共同打造兒童數(shù)字未來
——歐美兒童數(shù)據(jù)保護對我國的借鑒

（騰訊公司，廣東 深圳 518054）

兒童是數(shù)字時代的原住民，以更年輕的姿態(tài)頻繁活躍在數(shù)字世界中。早在2015年，18歲以下的青少年群體就已占據(jù)了全球互聯(lián)網(wǎng)用戶的三分之一。[1]據(jù)報告顯示，自2016年起，大約有四分之一的8～11歲年齡段群體以及四分之三的12～15歲年齡段群體都有社交媒體資料。12～15歲年齡段群體中，十分之一的青少年使用諸如 Facebook Live，Snapchat Live Stories 或Instagram Live等在線直播服務分享自己的視頻。[2]線上交流為兒童提供了娛樂、學習、自我表達、社會交往的機會，但同時也披露了越來越多的個人信息。

據(jù)報告顯示，11歲以下的兒童對隱私設置的了解較少，11～16歲年齡段的兒童中，只有26%的兒童表示他們采取了網(wǎng)上隱私保護措施。[3]應對在線風險時（例如濫用個人信息、身份盜竊、損害名譽、歧視或不正當商業(yè)利用等風險），兒童往往顯得較為被動。當遇到在線風險時，三分之一的意大利兒童會選擇關閉窗口、應用程序，或選擇忽視。只有10%的兒童會更改隱私設置，2%的兒童會通過“報告濫用”按鈕在線報告問題，25%的兒童沒有向任何人講述在線遇到的困擾問題。[4]

兒童受認知能力等局限性因素影響，比成年人更難以應對網(wǎng)絡風險，因而需要對其特殊保護。國內兒童數(shù)據(jù)保護現(xiàn)狀令人擔憂，《未成年人網(wǎng)絡保護條例（送審稿）》試圖對這一社會問題進行法律規(guī)制，社會對這方面的關注度也在不斷升溫。本文試圖在解讀歐美國家對兒童數(shù)據(jù)保護法律規(guī)定的基礎上，深入探究兒童數(shù)據(jù)的保護路徑，為數(shù)字時代的兒童提供切實的隱私保護，為立法進程以及企業(yè)治理提供更為明確的參考方向。

1 歐美在保護兒童數(shù)據(jù)方面的立法情況

1.1 歐盟GDPR對兒童數(shù)據(jù)的保護

歐盟原先的隱私保護設計是針對每一個人，并沒有區(qū)分成年人與兒童。2012年1月，歐盟委員會發(fā)布《一般數(shù)據(jù)保護條例》(General Data Protection Regulation，2012/0011/COD，GDPR)對數(shù)據(jù)保護框架進行全面改革，取代不包括任何有關兒童保護要求的《歐盟數(shù)據(jù)保護指令》（Directive 95/46/EC），將于2018年5月25日正式生效。

經(jīng)歷長時間的爭論，GDPR明確承認兒童需要比成年人更多的保護，因為兒童可能不太了解數(shù)字網(wǎng)絡中的風險。為了提供這種特殊保護，GDPR引入幾項舉措。

1.1.1 規(guī)定“數(shù)字年齡”（Digital Age）

“數(shù)字年齡”指兒童到達一定年齡時才具備對個人數(shù)據(jù)做出同意授權他人處理的適格條件。GDPR規(guī)定，在直接向兒童提供信息社會服務中，收集16歲以下兒童個人數(shù)據(jù)，必須征得家長責任持有人的同意。成員國可以制定不低于13歲的年齡限制。歐盟為成員國提供了較為靈活的數(shù)字年齡限定區(qū)間。

1.1.2 提供適宜兒童理解的信息（Child-Appropriate）

向公眾或數(shù)據(jù)主體提供的任何信息都應使用清晰明了、簡明易懂的語言，并在適當情況下進行可視化操作?？紤]到兒童需要特定的保護，任何關于兒童個人數(shù)據(jù)的處理都應該采用清晰明了的語言，便于兒童理解①[歐]《一般數(shù)據(jù)保護法案》（General Data Protection Regulation，GDPR）前言（58）。具體條文如下：“Given that children merit specific protection, any information and communication, where processing is addressed to a child, should be in such a clear and plain language that the child can easily understand.”。

1.1.3 引入兒童被遺忘權（Right to be Forgotten）

數(shù)據(jù)主體有權獲得關于其個人數(shù)據(jù)的糾正權和“被遺忘權”。尤其適用于，當兒童在未充分了解數(shù)據(jù)使用涉及的風險時做出同意，事后想要移除此類個人數(shù)據(jù)（尤其是互聯(lián)網(wǎng)數(shù)據(jù)）的情形。即使已經(jīng)不再是兒童，數(shù)據(jù)主體仍有權要求糾正或刪除其兒童時期數(shù)據(jù)②[歐]《一般數(shù)據(jù)保護法案》（General Data Protection Regulation，GDPR）前言（65）。具體條文如下：“In particular, a data subject should have the right to have his or her personal data erased and no longer processed where the personal data are no longer necessary in relation to the purposes for which they are collected or otherwise processed, where a data subject has withdrawn his or her consent or objects to the processing of personal data concerning him or her, or where the processing of his or her personal data does not otherwise comply with this Regulation.That right is relevant in particular where the data subject has given his or her consent as a child and is not fully aware of the risks involved by the processing, and later wants to remove such personal data, especially on the internet.The data subject should be able to exercise that right notwithstanding the fact that he or she is no longer a child.”。

1.1.4 禁止自動化處理兒童數(shù)據(jù)（Automated Individual Decision-making）

自動化處理指一種僅通過自動過程剖析數(shù)據(jù)主體的個人信息并得出對數(shù)據(jù)主體產(chǎn)生重要影響決定的方式，特別是針對與自然人的工作表現(xiàn)、經(jīng)濟狀況、健康狀況、個人偏好、興趣、可信度、習性、位置或行蹤相關的分析和預測。數(shù)據(jù)主體有權利不受一個僅僅依靠包括分析在內的基于自動化處理的決定的限制，這會產(chǎn)生關于他/她或僅僅影響他/她的法律后果①[歐]《一般數(shù)據(jù)保護法案》（General Data Protection Regulation，GDPR）第22條。具體條文如下：“The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.”。GDPR明文禁止對兒童采用自動化處理技術②[歐]《一般數(shù)據(jù)保護法案》（General Data Protection Regulation，GDPR）前言（71）。具體條文如下： “Such processing includes ‘profiling’that consists of any form of automated processing of personal data evaluating the personal aspects relating to a natural person, in particular to analyse or predict aspects concerning the data subject's performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, where it produces legal effects concerning him or her or similarly significantly affects him or her….Such measure should not concern a child.”。

不足之處在于除了規(guī)定“數(shù)字年齡”之外，GDPR并沒有具體說明應該如何征求和獲得父母的同意。因而在實踐操作中面臨較大困境。

1.2 美國COPPA對兒童數(shù)據(jù)的保護

自1998年以來，美國《兒童在線隱私保護法案》（Children's Online Privacy Protection Act，COPPA）為針對兒童的在線服務運營商提供了詳細的規(guī)則。2011年9月，美國聯(lián)邦貿易委員會（Federal Trade Committee，F(xiàn)TC）對COPPA提出修改意見，新修訂的COPPA于2013年7月正式生效。對于未遵守COPPA及相關規(guī)則的運營商，F(xiàn)TC將采取罰款等措施進行處理。此外，F(xiàn)TC還出臺了《兒童在線隱私保護規(guī)則：不僅適用于兒童網(wǎng)站》、《六步合規(guī)計劃》、《常見問題解答》、《消費者指南》等指導性文件。

COPPA為保護兒童數(shù)據(jù)提供了有效和可行的機制，是提高在線兒童隱私保護水平的先驅立法，主要體現(xiàn)在以下幾個方面：

1.2.1 明確“針對兒童的網(wǎng)站”的標準定義（Websites Directed to Children）

COPPA適用的對象包括兒童指向型的網(wǎng)站或在線服務，以及混合型網(wǎng)站或在線服務（面向1.2.1普通大眾，但存在兒童用戶）?；旌闲途W(wǎng)站采用“實際知道”測試法，即在實際知道該用戶年齡未滿足相關要求時，會受到COPPA的規(guī)制。這意味著網(wǎng)站或服務商將不用為兒童欺騙的行為“買單”。

1.2.2 鼓勵家長同意方式的創(chuàng)新機制

FTC明確規(guī)定，獲得家長同意的方法清單是非窮盡的，鼓勵網(wǎng)站提出新的更有效的解決方案。經(jīng)修訂的COPPA規(guī)則中載有一項關于“自愿家長同意方法”的規(guī)定，允許組織機構提交新同意方法的批準請求。這項規(guī)定因其成本效益廣受好評。③See Federal Trade Commission, COPPA FAQs[EB/OL].http://business.ftc.gov/documents/Complying-with-COPPA-Frequently-Asked-Questions.

1.2.3 兒童數(shù)字年齡限制在13歲

在修訂意見中，F(xiàn)TC考慮擴大兒童定義，將13至17歲的青少年也納入到保護體系中。這將意味著父母同意的要求也會覆蓋到針對青少年和成年的網(wǎng)站，帶來較大的成本負擔。提升的成本門檻將阻止小型、初創(chuàng)運營商進入競爭市場，從而對競爭產(chǎn)生負面影響。因而，此項意見未被采納。

1.2.4 為自我管理提供機制（Self-regulation）

COPPA框架通過安全港計劃為行業(yè)自律制定了激勵措施。經(jīng)批準的安全港按照FTC提出的指導方針提供遵守COPPA的要求，在某些情況下，這些要求甚至高于COPPA。自我調節(jié)具有雙重優(yōu)勢。一方面，減輕了監(jiān)管部門的負擔，通過與第三方合作來監(jiān)督該行業(yè)的合規(guī)性。另一方面，通過加入安全港計劃，網(wǎng)站運營商可以獲得符合COPPA要求的認證。此外，對于違法情況，安全港可能比FTC的反應速度更快，并且還可以比成文法更快地適應新技術的變化，因為成文法通常需要通過漫長的法規(guī)程序進行修改。[3]

GDPR與COPPA規(guī)則對我國的兒童數(shù)據(jù)保護工作具有重大的借鑒意義。下文將從實踐操作層面，進一步探究兒童數(shù)據(jù)保護的重點領域。

2 兒童同意數(shù)字年齡及驗證方式

2.1 限制年齡

聯(lián)合國兒童權利公約第5條承認，兒童的能力處于不斷發(fā)展的過程中，而且隨著他們能力的提升，對其有影響的決定應當相應的減少。①Gerison Lansdown.The evolving capacities of the child’ (UNICEF innocent Insight, 2005) [EB/OL].https://www.unicef-irc.org/publications/pdf/evolving-eng.pdf.在英國關于兒童同意接受治療的Gillick案中，法院認為，法律不應對兒童年齡作出僵化限制，相反，應當充分考慮以及反映兒童成長以及成熟程度的特征。②Gillick v West Norfolk and Wisbech Area Health Authority and another [1986]1 AC 112 [EB/OL].http://www.hrcr.org/safrica/childrens_rights/Gillick_WestNorfolk.htm.兒童在各個年齡段的能力也會因環(huán)境不同而產(chǎn)生差異。因此兒童需要與場景及決策領域相適應的不同程度的保護。此外，兒童在數(shù)字時代享有多項權利，例如參與權、言論自由權、有權在網(wǎng)絡環(huán)境中獲取適當?shù)男畔⒌?。[5]聯(lián)合國兒童權利委員會也強調了向殘疾兒童提供數(shù)字技術的重要性?；ヂ?lián)網(wǎng)接入場景下，需要平衡好兒童上述的權利與隱私保護、防止數(shù)據(jù)濫用之間的關系。不宜施加過度保護而限制、甚至是剝奪兒童的其他權利。

因而，兒童權利聯(lián)盟（The Children’s Rights Alliance）建議，只要兒童、其父母或監(jiān)護人和教育者獲得足夠的教育支持以便做出處理個人數(shù)據(jù)的知情決定，兒童同意的數(shù)字年齡就應當設定在盡可能低的年齡段。[5]英國與愛爾蘭都表示將采納13歲的年齡限制。③https://www.williamfry.com/newsandinsights/news-article/2017/08/09/digital-age-of-consent-for-children's-data-set-to-be-13.

2017年1月6日，教育科技文化衛(wèi)生法制司發(fā)布《未成年人網(wǎng)絡保護條例（送審稿）》并未規(guī)定兒童數(shù)字年齡?！毒W(wǎng)絡安全法》也是回避了兒童與青少年的區(qū)分問題。那么我國是否可以推知擬對兒童和青少年適用統(tǒng)一標準，即年滿18周歲才能作出有效的同意表示？也不盡然如此，因為國家標準對兒童數(shù)字年齡作出了正面回應。全國信息安全標準化技術委員會（SAC/TC260）發(fā)布了《信息安全技術 個人信息安全規(guī)范》（2017年12月29日正式發(fā)布，2018年5月1日實施），其中第5.5（c）條規(guī)定，收集年滿14周歲的未成年人的個人信息前，應征得未成年人或其監(jiān)護人的明示同意；不滿14周歲的，應征得其監(jiān)護人的明示同意。此項國家標準已然注意到未成年人不同年齡段的特征，并根據(jù)其特征制定相應的隱私保護設計，將14周歲作為未成年人群體中的分水嶺。這也是國際社會所認可的保護理念——處理兒童相關事務，要以兒童利益最大化為首要考慮因素，切勿通過“一刀切”、“快刀斬亂麻”的方式簡單處理兒童問題。然而，如果能將此項理念以法律的形式統(tǒng)一明確下來，那么無論對于兒童權益還是對于行業(yè)環(huán)境而言，都有莫大的益處。期待未來的立法工作能夠以未成年人為中心，考慮到不同年齡段未成年人的心理特征與認知能力以及中國社會的實際情況，將未成年人同意的數(shù)字年齡設定在盡可能低的年齡段，在保護未成年人的同時又體現(xiàn)了對未成年人的意志與人格的尊重。

2.2 兒童年齡的驗證方式

就目前大量存在的混合性服務或產(chǎn)品而言，兒童能夠通過謊報年齡的方式，避開監(jiān)護人的控制。兒童年齡的真實性已經(jīng)成為一個不容忽視的問題。第29 條數(shù)據(jù)保護工作組（The Article 29 Working Party，由所有歐盟數(shù)據(jù)保護機構的代表組成的主管實體）十分關注這一問題，英國、愛爾蘭、法國也在搜集關于兒童真實年齡認證的方法。以下是目前存在的幾種驗證兒童真實年齡的方式：[6]

（1）自我驗證機制（Self-verification Mechanism），即以用戶本人輸入的信息為依據(jù)授予用戶對網(wǎng)站的訪問權限。這是最簡單且適用最廣泛的方式。

（2）評審機制（Peer-review），即服務商根據(jù)用戶的個人資料以及網(wǎng)絡上或現(xiàn)實世界中其他地方收集的數(shù)據(jù)授予用戶對網(wǎng)站的訪問權限。Facebook除了適用自我驗證機制外，也采用了評審機制。但這項機制可以通過創(chuàng)建多個配置文件進行規(guī)避。

（3）自動化分析機制（Automatic Analysis），即基于對用戶檔案的語義的自動分析來推斷用戶的年齡段授予用戶對網(wǎng)站的訪問權限。這項機制通常難以規(guī)避，但實施起來很復雜，由于技術的不成熟，使得它們在許多情況下容易出錯。除此之外，使用這項機制也只能獲得用戶的年齡范圍，而不是他或她的確切年齡。

（4）離線身份驗證機制（Offline Identity Verification），通常是通過直接聯(lián)系未成年人的父母或導師來驗證年齡，并最終獲得家長同意訪問網(wǎng)站或服務。或通過使用例如eID卡①eID卡是帶有芯片的物理卡，其中包含用于在線執(zhí)行年齡和身份驗證的數(shù)據(jù)。等輔助工具進行身份驗證以及使用生物識別數(shù)據(jù)來驗證年齡。這項機制雖然可靠、有效，但是操作成本太高。生物識別數(shù)據(jù)，例如指紋或虹膜等，會引發(fā)道德和隱私問題，并不受支持。

實踐中最為常見的驗證兒童真實年齡方式是自我驗證機制與評審機制。采用混合模式有助于在一定程度彌補單一機制的不足，也是目前通?？尚械姆绞健?/p>

3 獲得家長同意及驗證方式

3.1 如何獲取家長的同意

COPPA§312.5規(guī)定，在收集、使用或披露兒童個人信息之前，經(jīng)營者有義務提供通知并獲得可核實的父母同意。運營商應當對父母的身份以及同意的有效性進行核實。

根據(jù)COPPA規(guī)則，網(wǎng)站及服務運營商需要履行兩項責任。首先，運營商必須直接通知家長收集兒童數(shù)據(jù)的意圖；其次，必須在網(wǎng)站發(fā)布針對兒童的隱私政策，并使其清晰可見且易于訪問。直接通知應當包含以下信息：①Comment of Yahoo! (comment 180), Direct Marketing Association (comment 37) and of kidsSAFE Seal Program by Samet Privacy (comment 81)on COPPA[EB/OL].http://www.ftc.gov/os/comments/copparulereview2011/.運營商為了收集兒童數(shù)據(jù)需要家長的同意；②Comment of eBay on COPPA (comment 40) (2011) [EB/OL].http://www.ftc.gov/os/comments/copparulereview2011/00328-82251.pdf.收集的兒童數(shù)據(jù)類型、范圍以及使用目的；③提供隱私政策的鏈接；④獲取家長同意的方式；⑤如果在合理時間內未獲同意，將刪除父母在線信息記錄。

3.2 家長同意的驗證方式

GDPR第8（2）條規(guī)定，考慮到現(xiàn)有技術，控制者應當做出合理的努力，去核實在此種情況下，家長責任主體的同意或授權。原提案采用的是“可核實的同意”（Verifiable），最終文本采用了不同的措辭，指出運營商應當做出核實家長同意的努力（Verify）。深思這種變化下的影響，可以探得立法者的意圖在于減小對運營商的壓力：

（1）由持續(xù)性核實向一次性核實的轉變

可核實性同意要求數(shù)據(jù)控制者無論在何時都要確?？梢酝ㄟ^技術手段核實同意。做出核實努力意味著這是一次性、單一的驗證行為，數(shù)據(jù)控制者僅需要保證在收集兒童數(shù)據(jù)之前就進行過父母同意驗證的努力即可。

（2）無法核實情況下，由不能收集數(shù)據(jù)到可以收集數(shù)據(jù)的轉變

根據(jù)核實性同意要求，如果無法核實，數(shù)據(jù)控制者就只能放棄該同意。但是核實努力的要求不同，在無法核實的情況下，只要數(shù)據(jù)控制者付出過努力，便仍然可以依靠未經(jīng)驗證的同意來處理兒童數(shù)據(jù)。

在具體驗證方式方面，GDPR并未給出明確的建議，但是COPPA列舉了幾種獲取家長同意的可行方式，分別是：

（1）郵寄、傳真、電子掃描同意書

由家長簽署同意書并通過郵寄、傳真或電子掃描返回給運營商。郵寄與傳真方式由于代價高昂且效率低下而深受詬病。根據(jù)測試估計表明，平均每個兒童需要花費大約3美元才能獲得父母的同意。①相比而言，業(yè)界更支持節(jié)省成本與實踐的電子掃描方式。

（2）信用卡及其他在線支付系統(tǒng)

要求家長提供在進行貨幣交易時使用的信用卡、借記卡或其他需要用戶名和密碼或其他身份驗證的在線支付系統(tǒng)。2011年，F(xiàn)TC要求將使用信用卡驗證方式限制于實際貨幣交易的情形。eBay建議開發(fā)采用類似于PayPal的支付系統(tǒng)。因為18歲以下的人無法申請個人銀行賬戶，由家長作為主要賬戶持有者為子女設置子賬戶，從而控制或限制子女的在線活動。②

（3）政府頒發(fā)的身份證件

通過檢查政府頒發(fā)的身份證件（如駕駛證號碼或社會安全號碼的最后四位數(shù)字）來對照這些信息的數(shù)據(jù)庫來驗證父母的身份。參與者必須在完成驗證后立即從其記錄中刪除家長的身份。這是最有爭議的方式。①Comments of New York Intellectual Property Law Association on COPPA (comment 117) (2011) [EB/OL].http://www.ftc.gov/os/comments/copparulereview2011/00364.html.一方面，其因可靠性而為FTC所承認；另一方面，收集家長敏感信息將會帶來高隱私風險。而且大多數(shù)家長不會僅僅為了允許兒童玩一款在線游戲便提供此類的敏感信息。

（4）發(fā)送電子郵件、進行視頻驗證等方式

當運營商僅收集兒童個人信息供內部使用時，可以通過向家長發(fā)送電子郵件的方式獲得其同意。當運營商希望收集更多信息或與第三方分享時，需要采取額外措施，例如簽署同意書或視頻會議等。這并不是最有效的方式，但在行業(yè)中有廣泛的適用效應。

（5）“自愿家長同意方法”

FTC允許網(wǎng)站提起“自愿家長同意方法”的批準請求，利害關系方可以向委員會書面申請同意目前未列舉的驗證方式。修改的COPPA規(guī)則通過后，F(xiàn)TC收到多起驗證同意方法的審批請求。2013年11月，F(xiàn)TC收到“社交關系圖”驗證機制（Socialgraph Verification Mechanism）的請求，即通過詢問家長在社交網(wǎng)站上的“朋友”來驗證父母以及其與子女之間的關系。但由于當時還沒有足夠的研究或市場測試證明該方法的有效性，該方案未能通過。②FTC, ‘Letter to AssertID’[EB/OL].(2013-11-12).https://www.ftc.gov/sites/default/files/attachments/press-releases/ftc-deniesassertidsapplication-proposed-coppa-verifiable-parental-consent-method/131113assertid.pdf.2013年12月，Imperium，Inc.，向FTC提出請求基于認知能力的身份識別機制（Knowledge-based Identification），即通過一系列具有挑戰(zhàn)性的問題來驗證用戶身份的方法。特定人之外的人難以回答這些問題，并且通過“翻看錢包”也無法找到答案。這種認證方法多年來一直為金融機構采用，目前已得到FTC的認可。③FTC, ‘Letter to Imperium’ [EB/OL].(2013-12-23).https://www.ftc.gov/sites/default/files/attachments/press-releases/ftcgrants-approvalnew-coppa-verifiable-parental-consent-method/131223imperiumcoppa-app.pdf.2015年1月，F(xiàn)TC拒絕了AgeCheq提出的設備簽名認證方式（Device-signed Parental Consent），即通過要求輸入短信驗證信息進行身份驗證。因為提供同意的人很可能是下載了應用程序設備的兒童。④FTC, ‘Letter to AgeCheq Inc.’,[EB/OL].(2015-01-27).https://www.ftc.gov/system/files/documents/public_statements/621461/150129agech eqltr.pdf.另外，F(xiàn)TC還曾拒絕過兩種驗證方式，分別是電子簽名以及多重授權平臺（Multiple-consent Platform）。電子簽名因具有更高的偽造可能性被排除在驗證方式之外。多重授權平臺不符合家長同意明確性中的具體要求，即用于不同目的的多重處理行為必須征得多個同意。

4 使用兒童數(shù)據(jù)的相關要求

兒童數(shù)據(jù)的收集問題固然重要，但也不能只專注于收集環(huán)節(jié)，使用環(huán)節(jié)也需要重點關注。恰恰是在收到同意或繞過同意后的使用環(huán)節(jié)上，兒童的隱私數(shù)據(jù)無法得到有效的保護。

運營者在使用兒童數(shù)據(jù)時，需要嚴格遵循法律規(guī)范，承擔更多的安全保障責任。在內部運營中，應當遵循限制使用原則并提供特殊保護，不得利用兒童數(shù)據(jù)從事?lián)p害兒童權益的行為。例如禁止兒童數(shù)據(jù)適用自動化決策。DGPR第22（1）條（Recital 38、71）規(guī)定，兒童不得成為自動化決策的適用對象，包括會對其造成法律上或相類似影響的個性化分析。個性化分析指，通過對個人數(shù)據(jù)的處理，分析自然人個體在特定方面的特征，特別是對其工作表現(xiàn)、經(jīng)濟實力、健康程度、個人喜好、行動痕跡、地址等數(shù)據(jù)進行分析和預測。通過個性化分析，制定推送兒童其感興趣的策略。COPPA規(guī)定，運營商從事市場營銷，應當遵循經(jīng)批準的安全港組織的相關規(guī)定。TRUSTe是經(jīng)批準的安全港組織之一。TRUSTe《兒童隱私認證標準》中規(guī)定，涉及在線廣告服務行為的參與者應當在隱私聲明中公示其對兒童數(shù)據(jù)的使用情況。運營商應提供說明或鏈接，便于當事人或其家長取消對個人信息的同意授權。運營商必須在收集兒童個人信息之前取得其家長的同意。運營商必須向家長提供審查所收集的兒童個人信息、撤回同意、要求刪除、要求不再使用兒童個人信息、從第三方處撤回已共享的兒童個人信息的機制。

在與第三方合作中，運營商應當遵循公開透明原則，提供所有涉及兒童數(shù)據(jù)傳輸、共享的第三方運營商信息。修訂后的COPPA規(guī)則規(guī)定如果有多個運營商通過網(wǎng)站收集信息（包括通過插件），可以列出一名運營商的姓名、地址、電話號碼和電子郵件地址，該運營商將回答父母關于列在本網(wǎng)站的通知中的所有運營商的隱私政策和使用兒童信息。如果希望簡化在線隱私政策，可以在隱私政策中設置一個清晰明顯的鏈接，連接到完整的運營商列表，而不是在隱私政策中列出每個運營商的信息。但是，必須確保隱私政策能讓父母輕松訪問此操作列表。此外，運營商還需對合作第三方進行數(shù)據(jù)安全的內部評估。2017年，TRUSTe根據(jù)COPPA修改其安全港計劃，增加了一項新的要求，即運營商每年對其第三方在其網(wǎng)站或在線服務上收集兒童的個人信息進行內部評估。2017年7月31日，F(xiàn)CT批準了TRUSTe的修改計劃。①FTC批準對TRUSTe的COPPA安全港修改計劃[EB/OL].(2015-01-27).https://www.ftc.gov/news-events/press-releases/2017/07/ftcapproves-modifications-trustes-coppa-safe-harbor-program.根據(jù)新安全港計劃，與第三方服務合作時，運營者應當確認以下信息：②TRUSTe.Children’s Privacy Certification Standards (2017).22-23.

（1）是否對第三方主體及其服務產(chǎn)品進行安全性評估；

（2）確定第三方主體收集或保留兒童數(shù)據(jù)的內容范圍以及相應的處理程序；

（3）確定第三方主體有權再次授權的兒童數(shù)據(jù)的內容范圍以及相應的處理程序；

（4）確定第三方主體保障兒童數(shù)據(jù)安全性和完整性的方式；

（5）保障父母有權要求第三方主體刪除其兒童個人數(shù)據(jù)的權利；

（6）通知第三方主體收集兒童個人數(shù)據(jù)時應當征求父母的同意；

（7）通知第三方刪除、規(guī)定保留期限，以及運營方應當設置合理技術手段和實施成本持續(xù)評估第三方的相關服務。

只是一味提高兒童數(shù)字同意的年齡，并不能充分保護兒童。唯有將注意力轉移到兒童數(shù)據(jù)使用問題上，限制兒童數(shù)據(jù)投放于市場營銷或其他商業(yè)目的，有效監(jiān)督數(shù)據(jù)合作與共享的數(shù)據(jù)安全問題，才是保護兒童數(shù)據(jù)的關鍵點。

5 媒介素質教育與家長支持

誠然，僅靠家長同意機制是無法充分保護兒童數(shù)據(jù)免于過度曝光以及不正當濫用的，這項機制本身具有不可忽視的局限性。從COPPA在美國的實踐效果來看，實際上遇到許多難題，并非十分成功。一方面，家長同意機制為家長帶來過度的負擔，置身于數(shù)字時代的浪潮中，如果拒絕同意，反而可能與時代變化脫節(jié)。而許多家長表示自己缺乏對于隱私設置、密碼控制等機制的理解能力，很被動。

最能體現(xiàn)這一點的是兒童網(wǎng)絡媒體使用最低年齡要求未引起家長重視。父母并非總能及時的意識到兒童使用互聯(lián)網(wǎng)產(chǎn)品或服務存在的最低年齡要求。據(jù)報告顯示，5～15歲年齡段群體中，只有38%的家長真正意識到兒童創(chuàng)建臉譜檔案信息的最低年齡要求（其他產(chǎn)品的家長意識度更低：Instagram（21%），Snapchat（15%），WhatsApp（7%））。大約有22%的家長不知道或不確定Facebook的最低年齡要求，而WhatsApp，在這方面甚至達到了72%的程度，見圖1。[2]因而，需要為家長提供更好的媒介素質教育，支持家長成為數(shù)字環(huán)境下保護兒童的主動者。

對于兒童而言，限制其訪問數(shù)字世界將不利于塑造其數(shù)字彈性能力（Digital Resilience），即快速適應數(shù)字變化的接受能力以及反映能力。事實上，兒童在探索網(wǎng)絡世界的同時，如果能有家長圍繞身旁給予他們支持、理解與幫助，那將會是最有效的保護途徑。強制性壓制很大程度上會引起兒童的不適與反彈，通過說謊或隱藏網(wǎng)絡活動的方式表達他們的不滿。更為適宜的方式應當是引導，而不是控制。

圖1 使用不同產(chǎn)品比較（源自 Ofcom報告[2]）

6 結語

兒童在數(shù)字世界中會遇到機遇和隱私數(shù)據(jù)泄露的風險。保護兒童數(shù)據(jù)安全需要內外同時治理。從外部環(huán)境方面看，數(shù)據(jù)控制者在兒童數(shù)據(jù)的收集和使用環(huán)節(jié)應當對兒童進行特殊保護。收集、使用兒童數(shù)據(jù)之前，必須獲得家長同意，并作出合理的努力去核實同意的有效性。依法使用兒童數(shù)據(jù)，遵循限制使用原則以及公開透明原則，不得損害兒童利益。對于內部環(huán)境而言，家長需要進一步提高自身媒介素養(yǎng)，更多關注兒童的網(wǎng)絡行為，為兒童提供溝通、引導、幫助。保護兒童數(shù)據(jù)需要社會各界，尤其是數(shù)據(jù)控制者與家長的共同努力，共同打造利于兒童健康發(fā)展的數(shù)字未來。