英国ICO | 《儿童适龄设计准则:在线服务实业准则》全文翻译之一
编者按:
对于域外数据安全和个人信息保护领域的权威文件,DPO社群已经开展了大量的全文翻译工作。
今天提供给大家的是英国信息专员办公室(Information Commission’s Office,ICO)于2020年8月颁布的《儿童适龄设计准则》(Age Appropriate Design Code,也称作Children’s Code,下称《准则》。该《准则》于2020年9月2日正式生效、过渡期12个月,将于2021年9月2日正式执行。由于翻译后的文本长达174页,DPO社群将分四次发布该文件的中文译本。在此,感谢参与此次翻译的热心同学!
译者序言
儿童个人信息保护的全新准则
——简评英国ICO《适龄设计准则:在线服务实业准则》
英国信息专员办公室(Information Commission’s Office,ICO)于2020年8月颁布了《儿童适龄设计准则》(Age Appropriate Design Code,也称作Children’s Code,下称《准则》。该《准则》于2020年9月2日正式生效、过渡期12个月,将于2021年9月2日正式执行。
这一《准则》是ICO针对在线服务处理13岁以下用户个人信息所制定的规范,对于儿童个人信息保护这一领域的法律原则和实施标准做了全面的分析和指引,特别是澄清、细化和加重了GDPR项下处理儿童个人信息的合规要求,用以为英国儿童提供网络服务领域的隐私与数据保护。《准则》在设计理念上植根于《联合国儿童权利公约》,以英国2018年《数据保护法》作为上位法依据,内容上与英国2003年《隐私和电子通信条例》(Privacy and Electronic Communications Regulations,PECR)以及欧盟《通用数据保护条例》(GDPR)相承接,
在实际效力上,这一《准则》并非仅仅供企业参考的指引,ICO在评估在线服务是否符合其基于GDPR或者PECR之下的数据保护义务时,特别是在考虑GDPR下的公正性、合法性、透明性、可归责性问题并采取监管措施(如审计、评估、发布禁令、罚款等)时,都需要将《准则》考虑进来。此外,《准则》还会被英国法院在诉讼程序中适用以作为判决的依据。
《准则》的颁布与实施无疑对那些为英国儿童提供在线服务的企业施加了更多和更细致的数据与隐私保护压力,这些企业不仅需要考虑满足GDPR和PECR项下的合规要求,还需要在此基础上“查缺补漏”以进一步符合《准则》的合规要求。
更为重要的是,《准则》是“全球首部专门针对儿童进行适龄设计”的数据处理行为规范标准。不仅是中国的《未成年人保护法》、《个人信息保护法》(草案)中均专门提到了儿童个人信息保护,全球各国在“数据隐私保护”和“未成年人保护”的双重立法领域中都在不断出台专门“儿童隐私保护”的规定,以尽早争抢下一代身上的“数据主权”制高点。ICO的这一《准则》是儿童个人信息保护领域的重要领先监管实践与努力,也是继美国COPPA之后,有全球性示范效应的儿童个人信息保护领域的重要规范文件。不难预见,《准则》必将成为各国在儿童个人信息保护领域的监管立法和实践不可忽视的参照系。
《准则》的适用范围
依据《准则》的规定,从适用的对象范围上来看,《准则》适用于所提供的在线产品或服务(包括应用程序、程序、网站、游戏或讨论社区,以及有无屏幕的可联网玩具或设备)能为英国儿童访问、且存在个人数据处理行为的服务提供商;而从适用的地理范围上来看,在英国脱欧过渡期间,《准则》适用于英国国内;脱欧完成后,该《准则》还将适用于在欧盟经济区(European Economic Area,EEA)之内以及之外、面向英国儿童提供服务的机构组织(下称“机构组织”)。
该准则设立的儿童个人信息保护全套标准
围绕儿童个人数据保护的宗旨,对现有的数据保护法律法规进行提取凝练,形成了十五项标准,以确保向英国儿童提供网络服务的机构组织能够适用以实现合规。这十五项标准具体包括:
儿童利益最大化(Best interests of thechild):机构组织在设计和开发可能被儿童访问的网络服务时,首要考虑因素是儿童的最大利益;
数据保护影响评估(Data protection impactassessments):针对处理儿童数据给儿童权利和自由带来的影响进行评估,以便采取措施降低风险;
适龄应用(Age appropriateapplication):针对用户进行年龄识别并将本准则的标准应用于儿童用户上,或者将本准则中的标准应用于所有用户。
透明度(Transparency):向用户提供的隐私信息及其他条款政策等,必须简洁突出、语言清晰,便于儿童用户阅读。
数据的有害使用(Detrimental use of data):不得以损害儿童健康的方式使用儿童个人数据,也不得违反行业准则、监管规定或政策。
政策和社区标准(Policies and communitystandards):机构组织针对其自行发布的隐私政策、年龄限制等条款、政策和社区标准进行维护并执行。
默认设置(Default settings):隐私保护的默认设置应为“高隐私保护水平”。
数据最小化(Data minimisation):收集儿童用户数据应以“最少必要”为原则。
数据共享(Data sharing):除非为了儿童利益最大化之目的,否则不得向第三方共享或披露儿童数据。
地理位置(Geolocation):默认情况下关闭地理位置选项;当地理位置跟踪处于开启状态时,需要以显著的标志提示儿童,且在结束后该选项恢复默认关闭。
家长控制(Parental controls):如果在服务中提供家长控制,应向儿童提供相应的信息,确保儿童对此知悉,包括在儿童被监控时提供一个明显的标志。
画像(Profiling):默认情况下应关闭“画像”功能;只有在采取了适当措施保护儿童免受有害影响时才能对儿童进行“画像”。
轻推技术(Nudge techniques):禁止使用轻推技术诱导或鼓励儿童提供非必要个人数据。
互联玩具和设备(Connected toys anddevices):在提供连接互联网的儿童玩具和其它设备时,需要明确处理个人数据的主体、预见并设计为适合不同年龄用户使用、在购买和设置环节提供对个人数据使用的说明信息、提供与儿童用户及其监护人“即时”交流的工具、避免默认收集个人信息。
在线工具(Online tools):向儿童提供便于使用的工具帮助其行使数据权利。
此外,该《准则》的附件还特别给出了几份附录,例如以流程图形式指引企业判断其服务是否适用这一《准则》,如何划分不同年龄段儿童的发展特征,如何选择处理儿童个人信息的合法性依据以及一份简明的数据保护影响评估模板(DPIA template)。这些附录无疑都是非常实用的合规文本工具,值得引起关注。
未完待续......
DPO线下沙龙的实录见:
传染病疫情防控与个人信息保护系列文章
美国电信行业涉及外国参与的安全审查系列文章
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
中国的网络安全审查系列文章:
自动驾驶系列文章:
欧盟“技术主权”进展跟踪系列文章:
数据安全法系列文章:
个人数据与域外国家安全审查系列文章
人脸识别系列文章:
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
供应链安全:
美国方面的个人信息保护立法:
数据跨境流动,本公号曾发表的文章如下:
中国个人信息保护立法系列文章
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章: