花季守护——ICO依“龄”设计规范（下）

英国信息专员办公室（ICO）于2020年1月份发布了最终版本的《适龄设计规范》（Age Appropriate Design Code，以下简称“《规范》”），《规范》将被提交至议会，预计将于2021年秋季生效。

英国议会要求ICO制定《规范》的目的在于确保英国《数据保护法案》（DPA）的真正落地。《规范》具体解释了如何将GDPR的相关规定适用于使用网络服务的儿童。并在制定过程中充分咨询了父母、儿童、学校、儿童保护团体、开发者、技术和游戏公司以及在线服务提供商的意见，并与之进行充分对话。

ICO认为，制定《规范》的必要性在于，英国五分之一的互联网用户是儿童，但他们使用的网络却不是为他们设计的。在ICO此前进行的调查中，英国儿童将现有的实践情况描述为“管闲事”、“粗鲁”和“有点怪异”的。而ICO针对人们最关心的数据保护问题进行过全国调查，结果显示，儿童的隐私保护问题位居第二，仅次于网络安全。这一情形与英国通信管理局和伦敦经济学院进行的调查所反映的情况类似。《联合国儿童权利公约》（UNCRC）指出，儿童在其生活的各个方面都需要特殊保障。欧盟数据保护法也反映了这一点，并为儿童提供了附加保护措施。《规范》基于UNCRC，并反映出了全球治理的方向，美国、欧洲和经济合作与发展组织（OECD）也正在考虑进行类似的改革。

（续）

（八）数据最小化

数据最小化要求意味着企业应当收集及存储最少必要的个人数据。企业应当确定特项服务所需要的个人数据，并由儿童来选择其希望使用的特定服务。同时，企业仅可在儿童积极而有意识的使用该部分服务时收集儿童的个人数据。

（九）数据共享

企业需要做到考虑儿童的最大利益，除非能给出一个令人信服的理由，否则不应共享儿童的个人数据。“高度隐私”的默认设置意味着共享数据的数量被限制，儿童需要主动更改默认设置以允许企业共享其个人数据。若企业可合理预见数据共享将导致第三方以损害儿童利益的方式使用数据，则不应当进行数据共享，企业应当获取第三方的保证，并对第三方的数据保护措施和任何数据再共享问题进行尽职调查。关于数据共享的默认设置应当明确数据共享的目的和对象。

总的来说，企业应当确保接收数据的第三方遵守GDPR的相关要求。但是确保数据共享的公平性这一责任由企业承担。除非具有出于儿童最大利益考量的令人信服的理由，否则企业不应进行数据共享。构成上述“令人信服的理由”的如：出于安全保护的目的，防止对儿童进行性剥削和线上虐待，或者为了防止或者侦查针对儿童的犯罪（如在线诱骗）等。为商业再利用的目的出售儿童的个人数据则不构成上述“令人信服的理由”。

（十）地理位置

首先，企业应当确保地理位置选项默认关闭。其次，企业应当在注册、每次使用服务时提示儿童向其告知其位置正在被追踪；如果儿童无法理解，则需要引导其与成年人沟通。最后，企业应当确保儿童位置对其他人可见这一隐私设置在每次使用以后都被关闭。

需要注意的是，若企业使用的地理位置信息同时构成PECR下的“定位信息”，则企业还应当满足PECR的相关要求。

（十一）家长控制

家长控制是允许父母或监护人对儿童的在线活动进行限制的工具，从而减轻儿童可能遭受的风险。其中包括设置时间限制或就寝时间，限制访问特定网站以及限制App内购买。可以被用于监视儿童的在线活动或跟踪他们的实际位置。

满足此项标准的重点是向儿童明确说明是否存在家长控制以及儿童是否正在被跟踪或监视，并提供显著的标识。这就要求企业向儿童提供与其年龄相适应的信息或者关于家长控制的解释；同时企业也需要向家长提供儿童权利相关信息。针对不同年龄段，企业需要就此向儿童或父母提供不同的信息，ICO分年龄段提供了指南，具体总结如下：

（十二）画像

除非企业可以证明存在令人信服的原因，并且是在保护儿童最大利益的情况下，否则隐私设置中的画像选项必须默认关闭。

但是，要求默认设置中关闭画像选项并不意味着画像被绝对禁止。在获得用户有效同意的情况下或者有充足保障的情况下，企业可使用用户的个人数据对用户进行画像。特别地，若画像对于在线服务的核心业务而言是必须的，则无需提供关闭画像选项的隐私设置；但只要企业可以做到，企业则应当向儿童提供控制其个人数据是否被使用以及使用方式的功能。如果企业提供的核心业务没有进行画像，那么对于依赖于画像的其他功能，则需要提供隐私设置。比如在大多数情况下，行为广告并不构成核心业务的基础。因此，在大多数情况下，行为广告应当遵循默认关闭画像选项的隐私设置。

其他不适于默认关闭画像选项的情形包括：法律法规明文规定的情形、为防止儿童遭受性剥削或者线上虐待，或者企业为了确定用户的年龄等。

从技术的角度，画像往往依赖于Cookie或类似技术的使用以便存储或者记住用户在线活动的过往信息，因此需要同时满足PECR的要求。

为满足《规范》要求，企业需要：首先，区分为不同目的而进行的不同类型的画像，并为之提供不同的隐私设置，不可将多种目的进行捆绑；其次，需要除非有其他令人信服的理由，否则必须确保画像功能处于关闭状态；再次，在打开画像选项时，企业需要提供适当的介入和干预，例如提供适龄信息，使其了解儿童的个人数据将要发生的后果和可能引发的任何风险。还应该提示儿童寻求成年人的帮助，如果儿童不确定或不了解该提示，则不要开启画像选项。最后，如画像设置已开启，企业需确保采取了保护儿童的适当措施，例如确保内容适宜儿童观看等。如果企业无法采取适当措施，则需要确保画像的设置不被开启。

（十三）轻推技术

轻推指的是用于引导或者鼓励用户在决策时遵循设计者更偏好的路径的一种技术。例如，在下面的图形中，绿色的“yes”按钮比小号的“no”选项更显眼，用户被引导为点击“yes”而不是“no”。除了颜色区别之外，语言描述的积极程度、选择选项的操作难易程度的差别等，均可被用来“轻推”。“轻推”技术可能鼓励儿童提供更多的个人数据或者选择更低程度隐私保护的选项，这一利用人类心理偏见的技术违背了GDPR第5（1）（a）条的公平原则。

《规范》要求，企业不可使用“轻推”来引导或者鼓励儿童提供不必要的个人数据或者做出不利于隐私保护的决定。具体而言，企业不应当利用儿童无意识的心理过程进行“轻推”，更不应使用可能导致儿童撒谎的“轻推”技术，例如为儿童预先选择年龄段或者不允许儿童选择真实的年龄段。

企业可在适当的场景使用 “轻推”技术来提高隐私保护水平。年幼的儿童需要更多指令性的干预措施，更少的说明和更为明确的规则以及更高水平的家长控制。企业可以通过鼓励提高高隐私保护水平和设置家长控制的方式，使用“轻推”技来满足这些需求。随着年龄的增长，企业应当支持儿童发展自主决策的技巧，并对功能、风险和后果提供清晰的解释。

企业可考虑利用“轻推”技术保护儿童健康。如该技术被用于保护儿童健康，则不被禁止，例如提供诸如暂停或者保存按钮之类的工具，防止儿童长期使用网络等。

（十四）联网玩具和设备

若企业的玩具或设备会收集个人数据并且会通过网络传输，那么企业需要符合《规范》的要求。

第一，明确处理个人数据的企业和其责任。例如，若企业同时提供线下产品和支持该产品的线上功能，则由企业独立承担合规义务。其他企业的责任范围取决于其角色是数据处理者还是控制者。企业不能通过将玩具或设备的联网项目外包给其他企业来免除自己的数据保护义务。

第二，可能被各个年龄的多个用户使用。诸如交互式玩具、家庭用设备等，可能被包括儿童在内的多个家庭成员使用。对此，企业可采取的措施包括：确保默认提供的服务适合所有儿童使用；为经常使用该设备的人提供用户画像选项，以支持成年人使用或根据某一儿童的年龄来定制服务。

第三，在购买和设置服务时提供有关个人数据使用的清晰信息。实物产品的包装以及产品传单或说明手册（纸质或电子版）均可载有清晰的标志（例如图标）以表明该产品已联网并将处理用户的个人数据。企业应允许潜在的购买者在线查看隐私政策、用户协议以及其他相关信息，以便其可以就是否购买设备做出明智的决定。

第四，寻找“及时”交流信息的方法。例如，使用自动播放音频消息，仅允许通过使用App来更改默认设置，或促进与用户的自动互动式“对话”。

第五，避免被动收集个人数据。企业应提供一些功能，以便在收集个人数据时让孩子或父母知晓，例如，当设备收集个人数据时，灯光会亮起。如果设备处于待机或“监听”模式，企业应该清楚告知该设备处于活动状态，且不应当在此模式下收集个人数据。

（十五）在线工具

在线工具是一种可以帮助儿童建议、轻松地在线行使权利的机制，可用于帮助行使访问、提出投诉等相关权利。为了让儿童行使自己的权利，他们首先需要知道这些权利的存在及其内容。因此，企业需要做到：

第一，企业所提供的帮助儿童行使权利和报告问题的工具必须明显且便于儿童查找。企业可在设置过程中突出在线工具，并在屏幕显著位置上提供清晰易于辨认的图标等。如在线服务还包含实体产品，则可以在产品包装上印上图标，突出显示作为产品功能的在线工具。

第二，根据不同年龄，在线工具应当满足适龄和易于使用的要求。对此，ICO提出了具体的参考指南，具体总结如下：

第三，企业应当确保在线工具具体细化，可用于支持相应权利。企业需要定制工具以支持儿童在GDPR下享有的权利，例如数据可携权、删除权、更正权等。

第四，确保在线工具包含跟踪进度和与企业交流的功能。企业应当提供响应要求的相关时间表，并应在GDPR第12（3）条规定的时间内处理所有要求。在线工具应具备相应的功能，使儿童可以表达紧急情况和原因。企业应当积极考虑用户提供的此方面的信息并且进行优先级排序。

五、《规范》对企业的启示

目前《规范》已提交英国议会。在正式生效之前，又给予相关企业一部分时间来进行判断和自我评估。建议企业结合自身情况，首先按照《规范》的规定，判断自身是否会适用《规范》。对此，我们的建议主要分为两种情况，一是受《规范》管辖并适用《规范》的企业；二是不需要适用《规范》的企业，具体建议如下：

（一）针对受《规范》管辖的企业

如企业判断《规范》适用，则需要尽快做好准备，根据《规范》的要求和标准进行逐项整改。需要注意的是，《规范》生效之后，ISS提供者将有12个月的过渡时间以确保其服务符合规范确立的标准。在12个月的过渡期内，企业应当首先确认现有服务是否属于《规范》所规制的范围。对于《规范》所涵盖的服务，企业应当尽快对已有的DPIA进行审查或进行一次新的DPIA。企业应当重点评估该服务是否符合《规范》中的标准，并确定符合《规范》所需采取的措施。

企业应该在过渡时期结束之前，尽快更改服务。如果更改的对象不仅包括在线产品，还包括实体产品，则应确保将必要的更改并入过渡期结束后的生产计划中。例如，更改联网玩具或设备的包装、印刷信息等。在《规范》生效之时，企业无需召回或修改现有的库存产品，也无需修改原于过渡时期结束之前开始的生产周期。

对于存量用户，企业还应该考虑如何对服务方式的更改进行管理。应该考虑他们的使用体验可能会如何变化，以及如何最好地进行交流并为这些变化做好准备，以便适当的管理对他们造成的影响。

（二）针对不受《规范》管辖的企业

针对部分国内企业，可能不存在向英国用户提供服务的情况，因此可能不适用《规范》。但是，2019年8月23日，国家互联网信息办公室正式发布《儿童个人信息网络保护规定》（以下简称“《规定》”）。《规定》于2019年10月1日起正式生效。《规定》中值得注意的重点内容包括：在收集、使用、转移、披露儿童个人信息时，需要经过监护人的同意；要求监护人正确履行监护职责，教育并引导儿童增强个人信息保护的能力和意识；根据《规定》的《征求意见稿》，在收集使用儿童个人信息时，应当征得监护人“明示同意”，《正式稿》则删除了“明示”二字，意味着同意隐私政策的方式即代表授权同意。这实际上可能是在一定程度上想避免通过过多收集信息来验证谁是家长谁是儿童这一难题。

就此而言，对于这部分企业，尽管ICO《规范》并不适用，但是不妨从以下几个维度考虑合规方向：

1、用户年龄段的划分

正如ICO指出的，不同年龄阶段的儿童，其理解能力和决策能力存在较大的差别，因此需要合理划分年龄阶段，针对不同的年龄阶段设计不同的隐私政策和数据保护措施。这不仅是为确保企业隐私政策、用户服务协议对儿童而言是可理解的，更是为了在家长控制和儿童隐私权、自主决策权之间寻求平衡。ICO将18岁以下的儿童划分为五个年龄段，并在默认隐私设置等方面针对不同年龄段的儿童制定不同的合规指南，而非仅以监护人同意为儿童信息保护的概括性原则。就此内容而言，部分企业的用户群体可能有明显的年龄段，比如早教类产品、初中阶段学习产品等等，可以首先定位到《规范》中的某一年龄段，并且借鉴ICO《规范》中针对该年龄段的做法，以不同的方式提供分别适合儿童及其监护人阅读的隐私政策（例如以音视频方式进行介绍等等），并根据该年龄段用户的特征，确定由儿童还是其监护人来更改隐私设置等。

2、年龄确认机制的落地

我国《规定》第九条、第十条和第十四条第一款规定了收集、使用儿童信息必须经过监护人同意制度，并在第五条规定了监护人应当履行监护职责的义务。但是，要实现监护人同意制度的落地，首先需要对年龄进行识别。目前很多企业的合规难点在于无法确认其识别方式是否有效。对此，我国仅出台了《规定》，而无具体的合规指引。在此情况下，企业可借鉴ICO《规范》的具体做法，根据自身情况，考虑选择自我声明、成年账号确认、技术措施、上传身份证件等方式中的一种或结合多种来进行识别。

3、家长控制机制的优化

目前很多企业都设置了青少年模式，从不同程度上实现了家长对儿童上网时间、浏览内容的控制。根据ICO《规范》提出的标准，家长控制不仅需要做到向儿童明确说明是否存在家长控制以及儿童是否正在被跟踪或监视，还需要提供显著的标识。随着儿童年龄的增长，其认知能力也随之提高，一刀切地一味满足家长对儿童的控制和监视可能也会引发相关问题。对此，也可以考虑进入家长控制模式以后，以显著标识提示儿童。此外，也可以考虑区分不同年龄段，针对对于认知能力达到一定程度的儿童，也可以提供儿童与家长的沟通渠道，从而实现使用相关服务过程中家长与儿童的有效沟通，为儿童提供更加有利于身心发展的服务。

注：孟洁律师团队实习生汪媛媛对本文亦有贡献。