迪士尼同意支付 1000 万美元收集儿童个人数据

Disney Worldwide Services， Inc. 和 Disney Entertainment Operations LLC 已同意支付 1000 万美元的里程碑式和解协议，以解决有关他们系统地收集 13 岁以下儿童个人数据违反《儿童在线隐私保护法》（COPPA） 规则的指控。

美国司法部应联邦贸易委员会的要求，向美国加利福尼亚州中区地方法院西区提起诉讼，指控迪士尼未能在其 YouTube 频道上正确标记面向儿童的内容。

通过将许多视频默认为“非儿童制作”，迪士尼允许为年轻观众分配持久标识符，从而实现有针对性的广告和其他本应为儿童禁用的数据驱动功能。

诉状称，迪士尼在 1,250 多个频道上上传了数万个视频，其中许多视频都以动画角色、合唱和明确针对儿童的故事时间朗诵为特色。

尽管 YouTube 在 2019 年要求创作者识别“儿童”内容以符合 COPPA 的要求，但迪士尼的公司政策将频道指定为完全面向儿童或完全不面向儿童，并且很少调整个人视频设置。

因此，家庭自动播放、评论和交互式提示等功能在儿童视频上仍然活跃，导致未经授权的数据收集和有针对性的广告。

美国地方法院加利福尼亚州中区西区注意到迪士尼设置仪表板中“观众”切换配置错误的模式。

这种错误配置类似于一个隐秘的有效负载，就像恶意软件一样，利用默认设置来窃取用户数据。

虽然不是传统的恶意代码，但 YouTube 受众标志充当了攻击媒介，使第三方跟踪器能够在未经可验证的父母同意的情况下从未成年人那里获取持久标识符。

和解协议要求迪士尼实施全面的合规计划，包括自动检查观众指定和定期第三方审计。不遵守可能会引发额外的处罚。

该协议强调了对在线生态系统日益严格的审查，在这些生态系统中，默认平台设置可能会被武器化，以抵御旨在保护弱势用户的隐私法规。

感染机制：受众标志漏洞

迪士尼无意的“感染”机制取决于 YouTube 受众指定 API，其作类似于容易被错误分类的配置文件。上传内容时，创作者会调用如下代码段：

{
  "channelId" : "UCXXXXXX",
  "audience": {
    "madeForKids" : false
  },
  "videoId" : "abcd1234"
}

通过始终如一地在频道级别进行设置，迪士尼确保个人上传的内容继承了非儿童名称。"madeForKids": false

这种错误标签允许 YouTube 平台激活有针对性的广告模块和评论跟踪，类似于在应用程序中加载跟踪库。

持久性策略反映了恶意软件对注册表项的使用：YouTube 将受众标志存储在用户配置文件中，确保重复观看者在会话中获得一致的跟踪。

检测逃避的发生是因为迪士尼的团队依赖于频道级默认设置而不是每个视频的审核，掩盖了漏洞利用的影响，直到 YouTube 在 2020 年年中进行干预并重新分类了 300 多个视频。

该案例说明了错误配置的平台设置如何充当一种隐蔽的数据收集机制，从而加强了数字媒体运营中对强大、自动化合规性控制的需求。