美国联邦贸易委员会(FTC)近日因微软违反《儿童在线隐私保护法》对其罚款2000万美元。FTC 将要求微软支付 2000 万美元,以支付其在未经父母同意的情况下非法收集儿童个人信息的费用。
微软将支付 2000 万美元以了结联邦贸易委员会对其违反儿童在线隐私保护法 (COPPA) 的指控,即在未通知父母或未征得父母同意的情况下收集注册其 Xbox 游戏系统的儿童的个人信息,以及非法保留儿童个人信息。
(资料图片)
FTC 消费者保护局局长 Samuel Levine 表示:“我们提议的命令使父母可以更轻松地保护他们孩子在 Xbox 上的隐私,并限制 Microsoft 可以收集和保留的有关孩子的信息。” “这一行动还应该非常清楚地表明,儿童的化身、生物识别数据和健康信息不能免除 COPPA。”
作为司法部代表联邦贸易委员会提交的拟议命令的一部分,微软将被要求采取多项措施加强对其 Xbox 系统儿童用户的隐私保护。例如,该命令将 COPPA 保护扩展到与 Microsoft 共享儿童数据的第三方游戏发行商。此外,该命令还明确指出,根据儿童图像生成的头像以及生物特征和健康信息在与其他个人数据一起收集时受 COPPA 规则的约束。该命令必须得到联邦法院的批准才能生效。
COPPA 规则要求针对 13 岁以下儿童的在线服务和网站通知父母他们收集的个人信息,并在收集和使用从儿童那里收集的任何个人信息之前获得可验证的父母同意。根据司法部还提交的一份投诉 ,微软违反了 COPPA 规则的通知、同意和数据保留要求。
微软的 Xbox 游戏产品允许用户通过其 Xbox Live 服务与其他玩家一起玩和聊天。要在 Xbox 控制台上访问和玩游戏或使用任何其他 Xbox Live 功能,用户必须创建一个帐户,这要求用户提供个人信息,包括他们的名字和姓氏、电子邮件地址和他们的出生日期。即使用户表示他们未满 13 岁,他们也被要求在 2021 年底之前提供额外的个人信息,包括电话号码,并同意 Microsoft 的服务协议和广告政策,该政策在 2019 年之前包含一个预选框,允许根据投诉,微软将发送促销信息并与广告商共享用户数据。
直到用户提供了这些个人信息后,微软才要求任何表明他们未满 13 岁的人让他们的父母参与进来。然后,孩子的父母必须先完成帐户创建过程,然后孩子才能获得自己的帐户。根据投诉,从 2015 年到 2020 年,微软保留了它在帐户创建过程中从儿童那里收集的数据——有时长达数年——即使父母未能完成该过程。COPPA禁止保留有关儿童的个人信息的时间超过实现其收集目的合理必要的时间。
孩子创建帐户后,他们可以创建一个配置文件,其中将包含他们的“玩家代号”,这是用户和其他 Xbox Live 用户可见的主要标识符,还可以上传图片或包含头像,这是一个图形或代表用户的图像。根据投诉,微软将此信息与它为每个帐户持有人(甚至儿童)创建的唯一持久标识符相结合,并且可以与第三方游戏和应用程序开发人员共享此信息。默认情况下,微软允许包括儿童在内的所有用户在使用 Xbox Live 时玩第三方游戏和应用程序,如果父母不希望他们的孩子访问这些游戏和应用程序,则要求父母采取额外的步骤选择退出。
根据投诉,微软未能完全遵守 COPPA 的通知规定。例如,微软未能向家长披露其收集的所有信息,例如孩子的个人资料照片。
除了罚款之外,根据拟议的命令,微软还将被要求:
告知尚未为孩子创建单独帐户的父母,这样做会默认为孩子提供额外的隐私保护;如果账户持有人仍是儿童,则在 2021 年 5 月之前创建的账户需征得父母同意;建立并维护系统,在收集之日起两周内删除其为获得父母同意而收集的所有儿童个人信息(如果未获得父母同意),并在获得父母同意后删除从儿童收集的所有其他个人数据不再需要实现其收集的目的;和在披露儿童的个人信息时通知视频游戏发行商用户是儿童,这将要求发行商对儿童应用 COPPA 的保护措施。
委员会以 3 比 0 的投票结果将投诉和拟议的联邦命令提交给司法部。美国司法部向美国华盛顿州西区地方法院提起诉讼并下达命令。
微软官方回应:
在 Xbox,我们的基本承诺是在我们的平台上为所有玩家提供安全可靠的体验——对于我们最年轻的玩家来说尤其如此。我们经常与社区、监管机构和合作伙伴合作,并根据他们的反馈迭代我们的安全措施。我们最近与美国联邦贸易委员会 (FTC) 达成和解,以更新我们的帐户创建流程并解决我们系统中发现的数据保留故障。遗憾的是,我们没有达到客户的期望,并承诺遵守命令继续改进我们的安全措施。我们相信我们可以而且应该做得更多,我们将坚定不移地致力于为我们的社区提供安全、隐私和保障。
我们二十年的安全经验告诉我们,所有玩家都希望并需要安全和隐私保护。自 2005 年我们推出第一款可以在线连接玩家的游戏机以来,我们一直在不断投资于工具和技术来保护我们的社区。这项工作演变成一个多方面的安全策略。我们的一套安全、隐私和安保措施旨在尊重玩家的隐私和安全,并使玩家以及父母和看护人能够控制他们的游戏体验。
下面我们将详细介绍我们为验证儿童帐户所做的更改,但是,我们在年龄验证方面的工作并不止于此。我们看到了进一步推进安全数字体验的机会,这些体验易于访问、易于使用并使所有玩家受益。我们正在创新下一代身份和年龄验证——一种方便、安全、一次性的流程,适用于所有玩家,这将使我们能够更好地提供定制、安全、适合年龄的体验。所有玩家,尤其是儿童和他们的家人,都会感受到长期的好处。虽然我们将其视为未来,但我们预计整个游戏行业也将如此。
在接下来的几个月里,我们将测试新的方法来验证年龄并从客户的体验中获取反馈。从这些试验中获得的经验将直接为我们玩家身份系统的进步提供信息。我们正在整合 Microsoft 来自各个行业的见解,以开发一种有原则的方法来保护数字身份,最大限度地减少数据收集,优先考虑安全性,并使玩家更容易了解他们的数据是如何使用的。
我们将继续以玩家为中心——让他们完全控制自己的在线体验和数字身份。除了Xbox 家庭设置应用程序和儿童帐户等工具之外,我们将继续授权父母和看护人对他们的孩子和家人的游戏体验进行适当的监督。儿童账户专为未成年玩家而设,以便父母和看护人可以管理设置、隐私、支出等。正如我们在 5 月发布首份透明度报告和第二份透明度报告时所做的那样,我们将继续保持透明和明确我们对服务采取的行动。
Xbox 社区是我们的社区——我们共同塑造的社区。在我们创新和尝试新体验时,我们将与社区合作收集反馈,以便我们共同创造更安全的游戏体验。
与FTC 和解对玩家意味着什么
自 FTC 和解以来,我们更新了我们的帐户创建流程,现在要求玩家首先确定出生日期,如果未满 13 岁,则在向我们提供任何信息(例如电话号码或电子邮件地址)之前获得经过验证的父母同意。这一更新后的流程确保我们可以立即识别潜在的儿童帐户,并向父母和看护人明确下一步的步骤,以保护他们孩子的数据并在我们的网络上安全玩耍。
在接下来的几个月里,未满 13 岁且在 2021 年 5 月之前创建帐户的玩家将需要获得父母的重新同意——这意味着将提示父母重新验证帐户并授予孩子继续在 Xbox 上玩游戏和活动的权限。我们致力于使这一过程尽可能无缝。我们正在努力确保当父母被提示重新同意时,他们将获得继续进行所需的信息,而不会中断他们孩子的访问。
在调查过程中,我们发现了一个技术故障,即我们的系统没有删除已开始但未完成的子账户的账户创建数据。这与我们仅将该信息保存 14 天以使游戏玩家更容易从中断处继续完成流程的政策不一致。我们的工程团队立即采取了行动:我们修复了故障,删除了数据,并采取措施防止错误再次发生。这些数据从未被使用、共享或货币化。
为了更清楚地说明我们收集哪些信息以及我们如何使用这些信息,我们更新了我们的Microsoft 隐私声明,包括一个专门介绍 Xbox 如何处理用户数据的部分。我们还更新了主屏幕,以明确标记指向 Microsoft 隐私声明的链接。该链接还出现在收集个人信息的服务的每个区域中。微软还提供了一个隐私仪表板,可以与家人共享收集和使用的数据。玩家可以随时调整自己的隐私设置,儿童账号默认设置为最强隐私设置。
为家庭提供的额外资源
我们希望所有父母、看护人和家人都知道,我们将孩子的安全和隐私放在首位。我们将继续传达我们对我们的做法和我们收集的数据所做的更改,以便我们可以更好地保护使用我们平台的儿童。我们还继续探索创造性的方式来教育玩家在线安全。
我们更新后的Xbox 家庭中心共享有关创建家庭组、管理儿童帐户的信息,并帮助父母和看护人了解我们已采取的安全措施,例如Xbox 家庭设置应用程序。