兰迪研究 | 游戏出海儿童个人信息保护之美国篇

职场   2024-12-12 20:40   上海  


 作者 | 陈梦园



引言


2024年,随着《黑神话:悟空》(游戏科学)和《Whiteout Survival》(点点互动)等游戏的成功,中国游戏出海的步伐明显加快。根据Sensor Tower的数据,2024年10月,已有34家中国厂商跻身全球手游发行商收入榜TOP100,合计收入达到18.5亿美元,占当期全球TOP100手游发行商收入的35.6%。此外,中国音数协游戏工委、中国游戏产业研究院与伽马数据的联合报告显示,中国自主研发游戏在海外市场的实际销售收入从2014年的30.76亿美元增长至2023年的163.66亿美元,十年间增长了4.32倍。这一系列数据表明,中国游戏出海已成为必然趋势。


然而,在这一过程中,企业必然面临合规挑战。本文将着重于探讨美国游戏领域的儿童个人信息保护,并总结相关合规措施,为游戏企业出海美国提供相关合规建议。



美国游戏领域儿童个人信息保护法律概况


美国关于儿童个人信息保护的主要法律包括:


(一)联邦层面


主要包括:《儿童在线隐私保护法案》(Children's Online Privacy Protection Act)(以下简称“COPPA”)、《儿童在线隐私保护法则》 Children's  Online Privacy Protection Rule(以下简称“COPPA规则”)。


(二)州层面


主要包括:《加利福尼亚州适龄设计规范法案》(The California Age- Appropriate Design Code Act)(以下简称“《加州适龄设计法案》”)、《纽约州停止儿童成瘾信息利用法案》(Stop Addictive Feeds Exploitation (SAFE) for Kids Act)以及《纽约州儿童数据保护法案》(the New York Child Data Protection Act)等。


其中最具有广泛影响力的为COPPA及《加州适龄设计法案》,下文我们将着重围绕着以上内容展开,首先我们将概述以上法律的制定背景与近况。


1. COPPA及COPPA规则


美国国会于1998年颁布了COPPA,并于 2000 年 4 月正式生效,后经联邦贸易委员会(以下简称“FTC”)多次修订。此外,COPPA要求联邦贸易委员会FTC发布并执行有关儿童在线隐私的规定。FTC最初制定的COPPA规则于2000年4月21日生效,后于2013年1月17日发布了修订后的COPPA规则,并于2013年7月1日生效。


COPPA及COPPA规则的主要目标是让家长掌握其未成年子女在线信息收集的控制权,其适用于针对13岁以下儿童的商业网站和在线服务运营商(包括移动应用程序和物联网设备,如智能玩具),明知其收集、使用或披露13岁以下儿童个人信息的服务运营商,以及那些明知自己直接从面向儿童的其他网站或在线服务收集个人信息的网站或在线服务运营商。


此外,值得注意的是,在2024年9月,拟议的儿童和在线安全法案的修订版本《青少年在线隐私保护法案》( Children and Teens' Online Privacy Protection Act,也称为 COPPA 2.0)和《儿童在线安全法案》( Kids Online Safety Act)已获众议院审议通过。


其中,COPPA 2.0禁止在线公司在未经17岁以下用户同意的情况下收集他们的个人信息。该法案还禁止向儿童和青少年投放有针对性的广告,并为父母和孩子提供一个“橡皮擦按钮”,以便删除在线个人信息。该法案还在联邦贸易委员会设立了青年营销和隐私部门。


《儿童在线安全法案》为儿童和家长提供了工具、保障措施和透明度,以防范在线伤害。该法案规定了在线平台的谨慎义务,要求平台默认启用最具保护性的设置,为未成年人提供保护其个人信息、禁用成瘾性功能和选择退出个性化算法推荐的选项。


2. 《加州适龄设计法案》


2022年9月20日,加州州长加文 · 纽瑟姆签署了AB-2273法案,即《加州适龄设计法案》。该法案借鉴了英国《适龄设计规范》(Age appropriate design code),其适用于CCPA/CPRA[1] 且其服务可供 18 岁以下未成年人使用的企业,其对上述企业施加了比 1998 年美国儿童在线隐私和保护 (COPPA) 所要求的更广泛的义务,并对违规行为进行了严厉处罚,相较于COPPA的核心差异可参见下表:



除此之外,美国其他州也正在制定类似法案,例如:


(1)康涅狄格州:2023年1月,康涅狄格州适龄设计规范法案(HB6253)在众议院提出。

(2)马里兰州:2023年2月,马里兰州适龄设计规范法案(HB901)和(SB844)在众议院和参议院提交。

(3)明尼苏达州:2023年2月,明尼苏达州适龄设计规范法案(HF2257)在众议院提出,并于4月通过,接下来将提交会议委员会协调与参议院配套法案(SF2810)。

(4)俄勒冈州:2023年1月,俄勒冈州适龄设计规范法案(SB196)在参议院提出。

(5)新泽西州:2022年12月,新泽西州适龄设计规范法案(A4919)在州大会提出,2023年1月,参议院提出配套法案(S3493)。

(6)新墨西哥州:2023年2月,新墨西哥州适龄设计规范法案(SB319)在参议院提出。

(7)内华达州:2023年3月,内华达州适龄设计规范法案(AB320)在议会提出。




美国游戏领域儿童个人信息保护要求及合规步骤


综合COPPA、COPPA规则、《加州适龄设计法案》规定,并参考FTC官网发布的Childrens Online Privacy Protection Rule: A Six-Step Compliance Plan for Your Business[2],美国游戏领域儿童个人信息保护的合规措施可总结如下:


1. STEP1:确定该服务是否涉及收集儿童个人信息


为确定服务是否涉及收集儿童个人信息,需明确以下三组概念的含义:第一,何为儿童;第二,哪些信息是个人信息;第三,什么情况下可认为服务面向儿童提供。


(1)关于何为儿童


COPPA及COPPA规则之中,根据 U.S. Code § 6501(1),儿童指13岁以下个人;不过如上文所述,正在制定的COPPA2.0拟将保护范围扩大至17岁以下消费者。

根据《加州适龄设计法案》1798.99.30(b)款,除非另有说明,“儿童”是指 18 岁以下的消费者。


(2)关于何为个人信息


根据 U.S. Code § 6501(8),COPPA及COPPA规则所定义的个人信息包括:该规则定义的个人信息包括:名字和姓氏;家庭或其他实际地址,包括街道名称和城市或城镇名称;在线联系信息;作为在线联系信息的屏幕或用户名;电话号码;社会安全号码;持久标识符,可用于随着时间的推移以及跨不同网站或在线服务识别用户;照片、视频或音频文件,其中包含儿童的图像或声音;足以识别街道名称和城市或城镇名称的地理位置信息;或者运营商从儿童在线收集的有关儿童或儿童父母的信息,并与上述标识符相结合。


根据1798.140.,CCPA&CPRA下个人信息定义更为全面,“个人信息”是指能够识别、涉及、描述、合理地与特定消费者或家庭关联,或能够直接或间接链接到特定消费者或家庭的信息。[3]


建议实际出海美国时,企业根据更为严格的《加州适龄设计法案》进行合规判断。


(3)关于如何确定服务面向儿童提供


在该点上COPPA及《加州适龄设计法案》的判断思路大致相同,可归纳至如下几个角度:包括网站或服务的主题、视觉和音频内容、动画角色的使用或其他面向儿童的活动和激励措施、模特的年龄、儿童名人或吸引儿童的名人的存在、网站或服务上针对儿童的广告,根据公司内部研究其大部分受众是儿童,以及有关实际或目标受众年龄的其他可靠证据或与此类在线服务、产品或功能实质上相似或相同的在线服务、产品或功能。


综上所述,为判断该服务是否涉及收集儿童个人信息的具体识别方式如下:



2. STEP2:发布符合法律要求的隐私政策


根据COPPA规则§ 312.4 Notice.d款及FTC官网说明,涉及儿童个人信息收集的,网站或服务之中展示的隐私政策应包含如下内容:


(1)所有收集个人信息的运营商的列表。列出通过网站或服务收集或维护儿童个人信息的每个第三方运营商,例如广告网络或社交网络插件。对于每一项,请提供姓名和联系信息(地址、电话号码和电子邮件地址)。如果不止一家公司在收集信息,则可以只提供其中一家公司的联系信息,只要该公司能够回复家长有关或服务事件的所有询问即可。即便如此,企业仍然必须在隐私政策中列出所有第三方。


(2)对所收集的个人信息及其使用方式的描述。隐私政策必须描述:


a. 从儿童那里收集的个人信息的类型(例如姓名、地址、电子邮件地址、爱好等);

b. 个人信息的收集方式——直接从儿童收集或被动收集(例如通过 cookies);

c. 如何使用个人信息(例如,用于向儿童进行营销、通知竞赛获奖者或允许儿童通过聊天室公开提供信息);

d. 是否将从儿童那里收集的个人信息透露给第三方。如涉及,隐私政策必须列出企业向其披露信息的企业类型(例如,广告网络)以及他们如何使用这些信息。


(3)父母权利的描述。隐私政策必须告诉家长:


a. 企业不会要求儿童透露超出参与活动合理必要的信息;

b. 他们可以查看其孩子的个人信息,指示您删除该信息,并拒绝允许进一步收集或使用该孩子的信息;

c. 他们可以同意收集和使用孩子的信息,但仍然不允许向第三方披露,除非这是服务的一部分(例如社交网络);

d. 行使其权利应遵循的程序。


3. STEP3:在收集儿童个人信息之前,请直接通知父母


根据COPPA规则§ 312.4 Notice.b款,运营商必须在考虑到现有技术的情况下,做出合理的努力,确保儿童的家长收到关于运营商收集、使用或披露儿童个人信息做法的直接通知,包括任何重大变更的通知,这些变更涉及家长之前已同意的收集、使用或披露做法,其进一步将通知分为四种类型,这四种类型通知应分别载明如下内容:




其中,实践之中,核心关注的为第一类通知,即获得家长明确同意收集、使用或披露儿童个人信息的通知,下图为RIOT《未成年人玩家家长常见问答和联系方式》,以下实践方式可供企业落实合规措施时参考。




4. STEP4:在收集儿童个人信息之前,先获得父母的可验证同意


关于父母可验证的同意,FTC建议的父母可验证的同意包括:


(1)签署同意书并通过传真、邮件或电子扫描将其发回;

(2使用信用卡、借记卡或其他在线支付系统,向账户持有人提供每笔单独交易的通知;

(3拨打由经过培训的人员接听的免费电话;

(4通过视频会议与经过培训的人员联系;

(5提供一份政府颁发的身份证件副本,可以根据数据库进行核对,在完成验证过程后删除该身份证件即可;

(6回答一系列以知识为基础的挑战问题,这些问题除了父母之外,其他人很难回答;或者

(7验证家长提交的其他带照片身份证件的驾驶执照照片,然后使用面部识别技术将该照片与家长提交的第二张照片进行比较。


下图为epic提供的家长验证方式,可供企业落实合规措施时参考。



5. STEP5:尊重父母对儿童个人信息的权利


对于尊重服务对儿童个人信息的权利,核心在于:当家长提出要求时,游戏企业必须:为他们提供查看从其孩子收集的个人信息的方法;为他们提供撤销同意并拒绝进一步使用或收集其孩子的个人信息的方式;删除孩子的个人信息。


下图为父母联系RIOT行使相应权利的表格。



6. STEP6:实施合理的措施来保护儿童个人信息的安全


综合COPPA和《加州适龄设计法案》,企业还应实施如下合规措施保护儿童个人信息安全:


(1)实施DPIA


根据《加州适龄设计法案》第1798.99.31.条,在向公众提供在线服务之前,企业必须完成、记录并每两年审查一次此类在线服务的DPIA,DPIA 必须评估以下内容:


a. 是否可能伤害儿童,包括让儿童接触在线产品、服务或功能上的有害或潜在有害内容

b. 是否可能导致儿童在在线产品、服务或功能上经历有害或潜在有害的接触,或成为其目标

c. 是否可能允许儿童目睹、参与或遭受在线产品、服务或功能上的有害或潜在有害行为

d. 是否可能允许儿童参与或被在线产品、服务或功能上的有害或潜在有害接触所利用

e. 使用的算法是否可能伤害儿童

f. 使用的定向广告系统是否可能伤害儿童

g. 是否以及如何使用系统设计功能来增加、维持或扩展儿童对在线产品、服务或功能的使用,包括自动播放媒体、奖励所花费的时间,以及通知

h. 是否、如何以及出于什么目的收集或处理儿童的敏感个人信息。


此外,企业必须记录其 DPIA 中可能对儿童造成实质性损害的任何风险,并制定计划,以在儿童访问在线服务之前减轻或消除此类风险。根据总检察长的书面请求,企业必须在三个工作日内提供所有已完成的 DPIA 清单,并在五个工作日内提供具体的 DPIA 文件。


(2)年龄估算要求


根据《加州适龄设计法案》1798.99.31条,企业必须:


  • 以合理的确定性估算其在线服务中儿童用户的年龄,确保与其数据管理实践带来的风险相适应

  • 将《加州适龄设计法案》的隐私和数据保护措施适用于所有使用该在线服务的消费者默认隐私设置。


(3)默认隐私设置


根据《加州适龄设计法案》1798.99.31条,企业必须为儿童配置其默认隐私设置,以提供高水平的隐私保护,除非企业能够证明有充分理由表明,采用不同的设置更符合儿童的最佳利益。


(4)位置追踪显著提示


根据《加州适龄设计法案》1798.99.31条,如果企业允许儿童的父母、监护人或任何其他消费者监控儿童的在线活动或追踪儿童的位置,则在儿童被监控或追踪时,向儿童提供明显的信号。


(5)禁止采取危害行为


根据《加州适龄设计法案》1798.99.31条,企业应禁止采取如下危害儿童的行为:


a. 对儿童的身体健康、心理健康或福祉造成重大损害的方式使用任何儿童的个人信息

b. 默认情况下对儿童进行概要分析[4]

c. 处理不必要的任何个人信息

d. 出于收集个人信息之外的任何原因使用个人信息,除非企业能够证明有令人信服的理由证明使用个人信息符合儿童的最大利益

e. 默认收集、出售或共享儿童的任何精确地理定位信息

f. 收集儿童的任何精确地理定位信息,但在收集期间没有向儿童提供正在收集精确地理定位信息的明显标志;

g. 使用黑暗模式引导或鼓励儿童提供超出合理预期的个人信息,以放弃隐私保护,或采取企业知道或有理由知道的任何行动,对儿童的身体健康、心理健康或福祉造成重大损害

h. 将收集到的任何个人信息用于估计年龄或年龄范围以用于任何其他目的,或保留该个人信息的时间超过估计年龄所需的时间。


(6)总结


综上,企业还应采取的合规措施包括:






《堡垒之夜》分析与解读


《堡垒之夜》案中所涉及与儿童个人信息保护相关的违法行为为游戏领域所涉的典型高频违法事项,且FTC对于Epic Games处以巨额罚款。


在本案之中,FTC的违法认定及Epic Games后续针对此事项采取的合规措施均值得游戏企业参考。


1. 案情概况


Epic Games于2017年推出的《堡垒之夜》是一款全球玩家超过4亿的在线多人视频游戏。游戏大多数模式可免费下载,但玩家可通过游戏内(应用内)购买来定制角色服饰和工具。


在与联邦贸易委员会(FTC)达成的两项破纪录和解协议中,Epic Games同意支付5.2亿美元的罚款,以解决其违反儿童隐私保护法以及通过欺骗性设计诱导玩家进行不必要游戏内购买的问题。除了这笔巨额罚款外,和解协议还要求Epic Games对游戏的隐私保护和同意控制做出重大调整。FTC于2022年12月19日公布了这一消息。此次案件还体现了FTC在游戏行业中对儿童个人信息保护的监管思路。


2. Epic Games违法行为


在该案之中,FTC认为Epic Games的具体违法行为包括以下两类:


第一,关于儿童个人信息保护,Epic Games的违法行为具体包括:


(1)未征得家长同意收集儿童个人信息。Epic Games在未事先获得家长同意的情况下,收集了13岁以下《堡垒之夜》玩家的个人信息,包括儿童的全名、电子邮件地址、用户名等,并允许其参与游戏中的实时互动功能,这一行为违反了COPPA。


(2)默认启用实时语音和文本聊天功能。Epic Games因默认启用面向儿童和青少年的实时语音和文本聊天功能,涉嫌违反《联邦贸易委员会法案》第五条的规定,该条款禁止从事不公平或欺骗性的商业行为。游戏的默认设置使所有用户(包括已知为儿童的用户)均可进行实时语音和文本交流。联邦贸易委员会认为,这些默认设置以及Epic Games在将陌生玩家配对一同游戏方面的角色,使得许多儿童和青少年在参与《堡垒之夜》时,遭受了欺凌、威胁、骚扰,甚至暴露于自杀和自残等创伤性内容。


第二,黑暗模式,在本维度下,Epic Games的违法行为包括


(1)使用黑暗图案诱骗用户进行无意的游戏内购买。该机构表示,《堡垒之夜》的“违反直觉、不一致且令人困惑的按钮配置导致玩家因按下单个按钮而产生不必要的费用。”玩家可能在将游戏从睡眠模式唤醒或按相邻按钮预览物品时,产生未经授权的费用。


(2)未经授权向账户持有人收取费用。《堡垒之夜》玩家可以使用名为“V-Bucks”的游戏货币购买游戏内物品。Epic 在信用卡首次使用时立即存储该卡信息,而不需持卡人的同意或知情。此后,直到2018年,Epic 使用存储的信用卡让儿童购买V-Bucks,而不需要父母或信用卡持有人的任何操作或同意。因此,许多家长不知道他们的孩子能够使用信用卡在《堡垒之夜》中购买V-Bucks。


(3)阻止访问已购买的内容。Epic 锁定了那些对信用卡公司提出未经授权收费异议的消费者账户,导致玩家无法访问所有已购买的内容。即使游戏公司解锁了账户,也会警告玩家,如果他们对未来的任何收费提出异议,可能会被终身禁用。


(4)忽视超过一百万用户的投诉,并且员工反复提出大量玩家被错误收费的担忧。此外,Epic 故意隐藏了取消和退款功能,使它们更难被找到,这是较为常见的黑暗模式手段。


3. Epic Games合规措施



在epic与ftc达成和解后,其于官网发布《Epic FTC Settlement and moving beyond long-standing industry practices》[5],并声明其针对游戏采取了如下合规优化:


第一,儿童隐私保护措施:


(1)改进年龄验证和玩家保护措施:Epic引入了“Cabined Accounts”(封闭账户),为13岁以下玩家提供一个安全且个性化的游戏体验,在等待父母同意时,禁用了如聊天和购买等功能。


(2)强化儿童和青少年隐私保护:Epic在2019年推出了额外的家长控制功能,允许家长授权真实货币购买。针对13岁以下玩家,Epic还引入了每日消费限额功能。此外,Epic对16岁以下玩家默认启用了成熟语言过滤功能,且隐私设置默认将语音和文本聊天设为“无”。


(3)全球隐私法律合规:Epic遵循美国COPPA,并扩展到其他国家的类似法律(如欧盟GDPR),确保对未满18岁的玩家实施严格的隐私保护措施。


第二,支付和退款系统改进:


(1)支付信息存储选择改为明确的同意机制:Epic与FTC达成协议后,改变了默认保存支付信息的做法,现提供明确的“是”或“否”选项,供玩家选择是否保存支付信息。


(2)增加确认购买意图的步骤:为防止玩家误购买,Epic新增了“持按购买”机制,即玩家需再次确认购买意图,增加了防止误操作的保障。除此之外,Epic还保留了即时购买取消和自助退款功能。


(3)优化退款申请渠道:Epic更新了退款政策,考虑到非欺诈情况,仅在存在欺诈迹象时才会禁用账户。此前因投诉退款(chargeback)而被禁用的账户,现已恢复。


第三,游戏内的其他更新:


(1)无付费赢取或付费进阶机制:Epic声明《堡垒之夜》游戏内不存在“付费赢取”或“付费进阶”的机制。


(2)无随机物品盲盒:自2019年起,《堡垒之夜》移除了付费随机物品盲盒,游戏内不涉及赌博行为。


(3)家长控制功能:Epic增加了更多家长控制选项,包括设置PIN码授权好友请求和购买操作,允许家长管理孩子的隐私和交流权限。此外,家长可以设置语音聊天权限的粒度,选择与“所有人”“仅限朋友和队友”“仅限朋友”或“不允许”进行语音聊天。


(4)个性化隐私设置:13岁以下玩家的默认隐私设置较为严格,语音和文本聊天默认设置为“无”,确保未成年人在游戏中的隐私安全。



总结


综上,美国视角下游戏领域儿童个人信息保护合规思路与步骤可总结如下表:







本文标注(滑动阅览):

[1] 根据 CCPA,“企业”是指收集和处理加州居民个人信息的任何加州营利性实体,并且(1)上一日历年的年总收入超过 2500 万美元,(2)单独或在合并,每年购买、出售或共享 100,000 名或更多加州居民或家庭的个人信息,或(3)其年收入的 50% 或更多来自出售或分享加州居民的个人信息。

[2] Children’s Online Privacy Protection Rule: A Six-Step Compliance Plan for Your Business,访问时间2024年12月9日,访问链接:

https://www.ftc.gov/business-guidance/resources/childrens-online-privacy-protection-rule-six-step-compliance-plan-your-business

[3] 例如:(A)标识符,如真实姓名、别名、邮政地址、唯一个人标识符、在线标识符、互联网协议地址、电子邮件地址、账户名、社会安全号码、驾照号码、护照号码或其他类似标识符。(B)第1798.80条(e)款中描述的任何个人信息。(C)根据加州或联邦法律保护的分类特征。(D)商业信息,包括个人财产、购买、获得或考虑的产品或服务的记录,或其他购买或消费历史或倾向。(E)生物识别信息。(F)互联网或其他电子网络活动信息,包括但不限于浏览历史记录、搜索历史记录以及消费者与互联网网站应用程序或广告交互的信息。(G)地理位置数据。(H)音频、电子、视觉、热学、嗅觉或类似信息。(I)专业或就业相关信息。(J)教育信息,定义为《家庭教育权利和隐私法》(20 U.S.C. Sec. 1232g; 34 C.F.R. Part 99)中定义的非公开个人身份信息。(K)从本细分中确定的任何信息中得出的推论,以创建反映消费者偏好、特征、心理趋势、倾向、行为、态度、智力、能力和资质的消费者概况。(L) 敏感个人信息。

[4] 除非同时满足以下两个条件:(A)企业可以证明其已采取适当的保障措施来保护儿童。(B)以下任一情况为真:(i)分析对于提供所请求的在线服务、产品或功能是必要的,并且仅针对儿童主动且知情地参与的在线服务、产品或功能的方面。(ii)企业可以提出令人信服的理由,证明分析符合儿童的最大利益

[5] Epic FTC Settlement and moving beyond long-standing industry practices,访问时间:2024年12月9日,访问链接:

https://www.epicgames.com/site/en-US/news/epic-ftc-settlement-and-moving-beyond-long-standing-industry-practices


本期作者


陈梦园


兰迪律师事务所 律师


专业领域

数据合规、知识产权、TMT领域。


联系方式

mengyuan.chen@landinglawyer.com

13524499989

兰迪律师
致力于打造由华人主导的国际大所、强所。
 最新文章