殷 峻

隨著互聯(lián)網(wǎng)技術(shù)的廣泛運用，互聯(lián)網(wǎng)也隨之向低齡人群滲透。根據(jù)全球互聯(lián)網(wǎng)治理委員會統(tǒng)計，全球范圍內(nèi)，大約30%的網(wǎng)絡(luò)用戶年齡不足18周歲。①Sonia Livingstone, John Carr and Jasmina Byrne,“One in Three: Internet Governance and Children’s Rights”，Global Commission on Internet Governace Paper, Series No.22, p.6, http://www.cigionline.org/sites/default/f i les/no22_2.pdf, 2018年9月20日。在發(fā)布社交媒體動態(tài)、注冊游戲賬號、郵件往來等網(wǎng)絡(luò)活動中，兒童會留下相關(guān)的個人信息，如家庭住址、喜愛偏好、教育經(jīng)歷等，此類信息極易被網(wǎng)絡(luò)運營者收集和利用。由于兒童心智尚未成熟，對個人信息安全缺少判斷力，信息遭到泄露、濫用之后將導(dǎo)致個人權(quán)利受到侵害，甚至威脅到身心健康和人身安全。在網(wǎng)絡(luò)時代，通過制定較為完善的法律法規(guī)來保護(hù)兒童個人信息是發(fā)達(dá)國家的普遍做法。美國、英國、日本、新加坡、加拿大、澳大利亞等國家已經(jīng)通過制定法律法規(guī)對兒童個人信息進(jìn)行法律保護(hù)。其中，2013年7月修訂的美國《兒童網(wǎng)絡(luò)隱私保護(hù)法》（Children’s Online Privacy Protection Act，以下簡稱2013年COPPA）是兒童個人信息保護(hù)立法中的典范，而2018年5月生效的歐盟《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡稱GDPR）對兒童個人信息保護(hù)做出了不少創(chuàng)新規(guī)定。本文在比較分析美國、歐盟和我國法律制度的基礎(chǔ)上，探討我國法律法規(guī)中存在的問題，提出我國兒童個人信息法律保護(hù)的完善建議。

一、兒童個人信息法律保護(hù)的法理基礎(chǔ)與立法現(xiàn)狀

（一）兒童個人信息法律保護(hù)的法理基礎(chǔ)。在網(wǎng)絡(luò)時代中，個人信息在現(xiàn)代社會的信息資源中占據(jù)重要地位，不再僅是公民私人領(lǐng)域的事物，而是引起廣泛關(guān)注的社會熱點問題。①楊立新：《個人信息：法益抑或民事權(quán)利——對《民法總則》第111 條規(guī)定的“個人信息”之解讀》，《法學(xué)論壇》2018年第1期。其中，兒童個人信息安全問題更是全社會關(guān)心的話題，兒童安全、健康的成長是家長和國家的期望，保護(hù)兒童個人信息免受侵害也是全社會的責(zé)任，對兒童個人信息的保護(hù)需要社會各界的支持和配合。在兒童個人信息保護(hù)領(lǐng)域，發(fā)達(dá)國家通常采取法律規(guī)范、社會保護(hù)、家庭教育和行業(yè)保障相結(jié)合的多層次綜合治理模式。在不同層次的保護(hù)方式中，法律保護(hù)居于基礎(chǔ)地位，發(fā)揮著關(guān)鍵作用。這里的法律做廣義解釋，是指通過法律法規(guī)和行業(yè)規(guī)范，明確規(guī)定兒童個人信息領(lǐng)域各方主體的權(quán)利、義務(wù)和責(zé)任，將各方主體的行為納入法律監(jiān)管的范圍之內(nèi)。

從本質(zhì)上說，個人信息的法律保護(hù)核心在于個人信息權(quán)的保護(hù)。目前，我國民法學(xué)者認(rèn)為個人信息權(quán)屬于人格權(quán)的范疇，旨在實現(xiàn)與維護(hù)“個人”人格的獨立和健全以及精神的自主，所保護(hù)的是為自然人與生俱來并不能移轉(zhuǎn)的生命、人身與自由等利益。②齊愛民、李儀：《論利益平衡視野下的個人信息權(quán)制度——在人格利益與信息自由之間》，《法學(xué)評論》2011年第3期。信息權(quán)是本人依法對其個人信息所享有的支配、控制并排除他人侵害的權(quán)利，是一項獨立的人格權(quán)，具有獨立的價值與內(nèi)涵。③張里安、韓旭至：《大數(shù)據(jù)時代下個人信息權(quán)的私法屬性》，《法學(xué)論壇》2016年第3期。不僅需要得到其他民事主體的尊重，更需要國家公權(quán)力機構(gòu)予以尊重，不僅權(quán)利主體自身可以采用合法措施保護(hù)該項權(quán)益，公權(quán)力機構(gòu)也應(yīng)當(dāng)采取積極措施保障該項權(quán)利的實現(xiàn)。④王利明：《論個人信息權(quán)在人格權(quán)法中的地位》，《蘇州大學(xué)學(xué)報（哲學(xué)社會科學(xué)版）》2012年第6期。兒童是個人信息權(quán)保護(hù)領(lǐng)域的特殊主體，對兒童的保護(hù)等同于對兒童權(quán)利的保護(hù)。⑤尹力：《良法視域下中國兒童保護(hù)法律制度的發(fā)展》，《北京師范大學(xué)學(xué)報（社會科學(xué)版）》2015年第3期。而在網(wǎng)絡(luò)世界中，對兒童個人信息的保護(hù)主要是對兒童個人信息權(quán)的保護(hù)，具體包括兒童對信息的知情權(quán)、處分權(quán)、修改權(quán)、保密權(quán)等。在對兒童個人信息權(quán)進(jìn)行法律保護(hù)時，立法者應(yīng)當(dāng)需要充分考慮權(quán)利主體的特殊性，尤其是要重視對兒童個人信息保密權(quán)的保障。

（二）兒童個人信息法律保護(hù)的立法現(xiàn)狀。國際公約層面，聯(lián)合國于1989年通過了《兒童權(quán)利公約》（The United Nations Convention on the Rights of the Child），為兒童權(quán)利的保護(hù)訂立了一套較為全面的國際法準(zhǔn)則，公約第17條規(guī)定了兒童獲取信息的權(quán)利，并且不受可能損害其福祉的信息之害。但公約并沒有對此處的“信息”（Information）做出進(jìn)一步解釋，其新任務(wù)是盡快適應(yīng)時下數(shù)字化、融合性和網(wǎng)絡(luò)化的環(huán)境。⑥Livingstone Sonia and Bulger Monica E,“A Global Research Agenda for Children’s Rights in the Digital Age”，Journal of Children and Media, vol.8, no.4, 2014.

國內(nèi)和地區(qū)立法層面，縱觀各國和地區(qū)兒童個人信息保護(hù)的立法，可分為統(tǒng)一立法模式和分散立法模式。統(tǒng)一立法模式是指國家專門制定關(guān)于兒童個人信息保護(hù)的法典，較為系統(tǒng)地規(guī)定兒童個人信息保護(hù)制度；分散立法模式是指關(guān)于兒童個人信息保護(hù)的法律條文散見于民法、侵權(quán)責(zé)任法、網(wǎng)絡(luò)信息法、未成年人保護(hù)法等法律中，具體規(guī)定較為分散。采取統(tǒng)一立法模式的典型代表是美國，歐盟、澳大利亞、日本、新加坡、加拿大等國家和地區(qū)采取的是分散立法模式。美國在兒童個人信息法律保護(hù)領(lǐng)域成果頗豐，最為重要的是1998年10月通過的《兒童網(wǎng)絡(luò)隱私保護(hù)法》（Children’s Online Privacy Protection Act，以下簡稱1998年COPPA），該法主要規(guī)范了收集兒童信息的行為，創(chuàng)設(shè)了監(jiān)護(hù)人同意制度，增加了網(wǎng)絡(luò)運營商的隱私政策等。在該法生效之前，美國國會通過了《通訊內(nèi)容端正法案》（Communication Decency Act of 1996）和《兒童在線保護(hù)法案》（Child Online Protect Act of 1998），但兩部法案均因違反憲法而未能生效。2000年12月，《兒童網(wǎng)絡(luò)保護(hù)法案》（Children’s Internet Protect Act of 2000）通過，該法案規(guī)范學(xué)校和圖書館的信息管理機制，限制兒童接觸網(wǎng)絡(luò)色情及露骨信息。歐盟在兒童個人信息保護(hù)立法方面取得了不少成績，2000年出臺的《歐盟基本權(quán)利憲章》（The Charter of Fundamental Rights of the European Union）第24條規(guī)定了兒童享有的權(quán)利。指導(dǎo)性文件方面，具有代表性的有《關(guān)于基于2016/679規(guī)則目的的自動化個人決定和數(shù)據(jù)畫像的指南》和《關(guān)于2016/679規(guī)則中“同意”的指南》。歐盟條例方面，GDPR對于兒童個人信息保護(hù)問題沒有設(shè)立專門的章節(jié)，相關(guān)條文散見于整部條例之中，其中共有5條“序言條款”涉及兒童個人信息保護(hù)，正文條文共有7條。①該5條“序言條款”分別為：第38條、第58條、第65條、第71條、第75條，主要對兒童個人信息保護(hù)做出原則性規(guī)定，起到宣誓的效果，以引起成員國的重視。正文條文分別為：第6(1)(f)條、第8條、第12(1)條、第17(1)(f)條、第22條、第40(2)(g)條、第57(1)(b)條，主要是具體的技術(shù)性規(guī)定。相較于之前的法律法規(guī)，GDPR對兒童個人信息保護(hù)的規(guī)定更加翔實，體現(xiàn)了兒童個人信息權(quán)利保護(hù)和個人表達(dá)自由的雙重價值，新增了“兒童信息的被遺忘權(quán)”、“自動化個人決定不適用于兒童”“監(jiān)護(hù)人同意制度”等內(nèi)容。

（三）中國保護(hù)兒童個人信息的立法現(xiàn)狀。我國互聯(lián)網(wǎng)治理采取的是“立法為主，行業(yè)自律和技術(shù)手段為輔”的模式，②張化冰：《中國互聯(lián)網(wǎng)治理的困局與邏輯重構(gòu)》，《學(xué)術(shù)研究》2017年第12期。對于個人信息保護(hù)立法采取的是分散立法模式，目前缺乏專門的個人信息保護(hù)法典，也沒有專門的兒童個人信息保護(hù)法典，直接規(guī)范兒童個人信息保護(hù)的法律法規(guī)較少。

在個人信息保護(hù)方面，2017年6月1日起施行的《網(wǎng)絡(luò)安全法》的第4章專門規(guī)定了“網(wǎng)絡(luò)信息安全”，2017年10月1日起施行的《民法總則》的第111條規(guī)定了自然人的個人信息受法律保護(hù)。具體到兒童個人信息保護(hù)領(lǐng)域，較為相關(guān)的是《網(wǎng)絡(luò)安全法》第13條，該條規(guī)定了國家為未成年人提供安全、健康的網(wǎng)絡(luò)環(huán)境。而我國關(guān)于兒童隱私的保護(hù)主要見于《未成年人保護(hù)法》第39條、第58條、第69條，分別規(guī)定了未成年人的隱私保護(hù)、未成年人罪犯信息的保護(hù)以及對侵犯未成年人隱私采取的行政處罰等內(nèi)容。工業(yè)和信息化部信息安全協(xié)調(diào)司起草的《信息安全技術(shù)個人信息保護(hù)指南》（以下簡稱“2011 年指南”）第5.1.4條和第5.4.7條規(guī)定了未成年人信息保護(hù)的年齡界限和監(jiān)護(hù)人同意原則。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會出臺的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》（以下簡稱“2013年指南”）第5.2.7條對了未成年人信息的收集做出限制?！?011 年指南”和“2013年指南”兩份文件借鑒了國外先進(jìn)的立法經(jīng)驗，屬于行政部門制訂的指導(dǎo)性文件，具有一般的行業(yè)約束力和指導(dǎo)性價值。另外，2017年12月29日，國家標(biāo)準(zhǔn)GB/T 352273 – 2017《信息安全技術(shù)——個人信息安全規(guī)范》（以下簡稱“2017信息規(guī)范”）正式發(fā)布，該規(guī)范為網(wǎng)絡(luò)運營者制訂隱私政策及完善內(nèi)控提供了指引。總之，我國目前對兒童個人信息的保護(hù)存在立法空白，現(xiàn)有的法律條文規(guī)定得過于籠統(tǒng)，實操性較弱，而不具有法律強制力的行業(yè)規(guī)范發(fā)展較為迅速，但沒有形成完整的體系。

二、兒童個人信息法律保護(hù)中存在的問題

（一）兒童個人信息保護(hù)的年齡界限。年齡是判斷民事權(quán)利能力的重要客觀標(biāo)準(zhǔn)，聯(lián)合國《兒童權(quán)利公約》第1條規(guī)定了兒童的年齡為18周歲。而在兒童個人信息保護(hù)領(lǐng)域，各國法律對于兒童年齡界限的規(guī)定并不一致。美國1998年的COPPA第1302條將兒童年齡界限設(shè)定為13周歲，而歐盟GDPR第8條第1款則設(shè)定為16周歲，成員國可以設(shè)定更低的年齡，但不得低于13周歲。隨著GDPR的生效，歐盟成員國也將在處理兒童個人信息的年齡界限上做出相應(yīng)調(diào)整。有學(xué)者認(rèn)為，GDPR對兒童個人信息保護(hù)采取的年齡標(biāo)準(zhǔn)并不合理，限制了部分兒童的言論自由，沒有充分考慮兒童的利益。③Milda Macenaite,“From Universal towards Child-specif i c Protection of the Right to Privacy Online: Dilemmas in the EU General Data Protection Regulation”，New Media & Society, vol.19, Issue 5, 2017.

我國法律并沒有對兒童的年齡做出明確規(guī)定，僅在《未成年人保護(hù)法》中規(guī)定未成年人是指未滿18周歲的公民。2017年3月通過的《民法總則》第17至19條以年齡的標(biāo)準(zhǔn)規(guī)定了完全民事行為能力人、限制民事行為能力人和無民事行為能力人。我國行業(yè)規(guī)范對兒童年齡的定義并不一致，“2011年指南”和“2013年指南”均將兒童個人信息保護(hù)的年齡界限設(shè)定為16周歲，而“2017信息規(guī)范”規(guī)定的界限是14周歲。值得一提的是，在兒童個人信息保護(hù)中討論的年齡界限主要涉及家長同意問題，既兒童在達(dá)到什么年齡才能無需家長同意即可自主決定如何處理個人信息。這與兒童是否擁有民事行為能力、擁有何種民事行為能力等問題不能混為一談。民事行為能力是民事主體以自己獨立的行為享有民事權(quán)利、承擔(dān)民事義務(wù)的資格，而年齡是作為民事主體是否擁有民事行為能力的客觀標(biāo)準(zhǔn)，即達(dá)到某一年齡時，民事主體可獨立享有民事權(quán)利、承擔(dān)民事義務(wù)。而兒童個人信息保護(hù)中的年齡標(biāo)準(zhǔn)主要規(guī)范的是兒童、家長及網(wǎng)絡(luò)運營者的處理信息的行為，即達(dá)到某一年齡時，兒童（信息權(quán)人）得以擁有獨立處理其信息的能力，家長則無權(quán)限制其行使處理信息的權(quán)利，網(wǎng)絡(luò)運營者對兒童的特別注意義務(wù)也相應(yīng)免除。

（二）兒童年齡的核實。隨著科技的發(fā)展，網(wǎng)絡(luò)中偽造、變造、篡改身份信息、年齡信息的情況時有發(fā)生，如何核實兒童的真實年齡成為實踐中的關(guān)鍵問題。在2013年COPPA修訂說明中，美國聯(lián)邦貿(mào)易委員會（Federal Trade Commission，以下簡稱FTC）提出，可以通過多種途徑核實兒童是否達(dá)到年齡界限，包括電子掃描或視頻傳輸技術(shù)；政府簽發(fā)的身份證明；駕照、社保號的部分片段；金錢交易憑證；替代性網(wǎng)上支付系統(tǒng)；電子簽名；家長同意平臺；核實郵件；安全港規(guī)則等。有學(xué)者認(rèn)為，還可以利用諸如監(jiān)護(hù)人、學(xué)校、第三方出具的擔(dān)保書、兒童的出生證明、生物科技認(rèn)定書等方式來核實兒童的年齡。①Adam Thierer,“Social Networking and Age Verification: Many Hard Questions; No Easy Solutions”，Progress &Freedom Foundation Progress on Point Paper, No. 14.5, 2007.與COPPA相比，GDPR對于兒童年齡的核實并沒有作出相關(guān)規(guī)定，而只是對監(jiān)護(hù)人同意的核實作出了原則性規(guī)定。牛津大學(xué)網(wǎng)絡(luò)學(xué)院研究團(tuán)隊在2013年發(fā)布的《在線賭博業(yè)中年齡核實技術(shù)的研究報告》中表示，通過電子身份證核實年齡相對較為可靠、快速，減少了欺騙和盜用，提高了客戶的滿意度，為賭博業(yè)提供了更為方便高效的行業(yè)自律方法。并可將此技術(shù)推廣至限制級電影、社交游戲等與兒童個人信息保護(hù)緊密相關(guān)的行業(yè)中去，以保護(hù)兒童的信息安全。②Victoria Nash, Rachel O’Connell, Ben Zevenbergen and Allison Mishkin,“Effective Age Verification Techniques:Lessons to be Learnt from the Online Gambling Industry, Final Report.”，https://www.oii.ox.ac.uk/research/projects/effectiveage-verif i cation-techniques/, 2018年9月20日。而也有學(xué)者認(rèn)為，該做法過分加重了網(wǎng)絡(luò)服務(wù)商的責(zé)任，限制了兒童在網(wǎng)絡(luò)世界的自治權(quán)，并沒有平衡好家長和網(wǎng)絡(luò)服務(wù)商之間的利益。③Milda Macenaite and Eleni Kostap,“Consent for Processing Children’s Personal Data in the EU: Following in US Footsteps?”，Information & Communications Technology Law, vol.26, no.2, 2017.在實踐中，某些核實方法也存在技術(shù)缺陷，例如：一般情況下成年人才可申請信用卡，但目前也有兒童可以辦理父母信用卡的副卡，這給他們逃避年齡審核提供了便利；網(wǎng)絡(luò)運營者不可能當(dāng)面驗證駕照的真?zhèn)?，兒童也可以通過購買虛假駕照來通過年齡驗證，而且提交私人駕照也會造成信息的二次泄露。法律不可能提供萬能的方法，也不可能阻止兒童撒謊或鉆科技的空子，年齡核實方法的主要目的是警示家長和網(wǎng)絡(luò)運營者，同時也對兒童起到教育和指引作用。

（三）監(jiān)護(hù)人同意。在網(wǎng)絡(luò)運營者向兒童收集或處理個人信息之前取得監(jiān)護(hù)人的同意已經(jīng)成為各國的共識，但如何取得監(jiān)護(hù)人的同意在技術(shù)上和法律上都是爭論較多的問題。GDPR第8條第2款規(guī)定，在考慮到現(xiàn)有的技術(shù)水平的前提下，信息控制者應(yīng)當(dāng)作出合理的努力以核實在此種情況下相關(guān)同意是否由相關(guān)兒童的監(jiān)護(hù)人作出或者授權(quán)。但GDPR僅僅規(guī)定了作出“合理的努力”（Reasonable Efforts），但并沒有對“合理的努力”作出進(jìn)一步解釋。相較于GDPR，COPPA的“監(jiān)護(hù)人同意”制度規(guī)定得更加詳實。1998年的COPPA第1303 (b) (1) (A) (ii)條規(guī)定了“可驗證的家長同意”制度（Verif i able Parental Consent），第1302條進(jìn)一步規(guī)定，要求運營者須采取合理努力（考慮到現(xiàn)有技術(shù)），在收集兒童的個人信息前，保證家長能夠收到授權(quán)運營者收集、使用、披露兒童用戶信息詳情的通知書和運營者收集、使用、披露兒童用戶信息的實踐情況。2013年COPPA第312.5條列舉“可驗證的家長同意”的6種情形，包括：父母簽名的郵件、傳真件或電子掃描件；金錢交易憑證；電話同意；視頻連線同意；政府簽發(fā)的身份認(rèn)證系統(tǒng)；郵件回復(fù)雙重確認(rèn)。

然而，學(xué)界對“監(jiān)護(hù)人同意”制度提出了疑慮，主要體現(xiàn)在三個方面：第一，父母對兒童的網(wǎng)絡(luò)行為進(jìn)行約束保護(hù)了兒童的安全，但會限制兒童上網(wǎng)的質(zhì)量和機遇，不利于兒童鍛煉數(shù)字化技能和抵御傷害的能力。①Andrea Duerager and Sonia Livingstone, How can Parents Support Children’s Internet Safety?，London: EU Kids Online, 2012, p.4.而且過多的父母監(jiān)督會嚴(yán)重影響兒童的社交形象，甚至造成兒童被孤立或遭到同伴質(zhì)疑，同性戀、雙性戀或變性人兒童群體則更為明顯。②Shmueli Benjamin and Blecher-Prigat Ayelet,“Privacy for Children”，Columbia Human Rights Law Review, vol.42,2011.第二，有學(xué)者直言，監(jiān)護(hù)人同意制度侵犯了兒童的隱私權(quán)。③Simone van der Hof and Eva Lievens,“The Importance of Privacy by Design and Data Protection Impact Assessments in Strengthening Protection of Children’s Personal Data under the GDPR”，Communications Law, vol.23, no.1, 2018.有的家長并非兒童個人信息的保護(hù)者，他們有意或無意地在網(wǎng)絡(luò)上“曬娃”或發(fā)布子女的照片和個人信息，這將給兒童個人信息的保護(hù)帶來嚴(yán)重的安全隱患。④Stacey B. Steinberg,“Sharenting: Children’s Privacy in the Age of Social Media”，Emory Law Journal, vol. 66, 2017.第三，相對于加重監(jiān)護(hù)人的監(jiān)督責(zé)任，法律更應(yīng)當(dāng)加重網(wǎng)絡(luò)運營者的注意義務(wù)，開發(fā)新的技術(shù)以約束網(wǎng)絡(luò)運營者的行為。例如：禁止兒童在其社交賬戶上自我介紹、禁止售賣兒童個人信息等，這將會比采用“監(jiān)護(hù)人同意”制度取得更好的效果。⑤Milda Macenaite and Eleni Kostap,“Consent for Processing Children’s Personal Data in the EU: Following in US Footsteps?”，Information & Communications Technology Law, vol.26, no.2, 2017.同時，政府應(yīng)當(dāng)在保護(hù)兒童網(wǎng)絡(luò)隱私和促進(jìn)經(jīng)濟發(fā)展之間做出平衡，只有當(dāng)造成明顯傷害或信息驗證確實無效時，政府才能進(jìn)行干預(yù)，推測的恐懼和假想的傷害并不能推動網(wǎng)絡(luò)法治的發(fā)展。⑥Adam Thierer,“The Pursuit of Privacy in a World Where Information Control is Failing”，Harvard Journal of Law &Public Policy, vol. 36, no. 2, 2013.

三、完善我國兒童個人信息法律保護(hù)的考量

（一）新增“兒童個人信息保護(hù)”章節(jié)。2011年國務(wù)院發(fā)布了《中國兒童發(fā)展綱要》（2011—2020年），這是我國第一部以兒童為主體、促進(jìn)兒童發(fā)展的國家行動計劃，綱要規(guī)定要保護(hù)兒童人身權(quán)利，加強兒童財產(chǎn)權(quán)益保護(hù)。對兒童個人信息的保護(hù)體現(xiàn)的是對兒童人身權(quán)的尊重，也是對兒童人格尊嚴(yán)的尊重，保護(hù)兒童的個人信息亦即是對這一特殊群體信息權(quán)的保護(hù)。相較于美國的統(tǒng)一立法模式，歐盟制定專門條款的分散立法模式更加符合我國的國情。由于我國已制訂《未成年人保護(hù)法》，《個人信息保護(hù)法》也在醞釀之中，單獨制訂《兒童個人信息保護(hù)法》的現(xiàn)實意義不大，可以考慮在未來制定個人信息保護(hù)法和修訂《未成年人保護(hù)法》時，設(shè)立“兒童個人信息保護(hù)”章節(jié)，整合目前已有的條款，增設(shè)新的配套制度。

（二）合理調(diào)整兒童個人信息保護(hù)的年齡界限。各國對于兒童個人信息保護(hù)的年齡界限規(guī)定不盡相同，我國法律和行業(yè)自律規(guī)范對此也并不一致。不同種類的商業(yè)信息適用于不同的年齡階段，而兒童的年齡階段在不同國家的法律或行業(yè)自律規(guī)定中也并非完全對應(yīng)，法律和自律規(guī)定上的不一致將會給運營商、家長和兒童帶來適用法律的困惑。⑦Valerie Verdoodt, Ingrid Lambrecht and Eva Lievens,“Mapping and Analysis of the Current Self and Co-regulatory Framework of Commercial Communication Aimed at Minors”，A Report in the Framework of AdLit Research Project, p.115,http://www.adlit.be., 2018年9月20日。而且，不同年齡階段的兒童也存在差異，以年齡作為判斷標(biāo)準(zhǔn)將會使部分兒童處于適合的地位，卻使部分兒童處于不適合的地位，不適合的地位將導(dǎo)致兩個不利后果：要么會抑制某些早熟兒童獲取新的信息和知識，要么會使某些晚熟的兒童接觸到與其智力水平不相適應(yīng)的信息。⑧Susan Stodolsky,“Age Related Changes in the Individual: Childhood and Adolescence”，Chicago Kent Law Review,vol.57, no.4, 1981．在年齡界限的設(shè)定上，美國（13周歲以下）和歐盟（16周歲以下或13周歲以下）設(shè)定單一年齡界限的方式較為簡單，未能充分考慮兒童的年齡跨度。而英國在制定新的《數(shù)據(jù)保護(hù)法》時，立法者意識到兒童的年齡跨度的問題，并在第123條規(guī)定了“適齡設(shè)計準(zhǔn)則”（Age-appropriate Design Code），規(guī)定網(wǎng)絡(luò)服務(wù)的設(shè)計理念應(yīng)當(dāng)充分考慮不同年齡階段兒童的不同需求。我國在設(shè)定處理兒童個人信息的年齡界限時，應(yīng)當(dāng)充分考慮到兒童年齡階段的差異性，不能簡單地將保護(hù)年齡設(shè)定在18周歲或16周歲，而需根據(jù)兒童個人信息的類別和重要程度分別設(shè)立。比如：由于兒童的肖像照片私密性更強，一旦泄露將造成更嚴(yán)重的后果，屬于重點保護(hù)的個人信息，因此需要將兒童的肖像照片和其他的個人信息區(qū)別開來。在立法時，可以將兒童照片處理的年齡界限設(shè)定在18周歲以下，即在兒童未滿18周歲時，其個人照片不得被任何網(wǎng)絡(luò)運營商收集或使用，監(jiān)護(hù)人同意或授權(quán)的除外；而對于兒童的其他個人信息，可將年齡界限設(shè)定在16周歲以下。

（三）設(shè)立監(jiān)護(hù)人同意制度。由于兒童心智尚未成熟，監(jiān)護(hù)人應(yīng)當(dāng)加強對兒童網(wǎng)絡(luò)行為的監(jiān)督。我國在起草“兒童個人信息保護(hù)”相關(guān)章節(jié)時，可以借鑒GDPR和COPPA的經(jīng)驗，設(shè)立監(jiān)護(hù)人同意制度。在兒童未達(dá)到年齡界限時，必須取得兒童監(jiān)護(hù)人的同意或授權(quán)，網(wǎng)絡(luò)運營者方能收集或處理兒童的個人信息。而對于“可驗證的家長同意”的驗證方式可以參照COPPA的規(guī)定，采取多途徑、全方位的驗證模式，包括郵件、傳真、金錢交易憑證、視頻連線、政府簽發(fā)的身份認(rèn)證、電子身份證等方式。

（四）設(shè)立安全港制度。目前我國互聯(lián)網(wǎng)行業(yè)發(fā)展迅速，但行業(yè)自律程度不高。除了遵守法律法規(guī)，互聯(lián)網(wǎng)行業(yè)應(yīng)當(dāng)打造自身的行業(yè)氛圍。只有塑造法治程度較高的互聯(lián)網(wǎng)行業(yè)，各網(wǎng)絡(luò)運營者才能積極地參與到兒童個人信息保護(hù)中去。消費者也會相應(yīng)地提升信任感，為網(wǎng)絡(luò)運營者提供個人信息，進(jìn)而促進(jìn)整個行業(yè)的良性發(fā)展。①張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，《中國法學(xué)》2015年第3期。而行業(yè)法治的構(gòu)建需要依靠行業(yè)自律規(guī)范，由掌握專業(yè)的網(wǎng)絡(luò)技術(shù)從業(yè)者共同起草和遵守，行業(yè)自律規(guī)范與法律法規(guī)共同提供保護(hù)，這也是在兒童個人信息保護(hù)領(lǐng)域設(shè)立安全港規(guī)則的初衷。1998年COPPA第1304條設(shè)立了安全港規(guī)則（Safe Harbor Rules），即行業(yè)組織制訂保護(hù)兒童隱私的自律規(guī)范和行為指南，這些規(guī)范和指南必須包括獨立監(jiān)管或懲戒程序，并提交聯(lián)邦貿(mào)易委員會審核批準(zhǔn)。安全港規(guī)則的建立不僅增強了行業(yè)自律規(guī)范的實操性，而且提升了互聯(lián)網(wǎng)行業(yè)適用COPPA的靈活性。我國在起草“兒童個人信息保護(hù)”相關(guān)章節(jié)時，可以考慮設(shè)立安全港規(guī)則，作為其他制度的補充，通過互聯(lián)網(wǎng)行業(yè)或組織自行起草關(guān)于保護(hù)兒童個人信息的自律規(guī)范，并提交我國網(wǎng)絡(luò)監(jiān)管部門審核、備案，對于其中切實可行的規(guī)范予以批準(zhǔn)，對于違反自律規(guī)范的網(wǎng)絡(luò)運營者予以相應(yīng)處罰和懲戒，在互聯(lián)網(wǎng)行業(yè)自律層面對網(wǎng)絡(luò)運營者進(jìn)行規(guī)制。