Barn älskar att klä ut sig, men föräldrarna vill inte att de ska rota på vinden eller klättra upp till den översta hyllan i garderoben utan tillåtelse och lämplig övervakning. Webbplatsen i-Dressup.com erbjöd användarna – inklusive barn – ett virtuellt sätt att klä ut sig och designa kläder utan dessa potentiella faror. Men enligt ett klagomål från FTC bröt Unixiz, Inc, företaget bakom i-Dressup, mot Children’s Online Privacy Protection Act på ett sätt som skapade olika typer av risker.
COPPA innehåller två separata skydd för att hjälpa föräldrarna att ha kontroll över den personliga information som samlas in från deras barn på nätet. För det första måste företag som omfattas av COPPA tydligt redovisa sin informationspolicy och inhämta föräldrarnas samtycke innan de samlar in personuppgifter från barn under 13 år. För det andra måste företagen tillhandahålla rimlig och lämplig säkerhet för de uppgifter de samlar in. Enligt FTC:s förlikning uppfyllde i-Dressup inte båda COPPA-kraven.
I klagomålet påstås i-Dressup ha underlåtit att på sin webbplats ge tillräcklig information om den information som samlades in online från barn, hur den användes, hur den avslöjades och andra detaljer som krävs enligt COPPA-regeln. Företagets direkta meddelanden till föräldrarna var också bristfälliga. Bland annat innehöll de inte den förklaring som COPPA kräver om att om föräldrarna inte ger sitt samtycke inom en rimlig tid kommer i-Dressup att radera deras kontaktuppgifter online från sina register. Fortsätt med berättelsen eftersom detta misslyckande visade sig vara särskilt oroande.
Inom att låta användarna spela onlinespel hade i-Dressup en community där de kunde ”utforska sin kreativitet och sin modekänsla med unika personliga profiler” och interagera med andra. För att registrera sig krävde i-Dressup att man skulle ange användarnamn, lösenord, födelsedatum och e-postadress. Om födelsedatumet visade att personen var under 13 år ändrades e-postfältet till ”Parent’s Email”. När användaren under 13 år fyllt i de obligatoriska fälten och klickat på ”Gå med nu” samlade i-Dressup in de personliga uppgifterna och skickade ett meddelande till den adress som angetts i fältet för föräldrarnas e-post. Den person som fick meddelandet kunde ge sitt samtycke genom att klicka på knappen ”Activate Now!”.
Och om föräldern inte gav sitt samtycke behöll i-Dressup de personuppgifter som samlats in från barnet på nätet. FTC säger att företagets underlåtenhet att radera denna information stred mot avsnitt 312.5(c)(1) i COPPA-regeln.
Förutom att ha brutit mot COPPA:s bestämmelser om föräldrars samtycke påstås i-Dressup ha brutit mot regelns krav på datasäkerhet. Enligt FTC lagrade och överförde i-Dressup användarnas personuppgifter (inklusive lösenord) i klartext. Dessutom underlät företaget att utföra sårbarhetstester av sitt nätverk, även för välkända hot som SQL-attacker, det införde inte ett system för att upptäcka och förhindra intrång och det övervakade inte potentiella säkerhetsincidenter. Resultatet? Företaget fick veta att en hackare hade tagit sig in i dess nätverk och fått tillgång till information om 2,1 miljoner användare, inklusive cirka 245 000 användare som uppgav att de var under 13 år.
För att lösa fallet kommer i-Dressup och dess ägare att betala ett civilrättsligt straff på 35 000 dollar. De förbjuds också att bryta mot COPPA i framtiden och får inte sälja, dela eller samla in personlig information förrän de har infört ett omfattande datasäkerhetsprogram och får oberoende bedömningar vartannat år. Dessutom måste de förse FTC med ett årligt intyg om efterlevnad.
Budskapet för webbplatser och operatörer som omfattas av COPPA är att ett effektivt system för föräldrarnas samtycke bara är det första steget mot efterlevnad. Enligt avsnitt 312.8 i COPPA-reglerna måste du också ”upprätta och upprätthålla rimliga förfaranden för att skydda sekretessen, säkerheten och integriteten hos de personuppgifter som samlas in från barn.”
Intresserad av datasäkerhetsfrågor? Läs ett åtföljande uttalande från kommissionen och läs mer om en annan FTC-åtgärd som tillkännagavs i dag.