Houd rekening met COPPA-compliance is misschien niet de coolste Xbox-gamertag, maar een FTC-actie tegen Microsoft wegens vermeende schendingen van de Children’s Online Privacy Protection Act Rule suggereert dat het toch een goede keuze zou kunnen zijn. Ingediend door het ministerie van Justitie namens de FTC, de voorgestelde schikking van $ 20 miljoen zal eisen dat Microsoft de privacybescherming voor kinderen versterkt die zijn Xbox-spelsysteem gebruiken. De volgorde maakt ook duidelijk dat COPPA informatie zoals avatars omvat gegenereerd op basis van een kinderfoto, biometrische gegevensen gezondheidsgegevens verzameld samen met andere persoonlijke informatie – en herinnert bedrijven eraan dat de regel strikte beperkingen oplegt aan de opslag van gegevens van kinderen.
Microsoft’s Xbox Live wordt gebruikt door miljoenen gamers (waarvan velen jonger dan 13 jaar) en is een online gamingnetwerk waarmee mensen kunnen spelen via hun Xbox-consoles. FTC-actie richt zich op drie manieren zou Microsoft inbreuk hebben gemaakt COPPA: 1) door persoonlijke informatie te verzamelen van kinderen jonger dan 13 jaar voordat zij hun ouders hiervan op de hoogte stellen en toestemming van de ouders verkrijgen; 2) door ouders niet te vertellen over de informatie die het Bedrijf van kinderen verzamelt, waarom het die informatie verzamelt en het feit dat het sommige gegevens aan derden bekendmaakt; en 3) door de persoonlijke gegevens van kinderen langer te bewaren dan redelijkerwijs noodzakelijk is.
Waar zegt de FTC dat Microsoft de fout heeft gemaakt? Je zult willen lezen klacht voor details, maar het begon met de eerste aanmeldingsprocedure. Om te spelen moesten gebruikers een Microsoft-account hebben. Aanvankelijk eiste Microsoft dat ze hun e-mailadres, hun voor- en achternaam en hun geboortedatum moesten opgeven. Tot eind 2021 vroeg Microsoft ook om hun telefoonnummer. Bovendien eiste Microsoft van hen dat ze instemden met de serviceovereenkomst van het bedrijf, die tot 2019 een vooraf aangevinkt vakje bevatte waarmee Microsoft hen promotionele berichten kon sturen en gebruikersgegevens met adverteerders kon delen. De volgorde van de gebeurtenissen is hier belangrijk omdat Microsoft om al die informatie vroeg, zelfs van gebruikers die net aan het bedrijf hadden verteld dat ze jonger waren dan 13 jaar. Pas nadat Microsoft die hoeveelheid persoonlijke gegevens van kinderen had verzameld, betrok Microsoft de ouders bij het proces. En dat is de kern van de bewering van de FTC dat het bedrijf de COPPA heeft geschonden.
Om ervoor te zorgen dat ouders – en niet bedrijven – controle hebben over informatie die online van kinderen wordt verzameld, vereist COPPA twee verschillende vormen van kennisgeving. De klacht beweert dat Microsoft niet aan beide dwingende bepalingen heeft voldaan. Onder Sectie 312.4(b) van de COPPA-regel – vaak genoemd directe melding vereiste – een bedrijf moet ouders rechtstreeks op de hoogte stellen van zijn informatiepraktijken voor het verzamelt, gebruikt of openbaart persoonlijke informatie van kinderen. De FTC zegt dat Microsoft deze bepaling heeft geschonden door de namen van kinderen, e-mailadressen, En telefoonnummers van tevoren, en pas daarna heeft het bedrijf de ouders op de hoogte gebracht en om hun toestemming gevraagd.
Bovendien beweert de FTC dat de directe communicatie van Microsoft onvolledig was. In het bijzonder vertelde de kennisgeving de ouders niet dat er persoonlijke informatie zou worden verzameld die verder gaat dan wat het kind al had verstrekt, bijvoorbeeld kinderfoto’s, hun Xbox-gebruikers-ID en andere gegevens die het bedrijf met die ID combineerde. Nog een vermeend gebrek: Microsoft vertelde ouders eenvoudigweg dat het informatie van kinderen verzamelde, deelde en gebruikte, maar stuurde ze vervolgens naar de privacyverklaring van Microsoft om te proberen de details zelf te achterhalen. De FTC zegt dat Microsoft had moeten doen om zijn praktijken ter plekke te beschrijven, in plaats van ouders op pad te sturen met wat neerkomt op een doe-het-zelf-boodschap.
Sectie 312.4(d) van de COPPA-regel – vaak genoemd online melding bepaling – vereist (onder andere) dat bedrijven een prominente en duidelijk gelabelde link plaatsen naar een online privacyverklaring waarin hun informatiepraktijken worden uitgelegd “op elk gebied van de website of online dienst waar persoonlijke informatie van kinderen wordt verzameld. ” De FTC zegt dat Microsoft ook niet aan deze bepaling heeft voldaan. Tot minstens 2019 besprak de vereiste privacyverklaring de praktijken van het bedrijf in het algemeen, maar bevatte niet wat COPPA vereist: de details van welke persoonlijke informatie het van kinderen verzamelt en de openbaarmakingspraktijken voor die informatie. Ook bevatte het geen verplichte uitleg over hoe ouders Microsoft kunnen vragen de persoonlijke informatie van hun kind te verwijderen en in de toekomst te stoppen met het verzamelen ervan.
De FTC beweert dat Microsoft inbreuk heeft gemaakt op het verzamelen van persoonlijke informatie van kinderen onder de 13 jaar voordat hun ouders erbij betrokken werden Sectie 312.5 door COPPA. Zoals de bepaling inzake ouderlijke toestemming stelt: “Een exploitant is verplicht om verifieerbare ouderlijke toestemming te verkrijgen voorafgaand aan het verzamelen, gebruiken of openbaar maken van persoonlijke informatie van kinderen.” Bovendien hebben de tekortkomingen in de communicatie van Microsoft deze inbreuk verergerd. Anders gezegd: hoe kan ouderlijke toestemming effectief zijn als Microsoft hen niet de informatie geeft die volgens COPPA noodzakelijk is om te kunnen beslissen of zij al dan niet toestemming geven?
Volgens klacht, Microsoft heeft ook de COPPA-vereisten voor het bewaren en verwijderen van gegevens geschonden. Volgens Sectie 312.10bedrijven moeten “persoonlijke informatie die online van een kind is verzameld, slechts zo lang bewaren als redelijkerwijs nodig is om het doel te bereiken waarvoor de informatie is verzameld.” Hierna moet het bedrijf de gegevens veilig verwijderen. Hier heeft Microsoft echter verzameld bepaalde persoonlijke gegevens van kinderen tijdens het accountregistratieproces, maar toch het bedrijf uiteindelijk deed het niet krijgen ouders toestemmingDe FTC zegt dat fVan 2015 tot 2020 bewaarde Microsoft deze gegevens – vaak jarenlang nadat het proces voor het aanmaken van een account niet was voltooid.
Naast de 20 miljoen dollar aan civielrechtelijke boetes en dwangmaatregelen die standaard zijn geworden in FTC COPPA-zaken, voorgestelde volgorde zal van Microsoft eisen dat het nieuwe bedrijfspraktijken implementeert om de privacybescherming voor Xbox-gebruikers onder de 13 jaar te verbeteren. Als ouders geen afzonderlijk account voor hun kinderen hebben aangemaakt, moet Microsoft hen onder meer vertellen dat een afzonderlijk account standaard extra privacybescherming voor hun kind biedt. Het bedrijf moet ook een systeem onderhouden om binnen twee weken na de datum van verzameling alle persoonlijke informatie te verwijderen die van kinderen is verzameld met het doel ouderlijke toestemming te verkrijgen tenzij de ouder binnen deze termijn toestemming geeft. Bovendien moet Microsoft voldoen aan de COPPA-vereisten voor de verwijderingsdatum door alle andere persoonlijke gegevens te verwijderen die van kinderen zijn verzameld nadat deze niet langer nodig zijn. En als Microsoft persoonlijke informatie over kinderen bekendmaakt aan uitgevers van videogames, moet Microsoft hen vertellen dat de gebruiker een kind is – een belangrijke bepaling die die uitgevers zal waarschuwen om COPPA-beschermingen ook op dat kind toe te passen.
Hier zijn enkele aanvullende punten die bedrijven kunnen wegnemen voorgestelde schikking.
De COPPA-dekking is uitgebreid. COPPA omvat niet alleen websites en apps. De appd.w.z voor onlinediensten zoals Xbox. Als u deel uitmaakt van het gaming-ecosysteem, bent u dan op de hoogte van wat COPPA van uw bedrijf verwacht? De FTC heeft dat gedaan bronnen om u te helpen binnen de wet te blijven.
COPPA’s definitie van “persoonlijke informatie” is breed. De voorgestelde schikking met Microsoft herinnert bedrijven er scherp aan dat de term ‘persoonlijke informatie’ onder COPPA veel meer omvat dan alleen een naam of adres. Het omvat ook andere informatie over het kind of de ouders van het kind die online van het kind is verzameld – b.v. zaken als avatars, biometrie, vitale functies en gezondheidsgegevenswanneer deze worden verzameld en gecombineerd met andere categorieën persoonlijke informatie die in de regel zijn gespecificeerd. Met deze nalevingswijzer in gedachten moet u de informatie die u verzamelt eens nader bekijken. (Bedenk ook dat dit een andere reden is waarom u op de hoogte moet zijn van de laatste ontwikkelingen van de FTC Beleidsverklaring over biometrische informatie.)
Let op wat anderen u vertellen over de informatiebronnen. Het is COPPA 101 dat de wet zowel betrekking heeft op websites als onlinediensten die ‘gericht zijn op kinderen’ En degenen met “actuele kennis” houden zich bezig met gegevens die zijn verzameld van kinderen onder de 13 jaar. Dus of uw bedrijf de informatie nu heeft verzameld of dat u de gegevens hebt ontvangen wetende dat iemand anders deze heeft verzameld van een kind onder de 13 jaar, de COPPA-buck stopt bij u. Volgens het voorgestelde uitvoeringsbesluit omvat het ook uitgevers van videogames, die nu door Microsoft op de hoogte moeten worden gesteld wanneer een gebruiker jonger dan 13 jaar is.
‘Standaard’, beste Brutus, zit niet in onze sterren, maar in onszelf. Eén van de belangrijkste inzichten is het belang van het ontwerpen van standaardinstellingen met COPPA-compliance in gedachten. Doorloop uw processen vanuit het perspectief van ouders en kinderen.
