Instagram 儿童隐私整改实测:默认私密落地了吗(二)

Instagram 儿童隐私整改实测:默认私密落地了吗(二)

Kaamel Lab
Kaamel Lab 2022年9月13日

针对 Instagram 因违反 GDPR 儿童数据保护被爱尔兰 DPC 处以4.05亿欧元罚款一案,Kaamel Labs 隐私研究实验室做了一组实测:站在未成年用户角度验证整改效果。结论是整改基本到位——手机端已阻止13岁以下注册、13-16岁账户默认设为私密;但扫描中仍发现,在某些特定场景下新注册的未成年账户仍有默认公开的可能,与 Meta 承诺的“默认私密”不完全一致。

TL;DR

背景回顾

Meta 旗下 Instagram 因违反 GDPR 儿童数据保护要求,被爱尔兰 DPC 处以4.05亿欧元罚款(案件的法律层面分析见 第一部分)。Meta 已提出上诉,并声明被调查的是一年多前的旧版本 App,此后18岁以下用户加入时账户会自动设为私密,只有相识者可见其内容,成年人无法向未关注自己的青少年发送消息。

注册年龄测试

实验从注册流程入手。下载最新 Instagram App,输入邮箱、姓名、用户名、密码后进入生日填写环节,分别以13岁以下和16岁以下身份尝试注册。

当年龄未满13周岁时,无论网页端还是 App 端,Instagram 都成功阻止注册。

以13岁以下身份注册 Instagram 时被系统拦截、无法创建账户

这与 Instagram 隐私政策中禁止13岁以下未成年人注册的条款一致。以16岁以下身份在网页注册时,邮箱验证后出现临时封号状态;点击“Disagree with decision”后,需再次通过人机验证与手机号核验,随后注册成功。

以16岁以下身份注册时的封号提示、人机验证与手机号核验流程

默认私密是否落地

以13-16岁身份注册成功后,进入实验核心:Meta 的上诉理由与《家长手册》都称“18岁以下用户加入时账户自动设为私密而非公开”。

实测确认:在主流场景下,手机端注册的13-16岁账户默认状态为私人账号。但在扫描测试中也发现,整改并不彻底——在某些特定场景下,新注册的未成年账户仍可能默认公开。此时未成年人发布的帖子可被任何人查看、评论、转发,用户需手动进入“用户 → 账号管理 → 隐私与安全”才能开启私密模式。这一问题已上报 Meta 团队。

对于 Meta 这样代码沉淀十余年、产品复杂度极高的公司,历史遗留的隐私敞口修复很难一次覆盖全场景,容易遗漏。这本身就是 Privacy by Design 的现实注脚:隐私敞口越多、修改越晚,技术复杂度和代价越高。

对比:TikTok 的默认私密

同类内容产品中,TikTok 的儿童隐私设计相对扎实。以15岁身份注册为例,TikTok 会将账号隐私保护自动设为开启。此前 TikTok 曾因青少年隐私保护不力被荷兰数据保护机构处罚,随后加强了内部隐私建设;而接手后续调查的正是爱尔兰 DPC——也就是宣布对 Meta 4.05亿欧元罚款的同一机构。

TikTok 在13-16岁用户注册时默认开启私密账号的界面

从两家的实践可提炼几条产品设计原则供参考:

对出海企业的启示

从事短视频、在线游戏、在线教育、社交媒体、即时通信等业务、用户中可能有未成年人的企业,很容易遇到与 Instagram 类似的问题。只有理解目标市场的儿童隐私法规,才能把默认私密、年龄门槛、家长控制这些要求落到产品里,而不是等诉讼来临才补。相关判例的处理思路,可参考 TikTok 跨境儿童数据诉讼的两个提醒一站通关 COPPA 合规(上)

一个可持续的产品要在增长与隐私保护之间取得平衡。隐私保护不是外部律师写一份协议就算合规,更不能等到诉讼时才想起找专家;对隐私问题睁一只眼闭一只眼,只会让敞口越积越多、修复越来越难。

开启你的合规之旅!

与 Kaamel 的隐私专家取得联系

https://kaamel.com
info@kaamel.com
340 E Middlefield Rd, Mountain View, CA 94043
AICPA Drata
© 2024 Kaamel Inc. All rights reserved.