保護孩子資料的,主要是兩套規則:美國的 COPPA 與歐洲的 GDPR。兩者之所以存在,是因為幼兒無法就被追蹤給出有效同意。但知道一部法律的名稱,並不能告訴你孩子手中的應用程式是否真的安全——以下是每套規則的要求,以及見真章的兩分鐘檢查。
保護孩子資料的兩部法律
COPPA — 美國
《兒童線上隱私保護法》(COPPA)適用於面向 13 歲以下兒童、或明知而收集其資料的線上服務。核心規則是:應用程式在收集兒童個人資料之前,必須取得可驗證的家長同意。而「個人資料」範圍很廣:不僅是姓名與電子郵件,還包括跨應用程式追蹤孩子的持久識別碼、精確位置,以及照片、影片與錄音。COPPA 由美國聯邦貿易委員會(FTC)執行。
GDPR — 歐盟與英國
《一般資料保護規則》(GDPR)認為兒童理應受到特別保護。對於面向兒童提供的線上服務,只要孩子低於各國設定的年齡,同意就必須由家長作出或授權——預設 16 歲,部分國家下調至 13 歲。在英國,監理機關 ICO 的《適齡設計規範》更進一步,要求兒童可能使用的服務預設採用高隱私設定並盡量減少資料收集。
法律的要求,一目了然
- 保護誰:COPPA 保護 13 歲以下;GDPR 視國家保護 13 至 16 歲以下的兒童。
- 核心義務:收集資料前取得家長同意,外加預設高隱私設定(英國兒童規範)。
- 什麼算資料:姓名與聯絡方式,還有追蹤識別碼、精確位置、照片與音訊。
- 由誰執行:美國是 FTC;歐洲是各國資料保護機關。
- 合規最簡單的方式:什麼都不收集。不收集資料的應用程式無需同意,也沒有什麼可失去。
關鍵在於:法律是底線,不是上限
許多家長忽略了這一點:兩部法律首先都建立在同意之上。也就是說,只要先徵得家長同意,應用程式就可以收集——甚至共享——大量資料。實際上,這份同意常常埋在註冊流程裡,不少標榜「適合兒童」的應用程式在紙面上守規,卻仍嵌入為你孩子建立輪廓的廣告 SDK。合規意味著應用程式遵守了規則,而不是它什麼都不收集。而這道落差,幾乎總是用廣告來買單。為什麼偏偏是孩子手中的廣告才是真正的問題,我們在無廣告應用程式檢查清單裡作了說明。
兩分鐘隱私檢查
- 閱讀隱私標籤。在 App Store 的「App 隱私」裡,「未收集資料」是最有力的答案;「與您關聯的資料」意味著資料會與孩子的身分連結。
- 尋找兒童隱私權政策。願意公開一份的開發者,代表已經考慮過 COPPA 與 GDPR 的義務。
- 留意「包含廣告」。靠廣告獲利的兒童應用程式,幾乎總會把資料共享給廣告網路。
- 自己先玩五分鐘。留意是否要求註冊帳號、索取電子郵件,或申請定位、通訊錄、麥克風權限——一款繪圖應用程式這些都不需要。
- 測試家長鎖。購買與外部連結應放在幼兒無法獨自通過的成人驗證之後。
黃金標準:「未收集資料」
在 COPPA 與 GDPR 之下最俐落的安全之道,就是做一款根本沒有理由觸碰孩子資料的應用程式。這正是 Kid Doodle 的思路:App Store 標籤寫著「未收集資料」,沒有帳號,沒有分析或追蹤 SDK,也沒有第三方廣告——而且應用程式完全離線運作:安裝之後什麼都不會外傳,因為根本沒有可傳的東西。沒有同意頁面,因為沒有需要同意的東西。著色本的選購位於家長專區的家長鎖之後。一段刻意平淡的隱私故事——而這正是你想給孩子的。
常見問題
COPPA 是什麼?它適用於我孩子的應用程式嗎?
COPPA 是美國的《兒童線上隱私保護法》(Children's Online Privacy Protection Act)。它適用於面向 13 歲以下兒童(或明知而收集其資料)的線上服務,要求在收集個人資料前取得可驗證的家長同意,其中也包括追蹤識別碼、位置、照片與音訊。由 FTC 執行。
GDPR 保護歐盟的兒童嗎?
是的。GDPR 給予兒童特別保護。面向兒童的線上服務,只要孩子低於各國設定的年齡,同意就必須由家長作出或授權——預設 16 歲,部分國家為 13 歲。在英國,《適齡設計規範》再加上預設高隱私設定與資料最小化。
App Store 的「未收集資料」標籤是什麼意思?
它意味著,依開發者聲明,該應用程式不收集任何資料:沒有分析、沒有識別碼、沒有帳號、沒有追蹤。什麼都不收集,就沒有需要同意、共享或失去的東西——這是兒童應用程式最安全的狀態。Kid Doodle 的標籤就是「未收集資料」。