图 / 图虫
来 源丨21世纪经济报道(ID:jjbd21)
作 者丨吴立洋 实习生李紫瑄
编 辑丨曹金良
下半年以来,谷歌、TikTok、Instagram、YouTube等国际互联网服务提供商密集出台了一系列合规措施,包括关闭未成年用户个人性化推荐、默认其账号内容仅自己可见等,着重加强旗下产品在未成年保护方面的力度。
有观点认为,这与英国《适龄设计规范》于今年9月结束适应期正式落地有关,作为“第一部相关类型的法规”,《适龄设计规范》在英国《数据保护法案》与《通用数据保护条例》等法规的监管框架下提出了很多互联网未成年保护全新标准,直接推动了平台企业进行新一轮未保措施升级。
不少业内专家受访表示,《适龄设计规范》中的一些前沿条款为各国的专门儿童信息保护立法树立了参考典范,但也导致向未成年人用户提供服务的互联网企业合规压力陡增,如何平衡愈发细致的监管要求与自身业务发展,是其需要着重解决的问题。
具有强制效力的文件
《适龄设计规范》(Age appropriate design code,下称AADC)是英国于2020年8月正式发布,9月2日生效的一项未成年人数据保护条款,对互联网企业涉及儿童数据处理的各个方面进行了细致的规定。为保证相关企业有充分时间适应,AADC提供了为期12个月的适应期,今年9月2日后,所有提供儿童“可能”访问的数字服务的互联网公司需保证其产品符合其要求。在前言部分,英国信息专员伊丽莎白·德纳姆对AADC的性质与功能进行了介绍。据其描述,AADC并不是一部新法律,主要为《通用数据保护条例》(General Data Protection Regulation,GDPR)适用儿童使用数字服务场景时设立标准和提供解释,各类组织需遵守该准则,并证明其服务遵守数据保护法,公平、有效地使用儿童数据。她特别强调,AADC是第一款该类型的法规,反映了未成年人数据保护改革的全球发展方向。中国政法大学网络法学研究所副所长商希雪在接受21世纪经济报道记者采访时表示,AADC本身确实不属于法律,其制定依据主要来自英国《数据保护法案》的要求,法院有在审判中参考该规范的法定义务,但其尚未上升到立法层面。然而这并不意味着英国互联网企业可以就此将AADC束之高阁。在“守则执行”一章中,AADC的发布者英国信息专员办公室(Information Commissioner's Office,ICO)列举了自身的执法权力,包括发布评估命令、警告、谴责、强制执行命令和处罚,对于严重违反数据保护原则的行为,其有权发出最高2000万欧元或企业全球营业额4%的罚款,这一标准直接与GDPR中严重数据违法行为的行政罚款上限对齐。ICO的执法权力由何而来?据其官网显示,ICO是英国为维护公众信息权利由数字、文化、媒体和体育部设立的独立公共机构,职责包括数据保护立法讨论,处理公众数据查询与投诉,提供儿童数据安全保护等等。西南政法大学民商法学院副教授曹伟指出,2019年英国国家审计署对政府内部的数据管理进行了详细的描述,具体监管职能由在特定领域具有技术专长的机构来实施,ICO就位列其中,其主要职能是在信息专员,即前文提到的伊丽莎白·德纳姆的监督下维护英国的信息权,职权范围包括英国《数据保护法案》《信息自由法》《通用数据保护条例》等法规。实际上,在英国ICO的监管一直是高悬于企业头上的达摩克里斯之剑:2018年,ICO就因Facebook在Cambridge Analytica丑闻中不当收集并与政治咨询公司共享用户数据一事,对其处以50万英镑的罚金。由于该事件发生于GDPR出台前,这是依据当时的《通用数据保护法(1998)》所能做出的顶格处罚。最近的两起高额罚单则发生在去年年末,2020年10月ICO裁定英国航空公司未能保护客户数据,对其处以创纪录的2000万英镑罚款;仅在两周后,万豪连锁酒店同样因未能保护客户数据而被罚款1840万英镑。据ICO公布的财务数据显示,20/21财年其总罚款金额同比增长1580%——这还是其考虑到新冠疫情影响而酌情减低部分罚款的情况下。此外,ICO的权力还包括发出终止处理用户数据的命令和要求企业整改其认定为不合规的业务,而高昂的罚金与密集的处罚则显示,ICO并不打算敛其锋芒。商希雪表示,ICO是一个执行性的非部门公共机构,其作为英国数据保护负责机关的地位与权力主要由行政设置确立,但ICO做出的处罚也并非是终局性的,被罚的组织有权就其做出的处罚决定向英国国内一级审裁处(First-tier Tribunal (General Regulatory Chamber))提出上诉。儿童利益最大化原则下的规制思路AADC对互联网服务提供商共提出了15项标准,位列首位的即是“儿童利益最大化原则”(Best interests of the child),该标准源自《联合国儿童权利公约》(United Nations Convention on the Rights of the Child,UNCRC)第三条:“在所有涉及儿童的行动中,无论该行动是由公共还是私人福利机构,抑或是法院、行政当局、立法机构所执行,儿童的利益都应首先被考虑。”
在阐释该原则的立法来源与重要性时,ICO表示,英国作为UNCRC的起草国之一,其有必要考虑履行相应的义务;另一方面,“儿童利益最大化”也可为在线服务商提供一个了解儿童需求与权利的基本框架。
浙江省公共政策研究院研究员高艳东在接受21世纪经济报道记者采访时表示,该原则要求企业着重考虑用户需求,从儿童利益至上的角度设计产品与服务,从而保护儿童身心健康,使其免受各类风险。
出于对该原则及其他相关法规的考量,AADC认为不同年龄阶层的儿童认知与行为能力也存在差异,为保证其知情权和社交、玩耍、获取信息和发表观点的权利,AADC将所有未成年互联网用户划分为0-5岁、6-9岁、10-12岁、13-15岁、16-17岁5个年龄层,并就企业应依照怎样的标准分别赋予儿童和家长何种权利进行了规定。
这在未成年隐私保护细分领域的规定中是一项较为前沿的突破。不同于美国《儿童在线隐私保护法》(COPPA)和我国《儿童个人信息网络保护规定》对互联网企业处理13岁及以下年龄儿童数据进行统一标准规范的方式,AADC虽保留了最低13岁的信息处理年龄,但对不同年龄层儿童所需的特殊保护类型进行了区分。例如,16-17岁的儿童被划入“接近成年”层级,有权选择继续由家长负责处理其互联网使用中的个人数据授权,还是自行就相关问题做出决定。
高艳东认为,这种年龄分级方式的优势在于充分考虑到了儿童不同年龄段不同的身心发展状况,但也可能存在忽略特殊情况的问题,由于个体发展水平存在差异,该措施可能也难以适用于所有限制儿童互联网使用的场景。
AADC提出的另一项重要守则在于对“轻推技巧的限制”。所谓“轻推技巧”,主要是指产品或服务的提供者刻意引导或鼓励用户在决策时遵循设计者首选路径而采用的策略,例如在一些设计者希望获得用户授权的场合,其通常把同意授权的选项做得更为显眼。
AADC认为,在线服务设计中使用轻推技术,可能导致用户(包括儿童)被鼓励允许平台获取比他们自愿提供更多的个人数据,也可能被用来引导用户尤其是儿童,在进行个性化隐私设置时选择较少的隐私增强选项。这种基于利用人类心理偏见的技术违反了GDPR第5条关于“公平”和“透明度”的规定,也违反了第38条中关于儿童因为不了解个人数据相关风险、后果、权利和保障措施,因而需要特殊保护的规定。
曹伟表示,目前我国未成年网络用户的数据安全也在面临威胁,大规模的数据泄露和在线服务商违规收集使用数据等问题,使得心智还未成熟的未成年用户容易受到蒙蔽。而AADC的颁布,可以视为全球数据治理踏出的有力一步,是儿童个人信息保护领域具有全球示范效应的重要规范文件。但他也提醒,AADC的规制范围与我国《儿童个人信息网络保护规定》等法规存在差异,在借鉴时需要注意。同时,在未曾构成较为完整的成人数据保护体系之前,不要贸然借鉴引入更高规格的儿童数据保护,以免造成空挡。
商希雪则认为,在立法层面上,儿童信息立法保护也是各国目前捍卫的数据主权着力点之一,在该全球局势下,我国也应抓紧出台专门的儿童信息保护立法,为当前儿童个人信息保护提供配套性的特别立法设置。
激增的企业合规压力
近年来,各国针对未成年互联网使用的监管力度正不断加强,除AADC外,今年6月,法国国家信息与自由委员会CNIL发布了一套以未成年保护为重点的建议;8月,中国出台了史上最严未成年游戏时长限制,所有未成年玩家每周的游戏时间不得超过三小时……世辉律师事务所合伙人王新锐在接受采访时表示,通过立法和监管对未成年加强保护的趋势,在全球范围内都非常明显。
监管加强直接传导为企业激增的合规压力。今年9月《适龄设计规范》适应期正式结束前,不少互联网公司纷纷推出新的未成年保护措施:
谷歌宣布对未成年用户停止个性化广告推荐,并自动开启“安全搜索(SafeSearch)”模式,关闭其地理定位的历史记录;
TikTok将16岁以下账号默认设置为个人可见;
Instagram宣布将不再允许成年用户直接私信18岁以下用户;
YouTube表示将移除自动播放功能,防止儿童沉迷于不断浏览视频……
ICO未来与创新合规部执行董事在不久前的一篇博文中将这些公司采取的行动归功于己,他认为作为第一例相关类型的法规,AADC在全球范围内产生了广泛的影响,“美国的国会议员已向大部分科技和游戏公司呼吁自愿采用ICO的标准保护美国未成年儿童。”
为了帮助企业更好地理解自身的合规义务,AADC也提出了具体的行动建议。其在相关章节中多次提及GDPR合规工作中频繁使用的数据保护影响评估模板(Data protection impact assessment,DPIA),旨在帮助企业系统性分析、识别和最小化数据保护风险。
据介绍,DPIA是一套灵活且可拓展的流程和工具,企业可以通过参照相关规定的方式评估自身的合规风险并记录自身为减轻风险采取的措施,虽然ICO提供了一个模板样式,但DPIA的形式并不固定。
商希雪表示,不同于我国APP使用中本质为合同属性,承载双方合意达成的隐私保护协议,DPIA聚焦于合规操作本身,企业一般将其应用于各种项目的风险评估、定期审核机制等持续动态的流程中。使用DPIA也并不意味着可以消除所有风险,但可帮助企业检测与预防风险,以及确定在具体适用情况下的风险等级是否可被接受。
在AADC中,该模板被赋予了更多未成年保护相关的参考要素,例如其要求企业首先明确自身是否为儿童设计服务,并提出了咨询儿童及其家长、注意网络霸凌、防止性剥削等要求。即便企业并不专门为儿童提供服务,只要儿童可能接触其产品,AADC都要求其遵守相关标准,尽可能减少对其数据的采集和分析。
但另一方面,英国于今年5月发布的《在线安全法案》又要求增强平台对内容的监控,企业应向执法部门报告平台上的非法内容以保护儿童免于网络欺凌等问题。TechCrunch在评价该法案时表示,其似乎在鼓励平台“展示其工作”以证明合规性,促使其以“安全”的名义访问与保留更多的儿童用户信息,从而进行风险分析与年龄验证——这与AADC乃至GDPR所要求的“数据最小化原则”存在冲突,并最终导致在英国开展互联网业务的企业不得不在脱节的政策环境中承担法律责任。?
商希雪也指出,AADC的年龄分级、限制“轻推技巧”等标准在执行中可能存在现实困难,在广泛的适用场景中判断用户为未成年是一项极为复杂的工作,过于频繁的操作又可能影响成年用户的使用体验,需要选择恰当的技术工具并综合多方因素做出判断。
针对此类问题,ICO未来与创新合规部执行董事在上述博文中表示,其将在今年秋季为守则范围内的组织提供关于解决年龄认定问题的进一步指导。
“AADC对于没有在英国设立机构的企业也规定了域外效力。”王新锐提醒,涉及面向英国用户提供服务或可能涉及监测英国用户行为的中国企业,在其产品面向儿童时,同样需要遵守AADC的要求。目前其过渡期已经截止,前述企业在英国开展业务前,应当将AADC纳入其合规评估体系,并审视自身业务情况,考虑如何根据其要求采取合规措施。
本期编辑 刘巷 实习生 彭雅
本文首发于微信公众号:21世纪经济报道。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
(王治强 HF013)