根据TechCrunch的报道,Facebook可能在欧洲面临新的审查,因为其使用一款VPN应用程序来监控用户的智能手机活动,包括年仅13岁的青少年。爱尔兰数据保护委员会(DPC)表示,已要求Facebook提供有关其市场研究项目“Project Atlas”收集的数据的更多信息,以便确定是否有进一步调查的依据。
数据保护委员会的声明
DPC的传播负责人格雷厄姆·多伊尔(Graham Doyle)表示:“爱尔兰DPC是通过今天早上的媒体报道才了解到这个故事。在我们能够评估是否存在数据保护问题之前,我们需要更好地了解个人数据的处理和使用情况。我们已要求Facebook提供这些信息。”
根据欧盟法律,处理未成年人个人数据有特殊要求。虽然Facebook的研究项目向全球用户开放,但尚未确认是否有任何欧洲青少年参与其中。
GDPR的挑战
如果发现欧洲青少年参与了该研究,Facebook可能面临根据欧盟通用数据保护条例(GDPR)提出的新投诉,尤其是在当地机构确定其未能遵守同意和“隐私设计”要求的情况下,可能面临巨额罚款。
GDPR的一段文字指出:“儿童在处理个人数据时应获得特定保护,因为他们可能对相关风险、后果和保护措施以及与个人数据处理相关的权利知之甚少。”
VPN应用的隐私风险
Facebook使用的这款VPN应用程序需要参与者提供设备的根访问权限,这可能使得公司能够非常详细地查看他们的数字活动。根据我们的调查,VPN应用程序收集的数据可能包括社交媒体应用中的私信、即时通讯应用的聊天记录(包括发送给他人的照片/视频)、电子邮件、网页搜索、网络浏览活动和持续的位置信息。
尽管Facebook尚未确认其通过该程序收集的数据类型,但参与者被提供高达20美元的奖励(以电子礼品卡形式),以激励他们持续参与数据收集,项目开放给13至35岁的人群。
年龄验证的缺陷
Facebook表示,13至17岁的未成年人需要获得父母同意,但目前尚不清楚其年龄验证过程的有效性。BBC记者戴夫·李(Dave Lee)今天早些时候报告称,他能够以“14岁男孩”的身份注册参与Project Atlas,而无需任何父母同意的证明。
对Facebook的质疑
尽管Facebook之前表示参与研究项目的青少年人数不到5%,但如果其年龄验证过程在第一关就失败,那么这类声明的可信度就值得怀疑。我们已联系Facebook及其合作的应用测试公司,询问他们如何验证参与者的年龄以及如何收集父母同意,但截至发稿时尚未收到回复。
在对Project Atlas的首次报道中,Facebook为该项目辩护,称:“像许多公司一样,我们邀请人们参与研究,以帮助我们识别可以改进的地方。由于这项研究旨在帮助Facebook理解人们如何使用移动设备,我们提供了有关我们收集的数据类型和参与方式的广泛信息。我们不会与他人分享这些信息,参与者可以随时选择停止参与。”
GDPR对儿童数据的要求
根据GDPR第8条,涉及儿童个人数据处理的同意条件规定,数据控制者必须对获得的同意进行“合理努力”验证。英国数据保护机构进一步指出,数据保护应“设计和默认”作为基线。
Facebook声称已经“签署”了父母同意书,并提供了关于收集数据的“广泛信息”。但关于他们如何有效地验证参与者年龄、如何获得父母同意以及提供给父母和青少年的信息质量和可及性仍存在许多疑问。
结论
Facebook的VPN项目在青少年隐私保护方面引发了广泛的质疑。尽管公司声称遵循相关法律规定,但其实施的具体措施和程序仍需进一步审查。随着公众对隐私问题的关注加剧,Facebook能否在数据保护法规的框架内继续运营将面临严峻挑战。
