兒童數據權益保護：同意主義之檢視

王延川，吳海燕

（西北工業大學 馬克思主義學院，陜西 西安 710072）

21世紀的兒童是在網絡的陪伴下成長的，作為互聯網的原住民，他們的日常生活無時無刻不被互聯網所包圍。聯合國兒童基金會《2017年世界兒童狀況》的調查顯示，全世界互聯網用戶中，約三分之一為18 歲以下的兒童與青少年[1]。在我國，2019年、2020 年和2021 年的《全國未成年人互聯網使用情況研究報告》中的統計數據顯示，我國未成年網民數量分別為1.75 億、1.83 億和1.91 億，未成年人的互聯網普及率分別為93.1%、94.9%和96.8%，其中，小學生的互聯網普及率分別為89.4%、92.1%和95.0%[2-4]?？梢娫跀底謺r代兒童觸網已是普遍現象，并且會呈現低齡化和日益增長的趨勢。

隨著兒童網絡用戶群體規模不斷擴大，兒童數據泄露現象也日趨嚴重，不容忽視①。智能玩具、智能手表等智能設備以及教育App、游戲App、社交App、兒童安全App 等應用軟件會不斷收集和傳輸兒童的數據信息，可能成為泄露兒童數據、侵害兒童隱私、危害兒童安全的工具。如江蘇省消費者權益保護委員會發布的《兒童智能手表消費調查報告》數據顯示，17.11%的消費者表示遇到過兒童智能手表泄露個人信息的情況；32.89%的消費者表示希望可以針對兒童智能手表采取措施，進一步提高手表的信息安全性，保障孩子的隱私安全[5]。除此之外，兒童數據濫用現象也十分普遍。犯罪分子對通過收集和買賣得來的兒童數據信息進行拼湊，并通過創建數字合成身份（Digital synthetic identities）進行詐騙、申請貸款或辦理信用卡等活動。有關報道顯示，僅2016年一年，全球合成身份欺詐可能造成60億美元的經濟損失，其中有一部分來源于兒童數據泄露[6]。而國際計算機研究所2018年的研究報告顯示，活躍在市場上的過半Android 應用涉嫌違反美國《兒童在線隱私保護法案》（Children’s Online Privacy Protection Act，COPPA）[7]。在我國，由于法律和監管措施存在很大不足，利用網絡收集并出售個人信息已經形成一條成熟的產業鏈，其中也包括買賣兒童個人數據。

由于兒童普遍具有上網意愿強烈、上網方式熟悉、安全意識缺乏的特征，極易陷入“以隱私換便利”的錯誤認知中[8]，故而對兒童數據進行特殊保護已成為理論界和實務界的共識。目前兒童數據保護中的最重要規則是監護人同意規則，即兒童涉及線上數據處理活動時應該取得父母或其他監護人的同意。但是，對于兒童數據保護的同意主義規則能否有效保護兒童數據安全并有利于兒童成長，有必要進行檢視分析。

一、同意主義的緣起：注重兒童保護和弱化兒童賦權的結果

“兒童利益最大化”原則是保護大數據時代兒童線上活動的一項基本原則，其實現依靠保護和賦權兩種路徑[9]：前者認為兒童是弱者，需要被特殊保護，如由監護人代替兒童進行選擇；后者認為兒童具有自主性，應該賦予其更多的自由權利，通過對自己權利的行使，使兒童得以按照自己的意愿成長。保護和賦權是大數據時代兒童數據權益面臨的一對沖突原則，如何平衡二者的關系從而實現兒童利益最大化，是各國需要解決的難題。

現實中，基于兒童身份的特殊性和數據的風險性，為最大限度增進兒童福祉，各國立法普遍采用保護主義原則，即通過監護人同意來保護兒童的數據權益。如歐盟《通用數據保護條例》（General Data Protection Regulation，GDPR）第八條奉行嚴格的父母同意原則，就直接處理兒童信息而言，如果該兒童未滿16歲，只有在得到對該兒童負有父母責任的人的同意或授權的情況下，這種處理才是合法的。美國《兒童在線隱私保護法案》規定，任何針對兒童或有意收集13歲以下兒童個人信息的網站，都必須通知其父母并征得他們的同意。COPPA 適用于針對兒童的商業網站和在線服務，以及實際知道他們已從兒童那里收集個人信息的網站和服務。當然，學?？梢源婕议L獲得COPPA對第三方收集數據的同意，但只能將數據用于學校教學目的，不得用于其他商業目的②。我國《兒童個人信息網絡保護規定》（以下簡稱《規定》）第九條規定，網絡運營者收集、使用、轉移、披露兒童個人信息的，應當以顯著、清晰的方式告知兒童監護人，并應當征得兒童監護人的同意?！秱€人信息保護法》第三十一條重申了該規則。

在兒童不理解或不知道自己線上活動的風險而作出決定時，將關于合法處理兒童個人數據的決定的法律能力分配給監護人是“理所當然”的選擇。當然這也是在兒童信息自決權與兒童信息保護之間權衡的結果。

第一，兒童身份的特殊性賦予同意主義以必要性。與成人相比，兒童本身具有敏感性和脆弱性：一方面，兒童本身是數字產品的消費者，兒童數智消費市場規模龐大，早已成為企業商家爭相搶奪的對象。兒童本身就是享有自身數據權利的主體，然而他們尚在成長階段，心智不成熟、辨別能力弱、權利保護意識不強、抵御網絡風險能力不足，容易陷入網絡陷阱，泄露自身數據而不自知，這一切都迫切需要監護人的協助。另一方面，兒童個人數據具有成長性，隨著其年齡和參加社會活動的增加，數據價值本身也會不斷增長。兒童時期個人數據信息的泄露可能會對他們未來的生活造成無法估量的影響，而年幼的他們無法意識到數據的重要性，無法作出理性的判斷和抉擇?？梢哉f同意主義是對兒童數據權利的特殊保護，是基于兒童自身發展的考量，符合國際慣例。

第二，數據的風險性賦予同意主義以可行性。大數據時代，數據價值日益凸顯，企業大量收集、挖掘、存儲、分析、轉移、披露兒童數據信息，以開發兒童智能應用工具，使得兒童的個人信息（姓名、住址、相貌特征等）被企業輕松掌握，并在此基礎上形成兒童的個性數字畫像（profiling）③?！皬膬和砩鲜占木W絡數據可能在未來不確定的時刻，被網絡服務提供者用不確定的算法用于不確定的客服端，以創建兒童所不知道的數字身份。”[10]商家依據數字畫像向兒童進行精準推送，以獲取營銷謀利。更有甚者，不法分子借兒童數字畫像進行違法犯罪活動，造成兒童隱私泄露、兒童安全受到威脅等嚴重后果。而基于數據的持久性，這些兒童數字畫像對兒童的成長軌跡和興趣愛好進行持續量化和追蹤，使兒童無時無刻不受到數據監控，“大數據殺熟”“大數據性別歧視”可能從兒童時候就已經開始了，這會給兒童未來成長帶來無意識歧視和偏見，影響他們日后的工作和生活，危及他們的身心健康。數據的安全隱患往往是兒童感知不到的，這就需要監護人理性選擇，守好兒童數據安全關。

第三，法理的正當性賦予同意主義以合理性。監護人同意主義在我國有著正當的法理基礎，具體是源于民法典上的親權及監護權理論。親權和監護權并非監護人的權利，更多的是一種義務，是出于對未成年人行為能力的考量，基于監護人與子女之間的身份關系而產生的對未成年子女保護監督的義務。《民法典》第二十條規定，不滿八周歲的未成年人為無民事行為能力人，由其法定代理人代理實施民事法律行為。根據《民法典》第十九條的規定，八周歲以上的未成年人為限制民事行為能力人，實施民事法律行為由其法定代理人代理或者經其法定代理人同意、追認。根據《民法典》第一千零三十五條的規定，處理未成年人個人信息，應當遵循合法、正當、必要原則，不得過度處理，并應征得其監護人同意?？梢娪捎趦和胁痪邆渫耆拿袷滦袨槟芰?，對自身權益處分認知不足，需要監護人來進行補足。這既是對監護人的“賦權”，也是對兒童數據的特殊保護。

二、同意主義的困境：規則虛化和失效

由于兒童不具備完全民事行為能力，同意主義是目前各國對兒童數據保護的基本原則，雖然該制度設計的初衷是十分美好的，但隨著數字時代的到來，其無法實現一勞永逸，實踐中面臨著虛化和失效的困境。對于GDPR 第八條所要求的父母同意，是否真能作為保護兒童的良好規范，有國外學者抱著懷疑的態度[11]。還有更激進的學者認為，由于同意超載、信息超載、數據處理的復雜性和缺乏實際選擇，父母同意在實踐中完全無效[12]。實踐中也發現，這個條款有時非但不能起到保護兒童的作用，甚至對這個規定的嚴格執行可能會出現負面和不良作用，危及而不是保護兒童的數據權益。

第一，監護人過度介入的效果值得懷疑?！兑幎ā纷鳛槲覈谝徊績和瘮祿Ｗo的專門立法，借鑒了歐美的相關做法，將監護人同意規則作為收集兒童個人數據的前置規則。《規定》的第五、九、十、十四、十八、十九、二十條中規定了監護人同意的原則和具體內容，賦予了監護人同意以重要地位?！兑幎ā返脑O計是出于對兒童數據權益保護的考量，但對監護人機制的過度依賴往往存在不容忽視的弊端。

要求未滿一定年齡的兒童的線上活動獲得父母同意，有可能造成對兒童行為的過度介入，限制有能力兒童的網絡活動，壓制其自由權和參與權，致使兒童信息自決權無法得到保障。一般而言，年齡越大的人觀察力越強，但是對于網上活動而言，成年人的認知并不占優勢。雖然監護人同意貫穿兒童數據收集處理的每一個環節，但是監護人同意非但難以準確預設企業的動機和預測同意的后果，反而可能會成為網絡經營者推脫責任的借口。還需要注意的是，監護人的同意會構成過度監督，一定程度上可能侵犯兒童的隱私權，影響家庭關系④。譬如在美國，通過Google Family Link，父母可以將孩子添加到自己的賬戶中以控制他們的手機使用。有研究發現，在安卓應用商店的75種商業移動應用中，高達89%是通過控制或監督兒童來支持家長的限制性教育方式，而不是采取親子探討等協商性教育方式[13]。這樣一來兒童可能喪失了網絡隱私權和自主選擇權，進而失去對監護人的信任，容易引發家庭矛盾。因此過多的監護人同意與“兒童利益最大化”原則是不相符的。

第二，監護人決策具有非理性特征。有學者指出，《規定》確立的監護人知情同意制度需要他們具備相當程度的信息素養，否則會形同虛設[14]。監護人能作出正確同意的前提是，他們是數字社會的理性人。但是現實卻往往事與愿違，很多監護人自身缺乏數字素養，不關心數據傳播政策，對兒童信息收集潛在風險難以作出準確判斷，他們并不清楚正在使用的App 可能會對兒童產生何種影響，也無法作出明智的抉擇，加之App的隱私政策煩瑣冗長，監護人可能選擇不去細看和閱讀，而是默認同意，這樣的監護人難以履行保護兒童個人信息安全的職責；許多監護人受信息網絡的影響，自身沉迷網絡無法自拔，熱衷于社交軟件曬娃、直播打賞，可能無形中成為兒童數據隱私泄露的幫手。有學者從調查收到的51個國家的父母的1300份回復數據分析得知，73%的父母會在互聯網上分享有關孩子的照片、視頻或信息，而近90%的父母會在自己的社交媒體賬戶上分享孩子的這些信息[15]。將兒童數據保護的職責過多地托付于監護人，在他們不具備數字素養而變得非理性的情況下，不但難以保護兒童數據安全，反而會損害兒童數據權益。

第三，具體操作實踐過于簡化或者過于復雜，如何識別兒童年齡和身份，并有效獲取監護人真實意思表達存在認定困難。從我國目前的《個人信息保護法》《未成年人保護法》《規定》等法律規范來看，均有監護人同意規則，但對同意主義的具體驗證方式尚未作出詳細規定?！兑幎ā返诰艞l要求以顯著、清晰的方式告知兒童監護人，但是，何為顯著、清晰的方式并未有進一步明確界定，實踐中操作起來很困難，影響《規定》實施效果。一些網絡運營商在App中只是象征性聲明兒童用戶要獲取監護人同意的條款，對于如何獲取監護人同意缺乏詳細說明和可操作的規定，更加讓人對監護人同意主義的落地生根產生擔憂。更為吊詭的是，許多經營者沒有設計單獨的未成年人用戶協議，未成年人相關條款隱藏在《用戶服務協議》中⑤，這種做法使得監護人的同意形同虛設。實踐中，針對兒童數據處理的同意，監護人并不知道其對象是什么，因為隱私政策條款不好理解，或者理解起來太困難。正如學者Susan Landau 所言，隱私聲明遠非為人類使用而設計[16]。實踐經驗表明，絕大多數的隱私聲明并不起作用，只是網絡經營者逃避法律責任的手段。

現實中兒童也是充滿“智慧”的，他們可以通過謊報年齡躲避監護人同意或者提供虛假電子郵箱、電話等來冒充監護人的授權同意，這樣監護人同意就會無用武之地。

第四，同意主義的實現成本較高。要保證兒童使用網絡的全過程得到監護人同意，則需落實兒童同意驗證，這勢必會增加執行成本。我國目前并未對如何有效獲得監護人同意的具體驗證方式作出詳細規定，GDPR則作了原則性規定，要求控制者在現有技術條件下合理證明取得監護人同意。COPPA 則詳細列出了多種驗證途徑，如同意書、郵件或傳真、電話、視頻、身份證件等。實踐中網絡經營者為驗證和核實監護人真實同意需要通過身份證、照片、電子郵件、人工電話、人臉識別等方式，不僅難以保證真實性，還會增加很多技術研發和人力投入成本，增添運營負擔。對于監護人來講，則需要投入更多的時間成本來閱讀冗長的隱私聲明、接聽電話和發送電子郵件。有研究表明，用戶僅閱讀一年中使用的網絡服務的隱私聲明就要花費244小時的時間[17]。對于執法機關而言，查處兒童個人信息濫用也需花費更多的人力和物力成本，這無疑會給兒童數據保護活動帶來沉重的負擔。對美國FTC1998—2018年處罰的28個案例的分析顯示，違反《兒童在線隱私保護法案》規則中“父母同意”的占比為96.4%[18]。這只是查處的一少部分，可見現實中網絡運營商濫用兒童個人信息現象大量存在。

第五，網絡運營商規避同意主義規則。同意主義驗證程序繁雜，需要耗費大量的人力和物力成本，很多網絡運營商采取了消極“一刀切”的態度來規避同意主義規則。如一些社交媒體和其他在線服務提供商為了避免相當繁雜的父母同意要求而設定使用或訂閱的年齡限制，拒絕為兒童提供某些在線服務。當前的COPPA 實踐已導致許多供應商尋求各種方法以規避父母同意規定，如有些人宣稱他們的產品僅供13歲以上的人使用，使得許多孩子無法享用更好的數字服務⑥。譬如，Instagram 和Twitter 就通過強制填寫出生日期的方式阻斷13 周歲以下的兒童注冊使用。臉書（Facebook）（現在稱為“Meta”）在其隱私政策中明確規定不接受13周歲以下兒童注冊賬號，還推出如何“舉報未滿13 周歲兒童賬戶”的服務[19]?，F實中，為了讓孩子能夠使用流行的電子郵件服務、社交網絡、視頻網站和應用商店，父母不得不幫助孩子謊報年齡[20]。按照1989年《聯合國兒童權利公約》（UNCRC）的規定，兒童被排除在在線服務之外，這可能對他們的表達自由、游戲以及受教育權利產生不利影響。

三、同意主義的修正進路：兒童、監護人和平臺的權責平衡

對每個兒童進行個性化的能力測試會極大增加網絡經營者的成本和負擔，在目前的技術環境下不易實現亦不現實。因此，同意主義確有存在的必要，我們應承認其作為兒童數據保護核心機制的地位，但同時也應采取措施對其進行修正。修正的原則是：一方面，細化同意主義，讓兒童擁有自主權，解放監護人；另一方面，加強經營者的義務和責任，促進同意主義的實現。修正的結果是一個由同意主義原則及其例外構成的規則體系。

第一，通過區分數據風險差異化監護人同意。為避免監護人同意成為企業免責的借口，必須對監護人同意進行限制。對此，我們可以建立基于不同場景的差異化的父母同意規則。在對數據保護影響予以評估后，根據不同場景將兒童數據類型存在的風險劃分為低、中、高風險，以此來界定不同風險級別的監護人差異化同意，這樣可以明確需要監護人同意的范圍，有效防止監護人同意“一刀切”。對于低風險的兒童個人數據（如開設電子郵件等不與網絡經營者互動或者上線內容不共享的傳播活動），則無需征求監護人的同意；對于中風險的兒童個人數據（網絡經營者內部使用不對外傳播），可以采用簡易化的監護人同意方式，如采用電話或電郵告知；對于涉及兒童敏感信息的高風險兒童個人數據（如對外傳播兒童數據、涉及兒童身份信息及兒童注冊游戲社交賬號等），則需嚴格的監護人同意，要采用綜合方式獲取監護人同意，如電話視頻、郵件傳真、提供監護人身份證明、簽名授權等。通過劃分數據類型，區分不同場景下監護人同意的級別，可以有效緩解監護人同意疲勞。

第二，通過區分年齡差異化監護人同意。我國《規定》保護的主體是14 周歲以下的兒童，采用了與COPPA近似的“一刀切”年齡段限制。采用“一刀切”還是“個體化”的年齡限制在各國學界存在爭議，爭議背后的價值是賦權抑或保護。

同意主義適用的兒童年齡標準統一化符合法律的形式主義要求，但也存在難以應對兒童個體的現實差異、不利于兒童自主決定權行使和交易相對人信賴利益保護等局限性，可以在統一設定同意年齡標準的前提下，提供一定的例外性規范以增強其現實適應力[21]。

譬如，英國《適齡守則》將兒童分為0～5 歲學齡前期、6～9歲學齡初期、10～12歲過渡期、13～15歲青少年初期以及16～17歲即將成年期幾種類型。不同年齡段的兒童被賦予不同的自我決策權，取代了傳統單一劃分下的“一刀切”方式。我國《游戲適齡提示草案》依據青少年成長過程中的生理特征、認知能力、道德水平等，將游戲適齡范圍劃分為18 歲以上、16歲以上、12歲以上、6歲以上四級；并指出6歲以下兒童需要在家長陪同下才可以接觸網絡游戲，6～11 歲兒童不提倡在網絡游戲中過度社交，對于12～15 歲以及16～17 歲的青少年有必要進行針對性關注等。所以我國應在遵循14 歲“兒童同意”年齡標準的一般前提下，允許一些例外規范。根據實際情況判斷兒童作出的同意行為是否有效，即采用李永軍教授所主張的“十四周歲+意思能力”標準[22]。若不滿14周歲兒童的心智足夠成熟，能夠理性決定自身行為，行使信息自決權，則應認可其權利，與《民法典》第十九條之規定相銜接。此外，還應根據“場景”理論即綜合考慮信息的類型來確定兒童同意的效力。“基本前提+例外性規范”這種彈性做法是一條可行路徑，既可以減輕監護人同意負擔，又可以保障兒童信息自決權。

第三，提高監護人的網絡素養。我國2023年新發布的《未成年人網絡保護條例》第十七條規定，未成年人的監護人應當提高自身網絡素養，規范自身使用網絡的行為，加強對未成年人使用網絡行為的教育、示范、引導和監督?？梢妵伊⒎ㄒ呀涢_始重視監護人非理性決策損害兒童個人信息權益問題。提高監護人的網絡素養是保障監護人同意制度有效運行的關鍵，畢竟監護人是兒童教育保護的第一責任人。具體而言，可以通過授課、講座、播放視頻的方式對監護人進行宣傳教育，讓監護人掌握數字技能、熟悉網絡平臺的隱私政策內容及常見的數字陷阱，從而幫助其提高自身數字素養意識，規范自身使用網絡的行為，做到以身作則、言傳身教，為兒童文明上網做好榜樣引導；同時監護人還應主動學習數字服務產品，積極與兒童進行溝通，掌握兒童“數字運用軌跡”，參與引導兒童使用數智產品，營造良好的家庭數字應用氛圍。

第四，提高告知的透明度，明確同意認證方式。為了兒童能夠明確了解每個網站的性質以及上網可能帶來的風險，網絡經營者應該向兒童及其監護人提供應有的信息，這些信息應該通俗易懂。對此英國給了很好的示范。英國《適齡守則》規定，對于不同年齡段的兒童應區分告知方式：對于0～5歲的學齡前兒童，需向其提供聲頻或視頻，告知禁止與允許的行為。對于6～9 歲的學齡初期兒童，需向其提供卡通片、聲頻或視頻，簡單解釋服務中涉及的隱私概念、默認設置、誰可以看到以及如何操作。對于10～12 歲過渡期兒童，須向其提供書面說明、聲頻或視頻，提供簡單信息和詳細信息選項；當試圖改變默認設置時，通過聲頻或視頻告知后果。對于13～15歲的青少年，需向其提供書面說明、聲頻或視頻，提供簡單信息和詳細信息選項；當試圖改變默認設置時，通過聲頻或視頻告知后果，可提示他們向父母尋求幫助。而對于16～17歲即將成年的青少年，則應向其提供書面說明、聲頻或視頻，提供簡單信息和詳細信息選項。

監護人同意是兒童數據收集利用的前提，為避免兒童偽造監護人同意內容，我們要盡可能明確同意認證方式，以獲得監護人的真實授權。按照慣例，同意的表現方式有三種：第一種是推定同意方式，典型如抖音和微信的同意認證方式；第二種為簡單的可驗證同意方式，如臉書要求同意之人為有資格申請信用卡和借記卡之人；第三種是復雜的可驗證同意方式，即父母要簽訂同意書并返還給網絡經營者。這里我們可以借鑒美國《兒童在線隱私保護法案》，采取“可驗證父母同意”原則，對《規定》進行完善?！翱沈炞C父母同意”原則即要求網絡經營者在收集利用兒童數據時要采取盡可能完善的方式征求監護人的同意，并且文件中也詳細列舉了一些具體明確可操作的驗證方式，如監護人簽字授權、監護人電話、視頻當面驗證、監護人回復郵件、電子掃描證件、提供照片驗證、監護人在線答題等多種方式。我國《規定》在修改完善時應結合我國實際情況，明確驗證要求和方式，但是具體采用何種驗證方式要根據網絡產品的不同特征和不同應用場景進行靈活適配，不宜“一刀切”。

第五，區分兒童和成年人網站。兒童觸網是時代的要求，但現實中關于兒童網絡保護的一個主要問題是：基于互聯網的設備通常不區分成人和兒童的使用，這使得通用互聯網設備幾乎不可能受到任何旨在僅保護特定群體（如兒童）的法規約束[23]，此時，僅僅依靠兒童自身或監護人“一刀切”的同意顯然不能保障兒童網絡安全。因此，為了實現兒童利益最大化，保障兒童上網權利，必須設立專門的兒童網站，國外就有優質的方便兒童免費學習玩樂的專門網站，如PBS Kids、TLSBOOKS、Nickjr、Kizclub等。對此，我國應該予以借鑒。雖然我國部分應用軟件在成年人應用中設計有兒童/青少年模式，但實際效果卻不盡如人意。南都個人信息保護研究中心2020年發布的《網絡直播App青少年保護測評報告》顯示，多數被測App在未成年用戶操作過程中缺少需征得家長同意的功能設置，有的甚至無法有效識別未成年用戶；一些App 所設置的青少年模式功能流于形式，內容也有待進一步優化；很少有未成年人和家長會主動打開青少年模式[24]。可見與其費力設計兒童/青少年模式，不如打造專屬兒童的網站頻道。對于兒童網站，企業應立足于兒童的健康成長和興趣培養，核心是寓教于樂，設計的風格要簡單易懂，以圖片和視頻為主，吸引兒童的興趣，貼合兒童的需求，過濾掉廣告和不良信息，同時還要限制應用時長以防止兒童沉迷。這一思路既可有效保障兒童的網絡參與，也可減輕監護人的負擔。

第六，建立利害關系人合作機制。要降低監護人同意的成本，單靠某一主體是無法完成的，需要相關部門的協同配合。首先，網絡經營者要發揮主體作用，履行好自己的數據安全保障義務，針對兒童的隱私政策應簡單清楚明了，便于監護人閱讀理解；收集兒童數據時主動聯系監護人審核，采取合理靈活的方式驗證監護人同意，并運用有效加密技術手段防止數據泄露。其次，互聯網行業組織要發揮自律引導作用，制定保障兒童數據權益的行業規范，明確兒童數據收集利用的規則和懲罰措施，對互聯網行業進行自律監管。我國《規定》借鑒美國隱私保護的行業自律原則，在《規定》第六條提及鼓勵互聯網行業組織指導推動網絡經營者制定兒童個人信息保護的行業規范、行為準則等，加強行業自律。第八條強調網絡經營者應設置專門的兒童個人信息保護規則和用戶協議，并指定專人負責兒童個人信息保護工作。專人是指參照境外互聯網公司的做法，設立“首席隱私官”全面負責兒童個人信息保護。再次，政府機關要加強監管，建立兒童信息聯網共享機制，方便平臺和政府機關核實兒童和監護人信息，彌補注冊實名認證方面存在的漏洞和不足，從而降低技術成本，減少對兒童信息的過度收集。除此之外，監護人和學校也應發揮教育指導作用，提高兒童數據保護意識。

四、兒童數據權益損害的救濟路徑：賦權與司法保護

監護人同意規則并不是萬能的，在明知其存在不足的前提下除了對規則本身進行修正，還應對規則造成的后果進行法律救濟，即監護人同意規則并不會理所當然地導致網絡經營者對兒童數據的獲得和處理合法，如果真的損害兒童的數據權益，權利主體可以行使刪除權，也可以通過民事公益訴訟進行救濟。

（一）完善撤回同意規則，保障兒童刪除權

數據具有持久性和留痕性，兒童無心公開的個人隱私或監護人錯誤的同意可能會影響兒童一生，對此需要采取有效救濟手段，讓兒童被公開的信息再隱私化。歐盟和美國賦予兒童主體以刪除權，刪除權的基礎是個人應該對其個人數據擁有控制權。我國結合本國立法實際，《規定》第二十條明確了兒童及監護人的信息刪除權。兒童作為數據權利主體本身享有信息自決權，即可更正、刪除信息，這是兒童利益最大化原則的要求。但是《規定》的適用范圍不夠明確具體，并且只規定了兒童監護人的撤回同意權利，對于隨著年齡增長而日益成熟的兒童是否有撤回同意權利并未明確說明。因此，未來《規定》修改時應完善撤回同意規則，明確刪除權的適用范圍。對于撤回同意規則的完善，一方面應要求網絡經營者及時主動披露兒童個人信息利用情況，保障兒童和監護人的信息知情權；另一方面要賦予兒童和監護人隨時無條件的撤回同意權利，對于撤回同意后的信息，網絡經營者要及時刪除。此舉不是為了處罰網絡經營者，而是為了抑制監護人隨意分享兒童數據從而造成兒童數據權利受侵害的現象。對于刪除權適用范圍的完善，可以明確兒童成年后仍有權要求網絡經營者更正或刪除自己兒童時期的數據；同時，賦予兒童要求刪除第三方在網絡上發表或轉引的關于自身的數據信息的權利。這樣一來，可以通過對兒童賦權來彌補監護人同意主義的缺陷。

（二）引入民事公益訴訟，救濟受損兒童權益

監護人同意是否符合兒童最大利益，值得進一步思考。有學者發現一旦Google 或任何其他教育科技公司擁有珍貴的“可核實的家長同意書”，它將有多種方式可以使用數據并從中受益[25]。所以一旦監護人不理性的同意損害了兒童數據權益，可通過民事訴訟的方式來進行救濟?？紤]到兒童的弱勢地位和網絡隱私侵權成本，可以引入民事公益訴訟制度對兒童數據權益進行傾斜保護。利用公益訴訟制度保護兒童個人信息，是現有法律框架下既有充分法律依據又有較成熟實踐經驗的最優選擇[26]?！秱€人信息保護法》第七十條將違法處理個人信息、侵害多人權益的行為納入公益訴訟受案范圍。我國目前已有實踐案例，2021年全國首例由檢察機關針對某短視頻平臺侵犯兒童個人信息權益的民事公益訴訟以調解方式結案，這無疑是良好開端。兒童數據泄露傷害的是諸多家庭和祖國的未來，今后應該擴大公益訴訟范圍，讓檢察機關、國家網信部門和消費者組織督促網絡經營者履行好保護兒童數據權利的責任，這樣可以降低兒童的維權成本，促進互聯網企業善治。對于公益訴訟救濟的舉證責任問題，我國《個人信息保護法》第六十九條規定，“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任”。因此，兒童數據侵權應實行舉證責任倒置，即由網絡經營者承擔舉證責任，若網絡經營者無法舉證證明自己沒有過錯，則需承擔賠禮道歉、消除影響、賠償損失等民事責任，這是解決兒童與網絡經營者地位懸殊問題、強化兒童數據權利保護的有效舉措。除此之外，鑒于兒童身份的特殊性和兒童數據侵權危害的巨大性以及網絡平臺獲利的高額性，可以對網絡經營者實施懲罰性賠償，以此加大對互聯網企業的懲罰力度，促使其自覺承擔保障兒童數據權益的社會責任。

注釋：

①譬如，2018年5月，IOS平臺青少年手機監控應用程序TeenSafe 服務器發生泄密，由于Apple.ID 以及郵箱地址和密碼沒有加密設置，黑客訪問其服務器后直接訪問兒童個人數據。參見Teen phone-Monitoring App Reportedly Leaks Account Information，https：//www.cnet.com/news/privacy/tee n-phone-monitoring-app-reportedly-leaks-accoun t-information/，2023年7月10日訪問。又如，2020年知名兒童游戲Animal Jam 的制作公司WildWorks 同樣發生了數據泄露事件，4600 萬條記錄泄露，內容包括用戶名、密碼、性別、出生年份等。參見《兒童游戲Animal Jam制作公司Wild Works 確認發生數據泄露事件》，https：//finance.sina.com.cn/tech/2020-11-17/doc-iiznezxs226456 3.shtml，2023年7月10日訪問。

②美國FTC 在2019 年啟動的COPPA 第二次修訂中增加了父母同意的例外規定，即運營商在為學校提供教育技術服務而需要收集和處理兒童個人信息時，學?？梢源鷮W生父母作出授權同意，而無需一一征求父母意見。但是，運營商在收集和處理兒童個人信息時，不得從事違反“教育目的”的行為，該行為包括但不限于直接營銷、行為廣告以及生成不必要的數字畫像。

③數字畫像被歐盟《通用數據保護條例》4（4）定義為與自然人相關的某些個人情況，特別是為了分析或預測該自然人的工作表現、經濟狀況、健康狀況、個人偏好、興趣、可信度、行為、位置或行蹤，而對個人數據進行的任何形式的自動化處理和利用。

④根據聯合國《兒童權利公約》第十六條，兒童有隱私權，父母必須根據其子女不斷發展的能力調整他們的指導。

⑤以抖音為例，注冊抖音賬號時，僅需手機號碼與驗證碼，沒有年齡提醒以及單獨的未成年人用戶服務協議或隱私政策。注冊之后彈出可自行設置的青少年模式，但該模式存在程序化傾向，用戶點擊“好的”之后即可直接使用該程序。通過推定監護人同意的模式，未成年人使用抖音服務不存在任何障礙，這實際上剝奪了監護人的拒絕權。在程序上雖然設置了告知與授權的兩個步驟，但監護人難以獲得實際的監護權。

⑥譬如，谷歌就是一個典型例子，它不允許需要家長同意的兒童在其平臺上擁有自己的賬戶。Through Google Family Link，Parents Can However Add Children to Their Own Account to Control Their Mobile Phone Use，https：//families.google.com/familylink/faq/，2023年7月11日訪問。