合规视角：从抖音被罚案审视未成年人个人信息保护

01 前言

据TechCrunch近日报道，美国联邦贸易委员会（FTC）发布了一项重要裁决，抖音国际版短视频应用TikTok因违反《美国在线儿童隐私保护法案》（Children's Online Privacy Protection Act，简称COPPA），将被处以570万美元罚款，并将影响该应用在13岁以下儿童中的使用方式。以罚款结案是FTC和TikTok就非法收集儿童数据的指控达成和解的结果，报道称这是因违反美国儿童隐私法而被处以的最高罚款纪录。

报道中进一步描述了TikTok遭到处罚的原因。FTC称，TikTok要求用户提供电子邮件地址、电话号码、用户名、姓名、个人简介和头像等资料，该应用还允许用户通过评论视频和发送直接信息与他人互动。此外，用户帐号默认是公开的，这意味着孩子的个人资料、用户名、照片和视频可以被其他用户看到。FTC主席乔·西蒙斯（Joe Simons）在周三的新闻发布会上说:“TikTok知道很多孩子在使用抖音国际版，但他们在收集13岁以下用户的姓名、电子邮件地址和其他个人信息之前，却未征得家长同意。这一创纪录的处罚应该提醒所有针对儿童的在线服务和网站，我们非常重视《美国在线儿童隐私保护法案》的执行，我们不会容忍公然无视法律的行为。”

可见，TikTok遭到FTC处罚的原因是非法收集和处理了COPPA规定的未满13岁儿童的个人信息。根据该报道，抖音目前已经按照FTC和COPPA的要求对其国际版产品TikTok进行了合规整改，尽管如此，此消息仍在国内引起轩然大波，这种错愕的反应也暴露了国内对未成年人个人信息保护的普遍漠视，同时也暴露了制度层面的约束空白。

02 我国对未成年人个人信息保护的相关规定

法律法规层面

《网络安全法》将个人信息界定为“能够识别自然人个人信息的各种信息”。“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将公民个人信息细化为：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、证件信息（含身份证、社保帐号、驾驶执照、护照等）、通信通讯联系方式、住址、地址、账号密码、财产状况、行踪轨迹等。近年来，非法获取包括未成年人信息在内的公民个人信息，已经演化为一个庞大的黑灰产业链，这一产业链囊括了数据服务商、数据清洗商、技术供应商甚至违法犯罪实施者。

与成年人相比，未成年人心智发育尚不完全，对自己的行为性质和行为后果均缺乏必要的判断和识别能力，个人信息关系到其切实利益和健康成长，因此相关保护工作尤为重要，需要予以特别保护。概言之，我国关于未成年人个人信息保护的有关规定分散在各种法律文件中，以《民法总则》、《网络安全法》和《未成年人保护法》为主。但是，无论是《网络安全法》或者《未成年人保护法》都没有对未成年人的个人信息作出清晰的定义以及合理的安排，法律法规之间也缺乏整合与协调。在实体法律法规方面，《刑法》第253条之一的侵犯公民个人信息罪以及《治安管理处罚法》、“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》均未专门就未成年人的个人信息保护作出专门规定。在程序法律法规方面，《公安机关办理未成年人违法犯罪案件的规定》第5条和《人民检察院办理未成年人刑事案件的规定》第5条均要求办理未成年人刑事案件过程中，必须保护涉案未成年人的隐私，尊重其人格尊严，不得公开或者传播涉案未成年人的姓名、住所、照片、图像及可能推断出该未成年人的资料。

- 对未成年人犯罪案件的公开，《未成年人保护法》第58条和《预防未成年人犯罪法》第45条第3款进行了类似的限制，对未成年人刑事案件的新闻报道、影视节目、公开出版物、网络等不得披露该未成年人的资料。最高人民法院《关于审理未成年人刑事案件的若干规定》第13条要求在未成年人刑事案件判决前，审判人员不得向外界披露该未成年人的个人资料，未成年人刑事案件的诉讼案卷材料，也不得随意公开和传播。

除上述立法外，仅有《未成年人网络保护条例（草案征求意见稿）》和《个人信息和重要数据出境安全评估办法（征求意见稿）》两份处于征求意见阶段的立法文件对保护未成年人信息提出了比较明确的要求。其中《未成年人网络保护条例（草案征求意见稿）》第16条规定通过网络收集、使用未成年人个人信息的，应当在醒目位置标注警示标识，注明收集信息的来源、内容和用途，并征得未成年人或其监护人同意。通过网络收集、使用未成年人个人信息的，应当制定专门的收集、使用规则，加强对未成年人网上个人信息的保护。第17条规定，网络信息服务提供者提供信息搜索服务的，不得违反本条例第16条的规定，显示未成年人个人信息的搜索结果。第18条规定未成年人或其监护人要求网络信息服务提供者删除、屏蔽网络空间中与其有关的未成年人个人信息的，网络信息服务提供者应当采取必要措施予以删除、屏蔽。

- 《个人信息和重要数据出境安全评估办法（征求意见稿）》第4条规定，个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区,并经其同意。未成年人个人信息出境须经其监护人同意。

- 按照《网络安全法》第41条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用的目的，方式和范围，并经被收集者同意。对未成年人而言，须经未成年人监护人的同意，否则，网络运营者将承担相应的民事责任、行政责任甚至刑事责任。

国家标准层面

在立法层面以外，对未成年人个人信息保护进行规制的还有一部推荐性国家标准，即全国信息安全标准化技术委员会（SAC/TC260）发布的《信息安全技术个人信息安全规范》（2017年12月29日正式发布，2018年5月1日实施，简称“个人信息安全规范”）。这部推荐标准因吸收了《欧盟统一数据保护条例》的诸多精髓而备受推崇。在保护未成年人信息方面，《个人信息安全规范》确定了未成年人个人信息的保护范围（未满14周岁），并将收集未成年人信息与敏感信息同章节表述，显示了未成年人个人信息的高度敏感性，以及该标准对未成年人个人信息保护的重视。

03 欧美在保护儿童数据方面的立法情况

从国内的立法环境来看，未成年人个人信息的保护尚有缺失，且缺乏落地细则和指导。反观欧美对于儿童数据的保护，则是另一番完全不同的光景。

GDPR对儿童数据的保护现状

2018年的“网红法案”莫过于欧盟于2018年5月25日正式开始实施的《统一数据保护条例》，作为管辖范围最广、处罚力度最大的个人数据保护规定，GDPR的内容广泛而详实，并将对未成年人个人信息的保护充分考虑在内，具体包括：

- 规定“数字年龄”（Digital Age）。GDPR规定,在提供的信息社会服务中, 16岁以下儿童的个人数据的收集必须由家长负责的持有人批准。成员国可以设置不低于13岁的年龄限制。

- 提供适宜儿童理解的信息（Child-Appropriate）。任何向公众提供的信息或数据应以清晰、简洁的语言和可视化在适当情况下。考虑到孩子需要特殊保护,任何儿童的数据应以清晰、简洁的语言对孩子的理解来处理。

- 引入儿童被遗忘权（Right to be Forgotten）。数据主体有纠正权和"被遗忘的权利"。关于他们的个人资料，即使孩子不再是孩子,数据主体仍然有权要求他的童年数据的更正或删除的权利。

- 禁止自动化处理儿童数据（Automated Individual Decision-making）。自动处理即为“数据画像”，是指只能通过一个自动化的过程解剖资料当事人的个人信息,并获得具有对数据对象的显著影响决策的方式,特别是在性、经济状况、健康状况、个人喜好兴趣和自然人的可信度。GDPR明文禁止对儿童采用自动化处理技术。

当然，GDPR的不足之处在于，除了规定“数字年龄”之外，并没有具体说明应该如何征求和获得父母的同意，这一点对于数据的控制者和处理者的“自证合规”义务而言尤为重要。如此一来，面对GDPR的高额处罚后果，涉及处理儿童数据的数据控制者和处理者的数据处理行为无异于在刀尖上起舞，风险不言而喻。

美国COPPA在保护儿童数据方面的立法情况

相比之下，美国在保护儿童数据方面颇具实践参考意义。自1998年以来,美国COPPA已经为在线服务运营商针对儿童提供服务进行了详细的规定，以保护儿童的个人信息不被非法收集和滥用，对未成年人而言，信息安全比信息自由具有更高的价值考量。2013年7月,FTC提出的COPPA修正案生效，其中规定，对于不遵守COPPA及相关规则遵守,FTC会将采取措施,如对运营商罚款。此外,FTC还发布了《儿童在线隐私保护规则：不仅为儿童网站》,《六步合规计划》,《常见问题解答》,《消费者指南》等指导性文件。

COPPA采取了一系列颇有实践意义的举措来敦促网络运营者履行对未成年人的保护义务。包括：

- 明确“针对儿童的网站”的标准定义（Websites Directed to Children）。针对那些既面向成年人也面向儿童的“混合型网站，COPPA适用"实际知道"的测试方法判断网站或者服务提供商是否需要承担责任，即在实际知道用户年龄不符合要求时，将会受到COPPA的约束。

- 鼓励家长同意方式的创新机制。FTC明确指出,获得父母同意的方法清单并非详尽无遗,并鼓励网站提出新的更有效的解决方案。修订后的COPPA规则包含一项关于"自愿父母同意方法"的规定,允许组织提交批准新同意方法的请求。这项开口规定对于网站或者服务提供商而言无疑是一项创举。COPPA不再需要穷尽想象力去编排超前的规定从而规制网站或者服务提供商无止境的技术创新，在技术创新和法律合规之间找到了双方认可的平衡点。

- 儿童数字年龄限制在13 岁。

- 为自我管理提供机制（Self-regulation）。简单而言，COPPA 框架通过安全港计划为行业自律制定了激励措施，从而使网站或者服务提供者能够通过安全港计划进行自我规制，并同时解决了新技术迭代变化从而使法规具有的显著滞后性问题。

04 合法收集未成年人个人信息的可行性讨论

第 41 次《中国互联网络发展状况统计报告》显示，截至 2017 年 12 月，我国 19 岁以下青少年网民达 1.64 亿，约占全国网民的 23%。另据报道，目前我国年龄低于 10 岁的网民已超过 1800 万，未成年人上网人群已经过亿，其中城市儿童触网率近 95%，56%的儿童初次上网年龄低于 5 岁，一些孩子对于平板和电脑的使用技巧甚至超过家长，是名副其实的“互联网原住民”。

在未成年人大量接触网络的背景下，未成年人个人信息保护的紧迫性不言而喻。借助于上文所提及的国内法律及国际参考法规，并结合TikTok本次遭到FTC指摘的主要违规行为，我们认为对于那些即将走出国门，并存在有可能向未成年人提供服务的网络服务提供者而言，应当首先梳理和把控下述两点合规风险：

- 确认儿童的年龄限制

- 获得家长的明确同意

确认儿童的年龄限制

各国对于儿童的年龄限制不尽相同，拟出境企业应当额外注意各国对于儿童年龄的限制条件。例如，GDPR治下，一般的儿童年龄限制条件为16岁，最低为13岁，而英国和爱尔兰表示将采纳13岁的年龄限制。COPPA也将13岁作为儿童与青少年的分水岭。在我国，这一限制为14岁。

针对不同的年龄限制，拟出境企业应当设计与儿童心智相符的技术手段对该年龄予以验证，并定制相应的隐私保护设计。目前，有关验证儿童年龄的几种通行方式包括：

- 自我验证机制（Self-verification Mechanism）,根据用户输入的信息授予用户访问网站的权限，这是最简单、最通用的方式。

- 评审机制（Peer-review）,即服务提供商根据用户在网络或现实世界其他地方收集的个人数据和数据授予用户访问网站的权限。

- 自动化分析机制（Automatic Analysis）,基于用户配置文件语义的自动分析,推断用户的年龄范围,授予用户访问网站的权限。

- 离线身份验证机制（Offline Identity Verification），通常通过直接联系未成年人的父母或导师来验证年龄,并最终获得父母同意访问网站或服务。

确认获得家长同意的方式

可供参考的获得家长同意的可行方式包括：

- 由家长签署并邮寄、传真、电子扫描同意书并返回给网站或服务提供商。

- 要求家长提供在进行货币交易时使用的信用卡、借记卡或其他需要用户名和密码或其他身份验证的在线支付系统，由此确认表示“同意”的人为有资格申请信用卡、借记卡的成年人。

- 由家长提供身份证件。尽管在境外，这是最有争议的方式，因为家长会认为这是一项高风险的个人信息，而其被要求提供的理由仅仅是家中儿童的游戏需求，但从境内的实践性而言，也许要求家长提供电话号码验证是可以考虑的方式之一。

- 向家长发送电子邮件、进行视频验证等方式。显而易见，这与家长签署并邮寄返还的方式一样老派而效率低下，且其家长身份的真实性仍无法解决。

- “社交关系图”等更具挑战性的尚未验证有效性的方式。也许在技术高速发展的今天，这些创举的有效性将指日可待。

05 结语

未成年人个人信息的保护，并非个人信息保护的新挑战，但却是尚未解决的挑战。一方面，由于未成年人自身的保护意识弱，处境被动，未成年人本身很难积极发声维护自身权益。另一方面，成人世界对于未成年人个人信息保护的关注也有不足。

在中国，未成年人信息泄露的案件时有发生，却少有受到关注。如2016年9月，天津某中学高中女生，在其周围同学并不知情的情况下直播同班同学课堂学习、课间休息、室外活动等开学第一天场景，并通过某平台全网直播。2017年3月，国内某知名直播平台被曝出存在大量全国各地学校教室直播。这些案件实际上都严重侵犯了未成年人个人信息乃至隐私，但引起的讨论却少之又少。客观地说，这与中国现实环境下成人对未成年人缺乏足够尊重的传统相关，在此不作赘述。

当然，在境外，未成年人信息泄露的案例也时有所现，我们以两家业界顶尖企业的正反案例结束本文，这对逐渐走向国际市场的国内企业不乏警示和借鉴意义。

-反面案例

2018年10月8日，在已被曝出大量的关于违法采集用户数据以及随意对外泄露客户隐私的丑闻后，Facebook再次被Campaign for a Commercial-Free Childhood（CCFC）和其他16个保护组织向FTC提交了投诉信，要求调查这款以儿童为中心的消息应用Messager kids是否违反COPPA，这些组织认为Messager kids长期非法采集用户数据即在没有获得儿童父母允许的情况下违法收集了他们的信息，并且隐私条款既不完善也不清楚。

据Techweb报道，投诉者称Facebook公司旗下的聊天工具“Messenger少儿版”并未遵守美国保护青少年隐私的法律法规COPPA。而Facebook自己宣称遵守了该法律，针对少儿用户，Facebook推出了Messenger少儿版，在获得家长同意之后，少儿可以用这一软件和好友聊天和发送照片视频等。在少儿版聊天工具中，Facebook并未插入广告，并且表示并不会把少儿的数据用于定制个人化网络广告。然而依据COPPA规定，互联网公司如果要采集13岁或是更小的少儿个人隐私信息，比如姓名、电子邮箱、位置信息、特征代码等，必须事先获得家长的同意。但是隐私组织指控称，Facebook并未严格认证提供授权的人员，的确是少儿用户真正的家长。换言之，随便一个人都能够提供所谓的儿童授权。

+正面案例

2016年，Google Play在《开发者计划政策》中对儿童个人信息保护提出了明确的要求。根据该要求，开发者所开发的面相儿童和家庭的应用在加入Designed for families计划之前必须确保所开发的应用适合儿童并且严格遵守COPPA以及其他相关相关法律法规。首先，开发者需要明确应用主要面向儿童的年龄段以及所属的常规应用类别，并且发出准确声明。其次，如果开发的应用中需要使用Google的移动广告服务，则必须使广告内容符合面向儿童的内容。

Google在开发者政策中细致明确了对于儿童个人信息保护的要求，保护了儿童的隐私，其他互联网公司也应效仿谷歌的行为，制定清晰、全面的隐私政策，解释如何收集儿童信息；禁止非法收集、使用和披露13岁以下儿童的个人信息；征求家长同意许可并验证家长身份，同时满足家长随时检查或者删除孩子在网站上已注册信息的要求；需要对儿童的个人信息维持保密、安全和完整以防止未经授权的访问和使用。（周杨 张忠）

**本文引用《共同打造儿童数字未来_欧美儿童数据保护对我国的借鉴》的部分已获得原作者许可。

声明：本文来自享法互联网JoyLegal，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。