加州人民网(The People of the State of California)向加州总检察长和洛杉矶市检察官提起了对 Tilting Point Media LLC (以下简称 "Tilting Point")的诉讼,指控其违反了《儿童在线隐私保护法》(Children's Online Privacy Protection Act, CoPPA)、《加州消费者隐私法案》(California Consumer Privacy Act, CCPA)以及《商业和职业法典》(Business & Professions Code)中有关不公平和欺骗性商业行为的法规,原因是 Tilting Point 的移动端免费游戏 SpongeBob: Krusty Cook-Off (以下简称"SpongeBob")未能获取父母的同意,也未向玩家提供“选择性”同意,就收集、披露、出售或共享儿童玩家的个人信息,并且还向儿童玩家发布与其年龄不符的广告。经过审理,2024 年 6 月 18 日,检察部门与 Tilting Point 达成了和解,对 Tilting Point 处以 50 万美元的民事罚款,并要求其遵守禁令条款,改正其违法行为以满足 CoPPA 和 CCPA 等法案的儿童隐私保护要求。
案件背景
Tilting Point 是一家游戏开发商,通过其移动端免费游戏中的广告和应用内购买获得收入。Tilting Point 的客户群体包括儿童,出于业务需要,Tilting Point 会收集、披露、出售和/或共享其客户的个人信息。
案涉游戏 SpongeBob 是 2020 年推出的手机游戏,其在苹果应用商店的游戏评级为“4 +”,在 Google Play 商店的评级为 "E"(适合所有人)。尽管 Tilting Point 的服务条款和隐私政策规定,未满 13 岁的消费者无权享用 Tilting Point 的服务,但是 SpongeBob 以儿童娱乐界最受喜爱的知名角色为原型,其背景音乐、游戏玩法和动画场景都更符合 13 岁以下儿童的喜好。因此,Tilting Point 实际知道有非常多儿童在玩这款手游。
2022 年 9 月,儿童广告审查部门("CARU")发布调查结果,称 Tilting Point 在 SpongeBob 应用程序方面违反了 COPPA 和 CARU 的《广告自律准则》以及《儿童在线隐私保护准则》。CARU 指出 Tilting Point 没能提供中立有效的年龄筛查(以限制收集、使用或披露 13 岁以下用户的个人信息),也未在收集、使用或披露任何儿童个人信息之前获得可核实的父母同意。CARU 还发现,Tilting Point 展示的广告使用了欺骗性策略,并展示了一些不适合儿童年龄的广告。Tilting Point 当时同意了进行整改。但是在加州总检察长和洛杉矶市检察官的联合调查中发现,Tilting Point 仍然存在上述违法行为。
具体来说,自 2020 年 SpongeBob 推出以来,Tilting Point 存在如下违法行为:
1)使用的年龄筛查没有以中立的方式询问年龄。例如,当 SpongeBob 首次被下载时,在用户选择生日界面的默认设置为 1953 年,13 岁以下的用户需要滚动 50 多个年份才能选择正确的出生年份。
2)在未征得父母同意的情况下,收集、披露、出售或共享自我认定为 13 岁以下的消费者的个人信息;在未征得消费者“选择性”(opt-in)同意的情况下,收集、披露、出售或共享自我认定为 13 岁以上 16 岁以下的消费者的个人信息,包括出于“个性化”广告目的向第三方披露。
3) SpongeBob 中错误配置了第三方提供的软件开发工具包 (SDK),导致在未征得家长同意或选择同意的情况下收集和披露了儿童的个人信息。
4)使用欺骗性广告,包括不提供退出广告选项、不标明是广告、绑架玩家下载其他应用程序等,且向儿童展示赌博和种植大麻的游戏等不适宜的广告。
因此,加州人民网向加州总检察长和洛杉矶市检察官起诉,请求对 Tilting Point 以违反 CoPPA、CCPA 和 UCL 进行罚款并勒令其改正上述违法行为。
执法分析
(一)明知但故意忽视消费者中含有不满 13 周岁的儿童
CoPPA 第 312.2 条规定儿童是指未满 13 周岁的自然人。
本案中,首先,SpongeBob 以儿童娱乐界最受喜爱的知名角色为原型,采用了吸引儿童的游戏主元素。其次,SpongeBob 在苹果应用商店的游戏评级为“4 +”,在 Google Play 商店的评级为 "E"(适合所有人),这意味着玩家中将包含大量不满 13 周岁或 13 至 16 周岁的未成年人,Tilting Point 不能通过在隐私政策中规定其产品不为 13 周岁以下儿童服务来否认这一客观事实,也不能因此证明其主观上不知道 SpongeBob 的玩家群体中存在儿童。再次,SpongeBob 在用户注册界面的年龄默认设置为 1953 年,这类游戏的用户群体主要是青少年和儿童,该默认设置对儿童选择正确年龄造成麻烦。因此,Tilting Point 存在阻挠儿童选择正确年龄,促使儿童假装其是一个成年人的故意。总的来说,不论是明面上的隐私政策还是默认的年龄设置,都说明 Tilting Point 明知但不愿为其儿童用户承担额外法律义务,因此想方设法创造一个不存在儿童用户的假象,以合法化其对儿童的故意忽视。
Tilting Point 对儿童用户刻意忽视,没有注重针对儿童用户进行合规的游戏设置,产生了如下违法情况:
(二)未能履行通知并取得父母同意或本人“选择性”同意的义务
CCPA 第 1798.100 条规定,企业在收集消费者信息前应通过网站主页等醒目清晰的方式,告知消费者收集信息的类别、收集或使用目的、是否出售或共享信息等内容。CoPPA 第 312.4 条规定,企业在收集、使用或披露儿童个人信息前,有义务提供通知并获得可验证的父母的同意。该通知必须清晰易懂、完整、不混淆、可以让父母直接接收。通知之后需要取得父母的明确同意或本人的“选择性”同意,企业才能收集、使用和出售儿童的个人信息,CCPA 第 1798.120 条 (c) 款和 CoPPA 第 312.5 条皆有明文。
本案中,Tilting Point 未能在 SpongeBob 的登录页面上,以及在 SpongeBob 收集儿童个人信息的每个区域中,张贴清晰的隐私政策链接,包括与儿童有关的个人信息惯例;没有设置通知未满 13 周岁儿童用户的父母和获取父母同意的功能;也没有为 13 至 16 周岁的用户提供选择按钮以获取其选择性同意。
监管机构指出,Tilting Point 销售和/或分享其实际知晓为儿童或至少 13 岁但未满 16 岁的消费者的个人信息时,应在收集此类个人信息时提供及时通知:(i) 向消费者提供简要信息,解释将收集哪些信息、目的以及是否会出售和/或分享信息,(ii) 链接到隐私政策的相关部分,以及 (iii) 符合以下规定:a. 针对儿童,应提供明确和清晰的通知,说明在出售和/或共享儿童个人信息之前,需要得到家长的 "选择性 "肯定授权;b. 针对 13 岁以上 16 岁以下的消费者,应提供明确和清晰的通知,说明在销售或共享其个人信息之前,必须获得该消费者的 "选择性 "肯定授权。
(三) SDK 未取得授权即非法收集、使用和披露儿童个人信息
CCPA 第 1798.120 条 (c) 款规定,如果企业实际知道消费者未满 16 岁,则企业不得出售或共享消费者的个人信息,除非消费者(对于年龄至少为 13 岁但未满 16 岁)或消费者的父母或监护人(对于年龄未满 13 岁)明确授权出售或共享消费者的个人信息。故意无视消费者年龄的企业应被视为实际知道消费者的年龄。
本案中,Tilting Point 使用的第三方提供的软件开发工具包 (SDK) 存在如下违规内容:
1)SDK 配置错误:Tilting Point 在 SpongeBob 应用中错误配置或安装了 SDK,导致无法根据消费者的年龄限制个人信息的收集、披露和使用。
2)未获取同意:即使消费者自我声明年龄在 16 岁以下并被引导至针对儿童的版本,由于 SDK 的错误配置,SpongeBob 应用在未获得家长同意或明确“选择加入”授权的情况下,仍然收集、披露、出售或分享这些消费者的个人信息。
3)缺乏审核:Tilting Point 在其移动应用中使用和配置 SDK 的过程中缺乏应有的审查和尽职调查,导致违反了 CCPA 关于儿童数据的规定。
监管机构指出,在通过 SDK 出售和/或共享消费者个人信息的情况下,Tilting Point 的隐私政策应就其 SDK 的使用向消费者提供清晰明确的通知,包括但不限于 SDK 类别的标识、通过 SDK 出售或共享的个人信息类别的标识,以及出售或共享个人信息的业务或商业目的。
(四)具有不公平和欺骗性的广告行为
《商业和职业法典》(Business & Professions Code)第 22580 条规定,针对未成年人的互联网网站、在线服务、在线应用程序或移动应用程序的运营商不得在其上营销或宣传以下产品或服务:酒精饮料;枪支;弹药;手枪安全证书;有损坏性的油漆喷雾;有损坏性的蚀刻膏;烟草;大麻;淫秽内容等等。该条中未成年人是指不满 18 周岁的自然人。CoPPA 第 312.7 条规定,禁止运营商以披露超出合理范围的个人信息作为儿童参与游戏、抽奖等活动的前提条件。
本案中,Tilting Point 向儿童展示的广告中包含赌博和种植大麻的游戏等内容,违反了第 22580 条的要求。不仅如此,Tilting Point 还存在不提供退出广告选项、不标明是广告、绑架玩家下载其他应用程序等不公平或欺骗的商业广告行为。检察部门在裁判中指出,Tilting Point 须确保在其任何网站或在线服务中显示的任何广告都是可合法面向儿童的,包括混合受众网站或在线服务(除非在混合受众网站或在线服务中,Tilting Point 根据本判决使用了中立的年龄筛查,且此类广告显示在专门为自我认定为 13 岁或以上的用户设计的应用程序版本或部分中),比如:
a. 向消费者表明是广告而非游戏的一部分;
b. 有一个醒目的 "X "或 "关闭 "按钮,允许消费者立即关闭广告,而无需采取点击以外的进一步行动;
c. 不操纵或欺骗消费者参与广告、下载或安装不必要的应用程序、进行非预期的购买或提供不必要的个人信息;
d. 不宣传儿童不能合法参与的活动或不能合法拥有的产品(如赌博、酒精、烟草或其他毒品)。
执法结果
2024 年 6 月 18 日,检察部门与 Tilting Point 达成了和解,对 Tilting Point 处以 50 万美元的民事罚款,并要求其遵守禁令条款,做到如下几点:
- SpongeBob 以及所有面向儿童的游戏都应符合 CCPA 和 COPPA 的儿童数据保护要求。
- 在收集、出售或共享儿童个人信息前,应通知消费者收集的信息种类、收集目的、是否出售或共享,并链接隐私政策,获取父母同意或消费者本人的“选择性”同意。
- 使用中立年龄筛查机制,便利于儿童准确录入其年龄。
- 适当配置第三方 SDK,并实施和维护 SDK 治理框架,审查 SDK 的使用和配置,以符合儿童数据保护法律。
- 遵守向未成年人展示广告的法律规定,尽量减少以投放广告为目的对儿童数据的收集和使用。
- 实施专项计划,评估和检测自身对裁判的遵守情况,包括向检察部门提交年度报告。
合规建议
在处理儿童个人信息和在线广告方面,企业必须采取一系列措施以确保合规性。首先,企业应严格遵守《儿童在线隐私保护法》(COPPA) 和《加州消费者隐私法案》(CCPA) 的要求,确保在收集 13 岁以下儿童个人信息前获得父母的可验证同意,并对 13 至 16 岁用户获得其本人的肯定性同意。此外,企业需制定明确和透明的隐私政策,并在网站的显眼位置提供链接,清晰告知信息收集的种类、目的及处理方式。同时,应实施中立有效的年龄筛查机制,确保儿童能准确输入其年龄,并避免设置默认年龄或诱导儿童虚报年龄。
进一步地,企业应合理管理和配置第三方软件开发工具包 (SDK),确保它们不会未经同意收集或共享儿童个人信息。保护儿童个人信息的安全性也是至关重要的,企业必须建立并维护合理的程序来保护收集的儿童个人信息的机密性、安全性和完整性。在广告实践方面,企业应确保所有广告内容适合儿童观看,不包含误导性或不适当的信息,同时提供明显的广告识别标志和退出选项。此外,应建立专项合规评估和监控程序,实施定期的自我检查和第三方评估,并向监管机构提交年度合规报告,展示企业的合规努力和成果。最后,企业应对涉及数据处理和广告发布的员工进行定期培训,提高他们对儿童隐私保护和合规广告的意识,并持续关注儿童在线隐私保护相关的法律法规变化,及时更新企业政策和实践。
通过这些综合措施,企业不仅能够降低法律风险,更能积极保护儿童的隐私权益,同时维护自身的声誉和市场地位。
Kaamel 的应对
Kaamel 始终站在隐私保护的前沿,我们坚信通过技术驱动的方式帮助企业识别和解决隐私合规风险。
创新的 Kaamel AI 检测引擎 依托主流法规和监管判例,可以帮助企业快速、全面识别自身的隐私合规风险。Kaamel 也为企业提供全方位的隐私合规解决方案。助力企业在出海业务经营中更加有效地应对监管和用户需求,减轻隐私风险与合规隐患,在国际化市场建立隐私信任。
