《连线》杂志的分析,加利福尼亚州的网络适龄设计法案,将在全球启动一个巨大的在线隐私试验,帮助儿童和青少年抵御网络上瘾和不良行为。而且,它的影响范围远远不止18岁以下的儿童。
没有人觉得现在的互联网,是对“儿童友好”的。
从欺凌者到掠夺者,再到偷偷摸摸的监视,家长们为如何让他们的孩子远离互联网的无数危险而烦恼。加利福尼亚州的一项新法案准备减轻父母的一些负担,并迫使科技公司承担更多的责任来保护孩子们上网。
本周,加州立法机构一致投票通过了《加州适龄设计规范法案》(ADCA)。一旦州长纽森签署,这个法案将成为法律。此法规将要求为18 岁以下用户服务的网站和应用程序在设计、开发和提供其产品时, “考虑儿童的最佳利益”。
这可能是美国向全面保护儿童用户迈出的最大一步。
在ADCA出台之前,人们对孩子们在网上花费的时间、网站收集的数据,以及所有这些屏幕时间可能造成的伤害,进行了越来越多的批评。带头提出这个法案的民主党人、两个孩子的家长巴菲·威克斯说,这个法案并不是要钳制年轻人使用互联网。
她说:“我正在养育数字原生代和能自如上网的孩子。我觉得在他们学习和成长的过程中,保护他们的安全是我们道德上的义务。”
但是另一方面,科技公司却没有经济上的动力,去为孩子们设计一个健康、有数据保护的互联网。
ADCA的主要诉求,是规范任何为18岁以下用户提供网络产品的公司隐私政策。这些公司将被要求在默认情况下,为儿童用户提供高水平的隐私保护。例如,如果父母不希望他们的孩子在社交媒体平台上收到陌生人的信息,他们不应该点击一个小小的“设置”标签,而是这个选项应该已经被打开了。它还旨在为孩子们的互联网探索提供更多广告代理。公司将被要求以儿童友好的语言,提供有关其隐私政策的透明信息,并允许儿童向公司记录其隐私问题。
如果这个法案颁布,还将对公司是否可以使用孩子的个人信息,做出更严格的规定。
根据此法律,公司将不能收集或分享超出网站运作所需的数据。他们必须完成“数据保护影响评估”,这项调查基本上会迫使他们详细说明孩子的数据将如何被使用。他们还必须披露产品是否使用令人上瘾的设计机制,如自动播放或游戏化的提示,以奖励用户在应用程序上花费更多时间。
最值得注意的是,这个法案的适用范围很广。它将适用于那些并非专门针对儿童,但“可能被儿童访问”的网站和应用程序。这意味着监管措施将超出通常可疑的手机游戏,或青少年社交媒体。这些规则可能适用于谷歌搜索、零售网站和新闻网站。
如果一家公司违反了ADCA,他们有90天的时间来解决,否则加州总检察长办公室可以按受影响的儿童数量,来对其进行罚款。每影响一个儿童,可处以最高7500美元的罚款。
支持者说,ADCA将迫使科技公司主动设计保护儿童的产品,而不是对他们已经造成的伤害作出反应。
非营利组织Accountable Tech的联合创始人兼执行董事尼克·吉尔说:“这不是为了事后解决问题。它的目的是鼓励安全和健康的设计,为孩子们提供安全的在线体验。”
Accountable Tech公司支持这个法案,一起支持这个法案的组织还包括Common Sense公司、 Fairplay公司和加利福尼亚美国儿科学会等。
儿童在互联网上的安全现状是普遍令人失望的。
软件公司Pixalate最近的一项研究发现,数以千计的以儿童为目标的应用程序,将用户的GPS数据和住宅IP地址传送给广告公司。社交媒体应用程序具有自然养成习惯的性质,这一特点引起了人们对社交媒体和青少年心理健康之间关系的关注。
管理儿童在线隐私的主要法律是COPPA,即联邦儿童在线隐私保护法。但是,自1998年以来,国会只更新了几次COPPA,其范围有限,只适用于针对13岁以下儿童的网站和应用程序。ADCA既适用于任何18岁以下的人,也适用于“可能被儿童访问”但可能不是专门针对儿童的在线产品,其范围将更加广泛。
这个法案的一些批评者认为,ADCA的范围过于宽泛。
反对者包括视频游戏贸易集团“娱乐软件协会”和Technet,这个组织的成员包括谷歌、Meta和Snap。新闻/媒体联盟也游说反对这个法案,理由是担心它将提高网上发布新闻的成本。
此法案概述了构成一个网站被儿童访问的“可能性”的几个指标,包括一些明确的指标,如一个网站是否有针对儿童的广告。但其他指标是模糊的,比如一个网站是否“经常被大量的儿童使用”(多久才算“经常”,多少才算 “大量”?)。
批评者特别关注ADCA的要求,即公司“以合理的确定性来估计儿童用户的年龄”。这个法案本身并没有规定公司应该如何估计儿童用户的年龄。那么,这将如何运作?在线服务是否会像一些批评者所说的那样,开始要求用户提供驾照或信用卡?估计年龄多大不是会带来更多的数据收集吗?
这个法案的支持者说,年龄估计方法不一定是侵入性的。一份来自5Rights基金会的报告(此基金会同时赞助了加州和英国的设计规范)建议,例如,用户可以自我报告生日,使用第三方年龄保证供应商,或者完成一个“能力测试”(解决一个有助于表明年龄范围的难题)。
那些绝对需要核实其用户是成年人的公司,如约会网站,将要求提供像驾照这样的硬性识别资料。
根据ADCA,公司也将被允许建立一个所有用户的在线活动的档案,或保留他们已经拥有的用户的在线档案,但这些数据档案只能用于估计用户的年龄。年龄估计档案的保存时间不能超过必要的时间,也不能以任何其他方式使用。但目前还不清楚监管机构将如何执行这一点。
ADCA确实也给了某些例外,譬如规定如果一个网站或应用程序提供高水平的数据保护(例如,它不出售用户数据,也不使用目标广告),就完全不需要年龄估计机制。
假设有一个叫Fake-website.com的网站。如果这个网站被发现有“大量”的常规访问者是青少年,那么它将受到ADCA的监管。在这一点上,Fake-website.com有两个选择。如果它使用定向广告或出售用户数据,那么它必须安装一个年龄估计机制,如提示用户输入他们的生日,这样它就不会向明确为18岁以下的用户提供定向广告。
然后,这个网站不能以任何其他方式使用用户数据点(他们的生日),并且必须尽快删除它。如果它不使用定向广告,或出售用户的数据,那么就没有什么需要做的了。
支持者说,“将给予所有儿童的隐私和数据保护,适用于所有消费者”这个相关条款,是法案的核心,也是ADCA实际上可以激励使互联网对所有用户更安全的一个机制。
前提是,如果它能被强制执行。
其他人则担心,这个法案的模糊之处,包括年龄评估条款,因为过于模糊而根本无法实施。非营利组织《消费者报告》的技术政策主任贾斯汀·布鲁克曼说:“我的猜测是,它可能会被科技公司忽视。这感觉就像政策制定时的草率”。
然而,支持者说,这种含糊不清是有目的的。此法将建立一个新的监管机构,负责制定这个法案的具体内容,包括年龄估计要求,目的是在个案的基础上与公司合作,以确定他们如何遵守这个法律,这个法律将于2024年7月生效。
ADCA并非没有先例,这个法案是以2021年生效的英国类似立法为蓝本。目前还不清楚英国的设计规范是否有什么影响。尽管已经执行了一年,但还没有被强制执行。英国的信息专员约翰·爱德华兹告诉彭博社,他的办公室正在“调查50多个不同的在线服务商是如何遵守这个守则的”。
虽然加州州长纽森尚未对ADCA做出公开表态,但预计他将签署这个法案,他必须在9月底前完成。一旦颁布,这个法案可能会产生更深远的影响,不仅仅是对加州的孩子。虽然此法只对位于加州的用户和企业强制执行,但企业可能会选择为所有孩子提供更高的数据隐私保护,而不是限于加州这个地理范围内。
例如,当欧洲通过通用资料保护规则(GDPR)时,微软选择将GDPR的保护措施扩大到所有用户。
正如威克斯在周二的新闻发布会上所说:“我绝对希望,如果这项法案被签署成为法律,它能有效地成为国家的法律”。