花季守护——ICO依“龄”设计规范（上）

英国信息专员办公室（ICO）于2020年1月份发布了最终版本的《适龄设计规范》（Age Appropriate Design Code，以下简称“《规范》”），《规范》将被提交至议会，预计将于2021年秋季生效。

英国议会要求ICO制定《规范》的目的在于确保英国《数据保护法案》（DPA）的真正落地。《规范》具体解释了如何将GDPR的相关规定适用于使用网络服务的儿童。并在制定过程中充分咨询了父母、儿童、学校、儿童保护团体、开发者、技术和游戏公司以及在线服务提供商的意见，并与之进行充分对话。

ICO认为，制定《规范》的必要性在于，英国五分之一的互联网用户是儿童，但他们使用的网络却不是为他们设计的。在ICO此前进行的调查中，英国儿童将现有的实践情况描述为“管闲事”、“粗鲁”和“有点怪异”的。而ICO针对人们最关心的数据保护问题进行过全国调查，结果显示，儿童的隐私保护问题位居第二，仅次于网络安全。这一情形与英国通信管理局和伦敦经济学院进行的调查所反映的情况类似。《联合国儿童权利公约》（UNCRC）指出，儿童在其生活的各个方面都需要特殊保障。欧盟数据保护法也反映了这一点，并为儿童提供了附加保护措施。《规范》基于UNCRC，并反映出了全球治理的方向，美国、欧洲和经济合作与发展组织（OECD）也正在考虑进行类似的改革。

一、《规范》目的

英国议会要求ICO制定《规范》的目的在于确保英国《数据保护法案》（DPA）的真正落地，《规范》要求公司在设计、开发或提供可能被儿童访问的在线服务时将儿童的利益放在首位。具体而言，《规范》旨在确保网上服务提供商使用儿童数据的方式合规，保护儿童享有隐私权、言论自由、思想和宗教自由等基本的权利和自由。

《规范》由15条灵活的标准组成，其重点是提供高度隐私的默认设置，该默认设置应当确保在信息收集和使用的最小化，同时使得儿童能够最大程度地访问在线服务。并且应当确保选择更改默认设置的儿童在更改之前获得正确的信息、通知和建议，并为其个人数据的使用提供适当的保护。

《规范》为每一项标准提供了详细的解释和合规指引，以帮助企业证明其履行了GDPR和《隐私与电子通信条例（2003）》（PECR）等数据保护义务。对企业而言，是否符合《规范》所制定的标准将成为企业是否遵守数据保护相关法律的关键指标。换句话说，若企业不遵循《规范》，将很难证明其符合GDPR和PECR的规定。

二、《规范》的适用范围

《规范》适用于信息社会服务（Information Society Service）的提供者。不仅适用于专门针对儿童的在线服务，也包括可能被英国儿童访问的在线产品或服务，例如App、程序、新闻、教育等网站、网络游戏或社区环境，以及带或不带屏幕的联网玩具或设备、搜索引擎、社交平台、直播服务等。[1]需要注意的是，如果企业无论如何都不希望儿童使用其服务，那么就需要关注如何阻止儿童访问，其服务不应当对儿童友好（child-friendly）。如果企业的服务并非面向儿童，但是儿童也可使用，那么企业应当关注其服务是否对儿童有吸引力，如果企业认为其提供的服务性质、内容对孩子具有吸引力，那么就应当遵守《规范》中的标准。如果企业用户群体已经包含了实质性且可识别的（substantive and identifiable）儿童群体，则需要适用《规范》。如企业认为其不需要适用《规范》，则需要对相应的理由进行记录和支撑，例如进行市场调研、关于用户行为、类似或现有服务的用户基础的证据等。

关于《规范》是否适用于英国以外的ISS提供者，ICO指出，《规范》的发行根据是英国《数据保护法》【DPA（2018）】。DPA（2018）适用于英国的在线服务，也适用于英国以外的、在英国设有分支机构或办事处或其他“机构”（establishment）并由该英国外实体处理个人数据的在线服务提供者。此外， ICO指出，若机构不在欧洲经济区（EEA）范围内，但向英国用户提供服务或者实施监控用户的行为，则仍然适用DPA（2018）。若儿童可能访问上述服务，则将适用《规范》。

如果企业在英国没有机构，但是在EEA的其他地方设有机构，则不适用《规范》（即使向英国用户提供服务或监视用户在英国的行为）。若企业的在线服务适用《规范》，但是根据GDPR的“一站式”（one-stop-shop）安排，企业拥有除ICO以外的主要监管机构，那么ICO将要求该监管机构在判断企业是否遵守GDPR和PECR时将《规范》纳入考量范围。如果为“本地”案例（仅影响英国用户），则ICO可以自己采取行动并将《规范》纳入考量范围。

关于“脱欧”对《规范》效力和适用范围的影响，ICO指出，《规范》的主要依据是DPA(2018)和GDPR。如实现无协议脱欧，英国版本的GDPR将会被写入英国法律，即UK GDPR，届时《规范》的基本原则和义务将会保留在UK GDPR项下。如英国和欧盟就此达成协议，则在退出之前的实施期内，《规范》和GDPR将依然适用。在实施期结束后，默认状态和无协议脱欧的情况相同，ICO预期《规范》依然有效。因此，尽管可能面临脱欧的问题，但是《规范》始终将会被适用。

三、《规范》的实施

ICO指出，《规范》的发布依据是DPA（2018）。根据DPA(2018)第123节，ICO必须起草行业规范。如果企业无法证明其遵守《规范》，则无法证明其满足法律法规的要求，从而引起监管问题。《规范》也可能被作为诉讼中的证据。需要，《规范》并非数据保护合规的穷尽式指南，企业也可根据自身情况采取合规措施。

为此，《规范》首先要求企业实施责任机制，根据自身规模、资源和业务情况，有效地执行《规范》中的标准和要求。其次，企业应当有相应的政策来支持和证明其符合数据保护的要求。再次，企业应当注重对员工的培训。最后，企业需要注重对处理活动、DPIA等进行适当记录，并及时做好证明自己符合《规范》的准备，以备核查，或者在可以申请认证时通过认证的方式证明自身合规性。

ICO将通过一系列的主动审核来监管企业对《规范》的遵守情况，并考虑投诉情况，将监管重点放在涉嫌重复或故意或严重违反法律的组织和个人身上。其惩罚措施包括：发出评估通知（assessment notices）、警告(warnings)、谴责(reprimands)、要求立即停止和罚款。ICO在行使权力时，将会考虑企业处理活动对儿童引发的风险、企业规模和资源、技术可行性以及企业是否努力满足《规范》等因素。

四、实务指南

ICO主要针对15项标准均给出了具体的解释和合规建议，对此梳理如下：

（一）儿童最大利益

在设计和开发可能被儿童访问的在线服务时，儿童的最大利益应该是首要考虑的因素。儿童最大利益原则来自UNCRC第3条，英国议会要求ICO在起草《规范》时必须考虑到英国根据UNCRC所承担的义务。该原则提供了一个框架来帮助企业了解儿童的需求以及设计在线服务时必须考虑的儿童权利。企业在使用儿童的个人数据时，应当考虑如何：

·   使他们免受剥削风险，包括商业或性剥削和性虐待的风险；

·   保护和支持他们的健康和福祉；

·   保护和支持他们的身体，心理和情感发展；

·   保护和支持他们发展自己的观点和身份的需求；

·   保护和支持他们的结社和娱乐自由权；

·   根据在英格兰、苏格兰、威尔士和北爱尔兰的相关平等法规下的义务，支持残疾儿童的需求；

·   认识到父母在保护和促进儿童的最大利益中的作用，并支持他们完成此任务；和

·   认识到儿童形成自己观点的能力，并给予这些观点应有的重视。

考虑到儿童的最大利益并不意味着不能追求商业利益或其他利益。而只是意味着，在企业的商业利益和儿童的最大利益无法兼顾时，企业需要将儿童的最大利益作为首要考虑因素。

（二）数据保护影响评估（DPIA）

采取DPIA以评估并减轻相关风险，保护可能访问在线服务的儿童的权利和自由。进行DPIA时应将不同的年龄、能力和发展需求纳入考虑范围。DPIA必须特别关注使用在线服务的儿童的相关权利和因数据处理而导致其承受的风险，还应当评估和记录企业对《规范》的遵守情况。企业应该将如下元素构建到DPIA的每个阶段中——

步骤1：进行DPIA的时间

一旦设计了新的线上服务并且可能会被儿童使用，则必须进行评估。企业必须在服务发布之前完成DPIA，并确保评估结果能够影响服务的设计。如果现有在线服务可能有儿童访问，在处理操作发生任何重大更改时，也必须进行DPIA。

在线服务的外部因素发生变动时，企业也可能需要审核DPIA。例如，发现了新的安全漏洞，或者服务的特定功能或对儿童的特定风险引起了社会关注。

步骤2：对数据处理的说明

需要描述处理活动的性质、范围、背景和目的。特别应包括：服务是否为儿童设计；如果不是，儿童是否可能使用该服务；这些儿童的年龄范围；家长控制计划（如有）；确定个人用户年龄的计划（如有）；带给儿童的预期利益；已经考虑的（企业或第三方的）商业利益；涉及的任何画像或自动决策；地理位置定位；轻推技术的使用；对特殊类别数据的处理；对推测得到的数据的处理；当前公众关注的任何有关儿童线上风险的问题；相关的行业标准或行为规范；根据英格兰、苏格兰、威尔士和北爱尔兰的适用法律所承担的责任；相关年龄范围内儿童的发展需求，福祉或能力的相关指南或研究。

步骤3：咨询儿童和父母

ICO希望大型组织在大多数情况下都能进行某种形式的咨询。例如，从存量用户获取反馈、进行一般的公众咨询、进行市场调查、进行用户测试或者征求相关儿童权利组织的意见。如果无法进行任何形式的咨询，或者咨询不适当，则应将该决定记录在DPIA当中，并向ICO证明此决定的正当性。但通常而言，某种形式的市场调查或者用户反馈是可行的。

在此阶段，关于儿童权利和发展需求，企业还应该考虑寻求专家的独立建议。尤其对于以下服务：（1）专为儿童设计的；或者（2）为一般用途而设计，但已被儿童广泛使用（例如游戏或社交媒体网站）；或者（3）以新奇或者超出预期的方式使用儿童的数据。

步骤4：评估必要性、比例性和合规性

企业需要解释数据处理符合必要性和比例性。企业还必须提供有关如何遵守GDPR的信息，包括：（1）数据处理的合法依据；(2)处理任何特殊类别数据的情形；(3)确保准确性、避免偏见并就使用AI进行解释；以及技术安全措施的详细信息（例如，哈希或者加密标准）。在此阶段，企业还应说明如何遵守《规范》的每个标准。

步骤5：识别和评估风险

企业必须考虑对儿童的潜在影响以及数据处理可能造成的任何伤害或损害，无论是身体上、情感上、发育上还是物质上。还应该专门检查数据处理是否会导致以下风险：

·   人身伤害；

·   在线诱骗或其他性剥削；

·   社交焦虑、自尊心问题、欺凌或同辈压力；

·   访问有害或不适当的内容；

·   错误信息或对信息的不当限制；

·   鼓励过度冒险或不健康行为；

·   降低父母的权威或责任；

·   丧失自主或权利（包括对数据的控制）；

·   强制使用或注意力缺陷障碍；

·   面对屏幕时间过多；

·   睡眠模式中断或不足；

·   经济剥削或不公平的商业压力；

·   任何其他经济、社会或发展方面的重大不利条件。

步骤6：确定降低风险的措施

必须考虑是否可以对服务进行任何改变以降低或避免已确定的各种风险。企业至少需要实施《规范》中所提及的措施，在适当情况下可以采取额外的保障措施。

步骤7：记录结论

如果企业拥有DPO，则在做出任何最终决定之前，必须记录DPO对DPIA结果的独立建议。企业应该记录拟采取的任何额外措施，并将它们整合到服务的设计当中。若企业发现未被减轻的高风险，则必须在采取进一步行动之前咨询ICO。ICO认为，公布DPIA是值得推荐的做法。

（三）适合年龄的应用

适合年龄的应用是指以特定方法识别单个用户的年龄并确保将《规范》中的标准有效地应用于儿童用户。设计服务的核心在于考虑到受众的年龄范围，以及不同年龄和发展阶段中儿童的不同需求，这是“适合年龄的设计”这一概念的基础。这通常意味着企业需要确认用户的年龄范围，据此为其个人信息提供定制化的保护和保障。如果企业无法或不希望这么做，那么可以选择将这些标准适用在所有年龄段的用户。这样一来，即使不确定是否为孩子，也可以为其提供一些保护措施，以防止由使用其个人信息而引发的风险。

ICO承认，儿童是个体，以年龄范围划分儿童的兴趣、需求和发展能力并非完美的解决方案。但是，为了帮助评估服务设计是否适合该年龄段儿童，可以使用年龄范围作为划分儿童在各个发育阶段可能表现出的能力、技能和行为的指引。《规范》将将儿童的年龄范围划分为以下五个阶段：

·   0-5岁：识字前和识字的早期

·   6-9岁：小学的核心阶段

·   10-12岁：过渡期

·   13-15岁：青少年时期

·   16-17岁：即将成年

关于如何以恰当的确定性水平确定用户的年龄，ICO提供了一些具体的参考方法，包括：

·   自我声明。仅需用户主动提供他们的年龄但不提供任何证据进行佐证。适用于低风险的数据处理或者与其他技术结合使用。

·   人工智能。即通过使用人工智能来分析用户与服务进行交互的方式以估算用户的年龄。企业可以使用此方式对用户的自我声明进行核对。此方式可以提高用户年龄预估的确定性。如果选择使用此技术，则需要注意：提前告知用户；仅收集为此目的所需的最少的个人数据；不将收集的任何个人数据用于其他目的。

·   第三方年龄验证服务。企业可以选择使用第三方服务，来确认用户年龄。使用第三方服务需要进行一些尽职调查，并且应当向用户提供有关所使用第三方服务的明确信息。

·   帐户持有人确认。企业可以依靠已知的成人帐户持有人对用户年龄进行确认。例如，如果企业提供基于登录或订阅的服务，则可以允许主要（已确认的成年人）帐户持有者设置儿童资料，使用密码或PIN限制进一步的访问，或者仅确认其他帐户用户的年龄范围。

·   技术措施。如阻止虚假年龄声明，识别并关闭未成年人账户的技术措施等，可以对自我声明的确定性进行相应的支撑。

·   “硬标识符”。采取可以链接到正式身份证明文件或“硬标识符”（如护照）的年龄确认方案。但是企业应当避免将提供“硬标识符”作为唯一选择，除非数据处理所产生的风险确实需要此种方法。原因在于，即使年龄合适，某些儿童无法获得正式的身份证明文件并且其获取来自父母的支持较为有限。“硬标识符”的要求有可能还会对成年人的隐私产生过度的影响。

若企业需要收集个人数据以确定用户的年龄，企业对个人数据的收集和存储应当遵守数据保护义务，包括数据最小化、目的限制和安全保障义务。核心是确保收集的数据是实现合理确定用户年龄目的所需要的最少的个人数据，并且确保不将收集到的数据用于其他的目的。年龄确认工具依然是一个正在发展的领域，ICO将会就此提供支撑，来建立行业标准和认证机制。

（四）透明度

透明度要求是指企业向用户提供的隐私政策，以及其他已发布的协议、政策和社区标准，必须简洁、突出并使用适合儿童年龄的清晰语言。为确保达到透明度标准的要求，企业应当做到：

·   提供清晰的隐私政策，并确保儿童及其父母可访问到该政策。

·   在个人数据被使用时即提供细致说明（bite-sized explanations）。这也被称为“及时通知”（just in time notice）。根据儿童的年龄和数据处理固有的风险，还应促使儿童在激活最新的数据使用之前先与成年人沟通，若儿童对此不确定，则不应继续进行。除此之外，企业还应当考虑用户使用服务的过程中是否存在需要提供相关说明的其他节点。

·   提供明确清晰易读的条款、政策和社区标准。包括用户服务协议等。

·   以对儿童友好的方式展示信息。可能包括使用图表、卡通、图形、视频和音频内容以及游戏化或交互式内容，使其能够引起儿童的兴趣并吸引他们。可以使用诸如隐私控制面板、分层信息、图标和符号之类的工具来帮助儿童理解并以对儿童友好的方式呈现信息。

·   根据儿童的年龄调整信息。ICO区分不同年龄段对此提供了合规建议，现总结如下：

总体而言，ICO将儿童的年龄分为五档，从0岁到18岁，根据儿童的认知水平程度，决定父母在其隐私中的参与度。年龄越小，对其个人数据的参与度越低，越需要父母的陪同。而年龄阅读，认知水平能力随之增强，在为其父母提供完整信息的前提下，可以为其提供简单的信息，并可以减少父母的参与，同时为儿童自身提供修改隐私设计的权限，此时依然需要对儿童进行提示。

（五）数据滥用

企业使用儿童个人数据的方式，不得对儿童健康带来损害，也不得违反行业规范、其他监管规定或政府建议。企业应当及时跟进相关建议和意见并不以明显有害或与此类意见相悖的方式处理儿童的个人数据。具体而言，企业应当避免为儿童提供个性化的游戏服务以换取长时间玩耍，同时采取措施放置儿童沉迷，例如尽可能引入诸如暂停按钮之类的机制，使儿童可以在不中断游戏进度的情况下随时休息等。相关的行业规范或者建议包括但不限于营销和行为广告、广播、新闻、在线游戏等方面的规定。

（六）政策和社区标准

企业需要遵守其发布的条款、条件和政策（(包括但不限于隐私政策、年龄限制、行为规则和内容政策等)，在为用户设置社区规则和使用条件时，企业需要积极的维护和执行这些规则和条款。企业应当遵循“说自己所做，做自己所说”的原则。例如，如果企业已声明其禁止霸凌，那么需要建立相应的机制来迅速有效地处理霸凌事件。

（七）默认设置

除非能提供令人信服的原因，并基于保护儿童的最大利益，否则默认设置必须是高水平的。此项标准要求：

其一，企业提供“高度隐私”的默认设置。“高度隐私”的默认设置意味着：默认设置下儿童的个人数据对其他用户是不可见和不可得的；企业对儿童个人数据的使用仅限于提供服务所必须的范围（超出此范围之外的数据使用如用于个性化服务，必须由用户选择和激活）；任何允许第三方使用个人数据的设置只能由儿童用户激活。

其二，企业不仅需要确保默认设置本身可降低儿童遭受的风险，同时也需要考虑在儿童用户试图更改默认设置时是否需要采取进一步的措施以降低儿童可能遭受的风险。

其三，企业需要证明其已经支持保持或恢复到高隐私设置的功能，允许用户选择永久保持高隐私设置或仅针对当前用途更改隐私设置。

其四，更新软件时保留用户的选择或者高程度的默认设置。

其五，在多用户设备上允许不同的用户进行选择。例如，儿童和成人使用同一台设备时，不需要共享同样的隐私设置。

注：[1] 《规范》对ISS的含义、ISS之外的在线服务类别、“可能被儿童访问”等概念进行了详细的说明。

另：由于篇幅原因，本篇仅选用评论的前半部分，下篇推送：《深度评论|花季守护——ICO依“龄”设计规范（下）》，敬请期待！

孟洁律师团队实习生汪媛媛对本文亦有贡献。