■ 佟麗華

(北京青少年法律援助與研究中心，北京 100161)

隨著大數(shù)據(jù)分析、人工智能、機(jī)器學(xué)習(xí)等信息技術(shù)的發(fā)展，數(shù)據(jù)已成為網(wǎng)絡(luò)世界的一種寶貴資源。以美國的FAANG(1)FAAGN是Facebook、Apple、Amazon、Netflix和Google(Alphabet的子公司)五家美國互聯(lián)網(wǎng)公司的簡(jiǎn)稱。和中國的BAT(2)BAT是百度、阿里巴巴和騰訊三家中國互聯(lián)網(wǎng)公司的簡(jiǎn)稱。、TMD(3)TMD是今日頭條(字節(jié)跳動(dòng)的子公司)、美團(tuán)和滴滴三家中國互聯(lián)網(wǎng)公司的簡(jiǎn)稱。等為代表的互聯(lián)網(wǎng)企業(yè)，不斷挖掘數(shù)據(jù)的潛在價(jià)值，為社會(huì)創(chuàng)造了巨大的財(cái)富。同時(shí)，對(duì)數(shù)據(jù)大范圍的應(yīng)用也帶來了個(gè)人信息和隱私方面的安全隱患。2018年的Facebook“數(shù)據(jù)門”事件引發(fā)全球熱議，讓個(gè)人信息和數(shù)據(jù)保護(hù)一時(shí)成為熱點(diǎn)。在未成年人網(wǎng)絡(luò)保護(hù)過程中，我國當(dāng)前立法政策的基本思路是：首先要確定未成年人的身份，在此基礎(chǔ)上再強(qiáng)化對(duì)其進(jìn)行特殊保護(hù)。我國在2016年公開征求意見的《未成年人網(wǎng)絡(luò)保護(hù)條例》第22條規(guī)定,“網(wǎng)絡(luò)信息服務(wù)提供者提供網(wǎng)絡(luò)游戲服務(wù)的(以下稱“網(wǎng)絡(luò)游戲服務(wù)提供者”)，應(yīng)當(dāng)要求網(wǎng)絡(luò)游戲用戶提供真實(shí)身份信息進(jìn)行注冊(cè)，有效識(shí)別未成年人用戶，并妥善保存用戶注冊(cè)信息。國家鼓勵(lì)網(wǎng)絡(luò)游戲服務(wù)提供者根據(jù)國家有關(guān)規(guī)定和標(biāo)準(zhǔn)開發(fā)網(wǎng)絡(luò)游戲產(chǎn)品年齡認(rèn)證和識(shí)別系統(tǒng)軟件?！痹趯?shí)踐中，很多互聯(lián)網(wǎng)企業(yè)也都將人臉識(shí)別、指紋登陸、身份信息等作為加強(qiáng)未成年人網(wǎng)絡(luò)保護(hù)的重要手段。但與此同時(shí)，也帶來了“如何保障這些信息不會(huì)被泄露？又如何保障這些信息不會(huì)被濫用？”等一系列的問題。正如聯(lián)合國兒童基金會(huì)副執(zhí)行主任法圖瑪塔·恩達(dá)耶女士所說，未成年人在網(wǎng)上留下的“數(shù)字足跡”可能會(huì)導(dǎo)致其個(gè)人信息和隱私的泄露，對(duì)此，未成年人及其父母往往還沒有意識(shí)到，就更談不上對(duì)其所面臨的風(fēng)險(xiǎn)進(jìn)行有效的防范和應(yīng)對(duì)了[1]。

一、我國未成年人個(gè)人身份識(shí)別及信息保護(hù)的立法與實(shí)踐

國家互聯(lián)網(wǎng)信息辦公室于2019年8月23日發(fā)布了《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》，并于2019年10月1日正式施行。在此之前，我國沒有專門針對(duì)未成年人個(gè)人信息保護(hù)的立法，對(duì)個(gè)人信息保護(hù)的相關(guān)規(guī)定也較為分散，而且多為原則性規(guī)定，實(shí)操性較差，在具體落實(shí)的過程中也存在很多漏洞。

(一)對(duì)未成年人身份識(shí)別的要求

為了滿足未成年人網(wǎng)絡(luò)安全保護(hù)的需求，我國立法政策在未成年人身份識(shí)別上提出了很多具體要求。根據(jù)新聞出版總署、中央文明辦、教育部等八部委分別于2007年4月、2011年7月發(fā)布的《網(wǎng)絡(luò)游戲防沉迷系統(tǒng)實(shí)名認(rèn)證方案》和《關(guān)于啟動(dòng)網(wǎng)絡(luò)游戲防沉迷實(shí)名驗(yàn)證工作的通知》，以及文化部2010年7月發(fā)布的《關(guān)于貫徹實(shí)施<網(wǎng)絡(luò)游戲管理暫行辦法>的通知》的要求，我國逐步推行網(wǎng)絡(luò)游戲?qū)嵜J(rèn)證，強(qiáng)調(diào)網(wǎng)絡(luò)游戲運(yùn)營商應(yīng)將收集的用戶身份信息提交公安部門進(jìn)行驗(yàn)證，用以識(shí)別未成年人用戶，并將未成年人用戶納入防沉迷系統(tǒng)。

自2012年起，《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》(2012年發(fā)布)、《網(wǎng)絡(luò)安全法》(2016年通過,2017年實(shí)施)，以及國家互聯(lián)網(wǎng)信息辦公室發(fā)布的相關(guān)規(guī)章等逐步要求“信息發(fā)布、即時(shí)通訊等服務(wù)”，通過“后臺(tái)實(shí)名、前臺(tái)自愿”的方式獲取用戶的真實(shí)身份信息。2017年的《未成年人網(wǎng)絡(luò)保護(hù)條例(送審稿)》中專門要求網(wǎng)絡(luò)游戲服務(wù)提供者“有效識(shí)別未成年人用戶，并妥善保存用戶注冊(cè)信息”。中國網(wǎng)絡(luò)視聽節(jié)目服務(wù)協(xié)會(huì)于2019年1月發(fā)布的《網(wǎng)絡(luò)短視頻平臺(tái)管理規(guī)范》也明確要求，網(wǎng)絡(luò)短視頻平臺(tái)應(yīng)采用“用戶畫像、人臉識(shí)別、指紋識(shí)別”等新技術(shù)手段以落實(shí)賬戶實(shí)名制。

從上述所介紹的法律政策的具體要求可以看出，我國未成年人網(wǎng)絡(luò)保護(hù)立法政策的基礎(chǔ)是身份識(shí)別，也就是說，為了加強(qiáng)對(duì)未成年人的網(wǎng)絡(luò)保護(hù)，首先強(qiáng)化了對(duì)其個(gè)人信息的收集，通過收集其各種信息以確認(rèn)其是未成年人，以便于給他們提供特殊保護(hù)。但這個(gè)收集信息的過程極有可能成為侵害未成年人隱私權(quán)的過程，或者就此埋下未成年人隱私權(quán)受到嚴(yán)重侵害的隱患。尤其是在互聯(lián)網(wǎng)企業(yè)高度全球化的背景下，中國未成年人的信息往往被大量外國企業(yè)輕易收集，這有可能會(huì)成為影響國家安全的重大風(fēng)險(xiǎn)之一。

(二)未成年人個(gè)人信息保護(hù)立法現(xiàn)狀及規(guī)定

第一，法律。對(duì)于未成年人個(gè)人信息保護(hù)，《未成年人保護(hù)法》第39條規(guī)定：“任何組織或者個(gè)人不得披露未成年人的個(gè)人隱私”，這僅僅做了原則性的規(guī)定。另外，在其他立法中也僅有一些涉及有關(guān)個(gè)人信息的一般性規(guī)定，如在《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》等法律中要求，網(wǎng)絡(luò)運(yùn)營者在收集、使用用戶的個(gè)人信息時(shí)，必須“公開收集、使用規(guī)則”，“明示收集、使用信息的目的、方式和范圍”，“并取得用戶的同意”。但這些規(guī)定都過于籠統(tǒng)，對(duì)于如何在實(shí)踐中落實(shí)并沒有明確的指引。

第二，部門規(guī)章?！秲和瘋€(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》作為兒童個(gè)人信息保護(hù)的專門性規(guī)定，填補(bǔ)了這一領(lǐng)域的空白。該《規(guī)定》對(duì)兒童的范圍、網(wǎng)絡(luò)運(yùn)營者在收集、使用、轉(zhuǎn)移、披露兒童個(gè)人信息過程中的義務(wù)進(jìn)行了全面規(guī)范，比如，“網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)設(shè)置專門的兒童個(gè)人信息保護(hù)規(guī)則和用戶協(xié)議，并指定專人負(fù)責(zé)兒童個(gè)人信息保護(hù)?！薄熬W(wǎng)絡(luò)運(yùn)營者收集、使用、轉(zhuǎn)移、披露兒童個(gè)人信息的，應(yīng)當(dāng)以顯著、清晰的方式告知兒童監(jiān)護(hù)人，并應(yīng)當(dāng)征得兒童監(jiān)護(hù)人的同意”。這些內(nèi)容都對(duì)網(wǎng)絡(luò)運(yùn)營者提出了明確的要求。

第三，其他規(guī)范性文件。工業(yè)和信息化部信息安全協(xié)調(diào)司2011年2月指導(dǎo)起草的《信息安全技術(shù)個(gè)人信息保護(hù)指南》第5.1.4條規(guī)定，“個(gè)人信息管理者不應(yīng)要求未滿16周歲的未成年人提交個(gè)人信息，當(dāng)發(fā)現(xiàn)信息提交者未滿16周歲時(shí)，應(yīng)給出明確提示并停止收集行為，為提供必要服務(wù)確需收集其個(gè)人信息的，應(yīng)征得其監(jiān)護(hù)人的同意”；全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2012年11月出臺(tái)的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》第5.2.7條規(guī)定，“不直接向未滿16周歲的未成年人等限制民事行為能力或無行為能力人收集個(gè)人敏感信息，確需收集其個(gè)人敏感信息的，要征得其法定監(jiān)護(hù)人的明示同意”；2017年12月發(fā)布的國家標(biāo)準(zhǔn)GB/T352273-2017《信息安全技術(shù)—個(gè)人信息安全規(guī)范》第5.5條c項(xiàng)規(guī)定，“收集年滿14周歲的未成年人的個(gè)人信息前，應(yīng)征得未成年人或其監(jiān)護(hù)人的明示同意；不滿14周歲的，應(yīng)征得其監(jiān)護(hù)人的明示同意”。這些文件的規(guī)定相對(duì)較為全面，但僅具有一般的行業(yè)約束力和指導(dǎo)性價(jià)值，不具有法律強(qiáng)制力，難以得到有效執(zhí)行。

總體來說，在我國個(gè)人信息保護(hù)立法相對(duì)不完善的情況下，《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》的出臺(tái)具有里程碑意義，將使兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)工作有法可依。但也存在一些問題，比如對(duì)那些滿14周歲不滿18周歲的未成年人個(gè)人信息如何保護(hù)？如何避免孩子濫用監(jiān)護(hù)人的同意權(quán)？父母提出撤回同意或請(qǐng)求刪除孩子個(gè)人信息是否方便？父母或其他監(jiān)護(hù)人怎樣了解網(wǎng)絡(luò)運(yùn)營者超出目的范圍或必要期限收集、存儲(chǔ)、使用、轉(zhuǎn)移、披露兒童個(gè)人信息？很多具體制度還都有待在執(zhí)行中不斷完善。

(三)存在的主要問題

從目前大型互聯(lián)網(wǎng)企業(yè)的通行做法來看，在身份識(shí)別和個(gè)人信息保護(hù)方面還存在以下問題。

第一，在身份識(shí)別方面難以有效落實(shí)。我國在網(wǎng)絡(luò)游戲方面的實(shí)名認(rèn)證要求比較嚴(yán)格，在網(wǎng)絡(luò)游戲注冊(cè)環(huán)節(jié)一般都會(huì)有實(shí)名認(rèn)證程序，甚至?xí)M(jìn)行人臉識(shí)別，但仍存在未成年人使用監(jiān)護(hù)人或其他成年人身份信息注冊(cè)的情況，從而逃避防沉迷系統(tǒng)的限制。而在其他網(wǎng)絡(luò)平臺(tái)，用戶只需填寫手機(jī)號(hào)碼即可注冊(cè)，一般不會(huì)要求用戶提供年齡信息，對(duì)用戶年齡的識(shí)別主要基于用戶主動(dòng)提供以及人工審核判斷。這是互聯(lián)網(wǎng)行業(yè)內(nèi)的普遍做法，雖然這種做法能夠滿足目前我國法律關(guān)于一般網(wǎng)絡(luò)使用行為的實(shí)名認(rèn)證要求，但對(duì)未成年人賬號(hào)的識(shí)別不夠主動(dòng)且不全面?；ヂ?lián)網(wǎng)企業(yè)完全被動(dòng)地依賴未成年人提供的年齡信息，且后續(xù)一般不會(huì)通過其他更有效的審核手段來判斷用戶真實(shí)年齡，使得用戶識(shí)別機(jī)制對(duì)未成年人形同虛設(shè)。

第二，在個(gè)人信息保護(hù)方面未能建立有效保護(hù)?；ヂ?lián)網(wǎng)企業(yè)主要按照2017年12月國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《信息安全技術(shù)—個(gè)人信息安全規(guī)范》的規(guī)定及其提供的隱私政策模板開展未成年人個(gè)人信息保護(hù)工作。企業(yè)在用戶注冊(cè)環(huán)節(jié)一般會(huì)同時(shí)向用戶提供用戶服務(wù)協(xié)議和隱私政策兩份文件。(1)在文件內(nèi)容上，一般對(duì)企業(yè)收集、使用、存儲(chǔ)個(gè)人信息等行為有著十分全面的描述，也賦予了用戶很多保護(hù)其個(gè)人信息的權(quán)利。但是，這兩份文件一般都很冗長(zhǎng)，對(duì)成年人而言，閱讀起來都會(huì)有一定難度，對(duì)于未成年人來說難度就更大了，他們幾乎是不閱讀的。(2)在文件的同意方式上，一般設(shè)置為主動(dòng)勾選同意或默認(rèn)勾選，否則用戶無法使用相關(guān)服務(wù)。在隱私政策中一般都有關(guān)于未成年人個(gè)人信息保護(hù)的特殊規(guī)定，包括要求未成年人和父母共同閱讀該政策并取得父母的同意；如果發(fā)現(xiàn)未經(jīng)監(jiān)護(hù)人同意而搜集了未成年人個(gè)人信息，將設(shè)法盡快刪除相關(guān)信息等。但實(shí)際上，企業(yè)不會(huì)主動(dòng)設(shè)法聯(lián)系未成年人的監(jiān)護(hù)人。未成年人很可能在監(jiān)護(hù)人不知情的情況下提供了大量的個(gè)人信息。

可見，我國互聯(lián)網(wǎng)企業(yè)的做法更主要的是滿足了相關(guān)規(guī)定形式上的要求，并沒有采取具體的實(shí)質(zhì)性措施，難以真正實(shí)現(xiàn)對(duì)未成年人的有效識(shí)別以及個(gè)人信息的有效保護(hù)。目前美國和歐盟等發(fā)達(dá)國家的普遍做法是：通過制定較為完善的法律法規(guī)來保護(hù)未成年人個(gè)人信息，這是值得我們借鑒的。

二、美國和歐盟兒童個(gè)人信息保護(hù)模式

從世界范圍來看，發(fā)達(dá)國家的普遍做法是通過制定較為完善的法律法規(guī)來保護(hù)未成年人個(gè)人信息，比如，美國于1998年通過了《兒童網(wǎng)絡(luò)隱私保護(hù)法》(以下簡(jiǎn)稱“COPPA”)，并于2013年7月修訂了相應(yīng)規(guī)則；歐盟于2018年5月實(shí)施了《一般數(shù)據(jù)保護(hù)條例》(以下簡(jiǎn)稱“GDPR”)。美國和歐盟均對(duì)兒童個(gè)人信息保護(hù)作出了嚴(yán)格的規(guī)定。

(一)美國兒童隱私保護(hù)模式

COPPA確定的重要原則就是，要求特定網(wǎng)站和網(wǎng)絡(luò)服務(wù)運(yùn)營商在收集、使用或透露不滿13歲兒童個(gè)人信息前應(yīng)履行“通知并取得同意”義務(wù)，即通知兒童父母并取得父母同意的事先義務(wù)。聯(lián)邦貿(mào)易委員會(huì)(以下簡(jiǎn)稱“FTC”)負(fù)責(zé)兒童網(wǎng)絡(luò)隱私保護(hù)的執(zhí)法。FTC在判斷一個(gè)網(wǎng)站或一項(xiàng)網(wǎng)絡(luò)服務(wù)是否針對(duì)兒童時(shí)，不僅以其運(yùn)營者的主觀意愿或單方面宣稱為準(zhǔn)，還會(huì)結(jié)合其他多種客觀元素，進(jìn)行綜合判斷。這些客觀因素主要由該網(wǎng)站或該項(xiàng)網(wǎng)絡(luò)服務(wù)的主題、內(nèi)容、語言、廣告以及實(shí)際觀眾構(gòu)成[2]。

在不同網(wǎng)絡(luò)服務(wù)運(yùn)營者的識(shí)別用戶年齡義務(wù)上有明確區(qū)分。針對(duì)兒童的網(wǎng)站和網(wǎng)絡(luò)服務(wù)運(yùn)營者，必須將全部用戶都視作兒童，必須認(rèn)真履行對(duì)父母“通知并取得同意”的義務(wù)[3]。針對(duì)普通用戶的網(wǎng)站和網(wǎng)絡(luò)服務(wù)運(yùn)營者，則僅在“實(shí)際知曉”某用戶為兒童(如接到父母投訴)時(shí)才需對(duì)其父母履行“通知并取得同意”義務(wù)，或刪除該用戶的個(gè)人信息，而不需主動(dòng)調(diào)查用戶年齡[4]。對(duì)于被判定為“針對(duì)兒童”、但不以兒童為“主要觀眾”的網(wǎng)絡(luò)運(yùn)營者，COPPA允許其在收集其他個(gè)人信息前首先通過“年齡信息收集屏”(4)年齡信息收集屏(age-screen)，通常是指用戶登陸網(wǎng)站時(shí)會(huì)出現(xiàn)一個(gè)頁面，提示用戶填寫年齡信息。來區(qū)分兒童用戶和非兒童用戶，并向那些自我識(shí)別為兒童的用戶履行對(duì)其父母“通知并取得同意”的義務(wù)[5]。

在驗(yàn)證方式上也有具體的要求。在已經(jīng)識(shí)別出該用戶是兒童之后，COPPA要求網(wǎng)絡(luò)服務(wù)運(yùn)營者取得“可驗(yàn)證的父母同意”，即在現(xiàn)有技術(shù)背景下，通過合理方式來驗(yàn)證兒童父母的身份[6]。目前經(jīng)FTC確認(rèn)的合理驗(yàn)證方式包括：由兒童父母簽署同意書、使用網(wǎng)絡(luò)支付系統(tǒng)、撥打免費(fèi)電話、視頻通話、提供身份證并與政府?dāng)?shù)據(jù)庫核對(duì)(核對(duì)后立即刪除身份信息)、回答一系列個(gè)性化問題、提交一張帶照片的身份證明和一張不同的照片并經(jīng)人臉識(shí)別技術(shù)核對(duì)，等等。為了避免監(jiān)護(hù)人在受到強(qiáng)迫的情況下做出同意的選擇，COPPA規(guī)則要求運(yùn)營者為兒童父母提供僅同意收集和使用兒童個(gè)人信息、但不同意向第三方透露兒童個(gè)人信息的選項(xiàng)[7]。此外，COPPA還規(guī)定了兒童父母對(duì)兒童個(gè)人信息的查閱權(quán)、撤回同意并要求刪除權(quán)[8]。對(duì)2019年2月14日以后違反COPPA的行為處罰也是很嚴(yán)厲的，最高可被處以42 530美元/次的民事罰款。

為了給行業(yè)更多的自我管理空間，COPPA規(guī)則允許行業(yè)組織等起草自我管理性質(zhì)的COPPA規(guī)則的合規(guī)指南，這些指南經(jīng)報(bào)FTC批準(zhǔn)后被稱為“安全港”項(xiàng)目，網(wǎng)站或網(wǎng)絡(luò)服務(wù)經(jīng)營者只要遵守了經(jīng)FTC批準(zhǔn)的安全港項(xiàng)目指南，即被視為符合了COPPA規(guī)則的要求。這些指南能為網(wǎng)站或網(wǎng)絡(luò)服務(wù)經(jīng)營者在具體執(zhí)行中提供具體的指引。

美國這一模式對(duì)兒童信息保護(hù)提出了較高要求，但也存在缺陷。對(duì)于被判定為針對(duì)兒童又不以兒童為主要觀眾的網(wǎng)站來說，兒童可以輕易通過謊報(bào)年齡的方式規(guī)避“年齡信息收集屏”，后續(xù)因“實(shí)際知曉”而附帶的“通知和取得同意”義務(wù)對(duì)運(yùn)營者的防規(guī)避責(zé)任要求較低，這些運(yùn)營者可以通過消極不作為的方式避免“實(shí)際知曉”。也就是說，美國法律并未規(guī)定身份識(shí)別，兒童年齡主要是通過其主動(dòng)申報(bào)。這種模式的優(yōu)點(diǎn)是能夠更好保護(hù)兒童及其監(jiān)護(hù)人的個(gè)人隱私權(quán)利，避免為了識(shí)別身份而過度搜集兒童及其監(jiān)護(hù)人個(gè)人信息，其缺點(diǎn)是容易放縱兒童通過謊報(bào)年齡的方式上網(wǎng)，難以有效落實(shí)對(duì)兒童的其他網(wǎng)絡(luò)保護(hù)內(nèi)容。

(二)歐盟兒童個(gè)人信息保護(hù)模式

歐盟GDPR在引言和正式條款中有多處針對(duì)兒童個(gè)人信息保護(hù)的內(nèi)容，其中第8條專門規(guī)定對(duì)處理兒童個(gè)人信息的同意(5)這里的“同意”，是指對(duì)于兒童用戶，個(gè)人信息控制者必須經(jīng)他們的父母同意或授權(quán)后才能處理他們的信息，文中簡(jiǎn)稱“同意”。問題。

在同意年齡上，GDPR允許歐盟各成員國在13-16周歲的范圍內(nèi)自主決定同意年齡的下限。截至2019年1月，德國、荷蘭和愛爾蘭選擇了16周歲，法國和希臘選擇了15周歲，意大利和西班牙選擇了14周歲，英國、比利時(shí)、丹麥和瑞典則選擇了13周歲[9]。

在監(jiān)管對(duì)象上，GDPR第8條的規(guī)定適用于直接向兒童提供的信息社會(huì)服務(wù)，在實(shí)際判斷中既要考慮網(wǎng)絡(luò)經(jīng)營者主觀表示的服務(wù)對(duì)象是否包括18周歲以下的兒童，也要考慮網(wǎng)站內(nèi)容、營銷方式等客觀證據(jù)[10]。但在具體實(shí)施上，比如在英國，會(huì)將不設(shè)18周歲年齡限制的網(wǎng)絡(luò)服務(wù)視為“直接向兒童提供的”[11]，但GDPR沒有COPPA中“實(shí)際知曉”這一相對(duì)較低的適用標(biāo)準(zhǔn)，因此，相比COPPA而言，GDPR在監(jiān)管對(duì)象范圍上的要求更嚴(yán)。

在年齡識(shí)別上，歐洲數(shù)據(jù)保護(hù)委員會(huì)(以下簡(jiǎn)稱“EDPB”)認(rèn)為，網(wǎng)絡(luò)經(jīng)營者必須通過合理的努力、結(jié)合現(xiàn)有技術(shù)和行為的內(nèi)在風(fēng)險(xiǎn)性來驗(yàn)證用戶的年齡以及兒童父母的身份，選擇與該行為的性質(zhì)和風(fēng)險(xiǎn)性相適應(yīng)的驗(yàn)證方法，避免在年齡驗(yàn)證過程中過度處理用戶個(gè)人信息[12]。GDPR并沒有具體列出一些可行的驗(yàn)證兒童父母身份的方法。EDPB認(rèn)為，可信賴的第三方驗(yàn)證服務(wù)有助于減少個(gè)人信息控制者自身需處理的個(gè)人信息數(shù)量[13]。另外，GDPR還允許網(wǎng)絡(luò)運(yùn)營者為了追求“正當(dāng)利益”，在未經(jīng)兒童父母同意的情況下處理兒童個(gè)人信息，但強(qiáng)調(diào)應(yīng)顧及兒童的利益、基本權(quán)利和基本自由[14]。

在同意條件上，GDPR對(duì)其有著非常細(xì)致、明確的要求：(1)同意應(yīng)是自愿給出的，如果被認(rèn)定為強(qiáng)迫同意，個(gè)人信息控制者將可能面臨高額罰款。(2)同意應(yīng)是具體的，應(yīng)明確信息處理的目的，且以滿足該目的必要性為限[15]。(3)同意應(yīng)是在完全知情基礎(chǔ)上的，應(yīng)明確同意范圍且條款簡(jiǎn)潔清晰。GDPR特別強(qiáng)調(diào)，向兒童提供的信息尤其應(yīng)采用簡(jiǎn)潔、透明且易于辨認(rèn)和接觸的形式，并使用兒童可以輕易理解的清楚而平白的語言[16]。(4)同意應(yīng)是清晰明確的，應(yīng)通過清晰的確認(rèn)行為作出[17]。

在信息管理上，GDPR對(duì)于個(gè)人信息主體的權(quán)利和個(gè)人信息控制者的義務(wù)有著非常全面的規(guī)定。個(gè)人信息主體可行使包括但不限于以下權(quán)利：(1)撤回同意權(quán)，即有權(quán)在任何時(shí)候、通過與要求同意時(shí)同等容易的方式撤回同意并要求刪除其個(gè)人信息[18]；(2)查閱權(quán)，即有權(quán)查閱其被處理的個(gè)人信息，并獲取被處理的個(gè)人信息副本[19]；(3)被遺忘權(quán)，即有權(quán)要求刪除經(jīng)兒童父母同意或授權(quán)而處理的個(gè)人信息[20]；(4)個(gè)人信息可移植權(quán)，即有權(quán)要求將那些經(jīng)其同意而被以自動(dòng)方式收集的個(gè)人信息以通用的電子格式從某一個(gè)人信息控制者處轉(zhuǎn)移至另一個(gè)人信息控制者處[21]。

在個(gè)人信息使用上，由于兒童的成熟度和理解力較低，更容易在網(wǎng)絡(luò)環(huán)境中受到剝削，EDPB認(rèn)為，那些足以影響兒童選擇和行為的純自動(dòng)化判斷都有可能對(duì)兒童產(chǎn)生較大影響，因此，通常情況下應(yīng)避免對(duì)兒童進(jìn)行“用戶畫像”，并用于行為定向廣告等營銷目的。

在違法處理上，GDPR明確允許公民和社會(huì)組織針對(duì)個(gè)人信息控制者的違規(guī)行為提起侵權(quán)訴訟，尋求損害賠償。而行政罰款金額可高達(dá)違規(guī)者全球年收入額的4%或2000萬歐元，以二者較高一項(xiàng)為準(zhǔn)，遠(yuǎn)高于COPPA[22]。

與COPPA的“安全港”項(xiàng)目相仿，GDPR也規(guī)定了行為準(zhǔn)則和認(rèn)證機(jī)制。經(jīng)監(jiān)管機(jī)構(gòu)批準(zhǔn)后，行業(yè)組織可以通過行為準(zhǔn)則實(shí)施行業(yè)自我管理，認(rèn)證機(jī)構(gòu)可以提供GDPR合規(guī)認(rèn)證、個(gè)人信息保護(hù)標(biāo)識(shí)等服務(wù)[23]。

歐盟的GDPR是一部全面的個(gè)人信息保護(hù)立法，沒有專門規(guī)定兒童父母的權(quán)利。但在個(gè)人信息主體的權(quán)利和個(gè)人信息控制者的義務(wù)等方面，均有著遠(yuǎn)比COPPA更細(xì)致、更充分、更嚴(yán)格的要求，并注入了更多新的理念。GDPR尤其在對(duì)同意的四項(xiàng)要求(即同意是自愿給出的、具體的、在完全知情基礎(chǔ)上的、清晰明確的)上比COPPA規(guī)則中的一次性“通知并取得同意”等標(biāo)準(zhǔn)更為嚴(yán)格。GDPR明確了網(wǎng)絡(luò)經(jīng)營者驗(yàn)證兒童年齡及其父母身份的義務(wù)，同時(shí)，強(qiáng)調(diào)了在驗(yàn)證過程中要避免過度處理個(gè)人用戶信息，并對(duì)侵害隱私權(quán)規(guī)定了嚴(yán)重的法律后果。

互聯(lián)網(wǎng)時(shí)代對(duì)于個(gè)人信息安全隱患的擔(dān)憂成為世界范圍內(nèi)的主要社會(huì)和政治議題。我國應(yīng)與國際趨勢(shì)相呼應(yīng)，應(yīng)有與國際標(biāo)準(zhǔn)接軌的立法和行業(yè)規(guī)范。為此，本文針對(duì)我國的立法與實(shí)踐中存在的問題，在借鑒域外相關(guān)立法與成功經(jīng)驗(yàn)的基礎(chǔ)上，兼顧未成年人個(gè)人信息保護(hù)和身份識(shí)別的雙重需求，提出未成年人網(wǎng)絡(luò)保護(hù)工作的具體建議。

三、具體建議

(一)國家主導(dǎo)建立“一站式”未成年人身份識(shí)別管理平臺(tái)

為了更好地平衡未成年人身份確認(rèn)與隱私權(quán)保護(hù)兩者之間的關(guān)系，建議國家立法明確規(guī)定，由國家網(wǎng)信部門主導(dǎo)建立“一站式”未成年人身份識(shí)別管理平臺(tái)，凡是需要確認(rèn)未成年人身份的，都由這個(gè)平臺(tái)統(tǒng)一收集和管理。該平臺(tái)由國家建設(shè)，避免出現(xiàn)各個(gè)互聯(lián)網(wǎng)企業(yè)為了識(shí)別身份而大肆收集未成年人及其監(jiān)護(hù)人個(gè)人信息的情況。同時(shí)明確，該平臺(tái)只負(fù)責(zé)身份識(shí)別，不負(fù)責(zé)對(duì)這些信息的儲(chǔ)存及分析。

(二)區(qū)分年齡確定未成年人個(gè)人信息保護(hù)的內(nèi)容

在未成年人保護(hù)領(lǐng)域，年齡是個(gè)復(fù)雜的問題。根據(jù)聯(lián)合國1989年通過的《兒童權(quán)利公約》以及我國《未成年人保護(hù)法》(2012年修訂)的規(guī)定，國際范圍內(nèi)的“兒童”以及我國法律中的“未成年人”都是指不滿18周歲的人，這是全球公認(rèn)的需要特殊保護(hù)的年齡階段。我國在民事法律中規(guī)定不滿8周歲為無民事行為能力人、滿8周歲不滿18周歲為限制民事行為能力人，滿16周歲以自己收入為主要生活來源的可以被視為完全民事行為能力人。

在刑法中拐騙兒童罪和拐賣兒童罪中的“兒童”是指不滿14周歲。2019年8月發(fā)布的《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》中規(guī)定“兒童”為不滿14周歲，這顯然是一個(gè)反復(fù)斟酌的結(jié)果，其主要目的就是要加強(qiáng)對(duì)不滿14周歲兒童信息的特別保護(hù)，但又不可避免地忽視了對(duì)滿14周歲不滿18周歲未成年人個(gè)人信息的特別保護(hù)。對(duì)于指紋、人臉等生物信息，年滿14周歲的未成年人顯然也需要特別保護(hù)。所以，建議全面加強(qiáng)對(duì)不滿18周歲未成年人個(gè)人信息的保護(hù)，認(rèn)真研究各個(gè)年齡階段需要保護(hù)的信息內(nèi)容，區(qū)分不同年齡確定要特別保護(hù)的重點(diǎn)內(nèi)容。

(三)完善監(jiān)護(hù)人同意制度

如前所述，目前大部分互聯(lián)網(wǎng)企業(yè)都制定了隱私政策，并規(guī)定了監(jiān)護(hù)人同意的內(nèi)容，但在執(zhí)行過程中更多的是流于形式，相關(guān)規(guī)定無法得到有效執(zhí)行。鑒于此，筆者建議，在未成年人個(gè)人信息保護(hù)的后續(xù)執(zhí)行機(jī)制中增加監(jiān)護(hù)人同意的條件及方式的規(guī)定?！秲和瘋€(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》中，增加了收集、使用不滿十四周歲兒童的個(gè)人信息應(yīng)當(dāng)征得監(jiān)護(hù)人明示同意的規(guī)定，并采納了與GDPR近似的對(duì)于同意的要求，即“告知”“具體”“清楚、明確”和“基于自愿”。但是，該《規(guī)定》并沒有對(duì)兒童用戶的識(shí)別和父母同意的驗(yàn)證方式作出規(guī)定。建議參考美國和歐盟的相關(guān)規(guī)定，以“合理性”和“現(xiàn)有技術(shù)水平”作為標(biāo)準(zhǔn)，采取多途徑、全方位的驗(yàn)證模式，包括郵件、傳真、金錢交易憑證、視頻連線、身份證等，把監(jiān)護(hù)人同意制度真正落到實(shí)處。

(四)引導(dǎo)制定行業(yè)執(zhí)行標(biāo)準(zhǔn)

目前我國已對(duì)兒童個(gè)人信息保護(hù)做出了專門規(guī)定，應(yīng)有具體的執(zhí)行標(biāo)準(zhǔn)使之得到有效落實(shí)。如果沒有具體的執(zhí)行要求，僅僅依靠單個(gè)企業(yè)自身力量，可能會(huì)出現(xiàn)執(zhí)行不到位，或執(zhí)行成本太高影響企業(yè)積極性的情況，最終難以使《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》得到有效落實(shí)。我們也應(yīng)借鑒美國和歐盟在個(gè)人信息保護(hù)方面的安全規(guī)則，由大型互聯(lián)網(wǎng)企業(yè)或已有的行業(yè)組織牽頭起草關(guān)于保護(hù)未成年人個(gè)人信息的可行性具體措施，并提交網(wǎng)信部門審核、備案，作為行業(yè)執(zhí)行標(biāo)準(zhǔn)，這樣既能夠?qū)崿F(xiàn)行業(yè)自我管理，也能夠達(dá)到對(duì)未成年人個(gè)人信息保護(hù)的目的。

結(jié)語：網(wǎng)絡(luò)保護(hù)關(guān)系到未成年人的各項(xiàng)權(quán)利。如果單純依靠主動(dòng)申報(bào)年齡，雖然有助于保護(hù)未成年人的個(gè)人隱私，但顯然淡化了對(duì)其他權(quán)利的保障；如果為了加強(qiáng)對(duì)其他權(quán)利的保障而過度強(qiáng)化身份識(shí)別，又不可避免導(dǎo)致隱私權(quán)受到侵害。因此，從國家立法的角度，如何破解身份識(shí)別和隱私保護(hù)之間的兩難命題？這是當(dāng)前我們必須直面的問題。個(gè)人信息的保護(hù)不僅是未成年人網(wǎng)絡(luò)保護(hù)的重要內(nèi)容，也關(guān)系到國家安全。如何構(gòu)建科學(xué)的制度以平衡、全面保護(hù)包括隱私在內(nèi)的未成年人各項(xiàng)權(quán)利，還需要我們作出更多的努力。