英国ICO对Reddit开出1450万英镑罚单：非法收集儿童数据

英国信息专员办公室（ICO）对社交平台Reddit处以1447万英镑（约合1950万美元）的罚款，原因是该平台非法收集和处理13岁以下儿童的个人数据。此次执法行动凸显了Reddit未能实施充分的保护措施，以确保未成年人数据安全，违反了《英国通用数据保护条例（UK GDPR）》及《儿童准则（Age Appropriate Design Code）》的相关规定。

主要调查结果与违规行为

ICO的调查显示，Reddit在2016年至2021年期间的数据处理行为未能遵守数据保护法律，尤其是在儿童隐私保护方面。根据UK GDPR的规定，组织在处理个人数据时必须确保合法性、公平性和透明度，特别是在处理未成年人数据时。2020年引入的《儿童准则》进一步要求，可能被儿童访问的数字服务必须优先考虑儿童的最佳利益，包括默认隐私设置和数据最小化。

Reddit的违规行为包括：

• 缺乏年龄验证机制：平台未能实施有效的技术手段，阻止13岁以下儿童创建账户或访问其服务。
• 隐私保护措施不足：默认设置及数据收集行为未达到儿童数据保护所需的高隐私标准。
• 未获取有效同意：对于13岁以下用户，法律要求必须获得家长同意，而Reddit未能持续确保这一要求。

影响与监管回应

ICO的罚款决定反映了违规行为的严重性，并向其他平台发出警告：不遵守儿童数据保护法律将面临严重后果。约翰·爱德华兹（John Edwards），英国信息专员，强调儿童隐私保护的重要性，并表示：

“保护儿童数据不是可选项，而是法律要求。组织必须严肃履行责任，否则将面临重大处罚。”

Reddit尚未公开对罚款提出异议，但据报道，自调查启动以来，该公司已采取措施加强年龄验证和数据保护机制。

组织合规建议

网络安全与隐私专业人士应关注以下要点：

• 实施严格的年龄验证：采用技术手段（如年龄门槛、第三方验证）防止未成年人访问禁止其使用的服务。
• 强制高隐私默认设置：确保儿童账户的设置优先考虑数据最小化和选择性同意。
• 审查儿童准则合规性：遵循英国《儿童准则》中的15项标准，包括透明度和家长控制措施。
• 定期开展审计：主动评估数据处理活动，识别并降低对未成年人隐私的风险。

ICO的此次行动凸显了全球对儿童数字权利日益关注的趋势，以及组织必须优先遵守不断演变的隐私法规的必要性。