根據TechCrunch的報導,Facebook可能在歐洲面臨新的審查,因為其使用VPN應用程式來監控用戶的智慧型手機活動,包括年僅13歲的青少年。愛爾蘭資料保護委員會(DPC)表示,已要求Facebook提供有關其市場研究項目「Project Atlas」收集的數據的更多信息,以便確定是否有進一步調查的依據。
資料保護委員會的聲明
DPC的傳播負責人 Graham Doyle表示:「愛爾蘭DPC是透過今天早上的媒體報導這個故事。在我們能夠評估是否存在資料保護問題之前,我們需要更好地了解個人資料的處理和使用情況。
根據歐盟法律,處理未成年人個人資料有特殊要求。雖然Facebook的研究計畫向全球用戶開放,但尚未確認是否有任何歐洲青少年參與其中。
GDPR的挑戰
如果發現歐洲青少年參與了該研究,Facebook可能面臨根據歐盟通用資料保護規範(GDPR)提出的新投訴,尤其是在當地機構確定其未能遵守同意和「隱私設計」要求的情況下,可能面臨巨額罰款。
GDPR的一段文字指出:“兒童在處理個人資料時應獲得特定保護,因為他們可能對相關風險、後果和保護措施以及與個人資料處理相關的權利知之甚少。”
VPN應用的隱私風險
Facebook使用的這款VPN應用程式需要參與者提供裝置的根訪問權限,這可能使得公司能夠非常詳細地查看他們的數位活動。根據我們的調查,VPN應用程式收集的資料可能包括社群媒體應用程式中的私訊、即時通訊應用程式的聊天記錄(包括發送給他人的照片/影片)、電子郵件、網頁搜尋、網路瀏覽活動和持續的位置資訊.
儘管Facebook尚未確認其透過該程式收集的資料類型,但參與者被提供高達20美元的獎勵(以電子禮品卡形式),以激勵他們持續參與資料收集,專案開放給13至35歲的人。
年齡驗證的缺陷
Facebook表示,13至17歲的未成年人需要父母同意,但目前尚不清楚其年齡驗證過程的有效性。 BBC記者戴夫李(Dave Lee)今天稍早報告稱,他能夠以「14歲男孩」的身份註冊參與Project Atlas,而無需任何父母同意的證明。
對Facebook的質疑
儘管Facebook先前表示參與研究計畫的青少年人數不到5%,但如果其年齡驗證過程在第一關就失敗,那麼這類聲明的可信度就值得懷疑。我們已聯繫Facebook及其合作的應用程式測試公司,詢問他們如何驗證參與者的年齡以及如何收集父母同意,但截至發稿時尚未收到回應。
在對Project Atlas的首次報導中,Facebook為該計畫辯護,表示:「像許多公司一樣,我們邀請人們參與研究,以幫助我們識別可以改進的地方。由於這項研究旨在幫助Facebook理解人們如何使用移動設備,我們提供了有關我們收集的數據類型和參與方式的廣泛信息。
GDPR對兒童資料的要求
根據GDPR第8條,涉及兒童個人資料處理的同意條件規定,資料控制者必須對獲得的同意進行「合理努力」驗證。英國資料保護機構進一步指出,資料保護應「設計和預設」作為基線。
Facebook聲稱已經「簽署」了父母同意書,並提供了關於收集數據的「廣泛資訊」。但關於他們如何有效地驗證參與者年齡、如何獲得父母同意以及提供給父母和青少年的資訊品質和可近性仍存在許多疑問。
結論
Facebook的VPN專案在青少年隱私保護方面引發了廣泛的質疑。儘管公司聲稱遵循相關法律規定,但其實施的具體措施和程序仍需進一步審查。隨著大眾對隱私問題的關注加劇,Facebook能否在資料保護法規的框架內繼續運作將面臨嚴峻挑戰。
