由 dawei
下半年以来,谷歌、TikTok、Instagram、YouTube等国际互联网服务提供商密集出台了一系列合规措施,包括关闭未成年用户个人性化推荐、默认其账号内容仅自己可见等,着重加强旗下产品在未成年保护方面的力度。
有观点认为,这与英国《适龄设计规范》于今年9月结束适应期正式落地有关,作为“第一部相关类型的法规”,《适龄设计规范》在英国《数据保护法案》与《通用数据保护条例》等法规的监管框架下提出了很多互联网未成年保护全新标准,直接推动了平台企业进行新一轮未保措施升级。
不少业内专家受访表示,《适龄设计规范》中的一些前沿条款为各国的专门儿童信息保护立法树立了参考典范,但也导致向未成年人用户提供服务的互联网企业合规压力陡增,如何平衡愈发细致的监管要求与自身业务发展,是其需要着重解决的问题。
具有强制效力的文件
《适龄设计规范》(Age appropriate design code,下称AADC)是英国于2020年8月正式发布,9月2日生效的一项未成年人数据保护条款,对互联网企业涉及儿童数据处理的各个方面进行了细致的规定。为保证相关企业有充分时间适应,AADC提供了为期12个月的适应期,今年9月2日后,所有提供儿童“可能”访问的数字服务的互联网公司需保证其产品符合其要求。
在前言部分,英国信息专员伊丽莎白·德纳姆对AADC的性质与功能进行了介绍。据其描述,AADC并不是一部新法律,主要为《通用数据保护条例》(General Data Protection Regulation,GDPR)适用儿童使用数字服务场景时设立标准和提供解释,各类组织需遵守该准则,并证明其服务遵守数据保护法,公平、有效地使用儿童数据。她特别强调,AADC是第一款该类型的法规,反映了未成年人数据保护改革的全球发展方向。
中国政法大学网络法学研究所副所长商希雪在接受21世纪经济报道记者采访时表示,AADC本身确实不属于法律,其制定依据主要来自英国《数据保护法案》的要求,法院有在审判中参考该规范的法定义务,但其尚未上升到立法层面。
然而这并不意味着英国互联网企业可以就此将AADC束之高阁。
在“守则执行”一章中,AADC的发布者英国信息专员办公室(Information Commissioner's Office,ICO)列举了自身的执法权力,包括发布评估命令、警告、谴责、强制执行命令和处罚,对于严重违反数据保护原则的行为,其有权发出最高2000万欧元或企业全球营业额4%的罚款,这一标准直接与GDPR中严重数据违法行为的行政罚款上限对齐。
ICO的执法权力由何而来?据其官网显示,ICO是英国为维护公众信息权利由数字、文化、媒体和体育部设立的独立公共机构,职责包括数据保护立法讨论,处理公众数据查询与投诉,提供儿童数据安全保护等等。
西南政法大学民商法学院副教授曹伟指出,2019年英国国家审计署对政府内部的数据管理进行了详细的描述,具体监管职能由在特定领域具有技术专长的机构来实施,ICO就位列其中,其主要职能是在信息专员,即前文提到的伊丽莎白·德纳姆的监督下维护英国的信息权,职权范围包括英国《数据保护法案》《信息自由法》《通用数据保护条例》等法规。
实际上,在英国ICO的监管一直是高悬于企业头上的达摩克里斯之剑:2018年,ICO就因Facebook在Cambridge Analytica丑闻中不当收集并与政治咨询公司共享用户数据一事,对其处以50万英镑的罚金。由于该事件发生于GDPR出台前,这是依据当时的《通用数据保护法(1998)》所能做出的顶格处罚。最近的两起高额罚单则发生在去年年末,2020年10月ICO裁定英国航空公司未能保护客户数据,对其处以创纪录的2000万英镑罚款;仅在两周后,万豪连锁酒店同样因未能保护客户数据而被罚款1840万英镑。据ICO公布的财务数据显示,20/21财年其总罚款金额同比增长1580%——这还是其考虑到新冠疫情影响而酌情减低部分罚款的情况下。