Powrót do spraw konsumenckich - Technologia

Ochrona dzieci w Internecie

Objęte tematy

Ustawa SAFE for Kids
Ustawa o ochronie danych osobowych dzieci
Śledzenie sieci

Zaawansowane powiadomienia o proponowanych przepisach

1 sierpnia 2024 r. Biuro Prokuratora Generalnego Stanu Nowy Jork (OAG) opublikowało dwa Zaawansowane Powiadomienia o Proponowanym Stanowisku Regulacyjnym (ANPRM) dla Ustawy SAFE for Kids i Ustawy o Ochronie Danych Dzieci w Nowym Jorku. Te ANPRM nie są częścią formalnego procesu stanowienia przepisów wymaganego przez Ustawę o procedurach administracyjnych stanu Nowy Jork. Jednak ten krok pozwala naszemu biuru na uzyskanie informacji od interesariuszy przed zaproponowaniem formalnych przepisów. 

Te ANPRM zawierają obszerną serię pytań mających na celu zebranie ważnych informacji od szerokiego grona zainteresowanych stron. Zachęcamy wszystkich interesariuszy do dzielenia się wszelkimi merytorycznymi opiniami na piśmie, aby stały się one częścią oficjalnego protokołu. Prześlij swoje uwagi na adres ProtectNYKidsOnline@ag.ny.gov dla ustawy SAFE for Kids i ChildDataProtection@ag.ny.gov dla ustawy o ochronie danych dzieci.

Proces regulacyjny, krok 1: Publikacja ANPR, krok 2: Okres zgłaszania uwag do anpr, krok 3: Publikacja zawiadomienia o proponowanej regulacji, krok 4: Okres zgłaszania uwag do nprm, krok 5: Publikacja ostatecznej regulacji

Agencje stanowe muszą przestrzegać formalnego procesu 

Ustawa o procedurach administracyjnych stanu Nowy Jork (NYS Administrative Procedures Act) określa formalny proces, którego musi przestrzegać każda agencja stanowa, zanim jej przepisy wejdą w życie. Agencja rozpoczyna od przedłożenia sekretarzowi stanu proponowanego przepisu do publikacji w Rejestrze Stanowym. Opinia publiczna ma nie mniej niż 60 dni od daty publikacji na przedstawienie uwag na temat proponowanych zasad. Zanim przepis stanie się ostateczny, agencja musi przedstawić ocenę otrzymanych uwag publicznych na jego temat.  

Ustawa SAFE for Kids

Zapoznaj się z prawem
Pobierz ANPRM ustawy Safe for Kids

Zaawansowane zawiadomienie o proponowanych przepisach zgodnie z sekcją 1500 nowojorskiego ogólnego prawa gospodarczego i nast.

Biuro Prokuratora Generalnego Stanu Nowy Jork (OAG) wydaje niniejsze zaawansowane zawiadomienie o proponowanych przepisach (ANPRM) w celu uzyskania komentarzy, danych i innych informacji, które pomogą biuru w opracowaniu zasad ochrony dzieci przed szkodami uzależniających kanałów mediów społecznościowych, zgodnie z sekcją 1500 nowojorskiego ogólnego prawa gospodarczego i nast. (GBL sekcja 1500).

Nowojorski ustawodawca przyjął ustawę Stop Addictive Feeds Exploitation (SAFE) for Kids Act, ponieważ nowojorskie dzieci znajdują się w samym środku kryzysu zdrowia psychicznego spowodowanego szkodliwym korzystaniem z mediów społecznościowych. Ustawodawca stwierdził, że firmy zajmujące się mediami społecznościowymi stworzyły kanały spersonalizowane przez algorytmy. Kanały te mogą śledzić dziesiątki lub setki tysięcy punktów danych o użytkownikach, tworząc strumień mediów, który jest doskonałą kroplówką dopaminy. Takie kanały mogą powodować, że dzieci przewijają je przez niebezpiecznie długi czas (2024 N.Y. Laws ch. 120, sekcja 2) Dzieci, które są mniej zdolne do samokontroli niż dorośli, są szczególnie podatne na te uzależniające pokarmy. Wiele osób spędza wiele godzin dziennie przewijając kanały mediów społecznościowych (Id.). Ustawodawca stwierdził, że godziny spędzone w mediach społecznościowych wyrządziły szkodę nowojorskim dzieciom. Czas spędzany w mediach społecznościowych jest dziesięciokrotnie bardziej niebezpieczny niż inne rodzaje czasu spędzanego przed ekranem. Większa ilość czasu spędzanego w mediach społecznościowych jest skorelowana z wyższymi wskaźnikami depresji, lęku, myśli samobójczych i samookaleczeń (Id.).

Aby zaradzić temu kryzysowi zdrowia publicznego, ustawa SAFE Act zabrania platformom mediów społecznościowych dostarczania nieletnim uzależniającego kanału, który wykorzystuje dane dotyczące tego dziecka (lub urządzenia dziecka) do personalizacji materiałów, które dziecko widzi, wydłużając w ten sposób czas spędzany w mediach społecznościowych do niebezpiecznych poziomów (GBL sekcja 1500(1)). Ustawodawca zdefiniował uzależniające kanały tak, aby nie obejmować personalizacji opartej na informacjach "nie powiązanych trwale z użytkownikiem lub jego urządzeniem", które "nie dotyczą wcześniejszych interakcji użytkownika z mediami generowanymi lub udostępnianymi przez innych użytkowników". Ponadto kanał nie jest uzależniający, jeśli opiera się na "wybranych przez użytkownika ustawieniach prywatności lub dostępności lub informacjach technicznych dotyczących urządzenia użytkownika"; wyraźne i jednoznaczne prośby o "określone media, media autora, twórcy lub plakatu mediów, które użytkownik subskrybował, lub media udostępniane przez użytkowników na stronie lub grupie, którą użytkownik subskrybował"; lub prośby o zablokowanie, nadanie priorytetu lub pozbawienie priorytetu takich mediów, lub gdy media są "bezpośrednią, prywatną komunikacją", wynikami wyszukiwania lub "następnymi w istniejącej sekwencji"." (GBL sekcja 1500(1)). Obowiązki wynikające z ustawy mają zastosowanie do "strony internetowej, usługi online, aplikacji online lub aplikacji mobilnej, która oferuje lub zapewnia użytkownikom uzależniający kanał jako istotną część [jej] usług" (sekcja GBL 1500(2)). 

Oprócz ograniczenia możliwości platform mediów społecznościowych w zakresie dostarczania uzależniających kanałów małoletnim, ustawa SAFE for Kids Act zawiera również przepisy, które zapewniają użytkownikom możliwość uzyskania korzyści wynikających z ustawy bez narażania ich doświadczenia w mediach społecznościowych lub ich prywatności. Informacje wykorzystywane do określenia wieku lub uzyskania zgody rodziców nie mogą być wykorzystywane do żadnych innych celów "i będą usuwane natychmiast po" takim wykorzystaniu (sekcja GBL 1501(3), (5)). Ponadto platformy mediów społecznościowych nie mogą "wstrzymywać, pogarszać, obniżać jakości lub podnosić ceny" swoich usług z powodu niemożności zapewnienia użytkownikowi uzależniającego kanału (sekcja 1504 GBL).

Ustawodawca uznał również, że nocne powiadomienia stanowią zagrożenie dla zdrowia publicznego. Ustawa SAFE for Kids Act zabrania również platformom mediów społecznościowych wysyłania "powiadomień dotyczących uzależniającego kanału" do znanego dziecka między 12 a 6 rano. bez uzyskania zgody rodziców (sekcja 1502 GBL).

Ustawodawca nałożył na OAG - który ma duże doświadczenie w zakresie szkód związanych z mediami społecznościowymi, prywatnością i złożonymi kwestiami technicznymi poprzez swoje dochodzenia i procesy sądowe, a także poprzez wewnętrzny zespół badawczy i analityczny - obowiązek ogłoszenia przepisów, zanim ustawa wejdzie w życie. Ustawodawca dał OAG wyraźną dyrektywę do promulgacji przepisów w trzech obszarach:

  • Platformy mediów społecznościowych są zobowiązane do stosowania "komercyjnie uzasadnionych i technicznie wykonalnych metod" w celu ustalenia, czy użytkownik jest dzieckiem, zanim udostępni mu uzależniający kanał. Zadaniem OAG jest ogłoszenie przepisów określających takie komercyjnie uzasadnione i technicznie wykonalne metody, biorąc pod uwagę szereg czynników (sekcja GBL 1501(1)(a), (2)). 
  • Jeśli użytkownik jest dzieckiem, platforma mediów społecznościowych musi uzyskać "możliwą do zweryfikowania zgodę rodziców" przed udostępnieniem mu uzależniającego kanału. OAG jest również odpowiedzialna za ogłaszanie przepisów określających metody uzyskiwania możliwej do zweryfikowania zgody rodziców (sekcja GBL 1501(1)(b), (4)).
  • OAG jest odpowiedzialna za ogłaszanie wszelkich niezbędnych przepisów dotyczących dostępu do języka (sekcja 1506 GBL). 

Ponadto OAG ma za zadanie promulgować przepisy w celu realizacji i egzekwowania ustawy jako całości.[1]

Pytania do komentarzy publicznych

OAG wydaje niniejszy ANPRM w celu uzyskania komentarzy, w tym osobistych doświadczeń, badań, standardów technologicznych i informacji branżowych, które pomogą OAG w określeniu, jakie przepisy będą najważniejsze dla realizacji celów ustawy SAFE for Kids. OAG dąży do jak najszerszego udziału w tworzeniu przepisów i zachęca wszystkie zainteresowane strony do składania pisemnych uwag. W szczególności OAG prosi zainteresowane strony - w tym nowojorskich rodziców i dzieci, grupy rzeczników konsumentów, grupy obrońców prywatności, uczestników branży i innych członków społeczeństwa - o komentarz w następujących kwestiach. Prosimy o podanie, w stosownych przypadkach, przykładów, danych i analiz na poparcie swoich uwag.

Uwagi należy przesyłać na adres ProtectNYKidsOnline@ag.ny.gov do 30 września 2024 roku.

  1. Ustawa SAFE for Kids Act wymaga od platform mediów społecznościowych stosowania "komercyjnie uzasadnionych i technicznie wykonalnych metod" w celu ustalenia, czy użytkownik ma mniej niż 18 lat (sekcja GBL 1501(1)(a)). Jakie są kluczowe pożądane właściwości metody określania wieku? Jakie są kluczowe wyzwania związane z oceną każdej metody określania wieku?
  2. Obecnie określanie wieku może odbywać się za pomocą szeregu metod, w tym oceny biometrycznej; oceny opartej na analizie aktywności użytkownika; identyfikatora wydanego przez rząd; zaświadczenia od wiarygodnej firmy zewnętrznej z istniejącymi wcześniej informacjami o wieku, takimi jak bank za pośrednictwem wydanej karty kredytowej; zaświadczenia od innych użytkowników; samooceny; i testy poznawcze.  
    • Jak dokładna jest każda z tych metod określania, czy użytkownik ma mniej niż 18 lat? 
    • Jakie jest ryzyko fałszerstwa dla każdego z nich?
    • Ile kosztuje każdy z nich i jak szacowany jest koszt? 
    • W jaki sposób metody te zapewniają ochronę prywatności danych użytkowników? 
    • Jakich danych potrzebują do działania? 
    • Jakie jest ryzyko błędu systematycznego dla każdej z tych metod? 
    • Czy te odpowiedzi są potencjalnie różne dla platform mediów społecznościowych lub dla niektórych rodzajów platform mediów społecznościowych? Czy poświadczenie wieku przez innych użytkowników w kontekście mediów społecznościowych byłoby bardziej lub mniej wiarygodne niż w innych kontekstach online?
    • Czy obecnie dostępne są inne metody określania wieku? Czym one są? Jak wypadają one w porównaniu z wcześniej wymienionymi?
    • Jakie metody określania wieku będą prawdopodobnie dostępne w najbliższej przyszłości? Jak wypadają one w porównaniu z wymienionymi przez nas metodami?
  3. OAG rozważa ramy, które zapewniłyby użytkownikom różne opcje do wyboru, w tym ocenę biometryczną; ocenę opartą na analizie aktywności użytkownika; identyfikator wydany przez rząd; zaświadczenie od wiarygodnej firmy zewnętrznej z istniejącymi wcześniej informacjami o wieku, takimi jak bank za pośrednictwem wydanej karty kredytowej; zaświadczenie od innych użytkowników; samoocena; i testy poznawcze. Jeśli takie podejście zostanie przyjęte, co sprawi, że będzie ono skuteczne, bezpieczne, prywatne, niedrogie, szybkie i łatwe w użyciu? 
  4. Czy jakiekolwiek istniejące zewnętrzne usługi określania wieku mogą być wykorzystywane przez platformę mediów społecznościowych bez konieczności podejmowania dodatkowych wysiłków przez platformę? Na jakich danych opierają się te usługi? What data do they retain after age determination has taken place? W jaki sposób usługi te wykazują osobom postronnym, że usunęły informacje, jeśli oświadczają, że takie usunięcie miało miejsce?
  5. Jakich metod używają obecnie platformy mediów społecznościowych do określania (lub próby określenia) wieku? Czy metody te różnią się w zależności od konkretnej branży lub celu platformy mediów społecznościowych, czy też opierają się na innych czynnikach?
  6. Niektóre platformy mediów społecznościowych próbują obecnie określać wiek użytkowników do różnych celów wewnętrznych w oparciu o informacje inne niż samoocena. W jakim celu takie platformy próbują obecnie określać wiek? Jakich procesów używają do określenia wieku? Jakich danych używają te metody do wnioskowania o wieku? Jak dokładne i precyzyjne są takie próby określenia? Jakie czynniki zwiększają lub zmniejszają dokładność takich prób?
  7. Wielu obecnych użytkowników platform mediów społecznościowych przyznało się już do ukończenia 18 roku życia. Jakie dane istnieją na temat dokładności takich samoocen? Jak to się ma do dokładności użytkowników, którzy obecnie sami potwierdzają, że mają 13 lat?
  8. Wiele podmiotów ma obecnie dostęp do informacji, które mogą wiarygodnie określać wiek, w tym banki, dostawcy poczty e-mail (którzy mogą wiedzieć, ile lat ma adres e-mail), firmy telekomunikacyjne i operatorzy smartfonów. W jaki sposób przepisy OAG mogą zapewnić, że określanie wieku na podstawie zaświadczeń od takich podmiotów jest bezpieczne i chroni prywatność użytkowników?
  9. W jaki sposób, jeśli w ogóle, regulacje OAG powinny zawierać wyraźne granice (jasne linie) wokół określonych poziomów dokładności w ocenie tego, jakie metody określania wieku są komercyjnie uzasadnione i technicznie wykonalne? Jakie jasne granice mogą być odpowiednie? Czy te jasne granice powinny różnić się w zależności od cech danej platformy? Jeśli tak, to w jaki sposób i dlaczego?
  10. Jakie obowiązki powinny określać przepisy OAG dotyczące tego, w jaki sposób platformy mediów społecznościowych mogą żądać określenia wieku? W jaki sposób OAG może zapewnić, że użytkownicy są skutecznie informowani o istocie procesu określania wieku bez tworzenia nadmiernego obciążenia?
    • Czy przepisy OAG powinny wymagać informowania o szkodliwości uzależniających pasz? Jeśli tak, to jaką formę powinno mieć zawiadomienie? Jaką treść powinien zawierać?
    • Czy regulacje OAG powinny wymagać powiadomienia o określonych informacjach dotyczących metod, takich jak czas trwania metody, wymagane dane, poziom błędu i ewentualna stronniczość?
  11. W jaki sposób regulacje OAG powinny uwzględniać zmiany technologiczne w dostępnych metodach określania wieku lub zmiany w chęci użytkowników do korzystania z niektórych metod?
  12. Jeśli przepisy OAG wymagają od platform mediów społecznościowych monitorowania sygnałów przeglądarki lub urządzenia dotyczących wieku użytkownika lub statusu nieletniego (podobnych do sygnałów do-not-track lub universal-opt-out stosowanych obecnie przez niektóre przeglądarki lub urządzenia), jakie czynniki powinna wziąć pod uwagę OAG przy określaniu odpowiedniego standardu dla tych sygnałów przeglądarki lub urządzenia?
  13. W jaki sposób, jeśli w ogóle, platformy internetowe określają obecnie wiek w celu zapewnienia zgodności z przepisami dotyczącymi hazardu online? W jaki sposób platformy obecnie określają wiek pod kątem zgodności z przepisami dotyczącymi pornografii internetowej lub możliwości zawierania umów?
  14. Przepisy stanu Nowy Jork wymagają określenia wieku lub weryfikacji tożsamości w wielu kontekstach offline, takich jak hazard, dostęp do niektórych usług bibliotecznych lub zakup alkoholu. Jak dokładne są te metody określania wieku? Jakie zabezpieczenia gwarantują, że dane zebrane podczas określania wieku i tożsamości nie zostaną wykorzystane do innych celów?
  15. Podczas gdy niektóre platformy mediów społecznościowych są otwarte dla ogółu społeczeństwa do wszystkich celów, wiele z nich koncentruje się na określonych odbiorcach, takich jak profesjonalne sieci lub dyskusje na temat konkretnych hobby. W niektórych przypadkach użytkownicy mogą być znacznie bardziej skłonni do bycia dorosłymi lub bardziej skłonni do dokładnego podawania swojego wieku. W jaki sposób przepisy OAG powinny oceniać odbiorców danej platformy mediów społecznościowych przy ocenie kosztów i skuteczności metod określania wieku?
  16. Możliwości komercyjne i techniczne platform mediów społecznościowych są bardzo zróżnicowane. Jakie informacje powinien wziąć pod uwagę OAG do celów "komercyjnie uzasadnionych i technicznie wykonalnych" dotyczących wielkości, zasobów finansowych i możliwości technicznych platformy mediów społecznościowych w zakresie korzystania z niektórych lub wszystkich metod określania wieku?
  17. W jaki sposób, jeśli w ogóle, regulacje OAG powinny uwzględniać jasne granice dotyczące wielkości, zasobów finansowych lub możliwości technicznych platformy mediów społecznościowych przy ocenie, jakie metody określania wieku są komercyjnie uzasadnione i technicznie wykonalne? Jakie jasne granice mogą być odpowiednie?
  18. Jaki wpływ, jeśli w ogóle, miałoby zastosowanie metod określania wieku na bezpieczeństwo, użyteczność i doświadczenia nowojorczyków korzystających z platform mediów społecznościowych? 
    • Czy istnieją metody określania wieku, które wiązałyby się z większym lub mniejszym ryzykiem? 
    • Czy istnieją metody określania wieku, które wiążą się z wyższym ryzykiem fałszerstwa?
    • Czy różni się to w zależności od charakteru platformy mediów społecznościowych?
    • Czy istnieją określone klasy użytkowników, takie jak imigranci lub użytkownicy LGBTQ+, na których niektóre lub wszystkie metody określania wieku mogą mieć inny wpływ niż na inne społeczności nowojorczyków? W jaki sposób przepisy OAG mogą złagodzić takie skutki?
  19. Niektórzy nowojorczycy, tacy jak imigranci i osoby LGBTQ+, mogą obawiać się podawania wrażliwych danych osobowych w celu określenia wieku. W jaki sposób przepisy OAG mogą zapewnić takich nowojorczyków, że takie informacje zostaną natychmiast i bezpiecznie usunięte?
  20. Jakie kwestie powinien rozważyć OAG, aby zapewnić bezpieczeństwo danych wykorzystywanych do określania wieku?
    • Czy istnieją mechanizmy techniczne umożliwiające użytkownikowi sprawdzenie, czy jego informacje zostały pomyślnie usunięte?
    • Jaki jest najlepszy sposób ochrony przed niewłaściwym zarządzaniem danymi osób trzecich przy opracowywaniu przepisów?
    • Jaki jest najlepszy sposób tworzenia przepisów chroniących przed niewłaściwym zarządzaniem danymi przez osoby trzecie?
    • Czego nauczyliśmy się z doświadczeń innych państw i Europy na temat najskuteczniejszego sposobu zapewnienia, że dane gromadzone w jednym celu nie są wykorzystywane w innym celu? 
    • Czego nauczyliśmy się z innych systemów minimalizacji i egzekwowania danych o najskuteczniejszych, możliwych do wyegzekwowania zasadach dotyczących nie zatrzymywania danych poza określonymi celami? W jakich innych kontekstach usługi online są zobowiązane do natychmiastowego usuwania danych po ich jednorazowym użyciu?
    • Czy gdyby przepisy OAG wymagały od platform mediów społecznościowych ujawnienia, że zostaną one ukarane grzywną w wysokości do 5000 USD za każdym razem, gdy nie usuną natychmiast informacji wykorzystanych do określenia wieku, czy pomogłoby to zapewnić użytkowników, że ich dane osobowe zostaną usunięte?
  21. Biorąc pod uwagę wszystkie powyższe kwestie, jakie są obecnie najbardziej skuteczne, bezpieczne, prywatne, przystępne cenowo, szybkie i łatwe w użyciu, komercyjnie uzasadnione i technicznie wykonalne metody określania wieku online?
  1. Ustawa SAFE for Kids Act zezwala platformom mediów społecznościowych na dostarczanie dzieciom uzależniającego kanału lub nocnych powiadomień tylko wtedy, gdy platforma uzyskała "możliwą do zweryfikowania zgodę rodziców" (sekcje GBL 1501(2), 1502). Jakie metody stosują obecnie strony internetowe, usługi online, aplikacje online, aplikacje mobilne lub podłączone urządzenia w celu ustalenia, czy dana osoba jest rodzicem lub opiekunem prawnym danego użytkownika? Jakie koszty - dla rodzica lub strony internetowej, usługi online, aplikacji online, aplikacji mobilnej lub podłączonego urządzenia - są związane z tymi metodami? Na jakich informacjach polegają?
  2. Jakich metod używają obecnie strony internetowe, usługi online, aplikacje online, aplikacje mobilne lub podłączone urządzenia do przetwarzania i weryfikacji wniosków rodziców o usunięcie danych ich dziecka? W jaki sposób procedury te mogą okazać się skuteczne lub nieskuteczne w uzyskiwaniu możliwej do zweryfikowania zgody rodziców?
  3. Jakie obowiązki powinny określać przepisy OAG dotyczące sposobu, w jaki platformy mediów społecznościowych proszą o weryfikowalną zgodę rodziców? W jaki sposób OAG może zapewnić, że rodzice są skutecznie informowani o tym, na co są proszeni o wyrażenie zgody, bez nadmiernego obciążania? 
    • W jaki sposób OAG może zagwarantować, że rodzice zrozumieją ryzyko przed wyrażeniem zgody? 
    • Czy przepisy OAG powinny wymagać informowania o szkodliwości uzależniających pasz? 
    • Jakie wnioski można wyciągnąć z przepisów dotyczących innych szkodliwych produktów, takich jak papierosy, alkohol i hazard, w zakresie informowania o szkodliwości i ograniczania promocji wśród dzieci? 
    • Czy przepisy OAG powinny wymagać, aby zgoda była wymagana w sposób autonomiczny, w oderwaniu od innych wniosków? 
    • Czy przepisy OAG powinny nakazywać rodzicom możliwość wyrażenia, odrzucenia lub wycofania zgody bez konieczności zakładania konta w mediach społecznościowych? 
    • Jakie metody mogą lub muszą zostać udostępnione rodzicom w celu wyrażenia, odrzucenia lub wycofania zgody?
  4. W jaki sposób przepisy OAG mogą zapewnić, że prośby o weryfikowalną zgodę i wszelkie towarzyszące im ujawnienia są zrozumiałe i skuteczne dla rodziców ze wszystkich społeczności Nowego Jorku?
  5. Wiele z tych samych obaw dotyczących ochrony prywatności użytkowników przy określaniu wieku istnieje w przypadku zgody rodziców. W jaki sposób przepisy OAG mogą zapewnić nowojorczyków, że informacje przekazane w celu uzyskania zgody rodziców zostaną natychmiast i bezpiecznie usunięte? 
  6. Jakie są najskuteczniejsze i najbezpieczniejsze metody , które obecnie istnieją dla każdej formy uzyskiwania zgody rodziców?
  7. Czy istnieją inne czynniki lub względy związane z uzyskaniem możliwej do zweryfikowania zgody rodzica, które powinny zostać uwzględnione w przepisach OAG?
  1. Aby być uzależniającą platformą mediów społecznościowych zgodnie z sekcją 1500(2) GBL, uzależniający kanał musi stanowić "znaczącą część usług świadczonych" przez tę platformę. 
    • Przy ocenie tego, co stanowi znaczenie, które z następujących czynników mogą być istotne: ilość czasu spędzanego przez użytkowników na kanale uzależniającym w porównaniu z innymi częściami platformy mediów społecznościowych, całkowita ilość czasu spędzanego przez przeciętnego użytkownika na kanale uzależniającym, jak widoczny jest kanał uzależniający na stronie internetowej lub w usłudze online lub czy kanał uzależniający jest cechą definiującą platformę mediów społecznościowych?  
      • Jakie inne czynniki mogą być istotne? 
      • Mogą istnieć inne czynniki, które, choć nie są bezpośrednimi miernikami uzależniającego potencjału platformy mediów społecznościowych, mogą dostarczyć przydatnych informacji do oceny znaczenia uzależniającego kanału dla platformy mediów społecznościowych. Jednym z takich czynników jest część przychodów platformy, którą można przypisać do uzależniającego kanału. W jaki sposób takie czynniki powinny zostać uwzględnione w regulacjach OAG? Jakie inne, podobne czynniki mogą być istotne?
      • Czy niektóre czynniki są bardziej istotne niż inne? Dlaczego?
    • Jakie są koszty i korzyści oceny istotności w oparciu o test całości okoliczności, kierując się określonymi istotnymi czynnikami?
    • Jakie są koszty i korzyści oceny istotności na podstawie tego, czy pewna liczba czynników przekracza określony próg? Czy istnieją progi, które przepisy OAG powinny wybierać dla niektórych czynników? Ile czynników powinno być spełnionych, aby platforma została uznana za uzależniającą platformę mediów społecznościowych?
    • Jakie inne możliwe testy powinien rozważyć OAG przy definiowaniu tego, co jest "istotne?" Jakie są koszty i korzyści tych testów? 
    • W jaki sposób przepisy powinny odnosić się do platform, które pełnią wiele funkcji pod względem oceny znaczenia? 
    • W jaki sposób przepisy powinny odnosić się do platform, które wykorzystują wciągające kanały jako funkcje pomocnicze, takie jak serwis informacyjny, który zawiera spersonalizowany kanał komentarzy użytkowników jako dodatek do każdego artykułu?
    • W jaki sposób przepisy powinny odnosić się do platform wielourządzeniowych, które spełniają test istotności, gdy są używane na jednym urządzeniu (np. tablecie), ale nie na innym (np. przeglądarce stacjonarnej)?
    • W jaki sposób przepisy powinny odnosić się do platform, które wykorzystują uzależniające kanały głównie w celu rekomendowania lub ułatwiania czasu spędzonego na angażowaniu się w działania poza kanałem, takie jak rekomendowanie gier lub przedmiotów do zakupu?
    • "Znacząca część" to termin regularnie używany w wielu dziedzinach prawa. Przykładowo, ustawa o zagrożonych gatunkach definiuje "zagrożony gatunek" jako "każdy gatunek, który jest zagrożony wyginięciem na całym lub znacznej części swojego zasięgu. . . ." (16 U.S.C. sekcja 1532(6)). W prawie autorskim naruszenie może mieć miejsce, jeśli wykorzystano jakościowo znaczącą część utworu, nawet jeśli nie jest to duża część utworu. Czy jest coś, czego możemy się nauczyć ze standardów prawnych lub tworzenia zasad w tych innych obszarach prawnych, które mogłyby kierować zasadami OAG w tym obszarze?
  1. Definicja uzależniającego kanału w sekcji 1500(1)(c)-(d) GBL zawiera wyjątki dotyczące personalizacji w odpowiedzi na "wybrane przez użytkownika ustawienia prywatności lub dostępności lub informacje techniczne dotyczące urządzenia użytkownika". Czy istnieją określone rodzaje ustawień lub informacje techniczne o szczególnym znaczeniu, które mogą wymagać wyraźnego zezwolenia w przepisach OAG?
  1. Sekcja GBL 1506(1), która wymaga, aby wnioski o zgodę rodziców były dostępne w 12 najczęściej używanych językach w Nowym Jorku, przyznaje OAG uprawnienia do ogłaszania przepisów dodających dodatkowe wymagania. Jakie, jeśli w ogóle, regulacje dotyczące dostępu językowego powinny zostać opracowane przez OAG? Dlaczego? 
  2. Czy OAG powinien wymagać ujawniania informacji w określonych dialektach języków? Jeśli tak, to które dialekty? Dlaczego?
  1. Jakie informacje dotyczące szkodliwości uzależniających pokarmów dla nieletnich powinien wziąć pod uwagę OAG przy opracowywaniu swoich przepisów?
  2. Jakie czynniki lub względy powinien wziąć pod uwagę OAG, aby zachować istniejące zabezpieczenia dla dzieci na platformach mediów społecznościowych?

Ustawa o ochronie danych osobowych dzieci

Zapoznaj się z prawem
Pobierz ANPRM dotyczący ustawy o ochronie danych dzieci

Zaawansowane zawiadomienie o proponowanych przepisach zgodnie z sekcją 899-ee nowojorskiego ogólnego prawa gospodarczego i nast.

Biuro Prokuratora Generalnego Stanu Nowy Jork (OAG) wydaje niniejsze zaawansowane zawiadomienie o proponowanych przepisach (ANPRM) w celu uzyskania komentarzy, danych i innych informacji, które pomogą biuru w opracowaniu zasad ochrony prywatności dzieci zgodnie z sekcją 899-ee nowojorskiego ogólnego prawa gospodarczego i nast. (GBL sekcja 899-ee).[2]

Uznając wyjątkowe potrzeby dzieci w zakresie prywatności, ustawodawca stanu Nowy Jork uchwalił ustawę o ochronie danych dzieci (CDPA) w celu zapewnienia prywatności i bezpieczeństwa danych osobowych nowojorczyków w wieku poniżej 18 lat. CDPA ma zastosowanie przede wszystkim do operatorów "strony internetowej, usługi online, aplikacji online, aplikacji mobilnej lub podłączonego urządzenia lub ich części", którzy "samodzielnie lub wspólnie z innymi kontrolują cele i środki przetwarzania ... danych, które identyfikują lub mogą być racjonalnie powiązane, bezpośrednio lub pośrednio, z określoną osobą fizyczną lub urządzeniem", gdy oba poniższe są prawdziwe (sekcja GBL 899-ee(1)-(4)):

  • Operator faktycznie wie, że dane pochodzą od nieletniego użytkownika.
  • Dane są gromadzone ze strony internetowej, usługi online, aplikacji online, aplikacji mobilnej, podłączonego urządzenia lub ich części, które są "skierowane głównie do małoletnich".

 Jeśli urządzenie użytkownika "komunikuje lub sygnalizuje, że użytkownik jest lub będzie traktowany jako nieletni", operator musi "traktować tego użytkownika" jako nieletniego (sekcja GBL 899-ii(1)).

CDPA wymaga od takich operatorów przetwarzania i zezwala większości stron trzecich na przetwarzanie danych osobowych znanych nieletnich lub danych z usług skierowanych głównie do nieletnich, tylko wtedy, gdy są one dozwolone na mocy federalnej ustawy o ochronie prywatności dzieci w Internecie i jej przepisów wykonawczych (sekcja 6502 U.S.C.) dla dzieci w wieku poniżej 13 lat lub dla dzieci w wieku od 13 do 17 lat, gdy jest to "absolutnie konieczne" dla szeregu określonych celów lub operator uzyskał "świadomą zgodę" (GBL sekcja 899-ff(1)). 

Te określone cele obejmują (sekcja GBL 899-ff(2)): 

  • "dostarczanie lub utrzymywanie określonego produktu lub usługi żądanej przez [użytkownika]". 
  • "prowadzenie wewnętrznych operacji biznesowych operatora..." 
  • "identyfikacja i naprawa błędów technicznych, które osłabiają istniejącą lub zamierzoną funkcjonalność" 
  • "ochrona przed złośliwymi, oszukańczymi lub nielegalnymi działaniami" 
  • "dochodzenie, ustalanie, wykonywanie, przygotowywanie lub obrona roszczeń prawnych" 
  • "przestrzeganie federalnych, stanowych lub lokalnych przepisów, zasad lub regulacji" 
  • "zastosowanie się do cywilnego, karnego lub regulacyjnego dochodzenia, śledztwa, wezwania sądowego lub wezwania przez władze federalne, stanowe, lokalne lub inne władze rządowe" 
  • "wykrywanie incydentów lub zagrożeń bezpieczeństwa, reagowanie na nie lub zapobieganie im" 
  • "ochrona żywotnych interesów osoby fizycznej"

Wnioski o "świadomą zgodę" muszą być składane zgodnie z szeregiem wymogów, aby zapewnić, że użytkownicy są w stanie skutecznie ocenić cel przetwarzania i zrozumieć swoje prawa (sekcja GBL 899-ff (3) (a)). Zgoda musi być swobodnie odwoływalna, a wnioski o wyrażenie zgody nie mogą być składane częściej niż raz w roku (GBLsection 899-ff(3)(b)-(c)). Ponadto, jeśli urządzenie użytkownika "komunikuje lub sygnalizuje", że użytkownik nie wyraża zgody na przetwarzanie, operator musi zastosować się do tego komunikatu lub sygnału (sekcja GBL 899-ff (3) (d), (ii) (2)). Operatorzy nie mogą "wstrzymać, pogorszyć, obniżyć jakości lub podnieść ceny" swoich usług z powodu niemożności uzyskania zgody (sekcja GBL 899-ff(4)). 

Operatorzy nie mogą kupować ani sprzedawać danych osobowych nieletnich ani zezwalać innym na ich zakup lub sprzedaż (sekcja GBL 899-ff(5)). 

W przypadku, gdy operator polega na "podmiocie przetwarzającym" w celu przetwarzania danych nieletnich w jego imieniu, musi zawrzeć "pisemną, wiążącą umowę" wymagającą od podmiotu przetwarzającego przetwarzania danych nieletnich wyłącznie zgodnie z wytycznymi operatora lub zgodnie z wymogami prawa, a także w inny sposób pomagać operatorowi w zapewnieniu zgodności z CDPA (sekcja GBL 899-gg).

Gdy małoletni użytkownik ukończy 18 lat, ochrona prywatności CDPA nadal ma zastosowanie do wszelkich danych zebranych, gdy użytkownik był małoletni, chyba że operator otrzyma świadomą zgodę na dodatkowe przetwarzanie (sekcja GBL 899-hh).

Operatorzy zewnętrzni - tacy jak operator piksela lub API, który zbiera dane ze strony internetowej prowadzonej przez innego operatora - są traktowani jako operatorzy na mocy CDPA i mogą przetwarzać dane osobowe małoletnich wyłącznie za świadomą zgodą użytkownika (jeśli ma 13 lat lub więcej) lub rodzica użytkownika (jeśli ma mniej niż 13 lat), z trzema wyjątkami (sekcja GBL 899-jj):

  • gdy dane są ściśle niezbędne do celów określonych w sekcji GBL 899-ff(2)
  • gdy operator zewnętrzny "otrzymał uzasadnione pisemne oświadczenie od operatora, za pośrednictwem którego gromadzi dane, że użytkownik wyraził świadomą zgodę na takie przetwarzanie".
  • gdy nie posiadają "faktycznej wiedzy o tym, że [użytkownik] jest małoletni; oraz" nie wiedzą, że zbierają dane ze strony internetowej, usługi online, aplikacji online, aplikacji mobilnej lub podłączonego urządzenia lub ich części, [które] są skierowane głównie do małoletnich

Pytania do komentarzy publicznych

OAG wydaje niniejszy ANPRM w celu uzyskania komentarzy, w tym osobistych doświadczeń, badań, standardów technologicznych i informacji branżowych, które pomogą OAG w określeniu, jakie przepisy będą najważniejsze dla realizacji celów CDPA. OAG dąży do jak najszerszego udziału w tworzeniu przepisów i zachęca wszystkie zainteresowane strony do składania pisemnych uwag. W szczególności OAG prosi zainteresowane strony - w tym nowojorskich rodziców i dzieci, grupy rzeczników konsumentów, grupy obrońców prywatności, uczestników branży i innych członków społeczeństwa - o komentarz w następujących kwestiach. Prosimy o podanie, w stosownych przypadkach, przykładów, danych i analiz na poparcie swoich uwag.

Uwagi należy przesyłać na adres ChildDataProtection@ag.ny.gov do 30 września 2024 roku.

  1. Ustawa o ochronie danych dzieci ma zastosowanie, gdy operatorzy mają faktyczną wiedzę, że dany użytkownik jest nieletni, lub gdy strony internetowe lub usługi online operatorów są "skierowane głównie do nieletnich" (sekcja GBL 899-ee(1)). Jakie czynniki powinny być oceniane w przepisach OAG przy ustalaniu, czy strona internetowa lub usługa online jest skierowana głównie do nieletnich?
    • Obecnie federalne przepisy dotyczące ochrony prywatności dzieci w Internecie (Children's Online Privacy Protection Act) oceniają, czy strona internetowa lub usługa online jest "skierowana do dzieci" w wieku poniżej 13 lat w oparciu o następujące czynniki, które nie mają charakteru wyłącznego: "tematyka, treści wizualne, wykorzystanie animowanych postaci lub działań i zachęt zorientowanych na dzieci, muzyka lub inne treści audio, wiek modeli, obecność dziecięcych celebrytów lub celebrytów, którzy przemawiają do dzieci, język lub inne cechy strony internetowej lub usługi online, a także to, czy reklama promująca lub pojawiająca się na stronie internetowej lub w usłudze online jest skierowana do dzieci ... [oraz] uwzględniać kompetentne i wiarygodne dowody empiryczne dotyczące składu odbiorców oraz dowody dotyczące zamierzonych odbiorców" (16 CFR sekcja 312.2). Czy OAG powinny oceniać inny zestaw czynników przy ocenie tego, co jest atrakcyjne dla małoletnich w wieku poniżej 13 lat? Dlaczego lub dlaczego nie?
    • Zainteresowania starszych nastolatków są prawdopodobnie w dużej mierze identyczne z zainteresowaniami wielu dorosłych, więc strony internetowe i usługi online skierowane do dorosłych będą również interesujące dla wielu starszych nastolatków. W jaki sposób regulacje OAG powinny zapewnić, że strony internetowe i usługi online skierowane do dorosłych nie będą uznawane za "skierowane głównie do nieletnich" w oparciu o te pokrywające się interesy? 
      • Jakie czynniki byłyby istotne przy ocenie, czy strony internetowe lub usługi online są skierowane głównie do nieletnich lub starszych nastolatków? 
      • Jakie czynniki byłyby istotne przy ocenie, czy strony internetowe lub usługi online są skierowane głównie do nieletnich lub młodszych nastolatków? 
      • Czy regulacje OAG powinny obejmować oddzielne testy dla różnych grup wiekowych, czy też pojedynczy test z czynnikami obejmującymi różne grupy wiekowe? Jeśli przepisy powinny traktować grupy wiekowe inaczej, to w jaki sposób i dlaczego?
    • Czy istnieją czynniki, które są bardziej istotne niż inne przy ocenie, czy dana strona internetowa lub usługa online jest skierowana głównie do małoletnich? Które? Dlaczego? Czy istnieją badania lub dane, które pokazują znaczenie tych czynników? W jaki sposób regulacje OAG powinny podkreślać te czynniki?
    • Czy regulacje OAG powinny traktować strony internetowe lub usługi online inaczej, gdy stają się one skierowane głównie do nieletnich w oparciu o zmiany poza ich kontrolą - takie jak przyciąganie nieletnich do nowych rodzajów treści lub duża liczba nieletnich niezależnie odnajdujących usługę - w porównaniu z tymi, które zawsze były skierowane głównie do nieletnich lub które szukały nieletnich dla swoich odbiorców?
    • Co obecne badania nad marketingiem, psychologią rozwoju lub innymi dziedzinami mówią lub sugerują na temat tego, jakiego rodzaju treści lub doświadczenia są szczególnie atrakcyjne dla nieletnich? Co obecne badania mówią lub sugerują na temat tego, jakiego rodzaju treści lub doświadczenia są przeznaczone głównie dla nieletnich? W jaki sposób badanie rozróżnia nieletnich w różnym wieku lub grupach wiekowych? W jaki sposób badania te powinny zostać uwzględnione w przepisach OAG?
    • Jakie inne przepisy prawa, regulacje lub standardy branżowe uwzględniają to, czy materiały mogą być skierowane do nieletnich? Czy nakładają one ograniczenia na kierowanie reklam do małoletnich w każdym wieku, czy też mają zastosowanie tylko do określonych grup wiekowych? Na czym są one oparte? Jak skuteczne były one w wychwytywaniu empirycznych zachowań nieletnich?
  2. Obowiązki wynikające z ustawy o ochronie danych dzieci obejmują strony internetowe lub usługi online, "lub ich części", które są skierowane głównie do nieletnich. Czy przepisy OAG powinny rozróżniać części stworzone przez operatora i części stworzone przez użytkowników strony internetowej lub usługi online? Jeśli tak, to w jaki sposób?
  1. W jaki sposób przepisy OAG dotyczące definicji danych osobowych powinny uwzględniać dane zanonimizowane lub pozbawione elementów pozwalających na identyfikację, które potencjalnie nadal mogą być ponownie powiązane z konkretną osobą fizyczną (sekcja GBL 899-ee(4))?
  1. Definicja "sprzedaży" zawarta w CDPA obejmuje udostępnianie danych osobowych za "wynagrodzenie pieniężne lub inne wartościowe wynagrodzenie" (sekcja GBL 899-ee(7)). Czy istnieją przykłady sposobów, w jakie operatorzy mogą udostępniać dane osobowe, które nie stanowią sprzedaży i które powinny zostać wyraźnie odnotowane w przepisach OAG?
  1. Jakie czynniki powinien wziąć pod uwagę OAG przy określaniu, jakie przetwarzanie jest "absolutnie niezbędne", aby było dopuszczalne bez konieczności uzyskania konkretnej zgody? N.Y. GBL sekcje 899-ff(1)(b), 899-ff(2). 
  2. CDPA zezwala operatorom na przetwarzanie danych osobowych bez konieczności uzyskiwania zgody w przypadku "dostarczania lub utrzymywania określonego produktu lub usługi żądanej przez użytkownika objętego ochroną". GBL sekcja 899-ff(2)(a). Wiele nowoczesnych usług online łączy produkty lub usługi razem lub zawiera dodatkowe produkty lub usługi w odpowiedzi na żądanie użytkownika: na przykład aplikacja do gotowania może automatycznie wyświetlać pobliskie sklepy spożywcze z odpowiednimi składnikami, gdy użytkownik wyszukuje przepis, co wymagałoby przetworzenia informacji geolokalizacyjnych użytkownika. Jakie czynniki powinien wziąć pod uwagę OAG przy ustalaniu, czy produkty lub usługi w pakiecie są włączone do "produktu lub usługi żądanej przez użytkownika objętego ubezpieczeniem"? 
  3.  CDPA zezwala na przetwarzanie danych na potrzeby "wewnętrznych operacji biznesowych". Czy istnieją przykłady dopuszczalnego przetwarzania w ramach wewnętrznych operacji biznesowych, które powinny zostać wyraźnie wskazane w przepisach OAG? GBL sekcja 899-ff(2)(b).
  1. Ustawa CDPA zezwala nastolatkom (małoletnim w wieku od 13 do 17 lat) na udzielanie świadomej zgody na przetwarzanie danych we własnym imieniu (sekcja GBL 899-ff(3)). Jakie obowiązki powinny określać przepisy OAG dotyczące sposobu, w jaki operatorzy mogą żądać takiej świadomej zgody?
    • W jaki sposób OAG może zapewnić, że nastolatki otrzymają powiadomienia, które skutecznie przekażą potencjalne ryzyko, koszty lub korzyści związane z żądanym przetwarzaniem? 
    • W jaki sposób regulacje OAG dotyczące wniosków o świadomą zgodę powinny równoważyć dostarczanie użytkownikom niezbędnych i istotnych informacji, ale nie przytłaczać użytkowników zbyt dużą ilością informacji lub zbyt wieloma możliwościami wyboru?
    • W jaki sposób przepisy OAG powinny traktować wnioski o świadomą zgodę na wiele różnych rodzajów przetwarzania danych w tym samym czasie lub w krótkim odstępie czasu?
    • Jakie metody mogą lub muszą zostać udostępnione w celu wycofania świadomej zgody, gdy została ona udzielona?
    • W jaki sposób przepisy OAG mogą zapewnić, że prośby o świadomą zgodę i wszelkie towarzyszące im ujawnienia są zrozumiałe i skuteczne dla nowojorskich nastolatków ze wszystkich społeczności?
  2. Jakie standardy powinny określać przepisy OAG dotyczące akceptowalnych komunikatów z urządzenia lub sygnałów, że użytkownik jest niepełnoletni lub wyraża zgodę na przetwarzanie danych lub odmawia takiej zgody? GBL sekcje 899-ff, 899-ii.
  3. Czy istnieją inne czynniki lub względy związane z uzyskaniem świadomej zgody, które powinny zostać uwzględnione w przepisach OAG?
  1. Jakie metody stosują obecnie strony internetowe, usługi online, aplikacje online, aplikacje mobilne lub podłączone urządzenia w celu ustalenia, czy dana osoba jest rodzicem lub opiekunem prawnym danego użytkownika? Jakie koszty - dla rodzica lub strony internetowej, usługi online, aplikacji online, aplikacji mobilnej lub podłączonego urządzenia - są związane z tymi metodami? Na jakich informacjach polegają?
  2. W przypadku, gdy urządzenie informuje, że użytkownik ma mniej niż 13 lat zgodnie z sekcją 899-ii(1) GBL, w jaki sposób przepisy OAG mogą zapewnić, że wszelkie komunikaty wyrażające zgodę na przetwarzanie zgodnie z sekcją 899-ii(2) GBL spełniają wymogi zgody rodziców określone w sekcji 6502 15 U.S.C. i jej przepisach wykonawczych?
  3. Jakie są obecnie najskuteczniejsze i najbezpieczniejsze metody uzyskiwania zgody rodziców?
  4. Czy istnieją inne czynniki lub względy związane z uzyskaniem zgody rodziców, które powinny zostać uwzględnione w przepisach OAG?

[Ustawa SAFE for Kids zapewnia również OAG uprawnienia do "ogłaszania takich zasad i przepisów, jakie są niezbędne do realizacji i egzekwowania" ustawy. GBL sekcja 1505.

[2] Statut upoważnia OAG do "ogłaszania takich zasad i przepisów, które są niezbędne do realizacji i egzekwowania postanowień niniejszego artykułu". GBL sekcja 899-kk.

Zrozumieć śledzenie w sieci, aby zapewnić bezpieczeństwo swojej rodzinie

Strony internetowe i aplikacje często wykorzystują pliki cookie i inne technologie do generowania spersonalizowanych reklam i śledzenia aktywności użytkownika i jego dzieci. Stworzyliśmy ten przewodnik, aby pomóc Ci zrozumieć, w jaki sposób firmy mogą Cię monitorować, abyś mógł lepiej chronić swoją prywatność.

Komputer wyświetlający kilka modeli danych

Przewodnik dla konsumentów dotyczący śledzenia w sieci

Chroń swoją prywatność, zarządzając sposobem, w jaki firmy monitorują Cię online.

Zobacz przewodnik dla konsumentów dotyczący śledzenia w sieci