兒童個(gè)人信息保護(hù)的父母知情同意原則*

李瀚琰

0 引言

大數(shù)據(jù)時(shí)代的到來、共享經(jīng)濟(jì)模式的開創(chuàng)、移動(dòng)支付方式的勃興等催生出新的經(jīng)濟(jì)增長點(diǎn)，也帶來了巨大的經(jīng)濟(jì)利益。在信息技術(shù)的沖擊下，隱私威脅日益超越了傳統(tǒng)個(gè)人信息保護(hù)機(jī)制的應(yīng)對(duì)能力[1]，網(wǎng)絡(luò)服務(wù)提供商應(yīng)當(dāng)在當(dāng)事人充分知情的前提下經(jīng)過其同意，才能收集和利用個(gè)人信息，這便是知情同意原則。知情同意原則是個(gè)人信息保護(hù)的基石，具有“帝王條款”的意義，恰如意思自治原則在民法中的地位[2]，并以個(gè)人信息自決為基礎(chǔ)聯(lián)結(jié)知情和同意兩項(xiàng)積極權(quán)能[3]。兒童民事行為能力不足，對(duì)網(wǎng)絡(luò)隱私條款的理解本不及成年群體，知情同意的責(zé)任主體、適用對(duì)象、個(gè)人信息的可識(shí)別性和敏感性等問題又存在相當(dāng)?shù)奶厥庑?，信息自決受到限制。因此，父母代替子女行使知情權(quán)和同意權(quán)成為兒童個(gè)人信息保護(hù)的關(guān)鍵所在。1998年美國國會(huì)通過《兒童在線隱私權(quán)保護(hù)法》 (Children's Online Privacy Protection Act of 1998，COPPA)事關(guān)父母知情同意原則已有20 余年的實(shí)踐經(jīng)驗(yàn)。2016年4月14日歐盟議會(huì)通過的《通用數(shù)據(jù)保護(hù)條例》 (General Data Protection Regulation，GDPR)于2018年5月25日正式生效實(shí)施，其第8條“有關(guān)信息社會(huì)服務(wù)中兒童同意的適用條件”成為父母同意原則的主要依據(jù)。2019年10月1日，我國國家互聯(lián)網(wǎng)信息辦公室室務(wù)會(huì)議審議通過并公布實(shí)施了《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》(以下簡稱《保護(hù)規(guī)定》)，著力保護(hù)兒童個(gè)人信息，沿用的仍然是父母知情同意原則。由于該規(guī)定對(duì)后續(xù)即將頒布的《個(gè)人信息保護(hù)法》和《未成年人網(wǎng)絡(luò)保護(hù)條例》會(huì)產(chǎn)生深遠(yuǎn)影響，本文將重新審視知情同意原則在兒童信息權(quán)利保護(hù)中的實(shí)現(xiàn)方式，以彌補(bǔ)當(dāng)前立法的不足。

1 父母知情同意原則的理論前提

《民法典》第111條[4]和999條[5]規(guī)定，自然人的個(gè)人信息受法律保護(hù)，使用不合理的，應(yīng)當(dāng)依法承擔(dān)民事責(zé)任。直觀看來，立法不僅沒有明確個(gè)人信息的法律內(nèi)涵，也沒有區(qū)分兒童與其他民事主體的差異，引發(fā)保護(hù)方式的學(xué)術(shù)深思。在當(dāng)前已有的制度框架下，文章尊重意思自治的民事立法根源，進(jìn)而具體探討兒童個(gè)人信息自我決定的不足及父母替代決定的法律地位原理，以其為理論前提確立父母知情同意原則。

1.1 知情同意原則與個(gè)人信息自決

當(dāng)今時(shí)代，個(gè)人信息的爆炸式增長引發(fā)了信息不對(duì)稱，無論是公務(wù)機(jī)關(guān)還是非公務(wù)機(jī)關(guān)，在原本不成熟的信息市場當(dāng)中都處在絕對(duì)優(yōu)勢地位。信息不對(duì)稱的存在，導(dǎo)致了個(gè)人信息濫用和危害的發(fā)生，限制了信息主體保護(hù)其個(gè)人信息合法權(quán)益的能力[6]。以此正當(dāng)性為基礎(chǔ)，信息主體對(duì)數(shù)據(jù)控制者合法使用個(gè)人信息應(yīng)當(dāng)享有知情權(quán)，以減損不對(duì)稱帶來的負(fù)面影響。實(shí)踐中，經(jīng)濟(jì)合作與發(fā)展組織(OECD)早在1980年《關(guān)于隱私保護(hù)與個(gè)人數(shù)據(jù)跨界流通的指導(dǎo)方針》中就確立了收集限制原則和使用限制原則的知情同意原則[6]；以歐盟1995年《關(guān)于個(gè)人信息處理保護(hù)及個(gè)人信息自由傳輸?shù)闹噶?EC95/46)》為藍(lán)本，德國《聯(lián)邦數(shù)據(jù)保護(hù)法》 (Federal Data Protection Act)、法國《數(shù)據(jù)處理、數(shù)據(jù)文件及個(gè)人自由法》(Data Processing，Data Files and Individual Liberties)、瑞典《個(gè)人數(shù)據(jù)法》(Personal Data Act)等紛紛采用知情同意原則為依據(jù)。在GDPR第6條中，歐盟更是將知情同意作為“合法處理數(shù)據(jù)”的法定依據(jù)之一[7]。相反，美國《存儲(chǔ)通訊法》(SCA)中的“無通知許可”“秘密搜查令”允許政府不通知用戶直接秘密獲取用戶郵件內(nèi)容，引發(fā)民眾反彈；其《消費(fèi)者隱私權(quán)利法案(草案)》(Consumer Privacy Bill of Rights of 2012)在奧巴馬時(shí)代即被國會(huì)長期封殺，在特朗普時(shí)代更被束之高閣，無人問津[3]。

個(gè)人信息產(chǎn)生于自然人本身，體現(xiàn)著自然人的人格尊嚴(yán)、人格平等和人格自由。出于對(duì)基本人權(quán)的尊重，公民完全可以依照法律控制自己的個(gè)人信息并決定是否被收集和利用。從人本角度來說，個(gè)人數(shù)據(jù)是人的延伸，而人應(yīng)當(dāng)獨(dú)立自主(治)，個(gè)人數(shù)據(jù)亦應(yīng)當(dāng)由數(shù)據(jù)主體掌控，體現(xiàn)個(gè)人的意志[8]。王成教授認(rèn)為，沒有自主控制，就無法衍生出撤回權(quán)、修改權(quán)、攜帶權(quán)、刪除權(quán)等具體權(quán)能[9]。換言之，法律保護(hù)個(gè)人信息權(quán)，就要充分尊重個(gè)人對(duì)其信息的控制權(quán)[10]。在知情同意原則下，個(gè)人信息自決乃是知情與同意兩項(xiàng)積極權(quán)能得以聯(lián)系的關(guān)鍵所在。本文認(rèn)為，在私法領(lǐng)域，個(gè)人信息自決是個(gè)人信息保護(hù)的法學(xué)基石；當(dāng)然，其實(shí)施權(quán)能還應(yīng)根據(jù)具體情況做進(jìn)一步區(qū)分。

1.2 父母知情同意原則的制度原理

兒童在民事行為能力受限的前提下無法實(shí)現(xiàn)信息自決，其知情同意權(quán)能應(yīng)當(dāng)由父母行使。換言之，兒童個(gè)人信息的保護(hù)乃是根植于信息自決基礎(chǔ)上的權(quán)利保護(hù)，并由父母替代決定的一種法律范式。

1.2.1 兒童個(gè)人信息自我決定的不足

荷蘭學(xué)者M(jìn)ilda Macenaite在談到兒童個(gè)人信息保護(hù)特殊性時(shí)認(rèn)為，兒童在線隱私包含了名譽(yù)受損、個(gè)人數(shù)據(jù)的商業(yè)利用、個(gè)人檔案和身份盜竊、網(wǎng)絡(luò)騷擾和歧視等風(fēng)險(xiǎn)。由于兒童的成長是一個(gè)不斷獲得民事行為能力的過程，其信息主體意識(shí)的提高引發(fā)自我決定和兒童最大利益之間的沖突， 從而產(chǎn)生“ 賦權(quán)與保護(hù)”(Empowerment versus protection)[11]的現(xiàn)實(shí)困境，即兒童數(shù)據(jù)主體地位要求被賦予數(shù)據(jù)透明權(quán)、可攜帶權(quán)、被遺忘權(quán)等知情同意原則項(xiàng)下的具體權(quán)能，而禁止數(shù)字畫像、設(shè)計(jì)和默認(rèn)的數(shù)據(jù)保護(hù)(機(jī)制)等傳統(tǒng)措施在大數(shù)據(jù)背景下顯得保護(hù)力度不足——盡管兒童表面上比父母更加精通網(wǎng)絡(luò)，實(shí)際上他們并不能很好地了解網(wǎng)絡(luò)運(yùn)營商隱私條款的具體內(nèi)容。此外，兒童成長環(huán)境的不同和信息風(fēng)險(xiǎn)的差異與統(tǒng)一劃分保護(hù)年齡標(biāo)準(zhǔn)還引發(fā)了“個(gè)性化與平均年齡”(Individualized versus average child)的沖突，設(shè)定統(tǒng)一的信息保護(hù)年齡上限，難免限制不同成熟程度兒童參與網(wǎng)絡(luò)服務(wù)的自我決定權(quán)，有損于兒童的數(shù)據(jù)自主權(quán)利[11]。表現(xiàn)理論認(rèn)為，個(gè)人參與社會(huì)生活的實(shí)質(zhì)就是通過個(gè)人信息的適用和公開，并以此參與社會(huì)交往的行為，不斷完善自己的社會(huì)形象、實(shí)現(xiàn)人格發(fā)展目的[12]。在“數(shù)字生活”日臻成型趨勢下，隱私保護(hù)與父母監(jiān)管造成進(jìn)退兩難境地——過于尊重兒童信息自主權(quán)利，勢必放松管教和監(jiān)護(hù)；管教、監(jiān)護(hù)不力，又可能造成嚴(yán)重的不良后果[13]，兒童自我決策與父母責(zé)任的平衡仍應(yīng)置于個(gè)案正義的考量之下。

以上種種跡象表明，兒童個(gè)人信息是一種動(dòng)態(tài)保護(hù)過程，而非靜態(tài)的一致性標(biāo)準(zhǔn)，這不僅增加了兒童個(gè)人信息自決的難度，也加劇了兒童作為“成人干預(yù)的受益者”和“自我決策的代理人”之間的矛盾[14]，進(jìn)一步影響了兒童自我決定的數(shù)據(jù)主體地位。因此，在利益平衡和風(fēng)險(xiǎn)規(guī)制的個(gè)人信息動(dòng)態(tài)治理模式下，學(xué)者提出基于不同風(fēng)險(xiǎn)等級(jí)的差異化父母同意和以一定年齡界限為基礎(chǔ)的個(gè)性化評(píng)估，以解決現(xiàn)有困境[14]。

1.2.2 父母替代決定法律地位的確立

以“父母替代決定”代替兒童信息自決是制度權(quán)衡的結(jié)果。現(xiàn)代民法理論認(rèn)為，監(jiān)護(hù)與父母責(zé)任并非同一概念，在保護(hù)未成年子女合法權(quán)益和兩性平權(quán)原則的指導(dǎo)下，民法應(yīng)當(dāng)分別設(shè)立親權(quán)(父母責(zé)任)和監(jiān)護(hù)制度[15]?！睹穹倓t》統(tǒng)一采取監(jiān)護(hù)法律術(shù)語的做法遭到了大多數(shù)學(xué)者的反對(duì)——將《民法通則》簡單移植不僅在立法技術(shù)上顯得落后，甚至使《民法典》這樣具有劃時(shí)代意義的法典編纂難免成為一種法律匯編。夏吟蘭教授認(rèn)為，在《民法典》婚姻家庭編立法中應(yīng)當(dāng)堅(jiān)持兒童最大利益原則，分別單列父母子女關(guān)系章及監(jiān)護(hù)章，明確規(guī)定“父母責(zé)任”[16]。在此背景下，協(xié)助決定與替代的區(qū)分成為父母代替行使兒童個(gè)人信息自決的正當(dāng)性基礎(chǔ)。近年來，保障成年心智殘疾人基本人權(quán)觀念逐步被喚醒，完全監(jiān)護(hù)這種宣告自然人“民事死亡”的制度逐漸被學(xué)術(shù)觀點(diǎn)所摒棄，隨之是協(xié)助決定對(duì)替代決定范式法律地位的取代。兩者最主要的差別在于對(duì)被監(jiān)護(hù)人民事能力的承認(rèn)和監(jiān)護(hù)人在監(jiān)護(hù)制度中的功能。前者將被監(jiān)護(hù)人置于決定的中心地位，完全尊重被監(jiān)護(hù)人的意愿，監(jiān)護(hù)人只發(fā)揮輔助決定的作用，在一定情況下起到風(fēng)險(xiǎn)提示的功能。李霞教授認(rèn)為，對(duì)完全監(jiān)護(hù)的反對(duì)僅僅針對(duì)成年人，而不是針對(duì)兒童，反對(duì)成年監(jiān)護(hù)混用未成年監(jiān)護(hù)的法律家父主義，如監(jiān)護(hù)人對(duì)兒童行使的財(cái)產(chǎn)管理權(quán)、懲戒權(quán)、住所指定權(quán)和教育權(quán)等[17]，“協(xié)助—替代決定”監(jiān)護(hù)范式下的協(xié)助決定只發(fā)生于成年監(jiān)護(hù)領(lǐng)域，替代決定仍然是未成年人監(jiān)護(hù)的主要范式。

因此，在兒童個(gè)人信息動(dòng)態(tài)保護(hù)過程中，其意思表示的主體地位被父母所替代，由個(gè)人信息自我決定轉(zhuǎn)向父母替代決定以貫徹知情同意原則獲得理論正當(dāng)性——協(xié)助決定側(cè)重于意思自治原則，替代決定則以兒童最大利益為原則，足以見得兒童在父母責(zé)任履行過程中的被動(dòng)地位，是被父母照顧和保護(hù)的對(duì)象。父母責(zé)任與監(jiān)護(hù)的差異化處理以及替代決定的法律地位是父母保護(hù)兒童個(gè)人信息、實(shí)現(xiàn)知情同意原則的制度前提，正面回答了父母在兒童個(gè)人信息自決上所承載的職責(zé)和義務(wù)，有效緩解了兒童信息自決的價(jià)值沖突，易于實(shí)現(xiàn)個(gè)案利益的平衡。

2 域外父母知情同意原則的經(jīng)驗(yàn)解讀

美國慣常以隱私權(quán)的方式來保護(hù)人格，通過“信息隱私”的概念將個(gè)人信息納入到隱私保護(hù)之下[18]，主要以“可驗(yàn)證的父母同意”和處罰機(jī)制作為一種被動(dòng)實(shí)現(xiàn)路徑。在歐盟，GDPR中的父母同意主要以第8條為依據(jù)，該條不僅規(guī)定了與規(guī)則相適應(yīng)的年齡限制，即可適用的主體，還規(guī)定了在Recital 38項(xiàng)下取得兒童個(gè)人信息的特別條款。

2.1 美國COPPA中的父母知情同意原則

2.1.1 父母知情同意原則的創(chuàng)制背景

美國是個(gè)人信息保護(hù)知情同意原則的積極擁護(hù)者。1998年，美國聯(lián)邦貿(mào)易委員會(huì)(Federal Trade Commission，F(xiàn)TC)對(duì)1，400個(gè)主流網(wǎng)站進(jìn)行調(diào)查，發(fā)現(xiàn)85%的網(wǎng)站存在收集個(gè)人隱私的行為，在以兒童為主要收益對(duì)象的網(wǎng)站中，僅有少部分網(wǎng)站主動(dòng)提供充足的隱私政策[19]。以此為基礎(chǔ)，同年10月21日國會(huì)正式通過COPPA，其核心內(nèi)容是以責(zé)成商業(yè)網(wǎng)站或在線服務(wù)運(yùn)營者遵行在線向兒童收集個(gè)人信息時(shí)取得父母同意的正當(dāng)程序，以保護(hù)12 歲以下兒童的在線隱私權(quán)益[20]。在知情同意原則要求下，COPPA 通過——通知、父母同意、父母審查、保密和游戲獎(jiǎng)品的限制使用——五種方式來保護(hù)兒童網(wǎng)上隱私，同時(shí)還規(guī)定了“一次性直接響應(yīng)兒童的具體請(qǐng)求”和“非用于重復(fù)聯(lián)系兒童”等無需父母同意的例外情形。2012年12月，為了回應(yīng)信息技術(shù)的快速發(fā)展，明確規(guī)則的適用范圍以及加強(qiáng)對(duì)兒童個(gè)人信息的保護(hù)，F(xiàn)TC對(duì)COPPA進(jìn)行了較大規(guī)模的修改，如將兒童年齡從12歲提升到13歲[21]、重新定義相關(guān)概念、加強(qiáng)對(duì)兒童信息安全的保護(hù)、完善“安全港”制度、采用現(xiàn)代識(shí)別技術(shù)以及緩解隱私權(quán)沖突等具體措施[19]。

2.1.2 可驗(yàn)證的父母同意

COPPA中知情同意原則主要依靠“可驗(yàn)證的父母同意”[21]來實(shí)現(xiàn)兒童信息權(quán)利保護(hù)?！翱沈?yàn)證的父母同意”是指在考慮到現(xiàn)行技術(shù)的前提下，任何兒童個(gè)人信息收集、使用、披露和后續(xù)使用都應(yīng)當(dāng)由操作主體盡到向孩子父母的通知義務(wù)，以征得父母的同意?？傮w看來，征得父母同意分為五步：(1)充分通知；(2)直接通知父母；(3)取得可驗(yàn)證的父母同意；(4)建立和維護(hù)合理程序；(5)提供合理的審閱方式[22]。此程序下，F(xiàn)TC制定了一整套浮動(dòng)機(jī)制來應(yīng)對(duì)各種情形，針對(duì)數(shù)據(jù)控制者的不同行為采取不同的驗(yàn)證手段，包括：(1)提供一份可以由家長打印、填寫、簽名并郵寄、傳真或掃描發(fā)回電子郵件的表格；(2)要求父母使用信用卡或者相類似的與貨幣交易相關(guān)的支付方式；(3)父母長期持有一個(gè)免費(fèi)電話，由專員就同意事項(xiàng)與父母保持聯(lián)系；(4)允許父母通過視頻會(huì)議的方式與專員保持聯(lián)系，或者驗(yàn)證有政府簽發(fā)的父母身份證明，但是驗(yàn)證之后網(wǎng)站隨即應(yīng)當(dāng)刪除[23]。對(duì)僅用于內(nèi)部使用的信息，可以僅通過電子郵件的方式進(jìn)行驗(yàn)證；如果收集到的信息會(huì)被公開泄露給其他人，那么就需要更嚴(yán)格的同意方法，如書面許可表格、父母的電話以及帶有數(shù)字簽名的電子郵件等[24]。為了幫助行業(yè)遵守該法案，聯(lián)邦貿(mào)易委員會(huì)在其網(wǎng)站[25]上設(shè)立了一個(gè)專門的“兒童隱私”章節(jié)，為網(wǎng)站運(yùn)營者組織關(guān)于COPPA合規(guī)問題的公開培訓(xùn)，以符合父母同意的標(biāo)準(zhǔn)要求。同時(shí)，基于修正案的相關(guān)規(guī)定，COPPA很有遠(yuǎn)見地預(yù)料到了父母同意的例外情況，包括：(1)兒童信息提供是一次性的，且兒童反饋年齡后隨即刪除；(2)收集兒童信息的目的在于提供實(shí)時(shí)訊息，但父母在必要時(shí)有權(quán)選擇擇出；(3)為兒童提供參與網(wǎng)絡(luò)服務(wù)保護(hù)的必要措施；(4)為了保護(hù)服務(wù)的安全/完整性，有必要時(shí)回應(yīng)司法請(qǐng)求或其他公共機(jī)構(gòu)的調(diào)查[24]。然而，例外情形在實(shí)踐中卻產(chǎn)生一些問題，大多數(shù)網(wǎng)絡(luò)運(yùn)營商都企圖通過這些例外情況來逃避父母同意的要求，甚至縱容用戶填報(bào)虛假的年齡。為此，F(xiàn)TC公布了一些技術(shù)手段來獲取父母的同意，以便為行業(yè)提供一套明確的選擇，并批準(zhǔn)使用技術(shù)認(rèn)證方法來核實(shí)同意兒童使用網(wǎng)上服務(wù)的人實(shí)際上是兒童的父母[26]。

然而，父母知情同意原則在美國面臨兩個(gè)憲法上的難題。一方面，為取得可驗(yàn)證的父母同意，網(wǎng)絡(luò)運(yùn)營商收集大量的兒童個(gè)人信息，而這些信息中常常包含父母姓名、年齡、工作等相關(guān)內(nèi)容，因而始終受到隱私權(quán)保護(hù)的挑戰(zhàn)。另一方面，F(xiàn)TC制定年齡限制的初衷是為了中立地獲取用戶年齡，而COPPA要求運(yùn)行商在提供網(wǎng)絡(luò)服務(wù)時(shí)通過填寫用戶的年齡以及出生日期來判定是否需要父母的同意。這就造成了一些相反的影響，很多網(wǎng)絡(luò)運(yùn)營商不再向低于13歲的兒童提供網(wǎng)絡(luò)服務(wù)，甚至簡單設(shè)置cookie防止用戶再次提交錯(cuò)誤信息。這種行為嚴(yán)重影響了兒童在社會(huì)媒體平臺(tái)上的言論自由[19]，從而受到憲法審查。為此，COPPA將規(guī)制的重點(diǎn)從網(wǎng)絡(luò)內(nèi)容轉(zhuǎn)向網(wǎng)絡(luò)運(yùn)營商的信息收集行為，這種轉(zhuǎn)向回避了與言論自由價(jià)值的沖突，也與保護(hù)個(gè)體隱私權(quán)利的基本價(jià)值相符[22]。

2.1.3 違反知情同意原則的處罰機(jī)制

對(duì)數(shù)據(jù)控制者未盡充分通知以獲得可驗(yàn)證父母同意，誘使兒童披露超出必要范圍個(gè)人信息的情況，COPPA建立了嚴(yán)格的處罰機(jī)制。由FTC負(fù)責(zé)起訴，對(duì)于違反COPPA的行為，法院可以追究運(yùn)營商的法律責(zé)任，并處以每次最高達(dá)41，484美元的民事罰款[22]。例如，2015年香港偉易達(dá)(VTech)公司因應(yīng)用程序本身的缺陷造成黑客入侵，導(dǎo)致640萬名兒童和490萬名成人的個(gè)人信息資料外泄，是迄今為止最大規(guī)模的一起兒童數(shù)據(jù)被盜案。根據(jù)COPPA之相關(guān)規(guī)定，偉易達(dá)被FTC指控其收集信息時(shí)未遵守通知義務(wù)和同意要求：(1)未能在其網(wǎng)站或在線服務(wù)上履行有關(guān)兒童個(gè)人信息的通知義務(wù)，違反了COPPA規(guī)則312.4(d)條；(2)未履行直接通知家長有關(guān)兒童的信息做法，違反規(guī)則第312.4(b)和(c)條；(3)在收集或使用兒童的個(gè)人信息之前未取得可驗(yàn)證的兒童父母同意，違反了規(guī)則第312.5條[27]。2018年1月，偉易達(dá)宣布就網(wǎng)絡(luò)攻擊事件與美國聯(lián)邦貿(mào)易委員會(huì)達(dá)成和解，除650，000美元的民事罰款外，擬議的和解方案還包括確保(采取)COPPA未來合規(guī)的程序，即一項(xiàng)全面的數(shù)據(jù)安全計(jì)劃，在未來20年內(nèi)將接受每兩年一次的獨(dú)立審核[28]。

2.2 歐盟GDPR中的父母同意原則

由于隱私問題在互聯(lián)網(wǎng)時(shí)代的重要演變，歐盟國家將個(gè)人信息保護(hù)置于隱私立法的核心地位，并由此形成了與美國行業(yè)自律為代表相異的歐盟積極立法主義。歐盟立法也始終是知情同意原則的支持者與貫徹者，盡管不斷進(jìn)行討論與反思，該原則在GDPR反而有加強(qiáng)的趨勢。其內(nèi)容主要從兒童年齡上限、面向兒童的信息社會(huì)服務(wù)以及父母同意的實(shí)現(xiàn)方式三個(gè)角度構(gòu)建。

2.2.1 兒童年齡上限

歐盟有關(guān)兒童年齡上限的定義是一個(gè)比較復(fù)雜的問題。COPPA明確將在線隱私保護(hù)的兒童年齡設(shè)定在13歲以內(nèi)，受其影響，歐盟在制定GDPR草案中一度經(jīng)歷了從13歲到16歲的醞釀過程。在草案公布后，歐盟委員會(huì)將起初的13歲意外提升至16歲，這一做法遭到部分成員國反對(duì)，他們認(rèn)為該年齡標(biāo)準(zhǔn)對(duì)于兒童個(gè)人信息而言存在過度保護(hù)，并決定降低年齡門檻至13、14或者15歲。為了解決年齡的一致性問題，歐盟通過并發(fā)布了《GDPR 國家實(shí)施法案(草案)》和設(shè)立國家數(shù)據(jù)保護(hù)機(jī)構(gòu)(DPAs)，以提供咨詢或指導(dǎo)[29]。歸納看來，歐盟成員國對(duì)兒童定義的方式主要分為三種：明確的年齡標(biāo)準(zhǔn)、以行為能力為依據(jù)的年齡標(biāo)準(zhǔn)和根據(jù)具體案例的適用標(biāo)準(zhǔn)。第一種以西班牙《個(gè)人數(shù)據(jù)保護(hù)法》(Spanish Personal Data Protection Law)和荷蘭數(shù)據(jù)保護(hù)局出版的《網(wǎng)絡(luò)個(gè)人數(shù)據(jù)(指南)》[Publication of Personal Data on the Internet(guidelines)]所確立的14歲與16歲為依據(jù)。第二種以立陶宛《民法》的規(guī)定為參照，立陶宛以14歲作為無民事行為能力和部分民事行為能力的劃分界限，其兒童年齡也參照此標(biāo)準(zhǔn)。第三種界限較為模糊，通過具體案例來確定兒童的年齡，以比利時(shí)私法委員會(huì)2002年第38號(hào)關(guān)于《未成年人網(wǎng)絡(luò)私人生活保護(hù)的建議》(Concerning the Protection of the Private Life of Minors on the Internet，2002)為例，盡管成年年齡在18歲，但是在網(wǎng)絡(luò)信息保護(hù)案件中受保護(hù)兒童的年齡上線限制在13或者14歲，較為復(fù)雜的案件上限為15歲，涉及敏感信息時(shí)為16歲。有鑒于此，GDPR通過其第8 條靈活制定了年齡的相關(guān)規(guī)定并形成折衷路徑：一方面，在第6條第1款(a)項(xiàng)規(guī)定，適用于直接向兒童提供信息社會(huì)服務(wù)的情況，對(duì)年滿16歲的兒童的個(gè)人數(shù)據(jù)的處理應(yīng)是合法的。兒童未滿16 歲時(shí)，處理只有在征得父母同意情形下，或父母授權(quán)兒童同意的范圍內(nèi)合法[30]；另一方面，允許成員國可為此目的通過法律規(guī)定較低的年齡，但此種較低年齡不得低于13歲[30]，因而該年齡也被認(rèn)定為兒童個(gè)人信息保護(hù)的“數(shù)字年齡”[23]。

2.2.2 面向兒童的信息社會(huì)服務(wù)

在明確適齡兒童作為保護(hù)對(duì)象之后，GDPR采用“信息社會(huì)服務(wù)”(Information Society Services)術(shù)語規(guī)范明確個(gè)人信息的網(wǎng)絡(luò)服務(wù)范圍。為了專門解決第8條項(xiàng)下兒童信息社會(huì)服務(wù)的具體內(nèi)容，GDPR借用歐盟2015/1535指令中的相關(guān)概念，將針對(duì)兒童個(gè)人信息的服務(wù)定義為“應(yīng)個(gè)別服務(wù)對(duì)象要求提供的電子遠(yuǎn)程有償服務(wù)”。隨后在Bond van Adverteerders v the Netherlands state①一案中，歐洲法院將有償服務(wù)從網(wǎng)絡(luò)服務(wù)定義中取消，原因在于很多免費(fèi)的網(wǎng)絡(luò)服務(wù)盈利可能來自于第三方平臺(tái)(廣告商)。由此可見，面向兒童的信息社會(huì)服務(wù)是一個(gè)不斷發(fā)展的概念，唯一明確的依據(jù)就是個(gè)人信息的處理必須以當(dāng)事人的同意為前提要件。更為復(fù)雜的情形是如何確定直接針對(duì)兒童的網(wǎng)絡(luò)服務(wù)范圍，以明確需要父母同意的前提。目前看來，鮮有某類網(wǎng)站或者APPs的受眾范圍僅為不滿16歲的兒童，為此GDPR選擇借鑒COPPA的立法經(jīng)驗(yàn)來判定是否直接針對(duì)兒童。這些判斷標(biāo)準(zhǔn)包括：服務(wù)的主題、視覺、動(dòng)畫角色的使用或產(chǎn)業(yè)之間的活動(dòng)和獎(jiǎng)勵(lì)、音樂或其他音頻內(nèi)容、示范人物的年齡、使用的語言或網(wǎng)站/在線服務(wù)的其他特征、兒童專屬明星等在線服務(wù)的特點(diǎn)[31]。這一標(biāo)準(zhǔn)也充分反應(yīng)在美國的相關(guān)案例中。2019年2月27日，F(xiàn)TC 在一份聲明中表示，抖音海外版(TikTok)在未征得父母同意之前非法收集了13歲以下兒童的姓名、電子郵件地址和其他信息，故處以570萬美元罰款。目前，TikTok已同意支付570萬美元的罰金，以解決聯(lián)邦貿(mào)易委員會(huì)關(guān)于該公司非法收集兒童信息的指控[32]。盡管TikTok用戶集群并非僅限于13歲以下兒童，但是該案明顯貫徹了一個(gè)原則，即受到父母知情同意的網(wǎng)絡(luò)服務(wù)必須無差別地考慮訪問者的年齡，并受到COPPA的審查。受到審查的還有一些兒童主題的APPs，如著名的網(wǎng)絡(luò)游戲“憤怒的小鳥”APP 采用動(dòng)畫的主題和聲音意圖吸引兒童的注意，但該款A(yù)PP仍包含了大量的成人用戶。這種泛用戶的情況無一例外地受到COPPA的約束和監(jiān)管。因此，有學(xué)者主張個(gè)人信息保護(hù)領(lǐng)域的場景與風(fēng)險(xiǎn)導(dǎo)向的新構(gòu)架具有深刻的應(yīng)用意義[1]。

2.2.3 父母同意的實(shí)現(xiàn)方式

數(shù)據(jù)主體的同意是《歐盟基本權(quán)利憲章》(Charter of Fundamental Rights of the European Union)和《數(shù)據(jù)保護(hù)指令》(Data Protection Direction Directive，DPD)在個(gè)人數(shù)據(jù)信息保護(hù)中基本的立法條款。DPD第29條中工作委員會(huì)仔細(xì)定義了“同意”的四個(gè)內(nèi)涵，并對(duì)GDPR中Recital 32做了反向說明，即“默示、將勾選框空置或不做出反應(yīng)行動(dòng)，都不能構(gòu)成為同意”[33]。其內(nèi)涵包括：(1)數(shù)據(jù)主體的意愿指示。在GDPR 看來，同意應(yīng)當(dāng)以明示的要式行為提出，該行為方式不局限于書面聲明、數(shù)據(jù)電文或者口頭聲明等。(2)同意的表達(dá)應(yīng)當(dāng)是自由的。GDPR在Recital 42中明確，如果同意是在不自由的情形下做出，或者不能自由地撤回同意，那么該同意就不能發(fā)生預(yù)期的效力。(3)透明度要求。GDPR在Recital 39中提到了透明度原則，即信息主體必須在公平和透明的環(huán)境下處分個(gè)人信息，其信息應(yīng)當(dāng)是可得的和易于理解的。一旦存在威脅個(gè)人信息安全的風(fēng)險(xiǎn)，則信息主體應(yīng)當(dāng)?shù)玫教貏e提示。該條文特別提及有關(guān)父母對(duì)兒童信息的同意，其目的在于讓父母能夠清楚知道兒童哪些信息被收集，使用目的是什么。(4)同意應(yīng)當(dāng)是明確的。GDPR中的同意應(yīng)當(dāng)是無歧義和明確的，這不僅是合法處理個(gè)人數(shù)據(jù)的前提，也是數(shù)據(jù)得以跨境傳輸?shù)那疤帷osta教授認(rèn)為，明確無歧義的同意并沒有附加給同意行為更多的義務(wù)，相反，含糊地給予同意，即表示數(shù)據(jù)當(dāng)事人對(duì)處理其個(gè)人數(shù)據(jù)的意愿不明確，并不符合有效同意的條件[34]。因?yàn)槟承┣闆r下同意的范圍難以周延，GDPR在Recital 32中明確指出，為同一目的而進(jìn)行的多個(gè)操作可以在一個(gè)同意下進(jìn)行。

3 父母知情同意原則在我國的應(yīng)用與出路

中國互聯(lián)網(wǎng)絡(luò)信息中心第44次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至2019年6月我國19歲以下青少年網(wǎng)民已經(jīng)占到全國比例的20.9%，達(dá)到1.78億。其中，7歲(學(xué)齡前)觸網(wǎng)比例達(dá)到27.9%，小學(xué)生群體有自己手機(jī)的占比達(dá)到了64.2%，初中生為71.3%，高中生為86.9%[14]。但是，這一龐大群體的個(gè)人信息保護(hù)狀況并不樂觀。2019年10月，福州外語外貿(mào)學(xué)院一女大學(xué)生小璐遭前男友鄭磊發(fā)裸照威脅之后，吞下200多片暈車藥輕生，搶救無效于11月18日晚離世[35]。相比之下，未成年人隱私權(quán)利在網(wǎng)絡(luò)平臺(tái)的保護(hù)上顯得更加羸弱。2018年8月，網(wǎng)絡(luò)直播平臺(tái)快手用戶發(fā)布“父親猥褻小女孩視頻”，其拍攝者正是孩子的母親。更早之前，美拍被指有小學(xué)生直播露體，甚至頻繁出現(xiàn)性暗示動(dòng)作[36]。這些社會(huì)現(xiàn)象的出現(xiàn)不僅會(huì)對(duì)未成年人產(chǎn)生永久的心理創(chuàng)傷，更是對(duì)我國兒童個(gè)人信息保護(hù)提出嚴(yán)峻挑戰(zhàn)。重新審視父母知情同意原則，是完善制度體系的必由之路。

3.1 我國父母知情同意原則的立法框架梳理

3.1.1 國家法中的相關(guān)規(guī)范

新時(shí)代法律應(yīng)當(dāng)彰顯對(duì)人格尊嚴(yán)、個(gè)人隱私的保護(hù)[37]，《中華人民共和國民法總則》以基本民事立法的態(tài)度在第5章“民事權(quán)利”第111條確立了“個(gè)人信息”的概念，充分體現(xiàn)了總則的時(shí)代性特征?！睹穹ǖ洹啡烁駲?quán)編草案二審稿明確提出“加強(qiáng)未成年人個(gè)人信息保護(hù)”的立法指導(dǎo)思想，要求“收集使用未成年人等無民事行為能力人或者限制民事行為能力人的個(gè)人信息的，增加規(guī)定應(yīng)當(dāng)征得其監(jiān)護(hù)人同意”[38]?！吨腥A人民共和國網(wǎng)絡(luò)安全法》則以行政立法的態(tài)度注意到未成年人網(wǎng)絡(luò)安全的重要性，其第13條[39]規(guī)定，國家依法懲治利用網(wǎng)絡(luò)從事危害未成年人身心健康的活動(dòng)，為未成年人提供安全、健康的網(wǎng)絡(luò)環(huán)境。《中華人民共和國未成年人保護(hù)法》第11條[40]明確父母在預(yù)防和制止未成年人沉迷網(wǎng)絡(luò)中應(yīng)當(dāng)承擔(dān)的教育和影響責(zé)任。

3.1.2 公共政策中的相關(guān)規(guī)范

嚴(yán)格意義上來說，因制定主體立法資格問題②，公共政策中有關(guān)父母知情同意原則的專門規(guī)定并不能稱之為法律，相關(guān)細(xì)則見諸于《保護(hù)規(guī)定》和《信息安全技術(shù) 個(gè)人信息安全規(guī)范》中。首先，《保護(hù)規(guī)定》第5條對(duì)監(jiān)護(hù)人職責(zé)做出原則性要求——正確履行監(jiān)護(hù)職責(zé)，教育引導(dǎo)兒童增強(qiáng)個(gè)人信息保護(hù)意識(shí)和能力，保護(hù)兒童個(gè)人信息安全；其第7條更是明確了知情同意的原則性地位。同時(shí)，《保護(hù)規(guī)定》還通過第9條監(jiān)護(hù)人概括同意條款，第10、14條監(jiān)護(hù)人同意的內(nèi)容及范圍條款，以及第20條監(jiān)護(hù)人以撤回同意為基礎(chǔ)行使“被遺忘權(quán)”條款，較為系統(tǒng)地建立了知情同意原則的主要運(yùn)行方式。其次，《信息安全技術(shù) 個(gè)人信息安全規(guī)范》第5.5條(C)款確定了未成年人個(gè)人信息保護(hù)的主體范圍(未滿14周歲)，并將收集未成年人信息與敏感信息同章節(jié)表述，顯示了未成年人個(gè)人信息的高度敏感性，引發(fā)對(duì)未成年人個(gè)人信息保護(hù)的重視。最后，未出臺(tái)的《未成年人網(wǎng)絡(luò)保護(hù)條例(送審稿)》第16、31條明確建立了網(wǎng)絡(luò)收集、使用未成年人個(gè)人信息時(shí)的監(jiān)護(hù)人同意條款。

3.1.3 我國父母知情同意原則立法的審視

總體看來，我國父母知情同意原則立法層級(jí)普遍偏低，制度設(shè)計(jì)不夠合理，兒童年齡定義、知情同意范圍和具體實(shí)施方式仍待完善。

首先，兒童年齡定義仍有討論余地。我國《保護(hù)規(guī)定》第2條將兒童定義為不滿14周歲的未成年人[41]。從立法目的看來，兒童與未成年人并非同一概念，實(shí)務(wù)中多以14周歲作為區(qū)分兒童與青少年的分界點(diǎn)。立法現(xiàn)狀從側(cè)面深刻反映出長期以來公法與私法相混同的思維模式，雖然公法在保障網(wǎng)絡(luò)安全、打擊犯罪和維護(hù)社會(huì)公共利益等方面具有重要意義，但是在個(gè)人信息民法定位模糊的情況下，刑法、行政法等公法規(guī)范對(duì)個(gè)人信息的保護(hù)勢必成為無源之水、無本之木[9]。兒童年齡定義直接影響到受保護(hù)的主體范圍，可以說，過高的兒童年齡上限，不僅會(huì)對(duì)一定年齡兒童產(chǎn)生過度保護(hù)嫌疑，進(jìn)而有損適齡兒童的隱私權(quán)利，同時(shí)也會(huì)造成14～18周歲年齡段兒童保護(hù)的空檔。

其次，知情同意原則的范圍模糊。依可識(shí)別性作為個(gè)人信息定性的學(xué)界通說，立法沒有區(qū)分對(duì)待兒童和成人之間的信息識(shí)別差異，致使無法在同一網(wǎng)絡(luò)服務(wù)內(nèi)增加對(duì)兒童的特殊保護(hù)。同時(shí)，在個(gè)人信息敏感性的劃分標(biāo)準(zhǔn)下，立法也沒有依據(jù)民事行為能力的不同差異化對(duì)待敏感性問題，從而無法確定父母知情同意原則的概括范圍。目前看來，由于缺乏系統(tǒng)專門的立法，兒童個(gè)人信息的識(shí)別性與具體外延難免不沿用已有的《中華人民共和國網(wǎng)絡(luò)安全法》和《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》的相關(guān)規(guī)定，與成年人個(gè)人信息產(chǎn)生混同。盡管《保護(hù)規(guī)定》立足于知情同意原則的基礎(chǔ)地位，對(duì)于父母具備哪些具體權(quán)能、哪些網(wǎng)絡(luò)服務(wù)屬于父母同意的范圍卻只字不提，缺乏可操作性。

最后，父母知情同意原則實(shí)施面臨困境?！爸橥狻钡膫鹘y(tǒng)弊端同樣反映在父母替代決定范式上：用戶常常越過繁冗復(fù)雜的隱私聲明直接點(diǎn)擊同意、為了使用互聯(lián)網(wǎng)產(chǎn)品和服務(wù)除了同意別無選擇、對(duì)于向第三者提供的個(gè)人信息難以控制、龐大的個(gè)人數(shù)據(jù)處理規(guī)模和無法預(yù)知的數(shù)據(jù)再次利用對(duì)同意原則提出了嚴(yán)峻挑戰(zhàn)[42]等。以數(shù)字圖書館——超星移動(dòng)圖書館——兒童讀者個(gè)人信息保護(hù)為例，超星移動(dòng)終端為用戶提供了資源搜索、自助借閱管理等一站式個(gè)人化服務(wù)，意味著除了年齡段、專業(yè)、性別等相對(duì)靜態(tài)的個(gè)人信息外，借閱興趣、數(shù)量、使用圖書館服務(wù)的類別和頻率等動(dòng)態(tài)軌跡[43]等都能被直接獲取，即便父母閱讀隱私政策、聲明與協(xié)議，事實(shí)上也不能對(duì)冗長且充滿法律行話的文件做出正確理解[44]。

3.2 我國父母知情同意原則的制度建設(shè)

3.2.1 堅(jiān)持民事立法為主的多元保護(hù)路徑

民法是保護(hù)人之主體地位的重要手段和基礎(chǔ)規(guī)范，個(gè)人數(shù)據(jù)(信息)可以成為民事權(quán)利的客體，并應(yīng)當(dāng)通過私權(quán)制度對(duì)其加以規(guī)范和保護(hù)[45]。父母知情同意原則乃是意思自治和兒童最大利益原則在民法上的集中體現(xiàn)。在此基礎(chǔ)上，以COPPA和GDPR作為參考提升立法層級(jí)，確立民法保護(hù)的基本路徑：一方面，將父母知情同意原則歸納入《民法典》的人格權(quán)編第六章“隱私權(quán)和個(gè)人信息保護(hù)”、婚姻家庭編第三章“家庭關(guān)系”中的父母子女關(guān)系節(jié)。原則項(xiàng)下，父母同意權(quán)能實(shí)現(xiàn)以明示、透明為標(biāo)準(zhǔn)，即不論何種形式，都應(yīng)當(dāng)在公平和透明的環(huán)境下做出明示的、自由的、明確的同意。原則衍生出的數(shù)據(jù)透明權(quán)、可攜帶權(quán)、被遺忘權(quán)、投訴舉報(bào)權(quán)、更正權(quán)等由父母根據(jù)數(shù)據(jù)控制者提供的網(wǎng)絡(luò)服務(wù)內(nèi)容和行為決定實(shí)施。另一方面，在動(dòng)態(tài)利益平衡和風(fēng)險(xiǎn)規(guī)制的現(xiàn)實(shí)背景下，不能忽視保護(hù)規(guī)則在民事和行政、法學(xué)與情報(bào)學(xué)銜接問題。除民法相關(guān)規(guī)定外，在《中華人民共和國網(wǎng)絡(luò)安全法》和《中華人民共和國未成年人保護(hù)法》已有的原則和規(guī)定基礎(chǔ)上，增加和細(xì)化父母知情同意原則的特殊規(guī)定及具體實(shí)施策略，敦促《未成年人網(wǎng)絡(luò)保護(hù)條例(送審稿)》盡快出臺(tái)，加快《個(gè)人信息保護(hù)法》的立法進(jìn)程，鼓勵(lì)、保證網(wǎng)絡(luò)信息的豐富和健康，著重強(qiáng)調(diào)父母知情同意原則的基礎(chǔ)地位和實(shí)施方法，從而積極引導(dǎo)兒童正確、合理地使用網(wǎng)絡(luò)，促進(jìn)兒童個(gè)人信息能夠合法、有效地流通和運(yùn)用。

3.2.2 合理定位兒童數(shù)字年齡

結(jié)合“個(gè)性化與平均年齡”困境以及美國、歐盟立法實(shí)踐，兒童數(shù)字年齡的定義是一個(gè)靜態(tài)與動(dòng)態(tài)相結(jié)合的過程，分別以美國13歲精準(zhǔn)年齡和歐盟13歲底線年齡為代表。借鑒GDPR立法局面，在《中華人民共和國民法總則》民事行為能力劃分的指引下，考慮到我國將12～18歲年齡段的未成年人稱為“少年”以及小學(xué)畢業(yè)年齡，建議以12歲作為標(biāo)準(zhǔn)界限，對(duì)不同年齡階段的兒童進(jìn)行個(gè)性化評(píng)估。12歲以下兒童個(gè)人信息全部符合敏感性標(biāo)準(zhǔn)，均需執(zhí)行嚴(yán)格的父母同意：一旦網(wǎng)絡(luò)服務(wù)涉及兒童姓名、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、銀行賬號(hào)、通信記錄、出生日期和年齡、性別、父母的全名、用戶名和密碼、實(shí)際地址等包含應(yīng)用程序內(nèi)置兒童主題、試聽內(nèi)容、以兒童為宣傳形象人物的廣告都應(yīng)當(dāng)以父母同意為處理依據(jù)。借鑒COPPA之同意例外規(guī)定和我國SAC/TC260 敏感信息處理標(biāo)準(zhǔn)，對(duì)13 歲以上兒童依據(jù)風(fēng)險(xiǎn)等級(jí)實(shí)行差異化標(biāo)準(zhǔn)：非交互式或不共享兒童個(gè)人數(shù)據(jù)的商業(yè)服務(wù)具有匿名化輕度風(fēng)險(xiǎn)(nuanced risk-based)，其信息處理無需征得父母同意；以內(nèi)部使用(internal purpose)為目的的服務(wù)具有中度風(fēng)險(xiǎn)，可以向父母發(fā)送電子郵件，收到父母回復(fù)后采取額外的確認(rèn)步驟；向第三方披露兒童個(gè)人數(shù)據(jù)、使用行為的廣告具有最高風(fēng)險(xiǎn)(highest risk)，必須采用嚴(yán)格的父母同意，要求父母通過手機(jī)驗(yàn)證等方式填寫并返回相關(guān)身份證明文件[11]。

3.2.3 明確面向兒童的網(wǎng)絡(luò)服務(wù)內(nèi)容

目前我國專門面向兒童的網(wǎng)絡(luò)服務(wù)種類繁多且極具吸引力，非單純指向兒童的視頻、社交、新聞、消費(fèi)軟件也包含了大量的兒童用戶。明確面向兒童的網(wǎng)絡(luò)服務(wù)的具體范圍，是父母知情權(quán)和同意權(quán)行使的依據(jù)，以可識(shí)別性和敏感性作為標(biāo)準(zhǔn)，形成區(qū)別對(duì)待兒童與成人個(gè)人信息保護(hù)的策略。一方面，兒童最為典型的識(shí)別方法就是年齡，此舉可以通過自我驗(yàn)證機(jī)制實(shí)現(xiàn)。以超星數(shù)字圖書館為例，兒童用戶在注冊(cè)、使用數(shù)字圖書APP資源時(shí)，數(shù)據(jù)控制者應(yīng)當(dāng)主動(dòng)限定注冊(cè)人的年齡標(biāo)準(zhǔn)，并通過實(shí)名手機(jī)注冊(cè)的方式通知到父母；數(shù)據(jù)處理者更新隱私聲明、改變服務(wù)內(nèi)容等仍需要取得可驗(yàn)證的父母同意。另一方面，根據(jù)網(wǎng)絡(luò)服務(wù)內(nèi)容特征確定信息敏感性，如果網(wǎng)絡(luò)服務(wù)中包含專門針對(duì)兒童的應(yīng)用主題、視覺顏色、動(dòng)畫角色、活動(dòng)和獎(jiǎng)勵(lì)、兒童專用語言和專屬明星等內(nèi)容，都應(yīng)以父母同意為使用前提。同樣，在超星圖書館“應(yīng)用分級(jí)”中，將年齡劃分為3/7/12/16/18四個(gè)等級(jí)，其中年滿12歲可能包括少量的輕微暴力、少量含蓄的不良用語等情形，兒童僅可根據(jù)父母同意，使用已設(shè)置的當(dāng)前等級(jí)及低于當(dāng)前等級(jí)的學(xué)術(shù)資源、報(bào)紙、公開課、視頻和有聲讀物內(nèi)容。

3.2.4 父母知情同意原則實(shí)施中的技術(shù)要求

我國要求所有數(shù)據(jù)處理者都應(yīng)當(dāng)通過手機(jī)號(hào)碼注冊(cè)登錄網(wǎng)頁或者APPs，而境內(nèi)手機(jī)用戶號(hào)碼均已完全實(shí)現(xiàn)實(shí)名制。換句話說，所有享受網(wǎng)絡(luò)服務(wù)的個(gè)人都以實(shí)名制的方式實(shí)現(xiàn)數(shù)據(jù)處理，這為父母知情同意原則的實(shí)現(xiàn)提供了技術(shù)前提。

首先，針對(duì)不同的兒童個(gè)人信息采用黑白名單。對(duì)比COPPA與GDPR的立法不難發(fā)現(xiàn)，美國采取的行業(yè)自律模式注重個(gè)人信息保護(hù)的事后規(guī)制，通過排除的方式說明數(shù)據(jù)控制者的種類；而GDPR采取的則是統(tǒng)一的事前規(guī)制模式，事先設(shè)置父母知情同意的標(biāo)準(zhǔn)要件。相應(yīng)地，父母可以通過設(shè)置黑名單與白名單的方式分別采用排除法和列舉法篩選網(wǎng)絡(luò)服務(wù)商。例如，在數(shù)字圖書館使用過程中，在其網(wǎng)絡(luò)服務(wù)程序上使用過濾器，以黑白名單的方式排除含有成年內(nèi)容的網(wǎng)站，篩選符合兒童閱讀要求的文獻(xiàn)。

其次，在APPs內(nèi)部采用“未成年人保護(hù)工具”等技術(shù)手段。技術(shù)手段是美國COPPA的一大特色，在偉易達(dá)案當(dāng)中，F(xiàn)TC就指控其未能按照COPPA規(guī)則第312.8條的要求，建立和保持合理的數(shù)據(jù)安全措施以保護(hù)收集到的信息，以發(fā)現(xiàn)眾所周知且可合理預(yù)見的諸如SQL注入等漏洞[46]。我國部分iOS和Android平臺(tái)的APPs已經(jīng)開始探索兒童模式并作為經(jīng)驗(yàn)推廣。例如，抖音未成年人保護(hù)工具分為時(shí)間鎖、兒童/青少年模式、親子平臺(tái)三種。其中，兒童/青少年模式提供視頻篩選服務(wù)，精選教育、知識(shí)類內(nèi)容，無法進(jìn)行充值、打賞，且每日22時(shí)至次日早6時(shí)無法使用抖音。最重要的是，該模式可以由父母預(yù)先設(shè)置獨(dú)立密碼，由父母的手機(jī)號(hào)進(jìn)行驗(yàn)證。

最后，借助于人臉識(shí)別AI技術(shù)，在線驗(yàn)證父母同意已經(jīng)不再是難以實(shí)現(xiàn)的目標(biāo)。2015年11月，美國一家商業(yè)軟件開發(fā)公司Riyo獲得了FTC對(duì)一種新的可驗(yàn)證的父母同意方法的批準(zhǔn)，該方法被稱為“人臉照片匹配驗(yàn)證識(shí)別”[19]。GDPR第4條第14款中將面部形象明確包含在生物識(shí)別數(shù)據(jù)下，要求歐盟成員國嚴(yán)格遵循GDPR使用人臉識(shí)別技術(shù)[47]。在互聯(lián)網(wǎng)技術(shù)領(lǐng)先的中國，iPhone、小米、華為等廠家早已實(shí)現(xiàn)面部識(shí)別技術(shù)，通過驗(yàn)證父母面部特征來實(shí)現(xiàn)父母同意已經(jīng)完全具備現(xiàn)實(shí)基礎(chǔ)。

3.2.5 設(shè)置違反父母知情同意原則的處罰機(jī)制

處罰機(jī)制不僅是COPPA 的特色，而且GDPR 規(guī)定對(duì)違反其規(guī)定的企業(yè)會(huì)處以高可達(dá)2，000萬歐元或者其全球營業(yè)額4%(以高者為準(zhǔn))的罰金。如果數(shù)據(jù)控制者缺乏明確的兒童個(gè)人信息保護(hù)具體方法，違反GDPR 要求的“父母同意”，可能招致高達(dá)全球年?duì)I業(yè)額2%或1億歐元的行政罰款。反觀《保護(hù)規(guī)定》，僅在第26條[41]規(guī)定了數(shù)據(jù)控制者的行政和刑事責(zé)任，忽視違反父母知情同意原則的主體責(zé)任。長期以來，我國兒童個(gè)人信息保護(hù)程度完全依賴行業(yè)上的道德自律。由于兒童個(gè)人信息往往涉及父母年齡、職業(yè)、住址和聯(lián)系方式等敏感信息，在經(jīng)濟(jì)發(fā)展為導(dǎo)向的驅(qū)使下，互聯(lián)網(wǎng)行業(yè)為了巨大的灰色紅利，會(huì)選擇性忽視用戶主體年齡，越過父母知情同意原則直接向兒童提供網(wǎng)絡(luò)服務(wù)。這種以犧牲

個(gè)人信息權(quán)利為代價(jià)的發(fā)展途徑，無異于環(huán)境污染企業(yè)先發(fā)展后治理的傳統(tǒng)思路。因此，面臨國內(nèi)各種兒童個(gè)人信息保護(hù)亂象，結(jié)合域外立法經(jīng)驗(yàn)，建議在特殊規(guī)定中形成雙向處罰機(jī)制，以保障該原則的實(shí)施。即一方面加強(qiáng)互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)控制者的通知義務(wù)，要求其在收集或使用兒童的個(gè)人信息之前履行有關(guān)通知/變更通知義務(wù)、直接通知父母并取得可驗(yàn)證的父母同意，未盡通知義務(wù)的，按照營業(yè)額比例處以罰金，造成嚴(yán)重后果的對(duì)法人、非法人組織及其代表人處以行政或刑事處罰；另一方面，對(duì)于父母怠于履行同意職責(zé)的，可以由人民法院施以一定的民事制裁，包括具結(jié)悔過、訓(xùn)誡、罰款等，以敦促父母履行其應(yīng)盡義務(wù)。

注釋

① Bond van 廣告商訴荷蘭一案（Case 352/85 Bond van Adverteerders v the Netherlands State[1988]、ECR 2085.）:起初“信息社會(huì)服務(wù)”在歐洲被定義為“任何通常為獲取報(bào)酬的、遠(yuǎn)程的、以電子方式經(jīng)服務(wù)接受者要求所提供的服務(wù)”，并嚴(yán)格將報(bào)酬解釋為電視廣告服務(wù)中用戶直接支付的價(jià)款。事實(shí)上，一些看似免費(fèi)的服務(wù)實(shí)際上是由廣告商支付報(bào)酬的。為此，Bond van聯(lián)合其他廣告商，將秉持“非商業(yè)-多元化”信息服務(wù)的荷蘭訴至歐洲法院，法院裁定報(bào)酬不僅可以來自服務(wù)接受者，也可以來自廣告商；法院進(jìn)一步裁定，即使在服務(wù)提供者是非營利組織的情況下，只要有能夠獲得回報(bào)的機(jī)會(huì)因素，也可以認(rèn)定為“為獲取報(bào)酬而提供的服務(wù)”。此案從側(cè)面擴(kuò)大解釋了“信息社會(huì)服務(wù)”的概念和適用范圍。

② 《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》和《信息安全技術(shù)個(gè)人信息安全規(guī)范》的發(fā)布主體分別是國家互聯(lián)網(wǎng)信息辦公室和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260），均不具有立法主體資格。