2024 年回顾：围绕年龄保障的监管格局

2024年，围绕年龄保障的法律和监管框架取得了重大进展，特别是有关在线环境中儿童的法律和监管框架。本文回顾了全球年龄保障法律法规的主要变化和新兴趋势。

‍

自我声明和单点登录（SSO）受到审查，而许多监管机构都在推动年龄保障

虽然简单的自我声明（即要求用户勾选注明 “我已年满 13 岁” 的复选框）长期以来一直是最重要的 事实上的 2024年的年龄保障市场标准标志着对这种方法可行性的重大重新思考。监管机构越来越多地审查自我申报的 “年龄门”，在某些情况下甚至遭到拒绝，特别是针对高风险服务。相反，监管机构正在推动更可靠的年龄保障形式。

• 1月，英国信息专员办公室（ICO）更新了其 关于《儿童法》年龄保障的意见 并明确指出，自我申报本身并不是高风险服务的适当年龄保障方法。ICO引入了一个名为 “” 的新术语瀑布技术'这要求将自我声明与其他更有效的年龄保障方法相结合。
• 同样在1月，韩国个人信息保护委员会（PIPC）对儿童和青少年经常使用的20款应用程序（重点是游戏、视频和SNS应用程序）进行了专门审计，发现大多数应用程序都有针对14岁以下未成年人的年龄验证程序，但用于防止儿童虚假输入年龄的措施 “不足”。4月，PIPC随后发布了其 海外企业个人信息保护法适用指南，它要求海外企业使用特定的验证方法通过以下方式确认未成年人身份：（1）要求用户输入其完整的法定出生日期；或（2）使用以下地址的身份验证提供商之一 identity.kisa.or.kr。这些变化表明，让用户自行勾选一个写有 “14 岁或以上” 复选框的方法，如中所列 2022年7月发布的儿童和青少年个人信息保护指南 不再推荐。
• 7月，加州总检察长 发行的 对手机游戏公司Tilting Point Media的执法行动 除其他外 因为它未能在其游戏 “海绵宝宝：Krusty CookOff” 中提供中立而有效的年龄屏幕。要求用户选择生日的年龄门禁默认为 “1953”，要求13岁以下的用户滚动浏览50岁以上的年龄才能选择准确的出生年份。和解协议还指出，尽管如此，未经父母同意，仍会提示自认是儿童的玩家与第三方广告商共享其个人信息。
• 8月，美国司法部和联邦贸易委员会 被起诉 抖音在先前的2019年法院命令后涉嫌违反COPPA的行为。诉讼称， 除其他外， 抖音没有充分依赖Instagram等第三方登录选项，而不是实施独立的年龄限制。根据司法部的文件，TikTok内部将这些使用第三方登录选项的用户标记为 “年龄未知” 的帐户，但未获得父母的同意。
• 10月，西班牙数据保护局（AEPD）发布了指南'默认情况下为儿童提供安全的互联网以及年龄验证的作用”，他们强调仅仅要求用户说明自己的年龄是不够的。服务构成的风险越大，预计越多的公司将采取进一步措施来验证这些信息的准确性。

‍

‍

在隐私和准确性问题下，面部年龄估算越来越受欢迎

随着各组织寻求更可靠的年龄保障方法，面部年龄估算技术已成为某些司法管辖区经常讨论的解决方案，尽管并非不担心其准确性和隐私影响。

• 9月，西班牙数据保护局（AEPD） 已出版 一篇博客文章，探讨了处理个人数据（尤其是面部年龄估计）中涉及的 “概率方法” 的使用。AEPD 认为，虽然 排他性的 依赖面部年龄估计不太可能足以进行高风险处理， 局部的 将面部年龄估算与其他方法结合使用可能会有所帮助。AEPD 强调了概率方法中误差阈值的重要性。例如，在4.5亿人口中，0.01％的误差将影响45,000人，这是相当可观的。
• 与 “瀑布技术” 一致，面部年龄估算可以与其他验证方法相结合，以提高准确性。英国首次代币发行 提出 以下用例场景：使用7岁年龄缓冲区进行面部年龄估算。据报告，25岁以上的用户未经进一步检查即通过。那些被举报为25岁以下的人必须通过中学年龄验证步骤（例如，信用卡验证或身份证检查）。
• 11月，澳大利亚政府 任命 年龄检查认证计划（ACCS），用于进行年龄保障技术试验。该试验旨在评估现有年龄保障技术的有效性和隐私保护性，以限制16岁以下人群访问社交媒体平台的年龄并防止18岁以下的人访问在线色情内容。预计将在明年年中，即新的社交媒体禁令于2025年11月生效之前，以最终报告结束。

对面部年龄估算中敏感生物识别数据的潜在处理引发了特定的担忧，在某些司法管辖区，这种担忧更为严重。

• 三月份，美国联邦贸易委员会是 不愿收养 一种面部年龄估算技术，作为根据《儿童在线隐私保护规则》（COPPA）获得父母同意的预先批准的解决方案。拟议的机制本来可以分析用户脸部的几何形状，以确认他们是成年人。联邦贸易委员会的拒绝没有偏见——该委员会强调说，它并不是对申请的是非曲直采取立场，而是等到有更好的数据来描述该技术的准确性，例如国家标准与技术研究所（NIST）对该技术的审查结果。尽管如此，之所以遭到拒绝，部分原因可能是联邦贸易委员会收到了一些消费者对人脸数据处理的隐私和安全影响表示担忧的评论。
• 同样，犹他州实施年龄验证要求的尝试也因以下原因而停止 联邦法官 今年9月，理由是该法律违反了第一修正案对言论自由的保护。美国最高法院将权衡美国年龄核查法的合宪性 言论自由联盟诉帕克斯顿案 今年一月。
• 英国ICO强调年龄保障技术是 仍需要遵守一般数据处理原则，并对收集不必要或侵入性数据（特别是生物识别和其他形式的敏感数据）的年龄保障方法表示特别关切。

此外，法律发展表明，可能正在出现对年龄保障的更细致的理解。

• 3月，新加坡个人数据保护委员会（PDPC）发布了 关于数字环境中儿童个人数据PDPA的咨询指南，他们承认年龄保障不一定需要在账户注册阶段进行，可以在适当的时候进行。例如，如果有儿童无需注册账户即可玩的在线游戏，并且该组织希望鼓励用户从长时间的游戏中休息一下，他们可以使用年龄估算方法来猜测用户的年龄或年龄范围——如果用户可能是孩子，则游戏可以提醒他们休息一下。**

‍

‍

加强跨境和跨监管机构的合作

跨境和国内监管机构之间的协调有所加强。

• 在今年年初， 欧洲数字服务委员会 开始主持会议。在其工作组中， DSA 年龄验证工作组 成立的目的是促进与欧盟成员国国家当局的合作，以实施年龄核查的最佳做法和标准。工作队的主要举措包括：（i）根据DSA第28条制定指导方针，预计将于2025年第二季度制定；（ii）今年夏天就该指南的拟议范围和方法进行公众咨询；（iii）就年龄验证解决方案进行招标，以在欧盟层面建立共同方法；（iv）多利益相关者研讨会，特别侧重于DSA的概念未成年人可以进入” 以及（v）与ERGA和EDPB等其他监管机构的协调，以确保该主题的一致性。
• 9月，英国、直布罗陀、菲律宾、加拿大、阿根廷和墨西哥的数据保护监管机构发布了 关于采用共同的国际年龄保障方法的联合声明，概述了他们的共同期望。联合声明认为，如果用户面临很高的数据保护风险，那么使用自我声明的年龄门就很容易绕开。它强调，年龄保障是可用于保护在线儿童的更广泛工具包的重要组成部分。
• 10月，欧洲数据保护委员会 (EDPB) 发布了他们的 2024-2025 年工作计划。该计划证实，欧洲数据保护机构正在共同努力提供关于儿童数据、年龄验证标准以及欧盟数据保护法、DSA和DMA之间相互作用的指导方针。
• 在10月底至11月初之间，全球隐私大会（GPA）举办了年度会议，协调了全球数据保护和隐私专员的工作。其中一个重要会议让青少年分享了他们对隐私、数据保护以及移动应用程序对他们生活和心理健康的影响的看法。该小组强调了全球为提高人们对数字空间中儿童独特脆弱性以及加强保护需求的认识而正在进行的努力。

‍

‍

结论性想法

回顾2024年，年龄保障的格局发生了重大变化。全球监管机构表现出越来越多的协作和方法的复杂性，而技术提供商则以创新的解决方案作为回应。尽管有人对与年龄保障相关的隐私和安全风险表示担忧，但这些风险可以得到充分缓解，例如通过隐私保护和仅在用户设备上处理所有生物识别信息的零数据解决方案。

展望2025年，我们可以预计，随着行业不断成熟和适应这些重要挑战，监管框架和技术解决方案将进一步完善，这将要求实施有效的年龄保障方法（减少自我申报的普遍性），以及监管框架和技术解决方案的进一步完善。