英国监管机构为在线服务设置了“适合年龄”的设计规范，以确保孩子的隐私安全

 
英国的数据保护监管机构今天发布了一套互联网服务设计标准，旨在帮助保护在线儿童的隐私和安全。
自2018年更新国内数据保护法以来，信息专员办公室(ICO)一直在制定适当的年龄设计规范-这是政府推动为儿童上网创建“世界领先”标准的一部分。
英国立法者越来越关注儿童上网时的“数据传播”，他们可能太小，无法合法地同意根据现有的欧洲数据保护法进行追踪和描述。
ICO的代码包含15个所谓的“适合年龄的设计”标准-监管者说这反映了“基于风险的方法”，包括规定默认情况下应将设置设置为“高隐私”;仅收集并保留提供服务所需的最少数据量;并且除非有充分理由符合儿童的最大利益，否则不应共享儿童的数据。
默认情况下，性能分析也应处于关闭状态。尽管该代码还针对试图操纵用户自身利益的黑暗模式UI设计，但不应使用“轻推技术”来“领导或鼓励儿童提供不必要的个人数据或削弱或关闭其隐私保护” ”。
监管机构在执行摘要中写道：“重点是提供默认设置，以确保儿童能够最大程度地访问在线服务，同时默认情况下最大程度地减少数据收集和使用。”
尽管适合年龄的设计规范侧重于保护儿童，但它适用于范围非常广泛的在线服务-监管机构指出“涵盖了儿童使用的大多数在线服务”，并且还规定“如果儿童是可能会使用您的服务”(强调我们的)。
这意味着它可以应用于从游戏到社交媒体平台，健身应用，教育网站和点播流服务的所有内容(如果英国用户可以使用)。
“我们认为，要使(孩子们)“有可能”获得一项服务，这种可能性比没有可能更大。这承认议会的意图是涵盖儿童实际使用的服务，但并未将定义扩展到涵盖儿童可能获得的所有服务。”
以下是监管机构描述的全部15条标准：
儿童的最大利益：在设计和开发可能会被儿童访问的在线服务时，应首先考虑儿童的最大利益。
数据保护影响评估：进行DPIA评估和减轻由于您的数据处理而可能访问您的服务的儿童的权利和自由的风险。考虑不同的年龄，能力和发展需求，并确保您的DPIA符合法规要求
这段代码。
适合年龄的应用程序：采用基于风险的方法来识别单个用户的年龄，并确保您将此代码中的标准有效地应用于儿童用户。确定年龄以适合您的数据处理所带来的儿童权利和自由风险的确定性年龄，或者将此代码中的标准应用于所有用户。
透明度：您提供给用户的隐私信息以及其他已发布的条款，政策和社区标准，必须简洁，醒目并且使用适合儿童年龄的清晰语言。在激活使用权时，还提供有关您如何使用个人数据的其他特定“小信息”解释。
有害使用数据：请勿以已证明不利于其健康的方式使用儿童的个人数据，或违反行业行为准则，其他法规规定或政府建议的方式使用儿童的个人数据。
政策和社区标准：维护您自己发布的条款，政策和社区标准(包括但不限于隐私政策，年龄限制，行为规则和内容政策)。
默认设置：默认情况下，设置必须为“高度隐私”(除非您出于儿童的最大利益而论证使用其他默认设置的令人信服的理由)。
数据最小化：仅收集和保留您需要的最小数量的个人数据，以提供儿童积极而有意识地参与其中的服务要素。让孩子们分别选择他们希望激活的元素。
数据共享：除非您出于充分考虑儿童的最大利益而有充分理由说明这样做，否则不要泄露儿童的数据。
地理位置：默认情况下，关闭地理位置选项(除非您能说明一个令人信服的理由，即默认情况下要考虑到孩子的最大利益而将地理位置默认打开)。启用位置跟踪后，为孩子们提供明显的标志。在每个会话结束时，使其他人都能看到孩子的位置的选项必须默认恢复为“关闭”。
父母控制：如果您提供父母控制，请给孩子适当的信息。如果您的在线服务允许父母或看护者监视孩子的在线活动或跟踪他们的位置，则在对其进行监视时，给孩子一个明显的信号。
剖析：默认情况下，将使用剖析的选项切换为“关闭”(除非考虑到孩子的最大利益，除非您能证明默认情况下启用剖析的令人信服的原因)。仅当您采取适当的措施来保护孩子免受任何有害影响(尤其是喂养有害于其健康或福祉的内容)时，才允许进行剖析。
推techniques技巧：请勿使用推techniques技巧来引导或鼓励儿童提供不必要的个人数据，或削弱或关闭其隐私保护。
相连的玩具和设备：如果提供了相连的玩具或设备，请确保您包含有效的工具以确保符合此法规。
在线工具：提供重要且易于使用的工具，以帮助儿童行使其数据保护权利和报告问题。
适当的年龄设计规范还对18岁以下的儿童进行了定义-比当前的英国数据保护法更高的标准，例如，该法律仅将13岁的年龄限制为可以合法获得他们同意的儿童在线跟踪。
因此，(非常疯狂地)假设Internet服务突然决定遵循代码，默认情况下将跟踪器设置为关闭，而不是通过操纵用户放弃更多数据来诱使用户削弱保护隐私的默认设置，代码可以从理论上讲，提高了儿童和成人通常都上网的隐私级别。
但是，它没有法律约束力-因此，这样做的机会很大。
尽管监管机构确实指出，该规范中的标准得到了现有数据保护法律的支持，但它确实进行了监管并且可以合法执行(并且包括诸如“设计和默认的隐私权”之类的明确原则)—指出了这一点。有权采取行动对付违法者，包括“严厉制裁”，例如停止处理数据的命令和最高公司全球营业额4%的罚款。
因此，在某种程度上，监管机构似乎在说：“您是否感到幸运的数据朋克?”
该法规还必须提交议会批准，为期40个工作日，而ICO表示，如果没有异议，它将在此后21天生效。然后，在生效后还有一个12个月的过渡期，以“让在线服务有足够的时间来适应”。因此，在采取任何措施来解决卑鄙的鼻子问题之前，会先有一些内在的懈怠。
去年4月，英国政府发布了一份白皮书，其中提出了有关规范一系列在线危害的建议，包括寻求解决儿童对Internet上不适当材料的担忧。
ICO的《年龄适当的设计规范》旨在支持这项工作。因此，也有可能将某些相同类型的规定纳入计划的在线危害法案中。
“这不是，也不会是’法律’。这只是一种实践准则，” Decoded Legal的互联网，电信和技术律师Neil Brown说，他讨论了建议标准的可能影响。 “它显示了ICO的思维方向和期望，并且ICO在采取执法行动时必须考虑到它，但这不是组织需要遵循的事情。他们需要遵守法律，即GDPR [通用数据保护条例]和DPA [Data Protection Act] 2018。
“实践准则属于DPA 2018，因此属于该准则范围内的公司可能希望了解其内容。 DPA 2018和英国GDPR(英国脱欧后将发布的GDPR版本)涵盖了在英国设立的控制人以及针对英国人提供服务或监视英国人行为的海外控制人。仅向英国人民提供服务是不够的。”
布朗还告诉我们：“总体而言，这与在线服务旅行的总体方向一致，并且认为需要做更多的工作来保护儿童上网。”
“目前，在线服务应在研究如何遵守GDPR，ePrivacy规则和任何其他适用法律。由于当今的行为准则，遵守这些法律的义务不会改变。相反，实践准则表明了ICO对合规性的看法(可能还会镀金一些法律要求)。”
布朗说，那些选择注意该守则并能够证明其遵守其标准的组织更有可能说服他们遵守相关隐私法的监管机构。
他补充说：“相反，如果他们想说自己遵守法律而不是守则，那是(合法的)可能的，但是在与ICO的接触方面可能会更加困难。”
缩小规模，政府于去年秋天表示，致力于“在线”发布在线危害法律草案，以进行立法前的审查。
但是与此同时，它放弃了一项有争议的计划，该计划包含在2017年的数字立法中，该计划将强制要求对在线色情内容进行年龄检查-表示它希望专注于开发“可能的最全面的保护儿童方法”，即通过在线危害法案。
被吹捧的“儿童保护”到底有多全面还有待观察。
布朗表示，考虑到《 2017年数字经济法》的年龄验证部分已被删除，年龄验证可能会成为“一般要求”，而且“政府表示，这些将在更广泛的在线危害部分中得到体现”。
政府还一直在与技术公司协商在线实施年龄验证的可能方法。
但是，监管永久迭代的Internet服务的困难已经很多年了，其中许多困难也由英国以外的公司运营。 (现在陷入地缘政治中。)
礼貌地说，虽然现行的欧洲数字隐私法仍在执行中，但仍在进行中……