微軟將為收集兒童個資付給 FTC 2,000 萬美元合解金

並且要改變帳號創建的流程,確保在取得家長同意前不會收集到兒童個資。

Microsoft
Microsoft

最近積極出擊打擊科技公司犯罪的 FTC,又再下了一城:微軟同意以 2,000 萬美元來和解關於違反兒童線上隱私保護法(COPPA)的訴訟案。在這個由美國法務部代 FTC 提告的訴案中,微軟被指控在未獲家長同意之下,收集未成年人的 Xbox 用戶資訊。

要玩 Xbox 遊戲或使用 Xbox Live 等服務的話,用戶要提供包括全名、電郵、出生地、(2021 年前)電話等資訊,並且同意微軟的廣告政策。FTC 發現的問題,是微軟先收集了這些資料,然後才要求未滿 13 歲的兒童取得家長同意,來完成帳號的開設。然而,如果家長未能完成最後步驟的話,微軟實際上是已經收集並儲存了這些個資了。依 COPPA 的規定,線上服務應該要第一步取得了家長的同意,才能開始收集資料,因此這個順序上的失誤,讓微軟在 2015 年到 2020 年間一直處在違法的狀態。

微軟強調他們並非有意保留這些兒童的個資,而是一個「技術上的問題」,讓申請到一半的資料還保留著。在調查發現有這個狀況後,微軟工程團隊已經立即刪除了相關資料,並且這些資「從未被使用、分享或是用來牟利」。

除了為此付出 2,000 萬的和解金外,微軟也被法務部要求要改善未成年人的帳號創建過程。這部份微軟已經更新了流程,在第一步輸入生日,確認為未成年人後,就會直接要求要家長同意,否則不會進入其他資料的輸入頁面。不過雖然微軟已經改採了新步驟,這還是要法院同意符合 COPPA 要求,才能算完成了和解的條件。另外,為了保險起見 2021 年 5 月前年齡未滿 13 歲的兒童將會在未來幾個月內,被要求再一次取得家長同意,才能繼續使用帳號。