Tiktok的教訓：聯邦和州法律對兒童生物識別數據隱私的影響

Bess Hinson，Ashley Thomas和Bisi Adeyemo，Morris，Manning＆Martin，LLP的來賓帖子

蒂克托克（Tiktok）因其與隱私倡導者和監管機構的持續鬥爭而佔據了新聞頭條。美國政客們對蒂克托克（Tiktok）對與中國政府的潛在聯繫構成了國家安全威脅，特朗普總統在美國眾多國家禁止該應用程序對Tiktok的數據收集實踐進行了積極調查，印度也禁止該應用程序在其邊界內使用。蒂克托克（Tiktok）被政府當局審查的主要原因之一是提克托克（Tiktok）收集了與未成年人有關的個人信息，以及所謂的缺乏安全性和隱私保護措施明確針對使用該應用程序的主要人口統計目標的兒童量身定制。採用數據隱私和生物識別法的國家對與兒童有關的個人信息收集有特定的要求。由於該應用程序的性質及其目的，Tiktok還被審查以遵守影響未成年人的隱私法律。

2020年5月，Tiktok，Inc。（Tiktok）及其中國母公司Bontedance Inc.在舊金山聯邦法院提起的訴訟中命名，指控根據伊利諾伊州的生物識別信息隱私法（BIPA）的要求，因為他未能獲得未成年人的父母同意。這項訴訟並不是Tiktok第一次面對其有關未成年人的數據收集實踐的審查。蒂克托克（Tiktok）於2019年與聯邦貿易委員會（FTC）達成和解，據稱違反了《兒童在線隱私保護法》（COPPA），並受到了消費者權利組織的批評。針對兒童的產品和服務的公司需要了解調節生物識別收集的聯邦和州隱私法，以及有關次要數據收集的特定要求。

伊利諾伊州生物識別隱私法

由於Covid-19的結果，企業可能會增加對生物識別數據收集的採用，以避免感染病毒並最大程度地減少傳播。伊利諾伊州的比帕（Bipa）於2008年頒布，是第一個採用管理生物識別數據收集法律的州。伊利諾伊州立法機關認識到，生物識別信息與其他獨特的標識符或敏感信息不同，並通過了保護生物識別信息的法律。

在伊利諾伊州的Bipa下，“生物識別標識符”被定義為任何個人功能，例如視網膜掃描，指紋，語音紋理，並特別包括面部幾何形狀的掃描。 BIPA進一步將生物識別信息定義為基於個人的生物特徵識別符來識別個體的任何信息。 BIPA還提供了標識符的示例，這些標識符被排除在覆蓋範圍之外，其中包括編寫樣品，照片，物理描述，例如身高和體重。在企業收集生物特徵識別信息之前，BIPA要求企業以：

- 向個人，父母或法定監護人提供書面通知，以收集和存儲生物識別信息；

- 通知個人，父母或法定監護人將保留多長時間的生物特徵信息以及使用生物特徵識別信息的具體目的；

- 從個人，父母或法定監護人那裡獲得書面釋放；

- 制定公開可用的書面政策，其中包括保留時間表和指南，以永久破壞生物識別信息時，當不再存在收集目的或在企業與個人主題之間的最後一次互動之後的三年之內，以較早者為準。

原告代表被確定為PS和MTW的未成年人提起訴訟，他聲稱Tiktok收集了未成年人的面部認可掃描，並且在收集或使用未成年人的面部掃描之前未獲得父母同意。原告還聲稱，Tiktok沒有透露他們對數據，有權訪問的數據以及是否存儲該數據的時間以及是否存儲了多長時間的數據。 BIPA允許原告獲得每次過失違法行為$ 1,000的法定賠償，每種故意或魯ck違反的賠償金為5,000美元。 Tiktok的原告正在尋求公平的救濟，並要求Tiktok遵守BIPA，通過提供公開可用的保留時間表或指南，以永久破壞Tiktok App用戶的生物識別標識符和生物識別信息。

兒童在線隱私保護法（COPPA）

去年，聯邦貿易委員會（FTC）對蒂克托克（Tiktok）提出了投訴，指控該公司在13歲以下的兒童中未能在收款之前通知父母，違反了COPPA，未能獲得可驗證的父母同意，並且未根據父母的要求刪除孩子的信息。投訴進一步承認，蒂克托克（Tiktok）意識到，很大一部分用戶比13歲以上年輕，並收到了父母的許多投訴，他們的孩子在沒有父母不知情的情況下創建了帳戶，並且年齡在13歲以下。

2019年2月27日，Tiktok同意向當時的570萬美元支付570萬美元，即創紀錄的金額，以解決該公司違反COPPA的指控，該指控將來同意遵守COPPA，並同意接受13歲以下兒童離線兒童製作的所有視頻。儘管Tiktok同意遵守，但該公司仍面臨許多仍在違反COPPA的指控。 2019年12月，蒂克托克（Tiktok）在加利福尼亞州和伊利諾伊州的兩名父母中提出了110萬美元的訴訟，他們聲稱蒂克托克未經父母同意就從13歲以下的兒童那裡收集了個人信息。兒童隱私擁護者於2020年5月向FTC提出投訴，稱該公司違反了和解協議，包括未能刪除13歲以下兒童的所有視頻。

國際審查

美國並不是唯一對Tiktok的數據收集實踐進行審查的國家。 2020年5月，荷蘭的數據保護局宣布對Tiktok的數據收集實踐進行了積極調查。荷蘭數據保護局認識到大量荷蘭兒童在大流行期間註冊了該應用程序，因此正在研究使用該應用程序提供給兒童提供的信息是否易於理解，並充分說明瞭如何根據歐盟的通用數據保護法規（GDPR）收集，處理和使用他們的個人數據。荷蘭DPA還將檢查Tiktok是否需要父母同意才能收集，存儲和使用兒童的個人信息。在尼日利亞，非營利組織，法律和權利意識倡議正在起訴Tiktok聲稱其數據收集實踐違反了尼日利亞數據保護法規。 2020年6月29日，印度以國家安全問題為由，禁止使用Tiktok的其他移動應用程序。所有這些調查和案件仍在等待中。

額外的州隱私法

儘管Tiktok並未根據其他州隱私法提起訴訟，但推銷或服務未成年人的公司應意識到州法律隱私的發展。

- 德克薩斯州的生物特徵隱私法要求在捕獲生物識別標識符或銷售生物識別信息之前先同意事先同意，並且必須在儲存信息中使用合理的護理，並應在合理的時間內破壞生物識別標識符。德克薩斯州對每次違規行為施加了25,000美元的嚴重罰款。

- 華盛頓法律禁止任何公司或個人出於商業目的進入數據庫中的生物識別數據，而無需先提供通知，同意或提供機制，以防止隨後將生物識別標識符用於商業目的。

- 佛羅里達州成為2014年第一個禁止其學生生物識別數據收集的州。佛羅里達州法律禁止學校和地區收集，獲取或保留任何學生生物識別信息。

在2020年，生效的兩項新的州隱私法包括生物識別信息：《加利福尼亞州消費者隱私法》（CCPA）和《紐約停止駭客》和《改善電子數據安全法》（NY Shield Act）。

CCPA於2020年1月1日生效，要求覆蓋的企業提供個人信息的通知，包括生物識別標識符，他們收集加利福尼亞州的消費者，並為加利福尼亞州消費者提供私人行動權，如果個人信息涉及某些數據洩露。在CCPA下，未經事先同意，企業無法出售16歲或以下的消費者的個人信息。對於十三歲或以下的未成年人，企業必須從父母或監護人那裡獲得同意。如果未成年人的年齡在13至16歲之間，則企業可以從未成年人中獲得同意。 CCPA要求企業必須建立，記錄並遵守一種合理的方法來驗證個人授權出售兒童數據的身份實際上是孩子的父母或監護人。加利福尼亞總檢察長頒布的CCPA法規，其任務是與CCPA執行的，提供了允許的驗證形式的示例，其中包括：

- 提供同意書，由父母或監護人以偽證處罰在身體或電子上簽名，並通過郵政郵件，傳真或電子掃描返回業務；

- 要求父母或監護人使用付款方式，例如提供每筆交易通知的信用卡；

- 要求父母或監護人通過免費電話或視頻會議與受過訓練的人員親自交流；或者

- 驗證父母或監護人針對該業務數據庫的政府發行的識別，然後迅速從業務數據庫中刪除其PI。

《紐約盾法》於2020年3月21日頒布，並要求保留紐約居民計算機信息的任何企業都必須制定數據安全計劃，以保護包括生物識別信息在內的私人信息的安全性，機密性和完整性。必須遵守《紐約盾牌法》的業務才能實施包括合理的管理，物理和技術保障措施的數據安全計劃。如果小型企業的安全計劃具有合理的行政，技術和物理保障措施，那麼根據《盾牌法》定義為小型企業的任何企業都符合數據安全要求，這些計劃適合於業務的規模，業務活動的性質和範圍，以及企業從消費者那裡收集的個人信息的敏感性。違反《紐約盾牌法》被視為欺騙性法案或做法，紐約總檢察長必須監督法規的執行。承保的企業可能對每次違規最高5,000美元的民事罰款負責。

最佳實踐

生物識別隱私法正在不斷發展，企業應積極監控聯邦和州法律的發展。雖然對為未成年用戶提供服務或市場的企業的生物識別隱私合規性沒有一種適合的方法，但這裡有一些企業應考慮的最佳實踐：

- 提供有關13歲以下兒童收集的個人信息的通知；

- 如果收集16歲以下的歐洲或加利福尼亞兒童的信息，請評估是否適用其他要求；

- 在收集，使用或披露兒童的個人信息之前獲得可驗證的父母同意；

- 為父母提供審查和更改孩子的信息或允許他們刪除該信息的能力；

- 以相當安全的方式維護兒童的個人信息，以保護其機密，安全性和誠信；

- 定期諮詢您的律師，了解生物識別和兒童隱私法的新興發展。

關於作者

Bess Hinson是網絡安全和隱私實踐主席Morris，Manning＆Martin LLP專注於網絡和數據風險管理和治理，違規準備和響應，危機管理以及全球數據隱私合規。 Ashley Thomas和Bisi Adeyemo是網絡安全和隱私實踐的同夥。可以通過[email protected]，[email protected]與他們聯繫[email protected]。

免責聲明：生物識別更新的行業見解是提交的內容。這篇文章中表達的觀點是作者的觀點，不一定反映生物識別更新的觀點。