“1998 年儿童在线隐私保护法案”报告
此报告显示在您站点上发现的“儿童在线隐私保护法案 (COPPA)”问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规,并且可能会被视为违反法律规定。注意:此报告中的许多问题与 HIPAA 报告中的问题类似。如果将两份报告都添加到仪表板,那么问题总数会大量增加。如果要防止发生这种情况,您可以为每个报告都创建选项卡,或只将其中一个报告添加到仪表板中。
它为什么重要
COPPA Act 要求美国联邦贸易委员会发布和实施相应的规则,以保护 13 岁以下儿童个人信息的在线收集和使用。主要目标是使家长可控制其子女在线收集的信息内容。
常见的误解是 COPPA 仅适用于针对 13 岁以下儿童且收集个人信息的 Web 站点的运营商,这些采用了卡通或人物的站点推销儿童产品,使用儿童模型,使用儿童喜欢的字体和颜色或提供游戏。更重要的是,COPPA 还适用于有意识地收集 13 岁以下儿童个人信息的“一般受众”Web 站点。对于所有 Web 站点运营商而言,评估站点属性以确定其是否在 COPPA 作用范围内至关重要。
本法律适用于以下站点的操作员:
- 针对 13 岁以下儿童且收集儿童个人信息的商业 Web 站点或在线服务
- 有意识地收集 13 岁以下儿童个人信息的一般受众站点
- 具有单独的儿童区并且收集儿童个人信息的一般受众站点
如果外国运行的 Web 站点针对美国儿童或其有意识地收集美国儿童的信息,那么这些站点必须符合 COPPA。
COPPA 需求
联邦贸易委员会将针对适用 Web 站点运营商的 COPPA 要求概括如下:
- 在 Web 站点的主页上发布隐私策略,并在每个收集个人信息的页面上链接到此隐私策略。
- 向家长提供有关站点信息收集规程的须知,并在收集儿童个人信息之前获取可证实的家长同意。
- 允许家长选择是否将子女个人信息向第三方透露。
- 提供家长对其子女个人信息的访问权和删除子女个人信息的机会以及将来不收集或使用此信息的选择权。
- 儿童参加游戏、竞赛或其他活动时,不将其参加条件设定为儿童需要透露超出合理范围的个人信息才能参加此活动。
- 维护从儿童收集的个人信息的机密性、安全性和完整性。
遵守 COPPA 的最佳做法
- 详细了解 COPPA 要求。您对要求的了解越多,制定符合它们的相应策略也将更加容易。
- 确定您的 COPPA 策略。确定 COPPA 对 Web 站点的适用性并制定一致性策略。例如,如果 Web 站点主要针对成人,那么明智的做法可以是通过不询问年龄或出生日期来避免有意识地收集儿童的个人信息。
- 制定策略和标准。制定隐私声明,建立数据收集原则,以及确定适合于内容屏蔽和家长同意过程的技术标准
- 评估和修复现有 Web 站点。识别和复查所有收集个人信息的表单。如果不要求年龄,那么避免收集此信息是可行的。如果要求年龄,那么需要实施合适的封锁访问和家长同意机制。
- 处理新 Web 站点。向所有 Web 站点项目干系人(包括第三方)提供培训,在 Web 站点设计/内容创建业务流程中集成标准,以及在 QA 过程中集成一致性检查。
- 考虑签章计划/safe harbor。订阅由 TRUSTe 等客观的第三方组织运作的 FTC 批准的 COPPA Safe Harbor 计划可以提供有价值的实施指导并充当一线防御。
- 实施持续性监控。实施持续性监控过程以确保:
- 新 Web 站点符合已建立的 COPPA 标准
- 新 Web 站点项目干系人接受适当的培训
- 对现有 Web 站点的更改不会造成不符合 COPPA