作者 | 蔡雄山 腾讯研究院资深专家

袁   俊  腾讯研究院助理研究员

2020年1月22日,英国负责数据隐私保护的专门机构英国信息专员办公室(ICO)发布了《网络服务适龄设计实践守则》(下文简称《实践守则》)的最终版(Age appropriate design: a code of practice for online services),旨在保护儿童免受网络服务可能带来的隐私与安全伤害,期盼为儿童学习、探索和娱乐创造一个更加安全的网络环境。《实践守则》从欧盟与英国的数据保护法规入手,介绍了网络服务提供者和父母监护人在其中扮演的角色,重点规定了15条儿童适龄的网络服务设计标准,意图为儿童在线隐私与安全提供指引。  
一、《实践守则》的背景缘起:在数据保护浪潮中提供儿童适龄的网络服务
数据已经成为儿童日常生活中必不可少的部分。从儿童打开应用程序,玩游戏亦或浏览网站的那一刹那,数据就无时无刻不被收集。尽管数字经济可以为孩子们带来诸多益处,但目前仍未创造一个安全的学习、探索和娱乐空间。
因此在数据保护浪潮下,欧盟《通用数据保护条例》(GDPR)以及英国《2018 年数据保护法》(Data Protection Act 2018)中明确了为网络服务提供商制定适龄儿童实践守则的必要性,其中《数据保护法》第123条中明确规定,“英国信息专员应当制定一部实践守则,对网络服务提供者更安全地提供儿童适龄的网络服务提供标准指引”。
 
二、《实践守则》的法理源流:儿童权利公约中的基本原则
《实践守则》纳入了《联合国儿童权利公约》中有关儿童权利保护的基本原则,具体包括:言论自由;思想信仰自由;结社集会自由;隐私不受非法干涉;有权从媒体获取信息;进行适龄的娱乐活动;免受经济、性和其他形式的侵犯。
 
三、《实践守则》的核心主体:信息服务业者与父母(监护人)
《实践守则》适用对象主要是英国的信息社会服务提供者(Information Society Service, ISS)。不单单针对儿童提供服务的信息社会服务提供者,而且包括在其平台上提供的线上产品和服务的提供者,例如应用APP、程序、网站、游戏或社区以及联网玩具或设备等。
《实践守则》还尤其关注父母(监护人)发挥的重要作用。不仅要求网络服务提供者以适龄标准处理儿童数据,考虑儿童的最大利益,而且全力支持父母或监护人在适当情况下作出最有利于儿童利益的最佳选择,创造一个安全的学习、探索和娱乐空间。
 
四、《实践守则》的主要内容:15条儿童适龄的网络服务设计标准
1、儿童利益最大化。基本内涵是对于儿童可能获取的线上服务,实现儿童利益最大化应当是设计、开发时的首要标准。具体处理儿童数据时需考虑如何避免不良内容的侵蚀、促进身心健康、鼓励自我意识的觉醒以及关爱残障群体等内容。
2、数据保护影响评估。基于儿童不同的年龄、能力和发展需求进行数据影响评估,以减轻数据处理对相关儿童权利和自由可能造成的风险,可以采取如下步骤:
•  确定评估需求
•  描述处理过程
•  向孩子和父母咨询
•  评估必要原则和比例原则
•  识别和评估处理过程中产生的风险
•  确定降低风险的措施
•  签字、记录和整合
3、适龄应用。采用基于风险的进路来识别用户的年龄,并确保《实践守则》中的标准应用于儿童用户。要么在数据处理中专门针对儿童的权利和自由建立相应水平的保护举措,要么将本《实践守则》中的标准应用于所有用户。本实践守则通过以下年龄范围和发展阶段作为指引,为开发适龄应用提供参考。
•  0—5岁:学龄前期
•  6—9岁:学龄初期
• 10—12岁:过渡期
• 13—15岁:青少年初期
• 16—17岁:青年期
在参考上述年龄范围与发展阶段的同时,可以考虑下列技术措施。
•  自我声明:即用户简单地描述本人年龄
•  人工智能:使用人工智能算法精准预测年龄
•  第三方年龄验证:使用第三方服务核实年龄
•  账户持有人确认:从账户户主即成年人那侧面核实年龄
•  权威标识符:设置链接跳转至官方身份认证页面,如填写护照信息
4、透明度要求。向用户提供的隐私条款,以及其他公开条款、政策和社区标准,应当风格简洁、语言清晰和适宜儿童阅读理解,特定情形下应及时特别提示。
针对不同年龄段的儿童,应提供多重选择。

5、数据滥用。勿以经过证明确实有损于儿童权益的方式使用儿童的个人数据,或以违反行业行为守则、其他监管规定或政府建议的方式使用儿童的个人数据。

6、政策和社区标准。及时更新公开条款、政策和社区标准,包括但不限于隐私政策、年龄限制、行为规则和内容政策。

7、默认设置。隐私保护的默认设置必须维持在高水平,除非有其他充分理由可以进行不同的默认设置。

8、数据最小化。若儿童故意且积极地获取线上服务,则仅收集和留存提供服务所需的最少个人数据。向儿童提供可供选择的服务内容,要区分核心功能与附加功能。

9、数据共享。考虑到儿童利益最大化,除非有充分理由,否则不得披露儿童数据。

10、地理位置数据。在默认情况下关闭地理位置选项,除非有充分理由证明在默认情况下打开地理位置考虑到实现儿童利益最大化。当位置跟踪处于活跃状态时,应为儿童提供明显提示。每次会话结束后,地理位置对他人可见的选项必须默认返回至关闭状态。

11、家长控制。若服务提供家长控制的功能,则应提供与儿童年龄相适宜的提示信息。如果在线服务允许家长或看护人员监视儿童的在线活动或跟踪他们的位置,应在儿童被监视时向他们提供明显的提示。

12、数据画像。在默认情况下关闭数据画像选项,除非有充分理由说明默认情况下数据画像处于打开状态能够实现儿童利益最大化。只有当采取了适当措施保护儿童免受任何有害影响,特别是免受儿童健康或权益受损的内容时,才允许进行数据画像。 

13、助推技术。切勿使用助推技术(nudge technology)[1]来引诱或鼓励儿童提供不必要的个人数据,或者削弱、关闭他们的隐私保护。

14、联网玩具和设备。联网的玩具或设备中必须包含有效的工具以符合本实践守则的相关规定。
15、在线工具。应提供显而易见的、易于访问的工具,以帮助儿童行使其数据保护权利并报告其担忧。
注释:
[1]助推技术(nudge technique)是指通过积极强化和间接建议作为影响群体或个人行为决策的方法,参见https://cloud.tencent.com/developer/news/529102