兒童個人信息保護研究

暨南大學，廣東 廣州 510632

一、我國立法現狀

（一）《兒童個人信息網絡保護規定》頒布

2019 年5 月31 日，國家互聯網信息辦公室為保護兒童個人信息權益，發布了《兒童個人信息網絡保護規定（征求意見稿）》（以下簡稱《征求意見稿》），向全社會征求意見后進行修改，并于2019 年8 月23 日頒布《兒童個人信息網絡保護規定》（以下簡稱《規定》），這是第一部保護個人信息的部門規章，更是我國第一部關于兒童個人信息保護的立法。伴隨著新的智力成果和附隨的商業模式的不斷出現，必然要增加保護種類、加大保護力度①

《規定》屬于部門規章，是依據《立法法》第八十條而制定。因此《規定》是以《網絡安全法》和《民法總則》為上位法依據，調整網絡運營者和消費者個人信息的關系，以保護兒童和未成年人個人信息為目的而制定，以解決我國兒童個人信息保護制度不健全、立法空白的問題，數字和網絡技術的發展已經改變了作品的創作和傳播方式，兒童個人信息亟待保護②。

（二）《兒童個人信息網絡保護規定》創新與發展

1.從選擇性監護人同意機制到監護人機制的完善。《未成年人網絡保護條例（送審稿）》第16條規定，在征求意見前應征得未成年或監護人同意③，相當于未成年人可以自行決定是否同意收集數據，兒童個人信息保護在此之前適用該規定，使得監護人對兒童篩選信息的保護失去應有之義。

2.明確年齡界限。規定兒童的年齡界限為14歲，與我國法律自洽，與民法契合。1991 年我國批準加入《聯合國兒童權利公約》，其中規定兒童是指18 歲以下的任何人。歐盟規定允許成員國設定不低于13 歲的年齡界限，美國把年齡設置在13 歲以下。我國把年齡設置在14 歲，與民法的限制民事行為能力人的行為效力相契合，適合我國實際情況。

3.數據更正權。《網絡安全法》第43 條規定，權利人有權要求網絡運營者更正或者刪除錯誤的信息，且運營者有義務刪除。但是《未成年人網絡保護條例（送審稿）》中沒有對數據更正權作出規定。后來在《規定》中第19 條規定了兒童或者監護人有權要求刪除或要求更正。

（三）《兒童個人信息網絡保護規定》待完善之處

《兒童個人信息網絡保護規定》刪除了《征求意見稿》第五條數據透明權的規定；被遺忘權應當進一步完善，被遺忘權中沒有針對已經公開的信息如何處理，不利于維護兒童權益；應當規定禁止對兒童進行數據畫像；對于監護人同意機制缺乏具體可以操作的指引，不利于企業風險的規避，同時也使得監護人同意機制形同虛設，增加企業的不穩定性及風險。因此在比較歐盟和美國的相關立法，為我國的兒童個人信息保護提出建議。

二、國外立法借鑒

（一）美國立法及實踐

美國關于兒童個人信息安全的代表法案有三個：1998 年的《兒童在線保護法案》（COPA），2000 年的《兒童在線隱私保護法案》（Children’s Online Privacy Protection Act以下簡稱COPPA》和2001 年《兒童互聯網保護法案》（CIPA）。其中，最具有借鑒意義的是在2000 年實施的COPPA，2013 年國會對該法案進行修訂完善，2013 年7 月1 日，新修訂的COPPA 正式生效。同時為了配套落實COPPA，美國聯邦貿易委員會（Federal Trade Commission，FTC）出臺細則、問答清單以及《六步驟合規計劃》等具體操作指南。美國這一系列的法案和指南，不僅為父母同意可驗證機制提供指引、規定需要父母同意的例外情況、同時也為運營商規定行業自律和安全港規則等一系列規定，值得我國在保護兒童個人信息時進行借鑒：

分散立法和行業自律相結合。美國針對個人信息的保護沒有統一立法，都是采用分散的立法模式，對不同的保護對象制定單行法進行保護，例如保護兒童個人信息制定COPPA；同時針對兒童個人信息的保護，美國采用行業自律的做法，由行業制定行為規則來規范對兒童個人信息的處理，例如Twitter 為了保護兒童的個人信息，在其隱私政策中這樣規定：Twitter 服務的對象不包括13 歲以下的兒童，如果父母發現孩子未經其同意向Twitter提供兒童個人信息，則可以向Twitter發送郵件要求刪除相關的兒童個人信息。

通過安全港規則、監護人同意例外等規定，達到法律規制和網絡企業運營效率之間的平衡。COPPA 的第十部分“安全港待遇”，是全球第一次以法律的形式確認行業自律的效力，聯邦貿易委員會批準特定的行業可以制定適合自身實際的自律規范，美國COPPA 設置了一個相對安全領域，只要遵循該規則的行為就進入“安全港”。因此行業可以在COPPA 的第十部分“安全港待遇”的模式下，自律運轉。

（二）歐盟立法及借鑒

2000 年頒布的《歐盟基本權利憲章》中第24條規定兒童應當享有的權利，2016年歐盟出臺《一般數據保護條例》（以下簡稱GDPR），在序言中用了5 條，正文中用了7 條內容全面對兒童個人信息進行保護，有以下的創新之處值得我國借鑒：

最低年齡門檻和個性化驗證機制相結合。歐盟GDPR 關于兒童年齡界限經歷了從18 歲、13歲到16 歲的三個改變，最后，歐盟將兒童年齡界限設定為16 周歲的同時，允許成員國設定不低于13 歲的年齡界限。例如愛爾蘭、葡萄牙規定門檻為13 歲，西班牙規定為14 歲、德國規定為16 歲等等。但是絕大對數成員國采用個性化兒童可驗證方式。例如采用滑動比例等方法，來驗證兒童是否由自主決策能力以及賦予兒童自主決定權④。年齡門檻和個性化驗證機制相結合，不僅為各個成員國規定兒童年齡預留空間，而且個性化可驗證機制更加契合《聯合國兒童權利》中關于兒童參與權和兒童決策權。

兒童個人信息透明權更有利于保護兒童權益。GDPR 在序言58 條和第12 條中均規定應當用兒童容易理解的語言來表達。當網絡用戶協議面對對象是用戶時，應當采用兒童容易理解的語言吸引不同年齡階段的兒童，考慮到兒童特殊群體需要特殊保護，當兒童無法理解用戶協議或者網站信息時，難以做出判斷和取舍。例如可以通過設定兒童專門網站或者在不區分兒童網站的情況下設定兒童專門協議等方式，為信息透明權提供保護。

禁止自動化處理兒童個人信息，即禁止對兒童進行數據畫像。數據畫像是指分析或者預測和自然人有關情況，并且根據其個人偏好、興趣、可行度、行為等方式，對個人數據進行任何形式的自動化處理。GDPR 在第4 條規定數據畫像的定義，同時在序言第38 條和序言第71 條規定禁止對兒童進行數據畫像。在現實生活中，兒童手表、兒童智能手機等應用對兒童的個人信息進行收集，若不禁止企業對兒童個人信息進行數據畫像，將會導致兒童個人信息以及隱私的泄露。

處理數據特別保護兒童利益。GDPR 不僅禁止對兒童收集的數據進行自動化處理，同時在處理數據時應當特別保護兒童利益。GDPR 第25 條規定，網絡服務提供者應當將設計和默認的數據保護原則納入到產品的最初階段，相當于在設計兒童產品。

三、我國立法完善

增設數據透明權，恢復《征求意見稿》第五條關于兒童個人用戶協議簡潔易懂的規定；處理數據特別保護兒童利益，在設計兒童產品時應當將數據保護原則納入；禁止對兒童進行數據畫像。企業方面：加強對企業違規收集利用兒童個人信息的處罰力度，未經父母同意的情況下不得收集和利用兒童個人信息；同時為運營商規定行業自律和安全港規則，我國《信息網絡傳播權保護條例》規定的“通知—刪除規則”以及“避風港規則”⑤，在規定安全港規則可以參照適用。

注釋：

①劉穎.TRIPS 時代國際知識產權法律制度的“碎片化”［J］.學術研究，2019（07）.

②丁婧文.我國〈著作權法（修訂草案送審稿）〉中技術措施條款之評述［J］.法制與經濟，2019（03）.

③《未成年網絡保護條例（送審稿）》第16 條.

④付新華.大數據時代兒童數據法律保護的困境及其應對—兼評〈一般數據保護條例〉的相關規定［J］.暨南學報，2018.12.

⑤郭鵬.云計算Saa S 模式下的著作權侵權分析.知識產權，2018（11）.