Lapset rakastavat pukeutumisleikkejä, mutta vanhemmat eivät halua heidän penkovan ullakkoa tai kiipeävän vaatekaapin ylimmälle hyllylle ilman lupaa ja asianmukaista valvontaa. i-Dressup.com-sivusto tarjosi käyttäjille – myös lapsille – virtuaalisen tavan leikkiä pukeutumista ja suunnitella vaatteita ilman näitä mahdollisia vaaroja. FTC:n valituksen mukaan i-Dressupin takana oleva Unixiz, Inc. rikkoi kuitenkin Children’s Online Privacy Protection Act -lakia tavoilla, jotka aiheuttivat erilaisia riskejä.
COPPA sisältää kaksi erillistä suojaa, joiden avulla vanhemmat voivat valvoa lapsistaan verkossa kerättyjä henkilötietoja. Ensinnäkin COPPA:n piiriin kuuluvien yritysten on julkistettava selkeästi tietopolitiikkansa ja saatava vanhempien suostumus ennen kuin ne keräävät henkilötietoja alle 13-vuotiailta lapsilta. Toiseksi yritysten on huolehdittava keräämiensä tietojen kohtuullisesta ja asianmukaisesta suojaamisesta. FTC:n sovintoratkaisun mukaan i-Dressup ei täyttänyt kumpaakaan COPPA:n vaatimusta.
Kanteen mukaan i-Dressup ei ilmoittanut sivustollaan riittävästi lapsilta verkossa keräämistään tiedoista, niiden käyttötavoista, tiedonantokäytännöistä ja muista COPPA-säännön edellyttämistä yksityiskohdista. Myös yrityksen suorat ilmoitukset vanhemmille olivat puutteellisia. Niihin ei muun muassa sisältynyt COPPA:n edellyttämää ilmoitusta siitä, että jos vanhemmat eivät anna suostumustaan kohtuullisessa ajassa, i-Dressup poistaa heidän verkossa olevat yhteystietonsa rekisteristään. Seuraa tarinaa, koska tämä puute osoittautui erityisen huolestuttavaksi.
Sen lisäksi, että i-Dressup antoi käyttäjien pelata verkkopelejä, se sisälsi yhteisön, jossa käyttäjät pystyivät ”tutkimaan luovuuttaan ja muotitietoisuuttaan ainutlaatuisilla henkilökohtaisilla profiileilla” ja olemaan vuorovaikutuksessa muiden kanssa. Rekisteröityäkseen i-Dressup vaati ihmisiä antamaan käyttäjätunnuksen, salasanan, syntymäajan ja sähköpostiosoitteen. Jos syntymäaika osoitti, että henkilö oli alle 13-vuotias, sähköpostikenttä muuttui muotoon ”vanhempien sähköpostiosoite”. Kun alle 13-vuotias käyttäjä oli täyttänyt vaaditut kentät ja klikannut ”Liity nyt”, i-Dressup keräsi henkilökohtaiset tiedot ja lähetti viestin vanhempien sähköpostikenttään syötettyyn osoitteeseen. Sähköpostin saanut henkilö saattoi antaa suostumuksensa klikkaamalla ”Aktivoi nyt!” -painiketta.
Jos vanhempi ei kuitenkaan antanut suostumusta, i-Dressup säilytti lapsesta verkossa keräämänsä henkilötiedot. FTC:n mukaan yrityksen laiminlyönti poistaa nämä tiedot rikkoi COPPA-säännön 312.5(c)(1) kohtaa.
Sen lisäksi, että i-Dressup rikkoi COPPA:n vanhempien suostumusta koskevia säännöksiä, sen väitetään rikkoneen myös säännön tietoturvavaatimuksia. FTC:n mukaan i-Dressup säilytti ja välitti käyttäjien henkilökohtaisia tietoja (myös salasanoja) selväkielisenä tekstinä. Lisäksi yritys ei testannut verkkonsa haavoittuvuutta edes tunnettujen uhkien, kuten SQL-hyökkäysten, varalta, se ei ottanut käyttöön tunkeutumisen havaitsemis- ja estämisjärjestelmää eikä seurannut mahdollisia tietoturvaloukkauksia. Lopputulos? Yritys sai tietää, että hakkeri oli päässyt sen verkkoon ja päässyt käsiksi 2,1 miljoonan käyttäjän tietoihin, mukaan lukien noin 245 000 käyttäjää, jotka ilmoittivat olevansa alle 13-vuotiaita.
Tapauksen ratkaisemiseksi i-Dressup ja sen omistajat maksavat 35 000 dollarin sakon. Niitä kielletään myös rikkomasta COPPA:ta tulevaisuudessa, eivätkä ne saa myydä, jakaa tai kerätä henkilötietoja, ennen kuin ne toteuttavat kattavan tietoturvaohjelman ja saavat riippumattoman kahden vuoden välein tehtävän arvioinnin. Lisäksi niiden on toimitettava FTC:lle vuosittain todistus vaatimustenmukaisuudesta.
Viesti COPPA:n soveltamisalaan kuuluville sivustoille ja toimijoille on, että tehokas vanhempien suostumusjärjestelmä on vasta ensimmäinen askel kohti vaatimustenmukaisuutta. COPPA-säännön 312.8 §:ssä edellytetään myös, että ”otat käyttöön ja ylläpidät kohtuullisia menettelyjä lapsilta kerättyjen henkilötietojen luottamuksellisuuden, turvallisuuden ja eheyden suojaamiseksi.”
Kiinnostuitko tietoturvakysymyksistä? Lue oheinen komission lausunto ja lue lisää toisesta FTC:n tänään ilmoittamasta toimesta.