Geef om COPPA-naleving is misschien niet de coolste Xbox-gamertag, maar een FTC-actie tegen Microsoft wegens vermeende schendingen van de Children’s Online Privacy Protection Act Rule suggereert dat het toch een goede keuze zou kunnen zijn. Ingediend door het ministerie van Justitie namens de FTC: de voorgestelde schikking van $ 20 miljoen zal Microsoft verplichten de privacybescherming te versterken voor kinderen die het Xbox-spelsysteem gebruiken. De volgorde maakt ook duidelijk dat COPPA informatie zoals avatars omvat gegenereerd op basis van een kinderafbeelding, biometrische gegevensen gezondheidsgegevens verzameld samen met andere persoonlijke informatie – en herinnert bedrijven eraan dat de regel strikte beperkingen oplegt aan het bewaren van gegevens van kinderen.
Microsoft’s Xbox Live wordt gebruikt door miljoenen gamers (van wie velen jonger dan 13 jaar) en is een online gamingnetwerk waarmee mensen kunnen spelen via hun Xbox-consoles. De actie van de FTC richt zich op drie manieren waarop Microsoft naar verluidt inbreuk heeft gemaakt COPPA: 1) door persoonlijke informatie te verzamelen van kinderen onder de 13 jaar voordat ze hun ouders op de hoogte stellen en toestemming van de ouders krijgen; 2) door ouders niet te vertellen over de informatie die het bedrijf van kinderen verzamelt, waarom het die informatie verzamelt en het feit dat het een deel van de gegevens aan derden bekendmaakt; en 3) door de persoonlijke gegevens van kinderen langer te bewaren dan redelijkerwijs noodzakelijk is.
Waar zegt de FTC dat Microsoft de fout heeft gemaakt? Je wilt de klacht voor details, maar het begon met de eerste aanmeldingsprocedure. Om te spelen hadden gebruikers een Microsoft-account nodig. Vanaf het begin eiste Microsoft dat ze hun e-mailadres, hun voor- en achternaam en hun geboortedatum moesten opgeven. Tot eind 2021 vroeg Microsoft ook om hun telefoonnummer. Bovendien eiste Microsoft van hen dat ze instemden met de serviceovereenkomst van het bedrijf, die tot 2019 een vooraf aangevinkt vakje bevatte waarmee Microsoft hen promotionele berichten kon sturen en gebruikersgegevens met adverteerders kon delen. De volgorde van de gebeurtenissen is hier belangrijk omdat Microsoft om al die informatie vroeg, zelfs van gebruikers die het bedrijf net hadden verteld dat ze jonger waren dan 13 jaar. Pas nadat Microsoft de hele reeks persoonlijke gegevens van kinderen had verzameld, betrok Microsoft de ouders bij het proces. En dat is de kern van de bewering van de FTC dat het bedrijf de COPPA heeft geschonden.
Om ervoor te zorgen dat ouders – en niet bedrijven – controle hebben over de informatie die online van kinderen wordt verzameld, vereist COPPA twee verschillende vormen van kennisgeving. De klacht beweert dat Microsoft beide dwingende bepalingen niet heeft nageleefd. Onder Sectie 312.4(b) van de COPPA-regel – vaak de directe kennisgeving vereiste – een bedrijf moet ouders rechtstreeks op de hoogte stellen van zijn informatiepraktijken voor het verzamelt, gebruikt of openbaart persoonlijke informatie van kinderen. De FTC zegt dat Microsoft deze bepaling heeft geschonden door de namen van kinderen, e-mailadressen, En telefoonnummers vooraf en pas daarna heeft het bedrijf de ouders op de hoogte gebracht en om hun toestemming gevraagd.
Bovendien beweert de FTC dat de directe kennisgeving van Microsoft onvolledig was. In het bijzonder vertelde de kennisgeving de ouders niet dat er persoonlijke informatie zou worden verzameld die verder ging dan wat het kind al had verstrekt, bijvoorbeeld foto’s van kinderen, hun Xbox-gebruikers-ID en andere gegevens die het bedrijf met die ID combineerde. Nog een vermeende tekortkoming: Microsoft vertelde ouders simpelweg dat het informatie van kinderen verzamelde, deelde en gebruikte, maar stuurde ze vervolgens naar de Microsoft Privacyverklaring om te proberen de details zelf te achterhalen. De FTC zegt dat Microsoft had moeten doen om zijn praktijken ter plekke te beschrijven, in plaats van ouders weg te sturen voor wat neerkwam op een doe-het-zelf-boodschap.
Sectie 312.4(d) van de COPPA-regel – vaak de online kennisgeving bepaling – vereist (onder andere) dat bedrijven een prominente en duidelijk gelabelde link plaatsen naar een online privacyverklaring waarin hun informatiepraktijken worden uitgelegd “op elk deel van de website of online dienst waar persoonlijke informatie van kinderen wordt verzameld. De FTC zegt dat Microsoft ook niet aan deze bepaling heeft voldaan. Tot minstens 2019 besprak de vereiste privacyverklaring de praktijken van het bedrijf in het algemeen, maar bevatte niet wat COPPA vereist: de details over welke persoonlijke informatie het verzamelt van kinderen en de openbaarmakingspraktijken voor die informatie. Bovendien bevatte het geen verplichte uitleg over hoe ouders Microsoft kunnen vragen de persoonlijke gegevens van hun kind te verwijderen en in de toekomst te stoppen met het verzamelen ervan.
De FTC beweert dat Microsoft inbreuk heeft gemaakt door persoonlijke informatie te verzamelen van kinderen onder de 13 jaar voordat hun ouders erbij betrokken werden Sectie 312.5 van COPPA. Zoals die bepaling inzake ouderlijke toestemming stelt: “Een exploitant is verplicht om verifieerbare toestemming van de ouders te verkrijgen voordat persoonlijke informatie van kinderen wordt verzameld, gebruikt of openbaar gemaakt.” Bovendien hebben de tekortkomingen in de mededelingen van Microsoft deze overtreding nog verergerd. Anders gezegd: hoe kan de toestemming van ouders effectief zijn als Microsoft hen niet de informatie geeft die volgens COPPA noodzakelijk is voordat zij beslissen of zij al dan niet toestemming geven?
Volgens de klacht, Microsoft heeft ook de COPPA-vereisten voor het bewaren en verwijderen van gegevens geschonden. Volgens Sectie 312.10zullen bedrijven “persoonlijke informatie die online van een kind is verzameld, slechts zo lang bewaren als redelijkerwijs nodig is om het doel te bereiken waarvoor de informatie is verzameld.” Daarna moet het bedrijf de gegevens veilig verwijderen. Hier verzamelde Microsoft echter bepaalde persoonlijke gegevens van kinderen tijdens het accountregistratieproces, maar zelfs als de bedrijf uiteindelijk deed het niet krijgen ouderlijk toestemmingzegt de FTC dat fVan 2015 tot 2020 bewaarde Microsoft die gegevens – vaak jarenlang nadat het proces voor het aanmaken van een account nog niet was voltooid.
Naast de civielrechtelijke boetes en dwangmaatregelen van $20 miljoen die standaard zijn geworden in FTC COPPA-zaken, voorgestelde volgorde zal van Microsoft eisen dat het nieuwe bedrijfspraktijken implementeert om de privacybescherming voor Xbox-gebruikers onder de 13 jaar te verbeteren. Als ouders geen apart account voor hun kinderen hebben aangemaakt, moet Microsoft hen onder meer laten weten dat een afzonderlijk account standaard extra privacybescherming voor hun kind biedt. Het bedrijf moet ook een systeem onderhouden om binnen twee weken na de verzameldatum alle persoonlijke informatie die over kinderen is verzameld met het doel ouderlijke toestemming te verkrijgen, te verwijderen. tenzij de ouder binnen die termijn toestemming geeft. Bovendien moet Microsoft voldoen aan de COPPA-vereisten voor het verwijderen van datums door alle andere persoonlijke gegevens te verwijderen die van kinderen zijn verzameld nadat deze niet langer nodig zijn. En als Microsoft persoonlijke informatie over kinderen bekendmaakt aan uitgevers van videogames, moet Microsoft hen vertellen dat de gebruiker een kind is – een belangrijke bepaling die die uitgevers ervan op de hoogte zal stellen dat zij ook COPPA-bescherming op dat kind moeten toepassen.
Hier zijn enkele aanvullende punten die bedrijven uit de voorgestelde schikking.
De COPPA-dekking is uitgebreid. COPPA omvat niet alleen websites en apps. Het geldt ookij naar onlinediensten zoals Xbox. Als u deel uitmaakt van het gaming-ecosysteem, bent u dan op de hoogte van wat COPPA van uw bedrijf verwacht? De FTC heeft dat gedaan bronnen om u te helpen binnen de wet te blijven.
COPPA’s definitie van “persoonlijke informatie” is breed. De voorgestelde schikking met Microsoft herinnert bedrijven er sterk aan dat de term ‘persoonlijke informatie’ onder COPPA veel meer omvat dan alleen een naam of adres. Het omvat ook andere informatie over het kind of de ouders van het kind die online van het kind wordt verzameld – bijvoorbeeld zaken als avatars, biometrie, vitale functies en gezondheidsgegevenswanneer verzameld en gecombineerd met andere categorieën persoonlijke informatie zoals uiteengezet in de Regel. Met die nalevingswijzer in gedachten, moet u de informatie die u verzamelt eens nader bekijken. (Beschouw dit ook als een extra reden waarom u op de hoogte moet zijn van de recente ontwikkelingen van de FTC Beleidsverklaring over biometrische informatie.)
Let op wat anderen u vertellen over de informatiebronnen. Het is COPPA 101 dat de wet zowel websites als online diensten omvat die “gericht zijn op kinderen” En degenen met ‘actuele kennis’ hebben te maken met gegevens die zijn verzameld van kinderen onder de 13 jaar. Dus of uw bedrijf de informatie nu heeft verzameld of dat u de gegevens hebt ontvangen wetende dat iemand anders deze heeft verzameld van een kind onder de 13 jaar, de COPPA-buck stopt bij u. Volgens het voorgestelde bevel omvat dit ook de uitgevers van videogames die nu door Microsoft moeten worden geïnformeerd wanneer een gebruiker jonger dan 13 jaar is.
‘Default’, beste Brutus, zit niet in onze sterren, maar in onszelf. Een belangrijke conclusie is het belang van het ontwerpen van standaardinstellingen met COPPA-compliance in gedachten. Doorloop uw processen vanuit het perspectief van ouders en kinderen.
