共同打造儿童数字未来：欧美儿童数据保护对我国的借鉴

数字网络增加了儿童的隐私风险，儿童往往难以应对，因而需要对儿童进行特殊保护。同时也要防止保护力度过度从而损害儿童的其他权利。本文试图在解读欧美国家对儿童数据保护相关法律政策的基础上，深入探究儿童数据的保护路径，为儿童提供切实的隐私保护，为立法进程以及企业治理提供更为明确的参考方向。

引言

儿童是数字时代的原住民，以更年轻的姿态频繁活跃在数字世界中。早在 2015 年，18 岁以下的青少年群体就已占据了全球互联网用户的 三 分 之 一。据 报 告 显 示， 自 2016 年 起，大约有四分之一的 8~11 岁年龄段群体以及四分之三的 12~15 岁年龄段群体都有社交媒体资料。12~15 岁年龄段群体中，十分之一的青少年使 用 诸 如 Facebook Live，Snapchat Live Stories 或Instagram Live 等在线直播服务分享自己的视频。线上交流为儿童提供了娱乐、学习、自我表达、社会交往的机会，但同时也披露了越来越多的个人信息。

据报告显示，11 岁以下的儿童对隐私设置的了解较少，11~16 岁年龄段的儿童中，只有26% 的儿童表示他们采取了网上隐私保护措施。应对在线风险时（例如滥用个人信息、身份盗窃、损害名誉、歧视或不正当商业利用等风险），儿童往往显得较为被动。当遇到在线风险时，三分之一的意大利儿童会选择关闭窗口、应用程序，或选择忽视。只有 10% 的儿童会更改隐私设置，2% 的儿童会通过“报告滥用”按钮在线报告问题，25% 的儿童没有向任何人讲述在线遇到的困扰问题。

儿童受认知能力等局限性因素影响，比成年人更难以应对网络风险，因而需要对其特殊保护。国内儿童数据保护现状令人担忧，《未成年人网络保护条例（送审稿）》试图对这一社会问题进行法律规制，社会对这方面的关注度也在不断升温。本文试图在解读欧美国家对儿童数据保护法律规定的基础上，深入探究儿童数据的保护路径，为数字时代的儿童提供切实的隐私保护，为立法进程以及企业治理提供更为明确的参考方向。

欧美在保护儿童数据方面的立法情况

欧盟 GDPR 对儿童数据的保护

欧盟原先的隐私保护设计是针对每一个人，并没有区分成年人与儿童。2012 年 1 月，欧盟委员会发布《一般数据保护条例》(General Data Protection Regulation，2012/0011/COD，GDPR)对数据保护框架进行全面改革，取代不包括任何有关儿童保护要求的《欧盟数据保护指令》（Directive 95/46/EC），将于 2018 年 5 月 25 日正式生效。

经历长时间的争论，GDPR 明确承认儿童需要比成年人更多的保护，因为儿童可能不太了解数字网络中的风险。为了提供这种特殊保护，GDPR 引入几项举措。

规定“数字年龄”（Digital Age）

“数字年龄”指儿童到达一定年龄时才具备对个人数据做出同意授权他人处理的适格条件。GDPR 规定，在直接向儿童提供信息社会服务中，收集 16 岁以下儿童个人数据，必须征得家长责任持有人的同意。成员国可以制定不低于 13 岁的年龄限制。欧盟为成员国提供了较为灵活的数字年龄限定区间。

提供适宜儿童理解的信息（Child Appropriate）

向公众或数据主体提供的任何信息都应使用清晰明了、简明易懂的语言，并在适当情况下进行可视化操作。考虑到儿童需要特定的保护，任何关于儿童个人数据的处理都应该采用清晰明了的语言，便于儿童理解。

引入儿童被遗忘权（Right to be Forgotten）

数据主体有权获得关于其个人数据的纠正权和“被遗忘权”。尤其适用于，当儿童在未充分了解数据使用涉及的风险时做出同意，事后想要移除此类个人数据（尤其是互联网数据）的情形。即使已经不再是儿童，数据主体仍有权要求纠正或删除其儿童时期数据。

禁止自动化处理儿童数据（Automated Individual Decision-making）

自动化处理指一种仅通过自动过程剖析数据主体的个人信息并得出对数据主体产生重要影响决定的方式，特别是针对与自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可信度、习性、位置或行踪相关的分析和预测。数据主体有权利不受一个仅仅依靠包括分析在内的基于自动化处理的决定的限制，这会产生关于他 / 她或仅仅影响他 / 她的法律后果。GDPR 明文禁止对儿童采用自动化处理技术。

不足之处在于除了规定“数字年龄”之外，GDPR 并没有具体说明应该如何征求和获得父母的同意。因而在实践操作中面临较大困境。

美国 COPPA 对儿童数据的保护

自 1998 年以来，美国《儿童在线隐私保护法案》（Children's Online Privacy Protection Act，COPPA）为针对儿童的在线服务运营商提供了详细的规则。2011 年 9 月，美国联邦贸易委员会（Federal Trade Committee，FTC）对 COPPA 提出修改意见，新修订的 COPPA 于 2013 年 7 月正式生效。对于未遵守 COPPA 及相关规则的运营商，FTC 将采取罚款等措施进行处理。此外，FTC 还出台了《儿童在线隐私保护规则：不仅适用于儿童网站》、《六步合规计划》、《常见问题解答》、《消费者指南》等指导性文件。

COPPA 为保护儿童数据提供了有效和可行的机制，是提高在线儿童隐私保护水平的先驱立法，主要体现在以下几个方面：

明确“针对儿童的网站” 的标准定义（Websites Directed to Children）

COPPA 适用的对象包括儿童指向型的网站或在线服务，以及混合型网站或在线服务（面向 1.2.1 普通大众，但存在儿童用户）。混合型网站采用“实际知道”测试法，即在实际知道该用户年龄未满足相关要求时，会受到 COPPA的规制。这意味着网站或服务商将不用为儿童欺骗的行为“买单”。

鼓励家长同意方式的创新机制

FTC 明确规定，获得家长同意的方法清单是非穷尽的，鼓励网站提出新的更有效的解决方案。经修订的 COPPA 规则中载有一项关于“自愿家长同意方法”的规定，允许组织机构提交新同意方法的批准请求。这项规定因其成本效益广受好评。

儿童数字年龄限制在 13 岁

在修订意见中，FTC 考虑扩大儿童定义，将 13 至 17 岁的青少年也纳入到保护体系中。这将意味着父母同意的要求也会覆盖到针对青少年和成年的网站，带来较大的成本负担。提升的成本门槛将阻止小型、初创运营商进入竞争市场，从而对竞争产生负面影响。因而，此项意见未被采纳。

为自我管理提供机制（Self-regulation）

COPPA 框架通过安全港计划为行业自律制定了激励措施。经批准的安全港按照 FTC 提出的指导方针提供遵守 COPPA 的要求，在某些情况下，这些要求甚至高于 COPPA。自我调节具有双重优势。一方面，减轻了监管部门的负担，通过与第三方合作来监督该行业的合规性。另一方面，通过加入安全港计划，网站运营商可以获得符合 COPPA 要求的认证。此外，对于违法情况，安全港可能比 FTC 的反应速度更快，并且还可以比成文法更快地适应新技术的变化，因为成文法通常需要通过漫长的法规程序进行修改。

GDPR 与 COPPA 规则对我国的儿童数据保护工作具有重大的借鉴意义。下文将从实践操作层面，进一步探究儿童数据保护的重点领域。

儿童同意数字年龄及验证方式值

限制年龄

联合国儿童权利公约第 5 条承认，儿童的能力处于不断发展的过程中，而且随着他们能力的提升，对其有影响的决定应当相应的减少。在英国关于儿童同意接受治疗的 Gillick案中，法院认为，法律不应对儿童年龄作出僵化限制，相反，应当充分考虑以及反映儿童成长以及成熟程度的特征。儿童在各个年龄段的能力也会因环境不同而产生差异。因此儿童需要与场景及决策领域相适应的不同程度的保护。此外，儿童在数字时代享有多项权利，例如参与权、言论自由权、有权在网络环境中获取适当的信息等。联合国儿童权利委员会也强调了向残疾儿童提供数字技术的重要性。互联网接入场景下，需要平衡好儿童上述的权利与隐私保护、防止数据滥用之间的关系。不宜施加过度保护而限制、甚至是剥夺儿童的其他权利。

因而，儿童权利联盟（The Children’s Rights Alliance）建议，只要儿童、其父母或监护人和教育者获得足够的教育支持以便做出处理个人数据的知情决定，儿童同意的数字年龄就应当设定在尽可能低的年龄段。英国与爱尔兰都表示将采纳 13 岁的年龄限制。

2017 年 1 月 6 日，教育科技文化卫生法制司发布《未成年人网络保护条例（送审稿）》并未规定儿童数字年龄。《网络安全法》也是回避了儿童与青少年的区分问题。那么我国是否可以推知拟对儿童和青少年适用统一标准，即年满 18 周岁才能作出有效的同意表示？也不尽然如此，因为国家标准对儿童数字年龄作出了正面回应。全国信息安全标准化技术委员会（SAC/TC260）发布了《信息安全技术 个人信息安全规范》（2017 年 12 月 29 日正式发布，2018 年 5 月 1 日实施），其中第 5.5（c）条规定，收集年满 14 周岁的未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14 周岁的，应征得其监护人的明示同意。此项国家标准已然注意到未成年人不同年龄段的特征，并根据其特征制定相应的隐私保护设计，将 14 周岁作为未成年人群体中的分水岭。这也是国际社会所认可的保护理念——处理儿童相关事务，要以儿童利益最大化为首要考虑因素，切勿通过“一刀切”、“快刀斩乱麻”的方式简单处理儿童问题。然而，如果能将此项理念以法律的形式统一明确下来，那么无论对于儿童权益还是对于行业环境而言，都有莫大的益处。期待未来的立法工作能够以未成年人为中心，考虑到不同年龄段未成年人的心理特征与认知能力以及中国社会的实际情况，将未成年人同意的数字年龄设定在尽可能低的年龄段，在保护未成年人的同时又体现了对未成年人的意志与人格的尊重。

儿童年龄的验证方式

就目前大量存在的混合性服务或产品而言，儿童能够通过谎报年龄的方式，避开监护人的控制。儿童年龄的真实性已经成为一个不容忽视的问题。第 29 条数据保护工作组（The Article 29 Working Party，由所有欧盟数据保护机构的代表组成的主管实体）十分关注这一问题，英国、爱尔兰、法国也在搜集关于儿童真实年龄认证的方法。以下是目前存在的几种验证儿童真实年龄的方式：

（1） 自我验证机制（Self-verification Mechanism），即以用户本人输入的信息为依据授予用户对网站的访问权限。这是最简单且适用最广泛的方式。

（2）评审机制（Peer-review），即服务商根据用户的个人资料以及网络上或现实世界中其他地方收集的数据授予用户对网站的访问权限。Facebook 除了适用自我验证机制外，也采用了评审机制。但这项机制可以通过创建多个配置文件进行规避。

（3）自动化分析机制（Automatic Analysis），即基于对用户档案的语义的自动分析来推断用户的年龄段授予用户对网站的访问权限。这项机制通常难以规避，但实施起来很复杂，由于技术的不成熟，使得它们在许多情况下容易出错。除此之外，使用这项机制也只能获得用户的年龄范围，而不是他或她的确切年龄。

（4） 离 线 身 份 验 证 机 制（Offline Identity Verification），通常是通过直接联系未成年人的父母或导师来验证年龄，并最终获得家长同意访问网站或服务。或通过使用例如 eID 卡等辅助工具进行身份验证以及使用生物识别数据来验证年龄。这项机制虽然可靠、有效，但是操作成本太高。生物识别数据，例如指纹或虹膜等，会引发道德和隐私问题，并不受支持。

实践中最为常见的验证儿童真实年龄方式是自我验证机制与评审机制。采用混合模式有助于在一定程度弥补单一机制的不足，也是目前通常可行的方式。

获得家长同意及验证方式

如何获取家长的同意

COPPA§312.5 规定，在收集、使用或披露儿童个人信息之前，经营者有义务提供通知并获得可核实的父母同意。运营商应当对父母的身份以及同意的有效性进行核实。

根据 COPPA 规则，网站及服务运营商需要履行两项责任。首先，运营商必须直接通知家长收集儿童数据的意图；其次，必须在网站发布针对儿童的隐私政策，并使其清晰可见且易于访问。直接通知应当包含以下信息：①运营商为了收集儿童数据需要家长的同意；②收集的儿童数据类型、范围以及使用目的；③提供隐私政策的链接；④获取家长同意的方式；⑤如果在合理时间内未获同意，将删除父母在线信息记录。

家长同意的验证方式

GDPR 第 8（2）条规定，考虑到现有技术，控制者应当做出合理的努力，去核实在此种情况下，家长责任主体的同意或授权。原提案采用的是“可核实的同意”（Verifiable），最终文本采用了不同的措辞，指出运营商应当做出核实家长同意的努力（Verify）。深思这种变化下的影响，可以探得立法者的意图在于减小对运营商的压力：

（1）由持续性核实向一次性核实的转变

可核实性同意要求数据控制者无论在何时都要确保可以通过技术手段核实同意。做出核实努力意味着这是一次性、单一的验证行为，数据控制者仅需要保证在收集儿童数据之前就进行过父母同意验证的努力即可。

（2）无法核实情况下，由不能收集数据到可以收集数据的转变

根据核实性同意要求，如果无法核实，数据控制者就只能放弃该同意。但是核实努力的要求不同，在无法核实的情况下，只要数据控制者付出过努力，便仍然可以依靠未经验证的同意来处理儿童数据。

在具体验证方式方面，GDPR 并未给出明确的建议，但是 COPPA 列举了几种获取家长同意的可行方式，分别是：

（1）邮寄、传真、电子扫描同意书

由家长签署同意书并通过邮寄、传真或电子扫描返回给运营商。邮寄与传真方式由于代价高昂且效率低下而深受诟病。根据测试估计表明，平均每个儿童需要花费大约 3 美元才能获得父母的同意。相比而言，业界更支持节省成本与实践的电子扫描方式。

（2）信用卡及其他在线支付系统

要求家长提供在进行货币交易时使用的信用卡、借记卡或其他需要用户名和密码或其他身份验证的在线支付系统。2011 年，FTC 要求将使用信用卡验证方式限制于实际货币交易的情形。eBay 建议开发采用类似于 PayPal 的支付系统。因为 18 岁以下的人无法申请个人银行账户，由家长作为主要账户持有者为子女设置子账户，从而控制或限制子女的在线活动。

（3）政府颁发的身份证件

通过检查政府颁发的身份证件（如驾驶证号码或社会安全号码的最后四位数字）来对照这些信息的数据库来验证父母的身份。参与者必须在完成验证后立即从其记录中删除家长的身份。这是最有争议的方式。一方面，其因可靠性而为 FTC 所承认；另一方面，收集家长敏感信息将会带来高隐私风险。而且大多数家长不会仅仅为了允许儿童玩一款在线游戏便提供此类的敏感信息。

（4）发送电子邮件、进行视频验证等方式

当运营商仅收集儿童个人信息供内部使用时，可以通过向家长发送电子邮件的方式获得其同意。当运营商希望收集更多信息或与第三方分享时，需要采取额外措施，例如签署同意书或视频会议等。这并不是最有效的方式，但在行业中有广泛的适用效应。

（5）“自愿家长同意方法”

FTC 允许网站提起“自愿家长同意方法”的批准请求，利害关系方可以向委员会书面申请同意目前未列举的验证方式。修改的 COPPA 规则通过后，FTC 收到多起验证同意方法的审批请求。2013 年 11 月，FTC 收到“社交关系图”验证机制（Socialgraph Verification Mechanism）的请求，即通过询问家长在社交网站上的“朋友”来验证父母以及其与子女之间的关系。但由于当时还没有足够的研究或市场测试证明该方法的有效性，该方案未能通过。 2013 年 12 月，Imperium，Inc.，向 FTC 提出请求基于认知能力的身份识别机制（Knowledge-based Identification），即通过一系列具有挑战性的问题来验证用户身份的方法。特定人之外的人难以回答这些问题，并且通过“翻看钱包”也无法找到答案。这种认证方法多年来一直为金融机构采用，目前已得到 FTC的认可。2015 年 1 月，FTC 拒绝了 AgeCheq 提出的设备签名认证方式（Device-signed Parental Consent），即通过要求输入短信验证信息进行身份验证。因为提供同意的人很可能是下载了应用程序设备的儿童。另外，FTC 还曾拒绝过两种验证方式，分别是电子签名以及多重授权平台（Multiple-consent Platform）。电子签名因具有更高的伪造可能性被排除在验证方式之外。多重授权平台不符合家长同意明确性中的具体要求，即用于不同目的的多重处理行为必须征得多个同意。

使用儿童数据的相关要求

儿童数据的收集问题固然重要，但也不能只专注于收集环节，使用环节也需要重点关注。恰恰是在收到同意或绕过同意后的使用环节上，儿童的隐私数据无法得到有效的保护。

运营者在使用儿童数据时，需要严格遵循法律规范，承担更多的安全保障责任。在内部运营中，应当遵循限制使用原则并提供特殊保护，不得利用儿童数据从事损害儿童权益的行为。例如禁止儿童数据适用自动化决策。DGPR第 22（1）条（Recital 38、71）规定，儿童不得成为自动化决策的适用对象，包括会对其造成法律上或相类似影响的个性化分析。个性化分析指，通过对个人数据的处理，分析自然人个体在特定方面的特征，特别是对其工作表现、经济实力、健康程度、个人喜好、行动痕迹、地址等数据进行分析和预测。通过个性化分析，制定推送儿童其感兴趣的策略。COPPA 规定，运营商从事市场营销，应当遵循经批准的安全港组织的相关规定。TRUSTe 是经批准的安全港组织之一。TRUSTe《儿童隐私认证标准》中规定，涉及在线广告服务行为的参与者应当在隐私声明中公示其对儿童数据的使用情况。运营商应提供说明或链接，便于当事人或其家长取消对个人信息的同意授权。运营商必须在收集儿童个人信息之前取得其家长的同意。运营商必须向家长提供审查所收集的儿童个人信息、撤回同意、要求删除、要求不再使用儿童个人信息、从第三方处撤回已共享的儿童个人信息的机制。

在与第三方合作中，运营商应当遵循公开透明原则，提供所有涉及儿童数据传输、共享的第三方运营商信息。修订后的 COPPA 规则规定如果有多个运营商通过网站收集信息（包括通过插件），可以列出一名运营商的姓名、地址、电话号码和电子邮件地址，该运营商将回答父母关于列在本网站的通知中的所有运营商的隐私政策和使用儿童信息。如果希望简化在线隐私政策，可以在隐私政策中设置一个清晰明显的链接，连接到完整的运营商列表，而不是在隐私政策中列出每个运营商的信息。但是，必须确保隐私政策能让父母轻松访问此操作列表。此外，运营商还需对合作第三方进行数据安全的内部评估。2017 年，TRUSTe 根据 COPPA 修改其安全港计划，增加了一项新的要求，即运营商每年对其第三方在其网站或在线服务上收集儿童的个人信息进行内部评估。2017 年 7 月31 日，FCT 批准了 TRUSTe 的修改计划。根据新安全港计划，与第三方服务合作时，运营者应当确认以下信息：

（1）是否对第三方主体及其服务产品进行安全性评估；

（2）确定第三方主体收集或保留儿童数据的内容范围以及相应的处理程序；

（3）确定第三方主体有权再次授权的儿童数据的内容范围以及相应的处理程序；

（4）确定第三方主体保障儿童数据安全性和完整性的方式；

（5）保障父母有权要求第三方主体删除其儿童个人数据的权利；

（6）通知第三方主体收集儿童个人数据时应当征求父母的同意；

（7）通知第三方删除、规定保留期限，以及运营方应当设置合理技术手段和实施成本持续评估第三方的相关服务。

只是一味提高儿童数字同意的年龄，并不能充分保护儿童。唯有将注意力转移到儿童数据使用问题上，限制儿童数据投放于市场营销或其他商业目的，有效监督数据合作与共享的数据安全问题，才是保护儿童数据的关键点。

媒介素质教育与家长支持

诚然，仅靠家长同意机制是无法充分保护儿童数据免于过度曝光以及不正当滥用的，这项机制本身具有不可忽视的局限性。从 COPPA在美国的实践效果来看，实际上遇到许多难题，并非十分成功。一方面，家长同意机制为家长带来过度的负担，置身于数字时代的浪潮中，如果拒绝同意，反而可能与时代变化脱节。而许多家长表示自己缺乏对于隐私设置、密码控制等机制的理解能力，很被动。

最能体现这一点的是儿童网络媒体使用最低年龄要求未引起家长重视。父母并非总能及时的意识到儿童使用互联网产品或服务存在的最低年龄要求。据报告显示，5~15 岁年龄段群体中，只有 38% 的家长真正意识到儿童创建脸谱档案信息的最低年龄要求（其他产品的家长 意识度更低：Instagram（21 ％），Snapchat（15％），WhatsApp（7％））。大约有 22% 的家长不知道或不确定Facebook的最低年龄要求，而 WhatsApp，在这方面甚至达到了 72% 的程度，见图 1。因而，需要为家长提供更好的媒介素质教育，支持家长成为数字环境下保护儿童的主动者。

对于儿童而言，限制其访问数字世界将不利于塑造其数字弹性能力（Digital Resilience），即快速适应数字变化的接受能力以及反映能力。事实上，儿童在探索网络世界的同时，如果能有家长围绕身旁给予他们支持、理解与帮助，那将会是最有效的保护途径。强制性压制很大程度上会引起儿童的不适与反弹，通过说谎或隐藏网络活动的方式表达他们的不满。更为适宜的方式应当是引导，而不是控制。

结语

儿童在数字世界中会遇到机遇和隐私数据泄露的风险。保护儿童数据安全需要内外同时治理。从外部环境方面看，数据控制者在儿童数据的收集和使用环节应当对儿童进行特殊保护。收集、使用儿童数据之前，必须获得家长同意，并作出合理的努力去核实同意的有效性。依法使用儿童数据，遵循限制使用原则以及公开透明原则，不得损害儿童利益。对于内部环境而言，家长需要进一步提高自身媒介素养，更多关注儿童的网络行为，为儿童提供沟通、引导、帮助。保护儿童数据需要社会各界，尤其是数据控制者与家长的共同努力，共同打造利于儿童健康发展的数字未来。

作者 >>>

黄晓林， 腾讯公司个人数据合规总监，常年从事隐私法、个人数据法等方向的研究和实务工作。

张亚男， 腾讯公司法务顾问，常年从事隐私法、个人数据法和知识产权法方向的研究和实务工作。

吴以源， 中国政法大学硕士，从事隐私法、个人数据法方向的研究和实务工作。

（本文选自《信息安全与通信保密》2018年第八期）

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。