愛爾蘭資料保護委員會(Ireland’s Data Protection Commission)於2020年12月制定「針對兒童資料處理方法的基礎概念(Fundamentals for a Child-Oriented Approach to Data Processing)」草案文件,其中納入專門針對兒童的資料保護解釋原則與建議措施,這些原則與措施將提供對於兒童的保護水準,使兒童免於資料處理風險所帶來的影響,該份草案文件的公開諮詢程序至2021年3月31日止,任何人都可以向愛爾蘭資料保護委員會提供相關意見與評論。
值得注意的是,愛爾蘭資料保護委員會也直接向兒童諮詢相關意見,兒童們紛紛提出他們對於資料保護的各種看法,愛爾蘭資料保護委員會也特別於該份文件內呈現出來。
在愛爾蘭,兒童的定義是指未滿18歲的人,與聯合國兒童權利公約(UN Convention on the Rights of the Child, UNCRC)的定義相同,而愛爾蘭資料保護委員會確立組織應遵循的14個基本原則,組織在處理個人資料時應注意對於兒童的保護,為兒童們提供一個比目前更安全、更合適以及更尊重隱私的網路環境,讓孩子們盡情得玩耍、互動、學習與創造。以下是該文件所列出的14個基本原則:
1.一定程度的保護(FLOOR OF PROTECTION)
線上服務提供者(Online service providers)應對所有使用者提供一定程度的保護,除非其採取風險導向的方法(risk-based approach)來驗證使用者的年齡,以將基本原則中所規定的保護措施應用於所有處理兒童資料的行為。
2.明確同意(CLEAR-CUT CONSENT)
當兒童同意處理其資料時,必須是明確、知情且自由得陳述,或給予明確同意。
3.零干擾(ZERO INTERFERENCE)
線上服務提供者處理兒童資料時,應確保追求合法利益的同時,不會對兒童的最佳利益造成干擾、衝突或負面影響。
4.瞭解受眾(KNOW YOUR AUDIENCE)
線上服務提供者應採取措施來識別其使用者,並確保針對兒童或可能被兒童所接觸的服務已制定針對兒童的資料保護措施。
5.每個情景的資訊(INFORMATION IN EVERY INSTANCE)
兒童有權獲得有關處理其自身個人資料的資訊,即便是由父母所代理同意處理的個人資料。
6.針對兒童的透明性(CHILD-ORIENTED TRANSPARENCY)
必須以簡潔、透明、可理解與可接觸的方式提供有關如何使用個人資料的隱私資訊,並應使用兒童易於理解且適合兒童年齡的語言。
7.讓兒童自主行使權利(LET CHILDREN HAVE THEIR SAY)
兒童本身即是資料主體,在任何年齡都擁有與其個人資料有關的權利。愛爾蘭資料保護委員會認為,只有兒童有能力,且符合他們的最佳利益,兒童可以隨時行使這些權利。
8.同意不會改變兒童的本質(CONSENT DOESN’T CHANGE CHILDHOOD)
從兒童或父母/監護人所取得的同意不應作為將所有年齡的兒童當作成年人對待的理由。
9.平台責任(YOUR PLATFORM, YOUR RESPONSIBILITY)
透過數位與線上技術提供或出售服務而獲得收入的公司,對於兒童的權利和自由可能會構成特殊的風險,如果此類公司使用年齡驗證或依靠父母同意進行資料處理,則愛爾蘭資料保護委員會期望公司在關於年齡驗證以及父母同意的驗證方面能夠更加努力。
10.不要拒絕兒童使用者或剝奪其使用體驗(DON’T SHUT OUT CHILD USERS OR DOWNGRADE THEIR EXPERIENCE)
如果公司所提供是提供針對兒童或可能被兒童所接觸的服務,公司不能透過將兒童拒於門外或剝奪使用體驗來繞過公司所應負擔的義務。
11.最小使用者年齡並非藉口(MINIMUM USER AGES AREN’T AN EXCUSE)
設置提供服務的使用者最小年齡不會取代組織遵守歐盟一般資料保護規則(General Data Protection Regulation, GDPR)的資料控制者與對未成年人保護等相關義務。
12.禁止剖繪(PROHIBITION ON PROFILING)
考量兒童的特殊脆弱性(particular vulnerability)與對行為廣告的敏感性(susceptibility to behavioural advertising),因此線上服務提供者不得基於行銷/廣告的目的對於兒童進行剖繪(profile)或針對兒童使用自動化決策(automated decision making),或以其他方式利用其個人資料,除非能夠清楚得說明「如何」以及「為什麼」這樣做符合兒童的最佳利益。
13.實施資料衝擊影響評估(DO A DPIA)
線上服務提供者應進行資料保護衝擊影響評估(Data Protection Impact Assessments, DPIA),以最大程度得降低其服務的資料保護風險,尤其是因為處理個人資料所對於兒童造成的特定風險。兒童的最佳利益原則必須是資料衝擊影響評估的關鍵標準,並且當兩者利益間發生衝突時,兒童的最佳利益必須優於組織的商業利益。
14.融入制度(BAKE IT IN)
定期處理兒童個人資料的線上服務提供者應根據「從設計與預設階段著手資料保護」原則,使其具有一貫的高標準資料保護程度,並將其融入於服務之中。
※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!
※你可能會對這些文章有興趣
1.揭開黑箱,說清楚講明白—可解釋性AI人工智慧
2.如何落實GDPR法遵?英國ICO發布問責制框架
3.歐盟法院SCHREMS II案與常見問答
4.個資外洩,該怎麼辦?
5.投資個資保護的價值?
