沈　達(dá)　中國信息通信研究院互聯(lián)網(wǎng)法律研究中心工程師

1　引言

2018年1月8日，美國聯(lián)邦貿(mào)易委員會（Federal TradeCommission，F(xiàn)TC）同總部位于中國香港的智能玩具制造商偉易達(dá)（VTech）及其美國子公司達(dá)成和解協(xié)議。FTC指控該公司涉嫌違反《兒童在線隱私保護(hù)法》（Children’s Online Privacy Protection Act of 1998，COPPA）及《聯(lián)邦貿(mào)易委員會法》（Federal Trade CommissionAct，以下簡稱《FTC法》）第五條，收集了大量兒童的個人信息，但未履行充分的通知義務(wù)、取得兒童父母的可驗(yàn)證同意，同時該公司也沒有使用合理的數(shù)據(jù)安全措施來保護(hù)收集到的信息。根據(jù)協(xié)議，偉易達(dá)將支付65萬美元的民事罰款；實(shí)施全面的數(shù)據(jù)安全方案，于未來20年內(nèi)每隔一年進(jìn)行一次獨(dú)立的第三方審查，并遵守記錄和報告要求；遵守《兒童在線隱私保護(hù)法》。本案是FTC發(fā)起的第一例涉及聯(lián)網(wǎng)玩具的侵犯兒童隱私案。

2　涉及的法律規(guī)則

美國較早就意識到對未成年人上網(wǎng)安全的保護(hù)，通過立法的形式對兒童網(wǎng)絡(luò)活動加以保護(hù)，出臺了專門的兒童網(wǎng)絡(luò)保護(hù)立法，形成了比較完善的未成年人網(wǎng)絡(luò)保護(hù)體系。在美國隱私立法中，對于個人信息的收集使用，出于對產(chǎn)業(yè)發(fā)展的平衡考慮，通常是采用了默示同意的原則，除非權(quán)利人明確反對，企業(yè)可以收集使用，然而美國針對兒童的個人信息是采取了特殊保護(hù)的模式同一般的個人信息加以區(qū)分。美國既制定了《兒童在線保護(hù)法》（Child Online Protection Act，COPA）、《兒童在線隱私保護(hù)法》、《兒童互聯(lián)網(wǎng)絡(luò)保護(hù)法》（Children’s InternetProtectionAct，CIPA）等專門的兒童網(wǎng)絡(luò)保護(hù)立法，也在《FTC法》等相關(guān)立法中進(jìn)行了規(guī)定或者可援引相關(guān)內(nèi)容施加相關(guān)企業(yè)對兒童的隱私的保護(hù)義務(wù)。除了相關(guān)立法之外，F(xiàn)TC為了切實(shí)保護(hù)兒童隱私還提出了行業(yè)自律與立法相結(jié)合的安全港模式（SafeHarbor），即相關(guān)的行業(yè)組織可以來創(chuàng)設(shè)跟兒童隱私相關(guān)的行業(yè)自律規(guī)范性文件，規(guī)范需包含有獨(dú)立監(jiān)管或者懲戒的程序，需要提交給FTC公開征求公眾意見并批準(zhǔn)，同時該規(guī)范也有一定約束力，商業(yè)網(wǎng)站和在線服務(wù)（包括移動應(yīng)用程序）的運(yùn)營商只要遵守了行業(yè)自律規(guī)范，就被認(rèn)為遵守了COPPA。本案中對FTC對偉易達(dá)的執(zhí)法實(shí)踐主要涉及到了FTC的COPPA規(guī)則及《FTC法》第五條。

FTC的COPPA規(guī)則適用于針對13歲以下兒童收集、使用或披露兒童個人信息的商業(yè)網(wǎng)站和在線服務(wù)（包括移動應(yīng)用程序）的運(yùn)營商。它也適用于實(shí)際知道自身從13歲以下的兒童收集個人信息的網(wǎng)站和在線服務(wù)?！皞€人信息”在規(guī)則中被廣泛地定義，包括直接識別個人的信息，例如姓名、地址、電話號碼等，與兒童相關(guān)的其他信息，諸如用戶名，包含兒童聲音的音頻，包含兒童圖像的照片或視頻，以及能夠與個人相對應(yīng)識別的其他標(biāo)識符，如Cookie ID，設(shè)備ID或IP地址等。COPPA詳細(xì)規(guī)定了商業(yè)網(wǎng)站和在線服務(wù)（包括移動應(yīng)用程序）的運(yùn)營商的義務(wù)以及兒童家長的權(quán)利。在運(yùn)營商方面應(yīng)該制定隱私政策、通知并征得兒童父母的可驗(yàn)證的同意、應(yīng)父母要求終止向兒童提供服務(wù)等。在兒童家長權(quán)利方面對應(yīng)的有審查權(quán)、刪除權(quán)、拒絕收集及使用權(quán)等。

此外根據(jù)《FTC法》第五條，F(xiàn)TC負(fù)有禁止市場不公平與欺詐性的商業(yè)活動的職責(zé)。在近年來的隱私執(zhí)法中，F(xiàn)TC對第五條進(jìn)行了充分的援引和解釋，在特定案件中“被認(rèn)為是具有誤導(dǎo)性或欺騙性的行為包括錯誤的口頭或書面表述，誤導(dǎo)性的報價，未經(jīng)充分披露而出售有風(fēng)險或是系統(tǒng)缺陷的產(chǎn)品，未披露傳銷信息，使用引誘和轉(zhuǎn)換的方法，未履行所承諾的服務(wù)，未實(shí)現(xiàn)擔(dān)保義務(wù)。”都被認(rèn)為是違反了第五條條款規(guī)定。

3　案情解讀

3.1　偉易達(dá)的“Kid Connect”應(yīng)用程序是“針對兒童的在線服務(wù)”

根據(jù)FTC的調(diào)查，偉易達(dá)公司通過便攜式互聯(lián)網(wǎng)電子設(shè)備（“電子學(xué)習(xí)產(chǎn)品”或“ELPs”）、各種網(wǎng)站、應(yīng)用程序和在線平臺向家長和兒童提供教育產(chǎn)品。該公司的移動應(yīng)用程序之一“KidConnect”可以用于公司的便攜式ELP設(shè)備上，與其他使用“KidConnect”應(yīng)用程序的兒童或與下載成人版APP的成年人進(jìn)行交流。FTC稱“KidConnect”應(yīng)用程序是COPPA下的“針對兒童的在線服務(wù)”，雖然兒童家長首先需要為兒童建立一個“Kid Connect”賬戶，并授權(quán)兒童同賬戶上的聯(lián)系人交流，但偉易達(dá)還沒有一個機(jī)制來驗(yàn)證注冊賬戶的用戶是父母而非兒童，并且偉易達(dá)由于收集了兒童的出生年月，實(shí)際知曉兒童使用其在線服務(wù)。

3.2　偉易達(dá)在收集信息時未遵守通知義務(wù)和同意要求

偉易達(dá)通過“Kid Connect”應(yīng)用程序收集了13歲以下兒童的個人信息，其中包括：“向共享電子公告板發(fā)送短信或信息的內(nèi)容，可用于與兒童聯(lián)系的兒童用戶名，以及包含兒童圖像或聲音的照片和音頻文件及與可識別兒童的信息相結(jié)合的其他信息?！钡谑占^程中偉易達(dá)違反了COPPA規(guī)則的通知義務(wù)和同意要求，包括：

（1）未能在其網(wǎng)站或在線服務(wù)上履行有關(guān)兒童個人信息的通知義務(wù)違反了COPPA規(guī)則第312.4（d）條。

（2）未履行直接通知家長有關(guān)兒童的信息做法違反規(guī)則第312.4（b）和（c）條。

（3）在收集或使用兒童的個人信息之前未取得可驗(yàn)證的兒童父母同意，違反了規(guī)則第312.5條。

因此，F(xiàn)TC聲稱偉易達(dá)違反了FTC的COPPA規(guī)則。

3.3　偉易達(dá)未采取合理的數(shù)據(jù)安全保護(hù)措施

FTC還指控偉易達(dá)未能按照COPPA規(guī)則的第312.8條的要求，建立和保持合理的數(shù)據(jù)安全措施以保護(hù)收集到的信息。由于上述的安全缺陷，2015年11月在一次數(shù)據(jù)泄露事件中，偉易達(dá)近500萬用戶數(shù)據(jù)遭黑客竊取，并被訪問了兒童的個人信息，當(dāng)時偉易達(dá)數(shù)據(jù)泄露事件被添加到Have IBeen Pwned（知名的泄露信息監(jiān)測網(wǎng)站）上，就泄露的信息數(shù)量而言成為該網(wǎng)站史上第四大數(shù)據(jù)泄露事件。FTC指出該公司未能開發(fā)、實(shí)施或維護(hù)全面的信息安全計(jì)劃；實(shí)施足夠的安保措施，從測試環(huán)境中分離和保護(hù)偉易達(dá)的實(shí)時網(wǎng)站環(huán)境；采取預(yù)防、檢測系統(tǒng)及類似的保護(hù)措施，以提醒偉易達(dá)可能有人未經(jīng)授權(quán)訪問其計(jì)算機(jī)網(wǎng)絡(luò)；采取監(jiān)控措施，防止偉易達(dá)網(wǎng)絡(luò)范圍內(nèi)有人未經(jīng)授權(quán)企圖滲透消費(fèi)者的個人信息；完成對可能被利用的環(huán)境的漏洞和滲透測試，以防止未經(jīng)授權(quán)訪問收集用戶的個人信息；對員工進(jìn)行合理的數(shù)據(jù)安全指導(dǎo)或培訓(xùn)，保護(hù)用戶的個人信息。

雖然偉易達(dá)的隱私政策指出，“在大多數(shù)情況下，偉易達(dá)收集的信息將使用HTTPS加密技術(shù)被加密傳輸，以保護(hù)您的隱私?！钡珜?shí)際上，偉易達(dá)并未加密從用戶處收集的個人信息。因此，偉易達(dá)對加密的陳述是虛假和誤導(dǎo)的，還構(gòu)成了《FTC法》第五條下的欺騙行為。

4　執(zhí)法實(shí)踐的啟示

4.1　在美開展兒童業(yè)務(wù)的中國企業(yè)應(yīng)謹(jǐn)慎履行合規(guī)義務(wù)

FTC在其官網(wǎng)“遵守COPPA：常見問題”中明確指出，如果外國網(wǎng)站和在線服務(wù)針對美國兒童，或者他們知情地收集美國兒童的個人信息，則必須遵守COPPA。FTC代理主席Maureen K.Ohlhausen也表示，“當(dāng)聯(lián)網(wǎng)玩具越來越普遍，公司應(yīng)讓父母知道如何收集和使用他們孩子的數(shù)據(jù)，并采取合理措施來保護(hù)這些數(shù)據(jù)”。如若存在違規(guī)行為，日常執(zhí)法實(shí)踐中FTC會對相關(guān)企業(yè)處以高額的民事處罰。

隨著經(jīng)濟(jì)全球化的發(fā)展，線上線下進(jìn)入美國市場的中國公司數(shù)量在逐步增多，為此應(yīng)當(dāng)吸取本案中偉易達(dá)的教訓(xùn)，加強(qiáng)企業(yè)合規(guī)義務(wù)，尤其是會為美國兒童提供在線服務(wù)的中國公司應(yīng)當(dāng)嚴(yán)格遵守COPPA規(guī)則，對標(biāo)“遵守COPPA：常見問題”及“COPPA規(guī)則：公司6步合規(guī)計(jì)劃”對以下事項(xiàng)逐條進(jìn)行核查：

（1）確定公司是否借由網(wǎng)站或在線服務(wù)（包括移動應(yīng)用程序，聯(lián)網(wǎng)設(shè)備和其他在線服務(wù)）從13歲以下的兒童處收集個人信息。

（2）發(fā)布符合COPPA及FTC的COPPA規(guī)則的隱私政策。

（3）在收集13歲以下子女的個人信息之前，按照COPPA和FTC的COPPA規(guī)則的要求直接通知家長。

（4）在收集兒童的個人信息之前，征得父母的可驗(yàn)證的同意。

（5）尊重父母對收集兒童的個人信息的持續(xù)性權(quán)利。

（6）實(shí)施合理措施，保護(hù)兒童個人信息的安全。

4.2　隱私監(jiān)管機(jī)構(gòu)的執(zhí)法合作日益增多，我國亟待建立統(tǒng)一監(jiān)管機(jī)構(gòu)加強(qiáng)國際協(xié)作

國際隱私監(jiān)管機(jī)構(gòu)越來越多地在調(diào)查和執(zhí)法舉措方面進(jìn)行合作。本案中的偉易達(dá)也涉及到了加拿大兒童的個人信息泄露問題，在本案的處理過程中FTC根據(jù)《美國安全網(wǎng)法》（U.S.SAFEWEBActof2006）與加拿大隱私專員辦公室（Office of the Privacy CommissionerofCanada，OPC）共享信息并協(xié)調(diào)執(zhí)行。OPC方面也稱與FTC交換了信息和分析，同時因偉易達(dá)已經(jīng)和FTC達(dá)成了有約束力的承諾，并已采取足夠及時的事后措施，OPC僅于2018年1月8號發(fā)布了調(diào)查結(jié)果報告。OPC還表示，其亦曾與偉易達(dá)總部設(shè)在中國香港的個人資料私隱專員公署合作，顯示了國際隱私監(jiān)管機(jī)構(gòu)在調(diào)查及執(zhí)法工作方面的相互協(xié)調(diào)配合。

信息和數(shù)據(jù)具有天然的流動性，互聯(lián)網(wǎng)又存在一網(wǎng)接入全網(wǎng)接通的特點(diǎn)。全世界的用戶也越來越多地與全球化運(yùn)營的公司提供其個人信息從而使用相關(guān)服務(wù)。目前，全球超過90個國家和地區(qū)依法成立或設(shè)立了專門的個人信息保護(hù)/隱私監(jiān)管機(jī)構(gòu)，各國合作開展個人隱私和數(shù)據(jù)保護(hù)的執(zhí)法也是當(dāng)前的大勢所趨。然而，我國個人信息保護(hù)和管理工作主要由各行業(yè)主管機(jī)構(gòu)負(fù)責(zé)，采取分散的保護(hù)機(jī)制，難以與同類型國外隱私執(zhí)法監(jiān)管機(jī)構(gòu)有效對接，長遠(yuǎn)來看我國亟待建立統(tǒng)一專門的個人信息保護(hù)監(jiān)督管理機(jī)構(gòu)積極參與國際合作。

4.3　數(shù)據(jù)泄露安全事件頻發(fā)引人擔(dān)憂，探索完善相關(guān)制度迫在眉睫

本案中偉易達(dá)應(yīng)存在密碼保護(hù)薄弱等問題，數(shù)百萬的用戶數(shù)據(jù)曾被泄露遭到多國執(zhí)法部門的調(diào)查，此次危機(jī)事件無疑反映了偉易達(dá)在安全防護(hù)方面的嚴(yán)重疏忽。近些年來，國內(nèi)外數(shù)據(jù)泄露事件層出不窮，安全威脅與日俱增，從此前全世界最大的婚外情交友網(wǎng)站Ashley Madison.com導(dǎo)致3600萬的用戶資料發(fā)生泄漏，到近期影響5000萬用戶的Facebook數(shù)據(jù)泄露事件，可以說大規(guī)模數(shù)據(jù)泄露時代已經(jīng)來臨。

本案的發(fā)生地美國是第一個立法提出數(shù)據(jù)泄露通知義務(wù)的國家，當(dāng)前全球范圍內(nèi)已有超過30個國家和地區(qū)規(guī)定了強(qiáng)制性數(shù)據(jù)泄露通知義務(wù)。我國也在《網(wǎng)絡(luò)安全法》中明確了數(shù)據(jù)泄露通知制度，但是跟歐美國家相比，對于泄露通知的對象、事件、內(nèi)容及補(bǔ)救措施等具體制度要件規(guī)定仍不明確，為此我國當(dāng)前應(yīng)當(dāng)借鑒國外相關(guān)經(jīng)驗(yàn)，細(xì)化確定數(shù)據(jù)泄露事件通知的具體規(guī)則，加快探索建立數(shù)據(jù)泄露通知的長效保障機(jī)制切實(shí)強(qiáng)化企業(yè)的責(zé)任意識，保障公民的信息安全。

4.4　借鑒經(jīng)驗(yàn)加強(qiáng)未成年人的網(wǎng)絡(luò)隱私保護(hù)，呼吁專門立法盡快出臺

我國目前沒有一部專門保護(hù)未成年人網(wǎng)絡(luò)隱私的法律，美國的COPPA作為第一部關(guān)于兒童在線隱私保護(hù)的立法，其先進(jìn)做法可供借鑒參考。COPPA里核心的要求主要是在收集13歲以下兒童的個人信息之前取得家長的可驗(yàn)證同意，此外設(shè)定了一些企業(yè)義務(wù)及規(guī)定了家長權(quán)利。我國去年公布的《未成年人網(wǎng)絡(luò)保護(hù)條例（送審稿）》中第十六條至第十八條、三十一條同樣強(qiáng)化了未成人網(wǎng)絡(luò)隱私保護(hù)，其規(guī)定了通過網(wǎng)絡(luò)收集、使用未成年人個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，在醒目位置標(biāo)注警示標(biāo)示的通知義務(wù)，及需征得未成年人或其監(jiān)護(hù)人同意的條款，還賦予了未成年人或其監(jiān)護(hù)人的刪除權(quán)及施加了網(wǎng)絡(luò)信息服務(wù)提供者在提供信息搜索服務(wù)時不得對未成年人個人信息披露的義務(wù)。以上的條款在立足國情的基礎(chǔ)上充分吸收了域外的立法經(jīng)驗(yàn)，同時與COPPA相比，《條例（送審稿）》針對18歲以下未成年人，有利保障各階段未成人網(wǎng)絡(luò)隱私。而在征得同意的方式上，《條例（送審稿）》并不必須獲得父母的可驗(yàn)證同意，降低了網(wǎng)絡(luò)運(yùn)營者保護(hù)隱私的成本及政府部門的監(jiān)管難度，提高了可操作性，以上規(guī)定兼顧了未成年人網(wǎng)絡(luò)隱私與產(chǎn)業(yè)發(fā)展利益之間的平衡。

當(dāng)前技術(shù)進(jìn)步和產(chǎn)業(yè)發(fā)展提速推動未成年人觸網(wǎng)更加普遍，網(wǎng)絡(luò)空間安全威脅和風(fēng)險也日益突出，中國的未成年人上網(wǎng)隱私保護(hù)亟待加強(qiáng)。呼吁《未成年人網(wǎng)絡(luò)保護(hù)條例》盡快出臺，促進(jìn)形成更完善的信息網(wǎng)絡(luò)安全保障體系，強(qiáng)有力保障未成年人網(wǎng)絡(luò)隱私安全。