一款儿童教育产品,永远不该收集哪些数据
精确定位、通讯录、广告标识符、用于广告的行为画像——儿童教育产品永远不该碰的数据清单,以及家长如何亲手核查。
从「永不」出发,而不是「或许」
关于儿童教育产品收集的数据,有一个朴素的事实:最安全的记录,是从未被创建的那一条。不存在的数据不会泄露,不会被攻破,不会被传唤,也不会在三年后、换了一个新东家和一套新动机之后,被悄悄挪作他用。
所以在问「这个产品拿数据做什么」之前,先问一个更锋利的问题:它一开始就拒绝收集什么?当用户是孩子时,我们认为有些答案不属于权衡,而属于「永不」。
永不清单
精确定位。没有任何一节课需要知道你的孩子此刻站在哪个街角。国家或城市或许有正当用途——语言、考纲、法律。经纬度坐标永远没有。
通讯录。一个开口索要通讯录的教育产品,造的不是教室,而是一条用你孩子的友谊铺成的增长渠道。广告标识符。它存在的目的只有一个——跨应用认出同一个人、然后一路跟踪——当这个人只有九岁时,这个目的不存在任何说得过去的版本。
还有为广告而建的行为画像。学习产品该建模的是孩子懂了什么,这是本职。而「孩子能被说动想要什么」是另一件制品,服务另一群买家,它永远不该在教室里被组装出来。以上这些,OpenKids 一样都不收集;产品里也没有任何广告,可供这样一份画像去投喂。
数据最小化是设计原则,不是一纸政策
最小化不能只活在法律文件里,它必须长进产品本身。在我们这里,它长这样:孩子用 kid-code 登录,不需要邮箱。我们存出生年份,因为分龄教学用得上——不存生日,因为没有任何事用得上。为提问发来的照片,用于解答,绝不存储。
当我们的工作人员在安全审查中查看孩子的消息时,这次「查看」本身也会被写入审计日志。我们想养成的习惯,在每一层都是同一句话:只收最少的,只留必要的时长,任何人看过,都要留痕。
「我们不卖数据」为什么是一条很低的线
如今地球上几乎每一份隐私政策都写着「我们不出售你的数据」,而家长读到这句就该安心了——先别安心。出售只是数据的一个出口。数据还可以共享给「可信合作伙伴」,可以留在公司内部做广告定向,可以上交给母公司,可以为将来的打算无限期保留,也可以在创业公司被收购时整体易主。以上每一条,都能舒舒服服地躲在「我们不卖」后面。
诚实的标准更高,也更简单:教学不需要的,不收集;教学不再需要的,不保留;家长没有同意过的用途,一概不用。做到这条线的公司,通常会把话说得很明白——没什么可含糊的时候,具体是件容易的事。
五分钟读一份隐私政策
你不需要法学学位,你需要一个搜索框。打开政策,搜「位置」「通讯录」「广告」「标识符」:永不清单上的东西,要么根本不出现,要么被明文排除。再搜「合作伙伴」「第三方」,看它们前后那句话写得具体,还是一团雾。找一找有没有用数字写明的保留期限,找一找删除孩子数据的入口——那种不需要律师函也能走通的入口。
然后感受一下语气。对自己的数据实践感到骄傲的公司,写起来像厨师报菜名——精确、详尽、不用你追问。心虚的公司,写出来的是雾。搜索框加五分钟,你就知道自己读的是哪一种。