互联网的广泛接入巩固了儿童和青少年融入虚拟世界的步伐。根据联合国儿童基金会的数据,“三分之一的互联网用户是18岁以下的儿童”,据报道,在巴西,92%的儿童和青少年使用互联网。尽管数字包容和连接带来了好处,但也存在过度使用设备和接触不适当内容的风险。
根据巴西的《通用数据保护法》,未成年人个人数据的处理必须严格符合其最大利益,访问申请不应以获取个人数据为条件。然而,风险缓解工具的有效性往往与儿童和青少年个人数据的处理有关。技术和组织措施虽然不是唯一的缓解措施,但可以降低风险,建立访问控制和内容限制机制。
因此,了解处理未成年人个人数据的法律方面对于适当和有效的保护至关重要。以下分析来源于巴西的LGPD,但与全球数据保护规范(如《欧盟通用数据保护条例》)有许多相似之处,使总体推理可以应用于其他地方。
对巴西法律的字面解释表明,处理儿童的个人数据必然需要父母或监护人的同意。这引发了人们对处理未成年人个人数据的限制和条件的讨论,导致巴西数据保护局澄清,只要遵守未成年人的最大利益,这些数据可以在LGPD提供的法律基础下处理,包括但不限于同意。
LGPD下的最小化原则规定,处理中使用的数据应“相关、成比例且不过度”,仅限于其预期目的所需的数据。
然而,在实践中,尽管遵守最小化原则的必要性是明确的,但其应用有时会被误解。一些利益相关者将最小化原则作为一条绝对规则,不惜任何代价追求数据最小化,即使这会损害特定上下文的最佳数据处理实践。
在处理未成年人的数据时,这种误解仍然存在,模糊了“最大利益”和最小化原则之间的概念区别。然而,数据最小化和孩子的最大利益既不相同,也不相互排斥。
在某些情况下,限制对未成年人数据的访问是保护他们最大利益的最合适方式,特别是在有针对性的广告和预测分析的情况下。
相反,全面或更具侵入性的数据处理可能会为儿童的网络安全提供更有效的控制机制,通过优先考虑儿童和青少年的最大利益,这似乎是合理的。
因此,重要的是要认识到,儿童的最大利益并不总是数据最小化的同义词;在某些情况下,对未成年人数据进行更广泛的处理更符合他们的最大利益。
另一个原则,必要性,与不处理过多的数据有关。尽管如此,由于对必要信息的使用不足,使用不足以实现某一目标的数据,例如儿童的在线保护,也可能违反数据保护法。
此外,所收集数据的稳健性直接关系到数据处理结果的质量。数据稳健性(输入)不足可能导致输出质量受损,可能会破坏保护儿童和青少年最大利益的主要目标。
这表明,数据最小化本身并不是一个目标,因为在某些情况下,这可能会导致有问题的结果。
如何学习充分GDPR欧盟合规?学习CIPP/E课程,其重点关注隐私法律法规的实际应用,了解欧洲数据保护导论、欧洲监管机构等知识及考核
如果要实现的目标与活动造成的干扰成比例,则出于安全目的处理数据可能包括使用敏感信息。当前的个人数据处理能力使得能够通过包括软生物识别在内的各种元素来识别用户。
此类别包括打字模式、移动设备的位置和相对于地面的高度等数据。当这些元素结合在一起时,可以有助于评估用户的可能年龄。自我声明的年龄和观察到的行为之间的差异对于管理未成年人访问内容和降低风险至关重要。
其他数据类别,如访问的网站和屏幕活动模式,也可以纳入预测分析,以更准确地确定用户的真实年龄。
虽然这一程序并非万无一失,但它可以通过超越通常且往往不够充分的自我声明,更好地建立年龄验证机制;申报年龄和收集的个人数据之间的差异可能是管理未成年人暴露在风险和不当内容中的重要工具。
这种使用可以在最近全球范围内针对色情(在线)和酒精饮料(离线)等行业的提案中看到。
此外,如果分析这些推断可以揭示声称年龄较大的未成年人的身份,那么也应该有可能在网上识别出那些自称年龄较小的人。
正如欧盟委员会最近在2023年12月的决定所强调的那样,确保儿童的在线环境更安全是一个优先事项,而采取更密集的个人数据处理措施可以成为确保儿童在线安全的充分途径。
因此,可以断言,在数据保护法方面,未成年人的最大利益原则和最小化原则,尽管并非不相容,但不能简单地相互推断。
这是因为优先考虑未成年人的最大利益并不一定等于最大限度地减少正在处理的数据。尽管在各种情况下,数据最小化对于保护未成年人至关重要,但处理这些信息涉及细微差别,尤其是在确保更安全的在线环境时。
通过个人数据处理进行身份识别,同时要考虑法律和道德因素,有助于有效管理未成年人对不同类型内容的访问。
在这种情况下,尽管意味着更全面的数据处理,但某些数据处理措施可以成为在数字化世界中保障儿童最大利益的有效机制。
文章整理于iapp.org,由隐私合规交流圈 隐小私整理,转发请备注出处
*整理编辑:A隐小私(yinxiaosi00)
在线客服
微信
