Federalna Komisja Handlu w USA poinformowała, że Microsoft zapłaci 20 milionów dolarów grzywny w związku z gromadzeniem danych osobowych dzieci na swoich konsolach oraz w usługach Xbox. Według FTC firma naruszyła ustawę o ochronie prywatności dzieci w Internecie, zbierając dane osobowe bez uzyskania zgody ich rodziców oraz zachowując te dane.
Federal Trade Commission w oświadczeniu twierdzi, iż problemy zaczęły się od konfiguracji kont Xbox i Xbox Live, które wymagały podania imienia i nazwiska użytkownika, daty urodzenia i adresu e-mail:
Nawet jeśli użytkownik wskazał, że ma mniej niż 13 lat, nadal był proszony do końca 2021 r. o podanie dodatkowych danych osobowych, w tym numeru telefonu, oraz o wyrażenie zgody na umowę serwisową i politykę reklamową Microsoftu, które do 2019 r. zawierały wstępnie zaznaczone pole ze zgodą na wysyłanie wiadomości o promocjach i udostępnianie danych użytkowników reklamodawcom przez Microsoft.
FTC stwierdziła, że dopiero po zebraniu wszystkich danych osobowych Microsoft prosił każdą osobę poniżej 13 roku życia o zaangażowanie rodzica w proces zakładania konta:
W latach 2015-2020 Microsoft przechowywał dane — czasami przez lata — które zebrał od dzieci podczas procesu tworzenia konta, nawet jeśli rodzic nie dokończył tego procesu. COPPA zabrania przechowywania danych osobowych dzieci przez okres dłuższy, niż jest to zasadnie konieczne do osiągnięcia celu, dla którego zostały zebrane.
Oprócz zapłacenia grzywny Microsoft będzie musiał również:
Informować rodziców, którzy nie utworzyli osobnego konta dla swojego dziecka, że domyślnie zapewni to dodatkowe zabezpieczenie prywatności ich dziecka. Uzyskać zgodę rodziców na konta utworzone przed majem 2021 r., jeśli właściciel konta jest jeszcze dzieckiem. Ustanowić i utrzymywać systemy usuwania w ciągu dwóch tygodni od daty zebrania wszystkich danych osobowych zebranych od dzieci w celu uzyskania zgody rodziców, jeśli nie uzyskano zgody rodziców, oraz usuwania wszystkich innych danych osobowych zebranych od dzieci po tym, gdy nie są już niezbędne do realizacji celu, w którym zostały zebrane. Powiadamiać wydawców gier wideo, gdy ujawnią dane osobowe dzieci, że użytkownik jest dzieckiem, co będzie wymagać od wydawców zastosowania wobec tego dziecka środków ochrony przewidzianych w ustawie COPPA.
Microsoft wydał oświadczenie odnośnie do decyzji FTC:
Niestety nie spełniliśmy oczekiwań klientów i zobowiązujemy się do przestrzegania nakazu dalszego ulepszania naszych środków bezpieczeństwa. Wierzymy, że możemy i powinniśmy zrobić więcej oraz pozostaniemy niezachwiani w naszym zaangażowaniu w bezpieczeństwo, prywatność i ochronę naszej społeczności.
Microsoft stwierdził też, że przechowywanie danych konta osobistego dla dzieci poniżej 13 roku życia było spowodowane usterką techniczną w usłudze Xbox, gdy proces tworzenia konta został rozpoczęty i nie został ukończony. Problem został już rozwiązany, a informacje o koncie zostały usunięte. Gigant dodał, że informacje te nigdy nie były używane, udostępniane ani monetyzowane.
