全球隐私执法网络 (GPEN) 联合审查报告:儿童隐私
2026 年 3 月由中央审查协调机构编写:
• 加拿大隐私专员公署 (Office of the Privacy Commissioner of Canada)
• 英国信息专员公署 (Information Commissioner’s Office, UK)
• 根西岛辖区数据保护局 (Office of the Data Protection Authority of the Bailiwick of Guernsey)
背景
2025 年全球隐私执法网络 (GPEN) 联合审查(以下简称“审查”)于 2025 年 11 月 3 日至 7 日当周进行。
本次审查调查了儿童使用的网站和移动应用程序(“App”)如何收集儿童的个人信息、其隐私实践的透明度、年龄确认机制的使用,以及限制数据收集的隐私保护控制措施。部分受审的 App 和网站是专门为儿童设计的,而另一些则面向大众,但在儿童和青少年中特别受欢迎。
当今的数字空间是儿童生活的重要组成部分,为自我表达、学习、社交和社区联系提供了机会。如果在线服务不考虑儿童的最佳利益,可能会使年轻人面临在线追踪、画像、定向推送以及接触不当或有害内容等风险。
2025 年审查标志着 GPEN 在 2015 年进行的类似儿童隐私审查的 10 周年。这使得我们能够对比十年前后在线服务在保护儿童和使用其数据方面的变化。
本次审查由加拿大隐私专员公署、英国信息专员公署和根西岛辖区数据保护局(“中央审查协调机构”)共同协调。来自世界各地的 27 个隐私执法机构(见附录 A)参与了 2025 年审查,共检查了 876 个网站和 App。
本报告由中央审查协调机构撰写,阐述了参与审查机构的发现和分析。报告并不代表 GPEN 全体成员或任何特定机构的观点。
GPEN 审查本身并非调查,也并非旨在结论性地识别合规问题或违法行为。通过此项活动发现的问题可能有助于为有针对性的指南、未来与组织的互动以及潜在的执法行动提供参考。
方法论
审查的目标是让参与者(即“审查员”)通过与儿童使用的网站和 App 互动来模拟用户体验,从而洞察其数据收集和在线隐私实践的现状。这使我们能够在相关情况下将调查结果与 2015 年审查的结果进行比较。虽然这些观察和对比具有参考价值,但本次审查并非一项科学研究。
中央审查协调机构制定了一套指令和相关问题,以 2015 年的方法为基础,指导审查员对每个网站和 App 进行评估。这有助于确保审查员按照相似的标准进行评估。
问题集中在五个指标上,这些指标在很大程度上反映了 2015 年审查的内容。然而,需要注意的是,审查员在 2025 年回答的问题比十年前更全面,这限制了我们在某些方面与以往发现进行对比的能力。这些指标包括:
1. 年龄确认;
2. 儿童数据收集;
3. 保护性控制措施;
4. 账户注销;以及
5. 其他整体关注点。
审查员被要求使用提供的审查表记录他们与网站和 App 内容及功能的互动,包括隐私设置、隐私政策、账户创建和注销过程。在整篇报告中,部分图表排除了审查表中对特定问题的空白回复,这解释了与受审网站和 App 总数的微小差异。
在儿童隐私这一主题内,每个参与机构自行选择了审查重点——例如,他们根据其战略重点选择了特定行业的网站和/或 App。下图(图 1)是本次审查中受审网站和 App 的行业分布:
年龄确认(指标 1)
年龄确认的方法
年龄确认涉及评估儿童年龄的机制,以便根据其年龄调整或限制其对在线服务的访问或互动。年龄确认有不同的方法,包括:
• 自我声明:用户陈述其年龄,但无需提供证据。
• 年龄验证:要求用户验证其年龄,例如提供身份证件。
• 年龄估算:估算用户的年龄,通常通过算法手段,例如面部年龄估算。
审查中观察到的年龄确认机制
审查员报告称,在所有受审的网站和 App 中,62%(832 个中的 517 个)的服务条款明确限制了特定年龄以上(通常为 13 岁)的用户访问。在这些网站和 App 中,32%(517 个中的 164 个)完全没有使用任何年龄确认机制。在其余 68%(517 个中的 353 个)设有年龄限制的网站和 App 中:
• 绝大多数使用自我声明(88%,即 353 个中的 311 个);
• 少数使用年龄验证(11%,即 353 个中的 38 个);
• 更少数使用年龄估算(5%,即 353 个中的 19 个)。
并非所有审查员都报告了所使用的年龄估算类型,但在报告的情况下,均为面部年龄估算,这需要提供照片或视频自拍。
规避年龄确认的情况
审查结果表明,自我声明这种基于信任的年龄确认方法很容易被规避。审查员报告称,他们在 72%(641 个中的 460 个)的情况下能够规避年龄确认措施,这种情况在采用自我声明时最为常见。
在某些情况下,使用自我声明的网站和 App 实施了额外的机制来防止未成年用户访问,例如简单的数学题、要求家长同意的提示以及防止更改初始声明的年龄。然而,审查员报告称,这些措施也很容易被绕过,例如通过重新安装 App 或清除 Cookie。
不当内容与高风险处理
鉴于规避的便利性,仅依靠自我声明不太可能防止儿童接触到不当内容或高风险的数据处理和设计特征。
在审查员识别为含有儿童不当内容的 34%(826 个中的 288 个)网站和 App 中,24%(288 个中的 68 个)没有设置年龄确认机制。然而,在实施了年龄确认的情况下,90%(179 个中的 161 个)使用了自我声明。同样,在审查员识别为具有儿童高风险数据处理和设计特征的 38%(824 个中的 317 个)网站和 App 中,24%(317 个中的 76 个)没有年龄确认机制。而在实施了年龄确认的情况下,89%(190 个中的 169 个)使用了自我声明。
这意味着儿童将能够在某些网站和 App 上接触到(除其他内容外)色情图像和暴力内容,并能与其他用户自由互动。
过去十年的变化
2015 年 GPEN 审查的参与者报告称,仅 15% 的受审网站和 App 使用了某种形式的年龄确认。十年后,审查员报告称 45% 的网站和 App(876 个中的 397 个)部署了年龄确认,增加了 30%。
总结性观察
年龄确认是保护儿童及其在线隐私权的整体方法中的重要组成部分。虽然审查结果显示过去十年年龄确认机制的使用有所增加,但对于被识别为含有不当内容或高风险数据处理特征的平台,仅使用自我声明(或完全缺乏年龄确认)是令人担忧的。
个人信息收集与保护性控制(指标 2 和 3)
隐私政策
隐私政策在赋能用户做出明智且有意义的隐私决策方面发挥着重要作用。审查员发现大多数网站和 App(96%,即 862 个中的 825 个)都包含隐私政策。然而,他们也发现了改进的空间。例如,一些政策包含的信息极少,而另一些则冗长且难以理解。
审查员还观察到,85% 的网站和 App(825 个中的 705 个)在其隐私政策中指出,它们可能会与第三方共享个人信息。与 2015 年审查中发现的 51% 相比,这一比例大幅上升。这可能表明对第三方的依赖程度有所增加。
个人信息收集
审查员发现某些类别的个人信息被收集的频率高于其他类别。为了访问平台的全部功能,50% 的受审网站和 App 要求收集用户名,59% 要求提供电子邮件地址,46% 要求地理位置。
下表对比了 2015 年与 2025 年所有受审网站和 App 对某些类型个人信息的收集情况:
保护性控制措施是旨在限制个人信息收集并降低用户风险的机制。审查员在 2025 年看到了一些良好实践,例如:
• 父母可以批准新人的邀请(或激活“朋友模式”);
• 警告不要使用真实姓名或上传图像,例如注册时的随机用户名生成;
• 默认禁用位置共享和联系人访问;
• 提供“隐私保护提示”,建议用户在与聊天机器人互动时不要分享个人信息。
然而,审查员也注意到了一些令人担忧的实践:
• 只有 56% 的网站和 App 将收集的个人信息默认设置为隐私;
• 47% 的网站和 App 会将用户重定向到可能要求披露个人信息的其他网站;
• 71% 的网站和 App 没有针对儿童量身定制的保护性控制和隐私实践沟通(如使用简单的语言或动画);
• 在识别为具有高风险数据处理特征的 38% 的服务中,只有 25% 设有家长控制面板。
审查员被问及,根据使用体验,他们是否放心让儿童使用这些服务。审查员表示,他们对 41%(833 个中的 343 个)的网站和 App 感到不放心。在这些平台中,只有 19% 被报告拥有能有效限制个人信息收集的保护性控制措施。
总结性观察
参与机构鼓励组织确保其隐私政策准确反映并清晰解释其数据处理实践,并考虑到用户群的多样性和年龄。组织应确保个人信息的收集对于提供服务是必要且成比例的,并确保通过设计和默认设置保护年轻用户的隐私。
账户注销(指标 4)
为什么账户注销对儿童至关重要
能够轻松注销账户有助于儿童控制其个人信息并离开他们不再想使用的服务。如果注销选项难以找到,儿童可能会在服务中停留更长时间,增加接触不必要内容和未来数据处理风险的可能性。
审查员的观察结果
与 2024 年 GPEN 关于欺骗性设计模式的报告结果一致,审查员报告称 64% 的网站和 App(755 个中的 481 个)拥有可访问的账户注销流程(易于查找和理解),而 36% 则不然。在注销不便的服务中,注销选项通常隐藏在多级菜单中,或需要联系客户支持。
2015 年,仅 29% 的受审网站和 App 提供可访问的账户注销手段。十年后,这一比例上升至 64%,增加了 35%。
虽然过去十年在使账户注销选项更易查找方面取得了显著进展,但仍有超过三分之一的服务未提供便捷的注销方式。
不当内容、高风险数据处理及设计特征(指标 5)
接触有害内容
审查员在相当比例的网站和 App 中发现了令人担忧的内容:
• 15% 的服务中发现了欺凌、辱骂或仇恨内容;
• 11% 的服务中出现了色情内容;
• 7% 的服务中存在自残相关内容;
• 7% 的服务中存在饮食失调相关内容。
有害内容与风险特征的交织
不当内容与高风险设计特征的结合可能会进一步放大风险。例如,审查员报告称,在 60% 的自残内容案例中,同时存在行为画像(追踪和分析用户行为以预测兴趣并推送内容)。
针对儿童的服务中的风险
审查员指出,即使是针对儿童的服务,有时也包含高风险的数据处理。例如,6% 针对儿童的平台使用了行为画像,其中 39% 还托管了欺凌或辱骂内容。
对儿童使用的整体适用性
审查员报告称,他们对 41% 的受审网站和 App 让儿童使用感到不放心。导致这种不放心的因素包括接触暴力或色情内容、与陌生人的无限制互动、鼓励长时间使用的设计特征,以及在没有家长可见性或控制的情况下进行广泛追踪。
网站与应用程序的对比
审查员通常认为网站比 App 更适合儿童使用:59% 的网站被认为是适宜的,而 App 的比例为 53%。
免费服务与儿童安全
付费服务在 61% 的情况下被评估为适宜儿童使用,而免费服务的这一比例为 53%。这可能反映了商业模式的差异,免费服务可能更依赖于数据驱动的变现方式。
结论
今年审查的结果喜忧参半。虽然观察到了许多保护儿童及其个人信息的良好实践,但也发现了一些令人担忧的趋势,且某些风险在过去十年中可能有所增加。
例如,与 2015 年相比,更多针对或被儿童使用的在线服务现在要求用户提供个人信息才能访问完整功能,或与第三方共享信息。虽然年龄确认机制的使用有所增加,但审查员发现这些措施往往容易被规避。
所有个人的个人信息都应得到保护,尤其是儿童,因为他们可能不太了解处理其个人信息的风险和后果。参与审查的机构将继续监测这些趋势,并采取适当的行动来保护儿童的在线隐私。
附录 A
以下隐私执法机构提供了其审查结果:
1. 澳大利亚信息专员公署 (Office of the Australian Information Commissioner)
2. 百慕大隐私专员公署 (Office of the Privacy Commissioner for Bermuda)
3. 巴西国家数据保护局 (Agência Nacional de Proteção de Dados, Brazil)
4. 加拿大艾伯塔省信息与隐私专员公署 (OIPC Alberta, Canada)
5. 加拿大不列颠哥伦比亚省信息与隐私专员公署 (OIPC British Columbia, Canada)
6. 加拿大隐私专员公署 (Office of the Privacy Commissioner of Canada)
7. 加拿大安大略省信息与隐私专员公署 (IPC Ontario, Canada)
8. 加拿大魁北克省信息获取委员会 (CAI Québec, Canada)
9. 中国香港个人资料私隐专员公署 (PCPD, Hong Kong, China)
10. 中国澳门个人资料保护局 (DSPDP, Macao, China)
11. 爱沙尼亚数据保护检查局 (Estonian Data Protection Inspectorate)
12. 法国国家信息自由委员会 (CNIL, France)
13. 直布罗陀监管局 (Gibraltar Regulatory Authority)
14. 根西岛辖区数据保护局 (ODPA Bailiwick of Guernsey)
15. 马恩岛信息专员公署 (Isle of Man Information Commissioner)
16. 以色列隐私保护局 (The Privacy Protection Authority, Israel)
17. 意大利数据保护局 (Garante per la Protezione dei dati personali, Italy)
18. 日本个人信息保护委员会 (PPC, Japan)
19. 泽西岛信息专员公署 (Jersey Office of the Information Commissioner)
20. 马耳他信息与数据保护专员公署 (IDPC, Malta)
21. 荷兰数据保护局 (Autoriteit Persoonsgegevens, Netherlands)
22. 新西兰隐私专员公署 (Office of the Privacy Commissioner of New Zealand)
23. 挪威数据保护局 (Datatilsynet, Norway)
24. 菲律宾国家隐私委员会 (National Privacy Commission, Philippines)
25. 斯洛文尼亚共和国信息专员 (Information Commissioner of the Republic of Slovenia)
26. 英国信息专员公署 (ICO, UK)
27. 美国加利福尼亚州隐私保护局 (California Privacy Protection Agency, USA)
