首页
今年下半年以来,多家国际互联网服务提供商密集出台了一系列合规措施,包括关闭未成年用户个性化推荐、默认其账号内容仅自己可见等,着重加强旗下产品在未成年保护方面的力度。有观点认为,这与英国《适龄设计规范》于今年9月结束适应期正式落地有关,作为“第一部相关类型的法规”, 《适龄设计规范》在英国《数据保护法案》与《通用数据保护条例》等法规的监管框架下提出了很多互联网未成年保护全新标准,直接推动了平台企业进行新一轮未保措施升级。
《适龄设计规范》中的一些前沿条款为各国的专门儿童信息保护立法树立了参考典范,但也导致向未成年人用户提供服务的互联网企业合规压力陡增,如何平衡愈发细致的监管要求与自身业务发展,是其需要着重解决的问题。
具有强制效力的文件
《适龄设计规范》(下称AADC)是英国于2020年8月正式发布,今年9月2日生效的一项未成年人数据保护条款,对互联网企业涉及儿童数据处理的各个方面进行了细致的规定。为保证相关企业有充分时间适应,AADC提供了为期12个月的适应期,今年9月2日后,所有提供儿童“可能”访问的数字服务的互联网公司需保证其产品符合其要求。
AADC并不是一部新法律,主要为《通用数据保护条例》适用儿童使用数字服务场景时设立标准和提供解释,各类组织需遵守该准则,并证明其服务遵守数据保护法,公平、有效地使用儿童数据。AADC本身确实不属于法律,其制定依据主要来自英国《数据保护法案》的要求,法院有在审判中参考该规范的法定义务,但其尚未上升到立法层面。
然而这并不意味着英国互联网企业可以就此将AADC束之高阁。在“守则执行”一章中,AADC的发布者英国信息专员办公室(ICO)列举了自身的执法权力,包括发布评估命令、警告、谴责、强制执行命令和处罚,对于严重违反数据保护原则的行为,其有权发出最高2000万欧元或企业全球营业额4%的罚款,这一标准直接与GDPR中严重数据违法行为的行政罚款上限对齐。
实际上,ICO的监管一直是高悬于英国企业头上的达摩克里斯之剑:2018年,ICO就因Facebook不当收集并与政治咨询公司共享用户数据一事,对其处以50万英镑的罚金。由于该事件发生于GDPR出台前,这是依据当时的《通用数据保护法(1998)》所能做出的顶格处罚。最近的两起高额罚单则发生在去年年末,2020年10月ICO裁定英国航空公司未能保护客户数据,对其处以创纪录的2000万英镑罚款;仅在两周后,万豪连锁酒店同样因未能保护客户数据而被罚款1840万英镑。
此外,ICO的权力还包括发出终止处理用户数据的命令和要求企业整改其认定为不合规的业务。
儿童利益最大化原则下的规制思路
AADC对互联网服务提供商共提出了15项标准,位列首位的即是“儿童利益最大化原则”,该标准源自《联合国儿童权利公约》第三条:“在所有涉及儿童的行动中,无论该行动是由公共还是私人福利机构,抑或是法院、行政当局、立法机构所执行,儿童的利益都应首先被考虑。”
在阐释该原则的立法来源与重要性时,ICO表示,“儿童利益最大化”也可为在线服务商提供一个了解儿童需求与权利的基本框架。
出于对该原则及其他相关法规的考量,AADC认为不同年龄阶层的儿童认知与行为能力也存在差异,为保证其知情权和社交、玩耍、获取信息和发表观点的权利,AADC将所有未成年互联网用户划分为0-5岁、6-9岁、10-12岁、13-15岁、16-17岁5个年龄层,并就企业应依照怎样的标准分别赋予儿童和家长何种权利进行了规定。
这在未成年隐私保护细分领域的规定中是一项较为前沿的突破。不同于美国《儿童在线隐私保护法》(COPPA)和我国《儿童个人信息网络保护规定》对互联网企业处理13岁及以下年龄儿童数据进行统一标准规范的方式,AADC虽保留了最低13岁的信息处理年龄,但对不同年龄层儿童所需的特殊保护类型进行了区分。例如,16-17岁的儿童被划入“接近成年”层级,有权选择继续由家长负责处理其互联网使用中的个人数据授权,还是自行就相关问题作出决定。
AADC提出的另一项重要守则在于对“轻推技巧的限制”。所谓“轻推技巧”,主要是指产品或服务的提供者刻意引导或鼓励用户在决策时遵循设计者首选路径而采用的策略,例如在一些设计者希望获得用户授权的场合,其通常把同意授权的选项做得更为显眼。
AADC认为,在线服务设计中使用轻推技术,可能导致用户(包括儿童)被鼓励允许平台获取比他们自愿提供更多的个人数据,也可能被用来引导用户尤其是儿童,在进行个性化隐私设置时选择较少的隐私增强选项。这种基于利用人类心理偏见的技术违反了GDPR第5条关于“公平”和“透明度”的规定,也违反了第38条中关于儿童因为不了解个人数据相关风险、后果、权利和保障措施,因而需要特殊保护的规定。
激增的企业合规压力
近年来,各国针对未成年互联网使用的监管力度正不断加强,除AADC外,今年6月,法国国家信息与自由委员会CN IL发布了一套以未成年保护为重点的建议;8月,中国出台了史上最严未成年游戏时长限制,所有未成年玩家每周的游戏时间不得超过三小时……世辉律师事务所合伙人王新锐在接受采访时表示,通过立法和监管对未成年加强保护的趋势,在全球范围内都非常明显。
监管加强直接传导为企业激增的合规压力。今年9月《适龄设计规范》适应期正式结束前,不少互联网公司纷纷推出新的未成年保护措施:谷歌宣布对未成年用户停止个性化广告推荐,并自动开启“安全搜索”模式,关闭其地理定位的历史记录;TikTok将16岁以下账号默认设置为个人可见;Instagram宣布将不再允许成年用户直接私信18岁以下用户;YouTube表示将移除自动播放功能,防止儿童沉迷于不断浏览视频……
为了帮助企业更好地理解自身的合规义务,AADC也提出了具体的行动建议。其在相关章节中多次提及GDPR合规工作中频繁使用的数据保护影响评估模板(DPIA),旨在帮助企业系统性分析、识别和最小化数据保护风险。
据介绍,DPIA是一套灵活且可拓展的流程和工具,企业可以通过参照相关规定的方式评估自身的合规风险并记录自身为减轻风险采取的措施,虽然ICO提供了一个模板样式,但DPIA的形式并不固定。
在AADC中,该模板被赋予了更多未成年保护相关的参考要素,例如其要求企业首先明确自身是否为儿童设计服务,并提出了咨询儿童及其家长、注意网络霸凌、防止性剥削等要求。即便企业并不专门为儿童提供服务,只要儿童可能接触其产品,AADC都要求其遵守相关标准,尽可能减少对未成年人数据的采集和分析。
但另一方面,英国于今年5月发布的《在线安全法案》又要求增强平台对内容的监控,企业应向执法部门报告平台上的非法内容以保护儿童免于网络欺凌等问题。TechCrunch在评价该法案时表示,其似乎在鼓励平台“展示其工作”以证明合规性,促使其以“安全”的名义访问与保留更多的儿童用户信息,从而进行风险分析与年龄验证——这与AADC乃至GDPR所要求的“数据最小化原则”存在冲突,并最终导致在英国开展互联网业务的企业不得不在脱节的政策环境中承担法律责任。
(来源:21世纪经济报道)
SourcePh" style="display:none">
放大
上一版
