兒童個人信息網絡保護的困境與制度應對
——基于對“監護人同意”模式的反思

安 琳

（陜西省圖書館,陜西 西安 710061）

聯合國《兒童權利公約》第3條所確立的“兒童利益最大化”原則已成為世界各國制定兒童權利保護法律的共識，然而為實現利益最大化，對兒童是賦權還是保護（Empowerment versus Protection），國際社會一直爭議不斷［1］134。互聯網和大數據時代，“賦權與保護”困境愈加凸顯，成為兒童個人信息保護制度設計所面臨的最大挑戰［2］。一方面，個人信息保護是根植于信息自決基礎上的權利保護，傳統的知情同意原則對兒童和成年人同樣適用；另一方面，兒童身心發展的特殊性決定了其無法擁有完全的信息自決，需要引入對其行為進行干預的保護性規定，其中最關鍵的就是父母或其他監護人（統一簡稱“監護人”）代替兒童行使知情同意權。如何更好地在保護兒童隱私安全和尊重兒童自我決策和參與的獨立性這二者之間保持平衡，是政策制定者亟待思考的問題。從民法親權和監護權理論來看，“替代決定”是兒童監護的主要范式和監護人同意規則設計的底層邏輯［3］。目前，兒童個人信息保護仍需要依賴監護人同意機制來實現。因此，在現有的互聯網服務模式和政策框架下，有必要基于兒童動態發展和最大化利益保護的考量，進一步完善監護人同意規則，并就與之相關的兒童賦權和運營商責任等進行符合實踐場景的制度探索，在各方利益平衡的基礎上實現對兒童個人信息和隱私安全的最大化保護。

1 兒童網絡信息保護與監護人同意模式的立法實踐

美國和歐盟在兒童信息法律保護方面走在世界前列。美國是世界上最早關注兒童個人信息保護的國家之一，早在互聯網出現之前就已經有針對兒童個人信息和隱私保護的政策實踐，如1974年出臺的《家庭教育權與隱私權法》（Family Educational Rights and Privacy Act）。1998 年美國國會通過《兒童網絡隱私保護法》（Children's Online Privacy Protection Act，簡稱COPPA），與之配套的還有該法案執行機構——美國聯邦貿易委員會（Federal Trade Commission，簡稱FTC）發布的實施細則和相關指導性文件［4］。COPPA是美國首部完整的、專門保護兒童網絡信息安全的法案，其沿用了“家長同意”這一核心原則，并對網絡環境下兒童個人信息收集、使用和披露行為中的運營商義務和父母權利作出了更為明確細致的規定。

2016 年，歐盟議會通過了《一般數據保護條例》（General Data Protection Regulation，簡 稱GDPR）。相較于歐盟1995 年《數據保護指令》，GDPR明確引入兒童數據保護，相關原則性條款分散出現在序言和正文多處，其中第8條“信息社會服務中適用兒童同意的條件”可視為GDPR 關于兒童個人數據最重要的保護性規定，該條款明確要求對兒童個人數據的處理必須以其家長的同意或授權為前提要件［5］。2020年1月，英國信息專員辦公室（ICO）根據GDPR及英國《2018 年數據保護法》發布了《網絡服務適齡設計實踐守則》（Age appropriate design: a code of practice for online services，簡稱《實踐守則》），要求網絡服務提供者以適齡標準處理兒童數據，并且全力支持監護人在適當情況下作出最有利于兒童利益的選擇，保護兒童免受網絡服務可能帶來的隱私與安全傷害［6］。

與歐美國家相比，我國在兒童個人信息網絡保護立法方面起步較晚，近年來才逐步納入法治軌道。2016 年通過的《中華人民共和國網絡安全法》是我國首部專門規范網絡空間安全的基礎性法律［7］，但在個人信息保護方面，未對兒童這一特殊群體與成年人進行區分。2017 年發布的《信息安全技術個人信息安全規范》（以下簡稱《規范》）在5.4(d)中明確規定收集不滿14 周歲未成年人的個人信息，應征得其監護人的明示同意［8］。《規范》因吸收了GDPR 的諸多經驗而備受推崇，但作為國家標準其本身并不具備法律約束力。2019年10月施行的《兒童個人信息網絡保護規定》（以下簡稱《規定》）是我國首部兒童個人信息網絡保護的專門立法，其第九條規定網絡運營者收集、使用、轉移、披露兒童個人信息的，應當以顯著、清晰的方式告知兒童監護人，并應當征得兒童監護人的同意［9］。《規定》在《規范》的基礎上，確立了兒童個人信息處理各環節的監護人同意原則，并對告知方式做出了明確要求。2020年10月修訂的《中華人民共和國未成年人保護法》（以下簡稱《未成年人保護法》）新增“網絡保護”章節，第七十二條規定信息處理者通過網絡處理不滿十四周歲未成年人個人信息的，應當征得未成年人的監護人同意。同時該條款還對未成年人或監護人要求更正、刪除未成年人個人信息的權利作出明確說明［10］。2021 年8 月最新出臺的《中華人民共和國個人信息保護法》（以下簡稱《個保法》）將不滿十四周歲未成年人個人信息全部納入個人敏感信息以強化保護，其三十一條重申了兒童個人信息處理的監護人同意原則，并且規定處理兒童個人信息應當制定專門的個人信息處理規則［11］。《個保法》高度整合和承繼了此前相關法律法規中有關兒童個人信息保護的內容，兒童個人信息網絡保護的法律體系正在逐步充實和完善。

2 傳統監護人同意模式的困境及成因

2.1 知情同意困境

監護人知情同意原則看似賦予個人很強的個人信息自決權，但面對網絡環境下日益復雜且普遍的信息收集，監護人同意原則很容易陷入“同意困境”。一方面，目前很多信息收集者的隱私政策冗長晦澀，特別是涉及兒童的部分，在收集、披露和共享各個細節的告知更加具體和復雜。現實中大部分用戶既無興趣，也無足夠時間和專業知識閱讀隱私政策。“一刀切”式的同意要求將兒童個人信息保護責任過多地加諸監護人身上，很可能導致監護人“同意疲勞”，從而難以對兒童個人信息處理行為作出準確理解和判斷。另一方面，目前的“告知同意”大多發生在信息收集或服務開始之前，人們在“同意”的時候無法預知未來個人信息的使用情況，因此即便監護人閱讀隱私政策，也不一定明白“同意”給兒童將帶來的影響，最終導致同意效果和立法目的背道而馳［1］135。

2.2 家長非理性決策

目前，保護兒童隱私的法律都是從基于“理性人”假設的家長式觀點制度而制定，即家長對子女個人信息擁有獨家控制權，并總是有能力就子女個人信息的收集、處理行為做出最符合兒童自身利益的決策［12］。但現實中，這個假設存在不恰當之處：一方面，家長基于監護人地位的知情同意霸權可能會造成對兒童自主權、隱私權以及自由人格發展的忽視，與此同時，過度的家長監督保護也不利于兒童鍛煉探索網絡世界和抵御信息侵害的能力；另一方面，家長作為兒童信息安全的守門人，很多情況下并沒有給兒童提供相應保護，反而無意中成為兒童信息權益的侵犯者之一，如很多家長在社交平臺上頻繁分享未成年子女的日常，這種過度分享行為與兒童個人信息安全和隱私利益之間存在固有沖突。

2.3 驗證手段的技術性障礙

實施在線監護人同意機制的難點之一在于如何識別監護關系并驗證同意的真實有效性。GDPR 第8 條第3 款規定，信息控制者應采取合理努力并結合技術可行性以核實相關同意是否由兒童監護人作出或者授權。但GDPR 并沒有進一步說明什么是“合理努力”。相比之下，COPPA 對獲得家長“可驗證同意”（Verifiable Parental Consent）的措施進行了詳細規定（包括簽署同意書、金錢交易憑證、專用電話或視頻連線確認、提供政府頒發的身份證明、人臉識別等）［13］。盡管COPPA 在核實手段方面提供了諸多可參考的具體路徑，但嚴格的驗證同意目前仍無法擺脫成本高昂的困境，且容易導致過量和不必要的信息收集，從而帶來新的隱私泄露風險。現有技術基礎上驗證措施也無法阻止兒童為逃避同意審核而衍生出的年齡謊報、證件偽造等問題。

2.4 高額的合規與執法成本

在兒童個人信息保護的實踐中，嚴格的“一攬子同意”以及現有技術下較為可靠的驗證手段（如電子簽名、人工電話、面部識別等）通常需要耗費運營商大量的人力物力，高昂的合規成本可能導致兩個結果：一是業界普遍違法，由此產生的高額執法成本使得大量違法網絡服務逍遙法外，兒童個人信息安全威脅依舊存在。如根據COPPA 出臺20 年間FTC 的執法情況來看，幾乎所有案例（96.4%）都涉及違反“獲得父母的可驗證同意”的原則［14］，且相較于違法運營商的數量，20年內FTC所提起的28 起訴訟只占極少數；二是一些非專門針對兒童的混合型運營商直接放棄兒童市場以降低成本或規避監管，如YouTube 刪除芝麻街頻道以避免吸引年幼兒童，Facebook 主動禁用13 歲以下的兒童賬戶等［1］136。

3 完善兒童個人信息網絡保護制度的建議

3.1 以場景區分為基礎的監護人同意機制

以隱私場景理論著稱的海倫·尼森鮑姆(Helen Nissenbaum)指出，隱私是合理的信息流通（appropriate flow of data）。保護隱私與個人信息的關鍵在于確保具體場景中個人信息的合理流通［15］。因此，根據不同場景制定信息使用規則的場景化保護或可作為監護人同意規定設計中較為可行的進路：變“一刀切”的嚴格同意機制為區分不同場景的差異同意機制，并進一步明確同意的例外規則。

3.1.1 設計差異同意機制

差異同意機制的核心是從保護兒童用戶的角度，根據不同場景中的隱私風險等級設計不同的保護標準。COPPA的“同意滑尺”（sliding scale）可為差異同意機制的設計提供良好借鑒。根據COPPA 實施細則，并非所有面向兒童的網絡服務都需要取得嚴格的監護人同意，而是針對不同隱私風險等級的網絡場景采用差異化的同意方式：最低風險的網絡服務無需取得父母同意，如一次性或多次回應兒童特定請求等非交互式或不共享兒童個人信息的網絡服務；中度風險等級的網絡服務，如對兒童信息進行非披露性的內部使用時，可以采用較為簡單的“加強型電子郵件”(email plus)的驗證方式；高風險等級的網絡服務必須符合嚴格的同意機制，如向第三方披露兒童數據或兒童注冊使用社交媒體時，網絡服務提供者需要通過父母簽署同意書、提供身份證明等方式取得驗證同意［16］。基于現有技術水平和服務模式，差異同意機制在平衡“賦權與保護”及減輕運營商合規負擔方面具有重要的實踐價值。

3.1.2 明確同意例外規則

針對合法正當事由或特殊情形給予一定的同意例外符合信息流通的“場景性公正”，其本身并不違反知情同意原則，也不存在侵犯隱私權益行為，是兒童個人信息場景化保護的重要體現。

在立法實踐中，GDPR類似的豁免條款出現在序言38 條“在直接向兒童提供保護性預防或咨詢服務（preventive or counselling service）時，不必取得兒童監護人的同意。”相較而言，COPPA 的同意豁免在顆粒度方面更為細化，包括維護公共利益和兒童安全，以及企業正當的不會對兒童權益造成實質性影響的行為，如出于獲得可驗證同意或特定的響應兒童一次或多次請求的目的收集等［17］，為運營商合規操作提供了明確的參考路徑。我國在《規定》第18條僅就披露兒童個人信息的同意例外進行了寬泛規定，未來可在立法實踐中通過司法解釋等形式進一步明確規定包括對兒童信息權益不會造成實質影響的正當行為和高于兒童信息權益的合法事由在內的同意例外情形。

3.2 以最大化利益保護為目的的兒童賦權性規定

兒童個人信息保護制度應特別重視相關賦權性規定的明確和完善。有別于“監護人同意”這樣只針對家長的賦權（對兒童實際上是保護性規定），這里的“賦權”應同等適用于家長及兒童，從而有效平衡“賦權與保護”困境。對比COPPA，歐盟GDPR 在賦權性規定方面更勝一籌，其第三章“數據主體的權利”詳細規定了知情、訪問、更正、擦除、可攜帶、反對等諸多數據控制權，GDPR的覆蓋性規定使得這些數據權利對兒童和成年人同樣適用，其中的“數據透明權”“被遺忘權”等被認為特別與兒童相關，可為我國立法完善提供借鑒。

3.2.1 數據透明權——兒童信息處理告知的友好化

GDPR 在第三章首先強調務必確保交流與模式的透明性，即規定數據控制者有義務以簡單易懂和便于訪問的形式提供任何關于數據收集處理的相關信息。同時，GDPR特別指出在處理兒童數據時必須格外留意表述的簡潔及通俗性。其目的顯然是希望以兒童為目標用戶的網絡服務能夠以兒童友好化為原則履行告知義務。根據GDPR，英國《實踐守則》對面向兒童的數據透明做出了更為詳細的規定［18］。運營商向用戶提供的隱私條款、服務協議及其他政策，不僅要向監護人提供可讀性強的完整信息，還要根據不同年齡階段的兒童提供視頻或文字，告知禁止與允許的行為，解釋服務中涉及的隱私概念、默認設置以及如何保護個人信息等，同時考慮到兒童的能力差異提供隱私政策簡潔和詳細版本的選擇項，并提示兒童可以與父母一同閱讀或向父母尋求幫助。具體見表1所示。

表1 面向家長和不同年齡范圍兒童的數據透明度建議

3.2.2 被遺忘權——兒童已公開信息的再隱私化

“被遺忘權”（亦稱“擦除權”）是GDPR 最突出的賦權性規定。賦予作為個人信息主體的兒童以“被遺忘權”意味著兒童有機會改變自己的數字足跡，從而有利于補救兒童因心智不成熟公開私人信息或家長過度分享子女形象所造成的負面影響。我國《未成年人網絡保護條例(草案征求意見稿》（以下簡稱《條例》第18條規定，未成年人或其監護人有權要求運營者刪除、屏蔽網絡空間中與其有關的未成年人個人信息［19］。《規定》第20 條對兒童或監護人行使刪除權的情形作出了更為具體的規定，除了違犯法律規定和雙方約定，還增加了超出目的范圍、必要期限以及撤回同意等情形，可視為對兒童“被遺忘權”本土化的嘗試。需注意的是，“被遺忘權”是對傳統信息刪除權的擴張［20］，在牽涉兒童這一特殊群體時尤為如此。為實現對兒童利益最大化的保護，未來立法實踐中還需要針對“被遺忘權”在權利主體、適用范圍等方面作出更加具體明確的規定，如：明確以網絡行為發生時間為兒童行使被遺忘權的年齡衡量節點，賦予兒童成年后仍享有擦除年幼時所發布信息的權利；除了傳統刪除權的適用情形外，被遺忘權的適用范圍還應包括網絡上關于其自身不恰當的、會導致負面評價的信息［21］；行使被遺忘權不僅可刪除由自身發布的信息，還可有條件地刪除他人發布或經第三人復制轉發的有關自身的特定信息等。

3.3 以技術創新和行業自律為手段的運營商責任內化

3.3.1 通過設計保護隱私——信息保護責任的“技術內嵌”

我國互聯網企業應充分踐行“通過設計保護隱私”（Privacy by Design，簡稱PbD）理念，讓兒童隱私信息保護成為互聯網企業默認的運行模式，而不是僅僅依靠遵守監管框架或依賴家長責任。根據PbD基本原則［22］，第一，隱私保護是主動預防和被默認設置的。如系統應采用最小化收集兒童個人身份信息和禁止數字畫像、地理定位等最高級別的隱私默認設置，兒童和家長不需要變更設置即可實現最佳隱私保護。第二，隱私保護應同時兼顧信息主體和信息控制者的利益，避免零和博弈。如對兒童個人信息采用匿名化、數據脫敏等技術處理，家長不必擔心兒童信息泄露的安全風險，運營者還可以進行數據分析并合理使用。第三，隱私保護貫穿端到端全生命周期。除了最小化信息收集，數據控制者還應采用加密存儲、授權訪問、到期自動刪除等技術手段確保全過程個人信息安全。第四，隱私保護必須以用戶為中心，保持開放和透明。如制定對監護人和兒童清晰友好的隱私政策，采用“隱私偏好平臺”（P3P）技術讓兒童和監護人自主設置隱私保護方案。

3.3.2 加強行業自律——信息保護責任的“自我調節”

在兒童個人信息網絡保護方面，提高互聯網行業的自律程度是更為快速有效的保護手段。《規定》第6條和《條例》意見稿第4條鼓勵相關行業組織參與兒童網絡保護工作，制定關于兒童個人信息網絡保護的行業自律規范。政府應繼續深入加強與互聯網行業的合作，在兒童個人信息網絡保護領域實現法律監管和行業自律雙軌并行。一方面，可參考美國鼓勵行業自律的“安全港”（Safe Harbor）項目，在立法中預留制度創新接口，積極引導業界制定有關兒童信息保護的行業指引和自律規范，運營者接受來自政府監管部門和行業組織的雙重監督和定期審查，對符合規范的運營者頒發兒童隱私安全的行業認證標志，對侵害兒童個人信息的行為加大懲罰力度，提高違法成本。另一方面，政府鼓勵行業開發創新隱私友好的兒童網絡服務并積極推廣采用經濟、科學技術手段和經營模式的企業優秀實踐經驗，促使業界在履行兒童個人信息保護義務的同時最大限度降低合規與執法成本。

3.4 以兒童信息安全和隱私保護為重點的網絡素養教育

我國《條例》意見稿第14、15條規定，未成年人的監護人應當提高網絡素養，教育、引導、監督未成年人正確使用網絡；中小學校應當將網絡安全教育納入課程，并鼓勵中小學以校外課堂的方式對監護人進行指導。這是我國首次嘗試將未成年人和家長的網絡素養教育提升以法條形式納入未成年人網絡權益保障范疇，由此可見兒童及其監護人的網絡素養對于保護兒童個人信息安全的重要意義。隨著低齡群體觸網比例不斷加大，教育部門應加強與網絡安全、信息化等相關部門的合作，在基礎教育中加大網絡素養教育比重，并將在線隱私素養融入數字素養教育，教授兒童有關個人信息保護的基本知識和防范個人隱私泄露的方法，特別是使用在線教育、社交和娛樂平臺時，能夠主動與家長保持溝通并學會謹慎或避免分享敏感信息、不侵犯他人隱私等。

4 對我國公共圖書館兒童個人信息網絡保護的啟示

互聯網和大數據時代，我國公共圖書館線上少兒服務持續深入推進，但兒童隱私保護問題長期以來未得到充分重視，兒童用戶正成為隱私泄露的高風險人群。根據前述完善兒童個人信息網絡保護制度的建議，我國公共圖書館應在充分借鑒國內外相關立法和實踐經驗的基礎上，探索兒童個人信息網絡保護的圖書館治理模式。

4.1 制定圖書館兒童隱私政策或相關條款

目前，我國已制定隱私政策或相關條款的省級以上公共圖書館中，只有內蒙古圖書館隱私政策籠統規定未成年人應在監護人監護、指導并獲得監護人同意情況下使用圖書館網站及相關服務，其他圖書館隱私政策均未提及兒童個人信息保護事項。根據《個保法》和《規定》中有關公開個人信息處理規則的要求，我國公共圖書館應重視制定兒童隱私政策或條款，并基于使用場景區分和兒童利益最大化保護原則作出細化規定，以平衡兒童個人信息保護與賦權的矛盾。具體而言應重點關注以下事項。

4.1.1 基于場景區分和差異化同意的兒童個人信息處理規則

圖書館隱私政策應根據不同服務或使用場景對兒童個人信息處理明確差異化的監護人同意規定。一方面，兒童在圖書館網站注冊賬戶、提交個人信息以參與圖書館線上活動、圖書館自身或與第三方合作為兒童提供網絡服務等需要收集或公開兒童個人信息的情形，圖書館需要通過電話、電子郵件、提供身份證明等技術可行的方式取得監護人有效驗證同意，未經監護人同意所收集的兒童個人信息應當及時刪除。另一方面，明確兒童個人信息處理的監護人同意例外情形：一是重大利益情形，如為維護公共利益和兒童人身安全；二是低風險服務情形，如兒童使用簡單在線咨詢等無需收集個人信息的網絡服務；三是合理使用情形，如利用匿名匯總后的兒童借閱信息、活動參與信息等改善圖書館服務且不會對兒童權益造成實質性影響的正當行為。

4.1.2 基于利益最大化保護的兒童權利事項

《規定》和《未成年人保護法》均明確規定兒童或監護人享有更正、刪除兒童個人信息的權利。《個保法》更是以專章形式對個人信息處理所享有的權利作出了具體規定。與個人信息處理相關的權利事項是兒童隱私政策的重要內容，圖書館隱私政策應對兒童賦權性規定作出明確具體的說明。如規定在兒童用戶使用圖書館網絡服務期間，監護人或子女有權在身份核驗后對兒童個人信息進行訪問、更正、刪除、撤回同意、注銷賬戶等操作。出于兒童利益最大化保護的需要，圖書館應按照《個保法》和《規定》的要求對兒童及監護人行使刪除權的情形作出進一步規定，如：圖書館超出必要目的或期限處理兒童個人信息；監護人撤回同意；兒童或其監護人通過賬號注銷等方式終止使用圖書館網絡服務等。目前，我國法律沒有設立專門的“被遺忘權”，有關刪除權的規定也并沒有針對兒童群體的特殊性而擴大刪除力度。圖書館可借鑒國外立法經驗，就兒童行使刪除權的適用范圍等現有法律細化和完善問題組織調研和討論，積極向國家立法層面建言獻策。

4.2 重視優化隱私政策透明度

基于家庭參與和告知友好原則，圖書館兒童隱私政策應格外留意表述的簡潔和通俗，以鼓勵監護人和子女共同關注圖書館兒童隱私保護事項，以增強兒童及家長的隱私保護意識，并有助于他們在充分理解和協商的基礎上作出更為理性的判斷和選擇。我國公共圖書館可借鑒英國《實踐守則》的經驗，除了向監護人提供簡潔、清晰、易讀的完整隱私政策外，還應充分考慮兒童的認知特點，以動畫視頻或漫畫等趣味生動的形式對個人信息的概念、圖書館收集個人信息的內容和方式、如何對個人信息進行自我管理和保護等重點內容進行簡要說明，并將面向普通公眾與兒童的不同版本隱私政策置于圖書館網站顯著位置，鼓勵兒童與父母一起關注和閱讀。此外，圖書館網站可通過在不同場景下靈活運用完整隱私政策、增強式通知、即時提示等多種形式實現個人信息保護事項的告知，將政策披露模式從單一的、一次性的靜態披露轉變為基于場景的、持續性的動態披露。監護人即使不瀏覽常規隱私政策，也能在作出具體授權同意前了解特定圖書館服務所涉及的兒童個人信息處理行為，從而強化監護人對兒童個人信息在不同場景和各處理環節的控制力。

4.3 強化圖書館的信息安全責任

根據《個保法》規定，不滿十四周歲未成年人個人信息屬于敏感個人信息，適用最嚴格的保護措施。作為兒童個人信息收集和使用者，圖書館應重視采用管理和技術方面的措施，強化自身在信息安全方面的能力和責任。在技術方面，應根據PbD 原則將兒童隱私保護植入技術應用，從源頭上強化兒童個人信息安全。如：圖書館網站默認最小化收集兒童個人信息并默認禁止基于兒童個人信息的數字畫像、信息推送等個性化圖書館服務；對合理使用的兒童個人信息應采取匿名化處理的技術手段；利用加密、分類存儲、授權訪問、到期自動刪除等技術確保兒童個人信息處理各環節的安全性。在管理方面，除了制定完整詳實的隱私政策外，服務覆蓋面廣、服務人數較多的省級以上公共圖書館可考慮設置個人信息保護專崗，負責對個人信息處理活動以及采取的保護措施等進行監督，并建立授權訪問制度、個人信息安全影響評估制度等內部管理制度，加強對包括兒童個人信息在內的個人敏感信息的安全管理。

4.4 建立兒童個人信息網絡保護行業自律體系

行業自律是規范圖書館管理、保護用戶隱私的有效途徑。首先，圖書館學（協）會應依據《個保法》《規定》及其他相關法律法規，牽頭制定圖書館行業兒童個人信息網絡保護的相關指導性文件，如圖書館兒童隱私保護聲明、隱私政策制定指南等，為各個公共圖書館制定具體的兒童個人信息保護政策提供指導。其次，提供圖書館兒童隱私保護檢查清單和優秀實踐范例等實用性資源，輔助指導公共圖書館創新開展隱私友好型兒童在線服務。最后，開展兒童個人信息網絡保護認證、考核和評估工作，借鑒互聯網行業的個人信息保護認證標準和實踐經驗，制定具有圖書館行業特點的兒童個人信息網絡保護認證規范，對通過認證的圖書館網站許可使用保護認證標志。將兒童個人信息網絡保護工作納入圖書館考評指標體系中，通過考核和評估促使各公共圖書館重視兒童的隱私權。

4.5 開展針對兒童和家長的隱私保護教育

公共圖書館作為承擔社會教育職能的重要機構，有責任、有能力通過提供指導和教育來提升兒童及其家庭的隱私保護意識和技能。一方面，圖書館可強化與外部專家的合作，結合不同年齡階段兒童的特點，共同設計開發具有指導意義的兒童在線隱私保護課程體系，并面向家庭提供課程資源、館藏專題書目推介等配套資源［23］，鼓勵家長和兒童自覺學習發掘保護個人隱私的方法，以不斷提高家長和兒童的個人信息安全意識和應對網絡隱私威脅的能力。另一方面，圖書館可以定期舉辦安全隱私日、科技周等有關兒童個人信息保護的主題活動，向家長和兒童宣傳普及在線隱私保護的必要性，提升兒童及其家庭的隱私保護意識。重點教育家長熟悉兒童網絡服務的隱私政策、展示兒童形象時注意分享節制和避免隱私披露、促進家庭交流并尊重子女在個人信息事務上的決策權等。