Bezorgd over COPPA-naleving is misschien niet de coolste Xbox-gamertag, maar de actie van de FTC tegen Microsoft wegens vermeende schendingen van de regels van de Children’s Online Privacy Protection Act suggereert dat dit een goede keuze zou kunnen zijn. Ingediend door het ministerie van Justitie namens de FTC, de voorgestelde schikking bedraagt $ 20 miljoen zou Microsoft verplichten de privacybescherming te verhogen voor kinderen die zijn Xbox-spelsystemen gebruiken. Dat volgorde verduidelijkte ook dat COPPA informatie zoals avatars omvat gegenereerd op basis van kindertekeningen, biometrische gegevensen gezondheidsgegevens samengevoegd met andere persoonlijke informatie – en herinnert bedrijven eraan dat de verordening strikte beperkingen oplegt aan de bewaring van gegevens van kinderen.
Microsoft Xbox Live wordt gebruikt door miljoenen gamers – van wie velen jonger zijn dan 13 jaar – en is een online gamingnetwerk waarmee mensen games kunnen spelen via hun Xbox-console. FTC-actie focus over drie manieren die Microsoft zou hebben geschonden KOPA: 1) door persoonlijke informatie te verzamelen van kinderen jonger dan 13 jaar voordat zij hun ouders op de hoogte stellen en toestemming van de ouders verkrijgen; 2) omdat ze de ouders niet hebben geïnformeerd over de informatie die het bedrijf van kinderen verzamelt, de redenen waarom het bedrijf die informatie verzamelt en het feit dat het bedrijf een deel van die gegevens openbaar maakt aan derden; en 3) door de persoonlijke gegevens van kinderen langer te bewaren dan nodig is.
Waar zegt de FTC dat Microsoft de fout heeft gemaakt? Je zult zeker willen lezen klacht voor details, maar het begint met de eerste registratieprocedure. Om te spelen hebben gebruikers een Microsoft-account nodig. Aanvankelijk eiste Microsoft dat ze hun e-mailadres, voor- en achternaam en geboortedatum moesten opgeven. Tot eind 2021 vroeg Microsoft ook om hun telefoonnummer. Bovendien eist Microsoft van hen dat ze akkoord gaan met een Enterprise Services Agreement, die tot 2019 een vooraf aangevinkt vakje bevatte waarmee Microsoft hen promotionele berichten kon sturen en gebruikersgegevens met adverteerders kon delen. De volgorde van gebeurtenissen is hier belangrijk omdat Microsoft al die informatie opvraagt, zelfs van gebruikers die het bedrijf zojuist hebben verteld dat ze jonger zijn dan 13 jaar. Pas nadat er enkele persoonlijke gegevens van kinderen zijn verzameld, betrekt Microsoft de ouders bij het proces. En dat is de kern van de beschuldiging van de FTC dat het bedrijf COPPA heeft geschonden.
Om ervoor te zorgen dat ouders – en niet bedrijven – controle hebben over de informatie die online van kinderen wordt verzameld, vereist COPPA twee verschillende vormen van kennisgeving. Dat klacht beweert dat Microsoft beide dwingende bepalingen niet heeft nageleefd. Onder Artikel 312.4(b) COPPA-regel – vaak genoemd directe melding vereiste – het bedrijf moet ouders rechtstreeks op de hoogte stellen van zijn informatiepraktijken voor het verzamelt, gebruikt of openbaart persoonlijke informatie van kinderen. De FTC zei dat Microsoft deze bepaling heeft geschonden door de namen van kinderen, e-mailadressen, En telefoonnummer eerst en pas daarna brengt het bedrijf de ouders op de hoogte en vraagt hun toestemming.
Bovendien beweerde de FTC dat de directe kennisgeving van Microsoft onvolledig was. In het bijzonder vertelt de kennisgeving ouders niet dat zij andere persoonlijke informatie zullen verzamelen dan die het kind heeft verstrekt – bijvoorbeeld de foto’s van het kind, hun Xbox-gebruikers-ID en andere gegevens die het bedrijf combineert met die ID. Nog een vermeende fout: Microsoft vertelt ouders alleen dat het informatie van kinderen verzamelt, deelt en gebruikt, maar stuurt ze vervolgens naar de Privacyverklaring van Microsoft om te proberen zelf de details te achterhalen. De FTC zegt dat Microsoft had moeten doen om zijn praktijken ter plekke uit te leggen, in plaats van ouders te laten doen wat eenvoudigweg een doe-het-zelf-taak is.
Sectie 312.4(d) COPPA-regel – vaak genoemd online melding bepaling – vereist (onder andere) dat bedrijven een prominente en duidelijk gelabelde link plaatsen naar een online privacyverklaring waarin hun informatiepraktijken worden uitgelegd “in elk deel van de website of online dienst waar persoonlijke informatie van kinderen wordt verzameld.” De FTC zei dat Microsoft ook niet aan deze bepalingen heeft voldaan. Tot ten minste 2019 hadden de vereiste privacyverklaringen betrekking op bedrijfspraktijken in het algemeen, maar hadden zij geen betrekking op wat COPPA vereist: details over persoonlijke informatie verzameld over kinderen en de praktijken voor het openbaar maken van die informatie. Bovendien bevat het geen verplichte uitleg over hoe ouders Microsoft kunnen vragen de persoonlijke gegevens van hun kind te verwijderen en in de toekomst te stoppen met het verzamelen ervan.
De FTC beweerde dat Microsoft een overtreding heeft begaan door persoonlijke informatie te verzamelen van kinderen onder de 13 jaar voordat hun ouders erbij betrokken waren Artikel 312.5 van COPPA. Zoals vermeld in de bepalingen inzake ouderlijke toestemming, “zijn exploitanten verplicht om verifieerbare ouderlijke toestemming te verkrijgen voorafgaand aan het verzamelen, gebruiken of openbaar maken van persoonlijke informatie van kinderen.” Bovendien hebben gebreken in de meldingen van Microsoft de inbreuk verergerd. Met andere woorden: hoe kan ouderlijke toestemming effectief zijn als Microsoft hen niet de informatie geeft die COPPA zegt nodig te hebben voordat ze beslissen of ze al dan niet toestemming geven?
Volgens klacht, Microsoft heeft ook de COPPA-vereisten voor het bewaren en verwijderen van gegevens geschonden. Volgens Artikel 312.10het bedrijf “bewaart persoonlijke informatie die online van een kind is verzameld, slechts zo lang als redelijkerwijs nodig is om het doel te bereiken waarvoor de informatie is verzameld.” Daarna moet het bedrijf de gegevens veilig verwijderen. Maar hier verzamelt Microsoft bepaalde persoonlijke gegevens van kinderen tijdens het accountregistratieproces, maar toch bedrijf uiteindelijk Nee krijgen ouder toestemmingDe FTC zei dat fvan 2015 tot 2020 bewaarde Microsoft die gegevens – vaak jarenlang nadat het proces voor het aanmaken van een account nog moest worden voltooid.
Naast de civielrechtelijke boetes en dwangmaatregelen van $20 miljoen die standaard zijn geworden in FTC COPPA-zaken, voorgestelde volgorde zal van Microsoft eisen dat het nieuwe bedrijfspraktijken implementeert om de privacybescherming voor Xbox-gebruikers jonger dan 13 jaar te verbeteren. Als ouders geen afzonderlijke accounts voor hun kinderen hebben aangemaakt, moet Microsoft hen onder meer laten weten dat afzonderlijke accounts standaard extra privacybescherming voor hun kinderen bieden. Bedrijven moeten ook een systeem onderhouden om binnen twee weken na de datum van verzameling alle persoonlijke informatie die van kinderen is verzameld met het doel ouderlijke toestemming te verkrijgen, te verwijderen. tenzij ouders binnen die termijn toestemming geven. Bovendien moet Microsoft voldoen aan de COPPA-vereisten voor de verwijderingsdatum door alle andere persoonlijke gegevens die van kinderen zijn verzameld, te verwijderen zodra deze niet langer nodig zijn. En als Microsoft persoonlijke informatie over kinderen bekendmaakt aan uitgevers van videogames, moet Microsoft hen ervan op de hoogte stellen dat hun gebruikers kinderen zijn – een belangrijke bepaling die die uitgevers ervan op de hoogte zou stellen dat zij ook COPPA-bescherming op die kinderen moeten toepassen.
Hier volgen enkele aanvullende punten waar bedrijven iets aan kunnen doen voorgestelde oplossing.
De reikwijdte van COPPA is zeer breed. COPPA omvat niet alleen websites en apps. Dat geldt ookdat is naar onlinediensten zoals Xbox. Als u deel uitmaakt van het gaming-ecosysteem, weet u dan wat COPPA van uw bedrijf vraagt? De FTC heeft dat gedaan bron om u te helpen binnen de wet te blijven.
COPPA’s definitie van “persoonlijke informatie” is zeer breed. De voorgestelde schikking met Microsoft herinnert bedrijven er sterk aan dat de term ‘persoonlijke informatie’ onder COPPA meer inhoudt dan alleen een naam of adres. Dit is ook inbegrepen andere informatie over het kind of de ouders van het kind die online van het kind is verzameld – bijvoorbeeld zaken als avatars, biometrie, vitale functies en gezondheidsgegevenswanneer deze worden verzameld en gecombineerd met andere categorieën persoonlijke informatie zoals uiteengezet in de Verordeningen. Met deze nalevingsrichtlijnen in gedachten moet u de informatie die u verzamelt eens nader bekijken. (Beschouw dit ook als een reden te meer waarom u het laatste nieuws over de FTC moet weten Beleidsverklaring over biometrische informatie.)
Let op wat anderen je vertellen over informatiebronnen. In overeenstemming met COPPA 101 heeft de wet betrekking op websites en onlinediensten die “gericht zijn op kinderen” En degenen met ‘actuele kennis’ houden zich bezig met gegevens verzameld van kinderen jonger dan 13 jaar. Dus of uw bedrijf de informatie nu heeft verzameld of dat u de gegevens hebt ontvangen in de wetenschap dat iemand anders deze verzamelde van kinderen onder de 13 jaar, de verantwoordelijkheden van COPPA eindigen niet bij u. Volgens het voorgestelde besluit zouden dit ook uitgevers van videogames omvatten die nu door Microsoft op de hoogte moeten worden gesteld wanneer gebruikers jonger dan 13 jaar oud zijn.
‘Standaard’, beste Brutus, niet tegen onze sterren, maar tegen onszelf. De belangrijkste conclusie is het belang van het ontwerpen van standaardinstellingen met COPPA-compliance in gedachten. Loop door jouw proces vanuit het perspectief van zowel ouders als kinderen.
