如何保护儿童隐私？一安全公司推出"不要追踪儿童"工具

每天两块钱，实时获取全球数据合规风险预警

如需日本官方"数据映射工具包"PDF版，加入小圈子免费获取

👇

来源：华盛顿邮报、Gizmodo

整理：何渊，DPOHUB主理人

美国有一项法律规定，公司不应该追踪儿童，但他们还是这样做了。根据Pixalate最近的一项研究，超过三分之二的最受欢迎的儿童iPhone应用程序收集和分享个人信息。根据一些统计，数字广告公司在每个孩子13岁时，已经平均收集了7200万个数据点，而这个年龄段的孩子是刚刚可以被合法收集数据的。

安全公司Disconnect的一个新应用程序旨在对此有所作为。上周在苹果应用商店推出的"不要追踪儿童"应用程序，在你的整个设备上阻止跟踪器，同时教孩子们如何保护隐私。

"所有这些数据收集的重点是影响你的行为，无论是让你购买产品，促进强迫性行为，甚至是推动一种意识形态，"Disconnect的首席执行官凯西-奥本海姆认为，"当你把这一点放在儿童的背景下，有一些东西真的很险恶。"

应用程序、网站、甚至电子邮件都充斥着隐藏的跟踪器，它们在后台吸走你的细节。苹果公司大肆宣传其隐私设置如何保护你免受这些影响，但该公司的功劳可能比它应得的多。你的iPhone设置可以有所作为，但科技公司仍然在不断地监视你和你的家人。

Disconnect说，"不要追踪儿童 "应用程序走得更远。你只需在你孩子使用的iPhone或iPad上安装该软件，快速修改设备设置，该软件就会自动开始阻止大范围的数据收集。

不幸的是，跟踪是如此纠缠在互联网的核心，但最有效的隐私工具事实上可以打破很多应用程序和网站。默认情况下，"不要追踪儿童"应用程序中的控件将阻止一些侵犯隐私的技术，而不会干扰你孩子最喜欢的应用程序。但该应用程序包括具体的设置，你可以用来微调你的保护，包括谷歌、Meta和TikTok等几个不同的公司。最积极的设置可以完全阻止这些公司的服务。

"不要追踪儿童"阻止应用程序跟踪，还包括阻止你的电子邮件收件箱中的跟踪器以及劫持你的设备以挖掘加密货币的服务的工具。该应用程序还对你的域名系统（DNS）连接进行加密和过滤，这意味着你的手机公司和互联网服务提供商将更难对你进行监视。Disconnect表示，你也不必担心公司会滥用你的数据，它不会连接任何你不自愿提供的信息。

除了保护你孩子的隐私外，该应用程序还有一些可爱的漫画风格的解释，说明数据收集是如何工作的，以及为什么它很重要。这是你需要的一切，把你的孩子变成数据隐私的小战士。

应该有法律保护来确保孩子们的隐私，但美国《儿童在线隐私保护法》（COPPA）有漏洞，大到可以开着校车通过。

你孩子的应用程序正在监视他们？

苹果和谷歌只是睁一只眼闭一只眼。我们该如何阻止它。

想象一下，如果一个陌生人把车停在孩子卧室的窗户前偷看里面。你会打电话给警察。

然而，这种情况每天都在网上发生，而大科技公司却视而不见。

应用程序正在监视我们的孩子，其规模应该让你震惊。根据欺诈和合规软件公司Pixalate与我分享的一项重要的新研究，在可能被儿童使用的1000个最流行的iPhone应用程序中，超过三分之二的应用程序收集并向广告业发送他们的个人信息。在安卓系统中，79%的流行儿童应用也是如此。

《愤怒的小鸟2》在孩子们使用时进行窥探。《糖果粉碎传奇》、涂色和做数学作业的应用程序也是如此。它们抓取孩子们的一般位置和其他识别信息，并将其发送给一些公司，这些公司可以追踪他们的兴趣，预测他们可能想要购买的东西，甚至将他们的信息出售给其他人。

苹果和谷歌经营应用商店，那么他们对此能做了什么？

当儿童使用他们的产品时，科技公司需要停止视而不见--否则我们需要法律对他们施加一些责任。我们用户希望儿童的隐私能在网上得到保护。但家长和老师不能成为唯一的防线。

我们用户希望儿童的隐私在网上得到保护。但家长和老师不能成为唯一的防线。

儿童的隐私值得特别关注，因为儿童的数据可能以一些独特的有害方式被滥用。研究表明，许多儿童无法区分广告和内容，而追踪技术让营销人员可以微观地定位年轻人的思想。

这就是为什么美国为数不多的隐私法之一，即1998年的《儿童在线隐私保护法》（COPPA）将儿童置于中心地位。该法规定，未经父母许可，公司不应收集13岁以下儿童的个人信息。听起来很清楚，对吗？

但即使是COPPA的立法者之一，参议员爱德华-J-马基（D-Mass.）也认为它需要重来一次。"他告诉我："在最初起草该法案时，非常明显的是，将有一个真正的机会让无良企业利用儿童。"现在，这些问题是立体的。"

据总部位于伦敦的SuperAwesome公司称，当一个孩子长到13岁时，在线广告公司平均掌握了7200万个关于他们的数据点，该公司帮助应用程序开发人员浏览儿童隐私法。

"在联邦贸易委员会工作了20年的娱乐软件分级委员会（ESRB）高级副总裁斯泰西-费尔（Stacy Feuer）说："COPPA是在父母与使用电脑的孩子同在一个房间的情况下通过的。"移动互联网和我们在2022年拥有的一切都带来了新的挑战。" ESRB是视频游戏行业的非营利性自我监管机构。

Pixalate说，它使用软件和人类审查员，包括教师，来尝试苹果和谷歌未能做到的事情：对可能吸引儿童的每一个应用程序进行分类。Pixalate在这两个商店中发现了超过39.1万个儿童导向的应用程序--远远多于商店中有限的儿童区的选择。Pixalate的方法借鉴了联邦贸易委员会对 "儿童导向 "的定义，它是由一名负责执法的前委员会工作人员设计的。

在确定了以儿童为导向的应用程序后，Pixalate研究了每个应用程序如何处理个人信息，最值得注意的是绘制了每个应用程序向广告业发送的数据。在Pixalate确定的所有应用程序中，7%的应用程序发送了位置或互联网地址数据。但受欢迎的应用程序更有可能参与跟踪，因为它们有动机从目标广告中赚钱。

谷歌和苹果表示，他们的应用程序商店保护儿童的隐私。苹果公司说，它不同意Pixalate的研究前提，并说该公司有利益冲突，因为它向广告商出售服务。谷歌称Pixalate确定一个应用程序是否面向儿童的方法 "过于广泛"。

Pixalate研究的一个局限性是，它没有像COPPA要求的那样检查哪些应用程序寻求父母的许可--但我的抽查发现，许多应用程序没有。

这项研究很难说是问题的唯一迹象。最近对164个教育应用程序和网站的研究发现，其中近90%的应用程序和网站向广告技术行业发送信息。2020年的一项研究发现，124名学龄前儿童所玩的应用程序中有三分之二收集和分享了身份信息。而2018年对5,855个流行的免费儿童应用程序的研究发现，大多数有可能违反COPPA。

"他们正在将他们的利润置于美国每个孩子的心理健康和社会福祉之上，因为这就是他们今天的权力，"马基告诉我。

我想知道。在美国，我们有针对儿童的隐私法，但怎么会变成对儿童数据的公开季节？

我发现的是，大科技公司和应用程序制造商在法律上找到了一个巨大的漏洞。他们声称，他们并不 "实际知道 "他们正在获取孩子的数据。

但如果我们有意愿，我们可以收紧这个漏洞。

孩子们的隐私漏洞

要了解应用程序如何收集孩子的数据，请站在父母的立场上。你12岁的孩子在iPhone应用商店里搜索一款填色游戏，并选择了一款名为Pixel Art的游戏。由一家名为Easybrain的公司制作的Pixel Art: Paint by Number。

在你的孩子下载该应用之前，你看了一眼苹果应用商店的列表。它的顶部写着 "年龄：12岁以上"。应用程序预览显示了一个蔬菜和一只巨嘴鸟的图片，供其涂色。该应用程序是免费的。有什么不满意的呢？

苹果应用商店列出的涂色应用程序Pixel Art。数字绘画。它的开发者说这个应用程序是为成年人准备的。

但据Pixalate说，当你的孩子打开这个涂色应用程序时，它会向广告业发送她的大致位置、互联网地址和另一个可能识别她手机的代码。

在任何时候，Pixel Art都不会询问她的年龄--或者你的许可。Easybrain声称它没有必要这样做，因为Pixel Art不是为儿童设计的。

公司发言人埃文-罗伯茨（Evan Roberts）通过电子邮件说："我们经营的是'普通用户'服务，一般来说，我们并不知道Pixel Art应用程序正在收集、使用或披露任何13岁以下儿童的个人信息"。

让我翻译一下。许多应用程序制造商说，只有当他们 "实际知道 "他们的用户是儿童时，他们才需要停止收集数据或获得父母的同意。如果没有这一点，他们就可以声称自己是 "普通用户 "产品，而不是 "以儿童为导向 "的产品。

像素艺术中的着色设计包括诸如恐龙、独角兽、学生、冰淇淋和奶油甜点等类别。这些看起来都是孩子们可能感兴趣的东西，尽管应用程序制造商说它是面向成年人的。

如果成年人也使用一个应用程序，这并不重要。如果一个应用程序或网站的受众中哪怕只有一部分是儿童，COPPA也应该适用。如果是像Pixel Art这样的混合受众产品，该应用程序应该检查年龄并获得父母的许可--或者干脆不收集个人信息。2021年，联邦贸易委员会与一个自称是 "成人 "的涂色应用Recolor达成和解，该应用也有一个 "儿童 "部分。

我还听到了《糖果粉碎传奇》(Candy Crush Saga)制造商King的 "普通用户 "解释，该游戏被列为 "年龄：4岁以上"。"该公司在电子邮件中说："我们的游戏和我们的营销是针对美国18岁以上的成年玩家的。

我知道，对于应用程序的开发者--通常是小企业--来说，要了解谁是他们的受众，或者如何在不触犯法律的情况下赚钱，可能很复杂。

我联系的一个应用程序的制造商承认需要做得更好。计算器和数学求解器应用程序将自己推销为 "使数学作业变得有趣 "的方式，同时声称只针对16岁以上的人。开发商Impala Studios的首席执行官Frank List发来电子邮件说："我们将更加注意明确地只针对我们的目标受众进行营销"。

应用商店睁一只眼闭一只眼

苹果和谷歌是否同意在他们的应用商店发生这种情况？我告诉他们Pixalate的研究结果，并标记了十几个似乎藐视COPPA的应用程序。

他们都告诉我，他们在保护孩子方面做得很好。"苹果公司发言人彼得-阿杰米安（Peter Ajemian）通过电子邮件说："为儿童设计的应用程序提供了额外的安全层和工具，以保护儿童，并追究那些试图利用他们数据的人的责任。

而 "Google Play有严格的协议和独特的功能来帮助保护我们平台上的孩子，"发言人Danielle Cohen发来电子邮件。

两家公司都表示，他们要求应用程序遵守法律，并且还为儿童导向的应用程序制定了特殊的隐私规则。但问题是：哪些应用程序遵守了这些规则？当应用程序自我声明它们不是为儿童设计的时候，苹果和谷歌往往只是睁一只眼闭一只眼。

谷歌应用商店和苹果应用商店都有 "儿童 "部门，但它们只提供儿童可能感兴趣的一小部分应用。

为什么把矛头指向科技巨头？因为他们通过对两个最大的应用商店的控制，可以说比美国政府对数字经济拥有更大的权力。

他们提供所有应用程序的年龄评级，但它们并不表明该应用程序是否符合COPPA的要求。事实上，《愤怒的小鸟》的Rovio公司在其网站上提供了一个警告：应用商店的年龄标签可能会产生误导。

更令人沮丧的是，两个应用商店都没有给父母提供一个简单的方法来查看那些不收集儿童数据的应用。谷歌的商店有一个儿童标签，其中的应用程序被标记为 "教师批准"，并采用了严格的标准。但是，Pixalate确定的最受欢迎的儿童导向的应用程序中，只有5%在商店的这一部分。

如果你能找到苹果公司策划的儿童类别，那就太好了，它被埋在商店的底部。你不能单独搜索它，而且有儿童隐私保护的应用程序也没有标明是这样。(事实上，如果你在下载量最大的图表中点击儿童部分，你看到的列表甚至不是儿童应用程序）。

即使是苹果公司的家长控制也帮助有限。当家长设置孩子的iOS账户时，他们可以批准应用程序的购买，但苹果并没有将商店限制在专为儿童隐私设计的应用程序上。

在使用儿童账户的iPhone上，苹果会自动激活其 "要求应用程序不要追踪 "的隐私设置。这限制了所有应用程序对一项个人信息的访问，但它并不能阻止所有的跟踪。在儿童iOS账户上测试Pixel Art应用时，我们仍然看到该应用分享了个人数据，包括一般位置、互联网地址和似乎是同一开发商的另一种跟踪手机的方法。

如果你是一个想确保你孩子的应用程序尊重他们的隐私的家长，你可以阅读应用程序的隐私政策，看看它们是否声称不适合儿童，或者是否与第三方共享数据。或者你可以求助于检查儿童应用程序隐私的组织的评论，包括Common Sense Media、ESRB或Pixalate。

但是，在我们把这项工作从忙碌的父母肩上转移开之前，孩子们的隐私处于危险之中。

如何弥补漏洞

那么，我们该如何解决这个问题呢？首先，苹果和谷歌不能视而不见，开始在他们的商店中对所有儿童导向的应用程序进行标注。

然后，父母、政府甚至广告业可以更清楚地了解哪些应用程序应该以不同的方式对待孩子的数据，而哪些应用程序确实只适合成年人。

"菲利斯-马库斯（Phyllis Marcus）说，他是亨顿-安德鲁-库尔特（Hunton Andrews Kurth）律师事务所的合伙人，曾经负责联邦贸易委员会的COPPA执法工作。

我并不是说这很容易--我们会要求商店把那些扩大 "普通用户 "定义的应用程序标注出来。然而，在2019年与联邦贸易委员会达成COPPA协议后，YouTube能够开始在其服务中标明儿童导向的视频。

另一个想法。手机可以识别何时被儿童使用。目前，当父母设置儿童专用的iOS账户时，苹果已经要求提供儿童的年龄。为什么不在孩子使用手机时向应用程序发出信号，停止收集数据？

参议员爱德华-马基（Edward J. Markey）在2021年的听证会前与媒体交谈，他提出了一项更新儿童隐私法COPPA的法案。

不过，与我交谈过的许多儿童隐私倡导者认为，除非有法律责任，否则这个行业不会真正落实。"马基说："这些公司不应该能够把头埋在沙子里，以避免保护儿童的隐私。

这意味着我们需要一个COPPA 2.0。马基和众议员凯西-卡斯特（Kathy Castor）都起草了法案，以更新法律。他们提出的变化包括：覆盖16岁以下的青少年，并彻底禁止行为和目标广告。

马基还将建议取消 "实际知情 "的漏洞，代之以一个名为 "推定知情 "的新标准。这意味着应用程序和网站将有责任合理地试图弄清楚儿童是否在使用他们的服务。

加利福尼亚州还在考虑制定类似一个英国法律的版本，称为 "适龄设计准则"。它将要求公司确定消费者的年龄，并在默认情况下为儿童保持尽可能高的隐私水平。

美国立法者多年来一直在广泛讨论隐私问题，但没有采取什么行动。马基告诉我："如果我们不能保护儿童，那就说明我们的政治体系是多么的破碎。"这表明科技公司有多么强大。"

DPOHUB年度会员，扫码加入!

权益1：一年内畅听DPOHUB数据合规研究院全站几乎所有的录播课、直播课（除了超级会员专享的DPOHUB线上线下沙龙以及CDPO认证专用培训课程），权益期内新增的在线课程同样免费听。

权益2：一年的鹅圈子“数据合规俱乐部”，第一时间获取或下载全球最前沿数据法资讯、案例、报告、论文、指南以及全球数据合规头条、中国数据合规周刊。