联合国儿童基金会对儿童数据治理的案例研究聚焦于数据治理领域的创新模式——即认证计划。其发布的系列报告重点介绍了美国儿童在线隐私保护法(COPPA)“安全港”计划、欧洲隐私和国际隐私数据保护计划(GDPR)、国际教育影响证据认证(ICEIE)以及英国年龄适宜设计认证计划(AADCS)等主要创新举措。这些认证计划旨在解决法律法规执行不力的问题,它们在儿童数据相关的多个领域,如教育科技、年龄验证以及更广泛的儿童数据保护方面得到应用,通过评估公司是否符合一系列法规或自愿标准,为技术公司、公众和监管机构提供合规保障。
一、美国儿童在线隐私保护法“安全港”计划
儿童在线隐私保护法安全港计划(The Children’s Online Privacy Protection Act (COPPA) Safe Harbor Program)是美国专注于儿童数据保护和隐私的历史最悠久的认证计划,于2000年设立。行业团体等可依据该计划制定自我监管计划准则,以促进儿童在线隐私保护法的实施,这些准则需经联邦贸易委员会(FTC)批准,获批后,遵守相关准则的公司被视为符合儿童在线隐私保护法规定。目前,该计划有6个经联邦贸易委员会批准的认证组织,负责监督认证公司。2022年,美国国会对该计划展开调查,2025年修订的新规则要求“安全港”计划公开成员名单并向联邦贸易委员会报告更多信息,以增强问责制和透明度。虽然该计划促进了行业自律,但在儿童数据保护和隐私方面的实际效果仍存在争议,且行业参与度也不明确。
二、欧洲隐私和国际隐私数据保护计划
欧盟《通用数据保护条例》( General Data Protection Regulation, GDPR)多次提及认证,并呼吁建立统一认证计划。欧洲隐私计划是一项自愿性认证计划,用于评估、记录和认证公司或组织的数据处理活动是否符合《通用数据保护条例》要求,之后发展为国际隐私计划,与多个国际公约和规范接轨。该计划由学者通过欧洲研究项目开发,由卢森堡的欧洲认证与隐私中心管理。目前,欧洲隐私计划虽未专门针对儿童数据设立认证方案,但作为通用的《通用数据保护条例》认证,可被教育科技公司等用作合规基础。未来,随着该计划影响力评估的开展,有望将范围扩大到儿童数据治理领域。
三、国际教育影响证据认证
随着教育科技领域的发展,市场上教育应用众多,选择优质且数据和隐私保护良好的工具成为难题。2024年推出的国际教育影响证据认证计划(International Certification of Evidence of Impact in Education, ICEIE))旨在帮助学校、教师和家长挑选遵循数据治理和算法公平最佳实践的教育科技工具。该计划基于“5E 框架”(功效、有效性、道德、公平和环境)提供三个认证级别,其道德标准要求教育科技产品证明符合数据治理和保护标准。该认证有效期为两年,目前数据保护、隐私和人工智能道德认证生态系统仍在发展,具备认证能力的机构较少,但该认证的广泛采用有望提升儿童数据治理标准。
四、英国年龄适宜设计认证计划
基于英国信息专员办公室2021年发布的《儿童法规》设立,英国年龄适宜设计认证计划(Age-Appropriate Design Certification Scheme, AADCS)是首个基于儿童法规的认证计划,由年龄检查认证计划有限公司( Age Check Certification Scheme Ltd. (ACCS) 负责运营。目前,ACCS是儿童守则的唯一认证机构。其目的是提高数据保护标准,确保公司遵循最新最佳实践,但目前获得认证的组织数量较少,对儿童数据治理的影响有限,若更多公司参与认证,将有助于提升整个行业的标准。
设计合理的认证计划为监管机构提供了加强监督和合规管理的有效工具,有助于推动与儿童数据相关法律政策的实施。然而,监管机构需对认证机构和计划进行严格监督。在实施这些认证计划过程中,发现了一些共同问题。开发和维护认证生态系统成本较高,对于由私人公司管理的认证机构,需确保商业可行性;对于学术项目支持的认证计划,长期资源保障较困难。激励科技公司参与认证也颇具挑战,尤其是初创公司,需明确参与认证的收益大于成本。此外,认证过程的透明度和问责制也很关键,公开认证标准、结果和评估机构信息,有助于增强公司责任感和消费者信任。同时,监管机构的监督不可或缺,需确保认证机构履行职责。最后,科技公司在多市场认证产品时面临挑战,全球南方在儿童数据保护和隐私认证方面存在空白,有待进一步发展。
更多信息请参阅:
https://www.unicef.org/innocenti/reports/innovations-data-governance-children
编译自:联合国儿童基金会,2025-05-08
编译者:上海师范大学国际与比较教育研究院 李滢滢