和在有关在线安全的讨论中,欧洲数据保护委员会 (EDPB) 通过了一项关于年龄保证的声明,其中列出了个人数据合规处理的十项原则。
EDPB 发布的一份新闻稿称,其目标是创建“欧洲一致的年龄保证方法,在遵守数据保护原则的同时保护未成年人”,包括《通用数据保护条例》()。
EDPB 主席 Anu Talus 表示:“对于确保儿童不会访问不适合其年龄的内容至关重要。同时,验证年龄的方法必须尽可能减少侵入性,并且必须保护儿童的个人数据。 EDPB 提出的原则将帮助行业以符合数据保护原则的方式评估个人年龄,同时保护儿童的福祉。”
EDPB 的指导方针旨在被整个欧盟成员国采用。爱尔兰和西班牙的数据保护监管机构已经发表声明表示支持。在一份新闻稿中,爱尔兰数据保护委员会副专员 (数字PC),Jennifer Dolan 表示,“DPC 很高兴成为 EDPB 发布的关于年龄保证的重要声明的联合报告员。”
西班牙数据保护局 (AEPD)指出,它与爱尔兰的合作者以及法国和德国的监管机构一起推广了 EDPB 指南。
EDPB 合规年龄保证技术的 10 项指导原则
EDPB 的原则非常广泛,有十个相互关联的要点,解决了整个年龄保障范围内的问题。
首先,年龄保障必须“充分尊重自然人的基本权利和自由,儿童的最大利益应成为参与过程中各方的首要考虑”。
其次,“年龄保障应始终以与自然人的权利和自由相一致的基于风险和相称的方式实施”,并且“服务提供商在设计和运营其服务时应采用基于风险的方法。”
第三,“年龄保证不应给自然人带来任何不必要的数据保护风险”,特别是与诸如此类的敏感数据相关。和位置跟踪。 “这需要选择完全符合设计和默认数据保护原则的年龄保证方法。”
下一个,“参与年龄保证的任何第三方都应仅处理其特定、明确和合法目的所必需的年龄相关属性。”换句话说,数据最小化,或最少的必要数据,以及收集所需数据的明确目的。
第五点说,年龄保证必须有效:技术应该“明显地达到足以达到其执行目的的有效性水平”。这将根据可访问性、可靠性和,即年龄保证可以“处理意外情况并抵抗合理可能的欺骗或绕过系统的尝试”。
六是涉及合法性、公平性和,并表示“服务提供商和任何参与年龄保证的第三方应确保为年龄保证目的而处理任何个人数据对用户来说是合法、公平和透明的。”透明度意味着清楚地告诉人们正在收集哪些数据、为什么收集、涉及哪些方、数据将保留多长时间以及是否会共享。
“对于儿童而言,年龄保证方面的透明度尤其重要。服务提供商必须确保在儿童关心时,以一种清晰易懂的方式向儿童传达透明度信息。”
第七点涉及自动决策,在年龄保证的情况下,任何此类决策都应遵守 GDPR。 “如果适用,服务提供商和任何相关第三方应提供适当的措施,以保护自然人的权利、自由和合法利益。”这强调了重要性在选择算法年龄保证服务提供商时。
也就是说,“欧盟立法者选择了自动化决策的广泛定义,需要根据具体情况进行审查。”
关于年龄保障的第八个指导原则是根据设计和默认情况。 “年龄保证的设计、实施和评估应考虑到最能保护隐私的可用方法和技术,以满足 GDPR 的要求并有效保护数据主体的权利。”
第九个原则是安全。 “服务提供商和任何参与年龄保证的第三方应实施适当的技术和组织措施,以确保适合风险的安全级别。”这一点带来了一些强硬的药:“在实践中,鉴于实施年龄保证的法律压力越来越大,以及可能受到此类规则约束的提供者的数量,发生应该是可以预料到的。”我们的想法是尽可能地预防它们,并在它们发生时做出反应。
最后,第十项原则是问责制。 “年龄保障应在,确保所有流程和系统的设计、实施、修订、记录、评估、使用、维护、测试或审核均符合数据保护法规和其他法律要求。”
文章主题
|||||
