2020年1月21日,英国信息专员办公室(ICO)发布了《网络服务适龄设计实践守则》(以下简称《守则》)的最终版。《守则》中规定了15条针对儿童的适龄标准,为网络服务提供者在网络服务中保护儿童隐私提供指引。
《守则》出台背景
《守则》的制定源于欧盟《通用数据保护条例》(GDPR)以及英国《2018年数据保护法》中关于儿童个人数据保护的相关要求。英国《2018年数据保护法》第123条中明确规定,“英国信息专员应当制定一部实践守则,对于网络服务提供者提供儿童适龄的网络服务提供适当的标准指引”。
《守则》旨在维护儿童权益
《守则》中纳入了《联合国儿童权利公约》中有关儿童权利保护的基本原则,具体包括:言论自由;思想、良知和宗教自由;结社自由;隐私;从媒体获取信息权(适当保护其免受可能损害其权益的信息或材料的侵害);参加适龄的娱乐活动;免受经济、性或其他形式的侵犯。
《守则》支持发挥父母(监护人)的作用
《守则》不仅旨在保护儿童免受网络服务可能带来的伤害,而且希望为儿童在网络空间学习、探索和娱乐创造一个更加安全的环境,保护儿童在使用网络服务和产品时的权益。《守则》不仅要求信息服务提供者以适龄标准处理儿童数据,考虑儿童的最大利益;而且支持父母(监护人)在适当的情况下作出最有利于儿童利益的选择。
《守则》适用的主体
《守则》针对的对象主要是英国的信息社会服务(Information Society Service, ISS)提供者。不仅是专门针对儿童提供服务的信息社会服务提供者,而且包括了所有其提供的线上产品和服务(包括App、程序、网站、游戏或社区环境以及联网玩具或设备)能够被儿童获取的信息社会服务提供者。
《守则》中的15条儿童适龄标准
1、儿童利益最大化。对于儿童可能获取的线上服务,实现儿童利益最大化应当是设计、开发首要的考虑因素。
2、数据保护影响评估。进行数据影响评估以评估和减轻数据处理对相关儿童权利和自由可能造成的风险。数据影响评估应当考虑儿童不同的年龄、能力和发展需要。
3、适龄应用。采用基于风险的方法来识别用户的年龄,并确保《守则》中的标准应用于儿童用户。要么在数据处理中专门针对儿童的权利和自由建立相应水平的保护举措,要么将本《守则》中的标准应用于所有用户。
4、透明度要求。向用户提供的隐私条款,以及其他公开的条款、政策和社区标准,应当简洁、突出、语言清晰,适宜儿童阅读和理解。对于使用儿童个人数据的点应当增加特别提示。
5、数据滥用。不要以已经证明了有害于儿童权益的方式使用儿童的个人数据,或以违反行业行为守则、其他监管规定或政府建议的方式使用儿童的个人数据。
6、政策和社区标准。确保公开的条款、政策和社区标准(包括但不限于隐私政策、年龄限制、行为规则和内容政策)进行及时更新。
7、默认设置:默认设置必须是“高水平隐私保护”(除非有其他充分的理由可以进行不同的默认设置)。
8、数据最小化:对于儿童积极、明确获取的线上服务,仅能收集和留存提供服务所需要的最少的个人数据。
9、数据共享:考虑到儿童利益最大化,除非有充分的理由,否则不得披露儿童数据。
10、地理位置数据:在默认情况下关闭地理位置选项(除非有充分理由证明在默认情况下打开地理位置考虑到实现儿童利益最大化)。当位置跟踪处于活动状态时,应为儿童提供明显的提示。使地理位置对其他人可见的选项必须在每次会话结束时默认返回“关闭”。
11、家长控制:如果提供家长控制的功能,应提供与儿童年龄相适宜的提示信息。如果在线服务允许家长或看护人员监视儿童的在线活动或跟踪他们的位置,应在儿童被监视时向他们提供明显的提示。
12、数据分析:默认情况下数据分析功能为“关闭”状态(除非有充分的理由说明默认情况下数据分析处于打开状态能够实现儿童利益最大化)。只有当采取了适当的措施保护儿童免受任何有害影响(特别是对儿童的健康或权益有害的内容)时,才允许数据分析。
13、轻推技术:不要使用轻推技术来引导或鼓励儿童提供不必要的个人数据,或者削弱、关闭他们的隐私保护。
14、联网玩具和设备:联网的玩具或设备中必须包含有效的工具以符合本守则相关规定。
15、在线工具:应提供明显的、可访问的工具以帮助儿童行使其数据保护权利以及报告其关注的问题。
违反《守则》的法律责任
如果信息服务提供者未能符合《守则》规定的标准,则很难证明其数据处理符合了GDPR和《电信隐私条例》(PECR)的要求。对此,监管机构可使用的监管手段包括评估通知、警告、训诫、执行通知和处罚通知(行政罚款)。对于严重违反数据保护原则的行为,监管机构有权处以高达2000万欧元或公司全球年营业额的4%的罚款,以较高者为准。
作者简介:赵淑钰,中国信息通信研究院互联网法律研究中心研究员
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。