「1998 年兒童線上隱私保護法案」報告
這份報告顯示在您的網站上找到的「兒童線上隱私保護法案 (COPPA)」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全,並可能會被視為違反法規。附註:這份報告中的許多問題類似於 HIPAA 報告中的問題。如果兩份報告新增到單一儀表板中,問題總數會提高。如果要防止發生這個情況,您可以建立每份報告的個別標籤,或只新增其中一份報告到儀表板中。
重要性
「COPPA 法案」要求「美國聯邦交易委員會」發佈及強制實施對於在線上收集及使用 13 歲以下兒童個人資訊之保護規則。主要目標在於令父母控制線上向其子女收集之資訊。
以下為常見之誤解:COPPA 只適用於針對 13 歲以下兒童收集個人資訊之網站的操作員,這些網站提供卡通或人物、促銷兒童產品、使用兒童模特兒、使用童趣字型及色彩,或提供遊戲。更重要的是,COPPA 也適用於有意向 13 歲以下兒童收集個人資訊的 「一般讀者」網站。所有網站操作員都務必慎重評量其內容,判斷是否在 COPPA 範圍內。
這個法律適用於下列操作員:
- 針對 13 歲以下兒童,向兒童收集個人資訊的商業網站或線上服務
- 有意向 13 歲以下兒童收集個人資訊的一般讀者網站
- 有個別的兒童區域,以及向兒童收集個人資訊的一般讀者網站
在外國執行而針對美國兒童,或有意向美國兒童收集資訊的網站,必須符合 COPPA。
COPPA 需求
「美國聯邦交易委員會」彙總對於適用的網站操作員的 COPPA 需求如下:
- 在網站首頁公佈隱私權原則,在每個收集個人資訊的頁面上,提供隱私權原則鏈結。
- 向父母提供關於網站之資訊收集實務的注意事項,在向兒童收集個人資訊之前,取得可供驗證的父母同意。
- 提供父母是否向第三方揭露其子女之個人資訊的選擇。
- 提供父母對其子女個人資訊之存取權,以及提供機會,令父母得刪除其子女個人資訊,以及拒絕未來的資訊收集及使用。
- 兒童因參與遊戲、競賽或其他關於兒童之活動而公開個人資訊的條件,不得超出參與該活動之合理必要範圍。
- 維護向兒童收集之個人資訊的機密性、安全性及完整性。
符合 COPPA 的最佳實務
- 詳細瞭解 COPPA 需求。越瞭解需求,越容易擬訂符合需求的策略。
- 決定 COPPA 策略。判斷 COPPA 對您的網站的適用性,並且擬訂標準策略。比方說,如果網站的主要目標是成人,最好不要詢問年齡或生日,以避免有意收集兒童的個人資訊。
- 擬訂原則和標準。擬訂隱私權注意事項、制定資料收集原則,以及確定用於封鎖及取得父母同意的適當技術標準
- 評量及修正現有的網站。識別及檢閱所有收集個人資訊的表單。如果不需要年齡,最好避免收集。如果需要,您必須實作適當的封鎖機制及取得父母同意的機制。
- 處理新網站。訓練所有網站利害關係人(包括第三方)、在設計網站/建立內容的商業程序中整合標準,在 QA 程序中整合標準檢查。
- 考慮戳記計劃/Safe Harbor。訂閱由客觀第三方組織(如 TRUSTe)管理的 FTC 核准 COPPA Safe Harbor 計劃,能夠提供具價值的實作指引,可以作為第一線的防禦。
- 進行不間斷的監視。請實作不間斷的監視程序,以確保:
- 新網站符合既有的 COPPA 標準
- 新網站的利害關係人得到適當的訓練
- 變更現有的網站不會違反 COPPA 標準