ICO reddit штраф за нарушение GDPR ставит проверку возраста и защиту данных детей под новое внимание

Регуляторы вновь разжигали дебаты о конфиденциальности, безопасности детей в интернете и штрафе Reddit по GDPR после того, как британский надзорный орган наложил санкции на платформу за обработку данных несовершеннолетних.

ICO штрафует Reddit за данные детей и проверки возраста

Британская служба по информационной безопасности (ICO) вынесла Reddit штраф в размере 14,47 миллиона фунтов стерлингов (19,6 миллиона долларов) за предполагаемые нарушения GDPR, связанные с детьми, об этом было объявлено 24 февраля 2026 года. Однако защитники конфиденциальности предупреждают, что такой подход к правоприменению может подорвать анонимность и безопасность пользователей на онлайн-платформах.

Регулятор заявил, что штраф был основан на двух основных недостатках. Во-первых, Reddit не имел «надежных» мер по подтверждению возраста, что лишало его законных оснований для обработки персональных данных пользователей младше 13 лет. Во-вторых, он не завершил формальную оценку воздействия на защиту данных (DPIA), чтобы выявить и снизить риски для детей на платформе до января 2025 года.

По данным ICO, сумма санкции отражала несколько факторов. Среди них — большое количество детей, использующих сайт, потенциальный вред, который они могли получить, длительность существования недостатков и глобальный оборот Reddit. Кроме того, следователи подчеркнули характер контента, которому могли быть подвергнуты дети.

Регулятор: Reddit не обеспечил безопасность молодых пользователей

Джон Эдвардс, комиссар по информации, заявил, что у детей младше 13 лет собирали и использовали их личную информацию в способах, которые они не могли полностью понять или контролировать. Это, по его мнению, могло привести к их воздействию на контент, неподходящий для их возраста, — говорится в его резкой заявлении.

«Дети младше 13 лет имели свою личную информацию, которая собиралась и использовалась так, как они не могли понять, согласиться или контролировать. Это могло оставить их потенциально подверженными контенту, который они не должны были видеть. Это недопустимо и привело к сегодняшнему штрафу», — сказал Эдвардс. Он подчеркнул, что компании должны разрабатывать услуги с учетом детей с самого начала.

Эдвардс добавил, что онлайн-сервисы, которые, вероятно, привлекут детей, несут явную ответственность за их защиту. Для этого они должны с разумной уверенностью знать возраст своих пользователей и внедрять соответствующие, эффективные проверки возраста. Однако он не указал конкретную технологию, сосредоточившись на результатах и снижении рисков.

Ответ Reddit и возражения по поводу конфиденциальности

Reddit выступил с опровержением, утверждая, что его долгосрочные дизайнерские решения приоритетизируют анонимность и безопасность пользователей. В заявлении компания заявила, что «не требовала от пользователей делиться информацией о своей личности, независимо от возраста, потому что мы глубоко привержены их конфиденциальности и безопасности». Однако она не оспаривала, что дети получали доступ к платформе.

Платформа ввела возрастные ограничения для доступа к «зрелому контенту» в июле 2025 года и начала запрашивать у новых пользователей указание их возраста при создании аккаунта. ICO признало эти изменения, но отметило, что само по себе самодекларация слишком легко обходится и не соответствует стандартам GDPR для обработки данных с высоким риском, включая несовершеннолетних.

Специалисты по конфиденциальности выразили поддержку позиции Reddit, утверждая, что более строгие проверки могут усилить опасения по поводу верификации возраста. Они предупредили, что копирование навязчивых требований к идентификации, налагаемых на некоторые сайты с взрослым контентом, может увеличить поверхность атаки для киберпреступников и ослабить общие меры защиты конфиденциальности.

Эксперты предупреждают о рисках проверки возраста для конфиденциальности

Поль Бишофф, специалист по защите прав потребителей в Comparitech, заявил, что надеется, что Reddit не поддастся давлению на внедрение жестких требований к идентификации. Он отметил, что обязательные режимы верификации перекладывают бремя доказательства на пользователей, которых не подозревают в wrongdoing, что вызывает широкие вопросы гражданских свобод.

«Проблема обязательной идентификационной проверки в том, что она возлагает чрезмерное бремя доказательства на большинство людей, которые не подозреваются в wrongdoing», — предупредил Бишофф. Кроме того, он отметил, что нет убедительных доказательств того, что такие схемы действительно обеспечивают заявленные преимущества безопасности, особенно в масштабах.

Он добавил, что принудительные проверки могут оказывать сдерживающее влияние на свободу выражения мнений и ассоциаций. По его мнению, родители должны брать на себя больше ответственности за контроль онлайн-активности детей, а не перекладывать эту обязанность на частные компании, правительства или общество в целом.

Питер Арнц, старший исследователь в Malwarebytes, также предостерегает, что технологии оценки возраста несут значительные риски. В частности, он выделил системы, основанные на биометрическом анализе, финансовых данных или централизованных реестрах идентификационных данных, заявляя, что каждый из этих вариантов открывает новые пути для злоупотреблений, слежки или утечек данных.

Арнц привел в пример использование биометрической оценки возраста по лицу, проверки в рамках открытого банкинга с запросами финансовой информации, цифровые кошельки ID и сопоставление по фото-ID как инструменты, которые могут концентрировать очень чувствительные данные о личности. Даже более простые механизмы, такие как проверка по кредитной карте, выводы на основе электронной почты или проверка через мобильную сеть, могут вызывать опасения по поводу исключения, профилирования и надежности, отметил он.

Модель двойного слепого подтверждения как возможный компромисс

Чтобы согласовать конфиденциальность при проверке возраста с задачами защиты детей, Арнц предложил использовать «двойное слепое» подтверждение, которое обеспечивает большую конфиденциальность. В этой модели доверенное третье лицо подтверждает, соответствует ли пользователь возрастному порогу, например 18+, и выдает анонимизированный токен доверенному сайту.

При этом сайт получает только простое указание, что пользователь, например, «18+», без раскрытия его полной личности или используемой службы проверки. Это может снизить объем раскрываемых данных, ограничить отслеживание между сервисами и избежать создания больших «ловушек» с чувствительной информацией, привлекательных для злоумышленников.

По словам Арнца, такие архитектуры могут обеспечить более сильную защиту конфиденциальности, чем многие существующие схемы, при этом соответствуя требованиям регуляторов. Однако для этого потребуется тщательное техническое проектирование, четкое управление и строгий контроль, чтобы действительно ограничить сбор данных и не создать новые риски через интеграцию на серверной стороне.

Обязательства по соблюдению и уроки GDPR для индустрии

Штраф GDPR для Reddit также подчеркивает более широкие обязательства по защите данных детей для любых онлайн-сервисов, используемых несовершеннолетними, независимо от их целевой аудитории. Провалы в стратегии и управлении DPIA и проверками возраста, скорее всего, привлекут больше внимания регуляторов по мере развития правоприменения.

Крис Линнелл, заместитель директора по конфиденциальности данных в Bridewell, заявил, что при обработке данных детей проведение DPIA — не опция, а обязательное требование. Это нормативный акт, направленный на то, чтобы организации оценивали, документировали и снижали риски до того, как произойдет вред, особенно при профилировании или таргетинге контента.

Линнелл отметил, что отсутствие надежной DPIA говорит о том, что риски для детей не были должным образом выявлены или устранены с самого начала. Кроме того, он подчеркнул, что полагаться только на условия использования, в которых говорится, что несовершеннолетние младше 13 лет не должны использовать сервис, недостаточно, если нет технических мер для их защиты.

«Если нет эффективных технических или операционных мер для обеспечения этого правила, организация не может убедительно утверждать, что предприняла разумные шаги для предотвращения доступа», — сказал он. «Соответствие не должно ограничиваться контрактными условиями; оно должно отражаться в практических мерах защиты». Его комментарии свидетельствуют о том, что в будущих случаях enforcement бумажные политики будут недостаточны.

Недавние случаи правоприменения и рекомендации для онлайн-платформ

Решение Reddit следует за другим случаем в Великобритании, связанным с данными детей. За несколько недель до этого MediaLab, материнская компания платформы Imgur, получила штраф более 247 000 фунтов за нарушение закона о защите информации о детях. В совокупности эти случаи показывают, что ICO усиливает контроль за тем, как социальные и контентные платформы обращаются с молодыми пользователями.

Линнелл призвал поставщиков онлайн-услуг действовать сейчас, чтобы избежать подобных последствий. Во-первых, необходимо определить, где дети могут получить доступ к их сервисам, даже если эти пользователи не являются целевой аудиторией. Во-вторых, нужно проводить DPIA для обработки данных с высоким риском и регулярно пересматривать и обновлять эти оценки.

Он также посоветовал компаниям установить и задокументировать четкую законную основу для обработки данных детей и внедрять пропорциональные, эффективные меры контроля, а не полагаться только на политики. При этом эти меры должны сочетаться с принципами конфиденциальности по умолчанию, чтобы избежать чрезмерного сбора данных, что само по себе может создавать новые риски.

Перспективы для платформ, сочетающих безопасность, конфиденциальность и соблюдение требований

Действия ICO против Reddit сигнализируют о более жесткой эпохе правоприменения в области защиты детей и данных в 2026 году и далее. Платформы, сильно зависящие от пользовательского контента, столкнутся с растущим давлением на баланс между безопасностью, конфиденциальностью и юридическими обязанностями, при этом сохраняя жизнеспособные бизнес-модели и доверие сообщества.

На практике это означает создание возрасто-учетающих дизайнов, проведение значимых DPIA и исследование моделей проверки, сохраняющих конфиденциальность, вместо автоматического использования всеобъемлющих проверок личности. По мере того, как регуляторы и индустрия тестируют эти подходы, исход дебатов о GDPR-комплаенсе Reddit, скорее всего, сформирует глобальные стандарты защиты несовершеннолетних онлайн.

В целом, дело Reddit служит ярким предупреждением о том, что защита данных детей переходит от рекомендаций к практике правоприменения, побуждая платформы усиливать меры защиты и одновременно защищать конфиденциальность пользователей.