美國的隱私立法已有百年歷史,2001年9.11恐怖襲擊事件發生後,布殊總統於當年十月簽署通過《美國愛國者法案》(Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001,簡稱USA Patriot Act),該法案賦予政府更廣泛地實施監視竊聽的權力,其中包括追蹤互聯網傳播的更大權力。該法案通過後引發爭議不斷,爭議之一是國家借反恐之名侵犯個人隱私。發生在2013年的斯諾登事件,令互聯網用戶更加關注個人信息安全問題。
相對於成年人在網絡上的個人信息來說,美國社會普遍認為,兒童的在線隱私保護應列為優先地位。相當一部分網站搜集用戶個人信息,而兒童缺乏隱私保護意識,網站通過各種方式誘導兒童填寫個人信息,包括姓名、住址、生日等,甚至還包括父母的信息。因此,美國國會在1998年十月通過了《兒童在線隱私保護法》(Children's Online Privacy Protection Act of 1998,簡稱COPPA)。2000年四月該法正式生效。根據這一聯邦法律,在美國司法管轄範圍內的網絡運營商,必須制定相應的隱私政策,在向13歲以下兒童搜集個人信息時,必須徵得兒童父母同意,同時,必須保護兒童在線隱私和安全。2011年九月,美國聯邦貿易委員會(Federal Trade Committee,以下簡稱FTC)對COPPA提出修訂意見,經過兩年諮詢討論,2013年七月一日,新修訂的COPPA正式生效。
COPPA內容及實施情況
《兒童在線隱私保護法》要求網絡服務商在收集、使用或披露用戶信息而用戶包括13歲以下兒童時,必須做到以下幾點:
(一) 制定清晰的隱私政策,解釋收集兒童信息的行為,包括明確提示正在收集有關兒童的信息,並說明將如何使用這些信息。
(二) 賦予兒童父母決定權,收集兒童信息時,需要採取必要措施,徵求家長同意,家長的身份需要得到驗證。同時,提供合理途徑,令父母可以檢查網站上收集的關於他們孩子的信息;提供方法,令父母能夠刪除孩子信息;另外,允許父母可要求網站不再收集孩子信息。
自從COPPA實施以來,對那些未能遵守COPPA的網站或網絡運營商,FTC採取罰款等措施進行處理。從FTC官方網站可以查到廿二個因違反COPPA而遭到處罰的案例。本文介紹其中六個典型案例:
1.2000年七月FTC對Toysmart網站提起訴訟,阻止其出售消費者數據庫。這是第一個FTC對違反COPPA提起訴訟的案例。FTC稱Toysmart網站在隱私政策中聲明,從消費者那裡收集的信息不會與第三方共享,但當它陷入經濟困境,試圖出售所有財產,包括詳細的消費者數據庫,該數據庫包含了兒童的姓名和生日。最終,Toysmart承諾不會將消費者數據庫作為獨立財產出售,並刪除或銷毀在違反COPPA條件下收集的所有信息。
2.Girl's Life是針對9至14歲女孩的網站。FTC稱,Girl's Life從孩子那裡收集個人信息,包括姓名和家庭住址、電子郵件和電話號碼,沒有在網站張貼符合COPPA的隱私政策,也沒有在收集兒童個人信息之前徵詢其父母同意的程序。Girl's Life被罰款3萬美元。
3.Hershey Foods從兒童那裡收集個人信息,包括姓名、年齡、家庭住址、電子郵件,但沒有採取任何步驟確保父母或監護人填寫同意書。FTC對其罰款8.5萬美元,並要求刪除違反COPPA所收集的所有信息。
4.RockYou遊戲網站沒有說明其對兒童個人信息的收集、使用和披露政策;沒有獲得可證實的父母同意;沒有對個人信息進行加密保護導致洩露。FTC對其罰款25萬美元,並要求其刪除從13歲以下兒童那裡收集的信息,同時實施數據安全保護,在二十年內每隔一年,接受獨立第三方的安全審查。
5.Playdom運營的二十個virtual world網站非法收集、披露大量13歲以下兒童的個人信息,沒有事先獲得兒童父母同意,違反COPPA,FTC對其罰款300萬美元,這是目前因違反COPPA所受到的最大數額的罰款。
6.移動應用程序開發者Justin Maples在沒有事先取得兒童父母同意的情況下,非法收集和披露數萬名13歲以下兒童的個人信息。FTC對其罰款5萬美元。這是第一個涉及移動應用(APP)的COPPA案例。
保護法修訂及引發的爭議
2013年七月,美國國會通過了對COPPA的修訂,主要有以下幾方面特點:
- 覆蓋範圍更廣:修改運營商定義,擴大其覆蓋的範圍。收集兒童信息的網絡插件和在線廣告商,以及明知從孩子那裡收集個人信息的第三方,都需要遵守COPPA。
-擴大個人信息範圍:除姓名、家庭住址、電郵、電話、社會保險號碼等個人信息外,地理位置、照片、視頻、音頻、在線聯繫信息等等,也被納入個人信息範圍;在某些情況下,IP地址、設備序列號、cookies等信息也在新規則的保護範圍之內。
-改進徵詢父母意見和方式。在修訂之前,COPPA規定運營商驗證父母身份可採取以下幾種方式:1)郵寄或傳真父母簽名同意書;2)接受和驗證信用卡號碼;3)採用免費電話確認;4)有數字簽名的電子郵件;5)通過上述驗證方法獲得的有PIN或密碼的電子郵件。在新修訂的規則中,企業可以通過更多的方式獲得父母的同意。如電子掃描的簽名同意書、視頻、身份證明等。
-加強保護力度:要求網站和網絡服務商對搜集的兒童個人信息維持保密、安全和完整,只向有能力保證信息安全的組織發佈兒童的個人信息,且需要採取合理程序。對於所搜集的兒童在線信息,只應用於達成最初搜集的目的,用後應予以刪除,防止未經授權的訪問和使用。
COPPA的上述修訂,引起不少爭議。2012年,在FTC就COPPA修訂徵求意見期間,Facebook向FTC提交文件表示,COPPA的修訂提案與憲法第一修正案相悖,會侵犯兒童的言論自由權利。Google表示,新規則關於「個人信息」的定義範圍過於廣泛,將限制運營商維持和開發兒童產品的能力。
有許多評論贊成新修訂法案,認為13歲以下兒童還不具備完全能力,以識別和理解網站收集信息的真實意圖及網站的隱私政策,新規則對保護兒童在線隱私非常必要。FTC稱新修訂的法案符合初衷,即減少從兒童那裡收集個人信息,為兒童創造一個更安全的上網環境。FTC主席喬恩•萊博維茨(Jon Leibowitz)說:「在不斷變化的科技背景下,COPPA修訂,旨在保護創新,為兒童提供豐富有趣的內容,同時確保家長瞭解並參與孩子的在線活動。」
美國民權同盟(American Civil Liberties Union)法律顧問Gabriel Rottman認為網站要適應COPPA,要麼改變網站內容,要麼把13歲以下的兒童排除在網站用戶之外。聖塔克拉拉大學法學院(Santa Clara Law School)教授Eric Goldman認為,網站或服務商從孩子那裡獲利很少,但為保護兒童在線隱私,卻要花費不少,他建議網站經營者直接把13歲以下的兒童排除在外。Facebook創辦人紮克伯格(Mark Zuckerberg)對修訂法案表示反對,他認為,教育越早開始越好。修訂法案將令兒童接觸和使用互聯網受到很大限制,不能充分利用互聯網,似乎不符合當前信息社會發展的需要。
美國互聯網公司保護兒童的隱私政策
在Google的隱私政策中,Google明確告知,對用戶信息的使用方式,以及用戶可採取何種方式來保護自己的隱私。1 在COPPA實施後,Google不再為13歲以下的兒童創建個人賬號。若新用戶在註冊Google賬號時填寫的年齡在13歲以下,Google會告知不能成功註冊的理由,並向其提供COPPA的鏈接網址。若兒童以虛假年齡註冊成功,而運營商後來經過某種方式獲悉該用戶在13歲以下,Google可能停止該帳戶。Google旗下的視頻網站YouTube實行與Google一致的政策,不允許13歲以下的兒童創建個人帳號。如果Google已有用戶註冊YouTube時將年齡填為13歲以下,則Google會停止該用戶的Gmail等服務,直至用戶通過身份驗證為13歲以上。
Twitter的隱私政策中有一條專門針對兒童的政策,明確聲明其服務對象不包括13歲以下的兒童。如果父母發現孩子未經同意向Twitter提供個人信息,可以通過郵件聯繫Twitter。Twitter不會故意從13歲以下的兒童那裡收集個人信息。如果發現13歲以下的兒童向Twitter提供個人信息,Twitter將採取措施刪除這些信息,並且終止孩子的帳號。2 同時,Twitter創建了Safe tips for parent頁面,為家長和青少年提供更多建議。
Facebook也不對13歲以下兒童開放。在註冊頁面,要求用戶提供出生年月,並告知用戶此舉是為確保得到適合註冊者年齡的Facebook體驗。若用戶年齡未滿13歲,會被告知Facebook不能處理他們的登記申請。在數據使用政策方面,Facebook提供了「未成年人及其安全」的鏈接,稱為保護未成年人,可能會採取特殊保障措施(如對成年人與未成年人的分享和聯繫設限),這可能使未成年人使用Facebook受到限制。3
從美國國會就兒童在線隱私保護的立法,及美國貿易委員會對違反法律的制裁來看,美國政府和社會,對互聯網時代如何保障兒童健康成長,體現出細緻入微的關懷,對互聯網商加以約束,加重網絡商保護兒童的責任,要求網絡商須在保護兒童利益方面放棄一部分商業利益,充分運用父母對子女的親情保護,賦予父母監管兒童使用網絡的權力,多管齊下,保障兒童權利。這些做法,值得借鑒。
1 Google的隱私政策(2013年6月24日) http://www.google.cn/intl/en/policies/privacy/
2 Twitter的隱私政策(2013年10月21日) https://twitter.com/privacy
3 Facebook的數據使用政策(2013年11月15日)https://www.facebook.com/about/privacy/minors