華 劼

(同濟(jì)大學(xué) 上海國(guó)際知識(shí)產(chǎn)權(quán)學(xué)院，上海 200092)

信息網(wǎng)絡(luò)技術(shù)的發(fā)展使觸網(wǎng)年齡不斷低齡化。根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《2019年全國(guó)未成年人互聯(lián)網(wǎng)使用情況研究報(bào)告》(1)本文所稱“未成年人”是指不滿18周歲的自然人，“兒童”是指不滿14周歲的未成年人。因《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》出臺(tái)前的我國(guó)立法和研究報(bào)告都只提及“未成年人”，因此，本文論述相關(guān)內(nèi)容時(shí)仍使用“未成年人”一詞。，2019年，我國(guó)未成年網(wǎng)民規(guī)模為1.75億，32.9%的小學(xué)生網(wǎng)民在學(xué)齡前就開始使用互聯(lián)網(wǎng)[1]。較多兒童都有社交平臺(tái)的個(gè)人賬號(hào)，在個(gè)人賬號(hào)中披露的諸如年齡、性別、居住地、興趣愛好、好友等個(gè)人信息越來(lái)越多[2]。大數(shù)據(jù)、人工智能和物聯(lián)網(wǎng)技術(shù)的快速發(fā)展催生了智能玩具、智能電話手表等兒童青睞的設(shè)備，智能玩具上傳感器、存儲(chǔ)設(shè)備、語(yǔ)音識(shí)別技術(shù)、互聯(lián)網(wǎng)連接和定位技術(shù)被用來(lái)記錄使用者的聲音和行為等信息，其存儲(chǔ)的兒童個(gè)人信息易被不法分子竊取和侵害[3]83。

鑒于個(gè)人信息披露會(huì)給未成年人，尤其是14歲以下的兒童帶來(lái)不可逆的傷害，國(guó)家互聯(lián)網(wǎng)信息辦公室起草頒布了《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》(以下簡(jiǎn)稱《規(guī)定》)，并于2019年10月1日正式實(shí)施，旨在落實(shí)《網(wǎng)絡(luò)安全法》對(duì)未成年人的保護(hù)，這是我國(guó)第一部?jī)和瘋€(gè)人信息網(wǎng)絡(luò)保護(hù)的專門法。本文在分析《規(guī)定》出臺(tái)的立法背景和比較法環(huán)境的基礎(chǔ)上，探索《規(guī)定》所借鑒的美歐兒童個(gè)人信息保護(hù)主要原則，并通過(guò)探討2019年7月至12月美國(guó)啟動(dòng)《兒童在線隱私保護(hù)法》新一輪修訂所征求到的建議，提出完善我國(guó)《規(guī)定》的方案。

一、《規(guī)定》的國(guó)內(nèi)及國(guó)際立法背景

《規(guī)定》出臺(tái)之前，我國(guó)涉及未成年人個(gè)人信息保護(hù)的法律法規(guī)主要有兩大體系：一是以《未成年人保護(hù)法》為核心的基本權(quán)益保護(hù)法體系；二是以《網(wǎng)絡(luò)安全法》和《關(guān)于加強(qiáng)網(wǎng)絡(luò)個(gè)人信息保護(hù)的決定》為核心的“一法一決定”等信息保護(hù)基本法體系[4]60。

《未成年人保護(hù)法》僅對(duì)兒童個(gè)人信息和權(quán)益做了基本規(guī)定，未針對(duì)網(wǎng)絡(luò)環(huán)境下的個(gè)人信息保護(hù)做出具體規(guī)定。其第39條規(guī)定，任何組織或者個(gè)人不得披露未成年人的個(gè)人隱私；第58條規(guī)定，對(duì)未成年人犯罪案件，新聞報(bào)道、影視節(jié)目、公開出版物、網(wǎng)絡(luò)等不得披露該未成年人的姓名、住所、照片、圖像以及可能推斷出該未成年人的資料。

“一法一決定”對(duì)個(gè)人信息保護(hù)作了基本規(guī)定，但卻缺乏專門保護(hù)未成年人或兒童個(gè)人信息的特別規(guī)定?！毒W(wǎng)絡(luò)安全法》在“網(wǎng)絡(luò)信息安全”一章中覆蓋了網(wǎng)絡(luò)運(yùn)營(yíng)者保護(hù)個(gè)人信息的責(zé)任義務(wù)規(guī)制，但沒(méi)有針對(duì)未成年人作出特殊保護(hù)，僅在第13條提及“國(guó)家支持研究開發(fā)有利于未成年人健康成長(zhǎng)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，依法懲治利用網(wǎng)絡(luò)從事危害未成年人身心健康的活動(dòng)，為未成年人提供安全、健康的網(wǎng)絡(luò)環(huán)境”[5]。

近年來(lái)，兒童互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展迅速。二胎政策的開放使我國(guó)進(jìn)入生育高峰期，兒童互聯(lián)網(wǎng)產(chǎn)業(yè)預(yù)期前景可觀，兒童遠(yuǎn)程教育、兒童數(shù)字圖書、兒童網(wǎng)絡(luò)游戲、兒童服裝玩具等電子商務(wù)領(lǐng)域競(jìng)相出現(xiàn)，各類兒童軟件層出不窮。短視頻平臺(tái)及社交媒體平臺(tái)的興起使得兒童更青睞于集娛樂(lè)、資訊、分享、交友等為一體的網(wǎng)絡(luò)服務(wù)平臺(tái)，并在娛樂(lè)、學(xué)習(xí)、交友等活動(dòng)參與中越來(lái)越多地披露個(gè)人信息。兒童由于心智不成熟和社會(huì)閱歷不豐富，面臨無(wú)法判斷網(wǎng)站推薦信息良莠、釣魚網(wǎng)站等信息套用的風(fēng)險(xiǎn)，其自愿披露的個(gè)人信息也極易被網(wǎng)站用于商業(yè)營(yíng)銷，甚至被用于侵犯兒童人身權(quán)利的犯罪活動(dòng)。因此，對(duì)兒童網(wǎng)絡(luò)個(gè)人信息進(jìn)行立法保護(hù)變得十分必要且迫切。

從比較法視角看，美國(guó)和歐盟有關(guān)隱私和個(gè)人數(shù)據(jù)保護(hù)的立法體現(xiàn)了兩大不同類型的立法模式。美國(guó)的立法模式專門性和指導(dǎo)性強(qiáng)，早在1998年，美國(guó)就針對(duì)兒童隱私保護(hù)出臺(tái)了《兒童在線隱私保護(hù)法》(Children’s Online Privacy Protection Act，COPPA)，針對(duì)13歲以下兒童個(gè)人信息保護(hù)為網(wǎng)絡(luò)運(yùn)營(yíng)者收集和使用兒童個(gè)人信息提供詳細(xì)的指導(dǎo)說(shuō)明。2011年9月，美國(guó)聯(lián)邦貿(mào)易委員會(huì)對(duì)COPPA提出修訂意見，經(jīng)過(guò)兩年咨詢討論，修訂法案于2013年7月1日生效[6]。

歐盟立法模式更具有綜合性和懲罰性，沒(méi)有針對(duì)兒童隱私和個(gè)人數(shù)據(jù)保護(hù)的專門立法，而是將其納入一般主體數(shù)據(jù)保護(hù)中，所有適用于一般主體數(shù)據(jù)保護(hù)的規(guī)則都適用于兒童個(gè)人數(shù)據(jù)保護(hù)。歐盟早在1995年就通過(guò)了《關(guān)于與個(gè)人數(shù)據(jù)處理相關(guān)的個(gè)人數(shù)據(jù)保護(hù)及此類數(shù)據(jù)自由流動(dòng)指令》(以下簡(jiǎn)稱《個(gè)人數(shù)據(jù)保護(hù)指令》)，由各成員國(guó)將其轉(zhuǎn)化為國(guó)內(nèi)法。歐盟于2012年著手對(duì)《個(gè)人數(shù)據(jù)保護(hù)指令》進(jìn)行修訂，并于2016年通過(guò)了《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation)，替代《個(gè)人數(shù)據(jù)保護(hù)指令》。該條例于2018年5月25日生效，從數(shù)據(jù)控制者和處理者的責(zé)任以及數(shù)據(jù)監(jiān)管等方面重新調(diào)整了歐盟個(gè)人數(shù)據(jù)保護(hù)策略，被稱為“史上最嚴(yán)”的數(shù)據(jù)保護(hù)法案[7]。

我國(guó)在借鑒美國(guó)和歐盟立法模式和相關(guān)立法規(guī)定的基礎(chǔ)上出臺(tái)了《規(guī)定》。從《規(guī)定》的29條法律條文看，其更接近美國(guó)專門性和指導(dǎo)性的立法模式，有國(guó)外觀察者將我國(guó)《規(guī)定》稱為中國(guó)版本的COPPA[8]?！兑?guī)定》同時(shí)也借鑒了《通用數(shù)據(jù)保護(hù)條例》的相關(guān)規(guī)則。

二、《規(guī)定》對(duì)美歐立法所確立主要原則的借鑒

(一)收集和處理信息充分告知原則

美國(guó)COPPA特別關(guān)注專門針對(duì)兒童的網(wǎng)站和運(yùn)營(yíng)者知曉有兒童訪問(wèn)的一般網(wǎng)站，確立了運(yùn)營(yíng)者收集和處理兒童信息必須充分告知的原則。專門針對(duì)兒童的網(wǎng)站必須向其用戶提供充分告知，說(shuō)明他們從兒童訪問(wèn)者那里收集了哪些信息，如何使用這些信息，以及向誰(shuí)披露這些信息。充分告知的通知必須以“清晰和突出的方式”發(fā)出，如可以在網(wǎng)站主頁(yè)、專門針對(duì)兒童的網(wǎng)站特定區(qū)域或收集個(gè)人信息的任何頁(yè)面上發(fā)出[9]228。

我國(guó)《規(guī)定》同樣包含了收集和處理信息必須充分告知的原則?！兑?guī)定》第7條明確網(wǎng)絡(luò)運(yùn)營(yíng)者收集、存儲(chǔ)、使用、轉(zhuǎn)移和披露信息必須遵循正當(dāng)必要和知情同意的原則。第9條指出收集處理兒童個(gè)人信息必須充分告知兒童監(jiān)護(hù)人，征得兒童監(jiān)護(hù)人同意，充分告知的方式必須顯著、清晰。第10條、第11條、第12條、第14條進(jìn)一步明確收集信息必須必要且適當(dāng)，不能超出合法合理的收集和處理目的，存儲(chǔ)信息不能超出合理期限；充分告知的具體內(nèi)容也應(yīng)包括收集和處理信息的目的、方式和范圍以及到期后的處理措施等。

(二)監(jiān)護(hù)人全面控制原則

監(jiān)護(hù)人全面控制原則已成為各國(guó)兒童個(gè)人信息保護(hù)的主要原則。美國(guó)COPPA要求運(yùn)營(yíng)者獲得兒童父母可驗(yàn)證的同意后方可收集和處理兒童個(gè)人信息，父母可驗(yàn)證的同意可通過(guò)任何合理的努力獲取(2)參見Code of Federal Regulations, Title 16 Section 312.2。。而且父母有審查已收集兒童個(gè)人信息的權(quán)利，網(wǎng)站必須提供一種方法供父母審查已收集的信息，并提供一種方法供父母與網(wǎng)站運(yùn)營(yíng)者聯(lián)系，以禁止進(jìn)一步使用或維護(hù)兒童的個(gè)人信息。擁有平臺(tái)個(gè)人賬戶的兒童的父母可以訪問(wèn)他們孩子的在線資料，并可隨時(shí)刪除或修改部分或全部資料[9]229。

歐盟《通用數(shù)字保護(hù)條例》第8條規(guī)定，網(wǎng)絡(luò)服務(wù)提供者如要收集或處理不滿16歲兒童的個(gè)人數(shù)據(jù)，只有在對(duì)兒童負(fù)有父母責(zé)任的人給予或授權(quán)同意的情況下，這種處理才是合法的；成員國(guó)可以設(shè)定更低的年齡界限，但不得低于13歲[10]。數(shù)據(jù)控制者在考慮到可用的技術(shù)的情況下，應(yīng)盡合理努力核實(shí)負(fù)有父母責(zé)任的人是否同意或授權(quán)[11]。

我國(guó)《規(guī)定》在第9條、第10條、第14條、第19條、第20條等條文中都有將監(jiān)護(hù)人同意或授權(quán)對(duì)兒童個(gè)人信息的收集、處理、刪除、更正納入其中，體現(xiàn)了父母等監(jiān)護(hù)人對(duì)兒童個(gè)人信息收集和處理過(guò)程的全面監(jiān)控。相對(duì)而言，我國(guó)的規(guī)定更具原則性，并未像COPPA一樣窮盡式列舉技術(shù)所支持的所有可能的授權(quán)同意方式。

(三)被遺忘權(quán)與信息更正刪除原則

歐盟個(gè)人數(shù)據(jù)保護(hù)機(jī)制下的“被遺忘權(quán)”能將已落入公共領(lǐng)域的信息拉回到私人控制的狀態(tài)，被遺忘權(quán)是指權(quán)利主體有權(quán)要求數(shù)據(jù)控制者刪除其個(gè)人數(shù)據(jù)的權(quán)利。對(duì)于已公開但隨后淡出公眾視野、被公眾遺忘的私人事實(shí)，如果未來(lái)仍有被披露而給權(quán)利人帶來(lái)危害的風(fēng)險(xiǎn)，則這些已公開的私人事實(shí)仍能回到隱私狀態(tài)，需防止其后再次被披露。《通用數(shù)據(jù)保護(hù)條例》第17條將“被遺忘權(quán)”寫入其中。

我國(guó)《規(guī)定》第19條和第20條借鑒了歐盟數(shù)據(jù)保護(hù)制度中的“被遺忘權(quán)”。這兩條規(guī)定明確賦予兒童及其監(jiān)護(hù)人更正和刪除網(wǎng)絡(luò)運(yùn)營(yíng)者所收集、存儲(chǔ)、使用、披露的兒童個(gè)人信息的權(quán)利。更正的權(quán)利適用于信息錯(cuò)誤的情形，刪除的權(quán)利適用于違法、違反正當(dāng)必要原則收集和處理信息以及監(jiān)護(hù)人撤回同意、注銷服務(wù)的情形。

(四)網(wǎng)站內(nèi)部操作例外與最小授權(quán)原則

COPPA規(guī)定，有運(yùn)營(yíng)者為內(nèi)部維護(hù)網(wǎng)站或網(wǎng)絡(luò)服務(wù)目的而向提供技術(shù)支持的人披露兒童個(gè)人信息的例外。究其根本，這一規(guī)定實(shí)際賦予維護(hù)網(wǎng)站運(yùn)營(yíng)的相關(guān)工作人員訪問(wèn)運(yùn)營(yíng)者收集的兒童個(gè)人信息的權(quán)利。美國(guó)立法將這一規(guī)定稱為網(wǎng)站內(nèi)部操作例外(internal operation exception)，因?yàn)檫\(yùn)營(yíng)者向相關(guān)工作人員披露個(gè)人信息被視為披露信息的例外。COPPA要求這一例外僅適用于提供網(wǎng)絡(luò)服務(wù)所必需的有限情形，即在最小范圍內(nèi)授權(quán)相關(guān)工作人員獲取個(gè)人信息。

最小授權(quán)原則被首次納入我國(guó)個(gè)人信息保護(hù)的法律文件中，體現(xiàn)于《規(guī)定》第15條?！兑?guī)定》要求網(wǎng)絡(luò)運(yùn)營(yíng)者在授權(quán)其工作人員訪問(wèn)個(gè)人信息時(shí)，應(yīng)嚴(yán)格設(shè)定訪問(wèn)權(quán)限，控制個(gè)人信息知悉范圍，只讓最小量的必須知曉個(gè)人信息的工作人員進(jìn)行訪問(wèn)。

(五)行業(yè)自律原則

行業(yè)自律原則是美國(guó)隱私保護(hù)所鼓勵(lì)和支持的一大原則，即讓行業(yè)聯(lián)盟或網(wǎng)絡(luò)運(yùn)營(yíng)者自發(fā)采用行業(yè)自律政策為網(wǎng)絡(luò)隱私提供保護(hù)，以彌補(bǔ)立法總是滯后于現(xiàn)實(shí)狀況的不足。這一原則在COPPA中又被稱為“避風(fēng)港計(jì)劃”(safe harbor program)。避風(fēng)港計(jì)劃鼓勵(lì)行業(yè)自律，允許經(jīng)批準(zhǔn)的行業(yè)成員根據(jù)自己的合規(guī)指南創(chuàng)建自己履行COPPA義務(wù)的監(jiān)督計(jì)劃，避風(fēng)港計(jì)劃對(duì)其成員的信息保護(hù)實(shí)踐進(jìn)行年度全面審查，并向聯(lián)邦貿(mào)易委員會(huì)提交年度審查結(jié)果報(bào)告[9]230。

我國(guó)《規(guī)定》借鑒美國(guó)隱私保護(hù)的行業(yè)自律原則，在《規(guī)定》第6條提及鼓勵(lì)互聯(lián)網(wǎng)行業(yè)組織指導(dǎo)推動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)者制定兒童個(gè)人信息保護(hù)的行業(yè)規(guī)范、行為準(zhǔn)則等，加強(qiáng)行業(yè)自律。第8條強(qiáng)調(diào)網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)設(shè)置專門的兒童個(gè)人信息保護(hù)規(guī)則和用戶協(xié)議，并指定專人負(fù)責(zé)兒童個(gè)人信息保護(hù)。專人是指參照境外互聯(lián)網(wǎng)公司的做法，設(shè)立“首席隱私官”全面負(fù)責(zé)兒童個(gè)人信息保護(hù)[4]62。

三、美國(guó)COPPA新一輪修訂征求建議及啟示

美國(guó)聯(lián)邦貿(mào)易委員會(huì)于2019年7月25日啟動(dòng)對(duì)COPPA的第二次修訂，以確保該COPPA能跟上自2013年修訂以來(lái)所發(fā)生的市場(chǎng)、技術(shù)和商業(yè)模式變化。聯(lián)邦貿(mào)易委員會(huì)在《聯(lián)邦公報(bào)》上發(fā)布征求公開建議的公告，敦促公眾于2019年10月23日前提交建議[12]。據(jù)統(tǒng)計(jì)，聯(lián)邦貿(mào)易委員會(huì)已收到超過(guò)17.5萬(wàn)份建議[8]。本文參考了能從公開渠道獲取的兩份建議，歸納總結(jié)出COPPA第二次修訂中可能出現(xiàn)的變化。這兩份建議一份來(lái)自于英國(guó)一家旨在推動(dòng)青少年隱私權(quán)益保護(hù)的基金會(huì)(5Rights Foundation)，一份來(lái)自于美國(guó)普林斯頓大學(xué)信息技術(shù)政策中心(Center for Information Technology Policy)。鑒于我國(guó)《規(guī)定》主要借鑒COPPA制定，本文主要探討COPPA第二次修訂可能出現(xiàn)的變化及對(duì)我國(guó)進(jìn)一步完善《規(guī)定》的啟示。

(一)調(diào)整年齡段限制

COPPA只保護(hù)13歲以下兒童的網(wǎng)絡(luò)隱私。建議提出額外的、比較靈活的保護(hù)應(yīng)延伸至13至17歲的青少年。聯(lián)邦貿(mào)易委員會(huì)在2012年的一份報(bào)告中就已在考慮讓社交網(wǎng)絡(luò)平臺(tái)為青少年增加隱私保護(hù)默認(rèn)設(shè)置，雖然青少年可能規(guī)避這些設(shè)置，但這些設(shè)置可被視為有效的減速帶，讓青少年更好地思考分享個(gè)人信息帶來(lái)的影響[13]。于2020年生效的美國(guó)2018年《加利福尼亞州消費(fèi)者隱私法》已針對(duì)兒童和青少年采用隱私保護(hù)的“雙層模式”(two-tier model)。該法規(guī)定，企業(yè)實(shí)際知道消費(fèi)者不滿16歲的，不得出售消費(fèi)者的個(gè)人信息，但是，13至16歲的消費(fèi)者或者不滿13歲的消費(fèi)者的父母或監(jiān)護(hù)人明確同意出售消費(fèi)者個(gè)人信息的除外(3)參見California Consumer Privacy Act of 2018, Section 1798.120(c)。。對(duì)16歲以下的未成年人，加州法律采取了經(jīng)主體明示授權(quán)同意后方可采集利用個(gè)人信息的“opt-in”模式，而對(duì)16歲以上的人采取信息披露后允許主體退出信息披露的“opt-out”模式[14]。

我國(guó)《規(guī)定》保護(hù)主體是14歲以下的兒童，采用了與COPPA近似的“一刀切”年齡段限制。采用一刀切還是個(gè)體化的年齡限制一直是各國(guó)針對(duì)未成年人個(gè)人信息保護(hù)立法時(shí)的糾結(jié)之處，這源于賦權(quán)還是保護(hù)以及取平均年齡還是看個(gè)體差異這兩類困境[3]84-85。未成年人身心發(fā)展尚不成熟，仍需依賴成年人進(jìn)行身心照顧，因此需要對(duì)未成年人給予特別保護(hù)。但同時(shí)隨著年齡和知識(shí)閱歷的不斷增長(zhǎng)，青少年相較于兒童對(duì)社會(huì)的關(guān)注度和理解力更趨于成熟，需要通過(guò)網(wǎng)絡(luò)等技術(shù)工具獲取知識(shí)、發(fā)表看法、自我決策和參與社會(huì)。此外，同一年齡段的未成年人由于其先天智力和后天成長(zhǎng)環(huán)境的不同，可能出現(xiàn)個(gè)體間成熟度的差異。因此，需要對(duì)未成年人個(gè)人信息予以特別保護(hù)，但又需針對(duì)不同成熟度的兒童和青少年給予差異化保護(hù)，這增加了立法的難度。對(duì)每個(gè)兒童和青少年進(jìn)行個(gè)性化的能力測(cè)試會(huì)極大加重網(wǎng)絡(luò)運(yùn)營(yíng)者的成本和負(fù)擔(dān)，在目前的技術(shù)環(huán)境下不易實(shí)現(xiàn)。以年齡段進(jìn)行劃分側(cè)重考察某一年齡段兒童或青少年的平均能力，有其可取之處。我國(guó)《未成年人保護(hù)法》保護(hù)的未成年人為18歲以下，而《規(guī)定》保護(hù)個(gè)人信息的主體卻限制在14歲以下，忽略了14至17歲青少年的個(gè)人信息保護(hù)?？煽紤]采用《加利福尼亞州消費(fèi)者隱私法》所選擇的雙層模式，對(duì)未成年人的個(gè)人信息保護(hù)延伸至14至17歲的青少年，采用相較于14歲以下兒童更靈活的保護(hù)方式。

(二)增加透明度審查

建議提出COPPA面臨的一個(gè)主要挑戰(zhàn)是，外部觀察員(例如父母、研究者、記者或宣傳團(tuán)體)很難理解網(wǎng)絡(luò)運(yùn)營(yíng)者是如何決定遵守COPPA的[15-16]。需要遵守COPPA的是其服務(wù)專門針對(duì)兒童的網(wǎng)絡(luò)運(yùn)營(yíng)者或知曉其用戶中有兒童但用戶年齡混合的一般網(wǎng)絡(luò)運(yùn)營(yíng)者。如果服務(wù)是專門針對(duì)兒童的，在收集用戶信息之前，運(yùn)營(yíng)者必須確保已獲得了可驗(yàn)證的父母同意。如果用戶是混合年齡，則運(yùn)營(yíng)者必須確保未經(jīng)父母同意，不會(huì)收集13歲以下用戶的信息。決定網(wǎng)絡(luò)服務(wù)是否專門針對(duì)兒童，需要綜合考慮諸多因素，包括其主題、視覺內(nèi)容、動(dòng)畫人物的使用或兒童導(dǎo)向的活動(dòng)和激勵(lì)、音樂(lè)或其他音頻內(nèi)容、示范人物的年齡、兒童名人或吸引兒童的名人的出現(xiàn)、語(yǔ)言或網(wǎng)站的其他特點(diǎn)，以及廣告宣傳是否針對(duì)兒童(4)參見Code of Federal Regulations, Title 16 Section 312.2。。如果是混合年齡用戶的網(wǎng)絡(luò)運(yùn)營(yíng)者試圖收集用戶信息，則可以選擇設(shè)置“年齡門”(age gate)，以確保不會(huì)收集未成年用戶信息?！澳挲g門”是一種要求用戶以年齡中立的方式提供年齡或出生日期的機(jī)制。

建議提出應(yīng)修訂COPPA，要求運(yùn)營(yíng)者選擇更加開放、以便于外部審查的系統(tǒng)設(shè)計(jì)。具體而言，不管運(yùn)營(yíng)者是否認(rèn)為其服務(wù)專門針對(duì)兒童，聯(lián)邦貿(mào)易委員會(huì)都應(yīng)要求運(yùn)營(yíng)者以機(jī)器可讀的格式披露其系統(tǒng)設(shè)計(jì)，以使研究者或父母可以檢查運(yùn)營(yíng)者保護(hù)兒童隱私的具體方案。如果運(yùn)營(yíng)者設(shè)置了“年齡門”作為確定其服務(wù)不是專門針對(duì)兒童，那么運(yùn)營(yíng)者必須公開發(fā)布“年齡門”的操作說(shuō)明，以及采取了哪些步驟來(lái)驗(yàn)證13歲以下的兒童無(wú)法規(guī)避“年齡門”。聯(lián)邦貿(mào)易委員會(huì)可通過(guò)一些方式讓iOS或Android等平臺(tái)在篩選用戶和驗(yàn)證年齡方面發(fā)揮更有效的作用[15-16]。

我國(guó)《規(guī)定》未像COPPA一樣區(qū)分專門針對(duì)兒童的網(wǎng)站和面向混合年齡用戶的網(wǎng)站，《規(guī)定》第3條指出其適用于所有在我國(guó)境內(nèi)通過(guò)網(wǎng)絡(luò)收集和處理兒童個(gè)人信息的網(wǎng)絡(luò)運(yùn)營(yíng)者，但《規(guī)定》卻未要求網(wǎng)絡(luò)運(yùn)營(yíng)者告知公眾其如何知曉和判定其收集和處理的個(gè)人信息屬于14歲以下的兒童。隨著人工智能算法在網(wǎng)站運(yùn)行中的運(yùn)用，算法黑箱和算法偏見讓兒童及其監(jiān)護(hù)人更無(wú)從知曉運(yùn)營(yíng)者如何保護(hù)其網(wǎng)絡(luò)個(gè)人信息。算法黑箱和算法偏見已成為智能算法發(fā)展中不可忽視的問(wèn)題，算法提供了聚類或預(yù)測(cè)結(jié)果，卻不能解釋這些結(jié)果是如何形成的，錯(cuò)誤、不準(zhǔn)確、有偏見的輸入數(shù)據(jù)導(dǎo)致了錯(cuò)誤的輸出結(jié)果。誠(chéng)如倡導(dǎo)全球在線公民自由和人權(quán)的非政府機(jī)構(gòu)民主與技術(shù)中心(Center for Democracy and Technology)所提及的，設(shè)計(jì)易于審計(jì)的算法系統(tǒng)增加了算法可靠性，審計(jì)對(duì)于系統(tǒng)化且長(zhǎng)期檢測(cè)不公平結(jié)果是必要的[17]。因此，我國(guó)《規(guī)定》也應(yīng)考慮要求網(wǎng)絡(luò)運(yùn)營(yíng)者采用易于外部審查和審計(jì)的系統(tǒng)保護(hù)兒童個(gè)人信息，為審查和審計(jì)需要，必要時(shí)應(yīng)披露其系統(tǒng)運(yùn)行方案，以供兒童監(jiān)護(hù)人或研究者查驗(yàn)。

(三)明確“實(shí)際知曉”和“個(gè)人信息”的定義

COPPA區(qū)分了專門針對(duì)兒童提供服務(wù)的網(wǎng)絡(luò)運(yùn)營(yíng)者和面向混合年齡用戶的網(wǎng)絡(luò)運(yùn)營(yíng)者。面向混合年齡用戶的網(wǎng)絡(luò)運(yùn)營(yíng)者只有在實(shí)際知曉用戶中有13歲以下兒童時(shí)才需遵守COPPA，但COPPA卻未給予“實(shí)際知曉”確切定義。為規(guī)避實(shí)際知曉，網(wǎng)絡(luò)運(yùn)營(yíng)者可能只收集寬泛的年齡段數(shù)據(jù)，如詢問(wèn)注冊(cè)者是否18歲以下、18至35歲、35歲以上等[18]。為了確保網(wǎng)絡(luò)運(yùn)營(yíng)者不會(huì)忽視眾多兒童已使用其服務(wù)，建議提出COPPA應(yīng)采用“故意失明”(wilfully blind)理論以定義“實(shí)際知曉”[14]?！肮室馐鳌崩碚撌侵柑峁┮环N將知曉歸因于一方當(dāng)事人的方法，該方當(dāng)事人已對(duì)某些事項(xiàng)產(chǎn)生強(qiáng)烈懷疑，但為了避免這些懷疑被證實(shí)而不對(duì)懷疑事項(xiàng)進(jìn)行調(diào)查。該理論旨在推翻通過(guò)故意避免實(shí)際知曉而讓自身免除刑事責(zé)任的企圖(5)參見R.v.Briscoe, 2008 ABCA 327(CanLII), Paragraph 19。?！肮室馐鳌崩碚撘驯?018年《加利福尼亞州消費(fèi)者隱私法》采納，該法規(guī)定，故意無(wú)視消費(fèi)者年齡的企業(yè)應(yīng)被視為實(shí)際了解消費(fèi)者年齡(6)參見California Consumer Privacy Act of 2018, Section 1798.120(c)。。

我國(guó)《規(guī)定》并未通過(guò)識(shí)別網(wǎng)絡(luò)運(yùn)營(yíng)者的主觀意識(shí)來(lái)明確其是否應(yīng)遵循《規(guī)定》，《規(guī)定》采取了無(wú)過(guò)錯(cuò)歸責(zé)原則，只要網(wǎng)站收集處理了兒童個(gè)人信息，無(wú)論網(wǎng)絡(luò)運(yùn)營(yíng)者是否知曉，均應(yīng)遵守《規(guī)定》。只有通過(guò)計(jì)算機(jī)系統(tǒng)自動(dòng)留存處理信息且無(wú)法識(shí)別該信息屬于兒童個(gè)人信息的，才不適用《規(guī)定》(7)參見《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第28條。。這無(wú)疑會(huì)加重網(wǎng)絡(luò)運(yùn)營(yíng)者維護(hù)系統(tǒng)的成本和負(fù)擔(dān)，導(dǎo)致所有網(wǎng)絡(luò)運(yùn)營(yíng)者無(wú)論其是否收集和處理了兒童個(gè)人信息都需按照可能收集兒童個(gè)人信息的狀態(tài)執(zhí)行《規(guī)定》條款。因此，有必要明確網(wǎng)絡(luò)運(yùn)營(yíng)者的責(zé)任追究采用過(guò)錯(cuò)歸責(zé)原則，只有當(dāng)網(wǎng)絡(luò)運(yùn)營(yíng)者實(shí)際知曉其收集和處理的信息中存在兒童個(gè)人信息時(shí)才需遵守《規(guī)定》，故意無(wú)視用戶年齡應(yīng)被視為實(shí)際知曉用戶年齡。

COPPA以詳細(xì)列舉的方式定義“個(gè)人信息”，包括姓名、住址、在線聯(lián)系信息、網(wǎng)絡(luò)用戶名、電話號(hào)碼、身份證號(hào)、能在不同時(shí)間和網(wǎng)站識(shí)別出用戶身份的永久性識(shí)別符號(hào)、照片或音視頻、定位信息等(8)參見Code of Federal Regulations, Title 16 Section 312.2。。聯(lián)邦貿(mào)易委員會(huì)在進(jìn)行新一輪COPPA修訂時(shí)考慮在對(duì)“個(gè)人信息”的定義中，是否應(yīng)包括從兒童身上推斷而非直接收集的個(gè)人信息。建議認(rèn)為個(gè)人信息應(yīng)當(dāng)包含推斷信息，推斷信息占兒童所有信息的很大一部分，推斷過(guò)程意味著看似平凡或無(wú)害的數(shù)據(jù)可以用來(lái)對(duì)高度個(gè)人敏感信息做出令人驚訝的準(zhǔn)確預(yù)測(cè)，對(duì)這些信息的處理可以使兒童受到與處理直接收集信息相同的影響[14]。

我國(guó)《規(guī)定》未明確定義個(gè)人信息，但在《網(wǎng)絡(luò)安全法》中將個(gè)人信息定義為以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息(9)參見《網(wǎng)絡(luò)安全法》第76條第(5)項(xiàng)。。因此，從《網(wǎng)絡(luò)安全法》非窮盡式立法模式來(lái)看，我國(guó)網(wǎng)絡(luò)運(yùn)營(yíng)者所收集和處理的包含兒童個(gè)人信息在內(nèi)的各項(xiàng)個(gè)人信息也應(yīng)包括能識(shí)別個(gè)人身份的推斷信息。

(四)注意教育技術(shù)帶來(lái)的變化

教育技術(shù)的發(fā)展使越來(lái)越多的學(xué)校和家庭采用網(wǎng)絡(luò)運(yùn)營(yíng)者提供的教育技術(shù)服務(wù)。例如，有課堂管理應(yīng)用程序LanSchool17、支持學(xué)校家庭聯(lián)系的技術(shù)Seesaw18、成績(jī)管理技術(shù)Schoology19、幫助兒童學(xué)習(xí)技能的程序Dreambox20、跟蹤學(xué)生行為和改善紀(jì)律的軟件BRIM22等[15-16]?？紤]到日益增長(zhǎng)的教育技術(shù)服務(wù)市場(chǎng)需求，聯(lián)邦貿(mào)易委員會(huì)在新一輪COPPA修訂中考慮是否有必要規(guī)定父母同意的例外規(guī)定，為學(xué)校提供教育技術(shù)服務(wù)的運(yùn)營(yíng)者為更好地促進(jìn)學(xué)校教育(即“教育目的”)，在收集和處理兒童個(gè)人信息時(shí)，學(xué)?？梢源鷮W(xué)生父母做出授權(quán)同意，而無(wú)需一一征求父母意見。

建議提出，聯(lián)邦貿(mào)易委員會(huì)在考慮父母同意的具體例外之前，應(yīng)研究教育技術(shù)在學(xué)校教育中的使用情況，認(rèn)真做到以下幾方面：首先，應(yīng)以無(wú)障礙方式告知父母，教育技術(shù)提供者收集了關(guān)于其子女的哪些信息，如何使用這些信息，誰(shuí)有權(quán)訪問(wèn)這些信息，以及這些信息保留多長(zhǎng)時(shí)間，父母也應(yīng)有權(quán)要求刪除其子女的信息；其次，應(yīng)指導(dǎo)學(xué)校管理者在如何選擇教育技術(shù)提供者時(shí)作出明智的決定，制定保護(hù)學(xué)生隱私的政策，并培訓(xùn)教育工作者執(zhí)行這些政策；再次，COPPA應(yīng)闡明學(xué)校管理者和教育技術(shù)提供者如何就收集、使用和維護(hù)其子女信息對(duì)父母負(fù)責(zé)；最后，聯(lián)邦貿(mào)易委員會(huì)在考慮父母同意的任何例外時(shí)，需明確界定“教育目的”的含義[15-16]以及被禁止的目的和范圍，被禁止的目的應(yīng)包括但不限于直接營(yíng)銷、行為廣告以及任何與服務(wù)功能不必要的數(shù)字畫像(10)數(shù)字畫像(profiling)被歐盟《通用數(shù)據(jù)保護(hù)條例》定義為與自然人相關(guān)的某些個(gè)人情況，特別是為了分析或預(yù)測(cè)該自然人的工作表現(xiàn)、經(jīng)濟(jì)狀況、健康狀況、個(gè)人偏好、興趣、可信度、行為、位置或行蹤，而對(duì)個(gè)人數(shù)據(jù)進(jìn)行的任何形式的自動(dòng)化處理和利用。[3]87。

我國(guó)《規(guī)定》尚未考慮到教育技術(shù)的廣泛運(yùn)用所帶來(lái)的變化。在學(xué)校使用聯(lián)網(wǎng)教學(xué)管理技術(shù)越來(lái)越普遍的情況下，可考慮在《規(guī)定》中增加監(jiān)護(hù)人全面控制兒童個(gè)人信息收集和處理的例外，例如，可允許學(xué)校代為授權(quán)同意教育技術(shù)提供者為更好促進(jìn)學(xué)校教育的目的收集和處理學(xué)生個(gè)人信息，無(wú)需經(jīng)過(guò)學(xué)生父母同意。但需對(duì)何為促進(jìn)學(xué)校教育目的進(jìn)行明確規(guī)定，并且嚴(yán)格將父母同意的例外限制在為提升教育技術(shù)服務(wù)的目的上，排除其他商業(yè)性目的。如有可能，應(yīng)將收集到的學(xué)生個(gè)人信息匿名化處理，防止學(xué)生身份被識(shí)別。