丹麦调查报告：网络游戏中的儿童数据保护情况堪忧

编译|黄潇怡 信通院互联网法律研究中心研究员

【关键词】儿童数据保护、个人数据、同意有效性

2021年4月9日，丹麦IDA和其智囊团DataEthics.eu发布了一份有关在网络游戏中保护儿童数据的报告。该报告揭示了一个非常复杂、不透明的在线游戏生态系统，游戏的玩家都是丹麦的儿童，每天花几个小时去玩游戏。但是这些游戏是建立在商业模式上的，商业模式通常不会考虑到儿童对数据保护的需求和要求与成人不同。丹麦《政治报》认为丹麦数据保护局虽然采取了一定的措施来保护儿童数据，但是对儿童数据的保护力度和措施还远远不够，还需要做更多的事情。

一、相关背景

1.“在线游戏”和“在线游戏生态系统”的定义

儿童基金会对“在线游戏”的定义是，通过任何一种互联网连接设备（包括专用控制台、台式机、笔记本电脑、平板电脑和移动电话）进行的一种或多种商业数字游戏。“在线游戏生态系统”定义为通过电子活动、流媒体或视频共享平台（通常为查看者提供注释选项，或与播放器和观众中的其他成员进行交互）观看视频游戏。

2.儿童数据保护相关立法

已经有很多国家签署了《儿童权利公约》，这是有史以来签署最多的条约。根据其第315条，儿童有权参与文化和创造性活动。这可以解释为儿童在达到数字同意年龄时有权使用社交媒体和数字游戏。同时，儿童也有权利得到保护，例如不受经济和其他形式的剥削，不得在任何情况下非法干预任何儿童、其私人生活和家庭生活、及其家庭或其信件往来等，因为在很多情况下，儿童比成年人更容易被操纵。

儿童对个人信息处理的风险、后果、担保和权利的认识往往较低，因此应享受对其个人信息的特别保护。GDPR第8条规定，网络服务提供者在收集或处理不满16周岁儿童的个人数据之前，需要取得其父母的同意或授权，成员国可以设定更低的年龄界限，但不能低于13 周岁。也就是说，GDPR将儿童数字同意的年龄设定为16岁，儿童从16岁起就可以同意在信息社会服务中处理其个人数据，但成员国可自行决定将同意年龄定为13岁，丹麦的《数据保护法》就将同意年龄定为13岁。

3.丹麦儿童参与数字游戏情况调查

丹麦对92名1至15岁的参与过数字游戏的丹麦儿童进行调查。调查显示，其中一半的儿童每天都在玩游戏，大孩子玩的比小孩子多，男孩比女孩玩的多。他们最常用的游戏设备是智能手机和平板电脑，不同的性别和年龄对设备的使用存在差异，男孩更多的在游戏机和电脑上玩，女孩更多的在手机和平板电脑上玩。最终的结论是，尽管大多数社交媒体将同意年龄限制为13岁，最常用的在线游戏建议使用年龄为12岁，但丹麦儿童实际上却可以在更早的年龄获得访问权。

二、网络游戏中存在的儿童数据保护相关问题

1、数字游戏和数据使用

数据是人工智能的催化剂，可以通过对每一个玩家在互动和游戏中所产生的数据进行算法分析，让游戏变得更有趣、更有深度，进而提升使用者的体验。游戏开发公司为了公司的运作或为了盈利目的，与众多第三方公司合作。第三方公司会嵌入软件代码。当用户打开游戏时，数据不仅会发送给发布者，还会发送给多个第三方。挪威消费者委员会的一项研究发现，每个应用程序平均向10个第三方发送数据。

游戏开发公司的责任重大，因为他们与消费者有直接的接触。游戏开发人员应参考这些第三方软件供应商的服务条款和条件，并评估它们是否符合自己的服务条款。因为开发人员开发的产品包含了第三方信息，而这些信息就是用户所面临的实际服务条款和条件。

根据纽曼、杰隆和哈扎德所说，游戏机会自行收集玩家所选择的游戏以及相应游戏时间等数据。数据将被分析以创建“游戏测量”，这是对一个玩家选择玩哪种游戏以及玩多长时间的定量测量。获得批准的Sony Interactive Entertainment专利就是一个例子，它使用传感器(如陀螺仪和加速度计)来确定特定用户的身份，当特定用户使用系统时，系统会自动登录或注销他们的配置文件。

2、广告和操纵

操纵行为不仅涉及广告和销售，还涉及到让孩子在一个在线游戏中花费更多的时间和精力。游戏设计中经常使用音乐或声音来使孩子对其直接的物理环境失去知觉；另外，基于数据的人工智能可以通过自动学习，得知何时是与单个孩子联系使其重新参与游戏的最佳时机。报告指出，有些游戏不允许孩子储存游戏，直到他们到达某个特定的地方；如果游戏结束，孩子过去在游戏中取得的一切都将消失。更重要的是，孩子可能必须在游戏中消费某些东西才能继续使用数字服务。例如，游戏中可能有一个广告，孩子需要看完它才能继续游戏。

孩子在游戏中投入的时间和注意力越多，产生的数据就越多。然而，孩子们不清楚数据是用来做什么的。数字平台的数据收集和数据使用对儿童来说是不透明的，它可能会操纵数字服务使儿童在游戏中花费更长时间。

儿童特别容易受到广告影响。儿童的自制能力固然会因年龄等因素而有差异，但一般来说，儿童是特别脆弱的消费群体。儿童的批判性思维能力还不成熟，他们没有成年人抑制冲动的能力。在一些游戏中，孩子们被鼓励以按钮或弹出窗口的形式在社交媒体上分享他们的进步——有时是以硬币或物品的形式获得奖励。有研究小组对135种最流行的儿童应用程序进行调查，结论是 “可以通过操纵方法实现高广告率”。

3、关于同意的有效性

GDPR生效两年多后，儿童似乎并不比以前更享受保护。因为大多数游戏服务只是放弃了对孩子的责任，要求用户同意13岁使用游戏；只有少数游戏可让不到13岁的孩子在不被追踪和分析的情况下使用游戏，但游戏中却有大量的广告。而且他们列出的服务条件是点击"是"至少13岁，这种做法是没有意义。报告中还以三个热门游戏为例，具体分析了游戏中的部分条款，包括SUBWAY SURFERS、CANDY CRUSH SAGA、Fortnite三个游戏。

三、结论和建议

从打开应用程序或加载网站开始，对游戏使用者的数据收集就可能开始了，包括他们的使用频率和使用方式，以及他们使用的地点和设备等等。总体而言，数据有很多潜在用途，例如，黑客可以通过数据分析知道哪些儿童容易对游戏产生依赖、不容易战胜坏习惯等。这就是为什么需要了解行为者的个人数据以及在游戏上花费的时间等。应当通过条约和法律，在数据收集和广告方面对儿童进行比成人更强的保护。

1.对政府和企业的建议

（1）丹麦应效仿英国，制定一套标准来准确地解释GDPR如何适用于为儿童提供数字游戏服务的商业公司，即使这些服务的最初目标不是儿童。2020年9月2日，英国信息专员办公室（ICO）宣布《儿童准则》（又称“《适当年龄设计准则》”）开始生效，建议在丹麦实施类似的措施。

（2）为丹麦儿童最常玩的20种游戏中的儿童数据共享提供技术研究经费。

（3）为数据监管拨出额外资金，以确保消费者委员会和数据监管机构等监管部门有足够的资源来实施数据保护相关法律，以及其他儿童保护相关法律。

（4）在丹麦建立一个独立委员会，重点关注数据伦理、广告技术和儿童。董事会必须对“使用新的数据伦理技术进行年龄验证”的优缺点进行审查。

（5）在YouTube和Twitch等数字平台上流动的游戏者为游戏和广告技术提供了一个单独的、相当商业的生态系统，并与游戏生态系统中的其他角色密切合作。应该着重对游戏生态系统中的角色进行分析，明确他们的责任。

（6）关于“儿童和在线游戏”这一主题，本报告未涉及但需要政府密切关注的相关领域包括:

a.久坐游戏与健康的关系；

b.游戏平台上社交互动的质量；

c.彩票和广告对儿童赌博成瘾的影响分析；

d.在游戏相关平台上传播假新闻和极端主义；

e.丹麦参与游戏的儿童和年轻人的社会融合和排斥问题（游戏内外）；

f.年龄限制和年龄验证的可能性；

g.其他与儿童保护有关的物品。

2.对家长的建议

为13岁以下儿童提供游戏访问权限的家长应考虑以下事项:

（1）教会孩子使用与自己不同的名称，并且不要为游戏提供地址、照片或其他信息。

（2）在儿童计算机或移动设备上安装VPN服务。如果是游戏机，请将VPN插入其路由器；如果是播放站点（PlayStation），请使用虚拟专用网（ExpressVPN）。定期更改位置，这样就不能从游戏中收集到孩子的正确位置数据。

（3）如果游戏是通过浏览器进行的，请使用专用浏览器(如Firefox)，并确保将其设置为阻止第三方cookie。

（4）请与您的孩子讨论此游戏，并留意网上关于此游戏的报道，因为经常会通过网络对非法和不道德游戏进行警告。

（5）告诉孩子他们在游戏中所做的一切都是公开的，同时告诉孩子当个公众人物意味着什么。

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。