兒童隱私保護亮紅燈?迪士尼因YouTube影片設定錯誤 遭美司法部重罰千萬美元
記者孫敬/編譯
迪士尼全球服務公司(Disney Worldwide Services)與迪士尼娛樂營運公司(Disney Entertainment Operations)近日達成協議,同意支付1000萬美元的鉅額罰款,以和解美國司法部依《兒童線上隱私保護法》(COPPA);對其非法蒐集未滿13歲兒童個資的指控。
美國司法部應聯邦貿易委員會(FTC)向法院提起訴訟,指控迪士尼未能正確標示YouTube頻道上針對兒童的內容。訴訟內容指出,迪士尼將許多影片預設為「非兒童導向」,導致系統得以向年幼的觀眾分配「永久性識別碼」(Persistent identifiers,PIDs),進而啟動定向廣告與其他資料驅動的功能,但這些功能本應對兒童禁用。
延伸閱讀:微軟贈雲端服務折扣禮包予美政府 強化公部門應用及市占率
YouTube設定成漏洞,迪士尼無意間違法
這場官司裡面,迪士尼在超過1,250個頻道上傳了數萬部影片,其中許多內容包含動畫角色、兒歌合唱與故事朗讀,明顯是為兒童量身打造。不過YouTube早在2019年便要求創作者必須標示「為兒童製作的內容」,以符合COPPA法規,但迪士尼的公司政策卻只將頻道整體標示為「兒童導向」或「非兒童導向」,極少針對單一影片進行調整。
這項錯誤的設定導致許多兒童導向影片上仍啟用了自動播放、留言與互動提示等功能,進而導致系統在未經家長同意的情況下非法蒐集個資與投放定向廣告。法院文件顯示,迪士尼在設定面板上的「受眾」切換鈕配置錯誤,這個錯誤配置如同一個「惡意程式」般,利用預設設定來竊取用戶數據。
儘管這並非傳統的惡意程式碼,但YouTube上的受眾標籤,卻成了攻擊媒介,讓第三方追蹤器得以在未經家長可驗證同意的情況下,從未成年人身上蒐集永久性識別碼。
和解案帶來警示,企業須強化合規機制
根據和解協議,迪士尼必須實施一套全面的合規計畫,包括自動檢查受眾設定,並定期進行第三方稽核。若未遵守,將面臨額外罰款。
迪士尼這次無意間的感染機制,關鍵在於YouTube受眾標籤的API(應用程式介面),其運作方式類似一個容易被錯誤分類的配置檔。透過持續在頻道層級將madeForKids設定為false,迪士尼確保了所有單一影片都繼承了非兒童導向的標籤。這個錯誤的標示,讓YouTube平台得以啟動定向廣告模組與留言追蹤功能,效果類似於在應用程式中載入一個追蹤函式庫。
這起案件也強烈警示所有數位媒體業者,誤設的平台設定可能成為隱蔽的數據蒐集機制,並強調了在數位營運中,實施穩健、自動化的合規控制措施是多麼重要。
資料來源:Cyber Security News
