企业隐私政策中的GDPR合规风险 ——如何建立对未成年用户的特殊保护

2021-07-28

摘要：

2021年7月22日，荷兰数据保护局以TikTok未能采取有效措施，用儿童能够明确理解的语言告知其关于个人数据的处理，违反GDPR第12条规定，侵犯儿童隐私为由，依据荷兰本国适用的《2019年行政处罚管理规则》对TikTok处以75万欧元的顶格罚款。这也是GDPR实施三年以来，中国企业首次因违反GDPR相关规定而遭受处罚，对中国企业的海外发展具有重要的警示价值。此外，英国的Scott & Scott律师事务所以TikTok违反GDPR相关规定为由，也有意代理一起控告后者非法处理未成年用户数据的集体诉讼案件。据报道，控告者认为TikTok在没有采取充分安全措施、保证透明度、征得监护人同意或具备其他合法利益的情况下收集和处理了来自未成年用户的数据，并向未知第三方传输数据以获取利益。针对未成年用户数据的特殊保护这一议题，本文从企业面临的常见GDPR合规风险出发，对缺乏有效的年龄验证机制、为未成年人提供特殊保护的隐私政策条款不完善这两方面进行了分析，并提出相应的解决之策。

一、GDPR对未成年用户的特殊保护

如今，网络产品与服务已渗入未成年人生活的方方面面，未成年群体对互联网的依赖性极大。包括联合国儿童基金会的一份报告在内的证据表明，互联网的使用在越来越小的年龄段变得更加普遍；而另一项调查则显示，3-4岁的儿童中有三分之一上网，而5-7岁年龄段的上网比例升至87%^[1]。在这些惊人的数字背后， GDPR也相应地对未成年用户群体的保护“重拳出击”，要求企业必须提高相关数据合规标准。

在此，我们将GDPR中有关未成年数据主体的特殊保护条款归纳为以下三类：

1.总括性条款，主要参见GDPR序言第38条，说明对未成年群体进行特殊保护的重要性和必要性，并指出该保护特别适用于营销、生成用户画像、直接向未成年人提供服务时收集其个人数据的目的。 

2.分述性条款，主要包括GDPR序言第71条和正文第8条，分别规定了不得基于自动化处理对未成年用户生成用户画像，及直接向未成年人提供服务中用户“同意”的适用条件。 

3.涉及性条款，包括GDPR正文第6、12、40、57条，此类条款仅在一般性规定的同时附带提及了对未成年的权利保护，如在第6条“处理数据的合法性基础”中提出，保护数据主体的权利“特别是儿童的优先性利益或基本权利与自由”；在第12条透明性条款中指出“控制人应采取适当措施，以简明、透明、可理解和易于查阅的形式，使用清晰明了的语言，提供第13条和第14条所述的任何信息，以及根据第15条至第22条和第34条提供与处理数据主体有关的任何通讯，特别是针对儿童的任何信息”等。

二、企业面临的未充分保障未成年用户权利的常见合规风险和应对建议

根据GDPR序言第38条规定可知，基于未成年人的认知能力，他们更难以充分了解和理解处理个人数据的风险、后果、保障措施和赋予他们的权利，因此企业在处理未成年人个人数据时须提供特殊保护。我们认为，企业面临的常见合规风险有如下两个方面：1. 缺乏有效的年龄验证机制；2. 为未成年人提供特殊保护的隐私政策条款不完善。

1.缺乏有效的年龄验证机制

欧洲消费者组织在针对TikTok的一项调查结果显示，TikTok的用户群体中有一大部分是未成年人，许多人的年龄甚至低于13岁^[2]。虽然TikTok在隐私政策中称并不面向13岁以下的未成年人提供服务，但其并没有采取有效的年龄验证机制。在欧洲消费者组织看来，仅让用户在注册时填写自己的年龄无法构成充分的保障。同时，一旦发现年龄小于13岁的用户，TikTok也没有提供任何有效措施保证立即删除这些用户账号。

事实上，先前TikTok就因年龄验证机制的不完善问题而受到意大利数据监管机构的监管，并在其指令下移除了50万余个疑似不符合年龄要求的账户，以重新检查这些账户的用户年龄并阻止任何13岁以下用户的访问^[3]。另，一份由爱尔兰科学基金会软件研究中心出具的研究报告也指出，儿童和青少年用户可以轻易通过修改年龄的方式浏览TikTok、Snapchat、Instagram、Facebook等软件内容^[4]。

上述担忧当然不无道理，年龄验证机制漏洞的存在无疑对未成年人权利保障产生了一定威胁。然而，从实践操作来看，虽然目前出现了一些应用于年龄验证的新兴技术，但这些技术所要求的生物识别信息（如利用人脸识别技术来判断用户的年龄）、在政府注册登记的真实个人信息^[5]，本身很有可能已经超越了数据控制者收集处理信息的必要限度，违背了GDPR所坚持的最小收集处理的原则精神，因此企业很难纯粹地依靠技术革新来解决上述漏洞。而由于该问题的普适性，也给互联网企业造成了不小的经济负担。我们认为年龄验证机制的有效性问题仍待欧盟数据保护委员会（European Data Protection Board, 简称EDPB）^[6]提供进一步的具体指导意见。

2.为未成年人提供特殊保护的隐私政策条款不完善

GDPR序言第38条指出，当未成年人的个人数据用于1）营销目的，2）生成用户画像，3）直接向未成年人提供服务时收集其个人数据的目的时，适用于特别保护^[7]。

但在实践中，许多互联网企业在提供上述服务时并未完全遵守上述合规要求。以TikTok隐私政策为例，其运用用户画像和个性化推送广告时未区分未成年人和成年人用户，并基于完全自动化处理进行用户画像。如，TikTok的推荐系统会区分“异常身材（abnormal body shape）”和“丑陋相貌（ugly facial looks）”，很有可能会影响产出内容被贴上此类标签的用户的权利，从而违反GDPR序言第38条和71条规定^[8]。

在GDPR列举的众多合法性基础中，最重要且运用最广泛的就是“同意条款”。为建立对未成年人的特殊保护，隐私政策中针对未成年人的同意条款最好能够单独设置，基于未成年人主体的特殊性设置更高标准的同意机制，从而有针对性地加大对未成年用户隐私的保护力度。除了一般意义上“自主、具体、知情、明确”的书面同意合规要求外，企业应充分考虑未成年人与他们年龄相匹配的对收集和处理个人数据的理解能力。考虑到企业与未成年用户的权利地位关系存在一定的失衡可能性，因此我们认为对同意条款设置任何附加条件是不妥的。

具体到上述三类收集未成年用户数据的目的，可以说GDPR在同意条款的合规要求基础上赋予了企业更高的注意义务。综合欧盟成员国监管机构的相关指导意见，我们认为，企业实施事前的数据保护影响评估，同时保障用户向以上述目的收集数据的操作表达反对意见的权利是最为必要的。

其一，基于营销目的向未成年用户推送广告信息，企业的注意义务至少包含以下四项^[9]：

（1）事先进行数据保护影响评估，确定企业的数据处理行为是否会对未成年数据主体的权利和自由造成较高风险；

（2）在确保遵守一般性原则公开透明地处理数据的基础上，特别注意未成年人对“营销”的理解能力，且以他们能够理解的形式和语言解释营销的含义和后果。GDPR担忧的是，对提供个人数据后果的认识不足让未成年人更容易受到伤害，导致他们做出不合理的甚至超出他们负担范围的选择。企业需重点考虑减轻上述风险； 

（3）赋予未成年用户相应的反对权，即在第一次向他们推送营销广告前，告知他们可以随时要求停止处理其个人数据，而企业不得为此设置不必要的障碍；

（4）就广告本身而言，不能包含任何可能造成其身心或道德伤害的营销内容。

第二个特殊处理目的是用户画像。用户画像和自动化决策的概念是不同的。尽管这两者之间存在一些交叠，但并非所有自动化决策都属于用户画像，也并非所有画像都属于纯自动化决策。因此，企业首先需要认识到的是，只有完全基于自动化决策生成用户画像是被GDPR完全禁止的，而单独使用用户画像，除了满足与营销目的相似的限制条件（包括事前的数据保护影响评估和“同意条款“的单独拟定，以未成年能够理解的语言和形式向他们解释决策所涉及的逻辑、数据处理的重要性和可能导致的后果）外，同时要求企业采取下述保障措施^[10]：

（1）数据控制者对该操作进行人为干预； 

（2）提供适当的渠道，用户可以充分表达质疑平台算法决策的意见，反对自动化决策。

最后，面对直接向未成年人提供服务的数据处理目的，我们推荐进行与上述两类目的类似的数据保护影响评估，并设置单独的同意条款。实践中的诸多企业并未进一步限制旗下在线服务的年龄门槛，因而容易忽视对未成年用户的特别保护，尤其是13-15岁年龄段的青少年^[11]。根据GDPR第8条规定，处理16岁以下的未成年人的个人数据时，须单独获得其监护人的同意或授权，而欧盟成员国又可以自行将16岁的标准最低降至13岁。也就是说，在处理欧洲经济区国家13-15岁未成年用户的个人数据时，企业应格外重视取得监护人在自愿条件下做出的单独同意。

三、应对措施建议总结

鉴于GDPR十分重视对未成年用户的特殊保护，我们建议，企业在应对各国数据监管部门的审查时，应当做到以下四点内容：1）建立更严格的身份验证机制，尽量以最小收集原则知晓用户的真实年龄；2）建立行之有效的检测机制，保证及时移除实际不符合注册要求的未成年用户账号；3）实施对未成年人的特殊保护措施；4）依照欧盟各成员国的具体规定，处理13-15岁未成年用户的个人数据时，取得监护人的独立同意。

此外，我们认为适当地咨询儿童和青少年的意见也是企业识别系统性风险的有效手段。企业可邀请不同年龄组别的未成年人进行实验测试，尤其是对同意条款的文字表述，他们的反馈结果有助于企业充分考量该年龄阶段用户的理解能力。同时，聘请具有专业知识的第三方专家进行协助，能够协助企业对测试结果形成更准确的认识和评估^[12]。

参考文献：

[1]Holloway, D., Green, L. and Livingstone, S., Young Children and their Internet Use,http://eprints.lse.ac.uk/52630/1/Zero_to_eight.pdf; OfCom, Children and Parents: Media Use and Attitudes Report, http://stakeholders.ofcom.org.uk/binaries/research/media-literacy/oct2012/main.pdf.

[2]BEUC, TikTok Without Filters, 2021, Page 5-8; BEUC, EU consumer law complaint against TikTok – GDPR compliance issues, Page 3.

[3]Techcrunch, Tiktok Removes 500k Accounts in Italy After DPA Order to Block Underage Users, https://techcrunch.com/2021/05/12/tiktok-removes-500k-accounts-in-italy-after-dpa-order-to-block-underage-users/.

[4]The Irish Sun, Kids of all ages signing up to Snapchat and TikTok by skipping age verification, Irish study finds, https://www.thesun.ie/news/6474238/kids-age-verification-snapchat-tiktok/.

[5]Alessandro Mascellino, Innovative Technology certified for biometric age verification solutions，https://www.biometricupdate.com/202105/innovative-technology-certified-for-biometric-age-verification-solutions; Luana Pascu, Trulioo upgrades document verification, biometric facial recognition to help SMBs fight online fraud, https://www.biometricupdate.com/202007/trulioo-upgrades-document-verification-biometric-facial-recognition-to-help-smbs-fight-online-fraud; Victoria Nash, Rachel O'Connell, Bendert Zevenbergen and Allison Mishkin, Effective age verification techniques: Lessons to be learnt from the online gambling industry, https://www.oii.ox.ac.uk/archive/downloads/publications/Effective-Age-Verification-Techniques.pdf.

[6]欧盟数据保护委员会是欧盟的独立监管机构，主要职责是保障GDPR在所有欧盟成员国的一致执行，促进成员国数据保护当局之间的合作，以及在数据保护相关问题上向欧盟委员会提出建议。

[7]Recital 38, GDPR：Children merit specific protection with regard to their personal data, as they may be less aware of the risks, consequences and safeguards concerned and their rights in relation to the processing of personal data. Such specific protection should, in particular, apply to the use of personal data of children for the purposes of marketing or creating personality or user profiles and the collection of personal data with regard to children when using services offered directly to a child. The consent of the holder of parental responsibility should not be necessary in the context of preventive or counselling services offered directly to a child.

[8]Dr. J. Ausloos & V. Verdoodt, Confusing by Design: A Data Protection Law Analysis of TikTok's Privacy Policy, Page 23.

[9]ICO, Applications Children and the GDPR, https://ico.org.uk/media/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/children-and-the-gdpr-1-0.pdf.

[10]Ibid.

[11]Supra 8, Page 25.

[12]Supra 9, Page 13.

本文作者：