Ochrona dzieci w Internecie
Powiadomienia z wyprzedzeniem o proponowanym procesie stanowienia przepisów
Na 1 sierpnia 2024 r . Biuro Prokuratora Generalnego Stanu Nowy Jork (OAG) wydało dwa zaawansowane zawiadomienia o proponowanym tworzeniu przepisów (ANPRM) dla ustawy SAFE for Kids i ustawy o ochronie danych dzieci w stanie Nowy Jork. Te ANPRM nie są częścią formalnego procesu stanowienia przepisów wymaganego przez ustawę o procedurach administracyjnych stanu Nowy Jork. Ten krok pozwala jednak naszemu biuru na zasięgnięcie informacji od zainteresowanych stron przed zaproponowaniem formalnych zasad.
Kwestionariusze te zawierają obszerną serię pytań służących do gromadzenia ważnych informacji od szerokiego grona zainteresowanych stron. Zachęcamy wszystkie zainteresowane strony do dzielenia się wszelkimi merytorycznymi uwagami na piśmie, tak aby stały się one częścią oficjalnego rejestru. Prześlij swoje uwagi na adres ProtectNYKidsOnline@ag.ny.gov zgodnie z ustawą SAFE for Kids Act oraz ChildDataProtection@ag.ny.gov zgodnie z ustawą o ochronie danych osobowych dzieci.
Agencje państwowe muszą postępować zgodnie z formalnym procesem
Ustawa o procedurach administracyjnych stanu Nowy Jork określa formalny proces, który każda agencja stanowa musi przejść, zanim jej zasada będzie mogła wejść w życie. Agencja rozpoczyna od przedłożenia sekretarzowi stanu proponowanego przepisu w celu jego opublikowania w rejestrze państwowym. Opinia publiczna ma nie mniej niż 60 dni od daty publikacji na przedstawienie uwag do proponowanego przepisu. Zanim przepis stanie się ostateczny, agencja musi przedstawić ocenę otrzymanych publicznych komentarzy na temat przepisu.
Ustawa SAFE for Kids
Powiadomienie z wyprzedzeniem o proponowanym ustanowieniu przepisów zgodnie z sekcją 1500 ogólnego prawa handlowego stanu Nowy Jork i nast.
Biuro Prokuratora Generalnego Stanu Nowy Jork (OAG) wydaje niniejsze Zawiadomienie z wyprzedzeniem o proponowanym tworzeniu przepisów (ANPRM) w celu uzyskania komentarzy, danych i innych informacji, które pomogą biuru w tworzeniu zasad chroniących dzieci przed szkodami wynikającymi z uzależniających kanałów mediów społecznościowych, zgodnie z sekcją 1500 ogólnego prawa gospodarczego stanu Nowy Jork i nast. (GBL sekcja 1500).
Legislatura Nowego Jorku uchwaliła ustawę Stop Addictive Feeds Exploitation (SAFE) for Kids Act, ponieważ nowojorskie dzieci znajdują się w środku kryzysu zdrowia psychicznego spowodowanego szkodliwym korzystaniem z mediów społecznościowych. Ustawodawca stwierdził, że firmy zajmujące się mediami społecznościowymi stworzyły kanały spersonalizowane przez algorytmy. Kanały te mogą śledzić dziesiątki lub setki tysięcy punktów danych o użytkownikach, aby stworzyć strumień multimediów, który jest idealną kroplówką dopaminy. Takie kanały mogą sprawić, że dzieci będą przewijać strony przez niebezpiecznie długi czas (2024 N.Y. Laws ch. 120, sekcja 2) Dzieci, które są mniej zdolne niż dorośli do ćwiczenia samokontroli, są szczególnie podatne na te uzależniające kanały. Wiele osób spędza godziny każdego dnia na przewijaniu kanałów mediów społecznościowych (Tamże). Ustawodawca uznał, że te godziny spędzone w mediach społecznościowych wyrządziły krzywdę nowojorskim dzieciom. Czas spędzany w mediach społecznościowych jest dziesięć razy bardziej niebezpieczny niż inne rodzaje czasu spędzanego przed ekranem. Dłuższy czas spędzany w mediach społecznościowych jest skorelowany ze zwiększonymi wskaźnikami depresji, lęku, myśli samobójczych i samookaleczeń (Tamże).
Aby zaradzić temu kryzysowi w dziedzinie zdrowia publicznego, ustawa SAFE zabrania platformom mediów społecznościowych dostarczania nieletnim uzależniającego kanału, który wykorzystuje dane dotyczące tego dziecka (lub urządzenia dziecka) do personalizacji materiałów, które dziecko ogląda, wydłużając w ten sposób czas spędzany w mediach społecznościowych do niebezpiecznych poziomów (sekcja 1500(1) GBL). Ustawodawca zdefiniował uzależniające kanały jako niezawierające personalizacji opartej na informacjach "nietrwale powiązanych z użytkownikiem lub urządzeniem użytkownika", które "nie dotyczą wcześniejszych interakcji użytkownika z mediami generowanymi lub udostępnianymi przez innych użytkowników". Ponadto kanał nie uzależnia, jeśli opiera się na "wybranych przez użytkownika ustawieniach prywatności lub dostępności lub informacjach technicznych dotyczących urządzenia użytkownika"; wyraźnych i jednoznacznych żądań dotyczących "określonych mediów, mediów autora, twórcy lub autora mediów, na które użytkownik się zasubskrybował, lub multimediów udostępnionych przez użytkowników na stronie lub grupie, na którą użytkownik się zasubskrybował;" lub prośbach o zablokowanie, Priorytetyzacja lub depriorytetyzacja takich mediów lub w przypadku, gdy są to "bezpośrednia, prywatna komunikacja", wyniki wyszukiwania lub "następna w istniejącej wcześniej sekwencji". (GBL § 1500 ust. 1). Obowiązki wynikające z prawa mają zastosowanie do "strony internetowej, usługi online, aplikacji online lub aplikacji mobilnej, które oferują lub udostępniają użytkownikom uzależniający kanał jako istotną część [swoich] usług" (art. 1500 ust. 2 GBL).
Oprócz ograniczenia zdolności platform mediów społecznościowych do dostarczania uzależniających kanałów nieletnim, ustawa SAFE for Kids zawiera również przepisy, które zapewniają, że użytkownicy będą mogli czerpać korzyści z ustawy bez uszczerbku dla ich doświadczenia z mediów społecznościowych lub prywatności. Informacje wykorzystywane do określenia wieku lub uzyskania zgody rodziców nie mogą być wykorzystywane do żadnych innych celów "i powinny zostać usunięte natychmiast po" takim wykorzystaniu (GBL § 1501 ust. 3 i 5). Ponadto platformy mediów społecznościowych nie mogą "wstrzymywać, degradować, obniżać jakości ani podnosić ceny" swoich usług z powodu niemożności zapewnienia użytkownikowi uzależniającego kanału (sekcja GBL 1504).
Ustawodawca stwierdził również, że powiadomienia dokonywane z dnia na dzień stanowią zagrożenie dla zdrowia publicznego. W związku z tym ustawa SAFE for Kids Act zabrania również platformom mediów społecznościowych wysyłania "powiadomień dotyczących uzależniającego kanału" do znanego dziecka między godziną 12 a 6 rano bez uzyskania zgody rodziców (sekcja GBL 1502).
Ustawodawca oskarżył OAG – która ma znaczące doświadczenie w zakresie szkód wyrządzanych przez media społecznościowe, prywatność i złożone problemy techniczne dzięki dochodzeniom i sporom sądowym oraz za pośrednictwem wewnętrznego zespołu badawczego i analitycznego – o promulgację przepisów, zanim ustawa będzie mogła wejść w życie. Ustawodawca udzielił OAG wyraźnej dyrektywy w celu promulgowania przepisów w trzech obszarach:
- Platformy mediów społecznościowych są zobowiązane do stosowania "komercyjnie uzasadnionych i technicznie wykonalnych metod" w celu ustalenia, czy użytkownik jest dzieckiem, przed udostępnieniem mu uzależniającego kanału. OAG jest odpowiedzialna za ogłaszanie przepisów określających takie ekonomicznie uzasadnione i technicznie wykonalne metody, biorąc pod uwagę szereg czynników (GBL § 1501 ust. 1 lit. a), ust. 2).
- Jeśli użytkownik jest dzieckiem, platforma mediów społecznościowych musi uzyskać "możliwą do zweryfikowania zgodę rodzicielską" przed udostępnieniem takiej uzależniającej zgody. OAG jest również odpowiedzialna za ogłaszanie przepisów określających metody uzyskiwania możliwej do zweryfikowania zgody rodziców (GBL § 1501 ust. 1 lit. b), ust. 4).
- OAG jest odpowiedzialny za ogłaszanie wszelkich niezbędnych przepisów dotyczących dostępu do języków (sekcja GBL 1506).
Ponadto OAG jest odpowiedzialny za ogłaszanie przepisów w celu wprowadzenia w życie i egzekwowania ustawy jako całości.[1]
Pytania wymagające publicznego komentarza
OAG wydaje ten ANPRM w celu uzyskania komentarzy, w tym osobistych doświadczeń, badań, standardów technologicznych i informacji branżowych, które pomogą OAG w określeniu, jakie przepisy będą najważniejsze dla realizacji celów ustawy SAFE for Kids. OAG dąży do jak najszerszego udziału w tworzeniu przepisów i zachęca wszystkie zainteresowane strony do zgłaszania pisemnych uwag. W szczególności OAG zwraca się o komentarz do zainteresowanych stron – w tym rodziców i dzieci z Nowego Jorku, grup ochrony konsumentów, grup działających na rzecz ochrony prywatności, uczestników branży i innych członków społeczeństwa – w sprawie poniższych pytań. W stosownych przypadkach prosimy o podanie przykładów, danych i analiz na poparcie swoich komentarzy.
Prześlij uwagi do ProtectNYKidsOnline@ag.ny.gov do 30 września 2024 r.
- Ustawa SAFE for Kids wymaga od platform mediów społecznościowych stosowania "komercyjnie uzasadnionych i technicznie wykonalnych metod" w celu ustalenia, czy użytkownik ma mniej niż 18 lat (sekcja 1501(1)(a) GBL). Jakie są najważniejsze pożądane właściwości metody oznaczania wieku? Jakie są kluczowe wyzwania związane z oceną jakiejkolwiek metody określania wieku?
- Obecnie określenie wieku można przeprowadzić za pomocą wielu metod, w tym oceny biometrycznej; ocena na podstawie analizy aktywności użytkowników; dowód osobisty wydany przez organ państwowy; zaświadczenie od wiarygodnej firmy zewnętrznej z istniejącymi wcześniej informacjami o wieku, takiego jak bank za pośrednictwem wydanej karty kredytowej; zaświadczenie od innych użytkowników; zaświadczenie własne; i testy poznawcze.
- Jak dokładna jest każda z tych metod w określaniu, czy użytkownik ma mniej niż 18 lat?
- Jakie jest ryzyko fałszerstwa dla każdego z nich?
- Ile kosztuje każdy z nich i w jaki sposób jest szacowany koszt?
- W jaki sposób te metody zapewniają zachowanie prywatności danych użytkownika?
- Jakie dane są potrzebne do funkcjonowania?
- Jakie jest ryzyko błędu systematycznego w przypadku każdej z tych metod?
- Czy te odpowiedzi mogą się różnić w przypadku platform mediów społecznościowych lub niektórych rodzajów platform mediów społecznościowych? Czy byłoby mniej lub bardziej wiarygodne, gdyby inni użytkownicy poświadczali Twój wiek w kontekście mediów społecznościowych niż w innych kontekstach online?
- Czy obecnie dostępne są inne metody określania wieku? Czym one są? Jak wypadają one w porównaniu z poprzednio wymienionymi?
- Jakie metody określania wieku mogą być dostępne w najbliższej przyszłości? Jak wypadają w porównaniu z metodami, które wymieniliśmy?
- OAG rozważa stworzenie ram, które zapewniłyby użytkownikom różnorodne opcje do wyboru, w tym ocenę biometryczną; ocena na podstawie analizy aktywności użytkowników; dowód osobisty wydany przez organ państwowy; zaświadczenie od wiarygodnej firmy zewnętrznej z istniejącymi wcześniej informacjami o wieku, takiego jak bank za pośrednictwem wydanej karty kredytowej; zaświadczenie od innych użytkowników; zaświadczenie własne; i testy poznawcze. Jeśli takie podejście zostanie przyjęte, co sprawi, że będzie ono skuteczne, bezpieczne, prywatne, niedrogie, szybkie i łatwe w użyciu?
- Czy platforma mediów społecznościowych może korzystać z jakichkolwiek istniejących usług określania wieku innych firm bez konieczności podejmowania dodatkowych wysiłków przez platformę? Na jakich danych opierają się te usługi? Jakie dane są przechowywane po ustaleniu wieku? W jaki sposób usługi te mogą wykazać osobom postronnym, że usunęły informacje, w przypadku gdy oświadczają, że takie usunięcie miało miejsce?
- Jakich metod używają obecnie platformy mediów społecznościowych do określania (lub próby określenia) wieku? Czy te metody różnią się w zależności od konkretnej branży lub specjalizacji platformy mediów społecznościowych, czy też opierają się na innych czynnikach?
- Niektóre platformy mediów społecznościowych próbują obecnie określić wiek użytkowników do różnych celów wewnętrznych na podstawie informacji innych niż samozaświadczenie. W jakim celu takie platformy próbują obecnie określić wiek? Jakich procesów używają, aby spróbować określić wiek? Jakie dane wykorzystują te metody do wnioskowania o wieku? Jak dokładne i jak precyzyjne są takie próby wyznaczenia? Jakie czynniki zwiększają lub zmniejszają dokładność takich prób wyznaczenia?
- Wielu obecnych użytkowników platform mediów społecznościowych potwierdziło już, że ma ukończone 18 lat. Jakie są dane na temat dokładności takich zaświadczeń własnych? Jak to się ma do dokładności użytkowników, którzy obecnie samodzielnie zaświadczają, że mają 13 lat?
- Wiele podmiotów ma obecnie dostęp do informacji, które mogą wiarygodnie przekazywać wiek, w tym banki, dostawcy poczty e-mail (którzy mogą wiedzieć, ile lat ma adres e-mail), firmy telekomunikacyjne i operatorzy smartfonów. W jaki sposób przepisy OAG mogą zapewnić, że określanie wieku na podstawie zaświadczeń od takich podmiotów jest bezpieczne i chroni prywatność użytkowników?
- W jaki sposób, jeśli w ogóle, przepisy OAG powinny zawierać wyraźne granice (jasne linie) wokół określonych poziomów dokładności w ocenie, które metody określania wieku są komercyjnie uzasadnione i technicznie wykonalne? Jakie jasne linie mogą być odpowiednie? Czy te jasne linie powinny się różnić w zależności od cech danej platformy? Jeśli tak, to w jaki sposób i dlaczego?
- Jakie obowiązki powinny określać przepisy OAG dotyczące sposobu, w jaki platformy mediów społecznościowych mogą żądać określenia wieku? W jaki sposób OAG może zapewnić, aby użytkownicy byli skutecznie informowani o istocie procesu określania wieku, nie tworząc przy tym nadmiernych obciążeń?
- Czy przepisy OAG powinny wymagać powiadamiania o szkodliwości uzależniających pasz? Jeśli tak, to jaką formę powinno mieć zawiadomienie? Jakie treści powinien się w nim znaleźć?
- Czy przepisy OAG powinny wymagać informowania o określonych informacjach dotyczących metod, takich jak szybkość działania metody, wymagane dane, poziom błędu i wszelkie odchylenia?
- W jaki sposób przepisy OAG powinny uwzględniać zmiany technologiczne w dostępnych metodach określania wieku lub zmiany w skłonności użytkowników do korzystania z niektórych metod?
- Jeśli przepisy OAG wymagają, aby platformy mediów społecznościowych monitorowały sygnały przeglądarki lub urządzenia dotyczące wieku lub statusu małoletniego użytkownika (podobnie jak sygnały "nie śledź" lub "uniwersalna rezygnacja", które są obecnie stosowane w niektórych przeglądarkach lub urządzeniach), jakie czynniki powinna wziąć pod uwagę OAG przy określaniu odpowiedniego standardu dla tych sygnałów przeglądarki lub urządzenia?
- W jaki sposób, jeśli w ogóle, platformy internetowe określają obecnie wiek pod kątem zgodności z przepisami dotyczącymi gier hazardowych online? W jaki sposób platformy określają obecnie wiek pod kątem zgodności z przepisami dotyczącymi pornografii internetowej lub zdolności do zawierania umów?
- Prawo stanu Nowy Jork wymaga określenia wieku lub weryfikacji tożsamości w wielu kontekstach offline, takich jak hazard, dostęp do niektórych usług bibliotecznych lub zakup alkoholu. Jak dokładne są te metody określania wieku? Jakie środki ochrony gwarantują, że dane zebrane w celu ustalenia wieku i tożsamości nie są wykorzystywane do innych celów?
- Podczas gdy niektóre platformy mediów społecznościowych są otwarte dla ogółu społeczeństwa we wszystkich celach, wiele z nich koncentruje się na określonej grupie odbiorców, takich jak profesjonalne nawiązywanie kontaktów lub dyskusja o określonych hobby. W niektórych przypadkach użytkownicy mogą być znacznie bardziej skłonni do bycia osobami dorosłymi lub bardziej prawdopodobne, że dokładnie poświadczą swój wiek. W jaki sposób przepisy OAG powinny oceniać odbiorców danej platformy mediów społecznościowych przy ocenie kosztów i skuteczności metod określania wieku?
- Możliwości komercyjne i techniczne platform mediów społecznościowych są bardzo zróżnicowane. Jakie informacje OAG powinna wziąć pod uwagę w celu uzyskania "uzasadnionych z handlowego punktu widzenia i technicznie wykonalnych" informacji dotyczących wielkości, zasobów finansowych i możliwości technicznych platformy mediów społecznościowych w zakresie korzystania z niektórych lub wszystkich metod określania wieku?
- W jaki sposób, jeśli w ogóle, przepisy OAG powinny uwzględniać jasne linie dotyczące rozmiaru, zasobów finansowych lub możliwości technicznych platformy mediów społecznościowych przy ocenie, jakie metody określania wieku są komercyjnie uzasadnione i technicznie wykonalne? Jakie jasne linie mogą być odpowiednie?
- Jaki wpływ, jeśli w ogóle, miałoby stosowanie metod określania wieku na bezpieczeństwo, użyteczność i doświadczenie nowojorczyków korzystających z platform mediów społecznościowych?
- Czy istnieją jakieś metody określania wieku, które wiązałyby się z bardziej lub mniej znaczącym ryzykiem?
- Czy istnieją metody określania wieku, które wiążą się z wyższym ryzykiem fałszerstwa?
- Czy różni się to w zależności od charakteru platformy mediów społecznościowych?
- Czy istnieją określone kategorie użytkowników, takie jak imigranci lub użytkownicy LGBTQ+, którzy mogą być dotknięci niektórymi lub wszystkimi metodami określania wieku w inny sposób niż inne społeczności nowojorczyków? W jaki sposób przepisy OAG mogą złagodzić takie skutki?
- Niektórzy nowojorczycy, tacy jak imigranci i użytkownicy LGBTQ+, mogą być zaniepokojeni podawaniem poufnych danych osobowych w celu określenia wieku. W jaki sposób przepisy OAG mogą zapewnić takim nowojorczykom, że takie informacje zostaną natychmiast i bezpiecznie usunięte?
- Jakie kwestie należy wziąć pod uwagę w OAG, aby zapewnić bezpieczeństwo danych wykorzystywanych przy określaniu wieku?
- Czy istnieją mechanizmy techniczne, dzięki którym użytkownik może zweryfikować, czy jego dane zostały pomyślnie usunięte?
- Jaki jest najlepszy sposób ochrony przed niewłaściwym zarządzaniem danymi własnymi przy tworzeniu przepisów?
- Jaki jest najlepszy sposób tworzenia przepisów chroniących przed niewłaściwym zarządzaniem danymi przez osoby trzecie?
- Czego dowiedzieliśmy się z doświadczeń w innych państwach i Europie na temat najskuteczniejszego sposobu zapewnienia, że dane gromadzone w jednym celu nie są wykorzystywane do innego?
- Czego nauczyliśmy się z innych systemów minimalizacji i egzekwowania danych na temat najskuteczniejszych i najbardziej egzekwowalnych zasad dotyczących nieprzechowywania danych poza określonymi celami? W jakich innych kontekstach usługi online są zaufane, że natychmiast usuwają dane po jednorazowym użyciu?
- Gdyby przepisy OAG wymagały od platform mediów społecznościowych ujawnienia, że zostaną ukarane grzywną w wysokości do 5 000 USD za każdym razem, gdy nie usuną natychmiast informacji wykorzystywanych do określenia wieku, czy pomogłoby to zapewnić użytkowników, że ich dane osobowe zostaną usunięte?
- Biorąc pod uwagę wszystkie powyższe, jakie są najskuteczniejsze, bezpieczne, prywatne, niedrogie, szybkie i łatwe w użyciu, komercyjnie uzasadnione i technicznie wykonalne obecnie metody określania wieku online?
- Ustawa SAFE for Kids zezwala platformom mediów społecznościowych na dostarczanie dzieciom uzależniającego kanału lub powiadomień w nocy tylko wtedy, gdy platforma uzyskała "możliwą do zweryfikowania zgodę rodziców" (sekcje GBL 1501(2), 1502). Jakimi metodami posługują się obecnie strony internetowe, serwisy internetowe, aplikacje internetowe, aplikacje mobilne lub urządzenia podłączone do sieci w celu ustalenia, czy dana osoba jest rodzicem lub opiekunem prawnym danego użytkownika? Jakie koszty – zarówno dla rodzica, jak i dla strony internetowej, usługi online, aplikacji online, aplikacji mobilnej lub podłączonego urządzenia – są związane z tymi metodami? Na jakich informacjach się opierają?
- Jakich metod używają obecnie strony internetowe, usługi online, aplikacje internetowe, aplikacje mobilne lub urządzenia podłączone do sieci w celu przetwarzania i weryfikowania żądań rodziców o usunięcie danych ich dzieci? W jaki sposób procedury te mogą okazać się skuteczne lub nieskuteczne w przypadku uzyskania możliwej do zweryfikowania zgody rodziców?
- Jakie obowiązki powinny określać przepisy OAG dotyczące sposobu, w jaki platformy mediów społecznościowych wymagają weryfikowalnej zgody rodziców? W jaki sposób OAG może zapewnić, że rodzice są skutecznie informowani o tym, na co są proszeni o wyrażenie zgody, bez nadmiernego obciążenia?
- W jaki sposób OAG może upewnić się, że rodzice są w stanie zrozumieć ryzyko przed wyrażeniem zgody?
- Czy przepisy OAG powinny wymagać powiadamiania o szkodliwości uzależniających pasz?
- Jakie wnioski można wyciągnąć z przepisów dotyczących innych szkodliwych produktów, takich jak papierosy, alkohol i hazard, dotyczących informowania o szkodach i ograniczania promocji wśród dzieci?
- Czy przepisy OAG powinny wymagać, aby zgoda była wymagana w sposób autonomiczny, w oderwaniu od jakichkolwiek innych wniosków?
- Czy przepisy OAG powinny wymagać, aby rodzice mogli wyrazić, odrzucić lub wycofać zgodę bez konieczności tworzenia konta w mediach społecznościowych?
- Jakie metody powinny być określone w przepisach OAG, które mogą lub muszą być dostępne dla rodziców w celu udzielenia, odrzucenia lub wycofania zgody?
- W jaki sposób przepisy OAG mogą zapewnić, że wnioski o weryfikowalną zgodę i wszelkie towarzyszące im ujawnienia są zrozumiałe i skuteczne dla rodziców ze wszystkich społeczności Nowego Jorku?
- Wiele z tych samych obaw dotyczących ochrony prywatności użytkowników podczas określania wieku dotyczy zgody rodziców. W jaki sposób przepisy OAG mogą zapewnić nowojorczyków, że informacje przekazane za zgodą rodziców zostaną natychmiast i bezpiecznie usunięte?
- Jakie są obecnie najskuteczniejsze i najbezpieczniejsze metody uzyskiwania zgody rodziców?
- Czy istnieją inne czynniki lub kwestie związane z uzyskaniem możliwej do zweryfikowania zgody rodziców, które powinny być brane pod uwagę przez przepisy OAG?
- Definicja uzależniającego kanału w sekcji 1500(1)(c)-(d) GBL obejmuje wyjątki dotyczące personalizacji w odpowiedzi na "wybrane przez użytkownika ustawienia prywatności lub dostępności lub informacje techniczne dotyczące urządzenia użytkownika". Czy istnieją szczególne rodzaje ustawień lub informacje techniczne o szczególnym znaczeniu, które mogą wymagać wyraźnej zgody w przepisach OAG?
- Sekcja 1506(1) GBL, która wymaga, aby wnioski o zgodę rodziców były udostępniane w 12 najczęściej używanych językach w Nowym Jorku, przyznaje OAG prawo do ogłaszania przepisów dodających dodatkowe wymagania. Jakie, jeśli w ogóle, przepisy dotyczące dostępu językowego powinny zostać opracowane przez OAG. Dlaczego?
- Czy OAG powinien wymagać ujawniania informacji w określonych dialektach języków? Jeśli tak, to jakie dialekty? Dlaczego?
- Jakie informacje dotyczące szkodliwości uzależniających karm dla nieletnich OAG powinna wziąć pod uwagę przy opracowywaniu swoich przepisów?
- Jakie czynniki lub względy powinny być brane pod uwagę przez OAG, aby zachować istniejące zabezpieczenia dla dzieci na platformach mediów społecznościowych?
Ustawa o ochronie danych osobowych dzieci
Powiadomienie z wyprzedzeniem o proponowanym ustanowieniu przepisów zgodnie z sekcją 899-ee ogólnego prawa handlowego stanu Nowy Jork i nast.
Biuro Prokuratora Generalnego Stanu Nowy Jork (OAG) wydaje niniejsze Zaawansowane Zawiadomienie o Proponowanym Stanowieniu Przepisów (ANPRM) w celu uzyskania komentarzy, danych i innych informacji, które pomogą Biuru w tworzeniu zasad ochrony prywatności dzieci zgodnie z sekcją 899-ee Ogólnego Prawa Gospodarczego Nowego Jorku i nast. (GBL sekcja 899-ee).[2]
Uznając wyjątkowe potrzeby dzieci w zakresie prywatności, ustawodawca stanu Nowy Jork uchwalił ustawę o ochronie danych dzieci (CDPA) w celu zapewnienia prywatności i bezpieczeństwa danych osobowych nowojorczyków w wieku poniżej 18 lat. Ustawa CDPA ma zastosowanie przede wszystkim do operatorów "strony internetowej, usługi online, aplikacji online, aplikacji mobilnej lub podłączonego urządzenia lub ich części", którzy "samodzielnie lub wspólnie z innymi kontrolują cele i środki przetwarzania ... danych, które identyfikują lub mogą być racjonalnie powiązane, bezpośrednio lub pośrednio, z określoną osobą fizyczną lub urządzeniem", gdy oba poniższe są prawdziwe (sekcja GBL 899-ee(1)-(4)):
- Operator faktycznie wie, że dane pochodzą od niepełnoletniego użytkownika.
- Dane są zbierane ze strony internetowej, usługi online, aplikacji internetowej, aplikacji mobilnej lub podłączonego urządzenia lub części ich części, która jest "skierowana głównie do osób niepełnoletnich".
Jeśli urządzenie użytkownika "komunikuje się lub sygnalizuje, że użytkownik jest lub powinien być traktowany jako osoba niepełnoletnia", operator musi "traktować tego użytkownika" jako osobę niepełnoletnią (GBL sekcja 899-ii(1)).
CDPA wymaga od takich operatorów przetwarzania i zezwala większości stron trzecich na przetwarzanie danych osobowych znanych nieletnich lub danych z usług skierowanych głównie do nieletnich, tylko wtedy, gdy są one dozwolone na mocy federalnej ustawy o ochronie prywatności dzieci w Internecie i jej przepisów wykonawczych (sekcja 6502 U.S.C.) dla dzieci w wieku poniżej 13 lat lub dla dzieci w wieku od 13 do 17 lat, gdy jest to "absolutnie konieczne" dla szeregu określonych celów lub operator uzyskał "świadomą zgodę" (GBL sekcja 899-ff(1)).
Do tych określonych celów należą (GBL sekcja 899-ff(2)):
- »dostarczanie lub utrzymywanie określonego produktu lub usługi żądanej przez [użytkownika]«
- "prowadzenie wewnętrznej działalności biznesowej Operatora..."
- "identyfikowanie i naprawianie błędów technicznych, które pogarszają istniejącą lub zamierzoną funkcjonalność"
- "ochrona przed złośliwą, oszukańczą lub nielegalną działalnością"
- "dochodzenie, ustalanie, wykonywanie, przygotowywanie lub obrona roszczeń prawnych"
- "Zgodność z federalnymi, stanowymi lub lokalnymi prawami, zasadami lub regulacjami"
- "Przestrzeganie dochodzenia cywilnego, karnego lub regulacyjnego, dochodzenia, wezwania do sądu lub wezwania przez władze federalne, stanowe, lokalne lub inne organy rządowe"
- "Wykrywanie, reagowanie lub zapobieganie incydentom lub zagrożeniom związanym z bezpieczeństwem"
- "ochrona żywotnych interesów osoby fizycznej"
Wnioski o "świadomą zgodę" muszą być składane zgodnie z szeregiem wymogów w celu zapewnienia, że użytkownicy są w stanie skutecznie ocenić cel przetwarzania i zrozumieć swoje prawa (GBL sekcja 899-ff(3)(a)). Zgoda musi być swobodnie odwołalna, a wnioski o zgodę nie mogą być składane częściej niż raz w roku (GBLsection 899-ff(3)(b)-(c)). Ponadto, jeśli urządzenie użytkownika "komunikuje lub sygnalizuje", że użytkownik nie wyraża zgody na przetwarzanie, operator musi zastosować się do tego komunikatu lub sygnału (GBL sekcja 899-ff ust. 3 lit. d), (ii) (2)). Operatorzy nie mogą "wstrzymywać, pogarszać, obniżać jakości lub podnosić ceny" swoich usług z powodu niemożności uzyskania zgody (GBL sekcja 899-ff(4)).
Operatorzy nie mogą kupować ani sprzedawać, ani zezwalać innym osobom na zakup lub sprzedaż danych osobowych osób niepełnoletnich (GBL sekcja 899-ff(5)).
W przypadku, gdy operator polega na "procesorze" w celu przetwarzania danych małoletnich w jego imieniu, musi zawrzeć "pisemną, wiążącą umowę" zobowiązującą podmiot przetwarzający do przetwarzania danych małoletnich wyłącznie zgodnie z wytycznymi operatora lub zgodnie z wymogami prawa, a także do pomocy operatorowi w inny sposób w zapewnieniu zgodności z CDPA (sekcja 899-gg GBL).
Gdy niepełnoletni użytkownik ukończy 18 lat lub więcej, ochrona prywatności CDPA nadal ma zastosowanie do wszelkich danych zebranych w czasie, gdy użytkownik był niepełnoletni, chyba że operator otrzyma świadomą zgodę na dodatkowe przetwarzanie (GBL sekcja 899-hh).
Operatorzy zewnętrzni – tacy jak operator piksela lub interfejsu API, który gromadzi dane ze strony internetowej prowadzonej przez innego operatora – są traktowani jako operatorzy w ramach CDPA i mogą przetwarzać dane osobowe osób niepełnoletnich wyłącznie za świadomą zgodą użytkownika (jeśli ma 13 lat lub więcej) lub rodzica użytkownika (jeśli ma mniej niż 13 lat), z trzema wyjątkami (sekcja 899-jj GBL):
- w przypadku, gdy dane są absolutnie niezbędne do celu określonego w sekcji 899-ff(2) GBL
- w przypadku, gdy operator będący osobą trzecią "otrzymał uzasadnione pisemne oświadczenia od operatora, za pośrednictwem którego gromadzi dane, że użytkownik wyraził świadomą zgodę na takie przetwarzanie"
- w przypadku gdy nie mają one zarówno "rzeczywistej wiedzy o tym, że [użytkownik] jest małoletni; oraz" nie wiedzą, że zbierają dane ze strony internetowej, usługi online, aplikacji internetowej, aplikacji mobilnej lub podłączonego urządzenia, lub ich części, [które] są skierowane głównie do nieletnich
Pytania wymagające publicznego komentarza
OAG wydaje niniejszy ANPRM w celu uzyskania komentarzy, w tym osobistych doświadczeń, badań, standardów technologicznych i informacji branżowych, które pomogą OAG w określeniu, jakie przepisy będą najważniejsze dla realizacji celów CDPA. OAG dąży do jak najszerszego udziału w tworzeniu przepisów i zachęca wszystkie zainteresowane strony do zgłaszania pisemnych uwag. W szczególności OAG zwraca się o komentarz do zainteresowanych stron – w tym rodziców i dzieci z Nowego Jorku, grup ochrony konsumentów, grup działających na rzecz ochrony prywatności, uczestników branży i innych członków społeczeństwa – w sprawie poniższych pytań. W stosownych przypadkach prosimy o podanie przykładów, danych i analiz na poparcie swoich komentarzy.
Prześlij uwagi do ChildDataProtection@ag.ny.gov do 30 września 2024 r.
- Ustawa o ochronie danych osobowych dzieci ma zastosowanie w przypadku, gdy operatorzy mają faktyczną wiedzę, że dany użytkownik jest niepełnoletni, lub strony internetowe lub usługi online operatorów są "skierowane przede wszystkim do nieletnich" (GBL sekcja 899-ee(1)). Jakie czynniki powinny być brane pod uwagę przepisy OAG przy ustalaniu, czy strona internetowa lub usługa online jest skierowana przede wszystkim do osób niepełnoletnich?
- Obecnie przepisy federalne dotyczące ochrony prywatności dzieci w Internecie oceniają, czy strona internetowa lub usługa online jest "skierowana do dzieci" poniżej 13 roku życia w oparciu o następujące niewyłączne czynniki: "tematyka, treści wizualne, wykorzystanie animowanych postaci lub działań i zachęt skierowanych do dzieci, muzyka lub inne treści audio, wiek modeli, obecność dziecięcych celebrytów lub celebrytów, którzy przemawiają do dzieci, język lub inne cechy strony internetowej lub usługi online, a także czy reklama promująca lub pojawiająca się na stronie internetowej lub w usłudze online jest skierowana do dzieci... [i] rozważyć kompetentne i wiarygodne dowody empiryczne dotyczące składu widowni oraz dowody dotyczące docelowej grupy odbiorców" (16 CFR, sekcja 312.2). Czy OAG powinny oceniać inny zestaw czynników przy ocenie tego, co jest atrakcyjne dla nieletnich poniżej 13 roku życia? Dlaczego lub dlaczego nie?
- Zainteresowania starszych nastolatków będą prawdopodobnie w dużej mierze identyczne z zainteresowaniami wielu dorosłych, więc strony internetowe i usługi online skierowane do dorosłych będą na ogół również cieszyły się dużym zainteresowaniem wielu starszych nastolatków. W jaki sposób przepisy OAG powinny zapewnić, że strony internetowe i usługi online, które są skierowane do dorosłych, nie są uważane za "skierowane głównie do nieletnich" w oparciu o te pokrywające się zainteresowania?
- Jakie czynniki byłyby istotne przy ocenie, czy strony internetowe lub usługi online są skierowane przede wszystkim do małoletnich czy do starszych nastolatków?
- Jakie czynniki byłyby istotne przy ocenie, czy strony internetowe lub usługi online są skierowane przede wszystkim do małoletnich czy do młodszych nastolatków?
- Czy przepisy OAG powinny obejmować osobne testy dla różnych grup wiekowych, czy pojedynczy test z czynnikami rozciągającymi się na różne grupy wiekowe? Skoro przepisy miałyby inaczej traktować grupy wiekowe, to w jaki sposób i dlaczego?
- Czy istnieją czynniki, które są bardziej istotne niż inne przy ocenie, czy strona internetowa lub usługa online jest skierowana przede wszystkim do osób niepełnoletnich? Jakich? Dlaczego? Czy istnieją badania lub dane, które pokazują znaczenie tych czynników? W jaki sposób przepisy OAG powinny kłaść nacisk na te czynniki?
- Czy przepisy OAG powinny traktować strony internetowe lub usługi online inaczej w sytuacji, gdy stają się one skierowane przede wszystkim do nieletnich w oparciu o zmiany pozostające poza ich kontrolą – takie jak przyciąganie nieletnich do nowych rodzajów treści lub duża liczba nieletnich samodzielnie znajdujących usługę – w porównaniu z tymi, które zawsze były skierowane przede wszystkim do nieletnich lub które poszukiwały nieletnich dla swoich odbiorców?
- Co mówią lub sugerują obecne badania z zakresu marketingu, psychologii rozwoju lub innych dziedzin na temat tego, jakie treści lub doświadczenia są szczególnie atrakcyjne dla nieletnich? Co mówią lub sugerują obecne badania na temat tego, jakiego rodzaju treści lub doświadczenia są przeznaczone przede wszystkim dla osób niepełnoletnich? W jaki sposób badania różnicują osoby niepełnoletnie w różnym wieku lub w różnych grupach wiekowych? W jaki sposób badania te powinny zostać włączone do przepisów OAG?
- Jakie inne przepisy, regulacje lub standardy branżowe określają, czy materiały mogą być skierowane do osób niepełnoletnich? Czy nakładają one ograniczenia na kierowanie reklam do osób niepełnoletnich w każdym wieku, czy też dotyczą tylko niektórych grup wiekowych lub grup wiekowych? Na czym się opierają? Jak skuteczne okazały się one w uchwyceniu empirycznych zachowań nieletnich?
- Obowiązki wynikające z ustawy o ochronie danych osobowych dzieci obejmują strony internetowe lub usługi online "lub ich części", które są skierowane przede wszystkim do nieletnich. Czy przepisy OAG powinny rozróżniać fragmenty stworzone przez operatora i fragmenty stworzone przez użytkowników strony internetowej lub serwisu internetowego? Jeśli tak, to w jaki sposób?
- W jaki sposób przepisy OAG dotyczące definicji danych osobowych powinny uwzględniać dane zanonimizowane lub pozbawione elementów pozwalających na identyfikację, które potencjalnie nadal mogą być ponownie powiązane z konkretną osobą fizyczną (sekcja GBL 899-ee(4))?
- Definicja "sprzedaży" zawarta w CDPA obejmuje udostępnianie danych osobowych za "wynagrodzenie pieniężne lub inne wartościowe wynagrodzenie" (sekcja GBL 899-ee(7)). Czy istnieją przykłady sposobów, w jakie operatorzy mogą udostępniać dane osobowe, które nie stanowią sprzedaży i które powinny zostać wyraźnie odnotowane w przepisach OAG?
- Jakie czynniki OAG powinna wziąć pod uwagę przy określaniu, jakie przetwarzanie jest "absolutnie niezbędne", aby było dopuszczalne bez konieczności uzyskania konkretnej zgody? N.Y. GBL Sekcje 899-ff(1)(b), 899-ff(2).
- CDPA zezwala operatorom na przetwarzanie danych osobowych bez konieczności uzyskiwania zgody w przypadku "dostarczania lub utrzymywania określonego produktu lub usługi żądanej przez użytkownika objętego licencją". GBL sekcja 899-ff(2)(a). Wiele nowoczesnych usług online łączy ze sobą produkty lub usługi lub zawiera dodatkowe produkty lub usługi w odpowiedzi na żądanie użytkownika: na przykład aplikacja do gotowania może automatycznie wyświetlać pobliskie artykuły spożywcze z odpowiednimi składnikami, gdy użytkownik wyszuka przepis, co wymagałoby przetworzenia informacji geolokalizacyjnych użytkownika. Jakie czynniki OAG powinna wziąć pod uwagę przy ustalaniu, czy produkty lub usługi w pakiecie są włączone do "produktu lub usługi żądanej przez użytkownika objętego ochroną"?
- CDPA zezwala na przetwarzanie danych na potrzeby "wewnętrznych operacji biznesowych". Czy istnieją przykłady dozwolonego przetwarzania w ramach wewnętrznej działalności biznesowej, które powinny być wyraźnie zaznaczone w przepisach OAG? GBL sekcja 899-ff ust. 2 lit. b).
- CDPA zezwala nastolatkom (nieletnim w wieku od 13 do 17 lat) na wyrażenie świadomej zgody na przetwarzanie danych we własnym imieniu (GBL sekcja 899-ff(3)). Jakie obowiązki powinny określać przepisy OAG w odniesieniu do sposobu, w jaki operatorzy mogą żądać takiej świadomej zgody?
- W jaki sposób OAG może zapewnić, że nastolatkowie otrzymają powiadomienia, które skutecznie przekażą potencjalne ryzyko, koszty lub korzyści związane z wnioskowanym przetwarzaniem?
- W jaki sposób przepisy OAG dotyczące wniosków o świadomą zgodę powinny być zrównoważone między dostarczaniem użytkownikom niezbędnych i istotnych informacji, a nie przytłaczaniem użytkowników zbyt dużą ilością informacji lub zbyt wieloma wyborami?
- W jaki sposób przepisy OAG powinny traktować wnioski o świadomą zgodę na wiele różnych rodzajów przetwarzania w tym samym czasie lub w krótkich odstępach czasu?
- Jakie metody powinny być określone w przepisach OAG w celu wycofania świadomej zgody po jej udzieleniu?
- W jaki sposób przepisy OAG mogą zapewnić, że wnioski o świadomą zgodę i wszelkie towarzyszące im ujawnienia są zrozumiałe i skuteczne dla nowojorskich nastolatków ze wszystkich społeczności?
- Jakie standardy powinny ustanowić przepisy OAG dotyczące akceptowalnej komunikacji urządzenia lub sygnałów, że użytkownik jest niepełnoletni lub wyraża zgodę lub odmawia zgody na przetwarzanie danych? GBL sekcje 899-ff, 899-ii.
- Czy istnieją inne czynniki lub kwestie związane z uzyskaniem świadomej zgody, które powinny być brane pod uwagę w przepisach OAG?
- Jakimi metodami posługują się obecnie strony internetowe, serwisy internetowe, aplikacje internetowe, aplikacje mobilne lub urządzenia podłączone do sieci w celu ustalenia, czy dana osoba jest rodzicem lub opiekunem prawnym danego użytkownika? Jakie koszty – ponoszone przez rodzica lub stronę internetową, usługę online, aplikację online, aplikację mobilną lub podłączone urządzenie – są związane z tymi metodami? Na jakich informacjach się opierają?
- W przypadku, gdy urządzenie informuje, że użytkownik ma mniej niż 13 lat zgodnie z sekcją 899-ii(1) GBL, w jaki sposób przepisy OAG mogą zapewnić, że wszelkie komunikaty wyrażające zgodę na przetwarzanie zgodnie z sekcją 899-ii(2) GBL spełniają wymagania dotyczące zgody rodziców określone w sekcji 6502 15 U.S.C. i jej przepisach wykonawczych?
- Jakie są obecnie najskuteczniejsze i najbezpieczniejsze metody uzyskiwania zgody rodziców?
- Czy istnieją inne czynniki lub względy związane z uzyskaniem zgody rodziców, które powinny być brane pod uwagę przez przepisy OAG?
[1] Ustawa SAFE for Kids Act zapewnia również OAG uprawnienia do "ogłaszania takich zasad i przepisów, jakie są niezbędne do realizacji i egzekwowania" ustawy. GBL sekcja 1505.
[2] Statut upoważnia OAG do "ogłaszania takich zasad i przepisów, które są niezbędne do realizacji i egzekwowania postanowień niniejszego artykułu". GBL sekcja 899-kk.
Zrozumieć śledzenie w sieci, aby zapewnić bezpieczeństwo swojej rodzinie
Strony internetowe i aplikacje często wykorzystują pliki cookie i inne technologie do generowania spersonalizowanych reklam i śledzenia aktywności użytkownika i jego dzieci. Stworzyliśmy ten przewodnik, aby pomóc Ci zrozumieć, w jaki sposób firmy mogą Cię monitorować, abyś mógł lepiej chronić swoją prywatność.
Przewodnik konsumencki po śledzeniu aktywności w sieci
Chroń swoją prywatność, zarządzając sposobem, w jaki firmy monitorują Cię online.