This post is also available in:
English (אנגלית)
חקירה רגולטורית בארה"ב קבעה כי אפליקציה פופולרית לרובוט חינוכי איפשרה איסוף בלתי חוקי של נתוני מיקום של ילדים – מבלי לקבל את הסכמת הוריהם כנדרש. נציבות הסחר הפדרלית של ארצות הברית (FTC) הודיעה השבוע על הסדר עם חברת Apitor Technology, יצרנית ערכות הרובוטיקה החינוכיות המיועדות לילדים.
בלב הפרשה נמצאת האפליקציה המלווה של Apitor, המשמשת לשליטה ותכנות של ערכות הרובוט שנמכרות באופן נרחב ברשת, ומיועדות לילדים בגילאי 6 עד 14. לפי ה־FTC, גרסת האנדרואיד של האפליקציה דרשה מהמשתמשים להפעיל שיתוף מיקום כדי להתחבר לרובוט. עם זאת, האפליקציה כללה גם תוכנה של צד שלישי שאספה נתוני מיקום מדויקים – ללא ידיעת ההורים או הסכמתם.
איסוף הנתונים הפר את חוק הגנת פרטיות הילדים באינטרנט (COPPA), המחייב חברות לקבל הסכמת הורים ניתנת לאימות לפני איסוף מידע אישי מילדים מתחת לגיל 13. הממצאים העלו כי אפליקציית Apitor לא ביקשה הסכמה כזו – לא מהמשתמשים שנרשמו ולא מהמשתמשים שהשתמשו בה כאורחים.
הגישה לנתונים בוצעה באמצעות ערכת פיתוח תוכנה (SDK) בשם JPush, שפותחה על ידי חברה סינית בשם Aurora Mobile (המוכרת גם בשם Jiguang) לאחר הפעלה, ה־SDK יכל לאסוף מידע מיקום רגיש – שעשוי לשמש למטרות פרסום ממוקד או שימושים אחרים שאינם קשורים לתפקוד האפליקציה.
למרות ש-Apitor לא הודתה באחריות להפרות, היא הסכימה לעמוד באופן מלא בדרישות חוק COPPA מעתה והלאה. כחלק מההסדר, החברה תחויב ליידע הורים מראש על כל איסוף מידע הנוגע לילדים, לקבל הסכמה מפורשת, למחוק מידע לפי דרישה, ולהגביל את שמירת הנתונים למה שנחוץ בלבד.
ה־FTC הטילה על החברה קנס בגובה 500,000 דולר, אשר הושהה בעקבות טענותיה של Apitor לקשיים כלכליים. עם זאת, אם יתברר שהחברה הציגה מצג שווא בנוגע ליכולתה לשלם, הקנס המלא יופעל מחדש.
המקרה מדגיש את הסיכונים לפרטיות הכרוכים במוצרים מקוונים לילדים – במיוחד כאשר משולבות בהם תוכנות צד שלישי. הוא גם ממחיש את החשיבות שבשקיפות בנוגע לאיסוף מידע ממשתמשים צעירים – נושא שנמצא כיום תחת מעקב הדוק מצד הרגולטורים.
