从TikTok3.45亿欧元罚款到儿童隐私的保护

    2023年9月15日，爱尔兰数据保护委员会 (DPC) 以违反欧盟（GDPR）为由对 TikTok 的处以 3.45 亿欧元的天价罚款，并要求TikTok在三个月内将其违规数据处理行为合规。

主要问题如下：

1、某些TikTok平台的设置，包括默认公开设置以及与“Family Pairing”功能相关的设置；

2、TikTok的隐私设置包括对平台上的儿童用（13-17）户默认设置为公开。

3、非儿童用户能够与年满16岁或以上的未成年人配对他们的账户。

4、向儿童用户提供有关平台使用的充分透明性方面存在不足，使用了“黑暗模式”来推动他们选择降低隐私保护的平台设置。‘

违反条款包括了GDPR：5(1)(a)；5(1)(c)；5(1)(f)；24(1)；25(1)；25(2)；12(1)和13(1)(e)等八条——

数据处理的合法性、公平性和透明性；

数据最小化；

数据安全；

控制者的责任；

数据保护设计和默认；

数据主体（包括未成年人）有权明确清晰地接收关于数据处理的信息和接收其个人数据的接收者的信息。

    再来看我国，我国一直在立法上讲究稳健、全面、可行不激进的方式，在未成年人网络保护上重要的一步是9月20日国务院常务会议审议通过《未成年人网络保护条例（草案）》。会议指出，未成年人是国家的未来、民族的希望。要筑牢未成年人网络保护的法治支撑，推动各有关方面严格落实未成年人网络保护责任，引导支持相关企业积极落实条例、做到合规经营，促进未成年人健康成长。

    虽然，随着相关法律的出台，相应的保护体系、措施逐步完善，但是如何平衡保护和过度保护，权利和义务的树立仍然是重要的一步，仍需明确，比如算法模型之下对未成年人群的特性识别和信息过滤，大型企业的“守门人”责任和义务。对大型企业来说，需要重点关注的包括如下问题：

1、《未成年人保护法》第七十一条“未成年人的父母或者其他监护人应当通过在智能终端产品上安装未成年人网络保护软件、选择适合未成年人的服务模式和管理功能等方式。”

2、“守门人”特别义务提出：未成年人用户数量巨大、在未成年人群体具有显著影响力的重要互联网平台服务提供者，应当履行的共计六项义务。

    从条款设计上来看，我们多少还是参考了欧盟经验，并且有很强的移植痕迹，比如非对称义务的设计、大型企业的重义务设计等，在我国的社会和经济模式之下，如何落地可能会成为一个重要的问题，如何探索出符合实际情况的方法，仍需时间，而且随着人工智能、算法推荐等的大范围使用，对于未成年人而言，如何识别、设计、保护未成年人群而又让其享受智能化、数字化之下的“福利”仍是难题。而且随着网络的辐射，真实案例中出现了利用未成年人个人信息违法犯罪的行为，如盯上未成年人的电信诈骗、隔空猥亵等。一方面需要保护未成年人个人信息；另一方面，需要识别未成年人相关信息防止其沉迷网络。保护和防沉迷又该如何平衡？

    2016年，国家互联网信息办公室公布了关于《未成年人网络保护条例（草案征求意见稿）》公开征求意见的通知（以下简称“草案征求意见稿”）。通知指出，为了营造健康、文明、有序的网络环境，保障未成年人网络空间安全，保护未成年人合法网络权益，促进未成年人健康成长，根据《国务院2016年立法工作计划》制定本条例。但是更高位阶的法律《未成年人保护法》仍未修订，未成年人网络保护条例的制定出台实际意义不大。

企业三步走：

1、“推动各有关方面严格落实未成年人网络保护责任，引导支持相关企业积极落实条例、做到合规经营，促进未成年人健康成长。”

2、建立未成年人模式的落实、不良信息的筛选、社交模式的相关限制、防沉迷等。

3、建立技术、管理、数字内容相结合企业防护生态条件。

以上为个人针对未成年人的简短分析。