【CMIC讯】2 月28 日，美国联邦贸易委员会（Federal Trade Commission，FTC）与抖音海外版企业达成协议，企业因涉嫌侵犯儿童隐私而需要支付570 万美元（约3812 万人民币）的和解金。这也是FTC在美国儿童隐私案件中，做出的一笔最大民事罚款。虽然抖音国际（TikTok）北美负责人回应称，FTC 的调查对象为Musical.ly，与抖音、TikTok 没有关系。但由此暴露出的社交APP 所涉及的隐私保护和内容及数据的合规问题，值得关注。
　　
　　一、背景
　　
　　移动社交APP 行业在国内外发展态势迅猛。2017 年8 月，我国短视频用户数共计3.13 亿，而到了2018 年12 月，仅抖音一个APP 的活跃用户就达到了3.02 亿。作为移动互联网的代表产品，社交APP 好玩、带感，充分挖掘了用户碎片化时间娱乐、学习和社交需求，特别是视频类社交APP 革除了传统视频需要先看广告的硬广告植入，以一触即达的良好体验赢得市场认可，甚至成为大众娱乐生活中一个重要部分。社交APP 不仅在国内发展迅猛，国际市场上也取得了快速的发展。Quest Mobile 数据显示，2017 年移动社交行业的用户规模接近移动网民，渗透率高达92.9%，即九成以上的手机用户都会安装社交APP，预计在未来的若干年，社交APP 会继续保持增长态势。
　　
　　移动社交APP 数据合规问题频发。2018 年第三季度，工业和信息化部发现12 家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务等问题。2018 年11 月，被工业和信息化部下架的53 款APP 中，很大部分是因为违规收集、使用个人信息。国内社交网站“脉脉”曾经被质疑盗取用户资料，从而使未在“脉脉”上注册人的信息也出现在“脉脉”上，并被他人浏览。“生日管家”在2017 年被爆出泄露生日等他人隐私信息，虽然是他人上传的信息，但作为平台公司的“生日管家”也需承担连带责任。
　　
　　国外对数据合规的要求日益严格规范。到目前，我国还没有一个综合性的隐私保护法律规定。但在国外，尤其是发达国家都有专门性个人隐私保护法律，且要求日趋严格和规范，任何开放性网站和APP 都必须严格遵循。美国《儿童网络隐私保护法》规定，面向孩童的网站和线上服务在收集未满13 岁孩童的个人信息时，须取得其父母同意；《有效保护隐私权自律规范》要求美国网站从业者必须制定保护网络上个人资料与隐私权的自律公约。近年来，美国、欧盟纷纷出台了更加严厉的数据合规要求，如《2018 年加州消费者隐私法案（CCPA）》、《一般数据保护条例（GDPR）》等。
　　
　　二、案例介绍
　　
　　案件事实。2 月28 日，FTC 与抖音国际（TikTok）达成协议，因TikTok 旗下的Musical.ly APP 涉嫌侵犯儿童隐私，需支付570 万美元（约3812 万人民币）的和解金。该案例主要事实如下：触犯具体法律方面，FTC 指控Musical.ly 在获取13 岁以下孩童的姓名、邮件地址和其它个人信息之前，并没有征得孩童父母的同意。当事企业主体方面，正如抖音国际（TikTok）北美负责人回应的一样，FTC 的调查对象为Musical.ly，而非抖音国际（TikTok）；但是，责任承担主体方面，FTC 明确Musical.ly APP从2014 年开始违法接受用户注册，Musical.ly 于2017 年11 月被TikTok 收购并改名为TikTok，因TikTok 对Musical.ly 收购属于承债式收购，TikTok 不仅要负责Musical.ly 的债务，也要负责包括涉法等其它事项，故不管违法与否，TikTok 都是责任承担的主体。
　　
　　后续发展。依照联邦贸易委员会的指导，TikTok 随后会做出改变以更好地适应美国的年轻用户。首先，抖音国际版用户都需要对年龄进行验证，其次，不同年龄阶段的用户将被引导到不同的体验环境中，13 岁以下的用户体验在内容和用户互动方面会受更多限制，以保护他们的个人信息，并阻止他们向TikTok发布视频。
　　
　　三、简评
　　
　　移动社交APP 行业隐私保护规定应符合法律要求。近年来，互联网信息泄露和侵犯隐私事件层出不穷，现实与规范要求差距巨大。就本案来说，除了责任主体多元外，TikTok 的隐私保护政策也暴露出不少问题。TikTok 隐私保护政策规定：“本隐私权政策不适用于1.其他第三方产品或服务，可能包括在个性化推荐中向你显示的产品或网站和广告内容，或者抖音服务中链接到的其他产品或网站；2.为抖音服务进行广告宣传的其他第三方。”根据预修订的《个人信息安全规范》8.7 第三方接入管理相关条款，当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品，文件对个人信息控制者规定了包括建立第三方产品或服务接入管理机制、监督第三方落实安全管理要求和责任等督促和监督责任。所以根据此规范，TikTok 对第三方负有责任。《关于开展App 违法违规收集使用个人信息专项治理的公告》对隐私政策文本的规定，评估项4 也明确规定了APP 运营者不得在隐私政策中设置免责条款，免除其依照法律规定应当负有的强制性法律义务。
　　
　　数据合规应成为企业高度重视的红线。已发生的案例表明，首先在个人信息的收集上，很多企业对于个人隐私保护意识淡薄。今年3.15 活动中就曝光出许多企业非法使用“探针盒子”、“招财喵”和“智子盒子”等工具随意获取公众的私人信息。其次，在个人信息的保存、使用方面，存在着大量的有意泄露和管理不善被盗取的情况。如深圳佰仟金融公司规定数据工程师岗位有义务严格遵守公司的保密制度，但数据工程师张某利用工作之便盗卖大量数据。隐私侵犯、信息保护等数据合规问题，是企业在经营和国际化拓展中不可能践踏的“红线”。
　　
　　通过行业指引和认证等手段提高合规水平。法律的发展常常落后于行业的发展，而行业自律能在一定程度上弥补法律的滞后性。美国的行业自律模式值得我国借鉴。首先，建立行业自律组织，如美国电子隐私信息中心（EPIC）等，监督服务商在进行数据流通时要确保对个人隐私的保护。其次，健全行业标准，美国目前采用建议性行业指引（suggestive industry guidelines）和网络隐私认证（online privacy seal program）等对网络隐私权提供保护。我国也应通过立法模式与自律模式的结合，实现对数据保护的协同治理。

责任编辑：言笑晏晏