Children's Online Privacy Protection Act - Children's Online Privacy Protection Act

Children's Online Privacy Protection Act
Great Seal of the United States
Akronymer (i daglig tale) COPPA
Lovfestet av den 105. amerikanske kongressen
Effektiv 21. april 2000 ; 21 år siden ( 2000-04-21 )
Sitater
Offentlig rett 105-277
Lovgivende historie

Den Barnas Online Privacy Protection Act of 1998 ( COPPA ) er en amerikansk føderal lov , som ligger på 15 USC  §§ 6501 - 6506 ( Pub.L.  105-277 (tekst) (pdf) , 112  . Stat  2681-728 , vedtatt 21. oktober 1998 ).

Loven, med virkning fra 21. april 2000, gjelder online-innsamling av personopplysninger fra personer eller enheter under amerikansk jurisdiksjon om barn under 13 år, inkludert barn utenfor USA, hvis selskapet er basert i USA. Den beskriver hva en nettstedsoperatør må inkludere i en personvernerklæring , når og hvordan man kan søke etter verifiserbart samtykke fra en forelder eller foresatte , og hvilket ansvar en operatør har for å beskytte barns personvern og sikkerhet online, inkludert begrensninger i markedsføringen av de under 13 år.

Selv om barn under 13 lovlig kan gi ut personlig informasjon med foreldrenes tillatelse, hindrer mange nettsteder - spesielt sosiale medier , men også andre nettsteder som samler inn mest personlig informasjon - barn under 13 år fra å bruke tjenestene sine totalt på grunn av kostnadene og arbeidet som er involvert i å overholde loven.

Bakgrunn

På 1990 -tallet vokste elektronisk handel stadig mer populært, men det ble uttrykt ulike bekymringer om datainnsamlingspraksisen og påvirkningen av Internett -handel på brukernes personvern - spesielt barn under 13 år, fordi svært få nettsteder hadde sine egne retningslinjer for personvern. Center for Media Education begjærte Federal Trade Commission (FTC) for å undersøke datainnsamling og bruk av KidsCom -nettstedet, og iverksette rettslige skritt siden datapraksis bryter seksjon 5 i FTC Act om "urettferdig/villedende praksis". Etter at FTC fullførte undersøkelsen, ga den ut "KidsCom Letter", i rapporten stod det at datainnsamling og bruk av praksis faktisk var gjenstand for rettslige skritt. Dette resulterte i behovet for å informere foreldre om risikoen for barns privatliv på nettet, samt om nødvendigheten av foreldres samtykke. Dette resulterte til slutt i utarbeidelsen av COPPA.

The Federal Trade Commission (FTC) har myndighet til å gi forskrifter og håndheve COPPA. I henhold til vilkårene i COPPA er FTC-utpekte "safe harbour" -tilbud designet for å oppmuntre til økt industriell selvregulering. I henhold til denne bestemmelsen kan bransjegrupper og andre be Kommisjonen om godkjenning av selvregulerende retningslinjer for å styre deltakernes overholdelse, slik at nettstedsoperatører i kommisjonsgodkjente programmer først vil være underlagt disiplinære prosedyrer for safe harbour-programmet i stedet for FTC-håndhevelse . Per juni 2016, har FTC godkjent sju safe harbour programmer som vedlikeholdes av TRUSTe , ESRB , CARU , lese mere , Aristoteles, Inc. , Samet Privacy (KidSafe), og Internett holde trygt Coalition (iKeepSafe). I august 2021 trakk Aristoteles, Inc. seg fra safe harbor -programmet etter at FTC -ansatte uttrykte alvorlige bekymringer for håndhevelsen av bestemmelsene om safe havn og kommuniserte sin intensjon om å anbefale tilbakekallelse av Aristoteles godkjenning for å drive et safe harbor -program. FTC kunngjorde også at de hadde til hensikt å gå nærmere inn på praksisen til de seks andre sikre havnene.

I september 2011 kunngjorde FTC foreslåtte revisjoner av COPPA -reglene, de første vesentlige endringene i loven siden utstedelsen av reglene i 2000. De foreslåtte regelendringene utvidet definisjonen av hva det innebar å "samle" data fra barn. De foreslåtte reglene presenterte et krav til lagring og sletting av data , som påla at data innhentet fra barn bare skulle oppbevares så lenge som nødvendig for å oppnå formålet de ble samlet inn for. Den la også til kravet om at operatører sikrer at tredjeparter som et barns informasjon blir avslørt til, har rimelige prosedyrer for å beskytte informasjonen.

Loven gjelder for nettsteder og onlinetjenester som drives for kommersielle formål som enten er rettet mot barn under 13 år eller har faktisk kunnskap om at barn under 13 år gir informasjon på nettet. De fleste anerkjente ideelle organisasjoner er unntatt fra de fleste kravene til COPPA. Men Høyesterett avgjort at ideelle organisasjoner drevet til fordel for medlemmenes kommersielle aktiviteter er underlagt FTC regulering og dermed COPPA også. Den typen "verifiserbart foreldresamtykke" som kreves før innsamling og bruk av informasjon gitt av barn under 13 år, er basert på en "glidende skala" angitt i en Federal Trade Commission -regulering som tar hensyn til måten informasjonen samles inn på og bruksområdene informasjonen skal brukes til.

Brudd

I følge FTC kan domstolene bøtelegge overtredere av COPPA opp til $ 43,280 i sivile straffer for hvert brudd. FTC har anlagt en rekke søksmål mot nettstedsoperatører for manglende overholdelse av COPPA -kravene, inkludert handlinger mot Google , TikTok , Girls 'Life , American Pop Corn Company , Lisa Frank , Inc., Mrs. Fields Cookies og The Hershey Company .

I februar 2004 ble UMG Recordings, Inc. bøtelagt 400 000 dollar for COPPA-brudd i forbindelse med et nettsted som promoterte den da 13 år gamle rapperen Lil 'Romeo og var vert for barnorienterte spill og aktiviteter, og Bonzi Software, som tilbød nedlastinger av en animert figur " BonziBuddy " som ga råd om shopping, vitser og bagateller ble bøtelagt med 75 000 dollar for brudd på COPPA. På samme måte ble eierne av Xanga -nettstedet bøtelagt 1 000 000 dollar i 2006 for COPPA -brudd på gjentatte ganger å la barn under 13 år melde seg på tjenesten uten å få foreldrenes samtykke.

I 2016 ble mobilannonsenettverket inMobi bøtelagt med 950 000 dollar for å spore geografisk plassering av alle brukere (inkludert de under 13 år) uten deres kunnskap. Annonseprogramvaren sporer brukerplassering kontinuerlig til tross for personverninnstillinger på mobilenheten. Andre nettsteder som ble rettet mot barn og bøtelagt på grunn av COPPA inkluderer Imbee (2008), Kidswirl (2011) og Skid-e-Kids (2011).

I februar 2019 utstedte FTC en bot på 5,7 millioner dollar til ByteDance for å ikke ha overholdt COPPA med sin TikTok -app. ByteDance gikk med på å betale den største COPPA-boten siden lovforslaget ble vedtatt, og å legge til en modus for barn i TikTok-appen.

Tre dating -apper av Wildec ble trukket av Apple og Google fra sine respektive appbutikker, etter at FTC bestemte at dating -appene tillot brukere under 13 å registrere seg, at Wildec visste at det var et betydelig antall mindre brukere, og at dette tillot upassende kontakt med mindreårige.

4. september 2019 utstedte FTC en bot på 170 millioner dollar til YouTube for brudd på COPPA, inkludert sporing av visningshistorikk for mindreårige for å lette målrettet annonsering . Som et resultat kunngjorde YouTube at det som en del av oppgjøret i 2020 ville kreve at kanaloperatører merker videoer som er "barnorienterte" som sådan, og ville bruke maskinlæring for automatisk å markere dem som tydelig "barnorienterte" hvis ikke merket allerede. I forliksbetingelsene kan kanaloperatører som ikke klarte å merke videoer som "barnorienterte" bli bøtelagt av FTC for opptil $ 42.530 per video, noe som har reist kritikk mot forliksbetingelsene.

Samsvar

I desember 2012 utstedte Federal Trade Commission revisjoner med virkning fra 1. juli 2013, som skapte ytterligere krav til foreldre og samtykke, endret definisjoner og la til andre forpliktelser for organisasjoner som (1) driver et nettsted eller en online tjeneste som er "rettet mot barn "under 13 år og som samler inn" personlig informasjon "fra brukere eller (2) bevisst samler inn personopplysninger fra personer under 13 år gjennom et nettsted eller en nettjeneste. Etter 1. juli 2013 må operatørene:

  • Legg ut en klar og omfattende online personvernerklæring som beskriver deres informasjonspraksis for personlig informasjon samlet inn online fra personer under 13 år;
  • Gjør rimelig innsats (med tanke på tilgjengelig teknologi) for å gi foreldre direkte beskjed om operatørens praksis med hensyn til innsamling, bruk eller utlevering av personopplysninger fra personer under 13 år, inkludert varsel om enhver vesentlig endring av slik praksis som foreldre har tidligere samtykket;
  • Innhente verifiserbart samtykke fra foreldre, med begrensede unntak, før innsamling, bruk og/eller avsløring av personopplysninger fra personer under 13 år;
  • Tilveiebringe en rimelig måte for en forelder å gjennomgå personopplysningene som er samlet inn fra barnet sitt og nekte å tillate videre bruk eller vedlikehold av det;
  • Etablere og opprettholde rimelige prosedyrer for å beskytte konfidensialitet, sikkerhet og integritet til den personlige informasjonen som samles inn fra barn under 13 år, inkludert ved å ta rimelige skritt for å avsløre/frigjøre slik personlig informasjon bare til parter som er i stand til å opprettholde konfidensialiteten og sikkerheten; og
  • Oppbevar personlig informasjon samlet inn fra et barn bare så lenge det er nødvendig for å oppfylle formålet den ble samlet for, og slett informasjonen ved å bruke rimelige tiltak for å beskytte mot uautorisert tilgang eller bruk.
  • Det er forbudt for operatører å kondisjonere et barns deltakelse i en online aktivitet på at barnet gir mer informasjon enn det som er rimelig nødvendig for å delta i denne aktiviteten.

I følge en melding fra Federal Trade Commission , har en operatør faktisk kunnskap om brukerens alder hvis nettstedet eller tjenesten ber om - og mottar - informasjon fra brukeren som gjør det mulig å bestemme personens alder. Et eksempel, nevnt av FTC, inkluderer en operatør som ber om en fødselsdato på et nettstedets registreringsside, har faktisk kunnskap som definert av COPPA hvis en bruker svarer med et år som antyder at de er under 13. Et annet eksempel sitert av FTC er at en operatør kan ha faktisk kunnskap basert på svar på "aldersidentifiserende" spørsmål som "Hvilken klasse går du på?" eller "Hvilken type skole går du på? (a) barneskole; (b) ungdomsskole; (c) videregående skole (d) høyskole."

En liten avgift belastes av Microsoft under COPPA som en måte å bekrefte foreldres samtykke på. Gebyret er donert til National Center for Missing and Exploited Children . Google belaster imidlertid det lille gebyret som en måte å bekrefte fødselsdatoen på.

I endringene som trådte i kraft 1. juli 2013 ble definisjonen av en operatør oppdatert for å tydeliggjøre at COPPA dekker et barne-rettet nettsted eller en tjeneste som integrerer eksterne tjenester, for eksempel plug-ins eller annonsenettverk, som samler inn personlig informasjon fra sine besøkende . Definisjonen av et nettsted eller en nettjeneste rettet mot barn utvides til å omfatte plug-ins eller annonsenettverk som faktisk har kunnskap om at de samler inn personlig informasjon gjennom et barn-rettet nettsted eller online-tjeneste. Nettsteder og tjenester som er rettet mot barn som et sekundært publikum, kan skille seg mellom brukerne, og må kun gi varsel og innhente foreldres samtykke for de brukerne som identifiserer seg som yngre enn 13. Definisjonen av personlig informasjon som krever foreldres varsel og samtykke før innsamling inkluderer nå "vedvarende identifikatorer" som kan brukes til å gjenkjenne brukere over tid og på tvers av forskjellige nettsteder eller online -tjenester. Imidlertid er det ikke nødvendig med foreldremelding og samtykke når en operatør samler en vedvarende identifikator for det ene formål å støtte nettstedet eller nettjenestens interne operasjoner. Definisjonen av personlig informasjon etter 1. juli 2013 inkluderer også geolokaliseringsinformasjon, samt bilder, videoer og lydfiler som inneholder et barns bilde eller stemme.

19. november 2015 kunngjorde FTC at den hadde godkjent en tilleggsmetode for å innhente verifiserbart foreldres samtykke: "face match to verified photo ID" (FMVPI). To-trinnsprosessen lar en forelder sende inn en offentlig-sanksjonert ID for autentisering, og deretter sende inn et improvisert bilde via mobilenhet eller webkamera, som deretter sammenlignes med bildet på ID-en.

Internasjonalt virkeområde

FTC har hevdet at COPPA gjelder for alle online tjenester som er rettet til amerikanske brukere eller bevisst samler inn informasjon fra barn i USA, uavhengig av opprinnelsesland. FTC utfører imidlertid sjelden håndhevingsaksjoner mot utenlandske selskaper, og står overfor en rekke praktiske utfordringer. Likevel har den med hell håndhevet COPPA mot minst ett utenlandsk selskap med en betydelig brukerbase i USA, og sikret et oppgjør på 5,7 millioner dollar mot det kinesiske selskapet ByteDance over deres TikTok -app.

Kritikk

COPPA er kontroversiell og har blitt kritisert som ineffektiv og potensielt grunnlovsstridig av juridiske eksperter og massemedier siden den ble utarbeidet. Klager mot lovverket inkluderer nettstedseiere som forbyr brukere 12 og yngre-som bare "oppmuntrer til aldersbedrageri og lar nettsteder omgå byrden ved å innhente foreldres samtykke"-og aktiv undertrykkelse av barns rettigheter til ytringsfrihet, selvuttrykk og andre rettigheter til første endring på grunn av nødvendigheten av å registrere kontoer for å gjøre det.

Forsinkelser i innhenting av foreldres samtykke resulterer ofte i at barn går videre til andre aktiviteter som er mindre passende for deres alder eller utgjør større personvernrisiko.

I tillegg er aldersbegrensninger og prosessen med "foreldres samtykke" lett for barn å omgå, og foreldre hjelper dem generelt med å lyve om alderen.

En teknisk sikkerhetsstyrke for internettsikkerhet sammensatt av eksperter fra akademia og kommersielle selskaper fant i 2012 at obligatorisk aldersbekreftelse ikke bare er en dårlig løsning for personvern, men også utgjør et brudd på personvernet. Loven har også mange sikkerhetsfeil. For eksempel beskytter det ikke barna mot rovdyrannonsering, det forhindrer ikke barn i å få tilgang til pornografi eller lyve om alderen, og det sikrer ikke et helt trygt miljø på nettet. Teknisk journalist Larry Magid , en mangeårig vokal motstander av loven, bemerker også at foreldre, ikke regjeringen, har hoveddelen av ansvaret for å beskytte barn på nettet. COPPA har også blitt kritisert for sin potensielle chilling -effekt på barns apper, innhold, nettsteder og online -tjenester. For eksempel ga Snapchat ut en Snapkidz -versjon av appen sin i juni 2013, men i motsetning til Snapchat tillot Snapkidz ikke bildedeling i det hele tatt på grunn av COPPA -forskrifter. På samme måte har det blitt påpekt at COPPA -regelen ikke nødvendigvis handlet om personvern, men mer om å "håndheve lovene".

COPPAs bøter ($ 40 000 per overtredelse) kan potensielt være katastrofale for små bedrifter og undergrave deres forretningsmodell. Derimot har FTC blitt kritisert, blant annet av COPPA -forfatteren Ed Markey og FTC -kommissær Rohit Chopra , for ikke å bøtelegge store og store teknologiselskaper hardt nok for sine COPPA -brudd, spesielt i forhold til inntektene. I kontrast, overtredere av EU 's General Data Protection Regulation kan (GDPR) bli bøtelagt opptil 4% av deres årlige globale inntekter.

Med fremveksten av virtuell utdanning kan COPPA utilstrekkelig representere rollen som administratorer, lærere og skolen for å beskytte elevenes personvern under forutsetning av loco parentis .

Mark Zuckerberg , medgründer og administrerende direktør i Facebook , har uttrykt motstand mot COPPA i 2011 og uttalte "Det vil være en kamp vi tar på et tidspunkt. Min filosofi er at for utdanning må du begynne i en virkelig, veldig ung alder . " Neste år har Jim Steyer , administrerende direktør i Common Sense Media , etterlyst oppdateringer til COPPA, kalt tidspunktet for lovens opprettelse "steinalderen for digitale medier" og påpekte mangelen på plattformer som Google, YouTube, Facebook og Twitter den gangen.

I 2019 saksøkte regjeringen i staten New York YouTube for brudd på COPPA ved ulovlig å oppbevare informasjon om barn under 13 år. YouTube svarte med å dele innholdet strengt i "for barn" og "ikke for barn". Dette har møtt ekstremt hard kritikk fra YouTube -fellesskapet, spesielt fra spillere, med mange som påstår at FTC i USA har til hensikt å bøte innholdsskapere $ 42.530 for "hver feilmerket video", og muligens sette alle brukere i fare. Noen har imidlertid uttrykt skepsis over dette, og føler at bøtene faktisk kan referere til sivile straffer, muligens beregnet for nettstedets operatører og/eller berettiget av mer alvorlige brudd på COPPA eller spesifikke tilfeller av "feilmerkende videoer". Fra juli 2020 har ingen fått 42.530 dollar i bot.

Flere lovforslag har blitt foreslått for å endre COPPA. Markey og Josh Hawley introduserte flere regninger (i huset i 2018 som "Do Not Track Kids Act", og i 2019 som et senatstiltak) som foreslo at COPPA forby bruk av målrettet annonsering for brukere under 13 år, krever personlig samtykke før innsamling av personlig informasjon fra brukere i alderen 13-15 år, krever tilkoblede enheter og leker rettet mot barn for å oppfylle sikkerhetsstandarder og inkludere en personvernerklæring på emballasjen, og krever at tjenester tilbyr en "viskelærknapp" for å "tillate brukere å eliminere offentlig tilgjengelig personopplysningsinnhold levert av barnet, når det er teknisk mulig ". I januar 2020 introduserte Bobby Rush og Tim Walberg en lignende husregning kjent som Prevent Real Threats Endangering Children Today (PROTECT Kids) Act, som ville utvide alle eksisterende COPPA -samtykkekrav til brukere under 16 år og eksplisitt legge til mobil apper , "presis geolokalisering" og biometriske data til sitt ansvar.

Se også

Referanser

Eksterne linker