加利福尼亞州州長加文·紐森(GavinNewsom)上個月簽署《加利福尼亞適齡設計規范法》。該法要求在線企業為18歲以下的用戶建立強大的隱私保護。然而,該法律的批評者對其模糊的語言提出擔憂,因為它沒有清楚界定什麼樣的企業可能受到該法律的約束,以及公司必須采取什麼具體行動來遵守該法律。
例如,由於法律有嚴格的年齡要求,在線企業可能會采用侵入性的年齡驗證制度--如面部掃描或檢查政府頒發的身份證。雖然數字隱私保護很重要,特別是對兒童來說,但加州的適齡設計法可能會產生意想不到的後果,因為其模糊的、全面的試圖實現這一目的。
該法適用於任何"提供可能被兒童訪問的在線服務、產品或功能的企業",並規定這些企業必須以"兒童的最佳利益"行事。科技公司必須進行嚴格的數據保護影響評估,判斷其產品是否有可能"傷害兒童"。此外,企業必須估計兒童用戶的年齡,將兒童的默認設置配置為高水平的隱私,並以兒童友好的語言提供和執行隱私政策和其他信息。法律還規定,企業必須讓兒童清楚地知道他們何時被監控或定位追蹤(由父母、監護人或任何其他消費者),並為兒童或其監護人報告隱私問題提供方便的途徑。
禁止企業在沒有"令人信服的理由"的情況下收集、使用、出售或分享兒童的個人信息,包括地理定位,或以與在線服務的"風險"不相稱的方式收集估計兒童年齡范圍的信息。法律沒有澄清什麼是收集信息的"令人信服的理由",也沒有說明企業應如何衡量其數據收集行為是否與其產品的明顯"風險"相稱。
此外,法律規定,禁止企業使用"黑暗模式"鼓勵兒童分享不必要的個人信息,或采取該公司應該知道對兒童身心健康有害的行動。
最後,法律禁止企業以"知道或有理由知道對兒童的身體健康、精神健康或福祉有實質性損害"的方式使用兒童的個人信息。
藐視該法律的企業,對"疏忽"的違規行為,每名受影響的兒童將面臨最高2500美元的罰款,對每宗"故意"的違規行為將面臨7500美元的罰款。然而,該法案還包含一個"糾正期",給不遵守規定的公司90天時間來糾正他們的違規行為,以避免財務處罰。
批評者擔心,該法律的模糊語言使企業沒有明確的合規途徑。科技界遊說團體TechNet和商會給加州立法者寫信說:"要求公司考慮兒童的'最佳利益'是非常難以解釋的。"
電子前沿基金會高級立法活動傢Hayley Tsukayama在給紐森州長的信中寫道:"按照目前的寫法,我們認為要求企業考慮的標準--'兒童的最佳利益'--太模糊,也許不連貫。除非有具體的案例、事件或一系列事實,否則任何以任何形式運作的服務提供商都不能為個別兒童做出這樣的決定。任何以任何形式的規模運作的服務提供者將面對許多不同的兒童群體,他們有不同的脆弱性。在這個大背景下,對於什麼是'最佳',總會有合理的分歧。"
此外,許多批評者擔心,該法案可能導致復雜和侵入性的年齡驗證計劃。聖塔克拉拉大學法學院教授埃裡克-戈德曼在《國會周刊》上就該措施寫道:"AADC之後,用戶在訪問任何新網站之前將首先被要求證明他們的年齡--即使他們隻是打算訪問一下,甚至他們永遠不打算回來。"年齡認證的實際過程通常涉及(1)對個人細節的詢問或(2)評估用戶的臉,以便軟件能夠估計年齡。這兩個過程都不可能沒有錯誤,而且這兩個過程都會帶來一些企業無法承受的成本。更重要的是,認證過程是高度侵入性的。"
Instagram已經采用這樣一個方案。6月,該網站宣佈,如果用戶試圖將他們的出生日期從18歲以下改為18歲以上,他們將被要求用一張政府身份證的照片來證明他們的年齡,這是一張"視頻自拍",由面部分析軟件審查或由三名成年共同關註者 "擔保 "該人超過18歲來證明其年齡。具有諷刺意味的是,網絡企業可能很快就會制定侵入性的年齡驗證要求,以遵守所謂的數字隱私法。