兒童個人信息保護完善路徑研究
——基于美國COPPA法案對比

■戴曾盛

（華僑大學法學院，福建 泉州 350001）

一、前言

隨著互聯網技術的普及，參與數字生活已不是成年人的“特權”，兒童在日常的生活中普遍使用互聯網已成為社會生活的基本現狀。中國互聯網絡信息中心發布的《2020年全國未成年人互聯網使用情況研究報告》數據顯示，截至2020年底，中國青少年網民規模約為2.77億，占整體網民20%左右，其中年齡14周歲以下的兒童網民在青少年網民比例中占比11.6%，這之中有32.9%的兒童在學齡前就開始使用互聯網[1]。成年人在數字生活中對信息泄露的風險尚且難以防范，這一風險對于兒童而言更為棘手。例如，兒童學習生活中，針對兒童設計的兒童教育游戲、兒童電子圖書館等兒童教育產品作為教輔用具在市場中受到追捧，為獲得更為精準的用戶數據，部分兒童互聯網產品會利用技術手段在兒童使用產品過程中收集、處理個人信息。一旦數據泄露或被竊取必將會威脅兒童的數據安全，就可能對兒童的日常生活造成安全影響。并且兒童身心尚處于發育過程中，其行為能力、同意能力和風險識別能力在生理階段不及成年人般完善，面對冗雜繁長的“用戶協議書”時恐怕難以識別進而導致誤判造成自身敏感數據的泄露。

在此背景下，如何保護數量龐大的兒童個人信息不受侵害，如何完善現有法律制度減少兒童的網絡風險，對保障兒童網絡生活的安全環境具有重要的意義。

二、兒童個人信息保護的立法現狀

我國兒童個人信息保護法律體系尚處于立法初創階段，雖然形成了法律規制框架，但在落實規范的過程中缺乏具體的、可執行的規范指引，導致有關法條空懸虛位。

（一）國內現行立法

涉及兒童個人信息保護的立法主要包括《民法典》《未成年人保護法》《兒童個人信息網絡保護規定》《個人信息保護法》。其中《兒童個人信息網絡保護規定》（下稱《規定》）是首部保護兒童信息的專門性法律規范，對于兒童信息保護具有里程碑式的作用。

1.明確監護人知情同意下的“監護同意”規則

《規定》第五條、第九條、第十條、第十四條、第十九條、第二十條等規定，監護人對于網絡運營商意圖收集、處理、使用未成年人個信息具有事前同意、事中及事后對產生錯誤的兒童個人信息刪除、更正的控制權。

2.明確網絡運營商的運營責任

《規定》第七條、第九條、第十條等條款規定，網絡運營者在收集、處理兒童個人信息時需要監護人同意，并且網絡運營商應當針對兒童制定符合其生理、心理特征的保護規則和用戶協議，強調了監護人的事前監督權和平臺承擔的事前責任。

3.明確互聯網運營商自律管理責任

《規定》第十五條至第十八條、第二十一條等規定互聯網運營商對其管理的未成年個人信息的管理義務。互聯網運營商不得違法向未授權的企業個人披露個人信息，并且遵守“最少授權原則”嚴格控制知悉兒童個人信息的人員范圍，需要制定應急方案以防范可能發生的信息泄露危險。

（二）域外立法比較

美國在兒童信息保護方面是立法的先行者，較之國內相關規范而言，內容更加具體、更具可操作性。

1.監護人同意制度

美國《兒童在線隱私保護法》（Children's Online PrivacyProtection Act，COPPA）是美國針對13歲以下未成年人所制定的信息保護法案，法案創設了“監護同意”制度①的具體規則。COPPA與《規定》第九條相似，都強調監護人有權知悉并決定互聯網運營商對兒童個人信息的收集、處理。不過COPPA規范更加具體，規定了6種具有可操作性的同意方式，包括:（1）通過傳真、郵遞、電子掃描等方式向運營商提供父母簽署的同意書；（2）使用信用卡、借記卡或其他網絡支付手段并向父母發送通知；（3）父母電話同意；（4）與專業的工作人員視頻通話；（5）通過政府頒發的身份證件復印件用于驗證；（6）運用面部識別技術進行驗證等[2]。“可驗證的父母同意”為監護人知悉并允許網絡運營商使用13歲以下兒童個人信息提供了多種方式，雖然同意方式較為繁瑣，可能降低網絡經營商的經濟利益，但隱藏在互聯網中的網絡隱私危機令成年人都難以防范，對兒童更需要傾斜保護。因此，為強化兒童個人信息安全，在制度上安排監護人介入并保障介入方式的有效性，有利于平衡保護兒童權益與社會經濟利益。

2.網絡運營商的運營責任

3.網絡運營商的自律監管要求

強調行業自律監管是COPPA法案一大特點，其中自律監管條款被稱為“避風港計劃”②。該條款鼓勵互聯網運營商在符合法律法規的前提下自行制定符合COPPA法律內涵的行業自律規定，允許互聯網運營商針對自身特點制定保護兒童個人信息的隱私政策，這些自律行為需聯邦貿易委員會批準后生效，互聯網運營商在運營過程中只需遵守各自的自律規定即可[4]。

COPPA法案的“避風港計劃”條款授權網絡運營商自我管理，提倡行業成員創造符合法律精神的“軟法”，以此防范法律“以偏概全”的失靈狀況。所謂“軟法”是指，不依靠國家強制力保證實施的法律規范，它是一種由多元主體經或非經正式的國家立法程序制定或形成，并由各制定主體自身所隱涵的約束力予以保障實施的行為規范[5]。例如行業協會公約、公司內部規章、互聯網運營商的隱私政策均是“軟法”，能夠起到彌補法律空白抑制公權力膨脹的效用。COPPA法案將自律監管與法律規定相結合，意圖使用“軟法”彌補法律失靈時存在的監管空白問題。

三、兒童個人信息保護的立法缺憾

（一）兒童年齡范圍界定問題

兒童是需要被特殊保護的法律主體，但其年齡的范圍存在一定爭議。在《規定》中兒童的年齡為14周歲以下。《民法典》以8周歲為限，8周歲以下為無民事行為能力人，8周歲以上18周歲以下是限制民事行為能力人。《未成年人保護法》規定未成年人是指18周歲以下的公民。《個人信息保護法》規定不滿14周歲未成年人的個人信息處理需要監護人同意。《個人信息安全規范》規定收集年滿14周歲未成年人的個人信息前，應征得未成年人或其監護人的明示同意。可見在國內沒有統一的兒童信息保護年齡界限標準，“兒童”與“未成年人”之間的年齡界限亦處于模糊狀態。放眼域外，年齡標準同樣存在爭議。美國COPPA法案2000年通過之時保護的對象是13周歲以下的兒童，2018美國國會對COPPA法案進行修訂，將保護對象的年齡擴大到了12～16歲的未成年人，在修訂審查稿中保護對象的年齡曾被建議提升至18歲以下。

兒童在個人信息保護領域年齡范圍界定問題的本質是對兒童參與數字生活的行為能力、同意能力、認知能力等能力的界分。統一年齡標準雖然滿足了法律的確定性要求，但這種“一刀切”的處理模式忽略了兒童生理年齡與心理年齡的差異，忽略了不同年齡段未成年人對“個人信息自決權”的管理、支配與處分的需求，限制了部分兒童自我決策的權利。以統一年齡作為判斷標準符合一部分兒童的需求，但會對另一部分兒童產生不當限制，從而導致兩個不利結果，要么抑制某些早熟兒童獲取新的信息和知識，要么會使某些晚熟的兒童接觸到與其智力水平不相適應的信息[6]。在法律適用中，統一年齡的界分方式將會導致監護人與兒童之間的權利沖突。一方面，兒童隨著自身成長，自主決策權的需求不斷提升，對成年人的依賴不斷降低，監護人對兒童干預的權利理應被縮限；另一方面，兒童的表達自由、個人隱私處分自由等“自決權”應當被逐漸強化，這種關系被一些學者稱為賦權和保護沖突[7]。換言之，不科學的年齡界分將造成兒童“賦權”和“保護”之間的沖突，如果賦權性規定過多，會導致對兒童的保護不力；如果保護性規定過多，則可能限制兒童的自我決策權等賦權性利益[8]。所以立法者需要重新審視以統一年齡標準對兒童個人信息保護的合理性，構建更為合理的年齡界分標準以指引兒童及監護人的網絡行為。

（二）監護人“監護同意”制度問題

我國《規定》明確：網絡運營商意圖收集、處理兒童個人信息必須告知其監護人，在監護人同意之后方可使用。美國COPPA法案存在同樣的“監護同意”條款，但較之我國《規定》，美國COPPA具有更強的可操作性，其中列舉式的監護人同意措施是我國《規定》所欠缺的。除此之外，監護同意制度本身在實際運行中暴露出諸多問題。

1.監護人的同意疲勞

法律規定要求監護人介入兒童處分個人信息決定的本意是為兒童制造信息屏障，希望監護人幫助兒童屏蔽有害信息并協助兒童管理個人數據。然而，美國COPPA法案實施后十年，產生了一種監護人的同意困境，即監護人的“同意疲勞”。監護人同意規則賦予監護人較強的查閱權，然而監護人受“監護同意”約束被迫面對數量龐大的互聯網運營商以及種類繁多的門戶網站，并且互聯網運營商的隱私政策冗長且復雜，這對監護人的識別與控制能力造成較大挑戰[9]。如果允許監護人使用“集中授權”模式，那么監護人同意制度就容易被濫用而失去保護作用，但單一監護同意制度將監護人推入信息的泥潭，使得監護人陷入疲于同意的困境。

2.監護人同意的真實性

眾創空間的價值創造以服務創客團隊為基本邏輯，能夠為創客提供從創意設計、模具設計到產品制造、市場營銷等各環節的全鏈條式服務。眾創空間擁有豐富的服務接口以及立體化全要素的創業平臺，能夠提供便捷的創業運營一站式服務，促進創業者和創業資源之間的對接。在產品價值創造方面，眾創空間聚集了創客、企業以及供應鏈上的各種創新資源，形成了完善的產品創新服務體系。產品價值創造包括新利益點的確定、消費行為的引導和用戶體驗的設計。

互聯網中每個人的身份都具有匿名性，用戶個人信息可以隨意填寫，兒童可能會虛報年齡以避免征得其監護人同意，或者冒充其監護人同意，甚至是在監護人教唆下謊稱年齡。例如，對美國家長進行的一項調查顯示，家長明知Facebook不接受13周歲以下兒童注冊賬號的規定，依然幫助孩子隱瞞年齡注冊，成為孩子“共犯”[10]。我國《規定》以及美國COPPA法案都未就如何核實監護人同意的真實性做出規定，亦均不存在豁免同意的例外規定。為追求商業利益，網絡運營商更傾向采取消極的態度對待“監護同意”制度，即使法律強調了網絡運營商對監護人同意真實性的審核義務，網絡運營者在接收用戶主動提供的信息后，并不會采取其他手段來驗證用戶的真實年齡。例如，最早采用“監護同意”制度的網絡游戲防沉迷系統，在實踐中幾乎是被動接受注冊用戶提供的身份信息，即便是兒童提供虛假身份信息，網絡運營商也從不主動審核，這種現象直到近期“史上最嚴”防沉迷規定③出臺才有所改變。監護人以及網絡運營商的消極態度使得“監護同意”的真實性遭到質疑，“監護同意”的真實性是監護同意制度的基礎，無法核實監護同意的真實性將使該制度形同虛設，如何確定監護人同意的真實性、避免兒童自己假借監護人同意或使用虛假身份同意是監護人同意機制的現實難題。

（三）自律管理指引缺失問題

保護兒童個人信息免受侵害是全社會的責任，對兒童個人信息的保護需要社會各界的支持和配合。比較國內外兒童個人信息保護規定，較為通行的治理模式是法律規范指導、行業自律監督、家庭教育引導相結合的多層次綜合治理模式。我國《規定》第六條以及美國COPPA法案均鼓勵行業制定“軟法”參與兒童個人信息保護的社會治理中。但我國《規定》對行業自律管理只有原則指引卻無具體規定，相較之下，美國COPPA“避風港計劃”條款中包含了行業自律條款的標準。例如：（1）自律規定需要大于或等于COPPA法案對兒童個人信息保護的范圍；（2）自律規定需要經過有效的、有強制性的獨立評估；（3）有階段性的管理計劃報告、合規認證，定期交主管部門評估等[11]。從細節來看，我國《規定》需要進一步補充完善，簡單、籠統的實施細則和粗糙保護措施凸顯了法律指引在內容上的單薄。行業自律監督是社會治理中發揮保障作用的重要一極，法律規定需要為行業監督增添詳細、明確的指引規范。

三、兒童個人信息保護完善之建議

（一）細分不同場景年齡區間

不同年齡兒童的身心發育及認識能力均有所不同，以統一標準簡單區分年齡區間不利于合理保護不同年齡階段的兒童個人信息。聯合國《兒童權利公約》第12條規定，“締約國應確保有主見能力的兒童有權對影響到其本人的一切事項自由發表自己的意見，對兒童的意見應按照其年齡和成熟程度給予適當的看待”④。故采取細化兒童個人信息保護的年齡區間、在不同場景中界分兒童個人信息敏感度的方式保護兒童個人信息是更理性的做法。

1.擴大保護年齡區間

如前所述，我國各類規范對兒童個人信息保護的年齡區間界定并不統一，且“兒童”與“未成年人”之間的保護規定多有交叉重疊，這不利于網絡運營商制定隱私政策。應當將兒童個人信息保護的年齡區間擴大至18歲以下，涵蓋未成年人、青少年、兒童等群體。即將兒童個人信息保護年齡標準分為三個檔次：14歲以下低齡兒童、14～16歲中低齡兒童和16歲以上兒童，采取多層次年齡保護模式較統一年齡模式更為合理。

2.不同年齡區間兒童敏感信息保護程度不同

個人信息分為一般個人信息與敏感個人信息，根據《信息安全技術個人信息安全規范》規定，敏感個人信息指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或非歧視性待遇等的個人信息，包括但不限于個人身份證號、個人生物識別信息、銀行賬戶、通信記錄、住宿信息、地理位置信息、交易信息等等⑤。而一般個人信息是指泄露對個人影響比較輕微、具有可識別的個人信息。

法律對敏感信息著重保護，敏感信息針對不同年齡階段的兒童可以區分為弱敏感信息以及強敏感信息。

（1）14歲以下低齡兒童認識能力薄弱，但在特殊場景可以放寬“監護同意”限制，允許兒童對弱敏感信自主決策。新冠肺炎疫情期間，諸多中小學生改為線上授課，存在不同類別課程在不同網站上教學的情形，學生需要在網上注冊，必然將個人信息披露給學習網站，對于性別、昵稱、手機號碼等低敏感度信息可以成為“監護同意”的例外情形，在特殊場景交由14歲以下兒童有限處分。

（2）14～16歲的中低齡兒童已進入初高中學習，其認識能力、風險感知能力已有較大提升，但自我控制能力較弱，可以區分適用場景解除性別、年齡等低敏感信息的“監護同意”限制。如教育網站、社交網站、視頻網站等可以交由14～16歲兒童自行決定，但對于14～16歲兒童參與互聯網直播這類有可能暴露生物信息等高敏感信息的行為時，仍需嚴格保護。

（3）16歲以上的兒童基本具備社會生活能力，基本可以解除“監護同意”限制，但對于生物識別信息、通信記錄、住宿信息等強隱私信息仍需保留限制。例如在抖音、快手等應用程序的隱私條款中規定，網絡直播服務提供者需年滿16周歲，若是未成年人需要由父母同意并驗證其身份，此種限制值得借鑒。

（二）“監護同意”制度完善

我國《規定》只有“監護同意”的原則性規定而無具體的操作指引，使我國“監護同意”的制度效力大打折扣，但這亦是我國“監護同意”制度的后發優勢，可以借鑒域外成熟的經驗完善我國“監護同意”制度。

1.不同場景下“監護同意”的有限適用

美國COPPA法案適用后產生了監護人的“同意疲勞”，該狀況在十年后的COPPA修正案落地后才有所改觀。其原因是“監護同意”制度不對網絡行為以及行為的適用場景做區分，將所有的行為與場景均納入規制的范圍中，導致了監護人疲于同意。

美國COPPA規定的“浮動比例尺(sliding scale)”⑥規則根據不同場景下網絡運營商收集、處理兒童個人信息的目的，浮動調整“監護同意”制度是否需要適用[12]。例如，網絡運營商收集、處理兒童信息僅做內部使用或作為研究數據參考等情形，即可認為兒童將數據交由該網絡運營商的處分行為風險較低，可以取得“監護同意”豁免或以簡易方式獲得“監護同意”；反之在網絡運營商收集、處理兒童信息的目的具有商業性質等高風險場景，對兒童數據的收集、處理必須以“監護同意”為前提，且必須采取嚴格方式獲得“監護同意”。

2.場景風險的判斷方式

數據保護影響評估以及隱私影響評估（DPIA）⑦是歐盟通用數據保護條例（GDPR）規定企業的數據合規義務，指網絡運營商收集和處理數據時需要考慮數據的性質、范圍、背景、目的，設想在處理此項個人數據時可能對該自然人的權利造成何種風險，并對風險可能的影響做出評估。其中DPIA條款第五項著重強調了對兒童數據處理的風險評估義務。完成DPIA規定后，網絡運營商需要根據GDPR規定，將數據劃分為低中高三種不同的風險程度，以此作為收集、處理數據的場景的風險標準。

3.完善“監護同意”的真實性判斷

“監護同意”的真實性判斷是兒童個人信息保護機制中最難解決的病灶，因為虛假的“監護同意”可能是兒童偽造身份的結果，例如未經同意使用監護人身份信息注冊虛擬賬戶；可能是家長配合兒童共同規避網絡運營商的隱私政策，如前述父母協助兒童注冊Facebook；也可能是網絡運營商消極對待注冊信息，即便發現是虛假身份注冊也不采取措施。

所以在實踐中，不論是網絡運營商亦或是監管單位對“監護同意”的真實性都無法完全辨明。無法確認真實性的“監護同意”對網絡運營商而言極為不利，運營商可能需要為無意間違反《規定》而承擔不利后果。故“監護同意”的真實性判斷應采取“推定真實”模式，且需要區分不同場景。具體而言：使用DPIA規則判斷兒童的網絡行為處于何種風險之中，若處于低風險狀況例如兒童注冊QQ、微信、微博等社交程序，具有形式上可以查證的監護人信息即可對“監護同意”的效力“推定真實”；若處于高風險狀況，如兒童進行網絡購物、辦理信用卡需要人臉生物信息等需要收錄敏感信息的場景，采取嚴格“監護同意”并且增加“監護同意”的同意次數，在“監護同意”完成后進行二次回訪，且要求網絡運營商承擔過錯推定責任。

綜上，我國《規定》可以借鑒DPIA規定，要求網絡運營商向有關監管部門提供手機應用、網站等網絡產品劃分應用場景的數據影響評估風險等級，以此作為“監護同意”有限適用的指引規則，再配合細分兒童年齡和“監護同意”的真實性判斷，成體系地完善“監護同意”制度。

（三）補充自律監管的指引規范

行業自律監管是社會治理中重要一極，行業制定的“軟法”可以根據不同行業的實際情況制定符合現狀的規范。“軟法”較之于法律法規等“硬法”更具有可操作性，且“軟法”規制效力能夠填補“硬法”的留空，故在國際上“硬法”與“軟法”協同防范社會風險的治理模式是行業主流。

經上述比較法研究，在我國兒童個人信息保護領域，亦應當采取以法律法規為主、行業自律規定為輔的保護模式。行業自律監管對法律規定的補充具有重要意義，例如“抖音”為落實兒童數據保護設置了青少年守護工具，在其《親子守護協議》中細化了“監護同意”真實性的確認方式⑧，以及監護人發現虛假確認后選擇限制使用賬戶的具體方式⑨，在兒童個人信息保護尚不完善的情形下發揮了良好的補充作用。然而，“軟法”需要“硬法”的指引才不會背離法治精神，我國《規定》缺乏如COPPA“避風港計劃”的規則指引和有關監督單位對“軟法”核查規定，有可能增加網絡運營商的合規風險。故增補自律監管的指引規范有助于企業協同監護人共同保護兒童個人信息安全。

注釋：

①見Children’s Online PrivacyProtection Act(“COPPA”)Act§ 6502，訪問地址 https://www.law.cornell.edu/uscode/text/15/6502，訪問時間2021-09。

②見COPPA Safe Harbor Program，訪問地址https://www.ftc.gov/safe-harbor-program，訪問時間2021-09。

③見國家新聞出版署《關于進一步嚴格管理切實防止未成年人沉迷網絡游戲的通知》。

④見《兒童權利公約》（Convention on the Rights ofthe Child）第 12條。

⑤見《信息安全技術個人信息安全規范》（GB/T 25069—2010）注 1、2、3。

⑥ 見 Children’s Online Privacy Protection Rule(“COPPA”)Act§312，訪問地址https://www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-rule.，訪問時間2021-09。

⑦見Data Protection Impact Assessment(DPIA)Article 35 of the General Data Protection Regulation（GDPR），訪問地址https://gdpr.eu/data-protection-impact-assessmenttemplate/，訪問時間2021-09。

⑧參見抖音程序《親子守護服務協議》2.5。

⑨參見抖音程序《親子守護服務協議》3.1。