Besteed aandacht aan COPPA-compliance Het is misschien niet de coolste Xbox-gamertag, maar een FTC-actie tegen Microsoft wegens vermeende schendingen van de Children’s Online Privacy Protection Act Rule suggereert dat het nog steeds een goede keuze kan zijn. Ingediend door het ministerie van Justitie namens de FTC, de voorgestelde schikking van $ 20 miljoen zal Microsoft verplichten de privacybescherming te versterken voor kinderen die het Xbox-spelsysteem gebruiken. DE volgorde verduidelijkt ook dat COPPA informatie zoals avatars omvat gegenereerd op basis van de afbeelding van een kind, biometrische gegevensen gezondheidsgegevens verzameld samen met andere persoonlijke informatie – en herinnert bedrijven eraan dat de regel strikte beperkingen oplegt aan de bewaring van gegevens van minderjarigen.
Microsoft’s Xbox Live wordt gebruikt door miljoenen gamers, van wie velen jonger dan 13 jaar, en is een online gamingnetwerk waarmee mensen kunnen spelen via hun Xbox-consoles. De FTC-actie concentreert over drie manieren waarop Microsoft zou hebben gehackt BEKER: 1) het verzamelen van persoonlijke informatie van kinderen jonger dan 13 jaar voordat ouders hiervan op de hoogte worden gesteld en toestemming van de ouders wordt verkregen; 2) het nalaten ouders te vertellen welke informatie het bedrijf van kinderen verzamelt, waarom het die informatie verzamelt en of het bepaalde gegevens openbaar maakt aan derden; en 3) het langer bewaren van de persoonlijke gegevens van kinderen dan redelijkerwijs noodzakelijk is.
Waar zegt de FTC dat Microsoft de fout heeft gemaakt? Wij raden u aan de klacht voor details, maar het begon met het eerste registratieproces. Om te spelen hadden gebruikers een Microsoft-account nodig. Microsoft vroeg hen aanvankelijk om hun e-mailadres, voornaam, achternaam en geboortedatum op te geven. Tot eind 2021 vroeg Microsoft ook om hun telefoonnummer. Bovendien eiste Microsoft van hen dat ze de serviceovereenkomst van het bedrijf accepteerden, die tot 2019 een vooraf aangevinkt vakje bevatte waarmee Microsoft promotionele berichten kon sturen en gebruikersgegevens met adverteerders kon delen. De volgorde van de gebeurtenissen is in dit geval belangrijk omdat Microsoft al deze informatie vroeg, zelfs van gebruikers die zojuist bij het bedrijf hadden verklaard dat ze jonger waren dan 13 jaar. Pas nadat al die persoonlijke gegevens van kinderen waren verzameld, betrok Microsoft de ouders bij het proces. En dat is de kern van de beschuldiging van de FTC dat het bedrijf de COPPA heeft geschonden.
Om ervoor te zorgen dat ouders – en niet bedrijven – controle hebben over de informatie die online van kinderen wordt verzameld, vereist COPPA twee verschillende vormen van kennisgeving. DE klacht beweert dat Microsoft niet aan beide dwingende bepalingen heeft voldaan. Onder Sectie 312.4(b) van de COPPA-regel – vaak genoemd directe kennisgeving vereiste – een bedrijf moet ouders rechtstreeks op de hoogte stellen van zijn informatiepraktijken Voor verzamelt, gebruikt of openbaart persoonlijke informatie van kinderen. De FTC beweert dat Microsoft deze bepaling heeft geschonden door de namen van kinderen, e-mailadressen, EN telefoonnummers Het bedrijf heeft de ouders vooraf en pas achteraf geïnformeerd en om toestemming gevraagd.
Bovendien beweert de FTC dat de directe kennisgeving van Microsoft onvolledig was. In het bijzonder informeerde de kennisgeving ouders niet dat er persoonlijke informatie zou worden verzameld die verder ging dan wat het kind al had verstrekt, zoals foto’s van de kinderen, Xbox-gebruikers-ID’s en andere gegevens die het bedrijf met die ID had gecombineerd. Nog een vermeende tekortkoming: Microsoft vertelde ouders eenvoudigweg dat het gegevens van kinderen verzamelde, deelde en gebruikte, maar stuurde ze vervolgens naar het privacybeleid van Microsoft om te proberen de details zelf te achterhalen. De FTC zegt dat Microsoft had moeten doen wat ze destijds deden, in plaats van ouders op pad te sturen met wat neerkwam op een doe-het-zelf-opdracht.
Sectie 312.4(d) van de COPPA-regel – vaak genoemd online kennisgeving bepaling – vereist (onder andere) dat bedrijven een prominente en duidelijk gelabelde link plaatsen naar een online privacybeleid waarin hun informatiepraktijken worden uitgelegd “in elk gebied van de website of online dienst waar persoonlijke informatie van kinderen wordt verzameld. “De FTC zegt dat Microsoft ook niet aan deze bepaling heeft voldaan. Tot ten minste 2019 besprak het vereiste privacybeleid de praktijken van het bedrijf in het algemeen, maar omvatte niet wat COPPA vereist: details over welke persoonlijke informatie het van kinderen verzamelt en de openbaarmakingspraktijken voor die informatie. Het bevatte ook geen verplichte uitleg over hoe ouders Microsoft kunnen vragen de persoonlijke informatie van hun kinderen te verwijderen en in de toekomst te stoppen met het verzamelen ervan.
De FTC beweert dat Microsoft de wet heeft overtreden door persoonlijke informatie te verzamelen van kinderen onder de 13 jaar voordat hun ouders daarbij betrokken waren Sectie 312.5 van COPPA. Zoals de bepaling inzake ouderlijke toestemming stelt: “Een operator is verplicht om verifieerbare ouderlijke toestemming te verkrijgen voorafgaand aan het verzamelen, gebruiken of openbaar maken van persoonlijke gegevens van kinderen.” Bovendien hebben de tekortkomingen in de communicatie van Microsoft deze inbreuk verergerd. Met andere woorden: hoe kan ouderlijke toestemming effectief zijn als Microsoft hen niet de informatie verstrekt die COPPA noodzakelijk acht alvorens te beslissen of zij al dan niet toestemming geven?
Volgens de klacht, Microsoft heeft ook de COPPA-vereisten voor het bewaren en verwijderen van gegevens geschonden. Seconde Sectie 312.10bedrijven “zullen persoonlijke informatie die online van een kind is verzameld, slechts zo lang bewaren als redelijkerwijs nodig is om het doel te bereiken waarvoor de informatie is verzameld.” Vervolgens moet het bedrijf de gegevens veilig verwijderen. Hier heeft Microsoft echter de draad opgepakt enkele persoonlijke gegevens van kinderen tijdens het accountregistratieproces, maar ook als de bedrijf uiteindelijk Dat deed ik niet Verkrijgen ouderlijk toestemmingde FTC stelt dat fVan 2015 tot 2020 bewaarde Microsoft dergelijke gegevens, vaak jarenlang nadat het proces voor het aanmaken van een account nog niet was voltooid.
Naast de civielrechtelijke boete en voorlopige voorziening van $20 miljoen die standaard zijn geworden in de COPPA-zaken van de FTC, voorgestelde volgorde zal van Microsoft eisen dat het nieuwe bedrijfspraktijken implementeert om de privacybescherming voor Xbox-gebruikers onder de 13 jaar te verbeteren. Als ouders geen apart account voor hun kinderen hebben aangemaakt, zal Microsoft hen onder andere moeten laten weten dat een apart account standaard extra privacybescherming voor hun kinderen biedt. Het bedrijf moet ook een systeem onderhouden om binnen twee weken na de datum van verzameling alle persoonlijke informatie te verwijderen die van kinderen is verzameld met als doel ouderlijke toestemming te verkrijgen. tenzij de ouder binnen die termijn toestemming geeft. Bovendien moet Microsoft voldoen aan de verwijderingsvereisten van COPPA door alle andere persoonlijke gegevens die van kinderen zijn verzameld te verwijderen wanneer deze niet langer nodig zijn. En als Microsoft persoonlijke informatie over kinderen bekendmaakt aan uitgevers van videogames, moet het hen vertellen dat de gebruiker een kind is – een belangrijke bepaling die die uitgevers ervan op de hoogte zal stellen dat zij ook COPPA-bescherming op dat kind moeten toepassen.
Hier volgen enkele aanvullende punten waar bedrijven iets aan kunnen doen voorgestelde oplossing.
De dekking van COPPA is breed. COPPA omvat niet alleen websites en apps. Het is ook van toepassingJa naar onlinediensten zoals Xbox. Als u deel uitmaakt van het gaming-ecosysteem, bent u dan op de hoogte van wat COPPA van uw bedrijf verwacht? De FTC heeft dat gedaan bronnen om u te helpen binnen de wet te blijven.
COPPA’s definitie van “persoonlijke informatie” is breed. De voorgestelde schikking met Microsoft herinnert bedrijven er sterk aan dat de term ‘persoonlijke informatie’ onder COPPA veel meer omvat dan alleen een naam of adres. Bevat ook andere informatie over het kind of de ouders van het kind die online van het kind is verzameld – bijvoorbeeld zaken als avatars, biometrie, vitale functies en gezondheidsgegevenswanneer ze worden verzameld en gecombineerd met andere categorieën persoonsgegevens waarin de verordening voorziet. Met deze nalevingsindicator in gedachten moet u de informatie die u verzamelt eens nader bekijken. (Beschouw het ook als nog een reden waarom u op de hoogte moet zijn van recent FTC-nieuws Beleidsverklaring over biometrische informatie.)
Let op wat anderen je vertellen over informatiebronnen. Volgens COPPA 101 heeft de wet betrekking op zowel websites als onlinediensten “gericht op kinderen” EN degenen met “actuele kennis” hebben te maken met gegevens die zijn verzameld van kinderen onder de 13 jaar. Dus als uw bedrijf de informatie heeft verzameld of als u de gegevens hebt ontvangen wetende dat iemand anders deze heeft verzameld van een kind onder de 13 jaar, gaat de COPPA-dollar naar u. Volgens het voorgestelde besluit omvat dit ook uitgevers van videogames die nu door Microsoft op de hoogte moeten worden gesteld wanneer een gebruiker jonger dan 13 jaar is.
De ‘standaard’, beste Brutus, ligt niet in onze sterren, maar in onszelf. Een belangrijk aspect is het belang van het ontwerpen van standaardinstellingen met COPPA-compliance in gedachten. Verken jouw processen vanuit het perspectief van ouders en kinderen.
