法律翻译 | 被指控非法收集儿童隐私信息，游戏公司合规走向何处？

译者 | 张纯瑀 北京大学国际法学院

编辑 | 向芯雨 西南交通大学

         王冰子 烟台大学

美国联邦贸易委员会（Federal Trade Commission，以下简称“FTC”）依据《美国儿童隐私保护法案》（Commission’s Children’s Online Privacy Protection Rule，以下简称“COPPA”）以及《美国联邦贸易委员会法》（Federal Trade Commission Act，以下简称“FTC 法案”）对游戏公司Epic Games提出指控。根据美国政府提交的诉讼请求，本次指控针对Epic Games开发的游戏《堡垒之夜》（Fortnight）。

Through Fortnite, Epic matches children and teens with strangers around the world in interactive gameplay, encourages real-time communications by featuring on-by-default voice and text chat features, and publicly broadcasts players’ account names. Even though Fortnite is directed to children, and even when Epic had actual knowledge that Fortnite users were children, Epic failed to comply with the COPPA Rule’s parental notice, consent, review, and deletion requirements. Although Epic has changed its practices over time, those changes have not cured the violations.

通过《堡垒之夜》，Epic将儿童及青少年与全球各地的陌生人配对进行互动游戏，通过默认开启的语音和文字聊天功能鼓励实时通讯，并公开传播玩家的账户名。尽管《堡垒之夜》面向儿童，Epic甚至在实际知道《堡垒之夜》用户是儿童的情况下，仍未能遵守COPPA规则中对家长的通知、同意、审查和删除要求。虽然Epic随时间推移改变了其做法，但这些变化并未解决其违规问题。

Ultimately, Epic’s matchmaking children and teens with strangers while broadcasting players’ account names and imposing live on-by-default voice and text communications has caused substantial injury that is neither offset by countervailing benefits nor reasonably avoidable by consumers. Children and teens have been bullied, threatened, and harassed within Fortnite, including sexually. Children and teens have also been exposed to dangerous and psychologically traumatizing issues, such as suicide and self-harm, through Fortnite. And the few relevant privacy and parental controls Epic has introduced over time have not meaningfully alleviated these harms or empowered players to avoid them.

最终，Epic将儿童和青少年与陌生人配对，同时传播玩家的帐户名称并强制施行默认语音和文字交流，造成了重大伤害，这种伤害既不能被可抗衡的利益抵消，消费者也无法合理避免。儿童和青少年在《堡垒之夜》中遭到欺凌、威胁和骚扰，其中包括性骚扰。儿童和青少年还因《堡垒之夜》遭遇危险的心理创伤问题，例如自杀和自残。随着时间的推移，Epic推出的少数有关隐私和家长的控制措施并没有有效减轻这些伤害，也没有让玩家能够避免这些伤害。

（图片来源于网络）

The Complaint charges that Defendant violated the COPPA Rule and the FTC Act by developing and operating an Internet-enable video game with unfair default information sharing settings for Children and Teens; by failing to provide notice on Defendant's website or online service, and direct notice to Parents, of the Personal Information Defendant Collects online from Children, how Defendant uses such information, and Defendant's Disclosure practices; by failing to Obtain Verifiable Parental Consent before any Collection or use of Personal Information from Children; by failing to provide, at the request of Parents, a description of the specific types or categories of Personal Information Collected from Children; and by failing to Delete, at the request of Parents, Personal Information Collected from Children.

起诉书指控被告违反了COPPA规则和FTC法案，针对Epic的指控内容包括以下5点：1）被告开发并运营的互联网视频游戏含有对儿童和青少年不公平的默认信息共享设置；2）被告未在其网站或在线服务中进行告知，也未能直接通知家长被告从儿童处在线收集的个人信息、被告如何使用这些信息以及被告的披露行为；3）被告在收集或使用儿童的个人信息前未能获得可验证的家长同意；4）被告未能应家长要求提供从儿童处收集的个人信息的具体类型或类别的描述；5）被告未能应家长要求删除从儿童处收集的个人信息。

2023年2月7日，北卡罗莱纳州东区法院作出法院永久禁令和民事处罚判决令，双方同意签署本令，以解决在本诉讼中的所有争议事项。

Section 5(a) of the FTC Act, 15 U.S.C. § 45(a), prohibits “unfair or deceptive acts or practices in or affecting commerce.”

FTC法案第5节(a)，15U.S.C.§45(a)，禁止“在商业中或影响商业的不公平或欺骗性行为或做法。”

Congress enacted COPPA in 1998 to protect the safety and privacy of children online by prohibiting the unauthorized or unnecessary collection of children’s personal information online by operators of Internet websites and online services. COPPA directed the Commission to promulgate a rule implementing COPPA. The Commission promulgated the COPPA Rule on November 3, 1999, under Section 1303(b) of COPPA, 15 U.S.C. § 6502(b), and Section 553 of the Administrative Procedure Act, 5 U.S.C. § 553. The Rule went into effect on April 21, 2000. The Commission promulgated revisions to the Rule that went into effect on July 1, 2013. Pursuant to Section 1303(c) of COPPA, 15 U.S.C. § 6502(c), and Section 18(d)(3) of the FTC Act, 15 U.S.C. § 57(a)(d)(3), a violation of the Rule constitutes an unfair or deceptive act or practice in or affecting commerce, in violation of Section 5(a) of the FTC Act, 15 U.S.C. § 45(a).

国会在1998年通过了COPPA，旨在通过禁止互联网网站和在线服务运营商未经授权或不必要地收集儿童的个人信息，以此来保护儿童在线安全和隐私。COPPA指示FTC颁布一项实施COPPA的规则。FTC在1999年11月3日根据COPPA的1303节(b)，15U.S.C.§6502(b)，以及《行政程序法》的553节，5U.S.C.§553，颁布了COPPA规则。该规则于2000年4月21日生效。FTC颁布了于2013年7月1日生效的规则修订版。根据COPPA的1303节(c)，15U.S.C.§6502(c)，以及FTC法案的18节(d)(3)，15U.S.C.§57(a)(d)(3)，违反规则构成在商业中或影响商业的不公平或欺骗性行为或做法，违反了FTC法案的第5节(a)，15U.S.C.§45(a)。

（图片来源于网络）

The Rule applies to any operator of a commercial website or online service directed to children under 13 years of age that collects, uses, and/or discloses personal information from children, and to any operator of a commercial website or online service that has actual knowledge that it collects, uses, and/or discloses personal information from children. The Rule requires an operator to meet specific requirements prior to collecting, using, or disclosing children’s personal information online, including but not limited to:

该规则适用于面向13岁以下儿童提供商业网站或在线服务的运营商，这些运营商从儿童那里收集、使用和/或披露个人信息，以及适用于确实知道自己从儿童那里收集、使用和/或披露个人信息的商业网站或在线服务的运营商。该规则要求运营商在在线收集、使用或披露儿童个人信息之前，满足特定要求，包括但不限于：

a) Posting a privacy policy on its website or online service providing clear, understandable, and complete notice of its information practices, including what information the operator collects from children online, how it uses such information, its disclosure practices for such information, and other specific disclosures set forth in the Rule;

在其网站或在线服务上发布隐私政策，提供清晰、易懂、完整的信息处理实践通知，包括运营商从儿童处在线收集哪些信息、如何使用这些信息、对这些信息的披露实践，以及规则中规定的其他具体披露内容；

b) Providing clear, understandable, and complete notice of its information practices, including specific disclosures, directly to parents;

向家长直接提供清晰、易懂、完整的信息处理实践通知，包括具体的披露信息；

c) Obtaining verifiable parental consent prior to collecting, using, and/or disclosing personal information from children;

在收集、使用和/或披露儿童的个人信息之前，获取可验证的家长同意；

d) Providing a reasonable means for parents to review personal information collected from children online, at a parent’s request; and

根据家长的请求，提供一个合理的方法，让家长能够审查从儿童在线收集的个人信息；并且

e) Deleting personal information collected from children online, at a parent’s request.

（图片来源于网络）

本案判决结果包括十三项内容，涵盖对Epic Games已收集的儿童个人信息的处理要求以及对其今后合规管理的规范。因原文篇幅较长，译者未对其进行逐句翻译，下文为译者对判决中十三项内容的提炼总结。

判决令禁止Epic Games在未直接通知儿童的父母，未在网站上发布清晰醒目通知的情况下收集儿童个人信息，并禁止在未获得父母同意前收集、使用、公开儿童个人信息。判决令还要求被告在收到父母要求时删除儿童个人信息，保留儿童个人信息时不得超出信息合理使用范围。

判决令要求Epic Games自合规日期之日起60日内删除所有儿童个人信息，除非用户已年满13周岁或者被告提供直接通知并获得了可验证的父母同意。判决令要求被告在合规日期之日起90日内提供在伪证罪下宣誓的书面声明，声明内容包括描述被告提供直接通知并寻求获得可验证家长同意的所有流程。声明内容还应包括对提供了直接通知，获得可验证家长同意，明确拒绝了可验证家长同意以及未提供任何回应的几种情形的账户数量的统计。

自合规日期之日起30日内，判决令永久限制并禁止被告披露，或允许儿童或青少年向使用该产品或服务的其他用户披露保密信息，或允许儿童或青少年与其他用户在游戏中进行对话，除非儿童用户的家长或青少年用户（或其家长）明确同意将特定信息进行披露。儿童用户的家长或青少年用户（或其家长）同意进行披露时，必须知道将要披露何种类型的信息；将要向何类人员披露信息；儿童或青少年能够进行何类交流；儿童或青少年能够与何类人员进行交流。

任何面向儿童用户提供的服务中，用户必须被视为儿童对待，但对于不以儿童为主要受众的服务中，被告可以先收集用户年龄，在知道用户实际是儿童或青少年前相应对待每个用户。任何非针对儿童用户提供的服务中，任何用户均不得被视为儿童或青少年，除非被告实际知道用户年龄。如果在多用户游戏或其他交互式多用户游戏中披露儿童或青少年的显示名称以识别参与用户，此类显示名称将不被视为本项涵盖的信息。但是，被告必须在给家长的直接通知中披露此类显示名称，隐私政策中也应当说明此类显示名称。

（图片来源于网络）

判决令要求被告在合规日期之日起30日内建立，实行并持续进行隐私计划，其内容包括书面记录隐私计划执行和持续的情况，向管理机构提供书面计划与计划的评估与更新，制定专人对隐私计划进行协调与负责，定期记录并评估内外部风险等。

与第4项的强制隐私计划要求相关，判决令要求被告必须从有资质的客观独立的第三方获得最初的及两年一次的评估。

与第5项的第三方隐私评估要求相关，判决令要求被告为第三方隐私评估员提供评估所需的相关信息。

判决令要求被告在合规日期之日起一年后，并且在合规日期之日起10年内的每年，向委员会提供首席执行官出具的认证，证明被告已经建立、实行并持续执行本判决令，并且被告未发现任何未纠正的或未向委员会披露的实质性违反行为。被告还应向委员会提供每项涉及业务[1]（被告自身除外）的高级人员出具的认证，证明其涉及业务已经建立、实行并持续执行本判决令，并且涉及业务未发现任何未纠正的或未向委员会披露的实质性违反行为。

判决令要求被告在本判决令生效的1年后以及10年后，及时提交伪证罪下宣誓的合规报告。

判决令要求被告必须在本判决令生效的10年内留存特定记录，每份记录留存5年。被告必须创建并留存的记录包括，会计记录、人事记录、消费者投诉及退款申请以及解释合规行为所必需的所有记录。

贸易委员会及原告对被告执行判决令的情况有权进行监控。

判决令声明本法院对该判决令的解释、修改与执行保留管辖权。

本案是FTC使用COPPA中关于儿童信息数据处理相关条款进行指控的典型案例。本案罚金数额高达2.75亿美元，其罚金数额之大也使其成为COPPA合规的典型案例。判决令完整地展示了Epic Games在儿童信息收集方面应当遵守的限制，对互联网产品落地合规应当注意的红线有示范意义。

“As our complaints note, Epic used privacy-invasive default settings and deceptive interfaces that tricked Fortnite users, including teenagers and children," said FTC Chair Lina M. Khan. "Protecting the public, and especially children, from online privacy invasions and dark patterns is a top priority for the Commission, and these enforcement actions make clear to businesses that the FTC is cracking down on these unlawful practices.”

“正如我们的起诉所指出的，Epic使用了侵犯隐私的默认设置和欺骗性界面，这些界面欺骗了《堡垒之夜》的用户，其中包括青少年和儿童”，FTC主席Lina M. Khan说，“保护公众，尤其是儿童，免受网络隐私侵犯和暗黑模式的影响，是FTC的首要任务，这些执法行动明确向企业表明FTC正在打击这些非法做法。”[2]

（图片来源于网络）

“The Justice Department takes very seriously its mission to protect consumers’ data privacy rights,” said Associate Attorney General Vanita Gupta. “This proposed order sends a message to all online providers that collecting children’s personal information without parental consent will not be tolerated.”

“Epic put children and teens at risk through its lax privacy practices, and cost consumers millions in illegal charges through its use of dark patterns,” said Samuel Levine, Director of the FTC’s Bureau of Consumer Protection. “Under the proposed orders announced today, the company will be required to change its default settings, return millions to consumers, and pay a record-breaking penalty for its privacy abuses.”