关注我们,学习更多隐私合规讯息
互联网的广泛接入巩固了儿童和青少年融入虚拟世界的步伐。根据联合国儿童基金会的数据,“三分之一的互联网用户是18岁以下的儿童”,据报道,在巴西,92%的儿童和青少年使用互联网。尽管数字包容和连接带来了好处,但也存在过度使用设备和接触不适当内容的风险。
根据巴西的《通用数据保护法》,未成年人个人数据的处理必须严格符合其最大利益,访问申请不应以获取个人数据为条件。然而,风险缓解工具的有效性往往与儿童和青少年个人数据的处理有关。技术和组织措施虽然不是唯一的缓解措施,但可以降低风险,建立访问控制和内容限制机制。
GDPR对中国有用吗?一分钟听老师给你快速科普!
因此,了解处理未成年人个人数据的法律方面对于适当和有效的保护至关重要。以下分析来源于巴西的LGPD,但与全球数据保护规范(如《欧盟通用数据保护条例》)有许多相似之处,使总体推理可以应用于其他地方。
对巴西法律的字面解释表明,处理儿童的个人数据必然需要父母或监护人的同意。这引发了人们对处理未成年人个人数据的限制和条件的讨论,导致巴西数据保护局澄清,只要遵守未成年人的最大利益,这些数据可以在LGPD提供的法律基础下处理,包括但不限于同意。
LGPD下的最小化原则规定,处理中使用的数据应“相关、成比例且不过度”,仅限于其预期目的所需的数据。
然而,在实践中,尽管遵守最小化原则的必要性是明确的,但其应用有时会被误解。一些利益相关者将最小化原则作为一条绝对规则,不惜任何代价追求数据最小化,即使这会损害特定上下文的最佳数据处理实践。
在处理未成年人的数据时,这种误解仍然存在,模糊了“最大利益”和最小化原则之间的概念区别。然而,数据最小化和孩子的最大利益既不相同,也不相互排斥。
在某些情况下,限制对未成年人数据的访问是保护他们最大利益的最合适方式,特别是在有针对性的广告和预测分析的情况下。
相反,全面或更具侵入性的数据处理可能会为儿童的网络安全提供更有效的控制机制,通过优先考虑儿童和青少年的最大利益,这似乎是合理的。
因此,重要的是要认识到,儿童的最大利益并不总是数据最小化的同义词;在某些情况下,对未成年人数据进行更广泛的处理更符合他们的最大利益。
另一个原则,必要性,与不处理过多的数据有关。尽管如此,由于对必要信息的使用不足,使用不足以实现某一目标的数据,例如儿童的在线保护,也可能违反数据保护法。
此外,所收集数据的稳健性直接关系到数据处理结果的质量。数据稳健性(输入)不足可能导致输出质量受损,可能会破坏保护儿童和青少年最大利益的主要目标。
这表明,数据最小化本身并不是一个目标,因为在某些情况下,这可能会导致有问题的结果。
如何学习充分GDPR欧盟合规?学习CIPP/E课程,其重点关注隐私法律法规的实际应用,了解欧洲数据保护导论、欧洲监管机构等知识及考核
如果要实现的目标与活动造成的干扰成比例,则出于安全目的处理数据可能包括使用敏感信息。当前的个人数据处理能力使得能够通过包括软生物识别在内的各种元素来识别用户。
此类别包括打字模式、移动设备的位置和相对于地面的高度等数据。当这些元素结合在一起时,可以有助于评估用户的可能年龄。自我声明的年龄和观察到的行为之间的差异对于管理未成年人访问内容和降低风险至关重要。
其他数据类别,如访问的网站和屏幕活动模式,也可以纳入预测分析,以更准确地确定用户的真实年龄。
虽然这一程序并非万无一失,但它可以通过超越通常且往往不够充分的自我声明,更好地建立年龄验证机制;申报年龄和收集的个人数据之间的差异可能是管理未成年人暴露在风险和不当内容中的重要工具。
这种使用可以在最近全球范围内针对色情(在线)和酒精饮料(离线)等行业的提案中看到。
此外,如果分析这些推断可以揭示声称年龄较大的未成年人的身份,那么也应该有可能在网上识别出那些自称年龄较小的人。
正如欧盟委员会最近在2023年12月的决定所强调的那样,确保儿童的在线环境更安全是一个优先事项,而采取更密集的个人数据处理措施可以成为确保儿童在线安全的充分途径。
因此,可以断言,在数据保护法方面,未成年人的最大利益原则和最小化原则,尽管并非不相容,但不能简单地相互推断。
这是因为优先考虑未成年人的最大利益并不一定等于最大限度地减少正在处理的数据。尽管在各种情况下,数据最小化对于保护未成年人至关重要,但处理这些信息涉及细微差别,尤其是在确保更安全的在线环境时。
通过个人数据处理进行身份识别,同时要考虑法律和道德因素,有助于有效管理未成年人对不同类型内容的访问。
在这种情况下,尽管意味着更全面的数据处理,但某些数据处理措施可以成为在数字化世界中保障儿童最大利益的有效机制。
文章整理于iapp.org,由隐私合规交流圈 隐小私整理,转发请备注出处
*整理编辑:A隐小私(yinxiaosi00)
如何学习信息技术数据合规?一起了解注册信息隐私管理师IAPP CIPT!
注册信息隐私技术专家CIPT
基本概念:
CIPT面向IT从业者开展隐私保护认证,可证明专业人员在IT产品和服务的开发、工程、部署与审计方面,对于隐私和数据保护实践的理解程度,以及管理和建立隐私保护要求和控制措施的能力。
学习内容:
Foundational Principles基本原则
The Role of IT in Privacy信息技术在隐私中的作用
Privacy Threats and Violations隐私威胁和侵犯
Technical Measures and Privacy Enhancing Technologies技术措施和隐私增强技术
Privacy Engineering隐私工程
Privacy by Design Methodology隐私设计方法
Technology Challenges for Privacy隐私的技术挑战
适用于以下人群:
主要适用于信息技术、信息安全、软件工程、隐私设计、合规审计等相关的从业人员。
更多课程在线听讲
更多课程疑惑,扫描下方二维码解答 或+yinxiaosi00
-END-
年薪百万的数据合规律师需要考哪些合规证书?一起听听老师的分享
国际隐私专业协会究竟是什么?点击下方视频,听老师讲述一下国际隐私协会的起源及发展,以及IAPP证书在隐私行业的影响力
更多课程在线听讲
学员经验
往/期/回/顾
■ DEPTH
想了解IAPP哪个证书适合你?
一起听老师讲IAPP证书选择
全套资料长按扫码领取
■ DEPTH
IAPP全套资料小程序领取
IAPP 国际隐私证书能考吗?
测一测是否满足IAPP报考资格
感觉不错你就赞赞我吧!
点分享
点点赞
点在看
戳这个,领取IAPP备考资料