Bleeping Computer 網站消息，微軟同意支付 2000 萬美元罰款并改變兒童數據隱私程序，以解決聯邦貿易委員會（FTC）對其違反《兒童在線隱私保護法》（COPPA）的指控。

COPPA 是一項美國聯邦通用法律，主要針對在線收集 13 歲以下兒童個人信息的行為，規定網站管理者要遵守隱私規則，必須說明何時和如何以一種可以驗證的方式向兒童家長索求同意，并且網站管理者必須保護兒童在線隱私和安全。

微軟未經家長允許，收集兒童隱私數據

根據消費者保護機構的說法，微軟在未征得父母同意甚至未通知他們的情況下，收集并保留了注冊 Xbox Live 服務兒童的個人信息。邦貿易委員會表示在 2015 年至 2020 年間，微軟將兒童數據存儲在其服務器中數年。

法庭文件顯示，從 2017 年 1 月到 2021 年 12 月，大約 21.8 萬名美國 Xbox 主機用戶通過出生日期創建了微軟賬戶，但是這些出生日期在注冊時大都小于 13 歲。聯邦貿易委員會聲稱微軟沒有采取立法建議的適當行動，阻止未成年人注冊，此舉違反了多個法律條款。

FTC 新聞稿中指出即使用戶表明了他們未滿 13 歲，但也被要求提供包括電話號碼在內的個人信息，并同意微軟的服務協議和廣告政策，其中包括一個預先勾選的方框，允許微軟發送促銷信息，并與廣告商分享用戶數據。

對于微軟收集兒童個人信息一事，聯邦貿易委員會除對其罰款外，還提出了微軟必須采取有力措施，以確保自身經營遵守 COPPA 的相關規定。盡管微軟和 FTC 都同意處罰方案，但最終的結果仍有待法院批準。

微軟必須實施以下措施：

• 為兒童創建一個單獨的帳戶，告知家長額外的隱私保護;
• 如果賬戶持有人仍是兒童，則在 2021 年 5 月之前創建的賬戶應獲得家長同意;
• 如果不再需要提供指定原始集合的服務，請刪除受 COPPA 保護用戶的所有個人數據，刪除未經父母同意而收集的存儲在其系統上的所有用戶數據;
• 自收集之日起，兩周內刪除受 COPPA 保護的用戶數據;
• 將 COPPA 保護擴展到從微軟接收用戶數據的第三方游戲發行商;
• 如果為創建頭像而收集的生物特征和健康信息與個人身份信息相結合，則將 COPPA 保護擴展到這些信息。

值得一提的是，美國聯邦貿易委員會近期一再強調科技公司應遵守數據隱私法規的重要性，尤其是那些處理敏感未成年用戶數據的公司。上周，美國聯邦貿易委員會對亞馬遜處以 2500 萬美元的罰款，原因是亞馬遜無視家長刪除孩子數據的請求，并繼續使用敏感用戶信息來訓練機器學習算法。

文章來源：https://www.bleepingcomputer.com/news/microsoft/microsoft-to-pay-20-million-for-xbox-children-privacy-violations/