2025 年 3 月 7 日,纽约州总检察长办公室宣布与社交应用 Saturn 的开发者 Saturn Technologies 达成和解,后者因未能有效保护未成年人隐私被处以 65 万美元罚款(约合人民币 470 万元),并需全面整改其隐私保护机制。这一案件不仅是纽约州近年来针对未成年人数据保护的标志性执法案例,更为全美科技企业敲响合规警钟,揭示出数字产品在未成年人保护领域的系统性风险与治理方向。
一、案件事实
Saturn 应用的定位为高中生社交平台,经常位列“下载量最多的社交网络应用”前十名,其核心功能包括共享同校课程日历、建立校园社群及实时位置追踪。然而调查发现,自 2021 年起,该公司逐步弱化用户身份验证体系:
- 验证流程的实质性瓦解 公司声称只有经过验证属于同一高中的学生才能使用该平台,调查发现, 2021 年起 Saturn 将原本强制性的学校邮箱验证改为“可选”,且未向用户披露这一关键变更。在 2021 至 2023 年间,超过 4000 所高中的验证功能被关闭,导致非本校人员可随意加入学校社群并获取学生日程、联系方式等敏感信息。
- 替代验证方法的严重缺陷 在取消邮箱验证后,公司采用“联系人列表匹配”(检查用户是否存在于其他成员的手机通讯录)和“单次好友确认”(被其他用户接受为好友)等非标准化方法确认用户身份。此类机制既无法确保用户真实校园身份,更可能通过社交关系链扩大数据泄露风险。
- 未成年人保护的多重漏洞 Saturn 未建立有效的年龄验证系统,直至 2023 年 8 月才引入出生日期验证;在用户关闭通讯录权限后仍保留数据副本,构成持续性侵权;未保留有关数据隐私、数据权限、用户验证和用户隐私的充分记录;利用学生大使推广平台但未向公众披露,同时未为学生大使提供任何关于遵守广告规则的培训或指导,构成欺诈。
纽约州总检察长办公室援引行政法(Executive Law)第 63(12)条和一般商业法(General Business Law, GBL)第 349 条,对 Saturn 公司进行调查并达成和解,和解条款要求Saturn 公司在2025 年 5 月 31 日前采取以下措施:
1. 为员工和非员工营销人员(如学生大使)创建营销培训计划,以确保遵守州和联邦的营销要求,包括FTC的代言指南。
2. 记录与用户身份验证、隐私、数据权限和数据隐私相关的任何政策、程序和代码变更,文档需包括详细的规划文件、变更日志和用户通知。
3. 用户不得访问非用户的信息,除非他们自己在应用中输入这些信息。
4. 允许用户撤销联系簿的访问权限,在用户删除帐户时删除联系簿数据,并在撤销访问权限后不再保留联系簿数据。
5. 对18岁以下的用户每六个月进行强制隐私审查、默认隐藏关联社交账户。
6. 每年必须创建并更新能证明其遵守以上要求对文档,以备审查。
同时,Saturn 公司将立即支付 20 万美元,并暂停支付 45 万美元,以确保其遵守和解条款。
二、合规启示
Saturn 案带来的合规启示聚焦与于身份验证机制和未成年隐私保护问题:第一,企业需构建有效的动态身份验证体系,确保身份核验的准确性与安全性,尤其是在涉及未成年用户时需更加严格,年龄验证与家长控制不可忽视;第二,企业应保持隐私设置更新内容的透明度,确保隐私承诺与实际产品功能/设置保持一致,对未成年人用户采取高隐私配置并定期强制审查,严格遵循最小必要原则,严格控制访问权限、删除不必要的数据,并持续维护数据隐私记录文档。
纽约州总检察长莱蒂西亚·詹姆斯近年连续发起针对 Meta、TikTok 等平台的未成年人保护诉讼,结合本案可窥见监管动向:跨州协作扩大化,42 个州联合推动社交媒体警示标签立法;暂缓罚款工具化,本案 45 万美元罚款暂缓执行,实质是以经济杠杆迫使企业持续投入合规建设,这一“柔性执法”模式可能被广泛效仿。
未成年人数据保护已从“道德倡议”升级为“生存红线”。企业若仅满足最低合规要求,将难以应对快速迭代的监管要求与用户期待。反之,那些将隐私保护嵌入产品基因、通过透明化设计赢得家庭信任的平台,将在教育科技、社交网络等赛道建立差异化优势,合规不再停留于技术或法律问题,更是重塑商业价值的战略选择。
