作者 | 王融 腾讯研究院资深专家

引言:儿童个人信息保护,难点在哪里?

尊重和保障儿童权利是被广泛认可的基本通识,各国个人信息保护法律中也逐步引入儿童个人信息保护。并且,基于传统的知情同意原则,在涉及儿童个人信息的场景,考虑到儿童心智不成熟,其很难对个人信息被收集利用的后果和风险做出理性判断,因此建立了需要征得其父母(监护人)[1]同意的法律机制。

尽管从儿童权利视角,包括联合国《儿童权利公约》[2]在内的官方和民间研究都已开始关注探讨:儿童对其享有的隐私、个人信息相关权益处分的独立性,以及基于儿童动态发展的考量,是否应当「充分理解、尊重不同类型儿童在不同阶段的特点与能力」[3],从而质疑法律一刀切的按照儿童年龄划分的信息处分权利差异化的合理性。但在更为合理的法律机制形成之前,我们仍主要依赖监护人同意机制来实现儿童个人信息保护。

但正如个人信息保护是个人权利、信息自由流动、公共利益等诸多正当利益之间的平衡取舍一样,儿童个人信息保护,由于涉及权利主体与权利行使主体相分离,其在制度落地中注定遇到更多实践问题。

儿童个人信息保护的关键难点,在于如何识别儿童、监护关系和监护人的知情同意。如果要求所有的实践生活场景,都贯彻监护人知情同意原则,则意味着社会整体要为此付出相应的法律执行成本。

即使在线下环境中,鉴别儿童及其监护人也需要配套支持,包括身份证、户口本等资料加以印证。同时,因为具有面对面接触的条件,这种以识别用户年龄为前提的,法律上的监护人同意要求,理论上仍可以推行,尽管这意味着巨大的社会成本付出。如我国已推行多年的电话实名制,虽然在大部分场景下具有在营业厅现场识别的便利条件,但在推进中,仍需克服许多实践难题;

当进一步延伸至线上网络世界中,由于物理位置的隔绝,实施监护人同意机制,更需要相关的技术手段、数据资源予以协同配合。如果不加区分地,要求所有的网络在线服务实施监护人同意机制,将难以避免数据过量收集的问题,也显著增加了不合理的社会成本。况且,许多线上服务对于此类数据的收集处理本身就没有必要,例如网络搜索服务,运营者没有必要去收集、鉴别用户的年龄、甚至监护人的相关信息,并获取监护人同意。用户在使用搜索服务时,不消说年龄验证,即使是账户注册都难以接受。因此,儿童个人信息保护(特别是网络保护)初心虽好,但要将这美好的制度付诸实践,则无法回避一个核心矛盾——即如何实现合理有效的儿童保护,同时防止过量的和不必要的信息收集。

儿童个人信息保护,从哪里借鉴经验?

解决问题不是为了产生更多问题。有关儿童个人信息保护的讨论,更多并不是纯粹的法律议题,而是符合实践场景的制度探索,经验积累更凸显其价值。

遗憾的是,到目前为止,作为数据保护引领者的欧盟,在这一领域的经验乏善可陈。在美国于1998年制定《儿童在线隐私保护法》(Children’s Online Privacy Protection, 以下简称COPPA)时,同时代的欧盟1995年《数据保护指令》并没有写入儿童个人信息保护,在近20年之后,2016年出台的《通用数据保护条例》(Genearl Data Protection Regulation, 以下简称GDPR)中才明确引入儿童个人数据保护,但也仅有一条主要围绕儿童数据保护的原则性条款(第八条)[4]。

按照欧盟数据保护委员会(European Data Protection Board,以下简称EDPB)的惯常做法,为了澄清GDPR中的原则性条文,EDPB会出台更为详尽的指南来指导法规落地,截止目前,EDPB已出台了10余部指南回应具体执行问题,包括数据保护官,数据保护影响评估,识别主导监管机构等等[5],但迟迟未就儿童个人信息保护规定出台更具体的指南。

GDPR将儿童的年龄设定交给了各成员国,可以在13~16周岁之间进行设定,这就造成了重大差异(比如葡萄牙设定为13岁,西班牙,14岁;法国,15岁;德国,16岁等等)[6]。更何况儿童个人信息保护在实践中的确还存在许多悬而未决的争议。

当然,欧盟立法者在制定GDPR时就已注意到:网络世界中数据处理活动的多样性,会对儿童监护人同意原则的实际落地带来极大复杂性,因此其在有关儿童个人数据保护的核心条款——第八条中也采取了相当弹性的表述,为未来的实施预留制度空间。第八条第三款规定:数据控制者应当采取合理的努力,结合技术可行性,确保此类情形中对儿童具有父母监护责任的主体已经授权或同意。但什么是「合理努力」,什么是「技术可行」,一时难以给出权威答案。

相反,隐私保护执法一直以务实为显著特征的美国,在全球范围内最早形成了专门的儿童在线个人信息保护法律——COPPA,在儿童个人信息保护领域已积累了20多年的制度建设与执法经验,除了专门立法,作为执法机构的联邦贸易委员会(Federal Trade Commission, FTC)还出台了细则(COPPA rules)[7]、问答清单( COPPA FAQs )[8]、六步骤合规计划(A Six-Step Compliance Plan for Your Business)[9]以及推进行业实际落地的安全港计划(COPPA Safe Harbor Program)[10],来指导践行儿童信息保护,这对于包括欧盟、中国等在内的,正在探索儿童个人信息保护具体机制的国家和地区,都具有重要的参考价值。

儿童个人信息保护的核心制度设计

儿童作为特殊群体,其个人信息要受到严格保护,其合理性和必要性毋庸置疑。但如上所述,依赖于「监护人知情同意」的保护机制在实践中将遭遇巨大挑战,包括如何识别儿童、监护关系和监护人的有效同意。

因此,统观美国隐私执法机构FTC关于儿童个人信息保护的执行落地,以及其所发布的详细规则,都始终围绕着合理必要这一核心原则,如何在真正的社会生活实践中,通过法律制度的设计和具体规范,来实现儿童个人信息保护目标,同时避免产生过量的负面问题。为实现这一目标,这些细则围绕以下核心问题而展开:哪些情形需要适用COPPA?如何认定网络服务运营者对用户的年龄有「实际认知」?如何取得监护人的同意,包括监护人识别,有效同意的验证?

(一)哪些情形适用?

首先需明确的是:COPPA并不适用于所有的在线服务。它所规定的监护人同意等要求仅指向以下三类情形:

1)直接面向13岁以下儿童(「Directed to children under 13」)收集儿童个人信息的网站、在线服务的运营者(即服务对象专门针对儿童);

2)适用于那些虽面向一般受众(general audience),但对收集13岁以下儿童个人信息有实际认知(actual knowledge)的网站和在线服务运营者;

3)面向第1)类运营者提供广告网络或插件等服务,从而也明知收集儿童个人信息的第三方服务提供者[11]。

FTC不要求面向一般受众的网站或服务提供者对其用户的年龄进行调查[12]因为,如果不对适用范围加以限制,会导致大量面向大众服务的网络运营者,在本不需要去收集用户年龄、监护人信息、监护人同意的情况下,超出业务的需要范围开展此类数据处理活动,增加实际执行难度,也无益于数据保护,滋生新的数据安全问题。正如对COPPA的批评意见:验证措施对隐私带来了更大风险,运营者因此而收集、处理着大量的儿童及其监护人的敏感信息。因此FTC也着眼于实际,通过谨慎设计适用范围,避免滋生此类问题。

(二)如何判断运营者对用户的年龄有「实际认知」?

网络服务直接面向儿童(以儿童为目标群体)有着较为客观的参考标准,例如是否具有以儿童用户为导向的内容、服务等(如儿童动画网站,儿童电话手表)等等。相比较,对于面向一般受众的在线服务,其对用户的年龄有「实际认知」这一适用标准仍有进一步澄清的空间

对此,FTC表示:如果运营者要求并接收用户的个人信息,使其能够判断用户的年龄,运营者即对此有实际认知。例如,运营者在其网站注册页面要求用户提供其年龄,用户反馈的结果是小于13周岁的,该运营者即具有COPPA定义的实际认知。又如:运营者接到了监护人的明确投诉,也可以证明运营者对特定用户有实际认知。今年2月,在FTC针对抖音国际版(TikTok,原称Musical.ly),依据COPPA作出的最大一笔罚金案件中,FTC的主要证据之一是该应用收到了大量来自父母的投诉,表明对其特定的儿童用户有明确认知[13]。

那么,如果用户在年龄问题上说谎,以便注册一般受众网站或参与运营者禁止儿童参与的网络服务时,该如何判断运营者的责任?对此,FTC再次强调了COPPA并不要求一般受众网站询问访问者的年龄。如果此类运营者选择以中性方式(比如客观问询用户的出生日期)筛选其用户的年龄,判断是否属于儿童,就取决于用户输入的出生信息,即使用户提供的年龄信息是不准确的。因此,在一些情况下,这可能意味着儿童能够在违反运营者服务条款情况下注册网站或服务,此时运营者并不承担相应责任。除非有其他证据表明,运营者能够确定用户是13岁以下的儿童。

因此,在实践中,对于一般受众网站,大部分会在隐私政策中明确要求:如果没有监护人的同意,未成年人不得创建个人账户。用户是未成年人的,应当请监护人仔细阅读隐私政策,并在征得监护人同意的前提下使用服务。这在FTC执法实践中被予以认可,也是全球互联网企业普遍采用的做法。例如:Google、Facebook、Twitter的隐私政策和用户协议都包含有此类条款。

(三)哪些情形有例外?

FTC在细则中详尽罗列了不需要获得可识别的监护人同意的例外情形,例如:为了取得监护人的同意,运营者可能需要收集儿童及其监护人的姓名,以及监护人的网上联系方式,通过该联系方式向监护人告知其收集儿童个人信息的目的、方式,以征求其同意。对于这种合理的数据收集,FTC认为运营者有其合法基础,前提是如果监护人在合理期间内没有做出同意的回复,运营者应当及时删除儿童及其监护人的个人数据。

类似的合理例外还有很多,例如:出于保护儿童安全的目的,出于响应儿童需求的目的(前提是符合一次联系原则,后续不再主动联系儿童);出于在线服务提供者内部运营管理的需要,对儿童网络识别信息(如IP地址)的处理等等,此类都可以豁免监护人同意要求。

同时,为了保证儿童参与网络活动的权利,COPPA还对「父母同意」原则设计了一些例外:

  • 即使没有父母同意,允许儿童通过电子邮件提问;

  • 当儿童从网上获得时事信息时,可以没有父母同意,只要父母被通知并有权取消这些信息;

  • 当儿童从事联邦贸易委员会认为必要的活动时。

这一制度经验在欧盟GDPR也有所借鉴,GDPR的背景引言(Recital38)也做出了类似的排除:在直接向儿童提供预防或咨询服务时,不必取得儿童监护人的同意。

(四)在适用COPPA后,应履行哪些合规义务?

首先,应发布符合COPPA规定的隐私政策

隐私政策必须清晰且全面描述13岁以下儿童信息是如何被收集及处理的。对于直接面向儿童的网络服务,应当在其网站首页链接隐私政策,如果网站或服务面向的是一般公众,但是有一个单独部分面向儿童,则应当在该网页的首页链接隐私政策。

其次,应告知监护人并获得同意

COPPA要求在收集儿童信息时应当向监护人告知,并获得监护人可识别的同意。什么才是可识别的父母同意,COPPA没有对此进行限定,仅要求运营者要采取合理努力,并结合了能够利用的技术手段,能够合理推断出作出同意的是孩子的父母。这种立法表述显然也被GDPR所参考效仿。

最后,监护人的其他持续性权利

在获取监护人的同意,收集处理儿童个人信息后,运营者应当保证监护人能够继续行使其合法权利,包括访问、删除儿童个人信息的权利。同时也应当采取合理措施保证信息安全。特别是出于安全考虑,如果运营者已删除了相关个人信息,从而并不能支持监护人行使访问权,这本身并不违法。

儿童个人信息保护,仍有许多细节性的实务问题

关于儿童个人信息的保护不止于法律层面的讨论,相反,充斥这一议题的,更多是实务话题。这也是为什么FTC就COPPA的合规落地发布了大量指南的主要原因,包括面向运营者的合规指南(其中还包括专门针对中小企业的合规指南),以及家长、学校的权利指南。除了细则指南外,FTC还发布了详尽的Q&A,通过问答清单来回应实践困惑。篇幅所限,我们仅截取问答清单中的典型问题,来说明儿童个人信息保护在实践落地时需要直面及回应的多样疑问。

Q1:如果孩子们在我的一般受众网站上的注册过程中撒谎, 我会负责吗?

A:COPPA并不要要求一般受众网站对注册用户进行甄别,但是一旦知道用户是儿童,就受到规制。

Q2:我是否可以阻止13岁以下儿童使用我的一般受众网站?

A:可以。如果您选择在一般受众网站或服务中阻止13岁以下的儿童, 您应该设计您的页面,页面设计的方式不鼓励孩子伪造他们的年龄来访问您的网站或服务。

Q3:如果我运营一般受众网站,用户可以建立自己的博客页和在线论坛,如果儿童用户发布了个人信息,但是此前并无可显示其年龄的信息,我是否违反COPPA?

A:这种情况COPPA并不规制。但是如果你收到了其他用户的举报,或通过其他方式了解到该用户为儿童,就应启动COPPA的合规程序。

Q4:使用信用卡或者政府签发的身份验证信息作为父母同意的方式,我是否还需要收集其他信息以验证作出同意的是父母?

A:不需要。这两种方式足够证明运营者履行了COPPA义务。

Q5:我是针对儿童的应用程序的开发者,我是否可以通过第三方,例如应用商店,来代表我获得父母同意呢?

A:可以的,只要你能确保其符合COPPA的要求。

Q6:如果我的儿童网站上有个「咨询作者」部分,儿童可以发送电子邮件咨询问题,我是否需要提供通知并征得父母的同意?

A:如果你只是回答儿童的问题然后删除儿童的邮件地址,那么你就符合「一次联系」例外情形,并不需要获得父母同意。

Q7: 教育机构可否向网站或者应用收集和披露儿童数据做出同意?

A:可以。很多学校与第三方网站运营者签署合同,为儿童利益提供在线服务。运营者必须向学校做出告知,并取得学校的同意。

Q8:COPPA是否禁止成人,例如父母,祖父母,教师或者教练上传包括儿童照片在内的个人信息?

A: COPPA仅仅适用于从儿童处收集的信息。它并不适用于从成人处收集的包含有儿童个人信息的情形。

Q9:我运营了一个面向儿童的APP。儿童用户可以上传照片,并采取各种方式装饰照片,但是APP不会将包括照片在内的任何信息从儿童的设备上传输到其他地方。这种情形属于COPPA所界定的信息收集么?

A:不属于。因为你的APP所交互的信息存储在用户的终端上,从未传输,这种情况性不属于「收集」个人信息。

上述问答清单,对于指导企业实现合规,推动儿童个人信息保护的实际落地发挥了积极作用。此外,FTC还通过市场化的手段,推进发展COPPA安全港项目。通过FTC安全港认可的行业组织,可以保证组织内部的成员符合COPPA要求,这使得儿童个人信息保护能够通过行业自律方式得到广泛实施[14],截止目前,FTC批准的机构有七家,这些公司或行业机构也可以作为第三方向市场上的在线服务企业提供儿童个人信息保护咨询和解决方案。

结语:儿童个人信息保护,仍应在生活场景中探寻方案

尊重和保障儿童权利,是保护儿童个人信息的本源。映射在当下的数字生活中,它不应当仅仅是权利宣誓的乌托邦,而应真正走入生活,走入家庭,走入儿童。它要求我们的制度设计应回归实践,实事求是,通过设计真正有效合理的制度规范,来帮助监护人在儿童信息的收集处理中发挥控制力;同时,这种制度规范的实施成本又不至于太过高昂,与社会生活相脱节,而沦为束之高阁的无用条框,甚至带来更多负面问题。

本文所展示的美国立法与监管机构在这一领域的制度经验,正是在权利与实践这两个维度的务实探索,尽管并不完美,但其探索模式是值得借鉴的——即应回归到社会生活的场景,特别是当下的数字生活场景,合理分配各方义务,实现「社会——平台——家庭——学校——儿童自身」多方一体的保护体系,并使其得到真正有效运转。

儿童个人信息保护是儿童网络保护的组成部分,与最大程度的保护儿童免受包括网络有害内容、网络沉迷、网络欺凌等负面影响一样,需要在实践中探寻多种解决方案,且彼此的保护体系应相互衔接。比如,在有害内容预防方面,从内容过滤软件,到应用、设备服务商提供的儿童模式,都可以成为儿童个人信息保护的有效落地方式;现有的预防网络沉迷制度,包括网络使用时长控制,也远比儿童个人信息保护制度的监护人同意规则干预程度更加深入,平台向监护人提供的监护便利也更加全面。这些,都应当成为儿童个人信息保护中需要考虑的现实基础。

我们期待,各方参与共同探讨,终究会形成更加务实和科学的优化方案,实现儿童网络权利保护的初心,为儿童提供一个更加安全、可靠、健康的数字成长环境。

参考文献:

[1]为行文简洁,本文统一表述为「监护人」

[2]1989年《联合国儿童权利公约》,https://www.un.org/chinese/children/issue/crc.shtml

[3]陆诗雨,《浅论儿童数字权利》,腾讯研究院微信公众号,2019年8月 14日刊载

[4]EU General Data Protection Regulation,Article 8 Conditionsapplicable to child"s consent in relation to information society servicesTerritorial scope

[5]王融,《欧盟数据保护通用条例的真实面貌:十个误解与争议》,腾讯研究院微信公号,2018年3月

[6]Ingrida Milkaite and Eva Lievens, The GDPR child"s age of consentfor data processing across the EU – one year later (July 2019),由于目前各成员国仍处于推进GDPR的实施进程中,对于儿童同意的年龄标准仍在动态变化中。

[7]COPPA rules制定于2000年,并于2013年修订更新。

https://www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-rule

[8]http://www.business.ftc.gov/documents/0493-Complying-with-COPPA-Frequently-Asked-Questions

[9]https://www.ftc.gov/tips-advice/business-center/guidance/childrens-online-privacy-protection-rule-six-step-compliance

[10]https://www.ftc.gov/safe-harbor-program

[11]这里需进一步澄清:尽管COPPA明确了商业性网站是其规制的对象,但依据联邦法律要求,COPPA同样也适用美国政府部门收集处理儿童个人信息的活动。

[12]https://www.ftc.gov/tips-advice/business-center/privacy-and-security/children"s-privacy

[13]https://www.ftc.gov/enforcement/cases-proceedings/172-3004/musically-inc

[14]包括:Aristotle International Inc;Children’s Advertising Review Unit (CARU);Entertainment Software Rating Board (ESRB),IKeepSafe;kidSAFE;Privacy Vaults Online, Inc. (d/b/a PRIVO),TRUSTe。

声明:本文来自腾讯研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。