官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Bleeping Computer 网站消息,微软同意支付 2000 万美元罚款并改变儿童数据隐私程序,以解决联邦贸易委员会(FTC)对其违反《儿童在线隐私保护法》(COPPA)的指控。
COPPA 是一项美国联邦通用法律,主要针对在线收集 13 岁以下儿童个人信息的行为,规定网站管理者要遵守隐私规则,必须说明何时和如何以一种可以验证的方式向儿童家长索求同意,并且网站管理者必须保护儿童在线隐私和安全。
微软未经家长允许,收集儿童隐私数据
根据消费者保护机构的说法,微软在未征得父母同意甚至未通知他们的情况下,收集并保留了注册 Xbox Live 服务儿童的个人信息。邦贸易委员会表示在 2015 年至 2020 年间,微软将儿童数据存储在其服务器中数年。
法庭文件显示,从 2017 年 1 月到 2021 年 12 月,大约 21.8 万名美国 Xbox 主机用户通过出生日期创建了微软账户,但是这些出生日期在注册时大都小于 13 岁。联邦贸易委员会声称微软没有采取立法建议的适当行动,阻止未成年人注册,此举违反了多个法律条款。
FTC 新闻稿中指出即使用户表明了他们未满 13 岁,但也被要求提供包括电话号码在内的个人信息,并同意微软的服务协议和广告政策,其中包括一个预先勾选的方框,允许微软发送促销信息,并与广告商分享用户数据。
对于微软收集儿童个人信息一事,联邦贸易委员会除对其罚款外,还提出了微软必须采取有力措施,以确保自身经营遵守 COPPA 的相关规定。尽管微软和 FTC 都同意处罚方案,但最终的结果仍有待法院批准。
微软必须实施以下措施:
为儿童创建一个单独的帐户,告知家长额外的隐私保护;
如果账户持有人仍是儿童,则在 2021 年 5 月之前创建的账户应获得家长同意;
如果不再需要提供指定原始集合的服务,请删除受 COPPA 保护用户的所有个人数据,删除未经父母同意而收集的存储在其系统上的所有用户数据;
自收集之日起,两周内删除受 COPPA 保护的用户数据;
将 COPPA 保护扩展到从微软接收用户数据的第三方游戏发行商;
如果为创建头像而收集的生物特征和健康信息与个人身份信息相结合,则将 COPPA 保护扩展到这些信息。
值得一提的是,美国联邦贸易委员会近期一再强调科技公司应遵守数据隐私法规的重要性,尤其是那些处理敏感未成年用户数据的公司。上周,美国联邦贸易委员会对亚马逊处以 2500 万美元的罚款,原因是亚马逊无视家长删除孩子数据的请求,并继续使用敏感用户信息来训练机器学习算法。
文章来源:
https://www.bleepingcomputer.com/news/microsoft/microsoft-to-pay-20-million-for-xbox-children-privacy-violations/