■ 汪 靖 符夢(mèng)婷

(同濟(jì)大學(xué) 藝術(shù)與傳媒學(xué)院，上海 200092)

2019年2月27日，美國(guó)聯(lián)邦貿(mào)易委員會(huì)(Federal Trade Commission，以下簡(jiǎn)稱FTC)宣布，被調(diào)查企業(yè)musical.ly(即TikTok運(yùn)營(yíng)商)因違反美國(guó)《兒童網(wǎng)絡(luò)隱私保護(hù)法》(Children’s Online Privacy Protection Act of 1998，COPPA)，罰款570萬(wàn)美元。這是該機(jī)構(gòu)在兒童網(wǎng)絡(luò)隱私案件中做出的迄今為止最大的民事罰款[1]。

上述案件再次提出了兒童網(wǎng)絡(luò)隱私保護(hù)的問(wèn)題。美國(guó)是世界上較早意識(shí)到兒童網(wǎng)絡(luò)隱私和數(shù)據(jù)安全問(wèn)題的嚴(yán)峻性，并通過(guò)立法形式對(duì)兒童網(wǎng)絡(luò)隱私加以保護(hù)的國(guó)家。到2018年為止，美國(guó)《兒童網(wǎng)絡(luò)隱私保護(hù)法》已通過(guò)20年，在其發(fā)展過(guò)程中形成了比較完善的隱私保護(hù)體系，取得了豐富的執(zhí)法經(jīng)驗(yàn)。本文試圖總結(jié)美國(guó)兒童網(wǎng)絡(luò)隱私保護(hù)法律制度的有益經(jīng)驗(yàn)及其局限，為我國(guó)企業(yè)和立法機(jī)構(gòu)提出針對(duì)性的建議。

一、美國(guó)《兒童網(wǎng)絡(luò)隱私保護(hù)法》的起源與立法背景

《兒童網(wǎng)絡(luò)隱私保護(hù)法》是美國(guó)首部有關(guān)兒童網(wǎng)絡(luò)隱私保護(hù)的聯(lián)邦法律?？偟膩?lái)說(shuō)，有兩個(gè)驅(qū)動(dòng)因素：社會(huì)背景和法律因素，這兩大因素在將兒童作為特殊數(shù)據(jù)主體專門立法保護(hù)方面起到了重要作用。

(一)社會(huì)背景

20世紀(jì)90年代初的美國(guó)，網(wǎng)站對(duì)兒童網(wǎng)絡(luò)用戶個(gè)人信息的大肆收集引發(fā)了新聞媒體的報(bào)道和廣泛的社會(huì)關(guān)注。美國(guó)有線電視新聞網(wǎng)(CNN)于1995年12月14日?qǐng)?bào)道：“沒(méi)有任何法律可以阻止一個(gè)陌生人撥打900號(hào)碼并獲取有關(guān)您孩子的信息。事實(shí)上，直到幾個(gè)星期以前，R.Donnelley的一家子公司就提供了這樣的服務(wù)。”[2]網(wǎng)站從兒童那里收集其個(gè)人或家庭信息的做法受到嚴(yán)厲抨擊，因?yàn)椤坝變簾o(wú)法理解揭露其個(gè)人信息的潛在影響; 他們也不能區(qū)分網(wǎng)站上的事實(shí)性材料和圍繞四周的廣告”[3]。

為了解決日益增長(zhǎng)的兒童在線隱私問(wèn)題，F(xiàn)TC在1998年舉辦了公共論壇，并對(duì)一千四百多家熱門網(wǎng)站進(jìn)行了調(diào)查，調(diào)查結(jié)果堪憂。FTC建議國(guó)會(huì)在兒童網(wǎng)絡(luò)隱私領(lǐng)域?qū)ｉT立法，讓父母可以控制從兒童那里收集和使用個(gè)人信息的行為。作為回應(yīng)，美國(guó)國(guó)會(huì)于1998年10月21日通過(guò)了《兒童網(wǎng)絡(luò)隱私保護(hù)法》，并授權(quán)FTC在該法案頒布后一年內(nèi)頒布實(shí)施該章程的細(xì)則。1999年10月20日，F(xiàn)TC頒布了《兒童網(wǎng)絡(luò)隱私保護(hù)法》的實(shí)施細(xì)則，并于2000年4月21日正式生效。

(二)法律因素

為了全方位的保障兒童網(wǎng)絡(luò)權(quán)益，美國(guó)政府制定了一系列相關(guān)法案，但是這些關(guān)于內(nèi)容管制的法案也時(shí)常面臨合憲性的爭(zhēng)議。從1996-2000年，美國(guó)國(guó)會(huì)先后通過(guò)了5個(gè)關(guān)于未成年人網(wǎng)絡(luò)保護(hù)的法案，其中3個(gè)被判違憲。1996年2月通過(guò)的《傳播凈化法》(CDA)，在1997年“雷諾訴自由聯(lián)盟案”中被最高法院宣布部分違憲；同年通過(guò)的《兒童色情保護(hù)法》(CPPA)于2002年被判違憲；1998年1月國(guó)會(huì)通過(guò)的《兒童在線保護(hù)法》(COPA)仍在2009年以失敗告終。從上述法案的命運(yùn)可知，政府試圖對(duì)網(wǎng)絡(luò)內(nèi)容加以規(guī)制的立法嘗試最終幾乎都在與憲法《第一修正案》所保護(hù)的言論自由價(jià)值的較量中落敗。

然而，這“并不能說(shuō)明互聯(lián)網(wǎng)不需要規(guī)制，而是折射出了人們對(duì)政府過(guò)度規(guī)制互聯(lián)網(wǎng)的擔(dān)心”[4]。 對(duì)于憲法《第四修正案》所捍衛(wèi)的另一種法律價(jià)值——個(gè)人隱私權(quán)的保護(hù)，卻在《兒童網(wǎng)絡(luò)隱私保護(hù)法》的順利實(shí)施中得以確認(rèn)。因此，《兒童網(wǎng)絡(luò)隱私保護(hù)法》將規(guī)制的重點(diǎn)從網(wǎng)絡(luò)內(nèi)容轉(zhuǎn)向網(wǎng)絡(luò)運(yùn)營(yíng)商的信息收集行為，這種轉(zhuǎn)向一方面回避了與言論自由價(jià)值的沖突，另一方面與保護(hù)個(gè)體隱私權(quán)的基本價(jià)值相符。

二、美國(guó)《兒童網(wǎng)絡(luò)隱私保護(hù)法》的主要內(nèi)容與重大修訂

美國(guó)國(guó)會(huì)通過(guò)《兒童網(wǎng)絡(luò)隱私保護(hù)法》的意圖是限制網(wǎng)絡(luò)運(yùn)營(yíng)商隨意收集信息的行為，增加父母對(duì)兒童在線活動(dòng)的參與，確保兒童參與在線活動(dòng)時(shí)的安全。這種保護(hù)主要體現(xiàn)在“強(qiáng)化網(wǎng)站運(yùn)營(yíng)商責(zé)任”和“賦予兒童監(jiān)護(hù)人權(quán)利”兩個(gè)方面。

《兒童網(wǎng)絡(luò)隱私保護(hù)法》特別關(guān)注針對(duì)兒童的網(wǎng)站和運(yùn)營(yíng)商明知其用戶是兒童的一般網(wǎng)站?！秲和W(wǎng)絡(luò)隱私保護(hù)法》的要求主要包括：通知、父母同意、父母審查、安全、游戲和獎(jiǎng)品使用限制五個(gè)方面。2012年12月，為應(yīng)對(duì)技術(shù)日新月異的變化，F(xiàn)TC自1998年《兒童網(wǎng)絡(luò)隱私保護(hù)法》通過(guò)以來(lái)，對(duì)其進(jìn)行了重大修訂，主要包括以下幾個(gè)方面：(1)擴(kuò)大了監(jiān)管范圍。對(duì)“運(yùn)營(yíng)商” 和“針對(duì)兒童的網(wǎng)站或在線服務(wù)”的定義做出了修改，修訂之后有更多的網(wǎng)站都必須遵守《兒童網(wǎng)絡(luò)隱私保護(hù)法》。(2)擴(kuò)大個(gè)人信息的范圍?！皞€(gè)人信息”被重新定義為包括“地理信息以及兒童圖像或語(yǔ)音的照片、視頻和音頻文件”，填補(bǔ)了原有立法的一個(gè)重大漏洞。(3)運(yùn)營(yíng)商被要求僅在“合理必要的時(shí)間內(nèi)”保留兒童的個(gè)人信息，并且必須采取“合理的措施來(lái)防止未經(jīng)授權(quán)的訪問(wèn)”。(4)為FTC提供了對(duì)安全港計(jì)劃的更大監(jiān)督權(quán)。修訂之前，參與安全港計(jì)劃的網(wǎng)站運(yùn)營(yíng)商僅受其自行創(chuàng)建和自我監(jiān)管的計(jì)劃約束，修訂之后則要求安全港計(jì)劃對(duì)其成員的信息實(shí)踐進(jìn)行年度全面審查，并向FTC提交年度審查結(jié)果的年度報(bào)告。(5)擴(kuò)充了公司獲得父母同意的方法。修訂之后，公司網(wǎng)站可以通過(guò)電子掃描簽署的父母同意書、視頻會(huì)議，使用政府頒發(fā)的身份證和其他支付系統(tǒng)獲得家長(zhǎng)同意。企業(yè)還可以提交新的同意方案，然后由FTC進(jìn)行為期120天的通知和評(píng)論過(guò)程以獲得批準(zhǔn)[5]。

三、美國(guó)《兒童網(wǎng)絡(luò)隱私保護(hù)法》的執(zhí)法情況

《兒童網(wǎng)絡(luò)隱私保護(hù)法》的執(zhí)法機(jī)構(gòu)可分為聯(lián)邦和州兩個(gè)層面。在聯(lián)邦層面，根據(jù)《聯(lián)邦貿(mào)易委員會(huì)法》(以下簡(jiǎn)稱《FTC法》)第5條，違反《兒童網(wǎng)絡(luò)隱私保護(hù)法》被視為不公平或欺騙性的商業(yè)行為，F(xiàn)TC可對(duì)其進(jìn)行民事處罰。在州層面，《兒童網(wǎng)絡(luò)隱私保護(hù)法》授權(quán)州檢察長(zhǎng)在聯(lián)邦地方法院提起訴訟，以強(qiáng)制網(wǎng)站或網(wǎng)絡(luò)運(yùn)營(yíng)商遵守FTC規(guī)定并對(duì)受侵害者做出賠償。自2000年《兒童網(wǎng)絡(luò)隱私保護(hù)法》正式生效以來(lái)，F(xiàn)TC已處理過(guò)28個(gè)違反《兒童網(wǎng)絡(luò)隱私保護(hù)法》規(guī)則的案例[6]。

(一)FTC處罰案例的違法行為類型

這些案件所涉及的法律規(guī)則主要是FTC的《兒童網(wǎng)絡(luò)隱私保護(hù)法》規(guī)則及《FTC法》第5條。

第一，F(xiàn)TC的《兒童網(wǎng)絡(luò)隱私保護(hù)法》規(guī)則要求：(1)充分通知；(2)直接通知家長(zhǎng)；(3)取得可驗(yàn)證的父母同意；(4)建立和維護(hù)合理程序以保護(hù)從兒童處收集的個(gè)人信息的機(jī)密性、安全性和完整性；(5)提供合理方式讓父母審閱兒童信息或者拒絕進(jìn)一步使用兒童信息的權(quán)利；(6)不得誘導(dǎo)兒童參加活動(dòng)并提供超過(guò)必需的個(gè)人信息。

第二，《FTC法》第5條。根據(jù)《FTC法》第5條，F(xiàn)TC負(fù)有禁止市場(chǎng)上不公平與欺詐性的商業(yè)活動(dòng)的職責(zé)。如果網(wǎng)站或在線服務(wù)的運(yùn)營(yíng)商違背了上述《兒童網(wǎng)絡(luò)隱私保護(hù)法》規(guī)則，或者實(shí)際做法與其公布的隱私政策中的承諾不一致，就會(huì)被認(rèn)為提供了“虛假和誤導(dǎo)性的隱私政策”，違反了《FTC法》第5條的規(guī)定。

本文對(duì)FTC提起的28個(gè)案例的起訴書(Complaints)作了內(nèi)容分析(見(jiàn)下頁(yè)表1)。

第一，幾乎所有的案例都涉及違反《兒童網(wǎng)絡(luò)隱私保護(hù)法》規(guī)則中的“充分通知”(92.9%)、“直接通知父母”(92.9%)和“父母同意”(96.4%)要求，并且這三種違法行為通常是同時(shí)發(fā)生。以2014年FTC訴在線評(píng)論網(wǎng)站Yelp Inc.案為例，F(xiàn)TC指控稱，Yelp雖然在其網(wǎng)站上提供了年齡篩選機(jī)制，但卻沒(méi)有為其新的移動(dòng)應(yīng)用程序(APP)開(kāi)發(fā)同樣的功能，導(dǎo)致從2009年4月到2013年4月，無(wú)論用戶輸入的出生日期是否表明其年齡在13歲以下，均可以在Yelp移動(dòng)應(yīng)用程序的IOS或Android版本注冊(cè)成功；并且無(wú)論是通過(guò)Yelp應(yīng)用程序還是通過(guò)Yelp網(wǎng)站完成注冊(cè)，用戶都可以獲得對(duì)Yelp服務(wù)的完全訪問(wèn)權(quán)限，網(wǎng)站所設(shè)置的年齡篩選機(jī)制實(shí)際上沒(méi)有任何作用[7]。

第二，違反《FTC法》第5條“禁止提供虛假和誤導(dǎo)性的隱私政策”(67.9%)。FTC提起的第一個(gè)違反《兒童網(wǎng)絡(luò)隱私保護(hù)法》的訴訟就是基于違背隱私政策的法律事實(shí)。Toysmart是一個(gè)主要銷售玩具的網(wǎng)站，2000年5月，該網(wǎng)站宣布其因經(jīng)濟(jì)狀況試圖出售所有財(cái)產(chǎn)，包括詳細(xì)的消費(fèi)者數(shù)據(jù)庫(kù)，而該數(shù)據(jù)庫(kù)中包含了兒童的姓名和生日。FTC指控稱，Toysmart在隱私政策中聲明，“從消費(fèi)者處收集的個(gè)人信息不會(huì)與第三方共享”，現(xiàn)在這種出售消費(fèi)者數(shù)據(jù)庫(kù)的做法違反了《FTC法案》第5條“公正、不欺騙”的原則[8]。

第三，“未提供合理方式讓父母審閱兒童信息或者拒絕進(jìn)一步使用兒童信息的權(quán)利”的案例共11起，占總數(shù)的39.3%，但從時(shí)間來(lái)看，這些案例均發(fā)生于2001-2008年。以2008年FTC訴索尼BMG案為例，索尼音樂(lè)為其旗下音樂(lè)家和演藝人員運(yùn)營(yíng)著一千多個(gè)音樂(lè)粉絲網(wǎng)站。FTC指控稱，通過(guò)這些網(wǎng)站，索尼音樂(lè)在未經(jīng)父母同意的情況下，不當(dāng)收集、維護(hù)和披露了至少30 000名13歲以下兒童的個(gè)人信息。然而，索尼音樂(lè)并沒(méi)有為父母提供合理的方法來(lái)審查從兒童那里收集的個(gè)人信息，或者拒絕進(jìn)一步使用兒童信息[9]。

表1 FTC處罰案例的違法行為類型(n=28)

第四，“誘使兒童披露超出參與該類活動(dòng)所必須的合理范圍的個(gè)人信息”的案例共4起，占總數(shù)的14.3%。這4起案例均發(fā)生在2001-2002年。以2001年FTC訴Monarch Services, Inc.案為例。Monarch公司運(yùn)營(yíng)了一家名為Girls’Life的網(wǎng)站，為13歲以下兒童提供在線活動(dòng)和服務(wù)。根據(jù)FTC的指控，如果兒童希望參加該網(wǎng)站組織的競(jìng)賽，就必須提交他們的全名、電子郵件地址等個(gè)人信息。這些內(nèi)容已遠(yuǎn)遠(yuǎn)超過(guò)了兒童參加活動(dòng)所必須的合理范圍的個(gè)人信息。最后Monarch公司被處以3.5萬(wàn)美元的民事罰款。該條款后來(lái)被認(rèn)為是一項(xiàng)“創(chuàng)新的條款”[10]，有效地阻止了運(yùn)營(yíng)商在沒(méi)有明確規(guī)定的情況下誘導(dǎo)兒童提供更多個(gè)人信息的可能性。

第五，“未建立和維護(hù)合理程序以保護(hù)從兒童處收集的個(gè)人信息的機(jī)密性、安全性和完整性”的案例僅有2起，但其重要性卻日益凸顯。2018年1月，F(xiàn)TC指控總部位于中國(guó)香港的智能玩具制造商偉易達(dá)(VTech)及其美國(guó)子公司沒(méi)有使用合理的數(shù)據(jù)安全措施來(lái)保護(hù)收集到的信息。由于這一安全缺陷，2015年11月在一次數(shù)據(jù)泄露事件中，偉易達(dá)近500萬(wàn)用戶數(shù)據(jù)遭黑客竊取。這是FTC發(fā)起的第一個(gè)涉及智能聯(lián)網(wǎng)玩具的案例[11]。

總體而言，網(wǎng)站運(yùn)營(yíng)商是否遵循數(shù)據(jù)處理的“通知和同意”原則，以及是否遵守“公正和不欺詐”原則一直是FTC執(zhí)法的重點(diǎn)?！秲和W(wǎng)絡(luò)隱私保護(hù)法》頒布初期，F(xiàn)TC對(duì)于“禁止以誘導(dǎo)式方法收集超過(guò)必需的兒童個(gè)人信息”的執(zhí)法效果顯著。有關(guān)“數(shù)據(jù)安全”的案例數(shù)量較少，但近年來(lái)國(guó)內(nèi)外層出不窮的數(shù)據(jù)泄露事件[注]近年來(lái)全球發(fā)生多起數(shù)據(jù)泄露事件，如2015年世界最大的婚外情交友網(wǎng)站Ashley Madison.com 3 600萬(wàn)用戶資料發(fā)生泄漏，2018年Facebook超過(guò)5 000萬(wàn)用戶的數(shù)據(jù)泄露事件。顯然已經(jīng)引起了美國(guó)執(zhí)法部門的重視。

(二)FTC處罰案例的罰款金額

如果違反《兒童網(wǎng)絡(luò)隱私保護(hù)法》，法院可以追究運(yùn)營(yíng)商的法律責(zé)任，并處以民事罰款，每次違規(guī)最高的達(dá)到民事罰款41 484美元[12]。法院對(duì)民事處罰金額的評(píng)估可能會(huì)考慮到許多因素，包括違規(guī)行為的嚴(yán)重性、經(jīng)營(yíng)者是否先前違反了規(guī)則、涉及的兒童人數(shù)、收集的個(gè)人信息的數(shù)量和類型、信息被使用的方式、是否與第三方共享，以及公司的規(guī)模。本文對(duì)FTC處罰的28個(gè)案例的罰款金額作了數(shù)據(jù)統(tǒng)計(jì)(見(jiàn)表2)。

由表2可知，F(xiàn)TC開(kāi)出的最高民事罰款為300萬(wàn)美元，最低僅為1萬(wàn)美元。2011年的Playdom案是目前為止罰款金額最高的案例。Playdom是迪士尼旗下的社交游戲公司，在2006-2010年期間運(yùn)營(yíng)了大約二十多個(gè)虛擬世界，涉及人數(shù)共計(jì)約1 224 000人。該網(wǎng)站被指控在用戶注冊(cè)過(guò)程中收集了兒童的年齡和電子郵件地址，但未能在收集或披露兒童個(gè)人信息之前直接通知或獲得其父母的可驗(yàn)證同意，因此FTC對(duì)其罰款300萬(wàn)美元[13]。

四、美國(guó)《兒童網(wǎng)絡(luò)隱私保護(hù)法》的爭(zhēng)議及其對(duì)歐盟的影響

(一)《兒童網(wǎng)絡(luò)隱私保護(hù)法》引發(fā)的爭(zhēng)議

《兒童網(wǎng)絡(luò)隱私保護(hù)法》自通過(guò)以來(lái)，受到了許多批評(píng)。有批評(píng)者認(rèn)為，《兒童網(wǎng)絡(luò)隱私保護(hù)法》的實(shí)際效果是阻止13歲以下兒童在大多數(shù)社交媒體平臺(tái)上自由表達(dá)[14]。批評(píng)者還指出，2012年修正案對(duì)某些應(yīng)用程序數(shù)量和網(wǎng)站的收入能力產(chǎn)生了不利影響。由于無(wú)法向兒童提供有針對(duì)性的廣告，運(yùn)營(yíng)商可能會(huì)增加向兒童展示的廣告數(shù)量，或者從基于廣告的收入模式轉(zhuǎn)向基于收費(fèi)的收入模式。這將影響兒童可用的免費(fèi)應(yīng)用程序和網(wǎng)站的質(zhì)量[15]。另一個(gè)常見(jiàn)的批評(píng)是，網(wǎng)站實(shí)施的年齡驗(yàn)證系統(tǒng)無(wú)法有效地保護(hù)兒童，因?yàn)閮和赡軙?huì)虛報(bào)年齡來(lái)訪問(wèn)這些網(wǎng)站，許多父母甚至?xí)椭麄兊暮⒆尤鲋e[16]。

還有一些批評(píng)者指出《兒童網(wǎng)絡(luò)隱私保護(hù)法》對(duì)網(wǎng)絡(luò)內(nèi)容和匿名性帶來(lái)的潛在影響。批評(píng)者認(rèn)為，《兒童網(wǎng)絡(luò)隱私保護(hù)法》的修訂使得那些混合型網(wǎng)站也被納入其監(jiān)管范圍，像YouTube這樣的混合型網(wǎng)站有可能使其內(nèi)容更加成熟(通過(guò)刪除芝麻街頻道)以避免吸引年幼的孩子，從而導(dǎo)致適合兒童觀看的網(wǎng)絡(luò)內(nèi)容數(shù)量急劇減少。如果網(wǎng)站要合乎《兒童網(wǎng)絡(luò)隱私保護(hù)法》新規(guī)，就必須對(duì)用戶進(jìn)行年齡篩查，但是任何要求互聯(lián)網(wǎng)用戶進(jìn)行個(gè)人身份識(shí)別的行為都會(huì)因寒蟬效應(yīng)而傷害言論自由[17]。甚至“父母同意”機(jī)制的有效性也遭到質(zhì)疑，因?yàn)樵诖髷?shù)據(jù)背景下，即使父母同意，也未必能對(duì)兒童進(jìn)行有效的保護(hù)。有研究表明，用戶僅閱讀一年中使用的網(wǎng)絡(luò)服務(wù)的隱私聲明就要花費(fèi)244 小時(shí)的時(shí)間，而現(xiàn)實(shí)中用戶往往越過(guò)隱私聲明直接點(diǎn)擊同意，既不閱讀更難以理解其內(nèi)容，隱私聲明淪為一紙空文[18]。更何況在網(wǎng)絡(luò)語(yǔ)境中，為使用產(chǎn)品或服務(wù)，用戶往往除點(diǎn)擊同意之外并無(wú)其他選擇，同意個(gè)人數(shù)據(jù)處理并不等于在復(fù)雜的網(wǎng)絡(luò)環(huán)境中給予個(gè)人控制其個(gè)人數(shù)據(jù)的靈丹妙藥。

(二)《兒童網(wǎng)絡(luò)隱私保護(hù)法》對(duì)歐盟GDPR的影響

盡管遭到很多爭(zhēng)議，但《兒童網(wǎng)絡(luò)隱私保護(hù)法》卻對(duì)歐盟《一般數(shù)據(jù)保護(hù)條例》以下簡(jiǎn)稱(GDPR)產(chǎn)生了重要影響。在GDPR最初的提案中，兒童被限定為18歲以下的個(gè)人。在提案發(fā)布之前，卻意外地引入了未經(jīng)父母同意不能處理13歲以下兒童個(gè)人數(shù)據(jù)的條款(第8條第1款)。在后來(lái)的草案中，歐盟委員會(huì)起初將父母同意的年齡限制為13歲，但最后一刻又提高到16歲。這一變化引發(fā)了公眾——特別是年輕人的憤怒。最后GDPR草案選擇了一種折衷辦法：將需父母同意的兒童年齡定為16歲，但允許成員國(guó)將年齡限制下調(diào)到不得低于13周歲，才得以通過(guò)[19]。

毫無(wú)疑問(wèn)，GDPR對(duì)同意年齡的選擇是來(lái)自于《兒童網(wǎng)絡(luò)隱私保護(hù)法》的靈感。關(guān)于GDPR的一份影響評(píng)估報(bào)告指出：“關(guān)于13歲以下兒童在網(wǎng)絡(luò)環(huán)境中同意的具體規(guī)則——需要父母授權(quán)——是從現(xiàn)行的1998年的《兒童網(wǎng)絡(luò)隱私保護(hù)法》中得到的啟發(fā)。”[20]歐盟委員會(huì)還明確承認(rèn)把13歲作為現(xiàn)有標(biāo)準(zhǔn)[21]的理由，是因?yàn)楸３脂F(xiàn)狀并不需要太多的改變或者給數(shù)據(jù)控制者帶來(lái)新的負(fù)擔(dān)。然而，有批評(píng)者認(rèn)為，歐盟立法者不應(yīng)照搬美國(guó)標(biāo)準(zhǔn)，而是應(yīng)該重新評(píng)估13歲的年齡門檻是否能夠適應(yīng)當(dāng)今的網(wǎng)絡(luò)環(huán)境并有效地減少隱私風(fēng)險(xiǎn)；是否能夠適應(yīng)歐洲文化和法律傳統(tǒng)；是否符合兒童互聯(lián)網(wǎng)使用的實(shí)證研究的結(jié)論[22]。

GDPR是一項(xiàng)非常嚴(yán)厲的立法。與《兒童網(wǎng)絡(luò)隱私保護(hù)法》相比，GDPR要求獲得父母同意的年齡門檻更高，約束的對(duì)象范圍更廣，賦予父母或監(jiān)護(hù)人的權(quán)利更全面，企業(yè)的合規(guī)成本更高，違法所受到的處罰力度更大。嚴(yán)苛的隱私保護(hù)條例和高額的罰款甚至讓部分企業(yè)直接退出歐洲市場(chǎng)[23]。

五、對(duì)我國(guó)的啟示

本文回顧了美國(guó)兒童網(wǎng)絡(luò)隱私保護(hù)機(jī)制的形成與演變，從《兒童網(wǎng)絡(luò)隱私保護(hù)法》二十多年的發(fā)展經(jīng)驗(yàn)來(lái)看，我們可以得到以下幾點(diǎn)啟示：

第一，《兒童網(wǎng)絡(luò)隱私保護(hù)法》的主要成就在于限制數(shù)據(jù)控制者對(duì)于兒童個(gè)人信息的收集行為?；舴颉ぜ{戈?duì)?Hoofnagle)認(rèn)為，“《兒童網(wǎng)絡(luò)隱私保護(hù)法》的真正價(jià)值在于它通過(guò)增加數(shù)據(jù)控制者的義務(wù)來(lái)限制個(gè)人數(shù)據(jù)的收集、使用和保留，而不是聚焦于父母同意的要求上?！盵24]從這個(gè)意義上講，《兒童網(wǎng)絡(luò)隱私保護(hù)法》對(duì)于20世紀(jì)90年代隨意收集兒童個(gè)人信息的網(wǎng)絡(luò)環(huán)境起到了有效的約束作用。

第二，《兒童網(wǎng)絡(luò)隱私保護(hù)法》在大數(shù)據(jù)環(huán)境下顯得有些力度不足，更現(xiàn)實(shí)的做法似乎需要將責(zé)任從父母轉(zhuǎn)移到數(shù)據(jù)控制者身上。法律可以通過(guò)限制數(shù)據(jù)控制者的行動(dòng)來(lái)杜絕有損兒童利益的行為，而不是過(guò)于依賴家長(zhǎng)同意來(lái)控制兒童的數(shù)據(jù)收集。蒙哥馬利(Montgomery)認(rèn)為一些關(guān)于兒童的數(shù)據(jù)收集——如數(shù)據(jù)畫像、行為廣告、跨平臺(tái)追蹤、地理定位等——即使有父母的授權(quán)同意，也不應(yīng)被《兒童網(wǎng)絡(luò)隱私保護(hù)法》所允許[25]。

第三，《兒童網(wǎng)絡(luò)隱私保護(hù)法》采用共同監(jiān)管的“安全港”模式值得借鑒。FTC建立了許多獲取父母同意的方法，以便為業(yè)界提供明確的指引，還允許網(wǎng)絡(luò)服務(wù)商向FTC提交新的可驗(yàn)證的父母同意方法。2013年12月，F(xiàn)TC批準(zhǔn)使用基于知識(shí)的認(rèn)證方法，即通過(guò)詢問(wèn)一系列挑戰(zhàn)性問(wèn)題來(lái)驗(yàn)證用戶身份的方法。這些問(wèn)題通常依賴于所謂的“錢包外”信息，即不能通過(guò)查看個(gè)人的錢包來(lái)確定、而且不是本人將很難回答的信息[26]。

基于以上對(duì)《兒童網(wǎng)絡(luò)隱私保護(hù)法》的探討，對(duì)我國(guó)未成年人網(wǎng)絡(luò)保護(hù)機(jī)制的建設(shè)提出如下建議：

第一，年齡驗(yàn)證和父母同意機(jī)制不宜照搬照抄。從國(guó)外執(zhí)法經(jīng)驗(yàn)來(lái)看，通過(guò)年齡驗(yàn)證和父母同意機(jī)制嚴(yán)格限制兒童信息的收集，可能會(huì)產(chǎn)生限制兒童上網(wǎng)權(quán)利、增加網(wǎng)絡(luò)運(yùn)營(yíng)商成本、對(duì)保護(hù)兒童隱私的實(shí)際作用有限等弊端。我國(guó)立法應(yīng)以未成年人權(quán)益保護(hù)為根本出發(fā)點(diǎn)，兼顧未成年人網(wǎng)絡(luò)隱私、未成年人上網(wǎng)權(quán)利與產(chǎn)業(yè)發(fā)展利益之間的平衡。我國(guó)2016年公布的《未成年人網(wǎng)絡(luò)保護(hù)條例(送審稿)》(以下簡(jiǎn)稱《條例(送審稿)》)在征得同意的方式上采取了“未成年人或監(jiān)護(hù)人同意”的方式，實(shí)際上回避了父母同意的問(wèn)題，可能就是出于此種考慮。

第二，重點(diǎn)限制或禁止網(wǎng)絡(luò)運(yùn)營(yíng)商對(duì)兒童不利的數(shù)據(jù)處理行為?！稐l例(送審稿)》對(duì)于針對(duì)兒童的數(shù)據(jù)畫像、行為定向廣告、追蹤兒童定位信息等未做明確規(guī)定，可以借鑒GDPR的做法，明確禁止這些可能損害兒童利益的數(shù)據(jù)處理行為。

第三，應(yīng)對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)商施加嚴(yán)格管理強(qiáng)制其擔(dān)負(fù)保護(hù)兒童數(shù)據(jù)的義務(wù)，對(duì)因安全漏洞導(dǎo)致數(shù)據(jù)泄漏等問(wèn)題加以嚴(yán)懲。《條例(送審稿)》只規(guī)定應(yīng)加強(qiáng)未成年人網(wǎng)上個(gè)人信息的保護(hù)，對(duì)于懲罰和補(bǔ)救措施未做明確規(guī)定。可以借鑒《兒童網(wǎng)絡(luò)隱私保護(hù)法》的做法，對(duì)未采取合理措施保障數(shù)據(jù)安全的企業(yè)進(jìn)行嚴(yán)格處罰；同時(shí)借鑒GDPR的做法，建立72小時(shí)內(nèi)數(shù)據(jù)泄露通知的制度。

第四，應(yīng)建立專門的數(shù)據(jù)保護(hù)機(jī)構(gòu)，確保法律的實(shí)施，更好地參與國(guó)際合作。從美國(guó)經(jīng)驗(yàn)來(lái)看，F(xiàn)TC在推動(dòng)《兒童網(wǎng)絡(luò)隱私保護(hù)法》的實(shí)施與執(zhí)行方面扮演了重要角色。全球超過(guò)90個(gè)國(guó)家和地區(qū)都依法成立或設(shè)立了專門的個(gè)人信息保護(hù)/隱私監(jiān)管機(jī)構(gòu)[27]。在全球經(jīng)濟(jì)一體化的背景下，我國(guó)可以考慮建立專門的數(shù)據(jù)管理機(jī)構(gòu)并開(kāi)展相關(guān)工作。

第五，鼓勵(lì)業(yè)界提出有效、可接受(從業(yè)界角度)和按部門定制的解決方案以供批準(zhǔn)。鼓勵(lì)企業(yè)開(kāi)發(fā)創(chuàng)新、有效和隱私友好的兒童網(wǎng)絡(luò)服務(wù)，不能因?yàn)楸Ｗo(hù)兒童網(wǎng)絡(luò)隱私就將兒童排除在網(wǎng)絡(luò)世界的豐富資源之外。

第六，進(jìn)入美國(guó)或歐盟市場(chǎng)的中國(guó)企業(yè)應(yīng)更加謹(jǐn)慎地履行合規(guī)義務(wù)。盡管存在各種批評(píng)，但很明顯《兒童網(wǎng)絡(luò)隱私保護(hù)法》仍然存在，而且其實(shí)施細(xì)則已建立了一種現(xiàn)行標(biāo)準(zhǔn)影響了歐盟的立法。進(jìn)入美國(guó)或歐盟市場(chǎng)的中國(guó)企業(yè)，必須更加謹(jǐn)慎地履行合規(guī)義務(wù)，以避免遭受巨額罰款。