美国欲修订《儿童在线隐私保护法》，儿童个人信息保护路径应如何完善？

文|杨婕 中国信通院互联网法律研究中心高级研究员

一、儿童个人信息保护面临的挑战

现代儿童生长在互联网时代，属于“互联网原住民”，互联网已经与儿童的生活、学习等密不可分。然而，心智尚未成熟的儿童缺乏自我保护意识和能力，其在享受数字化红利的同时，也面临着更多风险。儿童更容易在网络信息的驱使下影响家庭、朋友和自身的消费决策，因此儿童的个人信息已被网络企业平台视为重要的商业武器，被大量收集、存储和使用，如今儿童个人信息的网络保护形势较为严峻。特别是，目前针对儿童个人信息保护问题较多原则性规定，且可操作性不强，难以应对复杂多变的社会发展需求。对于身份识别、父母“同意疲劳”、儿童用户画像与营销广告等亟待解决的难点问题，也有赖于制度回应。需要在确保儿童通过互联网学习知识、开阔眼界的同时，保障儿童在网络空间的个人信息合法权益不受侵害。

二、国际对于儿童个人信息保护的经验之举

儿童个人信息保护已经成为全球共同关注的话题，目前世界各国都在从立法、执法等方面加强儿童个人信息保护工作。一方面，从立法来看，美国、欧盟在内的多数国家或地区倾向于采取相较一般个人信息保护更为严格的方式。以美国《儿童在线隐私保护法》（COPPA）以及欧盟《通用数据保护条例》（GDPR）中所体现的一些制度经验为例。一是征得同意，在监护人同意方面，COPPA提出要获得可验证的父母同意，即必须采取合理方法、可用技术，以确保提供同意的人是孩子的父母。GDPR也提出，企业应当尽合理努力，采取可行的技术，核实儿童的同意是监护人作出或授权的。二是身份识别，对儿童及监护人身份的识别是保护儿童个人信息的前提，也是一直以来的治理难题。美欧虽然未明确网络实名制的要求，但通过事后处罚倒逼企业自身采取手段履行合规义务。此外，两部立法中也详细规定了儿童所享有的个人权益以及企业应承担的数据安全义务等内容。另一方面，从执法来看，国外的数据保护监管机构不断加强执法力度。以美国为例，自COPPA实施以来，如今已有数十起的处罚案例，其中不乏一些高额罚单。例如，TikTok因违反COPPA法而被美国联邦贸易委员会（FTC）处以570万美元罚款；视频分享网站YouTube也因非法收集和分享儿童个人信息被FTC处以1.7亿美元的罚款。

三、美国为何十年来再度提出修订《儿童在线隐私保护法》

（一）背景情况

美国较早就意识到对未成年人上网安全的保护，通过立法对儿童网络活动加以保护，1998年就出台了专门的儿童个人信息保护立法-《儿童在线隐私保护法》（COPPA），针对网络运营者收集和使用13岁以下儿童个人信息提供详细的指导说明。2011年9月，美国联邦贸易委员会（FTC）对COPPA提出修订意见，经过两年咨询讨论，修订案于2013年7月1日生效。2019年7月，FTC启动了对COPPA的最新审查，以确保该法能够满足活跃的市场技术变化。据统计，FTC共收到了超过17．5万份的公众建议，建议的主要内容包括：调整年龄限制，采取灵活的年龄设置；增加透明度审查，机构需采取更加开放、便于外部审查的算法设计；注意教育技术带来的发展变化，学校可以代为父母做出授权等。

2023年12月22日，FTC再度发布公告，提出欲修订COPPA，对儿童个人信息保护规则提出新的要求，进一步限制企业利用儿童个人信息获利的能力，让企业而非家长承担确保儿童数字体验安全的主要责任。

（二）拟修订内容

一是单独选择加入定向广告：在现有的同意要求基础上，COPPA规制的网站和在线服务运营商，被要求在获得单独的可验证父母同意后，才可以向第三方（包括第三方广告商）提供儿童个人信息，除非提供儿童个人信息是网站或在线服务不可或缺的一部分。

二是进一步明确最小必要要求：禁止企业收集超出儿童参与在线游戏和竞赛“合理必要”范围的个人信息。

三是限制对企业内部运营例外规则的适用：COPPA允许企业将收集的儿童持久性标识符用于网站或在线服务的内部运营，即使未获得父母的可验证同意。FTC拟对例外规则进行限制，要求企业适用例外规则时需公开发布通知，并声明内部运营的具体范围，以及不会将儿童持久性标识符用来识别特定主体。

四是不得诱导儿童停留在线：企业不得利用已收集的个人信息向儿童发送通知，促使儿童长时间使用其服务。

五是禁止教育技术公司将儿童个人信息用于商业用途，并要求采取多种手段保障儿童个人信息安全。

六是强化对安全港计划的问责：拟议规则将强化COPPA安全港计划的透明度和问责性，要求公开计划的参与成员，并定期向FTC披露更多的计划内容。

七是加强数据安全要求：要求运营商制定并落实儿童个人信息安全计划，并对应儿童个人信息敏感程度的不同，设置差异化的保障措施。

八是限制数据留存：要求企业制定并公开儿童个人信息留存规则，不得长时间留存儿童个人信息。

此外，FTC还提出了对COPPA中相关概念进行修改，如扩大“个人信息”的范围，涵盖生物识别标识符等，并提出在确定网站或在线服务是否面向儿童时，会考虑市场营销方案、对消费者或第三方的陈述、用户或第三方的认知，以及访问类似网站或服务的用户年龄等因素。

四、展望

真正实现儿童个人信息保护是多方参与、齐抓共管的过程，既依赖于法律规范、行政监管，也依赖于行业自律、家庭监护、学校引导、技术保障相结合等综合管理体制，只有各个主体共同发挥智慧，儿童个人信息保护才能达到最大、最好的社会效果。

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。