一、隐私设计理论
一、隐私设计理论
隐私设计(Privacy by design)理论,即通过技术设计来保护隐私。该理念来自系统设计,最早源于1995年的关于提升隐私技术的报告。之后在“数据最小化”原则的融合下,逐渐形成了现代的隐私设计理论。隐私设计的七个原则为:主动而非被动,事前预防而非事后补救;系统初始状态就默认隐私保护;隐私嵌入式系统设计;完整功能:正和而非零和,即实现用户与系统开发的双赢,而非削弱一方来保护另一方;端对端安全,覆盖全生命周期保护;可视性和高透明度;尊重用户隐私。
隐私设计理念适用的范围主要包括信息通信技术、商业实践以及物理设计和网络基础设施。使用对象主要包括数据控制者(收集、处理和流转用户个人信息的企业)、系统的开发者和制造者,且以后两者为核心。隐私设计理论已经被运用在欧盟的GDPR中,第25条明确提到了隐私设计和默认隐私。美国FTC在2012年提出了隐私设计的框架,提出了三个核心原则:通过设计保护隐私,简化选择和透明度。
2019年4月,英国信息专员办公室(UK’s Information Commissioner’s Office,简称ICO)发布了《年龄适宜设计:网络在线服务行为守则》(Age Appropriate Design: A Code of practices for online service,简称《守则》)草案文件,《守则》对在线服务提出了要求,要求在线服务商设计保障措施,以确保这些保障措施适合儿童使用,为符合儿童的发展需要,提供实用指引并将隐私设计理论运用在了未成年人互联网隐私保护中。
《守则》在2020年9月正式通过,于2021年正式生效。ICO指出,《守则》并非新的法律,而是对GDPR中儿童如何更好地使用数字服务进行了详细解释并设立了标准,[1]但是一旦违反《守则》,将会受到如GDPR中一样的严重惩罚,如禁止再次进行数据处理或者缴纳一个公司全球收入的4%的罚款。[2]
《守则》草案涵盖英国《2018年数据保护法》提出的16项标准的实用指引。分别为儿童利益最大化(Best interests of the child):优先考虑儿童利益最大化;年龄适宜程序(Age-appropriate application):充分考虑不同年龄段的儿童需求;透明性(Transparency):用儿童能够听懂的语言明白个人信息将被用到何处;不得有害利用信息(Detrimental use of data):不能将儿童的数据运用到危害儿童健康成长的地方,不得与社区行为法则和政府建议相悖;政策和社区标准(Polices and community standards):在线服务提供者要有自己的服务准则,包括隐私政策、年龄限制、行为准则和内容政策;出厂设置(Default settings):必须为隐私保护级别最高;减少数据使用(Data minimisation):收集及保留最少的个人资料,以提供儿童积极并有意参与的服务项目;数据分享(data sharing):不要泄露未成年人数据,儿童利益最大化先行;地理位置(Geolocation):地理位置以及位置对他人可见必须默认关闭,一旦要打开必须明示儿童。父母控制(Parental controls):如果提供父母控制服务,必须明示未成年人。如果父母对未成年人进行监视,追踪地理定位,必须明示未成年人。儿童画像(profiling):默认关闭,除非为了保护儿童远离有害影响。助推技术(Nudge techniques):不用引导儿童提供不必要的个人数据,来削弱或者关闭他们的隐私保护,或者延长他们的使用。连接游戏和设备(Connected toys and devices):如果提供这种服务,请保证包含有效的工具来遵守《守则》;在线工具(Online tools):提供有效和可用的工具来帮助未成年人实现数据隐私保护和发送担忧。数据保护影响评估(Data protection impact assessments,简称DPIA):根据不同的年龄、能力和发展需要,进行DPIA(一种评估数据保护影响能力的系统)评估,评估和减轻可能使用您服务的儿童的风险。监管与问责制(Governance and accountablility):确保在线服务有适当的政策和程序来证明如何遵守数据保护义务,包括为所有参与设计和开发儿童可能访问的在线服务的工作人员提供数据保护培训。确保政策、程序和服务条款符合本《守则》的规定。[3] 2020年正式通过后的《守则》为15条,去掉了监管与问责制,并将数据保护影响评估从原来的第15条放到了第2条的重要位置。
《守则》有以下四个亮点,第一,对于“在线服务”的界定,需要满足三个条件:一是提供在线产品或者服务,包括应用程序、项目、网站、游戏、社区环境、连接游戏设备(无论是否带有屏幕);二是处理儿童数据;三是可能被英国的儿童访问(are likely to be accessed by children)。既非美国式的“directed at children”的网站要求,也不是欧盟含混的“service to children”,避免了在线服务者认为自己不是专门针对儿童的网站,不需要遵守相关法律的狡辩。“可能被儿童访问”的标准,相较于美国的“directed at children”范围要更广泛,相较于欧盟的“service to children”又更为明确,更有利于儿童数据的保护。这样像YouTube、Facebook、Instagram的网站,虽然不是专门针对未成年人的网站,但是仍然有大量的13岁以下未成年人访问,也要遵守《守则》的规定。(https://www.daowen.com)
第二,真正落实了“儿童利益最大化”原则,并进行了实践。“儿童利益最大化”原则是将有关儿童的一切行动为首要考虑。它旨在尊重父母的权利和义务,以及儿童不断发展的自主选择能力。《守则》在保护未成年人数据、隐私安全的同时,还要保障未成年人的其他权利,包括:言论自由;思想、良心和宗教自由;结社自由;隐私;从媒体获得信息(适当保护其免受对其健康造成有害的信息和物质伤害);玩耍及参与适合其年龄的娱乐活动;防止经济、性或其他形式的剥削。
第三,在父母威权和未成年子女隐私保护方面做出了平衡:一方面,《守则》将责任压到网络服务提供者身上,让他们确保服务适合儿童的年龄,将儿童利益作为首要考虑原则;另一方面,《守则》支持父母对于未成年子女的监管,但是要求父母尊重未成年人的权利,并支持父母或年龄较大的孩子(在适当的情况下)做出符合孩子最大利益的选择。
第四,对隐私设计理念的一次有益尝试,比如,出厂设置隐私最高级别,根据未成年人年龄设置不同的隐私需求标准,独立位置默认关闭等,都符合隐私设计理论中的“主动而非被动”,默认出厂设置最高级别隐私保护,事前预防而非事后补救等理念。尤其是父母监管这一部分,父母在监视未成年人的同时,还需要提醒未成年人,显示了对于未成年人的尊重和理解,符合隐私设计理论中的“尊重用户隐私”的理念。
[1]ICO.Age appropriate design: a code of practice for online services[EB/OL].[2022-03-05]. https://ico.org.uk/for-organisations/guide-to-data-protection/ico-codes-of-practice/age-appropriate-design-a-code-of-practice-for-online-services/.
[2]LOMAS N. UK watchdog sets out “age appropriate”design code for online service to keep kids’ privacy safe[EB/OL].(2020-01-22)[2020-01-29].https://techcrunch.com/2020/01/22/uk-watchdog-sets-out-age-appropriate-design-code-for-online-services-to-keep-kids-privacy-safe/.
[3]ICO. Age appropriate design: a code of practice for online services[EB/OL].(2020-01-22)[2020-01-29].https://ico.org.uk/media/about-the-ico/consultations/2614762/age-appropriate-design-code-for-public-consultation.pdf.