器上網(wǎng)記錄和讀取已安裝應(yīng)用列表等。

實際上，當(dāng)我們安裝新的App時，很多應(yīng)用軟件都會悄悄獲得權(quán)限，并且不會通知用戶。最好的辦法就是，在手機權(quán)限管理中，打開每一個App，查看其擁有的權(quán)限。在權(quán)限的授權(quán)上，只需要給予其必要的權(quán)限即可。

據(jù)悉，在該機構(gòu)研究的5855款少兒或家庭軟件中，281個在并未獲得家長同意的條件下，違規(guī)采集少兒用戶的通訊錄和位置信息。

同時，另外有1100個安卓軟件將少兒的隱私信息開放給了外部第三方使用。另外，2281款軟件違反了谷歌Play商店的規(guī)定：即不得將用戶隱私信息分享給已經(jīng)獲得“安卓廣告ID”數(shù)據(jù)的外部公司。

個人信息安全問題是近年來社會關(guān)注的焦點，伴隨一些信息安全事件屢被爆出，公眾的隱私意識逐步上升，但企業(yè)的合規(guī)腳步仍然緩慢。

去年11月，中國消費者協(xié)會曾對國內(nèi)100款A(yù)PP進行了個人信息收集和隱私政策測評，結(jié)果顯示，多達91款A(yù)pp列出的權(quán)限存在涉嫌“越界”，即存在過度收集用戶個人信息的問題。此外，有47款A(yù)pp隱私條款內(nèi)容不達標(biāo)，其中34款A(yù)pp沒有隱私條款。包括工商銀行、建設(shè)銀行、支付寶、ofo小黃車、美圖秀秀、新浪新聞、e代駕、去哪兒網(wǎng)、拼多多等在內(nèi)的App均存在一些問題。

我們的個人信息保護進程才剛剛開始，需要社會公眾的更多呼吁和行動。