兒童個人信息保護或?qū)⒊善髽I(yè)出海合規(guī)難點

劉曉春 李夢雪

早在2018年，聯(lián)合國兒童基金會發(fā)布的報告《2017年世界兒童狀況：數(shù)字時代的兒童》中就指出，全球每日新增逾17.5萬名兒童網(wǎng)民，平均每半秒鐘就會新增一名使用網(wǎng)絡(luò)通信設(shè)備的兒童。現(xiàn)在，這一數(shù)字只會更加驚人，也向世界發(fā)出警告：在數(shù)字時代，兒童的聲音愈加重要。

近些年，各國紛紛開始重視兒童個人信息問題，出現(xiàn)了諸多引人注目的事件，諸如，2018年4月，由20家機構(gòu)組成的聯(lián)盟要求美國聯(lián)邦貿(mào)易委員會（以下簡稱FTC）調(diào)查全球最大的視頻網(wǎng)站YouTube，認為其違反美國《兒童在線隱私權(quán)法》（Childrens Online Privacy Protection Act，以下簡稱COPPA），在收集某些兒童的數(shù)據(jù)時未征得兒童家長同意；此外，電子玩具制造商VTech Electronics Limited和在線人才網(wǎng)站Explore talent也因為違反COPPA的規(guī)定被FTC指控。2019年初，F(xiàn)TC因TikTok“涉嫌非法收集13歲以下兒童信息”而處以罰款570萬美元的事件，更是給中國企業(yè)出海過程中的兒童個人信息保護問題敲響了警鐘。

我國對個人信息保護的立法起步較晚，對兒童個人信息缺乏專門的保護機制，導(dǎo)致我國企業(yè)在其業(yè)務(wù)開展過程中對該領(lǐng)域關(guān)注不足，而歐美等發(fā)達國家對兒童個人信息的關(guān)注度較高，因此，因此在企業(yè)出海的過程中應(yīng)更加注意兒童個人信息的保護，避免出現(xiàn)在他國的合規(guī)障礙。

歐美在保護兒童個人信息方面的立法簡介

（一）歐洲

2018年生效的《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，以下簡稱GDPR），也對兒童數(shù)據(jù)問題給予突出的關(guān)注，認為兒童在其使用網(wǎng)絡(luò)時不太了解其擁有的權(quán)利、數(shù)據(jù)處理的風(fēng)險和后果，因此運營商在收集和處理兒童數(shù)據(jù)的各個環(huán)節(jié)應(yīng)當予以特別的關(guān)注。GDPR對于兒童個人信息保護問題沒有設(shè)立專門的章節(jié)，相關(guān)條文散見于整部條例，包括序言和正文。

1.規(guī)定“數(shù)字年齡”（Digital Age）

GDPR的第8條規(guī)定了規(guī)定了信息社會服務(wù)適用于兒童同意的條件，其中規(guī)定數(shù)字年齡（Digital Age），即認為若直接向兒童提供信息社會服務(wù)，需兒童年齡達到16周歲以上，若未滿16周歲，需要征得父母責(zé)任主體的同意或授權(quán)。同時GDPR還給予了成員國一定的立法自由度，成員國可以規(guī)定較低的年齡，但是不得低于13周歲。

2.數(shù)據(jù)控制者以適宜的方式提供向兒童提供信息

GDPR的正文的12條及前言均有涉及，數(shù)據(jù)控制者對于個人信息應(yīng)當通過簡單、清楚、明確的語言，采取合適的方式向數(shù)據(jù)主體提供，特別提出“尤其是關(guān)于兒童的任何信息”，此舉是考慮到兒童的心智發(fā)展狀況，認為向兒童提供的任何數(shù)據(jù)應(yīng)以更加簡單、清晰，以便于兒童的理解。

3.兒童數(shù)據(jù)的被遺忘權(quán)

GDPR前言中指出，“被遺忘權(quán)”特別適用于兒童數(shù)據(jù)，即由于兒童的不成熟性，不了解一些數(shù)據(jù)收集處理行為的風(fēng)險，后來他們可以要求刪除或更正其童年的數(shù)據(jù)，如某兒童在8歲的時候留在服務(wù)提供者服務(wù)器上的信息，在其20歲時，他仍然擁有刪除數(shù)據(jù)的權(quán)利。

4.禁止自動化處理兒童數(shù)據(jù)

自動化處理即通過數(shù)據(jù)控制者掌握的數(shù)據(jù)通過自動化的過程為用戶進行“畫像”這種處理結(jié)果還能夠?qū)?shù)據(jù)主體產(chǎn)生影響。在我國，比如支付寶的芝麻信用分此類。而GDPR明文禁止了對于兒童采取此類自動化處理的技術(shù)。

（二）美國

1998年，美國國會通過COPPA法案，是美國第一部兒童網(wǎng)絡(luò)隱私保護法律，具有較大的影響力，為在線服務(wù)運營商在兒童數(shù)據(jù)保護方面提供了較為詳細的規(guī)則。該法案最近一次修訂，于2013年生效，此外，F(xiàn)TC還發(fā)布了《兒童在線隱私保護規(guī)則：不僅為兒童網(wǎng)站》《六步合規(guī)計劃》《常見問題解答》《消費者指南》等指導(dǎo)性文件。

COPPA采取了一系列實踐性較強的措施來規(guī)范網(wǎng)絡(luò)運營者，敦促其履行保護兒童隱私的義務(wù)，在該領(lǐng)域具有領(lǐng)先性。

1.明確針對兒童的網(wǎng)站或在線服務(wù)的含義

COPPA指出針對兒童的網(wǎng)站或在線服務(wù)，包含了專門針對兒童群體的網(wǎng)站和用戶群里既包含成人也有兒童的用戶混合類網(wǎng)站，但對于混合類網(wǎng)站或者在線服務(wù)，以“實際知道”的測試方法來確定服務(wù)提供者是否承擔責(zé)任，但目前，正在審議的COPPA修訂中欲將“實際知道”的標準改為“推定知情”，類似于我國刑法中的“應(yīng)當知道”，這就意味著只要運營者沒有盡到法律要求的合理謹慎的注意義務(wù)，就無法逃避法律責(zé)任。

2.允許家長同意的創(chuàng)新機制

FTC明確已經(jīng)列舉出的家長同意的方式不是窮盡的，允許網(wǎng)站提起創(chuàng)新的“家長同意方法”的批準請求，利害關(guān)系方可以向委員會書面申請同意目前未列舉的驗證方式，這種創(chuàng)新機制由于其開放性和實用性而受到好評。

3.為自我管理提供機制

COPPA法案提出了安全港的原則，是關(guān)于運營商的自律原則，運營商通過申請加入，經(jīng)FTC批準的網(wǎng)站或者服務(wù)提供者可以進行自我規(guī)制，根據(jù)FTC的指導(dǎo)方針的要求來遵守COPPA的規(guī)則，這些要求甚至可能會高于COPPA本身的要求。由于網(wǎng)絡(luò)技術(shù)日新月異，這樣的自我管理機制一定程度上解決了法律的滯后性的問題，具有良好的社會效應(yīng)。

企業(yè)合規(guī)路徑

根據(jù)共青團中央維護青少年權(quán)益部、中國互聯(lián)網(wǎng)絡(luò)信息中心于2019年3月共同發(fā)布的《2018年全國未成年人互聯(lián)網(wǎng)使用情況研究報告》，中國未成年網(wǎng)民規(guī)模已達到1.69億，未成年人的互聯(lián)網(wǎng)普及率達93.7%。兒童真正是網(wǎng)絡(luò)世界的原住民。我國也開始重視兒童個人數(shù)據(jù)的保護工作，2019年5月31日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《兒童個人信息網(wǎng)絡(luò)保護規(guī)定（征求意見稿）》（以下簡稱“規(guī)定”）公開征求意見，雖然該規(guī)定還沒有正式施行，但是考慮到目前日趨嚴格的兒童個人信息保護態(tài)勢，國內(nèi)的相關(guān)企業(yè)也應(yīng)當在商業(yè)可行的范圍內(nèi)，盡力靠攏規(guī)定的要求，以減小日后的合規(guī)成本，同時學(xué)習(xí)目前他國的網(wǎng)絡(luò)服務(wù)提供者的先進做法，做好合規(guī)工作。此外，了解他國在兒童數(shù)據(jù)保護方面的規(guī)定，為企業(yè)走出去做好準備。

在企業(yè)出海的合規(guī)路徑方面，一項前提工作是了解該國的兒童限制的年齡，如，前述提到的我國規(guī)定中認為兒童是不滿14周歲的未成年人，此外，像英國、愛爾蘭等國也會采取13周歲的年齡限制等。了解兒童數(shù)據(jù)年齡限制之后，網(wǎng)絡(luò)服務(wù)提供者面臨的兩大問題是兒童進入服務(wù)時年齡的驗證以及如何獲得家長的同意。

（一）兒童年齡的驗證方式

兒童在網(wǎng)絡(luò)上謊報年齡，避開監(jiān)管是一個不容忽視的問題，因此如何驗證兒童的真實年齡以維護其成長的網(wǎng)絡(luò)環(huán)境清潔成為企業(yè)必須要解決的問題，以下是目前幾種主要驗證方式的介紹：

1.自我驗證機制，即由用戶本人輸入自己的信息，互聯(lián)網(wǎng)服務(wù)提供者根據(jù)其自己輸入的信息來判斷向其可獲得的服務(wù)權(quán)限，這是目前通行的驗證方式，這種方式的弊端也很明顯，很容易被兒童規(guī)避。

2.評審機制，網(wǎng)絡(luò)服務(wù)提供者根據(jù)其在網(wǎng)絡(luò)中以及現(xiàn)實世界中收集的該用戶的其他信息予以綜合判斷來確定權(quán)限。

3.自動化分析機制，基于用戶檔案的語義的自動分析來推斷用戶的年齡范圍以授予權(quán)限。這種方式不容易被規(guī)避，但是實施起來比較復(fù)雜，如果技術(shù)不成熟，容易出錯，并且推斷出來的也只是年齡的范圍，無法確定實際的確切年齡。

4.離線身份驗證機制，即直接聯(lián)系兒童的監(jiān)護人來確定年齡以及獲得其授權(quán)，這種方式是一種較為保險的方式，但是成本高，大規(guī)模應(yīng)用可能會給企業(yè)帶來過高的合規(guī)成本。

實踐中，較為常見的驗證方式是自我驗證和評審機制，此外，如果能將不同的驗證方式進行結(jié)合，則能夠較好地保護兒童，像Facebook就采取了自我驗證和評審機制結(jié)合的方式。

（二）家長同意的驗證方式

無論是GDPR還是COPPA法案，在獲得家長同意方面都要求服務(wù)提供者盡到合理的努力，同時COPPA還提到了幾種具體的獲得家長同意的方法，可供參考。

1.由家長簽署同意書并通過郵寄、傳真或電子掃描返回給運營商。郵寄和傳真的方式由于其耗費更多的成本，越來越不受到企業(yè)的青睞，相比之下，電子掃描并回傳的方式就更具有優(yōu)勢。

2.要求家長提供在進行貨幣交易時使用的信用卡、借記卡或其他需要用戶名和密碼或其他身份驗證的在線支付系統(tǒng)。由于18歲以下的未成年人無法申請個人銀行賬戶，通過這樣的方式在驗證表示“同意”的人是具有一定資產(chǎn)的成年人。

3.驗證官方頒發(fā)的身份證件，如駕駛證號碼等，對照這些號碼的數(shù)據(jù)庫來進行驗證，這種方式由于其可靠性較高而為FTC認可，但是實踐中，很多家長不愿意為了兒童的某項娛樂需求，如玩某一款在線游戲，使用某音樂軟件等而透露此類敏感個人信息。結(jié)合我國實踐而言，驗證電話號碼可能是一種折中的方式。

4.發(fā)送電子郵件或者視頻驗證等方式，雖然這不一定是最有效的方式，但是卻在實踐中得到了廣泛的應(yīng)用。

前述提到了在兒童年齡驗證以及家長同意驗證的方式，主要是集中于兒童數(shù)據(jù)的收集階段應(yīng)注意的問題，此外，在數(shù)據(jù)的處理、應(yīng)用階段也有諸多問題需要注意，運營者應(yīng)嚴格遵守法律規(guī)范，做好兒童數(shù)據(jù)安全的保障工作，唯有如此，才能更好地保護兒童在網(wǎng)絡(luò)環(huán)境下健康成長，同時維護好企業(yè)的合法利益，實現(xiàn)經(jīng)濟效益與社會效益的統(tǒng)一。