社交账号登录

社交账号登录

0/34

上传头像

拖拽或者缩放虚线框,生成自己满意的头像

头像

预览

忘记密码

设置新密码

智能

多款应用侵犯儿童隐私,Google 和 Twitter 或许又有麻烦

Jennifer Valentino Devries, Natasha Singer, Aaron Krolik and Michael H. Keller2018-09-17 06:30:02

一旦被发现错标了消费者数据分享权限,这两家公司可能将面临巨额罚款。

本文只能在《好奇心日报》发布,即使我们允许了也不许转载*

在给 5 岁的儿子沙恩(Shane)下载 Fun Kid Racing(“趣味儿童赛车”)游戏之前,金·斯林格兰德(Kim Slingerland)特地留意了 Google Play 商店中的简介,确保这款应用属于“家庭”类别,适合低龄儿童使用。在这款游戏里,孩子可以开着卡通车与动物角色竞速,当时的下载量已达数百万次。

直到上个月,该应用还与超过 6 家广告公司和数据公司分享用户信息,有时还会分享设备的精确位置。本周二晚间,美国新墨西哥州司法部提起诉讼,指控 Fun Kid Racing 游戏的开发者通过多个 Android 应用分享儿童个人数据,违反了联邦儿童隐私保护法。

“这是不对的,”斯林格兰德表示。她来自加拿大艾伯塔省(Alberta),是 3 个孩子的母亲。“我的位置什么的,根本不关他们的事儿。”

为儿子下载的游戏会分享个人数据(包括位置信息)一事让斯林格兰德感到担忧。图片版权:Bryce Meyer for The New York Times

该游戏的开发者 Tiny Lab Productions 公司、Google 与 Twitter 旗下的广告公司,以及另 3 家公司被控违反了法律,让不满 13 岁儿童的个人信息落入了不法分子、网络黑客和恶意营销商的手中。此外,Google 还被控误导消费者,在应用商店里将多款应用归为“家庭”类别。

经《纽约时报》调查发现,其他开发者开发的儿童游戏也会收集用户信息。本报分别在 Google Android 和苹果 iOS 平台上测试了 10 款应用,结果表明,两大平台上均有若干应用向数据公司泄露用户数据,或已违反了儿童隐私保护法。但总体而言,iOS 平台上的应用传输的数据较少。

此次调查结果与今春发表的一项学术研究报告不谋而合。当时,研究人员分析了近 6000 款 Android 平台上的免费儿童应用,结果有一半以上可能与第三方公司非法分享了用户数据,其中就包括 Tiny Lab 公司开发的多款应用。

尽管联邦法律并未对成年用户的网络隐私提供太多保障,但其对保护 13 岁以下儿童隐私有着明确规定。根据《儿童在线隐私保护法》(Children’s Online Privacy Protection Act),儿童不得受到不正当跟踪,包括出于投放广告目的跟踪。没有父母明确的、能被核实的许可,儿童网站和应用不得出于精准投放广告的目的收集个人信息,包括姓名、电子邮件地址、地理位置,以及诸如 cookies 等用于跟踪用户行为的数据。

然而,新墨西哥州提出的诉讼以及对儿童应用的分析显示,不少应用开发者、广告公司、应用商店在保护儿童隐私方面均有欠缺。

新墨西哥州司法部长赫克托·巴尔德拉斯(Hector Balderas)表示:“这些精明的科技公司内部监管不力,最终受到损害的是我们的孩子。”

美国联邦贸易委员会(Federal Trade Commission)消费者保护部门前主管杰茜卡·里奇(Jessica Rich)称,调查结果“意义重大,令人颇为不安”,说明“应用商店里为孩子开辟的‘安全空间’一点儿也不安全。”

Google 公司一名发言人阿龙·斯坦(Aaron Stein)表示,开发者有责任明确自己的应用是否主要面向儿童,Google 应用商店“家庭”类别中的应用则“必须符合更严格的规定”。

Twitter 一位发言人表示,公司旗下的广告平台 MoPub 禁止儿童应用收集用户信息、投放有针对性的广告。由于 Fun Kid Racing 游戏开发者违反了这项规定,Twitter 已于 2017 年 9 月暂时停用了该公司的账号。

Tiny Lab 公司的总部位于立陶宛,其创始人乔纳斯·阿布罗迈蒂斯(Jonas Abromaitis)则认为,公司遵守了法律和 Google 的规定,因为应用会要求用户提供年龄,并追踪 13 岁以上用户的数据。“我们的做法没有问题,”他说。

市场对数据跟踪的需求

如今许多公司都在追踪消费者在手机上的使用情况,勾勒他们的行为特征,进而有针对性地投放广告。其中,规模最大的两家公司分别是 AdMob 和 MoPub。

为了盈利,应用程序开发者通常有两个选择:发布附带广告的免费应用,或者向用户收费。但孩子没有钱购买应用,所以根据联邦法律,开发者不得跟踪他们的行为、向其展示有针对性的广告。

SuperAwesome 是一家协助客户开发儿童应用的科技公司,但它开发的应用不会收集儿童个人信息。公司首席执行官迪伦·科林斯(Dylan Collins)表示,应用开发者一直很难针对儿童的情况做出调整。

柯林斯透露,一些顶尖的儿童应用开发者已经开始向家长收取费用,或者在应用内显示未使用跟踪功能的广告。但他也指出,下载量较小的应用付费用户通常较少,不跟踪儿童用户信息、直接展示广告的话收入微薄。“于是(开发者)照样收集了大量儿童用户的数据。”

2013 年,苹果公司在应用商店里推出了一个儿童专区。商店告诫开发者说,想要在专区里发布应用,就“不得跨站点或跨应用跟踪用户”。苹果公司还告诉家长说,它会审核专区里的每一款应用,“确保应用介绍与实际相符”。

Google 表示,在应用商店里开辟“家庭”版块,是为了帮助父母给孩子找到“合适的、值得信赖的、高质量的应用”。

2015 年,Google 推出了一项类似的“亲子同乐”计划(Designed for Families)。Google 提示 Android 开发者说,“主要面向儿童”的应用“必须”加入此项计划,开发者也必须明确他们的应用符合儿童隐私保护法。Google 表示,开辟“家庭”版块是为了帮助父母给孩子找到“合适的、值得信赖的、高质量的应用”

“面向儿童”还是“面向家庭”

2013 年,Tiny Lab 创始人阿布罗迈蒂斯想下载一款能和 3 岁侄子一起玩的赛车游戏,却以失败告终,于是他自己开发了 Fun Kid Racing 这个游戏。Tiny Lab 还推出了诸如 Run Cute Little Pony(“可爱小马驹快跑”)之类的简易游戏。

然而,阿布罗迈蒂斯在接受采访时说,他们公司开发的应用面向“各类用户”,13 岁以下的儿童只是其中一部分。

这一区分相当重要:根据隐私保护法,面向低幼儿童的应用未经父母同意,不得追踪用户使用情况,但面向普通用户的应用则可以询问玩家年龄,从而收集较大年龄段用户的数据。

Tiny Lab 公司向 Google 商店提交应用时指出,这些游戏是面向家庭用户的,而不只是儿童。Google 也接受了这些应用。

《纽约时报》今年 7 月试用 Fun Kid Racing 时,应用会要求玩家从列表中选择出生年份。但它给出的年份默认在 2000 至 2001 年间,心急玩游戏的小孩子轻易就能点击“下一步”,冒充自己是青少年用户。经本报测试,假如玩家自称不满 13 岁,这款游戏就不会收集用户的地理位置信息。

据多封电子邮件显示,今春发表学术调查报告的研究人员在今年 6 月初向 Google 指出,开发者“似乎有故意标错类别的倾向”,把面向儿童的应用标为“主要不针对儿童”,从而方便他们跟踪用户、展示有针对性的广告。研究人员列举了 Tiny Lab 开发的 84 款应用,称他们发现 Google 应用商店里有近 3000 款应用似乎都标错了类别。

Tiny Lab 创始人阿布罗迈蒂斯在接受采访时说,他们公司开发的应用面向“各类用户”,13 岁以下的儿童只是其中一部分。图片版权:Andrej Vasilenko for The New York Times

今年 7 月,一名 Google 主管回应称,他们已就 Tiny Lab 的应用做了调查,并没有发现其违反了隐私保护法。这名主管表示,Google 认定“这些应用总体上主要面向的不是儿童,而是家庭用户”。

但一个月后,Google 的态度似乎有了 180 度大转变。公司告诉阿布罗迈蒂斯说,Tiny Lab 的一款游戏针对的人群应该是儿童,还给了 Tiny Lab 一星期时间调整这款应用以及其它类似的应用。于是,Tiny Lab 将旗下的 10 款应用更改为“面向儿童”,并在其中使用了针对儿童应用设计的广告服务。阿布罗迈蒂斯透露说,Google 当时批准了这些更新,但到了 8 月底时又标记了多款应用,促使他再次做了一波调整。

而在本周,Google 方面接到《纽约时报》质询后停用了 Tiny Lab 的账户,并从 Play 商店里下架了该公司开发的所有应用,理由是它们违反了多项政策规定。

被问及先前的几封电子邮件时,Google 表示当时做出了错误的结论,未能核实 Play 商店里的应用是否符合儿童隐私保护法的规定。

阿布罗迈蒂斯希望能与 Google 进一步沟通,让公司开发的游戏重回应用商店。

跟踪儿童用户的做法屡见不鲜

今年春天发表的学术研究显示,Android 平台上有超过一半的儿童应用会跟踪设备 ID,还有 5% 的应用未经家长许可就会收集儿童用户的地理位置或联系方式。

为了评估 iOS 和 Android 上的应用,《纽约时报》做了一项小调查,在两个平台上各测试了 10 款应用。据此前的学术研究显示,这些应用均与第三方共享了用户数据,本报抽样调查了最受欢迎的几款应用和若干下载量较少的应用,从而测试它们在 iOS 平台上是否也存在相同问题,以及后来在 Android 平台上是否已修复了漏洞。

尽管很难确认公司是否真的违反了联邦法律,但有 6 款 Android 应用与第三方共享了用户的精确位置、IP 地址和设备 ID,或许会给开发者带来麻烦。而在 iOS 平台上,有 5 款应用会把用户的 ID 分享给数据服务公司。

测试结果表明,除了 Fun Kid Racing 游戏外,还有一款名为 Masha and the Bear: Free Animal Games for Kids(“玛莎和熊:免费儿童动物游戏”)的 Android 应用也会把用户精确位置发送给其它公司。这款游戏在 Android 上的下载次数已达数百万次。而在 iOS 平台上,同款游戏则会把用户广告 ID 发送给一家禁止儿童应用使用其服务的数据公司。

Masha and the Bear 游戏开发商、总部位于塞浦路斯的 Indigo Kids 公司在一封电子邮件中回应称,收集儿童用户信息的是若干家第三方公司,所以 Indigo Kids 对此并不负责。该公司表示:“我们不收集、也不存储任何用户数据。”

另一些应用则把用户信息分享给了多家不允许儿童应用使用其服务的数据公司,或者在代码中错误标明它们并非来自儿童用户。这些做法都有可能违反了儿童隐私保护法。

《纽约时报》测试的应用中,还有几款会把广告 ID 分享给第三方公司,但它们自称这是出于法律允许的目的,比如为了防止某条广告出现的次数过多。

苹果公司发言人汤姆·诺伊迈尔(Tom Neumayr)表示,“我们非常重视”应用里涉及的儿童隐私,并称开发者必须严格遵守有关儿童应用不得跟踪用户行为的规定。

法律的执行

自 1998 年联邦儿童网络隐私法颁布以来,联邦贸易委员会已经提起了近 30 起诉讼,控告索尼 BMG 音乐娱乐Yelp 等公司存在违法行为。最终,这些公司都与委员会达成了庭外和解。

联邦贸易委员发言人朱丽安娜·格伦瓦尔德(Juliana Gruenwald)表示:“委员会已把落实《儿童在线隐私保护法》视为重中之重。”

但此次新墨西哥州提起的诉讼有所不同。州政府针对的不仅是个别应用开发商或广告公司,还牵扯到了 Google 和 Twitter 旗下的广告平台,以及 Google 应用商店的审批程序。

起诉书中称:“Google 明知 Tiny Lab 开发的应用在非法跟踪儿童用户。Google 的过错较为复杂,因为它对家长声称”Tiny Lab 的多款应用符合儿童隐私保护法的规定,并且“对孩子来说是安全的”。

此次诉讼对 GoogleTwitter 尤为不利,因为两者此前均因违反消费者隐私保护条例或安全准则与联邦政府达成了和解。一旦被发现错标了消费者数据分享权限,这两家公司可能将面临巨额罚款。

加州大学伯克利分校(University of California, Berkeley)的研究员瑟奇·埃格尔曼(Serge Egelman)表示:“除非采取强制措施,否则情况不会有任何改观。”埃格尔曼参与负责了今年春天开展的调查研究。

新墨西哥州司法部长巴尔德拉斯说,他希望联邦贸易委员会和联邦政府也像他一样采取行动。他呼吁道:“不仅是对科技行业,这对联邦政府而言也是一次沉重的打击。希望国家层面的立法官员都能醒醒了。”


翻译:熊猫译社 智竑

题图版权:Bryce Meyer for The New York Times

© 2018 THE NEW YORK TIMES

喜欢这篇文章?去 App 商店搜 好奇心日报 ,每天看点不一样的。