互联网产品出海美国在COPPA上的合规要点——从FTC v. Epic《堡垒之夜》违反COPPA一案解读

来源:网络法实务圈

文章摘要
本期内容 2022年12月,美国联邦贸易委员会(FTC)对著名游戏公司Epic Games提出两项指控,其核心内容分别为: 第一、Epic Games研发的游戏《堡垒之夜》违反美国儿童隐私保护法案(C
本期内容
2022年12月,美国联邦贸易委员会(FTC)对著名游戏公司Epic Games提出两项指控,其核心内容分别为:
第一、Epic Games研发的游戏《堡垒之夜》违反美国儿童隐私保护法案(COPPA)对儿童数据的保护要求;
第二、《堡垒之夜》中的界面部分设计,容易诱发玩家进行违反其真实意图的消费,即“暗黑模式”。
该两项指控彼此为独立案件,违反COPPA案由州政府向联邦地区法院提出起诉,而暗黑模式一案则已由FTC独立下达命令,对Epic进行处罚。
本文先就FTC指控Epic Games违反COPPA一案进行解读,以对互联网企业出海美国的COPPA合规要点进行提炼。随后将在《互联网产品出海美国在消费者保护层面的合规要点——从FTC指控Epic<堡垒之夜>构成暗黑模式一案解读》一文中另行分析暗黑模式层面的合规要点。
1. FTC指控Epic《堡垒之夜》违反COPPA一案基本事实
因该案最终由双方签署和解令结束,意味着被申请人对指控书中的内容既未肯定、也未否定。本文强调,该部分基本事实,仅基于FTC和美国司法部对Epic的指控书做出,应理解为FTC与美国司法部认定的“事实”。
(一)基本案情:
《堡垒之夜》(Fortnite)是Epic Games于2017年开发、发行的现象级游戏之一。该游戏采用免费下载、游戏内付费购买皮肤或装备等虚拟资产的商业模式。通过连动PSN、Xbox、NS、手机端、电脑端的账号,以及独特的互动玩法,截至2022年,堡垒之夜收获了约4亿玩家。
FTC经调查,认为《堡垒之夜》的用户中存在大量儿童(13周岁以下)。对此,Epic在儿童个人信息的收集和处理上,未遵循COPPA的一系列规则,违反了COPPA、COPPA 实施细则的规定。
同时,FTC认为《堡垒之夜》中默认开启语音和文本的实时通信功能,属于不公平的默认设定,违反了联邦贸易委员会法案(FTC ACT)相关条款。
据此,美国司法部与FTC共同向美国北卡罗莱纳东区联邦地区法院提起诉讼,要求Epic对于其违法行为停止侵权、矫正侵权行为、实施一系列持久性合规措施,同时承担损害赔偿2.75亿美元。
2022年12月,美国司法部、FTC以及Epic已经达成和解,并已将拟定的和解内容提交北卡罗莱纳东区地区法院。如获得法院签署,该项和解令将正式生效。
(二)美国司法部及FTC的主要主张:
1.《堡垒之夜》应遵循COPPA及COPPA 实施细则。
依照美国国会通过的《儿童在线隐私保护法》(COPPA)及FTC颁布的COPPA实施细则,主要对儿童的个人信息进行保护。其中,儿童的年龄被定义为13周岁以下。
根据游戏的题材、动画的使用、面向儿童的活动和语言、音乐内容等因素来看,《堡垒之夜》面向13周岁以下的儿童。例举如下:
(1)从《堡垒之夜》的玩法上看:其围绕射击生存的游戏玩法,并包含有建造和创造的机制。其中带有卡通图形、彩色动画、并在游戏内直播受儿童欢迎的名人的音乐会等;

(上图为堡垒之夜游戏截图)
(2)Epic与其他公司进行合作,以制作《堡垒之夜》品牌的服装、玩具、书籍、文具等。这些合作方主要为儿童产品厂商,具体包括孩之宝、Spirit Halloween,Jazwares、Moose Toys等。其广告渠道主要通过儿童电视频道(Cartoon Network、Nicklodeon等)或YouTube和Twich上的儿童视频广告。

(威理扬注:在孩之宝官网上以fortnite为检索词的检索结果,显示众多堡垒之夜品牌的的玩具枪)

(威理扬注:上图为2019年沃尔玛玩具目录摘录,依照该目录显示,堡垒之夜与漫威的玩具显示在同一页面,意味着其受众一致或高度重合)
(3)其他在先证据也表明有大量儿童在玩《堡垒之夜》。如2019年的一份调查报告结果显示有53%的10-12周岁的美国儿童每周玩《堡垒之夜》。
(4)对于《堡垒之夜》的玩家中包含大部分儿童的情况,Epic是明知的(has actual knowledge)。
具体可体现在Epic为争取微软和索尼与之合作时的陈述,强调了账户联合对儿童的影响。另外,Epic的内部沟通中也可以体现出其充分了解《堡垒之夜》的玩家包括大部分儿童的事实。
2.《堡垒之夜》对儿童个人信息的收集和处理违反了COPPA的相关规定。
(1) Epic没有就其对儿童个人信息的收集、使用和披露事宜向家长进行直接通知、没有向家长解释其从儿童处收集了什么信息、也没有在收集儿童个人信息之前征询父母的同意。
a.FTC和司法部主张,Epic对于采用家长控制模式和隐私保护一直持拖延态度。自游戏发行后两年,Epic未采取任何措施用以在收集儿童个人信息之前获得家长同意,或对家长解释其收集了什么信息、将如何处理儿童个人信息。
b.Epic在其隐私政策中明确否认其向儿童提供任何服务,也不会故意收集儿童的个人信息。
(2)Epic通过设计复杂流程,以提高家长查看或删除儿童个人信息的门槛。
当家长联系Epic要求查看或删除儿童个人信息、注销儿童账户时,Epic设定了复杂的流程来验证父母的身份。如提供玩游戏时的所有IP地址、账户创建日期、游戏购买地点、最后一次登录事件、原始Epic Games账户名称以及关联到其他主机端的账户。但是,即便父母可以提供这些信息,Epic也会要求其进一步提供更多信息,以增加流程的繁杂程度。
3.《堡垒之夜》中存在不公平的默认设定,违反联邦贸易委员会法案(FTC ACT)第5条规定。
(1)《堡垒之夜》中默认开启让儿童和青少年与陌生人在游戏中进行语音和文字实时互动的功能;
(2)曾有新闻报道:有人通过《堡垒之夜》结交儿童,并对其进行敲诈、勒索、胁迫,或分享色情图片、或组织线下会面;
(3)Epic内部已认识到这一功能的存在会带来风险;
(4)Epic在游戏中设置了退出实时语音互动的开关,但设置隐蔽,难以找到。并且Epic没有告知玩家这一设置的存在。
(三)FTC与Epic达成的和解内容:
1. Epic停止儿童处收集个人信息:
a.原则上不得未经直接通知父母而实际、使用或披露儿童的个人信息;
b.运营商原则上应醒目地披露其对儿童个人信息的处理方式;
c.在收集、使用、披露儿童个人信息之前,原则上应获得家长的明确同意;
d.如父母要求删除儿童个人信息的,应予以删除;
e.应仅在合理期限内对儿童的个人信息予以保存;
f.不得侵犯COPPA实施细则的其他要求。
2.Epic应对已经收集的儿童个人信息予以删除;
3.Epic承担对儿童和青少年的默认隐私设置进行调整:即原则上禁止披露儿童或青少年的个人信息,禁止让儿童或青少年披露其个人信息,禁止儿童或青少年与他人交谈或参与他人之间的交谈。
4.Epic承担实施强制的隐私计划:包括制定隐私项目书面内容、设置专人进行执行、内部评估和记录、内部修改和调整隐私计划等;
5.第三方进行隐私评估;
6.Epic应与第三方隐私评估员进行合作;
7.Epic需进行年度认证;
8.Epic承担罚金2.75亿美金;
9.Epic承担确认已知悉该命令;
10.Epic应提交合规报告;
11.建立记录:Epic应在和解令生效后10年内建立会计记录、人事记录等其他记录,并将每份记录保存5年。
12.FTC和美国司法局有权利对Epic执行本和解令的情况进行监控。
2. COPPA及COPPA实施细则的法律规定
1.立法过程:
在家用电脑联网兴盛的20世纪背景下,各类互联网上的行为逐渐深入儿童。为对儿童信息进行保护,美国国会于1998年颁布儿童在线隐私保护法案,即Children Online Privacy Protection Act,简称COPPA。COPPA全文仅八条,内容较原则化,主要规范内容体现在第3条中,即规制有关在互联网上收集和使用儿童个人信息的不公平和欺骗性的行为,不含对互联网内容不适宜儿童观看的规制。同时,该法案授权联邦贸易委员会(FTC)制定COPPA相关规定,以期细化。
随后,FTC制定了COPPA实施细则。该细则于2020年4月21日生效。2013年FTC对COPPA 实施细则的第一次修订生效,并发布了《企业六步合规计划》、《常见问题解答》等指导性文件。
2.COPPA实施细则主要内容
(1)COPPA实施细则共计13条,主要对COPPA中的规定的“有关在互联网上收集和使用儿童个人信息的不公平和欺骗性的行为”进行了细化规定。具体内容提炼如下:
A.保护对象
(§ 312.2 Definitions.Child):
重申了COPPA中规定的儿童为13周岁以下的个人;
B.义务主体(§312.2):
a.网站在美国的网络服务运营商,或虽在美国境外,但向美国儿童收集个人信息的运营者。包括直接提供网站服务的主体以及第三方SDK。
b.其向13周岁以下的儿童提供商业网站或线上服务,或其网络服务并非面向儿童,但“确实知道”其网站或线上服务正在收集或持有儿童个人信息的运营者。
C.运营者主要义务(§ 312.3):
a.明示规则:
针对儿童个人信息处理的行为,提供完整的在线通知。即运营商发布隐私政策;
b.可验证的父母同意:
在收集、使用、披露儿童信息之前,需要获得可验证的父母的同意;
c.监护人审查和拒绝的权利:
为监护人提供查询儿童个人信息的方式,并可拒绝运营商对儿童个人信息的进一步使用或保存;
d.合理必要:
不得以儿童参与游戏、提供奖品或其他活动为条件,要全球儿童披露超过参与此类活动所必要的个人信息;
e.保障数据安全:
保护儿童个人信息的机密性、安全性、完整性。
(2)此次FTC对Epic提出指控的理由,主要在于Epic违反了COPPA规定的下述运营商义务:
a.Epic没有向监护人提供在线通知,说明其收集的信息内容及处理方式等;
b.没有在收集、使用、披露儿童信息之前,获得可验证的监护人同意;
c.没有让监护人查询儿童个人信息。
3.COPPA合规难点:监护人的可验证核实的同意
监护人的可验证同意,意味着如何验证儿童和父母之间的身份和关系。在产品端应该如何设计?这个问题向来是儿童数据保护的合规难点。
对此,COPPA 实施细则明文规定了以下几种方式(§ 312.5):
A.监护人签署同意书并通过传真、邮件或电子扫描的方式发给运营商;
B.通过使用信用卡、借记卡或其他在线支付系统,向主账户持有人提供每笔离散交易的通知;
C.拨打由经过培训的人员接听的免费电话;
D.通过视频会议方式与经过培训的人联系;
E.将数据库信息与政府颁发的监护人身份证明核对以验证身份;
F.运营商不向第三方披露儿童个人信息的,可以使用电子邮件及附加步骤来保证提供同意的人是监护人。
上述的验证方式,无论企业选择实施哪一种,在落地时都需要考虑几个层面的问题:合规要求、产品的整改成本、用户体验,而这三者常常是此消彼长的关系,难免厚此薄彼。因此,在设计具体的落地方案时,异常考验律师对公司体力、产品设计和合规要求的理解力和平衡能力。
4.COPPA的执法机构:
COPPA在Sec 1305及1306中分别规定了各州政府及FTC的执法权限。具体为:
(1)各州政府:
a.可向联邦地区法院提起民事诉讼,以请求停止侵权、进行整改、损害赔偿等;
b.州检原则上应在起诉前将相关事项通知FTC。
(2)FTC:
可对诉讼中任何事项进行听证、提出起诉、进行执法、在一定期间内对整改情况进行审查。
3. 堡垒之夜的整改方式
如前所述,如何在合规要求、产品成本、用户体验三者之中找到平衡,一直是互联网产品落地合规的痛点。
(一)面对FTC和消费者的指控,截至2023年1月底,《堡垒之夜》游戏界面中对监护人同意的验证方式及产品页面逻辑流,粗略呈现如下:
Step 1:开启游戏后,要求玩家自行输入年龄,以此判断是否触发儿童保护模式。

Step 2:年龄小于13周岁的,Epic将要求玩家输入监护人邮箱。

Step3:Epic发送邮件到所输入的邮箱,以向监护人进行确认,获取相关权限的同意。


Step 4:Epic通过三种方式确认邮箱所有人是成年人,包括面部扫描、信用卡、身份证验证。

Step 5:Epic在确认邮件所有人是成年人的情况下,将发送如下确认信息。

Step 6:Epic向监护人发送PIN码,并告知其修改权限的方式。

(二)儿童玩家与陌生人之间的文本和语音实时互动功能,已设置为默认关闭

4. 其他相关案例
细数FTC及各州政府就违反COPPA在历史上曾发起的指控,可以发现,未遵循明示规则发布隐私政策以将儿童的数据处理情况告知监护人、未提供可验证的监护人同意、未响应监护人提出的审查和删除的要求,是被申请主体的常发现象,因此也成为其被指控的高频理由。以下就几个典型案件进行简述:
(一)USA v. Musial.ly(2019)
Musical.ly原为一家美国公司,后于2017年被某中国头部互联网厂商收购,并于2018年更名。Musical.ly APP为其运营的社交APP,商业模式为免费下载,APP内设置付费内容。用户可自行创建视频并于Musical.ly平台发布,同时与其他用户进行互动。
州政府代表FTC指控:Musical.ly APP的用户中包括大量13周岁以下的儿童。被申请人明知其用户中包括儿童,却未通知13周岁以下用户的父母有关该APP对儿童个人信息的收集和使用行为、未征得父母可验证的同意、并未提供删除账户的功能等。
双方最终于达成和解令,由被申请人进行整改,遵守一系列合规要求,并承担罚款570万美元。
(二)FTC v. Google and YouTube(2019)
YouTube 是Google的子公司之一,通过PC端及移动端提供视频分享平台服务。个人用户或企业用户可在YouTube上自建频道,上传并分享视频内容,并允许YouTube向其观众推送广告。在此过程中,YouTube收集了用户的Cookie或移动端广告识别符,用以追踪用户的在线行为,并精准投放广告。
州政府认为YouTube明知其用户中存在大量13周岁以下儿童,但却没有依照COPPA规定,在收集信息之前通知监护人并取得监护人可验证的同意。
双方最终达成和解,由被申请人进行整改,遵守一系列合规要求,并向FTC支付1.36亿美元作为罚款,向纽约州支付3400万美元作为损害赔偿和其他补偿。两者共计1.7亿美元。
(三)FTC v. Sony Music Entertainment(2008)
Sony Music运营有1100个音乐相关网站,在该等网站上,Sony Music要求用户提交生日、性别、邮政编码、国家、姓名等信息用以注册。
州政府及FTC认为,在这些网站中,从2004年起,索尼音乐收集了至少3万名13周岁以下儿童的个人信息,但却没有依照COPPA规定,在收集信息之前通知监护人、取得监护人可验证的同意、以及提供明示通知等。
双方最终达成和解,由被申请人进行整改,遵守一系列合规要求,并向FTC支付100万美元作为罚款。
5. 出海美国时在COPPA上的合规要点
由上可见,FTC和美国各州政府对于违反COPPA的指控及处罚,呈现活跃的状态。且整改成本大、处罚金额高、对企业的声誉亦有负面影响。
因此,中国互联网企业出海之时,应评估成本和风险,在产品端做好落地国合规。结合《六步合规计划》可例举如下几个方面:
1.确认在线网络服务是否收集13周岁以下儿童的信息;
2.发布隐私政策,对儿童个人信息处理的行为,提供完整的在线通知。且应保障承诺内容与实际处理相一致;
3.在收集儿童个人信息之前,应直接通知其监护人;
4.可验证的父母同意:在收集、使用、披露儿童信息之前,需要获得可验证的父母的同意;
5.尊重监护人对儿童个人信息的持续权利,为监护人提供审查和拒绝儿童个人信息处理的方式;
6.合理必要:不得以儿童参与游戏、提供奖品或其他活动为条件,要全球儿童披露超过参与此类活动所必要的个人信息;
7.保障数据安全:对儿童个人信息是否提供了加密措施和配套安全保障机制。
胡钊涵、杨辰对本文亦有贡献。
技术驱动法律,专业成就未来