沈　達　中國信息通信研究院互聯(lián)網(wǎng)法律研究中心工程師

1　引言

2018年1月8日，美國聯(lián)邦貿(mào)易委員會（Federal TradeCommission，F(xiàn)TC）同總部位于中國香港的智能玩具制造商偉易達（VTech）及其美國子公司達成和解協(xié)議。FTC指控該公司涉嫌違反《兒童在線隱私保護法》（Children’s Online Privacy Protection Act of 1998，COPPA）及《聯(lián)邦貿(mào)易委員會法》（Federal Trade CommissionAct，以下簡稱《FTC法》）第五條，收集了大量兒童的個人信息，但未履行充分的通知義務、取得兒童父母的可驗證同意，同時該公司也沒有使用合理的數(shù)據(jù)安全措施來保護收集到的信息。根據(jù)協(xié)議，偉易達將支付65萬美元的民事罰款；實施全面的數(shù)據(jù)安全方案，于未來20年內(nèi)每隔一年進行一次獨立的第三方審查，并遵守記錄和報告要求；遵守《兒童在線隱私保護法》。本案是FTC發(fā)起的第一例涉及聯(lián)網(wǎng)玩具的侵犯兒童隱私案。

2　涉及的法律規(guī)則

美國較早就意識到對未成年人上網(wǎng)安全的保護，通過立法的形式對兒童網(wǎng)絡活動加以保護，出臺了專門的兒童網(wǎng)絡保護立法，形成了比較完善的未成年人網(wǎng)絡保護體系。在美國隱私立法中，對于個人信息的收集使用，出于對產(chǎn)業(yè)發(fā)展的平衡考慮，通常是采用了默示同意的原則，除非權(quán)利人明確反對，企業(yè)可以收集使用，然而美國針對兒童的個人信息是采取了特殊保護的模式同一般的個人信息加以區(qū)分。美國既制定了《兒童在線保護法》（Child Online Protection Act，COPA）、《兒童在線隱私保護法》、《兒童互聯(lián)網(wǎng)絡保護法》（Children’s InternetProtectionAct，CIPA）等專門的兒童網(wǎng)絡保護立法，也在《FTC法》等相關(guān)立法中進行了規(guī)定或者可援引相關(guān)內(nèi)容施加相關(guān)企業(yè)對兒童的隱私的保護義務。除了相關(guān)立法之外，F(xiàn)TC為了切實保護兒童隱私還提出了行業(yè)自律與立法相結(jié)合的安全港模式（SafeHarbor），即相關(guān)的行業(yè)組織可以來創(chuàng)設(shè)跟兒童隱私相關(guān)的行業(yè)自律規(guī)范性文件，規(guī)范需包含有獨立監(jiān)管或者懲戒的程序，需要提交給FTC公開征求公眾意見并批準，同時該規(guī)范也有一定約束力，商業(yè)網(wǎng)站和在線服務（包括移動應用程序）的運營商只要遵守了行業(yè)自律規(guī)范，就被認為遵守了COPPA。本案中對FTC對偉易達的執(zhí)法實踐主要涉及到了FTC的COPPA規(guī)則及《FTC法》第五條。

FTC的COPPA規(guī)則適用于針對13歲以下兒童收集、使用或披露兒童個人信息的商業(yè)網(wǎng)站和在線服務（包括移動應用程序）的運營商。它也適用于實際知道自身從13歲以下的兒童收集個人信息的網(wǎng)站和在線服務。“個人信息”在規(guī)則中被廣泛地定義，包括直接識別個人的信息，例如姓名、地址、電話號碼等，與兒童相關(guān)的其他信息，諸如用戶名，包含兒童聲音的音頻，包含兒童圖像的照片或視頻，以及能夠與個人相對應識別的其他標識符，如Cookie ID，設(shè)備ID或IP地址等。COPPA詳細規(guī)定了商業(yè)網(wǎng)站和在線服務（包括移動應用程序）的運營商的義務以及兒童家長的權(quán)利。在運營商方面應該制定隱私政策、通知并征得兒童父母的可驗證的同意、應父母要求終止向兒童提供服務等。在兒童家長權(quán)利方面對應的有審查權(quán)、刪除權(quán)、拒絕收集及使用權(quán)等。

此外根據(jù)《FTC法》第五條，F(xiàn)TC負有禁止市場不公平與欺詐性的商業(yè)活動的職責。在近年來的隱私執(zhí)法中，F(xiàn)TC對第五條進行了充分的援引和解釋，在特定案件中“被認為是具有誤導性或欺騙性的行為包括錯誤的口頭或書面表述，誤導性的報價，未經(jīng)充分披露而出售有風險或是系統(tǒng)缺陷的產(chǎn)品，未披露傳銷信息，使用引誘和轉(zhuǎn)換的方法，未履行所承諾的服務，未實現(xiàn)擔保義務?！倍急徽J為是違反了第五條條款規(guī)定。

3　案情解讀

3.1　偉易達的“Kid Connect”應用程序是“針對兒童的在線服務”

根據(jù)FTC的調(diào)查，偉易達公司通過便攜式互聯(lián)網(wǎng)電子設(shè)備（“電子學習產(chǎn)品”或“ELPs”）、各種網(wǎng)站、應用程序和在線平臺向家長和兒童提供教育產(chǎn)品。該公司的移動應用程序之一“KidConnect”可以用于公司的便攜式ELP設(shè)備上，與其他使用“KidConnect”應用程序的兒童或與下載成人版APP的成年人進行交流。FTC稱“KidConnect”應用程序是COPPA下的“針對兒童的在線服務”，雖然兒童家長首先需要為兒童建立一個“Kid Connect”賬戶，并授權(quán)兒童同賬戶上的聯(lián)系人交流，但偉易達還沒有一個機制來驗證注冊賬戶的用戶是父母而非兒童，并且偉易達由于收集了兒童的出生年月，實際知曉兒童使用其在線服務。

3.2　偉易達在收集信息時未遵守通知義務和同意要求

偉易達通過“Kid Connect”應用程序收集了13歲以下兒童的個人信息，其中包括：“向共享電子公告板發(fā)送短信或信息的內(nèi)容，可用于與兒童聯(lián)系的兒童用戶名，以及包含兒童圖像或聲音的照片和音頻文件及與可識別兒童的信息相結(jié)合的其他信息?！钡谑占^程中偉易達違反了COPPA規(guī)則的通知義務和同意要求，包括：

（1）未能在其網(wǎng)站或在線服務上履行有關(guān)兒童個人信息的通知義務違反了COPPA規(guī)則第312.4（d）條。

（2）未履行直接通知家長有關(guān)兒童的信息做法違反規(guī)則第312.4（b）和（c）條。

（3）在收集或使用兒童的個人信息之前未取得可驗證的兒童父母同意，違反了規(guī)則第312.5條。

因此，F(xiàn)TC聲稱偉易達違反了FTC的COPPA規(guī)則。

3.3　偉易達未采取合理的數(shù)據(jù)安全保護措施

FTC還指控偉易達未能按照COPPA規(guī)則的第312.8條的要求，建立和保持合理的數(shù)據(jù)安全措施以保護收集到的信息。由于上述的安全缺陷，2015年11月在一次數(shù)據(jù)泄露事件中，偉易達近500萬用戶數(shù)據(jù)遭黑客竊取，并被訪問了兒童的個人信息，當時偉易達數(shù)據(jù)泄露事件被添加到Have IBeen Pwned（知名的泄露信息監(jiān)測網(wǎng)站）上，就泄露的信息數(shù)量而言成為該網(wǎng)站史上第四大數(shù)據(jù)泄露事件。FTC指出該公司未能開發(fā)、實施或維護全面的信息安全計劃；實施足夠的安保措施，從測試環(huán)境中分離和保護偉易達的實時網(wǎng)站環(huán)境；采取預防、檢測系統(tǒng)及類似的保護措施，以提醒偉易達可能有人未經(jīng)授權(quán)訪問其計算機網(wǎng)絡；采取監(jiān)控措施，防止偉易達網(wǎng)絡范圍內(nèi)有人未經(jīng)授權(quán)企圖滲透消費者的個人信息；完成對可能被利用的環(huán)境的漏洞和滲透測試，以防止未經(jīng)授權(quán)訪問收集用戶的個人信息；對員工進行合理的數(shù)據(jù)安全指導或培訓，保護用戶的個人信息。

雖然偉易達的隱私政策指出，“在大多數(shù)情況下，偉易達收集的信息將使用HTTPS加密技術(shù)被加密傳輸，以保護您的隱私?！钡珜嶋H上，偉易達并未加密從用戶處收集的個人信息。因此，偉易達對加密的陳述是虛假和誤導的，還構(gòu)成了《FTC法》第五條下的欺騙行為。

4　執(zhí)法實踐的啟示

4.1　在美開展兒童業(yè)務的中國企業(yè)應謹慎履行合規(guī)義務

FTC在其官網(wǎng)“遵守COPPA：常見問題”中明確指出，如果外國網(wǎng)站和在線服務針對美國兒童，或者他們知情地收集美國兒童的個人信息，則必須遵守COPPA。FTC代理主席Maureen K.Ohlhausen也表示，“當聯(lián)網(wǎng)玩具越來越普遍，公司應讓父母知道如何收集和使用他們孩子的數(shù)據(jù)，并采取合理措施來保護這些數(shù)據(jù)”。如若存在違規(guī)行為，日常執(zhí)法實踐中FTC會對相關(guān)企業(yè)處以高額的民事處罰。

隨著經(jīng)濟全球化的發(fā)展，線上線下進入美國市場的中國公司數(shù)量在逐步增多，為此應當吸取本案中偉易達的教訓，加強企業(yè)合規(guī)義務，尤其是會為美國兒童提供在線服務的中國公司應當嚴格遵守COPPA規(guī)則，對標“遵守COPPA：常見問題”及“COPPA規(guī)則：公司6步合規(guī)計劃”對以下事項逐條進行核查：

（1）確定公司是否借由網(wǎng)站或在線服務（包括移動應用程序，聯(lián)網(wǎng)設(shè)備和其他在線服務）從13歲以下的兒童處收集個人信息。

（2）發(fā)布符合COPPA及FTC的COPPA規(guī)則的隱私政策。

（3）在收集13歲以下子女的個人信息之前，按照COPPA和FTC的COPPA規(guī)則的要求直接通知家長。

（4）在收集兒童的個人信息之前，征得父母的可驗證的同意。

（5）尊重父母對收集兒童的個人信息的持續(xù)性權(quán)利。

（6）實施合理措施，保護兒童個人信息的安全。

4.2　隱私監(jiān)管機構(gòu)的執(zhí)法合作日益增多，我國亟待建立統(tǒng)一監(jiān)管機構(gòu)加強國際協(xié)作

國際隱私監(jiān)管機構(gòu)越來越多地在調(diào)查和執(zhí)法舉措方面進行合作。本案中的偉易達也涉及到了加拿大兒童的個人信息泄露問題，在本案的處理過程中FTC根據(jù)《美國安全網(wǎng)法》（U.S.SAFEWEBActof2006）與加拿大隱私專員辦公室（Office of the Privacy CommissionerofCanada，OPC）共享信息并協(xié)調(diào)執(zhí)行。OPC方面也稱與FTC交換了信息和分析，同時因偉易達已經(jīng)和FTC達成了有約束力的承諾，并已采取足夠及時的事后措施，OPC僅于2018年1月8號發(fā)布了調(diào)查結(jié)果報告。OPC還表示，其亦曾與偉易達總部設(shè)在中國香港的個人資料私隱專員公署合作，顯示了國際隱私監(jiān)管機構(gòu)在調(diào)查及執(zhí)法工作方面的相互協(xié)調(diào)配合。

信息和數(shù)據(jù)具有天然的流動性，互聯(lián)網(wǎng)又存在一網(wǎng)接入全網(wǎng)接通的特點。全世界的用戶也越來越多地與全球化運營的公司提供其個人信息從而使用相關(guān)服務。目前，全球超過90個國家和地區(qū)依法成立或設(shè)立了專門的個人信息保護/隱私監(jiān)管機構(gòu)，各國合作開展個人隱私和數(shù)據(jù)保護的執(zhí)法也是當前的大勢所趨。然而，我國個人信息保護和管理工作主要由各行業(yè)主管機構(gòu)負責，采取分散的保護機制，難以與同類型國外隱私執(zhí)法監(jiān)管機構(gòu)有效對接，長遠來看我國亟待建立統(tǒng)一專門的個人信息保護監(jiān)督管理機構(gòu)積極參與國際合作。

4.3　數(shù)據(jù)泄露安全事件頻發(fā)引人擔憂，探索完善相關(guān)制度迫在眉睫

本案中偉易達應存在密碼保護薄弱等問題，數(shù)百萬的用戶數(shù)據(jù)曾被泄露遭到多國執(zhí)法部門的調(diào)查，此次危機事件無疑反映了偉易達在安全防護方面的嚴重疏忽。近些年來，國內(nèi)外數(shù)據(jù)泄露事件層出不窮，安全威脅與日俱增，從此前全世界最大的婚外情交友網(wǎng)站Ashley Madison.com導致3600萬的用戶資料發(fā)生泄漏，到近期影響5000萬用戶的Facebook數(shù)據(jù)泄露事件，可以說大規(guī)模數(shù)據(jù)泄露時代已經(jīng)來臨。

本案的發(fā)生地美國是第一個立法提出數(shù)據(jù)泄露通知義務的國家，當前全球范圍內(nèi)已有超過30個國家和地區(qū)規(guī)定了強制性數(shù)據(jù)泄露通知義務。我國也在《網(wǎng)絡安全法》中明確了數(shù)據(jù)泄露通知制度，但是跟歐美國家相比，對于泄露通知的對象、事件、內(nèi)容及補救措施等具體制度要件規(guī)定仍不明確，為此我國當前應當借鑒國外相關(guān)經(jīng)驗，細化確定數(shù)據(jù)泄露事件通知的具體規(guī)則，加快探索建立數(shù)據(jù)泄露通知的長效保障機制切實強化企業(yè)的責任意識，保障公民的信息安全。

4.4　借鑒經(jīng)驗加強未成年人的網(wǎng)絡隱私保護，呼吁專門立法盡快出臺

我國目前沒有一部專門保護未成年人網(wǎng)絡隱私的法律，美國的COPPA作為第一部關(guān)于兒童在線隱私保護的立法，其先進做法可供借鑒參考。COPPA里核心的要求主要是在收集13歲以下兒童的個人信息之前取得家長的可驗證同意，此外設(shè)定了一些企業(yè)義務及規(guī)定了家長權(quán)利。我國去年公布的《未成年人網(wǎng)絡保護條例（送審稿）》中第十六條至第十八條、三十一條同樣強化了未成人網(wǎng)絡隱私保護，其規(guī)定了通過網(wǎng)絡收集、使用未成年人個人信息應當遵循合法、正當、必要的原則，在醒目位置標注警示標示的通知義務，及需征得未成年人或其監(jiān)護人同意的條款，還賦予了未成年人或其監(jiān)護人的刪除權(quán)及施加了網(wǎng)絡信息服務提供者在提供信息搜索服務時不得對未成年人個人信息披露的義務。以上的條款在立足國情的基礎(chǔ)上充分吸收了域外的立法經(jīng)驗，同時與COPPA相比，《條例（送審稿）》針對18歲以下未成年人，有利保障各階段未成人網(wǎng)絡隱私。而在征得同意的方式上，《條例（送審稿）》并不必須獲得父母的可驗證同意，降低了網(wǎng)絡運營者保護隱私的成本及政府部門的監(jiān)管難度，提高了可操作性，以上規(guī)定兼顧了未成年人網(wǎng)絡隱私與產(chǎn)業(yè)發(fā)展利益之間的平衡。

當前技術(shù)進步和產(chǎn)業(yè)發(fā)展提速推動未成年人觸網(wǎng)更加普遍，網(wǎng)絡空間安全威脅和風險也日益突出，中國的未成年人上網(wǎng)隱私保護亟待加強。呼吁《未成年人網(wǎng)絡保護條例》盡快出臺，促進形成更完善的信息網(wǎng)絡安全保障體系，強有力保障未成年人網(wǎng)絡隱私安全。