TikTok पर बच्चों के अकाउंट्स को लेकर EU डेटा कानून उल्लंघन पर 34.5 करोड़ यूरो का जुर्माना
(theguardian.com)- आयरलैंड के डेटा प्रोटेक्शन कमीशन (DPC) ने कहा कि बच्चों के अकाउंट्स को संभालने के TikTok के तरीके ने EU GDPR का उल्लंघन किया, और उस पर 34.5 करोड़ यूरो का जुर्माना लगाया
- 13–17 वर्ष के अकाउंट्स साइन-अप प्रक्रिया के दौरान डिफॉल्ट रूप से public setting पर रखे जाते थे, और बच्चों को पर्याप्त रूप से पारदर्शी जानकारी नहीं दी गई — यही मुख्य विवाद रहा
- “family pairing” में यह सत्यापित नहीं किया गया कि अकाउंट नियंत्रित करने वाला वयस्क वास्तव में माता-पिता या अभिभावक है या नहीं, जिससे 16 वर्ष या उससे अधिक उम्र के यूज़र्स की direct message सेटिंग भी खोली जा सकती थी
- DPC का मानना था कि 13 वर्ष से कम उम्र के यूज़र्स के प्लेटफ़ॉर्म पर आने और public setting में आ जाने के जोखिम को TikTok ने पर्याप्त रूप से नहीं आंका, लेकिन age verification method को उसने अपने आप में GDPR उल्लंघन नहीं माना
- TikTok ने जवाब में कहा कि जांच 31 जुलाई 2020 से 31 दिसंबर 2020 के बीच की सेटिंग्स पर केंद्रित थी, और 2021 से 13–15 वर्ष के अकाउंट्स को डिफॉल्ट private करने सहित समस्याएं पहले ही ठीक कर दी गई थीं
34.5 करोड़ यूरो के जुर्माने का आधार
- TikTok पर बच्चों के अकाउंट्स के प्रबंधन से जुड़े EU डेटा संरक्षण कानून के उल्लंघन के कारण 34.5 करोड़ यूरो, यानी लगभग 29.6 करोड़ पाउंड का जुर्माना लगाया गया
- EU में TikTok के नियमन की जिम्मेदारी संभालने वाले आयरलैंड के डेटा प्रोटेक्शन कमीशन (DPC) ने माना कि TikTok ने GDPR नियमों का कई बार उल्लंघन किया
- मुख्य बात यह थी कि वह नाबालिग यूज़र्स के कंटेंट को सार्वजनिक रूप से उजागर होने से पर्याप्त रूप से सुरक्षित नहीं रख सका
डिफॉल्ट public setting से बना एक्सपोज़र का जोखिम
- DPC का कहना है कि 13–17 वर्ष के यूज़र्स को साइन-अप के दौरान अकाउंट डिफॉल्ट public पर सेट होने की ओर ले जाया गया
- public अकाउंट में कोई भी अकाउंट का कंटेंट देख सकता है या उस पर टिप्पणी कर सकता है
- आयोग का निष्कर्ष था कि इस सेटिंग के कारण कोई भी यूज़र द्वारा पोस्ट किया गया social media कंटेंट देख सकता था
- TikTok की न्यूनतम उपयोग आयु 13 वर्ष है
- यह भी कहा गया कि 13 वर्ष से कम उम्र के यूज़र्स के प्लेटफ़ॉर्म तक पहुंचने पर उनके public setting में आ जाने के जोखिम पर पर्याप्त विचार नहीं किया गया
पारदर्शिता की कमी और family pairing की समस्या
- बच्चों को पारदर्शी जानकारी पर्याप्त मात्रा में न देना भी GDPR उल्लंघन में शामिल था
- “family pairing” वयस्कों को बच्चों के अकाउंट की सेटिंग नियंत्रित करने देता है, लेकिन यह सत्यापित नहीं किया गया कि जुड़ा हुआ वयस्क वास्तव में माता-पिता या अभिभावक है या नहीं
- इस सेटिंग के जरिए बच्चों के अकाउंट तक पहुंच रखने वाला वयस्क, 16 वर्ष या उससे अधिक उम्र के यूज़र्स के लिए direct message फीचर सक्रिय कर सकता था
Duet·Stitch और age verification पर फैसला
- Duet और Stitch ऐसे फीचर हैं जो यूज़र्स को अन्य TikTok यूज़र्स के साथ कंटेंट जोड़ने की सुविधा देते हैं
- DPC ने कहा कि ये फीचर 17 वर्ष से कम उम्र के यूज़र्स के लिए डिफॉल्ट रूप से enabled थे
- हालांकि, TikTok के age verification method को अपने आप में GDPR उल्लंघन नहीं माना गया
UK कार्रवाई के बाद बढ़ा अतिरिक्त नियामकीय दबाव
- यह फैसला TikTok पर अप्रैल 2023 में UK के डेटा नियामक द्वारा 1.27 करोड़ पाउंड का जुर्माना लगाए जाने के बाद आया
- UK नियामक ने माना था कि TikTok ने माता-पिता की सहमति के बिना प्लेटफ़ॉर्म इस्तेमाल करने वाले 13 वर्ष से कम उम्र के 14 लाख बच्चों का डेटा अवैध रूप से प्रोसेस किया
- उस समय Information Commissioner का कहना था कि TikTok ने यह जांचने के लिए “लगभग कुछ भी नहीं किया” कि प्लेटफ़ॉर्म का उपयोग कौन कर रहा है
- TikTok ने कहा कि यह जांच 31 जुलाई 2020 से 31 दिसंबर 2020 के बीच की privacy settings पर केंद्रित थी, और उठाए गए मुद्दों का समाधान कर दिया गया है
- 2021 से मौजूदा और नए 13–15 वर्ष के अकाउंट्स डिफॉल्ट रूप से private पर सेट किए गए
- private अकाउंट में केवल वे लोग कंटेंट देख सकते हैं जिन्हें यूज़र ने मंजूरी दी हो
- TikTok ने कहा कि वह जुर्माने की राशि और फैसले से सहमत नहीं है, और DPC की आलोचना तीन साल पुराने फीचर्स और सेटिंग्स पर केंद्रित है
- कंपनी का यह भी कहना है कि जांच शुरू होने से पहले ही 16 वर्ष से कम उम्र के अकाउंट्स को डिफॉल्ट private करने वाला बदलाव किया जा चुका था
European Data Protection Board का हस्तक्षेप
- DPC ने स्वीकार किया कि फैसले के कुछ हिस्सों में उसकी स्थिति European Data Protection Board की वजह से बदल गई
- इसके परिणामस्वरूप उसे जर्मन नियामक द्वारा प्रस्तावित निष्कर्ष को शामिल करना पड़ा
- उस निष्कर्ष में कहा गया कि यूज़र्स को किसी खास व्यवहार या विकल्प की ओर धकेलने वाले भ्रामक वेबसाइट या ऐप डिज़ाइन, यानी dark patterns, GDPR के निष्पक्ष डेटा प्रोसेसिंग संबंधी प्रावधानों का उल्लंघन करते हैं
1 टिप्पणियां
Hacker News की रायें
“Family Pairing” फीचर में बच्चे के account settings को नियंत्रित करने वाला वयस्क सच में माता-पिता या अभिभावक है या नहीं, यह verify नहीं किया गया—लेकिन मुझे समझ नहीं आता कि TikTok को parent status ठीक-ठीक कैसे verify करना चाहिए
क्या दूसरी tech कंपनियों से भी parent verification की मांग की जाती है? इस वजह से fine खाने वाली जगह सिर्फ TikTok ही लगती है
https://techcrunch.com/2022/09/05/instagram-gdpr-fine-childr...
ऐसे precedents पर ताली बजाते-बजाते शायद हम उस रास्ते पर पहुंच जाएंगे जहां popular websites इस्तेमाल करने के लिए सरकारी ID और remote attestation चाहिए होगी
90s से यह विचार रहा है कि anonymous internet और signal amplification का कुल असर सकारात्मक है, लेकिन यह बात धीरे-धीरे कम सही साबित हो रही है
अगर आप anonymous होकर self-publish करना चाहते हैं तो कर सकते हैं, लेकिन पांच बड़े platforms में से किसी एक को इस्तेमाल करने का अधिकार भी guaranteed नहीं है
अगर इससे बड़े platforms टूटते हैं, तो मैं उसे भी net positive मानता हूं
हाल ही में TikTok इस्तेमाल करना शुरू किया, और live stream के लिए 1000 followers और 18+ उम्र की जरूरत बताई जाती है, लेकिन असल में मैंने बहुत बच्चों को live करते देखा
मैं सोच रहा था कि वे अपने ही rules enforce क्यों नहीं करते। शायद streamers बहुत ज्यादा हैं, लेकिन dedicated staff का एक व्यक्ति भी live कर रहे teens या बच्चों को आसानी से ढूंढ सकता है
इसलिए यह फैसला समय पर आया है
हालांकि सवाल है कि 13–18 साल के लोगों को streaming से ban क्यों किया जाना चाहिए। अगर वजह “छिपे हुए perverts” हैं, तो वही logic chat control पर लागू नहीं होता, फिर यहां ही क्यों लागू हो? TikTok पर sexual content allowed नहीं है, और bikini पहनी महिलाएं दिख सकती हैं, लेकिन real public beaches पर तो toplessness तक दिख सकती है। और क्या वजह है?
अच्छी शुरुआत है, लेकिन सोच रहा हूं कि EU data law को international कंपनियों के बजाय European कंपनियों पर भी बड़े पैमाने पर enforce करना कब शुरू होगा
EU कंपनियां GDPR से पहले से ही data protection को ज्यादा सावधानी और गंभीरता से लेती रही हैं, इसलिए serious violators मिलना भी दुर्लभ है
कम से कम जब मैं EU services से deal करता हूं, तो privacy policy A4 के कुछ pages में फिट हो जाती है, महत्वपूर्ण बातें शुरुआत में होती हैं, और आसानी से समझ आने वाली भाषा में लिखी होती हैं। Banks तक यह नहीं छिपाते कि वे क्या collect करते हैं और क्यों collect करते हैं
इसके उलट foreign कंपनियां समझना मुश्किल हो इतना विशाल privacy policy रखने पर जोर देती हैं और उससे कानून से बचने की कोशिश करती हैं। उदाहरण के लिए Google का privacy page लगभग एक विशाल single page जैसा है जो बार-बार कहता है कि “Google आपके बारे में जानकारी collect कर सकता है”, data किस काम आता है यह अस्पष्ट रहता है, और details के लिए दूसरी pages पर बहुत निर्भर करता है। average person संभवतः पहले ही flow खो चुका होगा
आखिरकार foreign कंपनियां सोचती हैं कि वे कानून तोड़कर भी बच सकती हैं, और data कैसे इस्तेमाल होता है इसे track करना मुश्किल बनाती हैं। European कंपनियां आम तौर पर सच में कानून follow करती हैं, इसलिए major precedents foreign tech giants के खिलाफ आते हैं
बस generally European कंपनियों ने इसे multinationals की तुलना में कहीं ज्यादा गंभीरता से लिया। कभी-कभी हद से ज्यादा भी, और आजकल थोड़ा कम हुआ है, लेकिन compliance के लिए जरूरी है ऐसा गलत मानकर data से जुड़ी बेतुकी policies enforce करने वाली कंपनियां कभी-कभी दिख जाती हैं
उलट, European कंपनियां आम तौर पर छोटी होती हैं, इसलिए fines भी कम होते हैं, और इसलिए headlines में कम आती हैं। यही वजह है कि European कंपनियों पर fines अभी भी होते हुए भी हम उनके बारे में अक्सर नहीं सुनते। सच कहें तो हम आमतौर पर सिर्फ बहुत बड़े penalties के बारे में सुनते हैं
single country ruling के हिसाब से fine काफी बड़ा है। annual revenue का लगभग 2.6%, यानी करीब 10 दिनों जितना
मैं जानबूझकर X Corp नहीं, Twitter कह रहा हूं, क्योंकि Musk ने अपने कुख्यात फैसले में Twitter Ireland में compliance संभालने वाले सभी लोगों को निकाल दिया था। लगता है requirements में यह भी था कि हर feature launch को Ireland team से review कराया जाए ताकि EU data law violation न हो, लेकिन Musk ने leveraged buyout के बाद जो changes किए उनमें से किसी के लिए ऐसा नहीं किया
आखिर कब armchair CEOs “lol x तो y revenue के मुकाबले कुछ भी नहीं” जैसी बातें करना बंद करेंगे? क्या 345 million euros पेड़ों पर उगते हैं?
fine के साथ-साथ उन्हें कुछ महीनों के लिए penalty box में डालना चाहिए। जैसे एक तय अवधि तक उस jurisdiction में business न करने देना
ban के बजाय starting fine के रूप में यह अच्छी शुरुआत है, और मैं लगातार इसी तरह की मांग करता आया हूं
अगर user privacy violations दोहराए जाते हैं, तो fines को billions of dollars तक बढ़ाना चाहिए। Facebook में भी precedent था
बड़ी कंपनियों के पास ऐसा करके बच निकलने का कोई excuse नहीं है, और सैकड़ों millions से ज्यादा users वाली हर social media company अगर TikTok की तरह user privacy violate करे तो fine लगना चाहिए। अब कोई exceptions या बहाने नहीं होने चाहिए
आखिर TikTok भी जब अपने users की privacy खराब करता है तो Meta से अलग नहीं है
कुल scale में देखें तो यह बहुत बड़ी रकम नहीं लगती। अपेक्षाकृत भारी fine भी ठीक होता, हालांकि हो सकता है मुझे सारी details न पता हों
legal fight खत्म होते-होते इसके बहुत छोटी रकम में कम हो जाने की संभावना भी बड़ी लगती है
वह पैसा जाता कहां है?
अगर जवाब नहीं पता, तो काल्पनिक बात बनाकर fact की तरह नहीं कहनी चाहिए