華劼

摘要：由國家互聯(lián)網(wǎng)信息辦公室起草頒布的《兒童個人信息網(wǎng)絡保護規(guī)定》于2019年10月1日正式實施，這是我國第一部保護未成年人網(wǎng)絡個人信息的專門法?！秲和瘋€人信息網(wǎng)絡保護規(guī)定》借鑒了美國《兒童在線隱私保護法》和歐盟《通用數(shù)據(jù)保護條例》的基本原則，被國外觀察者視為中國版本的《兒童在線隱私保護法》。本文在分析《兒童個人信息網(wǎng)絡保護規(guī)定》出臺的立法背景和比較法環(huán)境的基礎上，探索《兒童個人信息網(wǎng)絡保護規(guī)定》所借鑒的美歐兒童個人信息保護主要原則，并通過探討2019年美國啟動《兒童在線隱私保護法》新一輪修訂所征求到的建議，提出進一步完善我國《兒童個人信息網(wǎng)絡保護規(guī)定》的方案。

關鍵詞：兒童;隱私;個人信息;在線服務;《兒童個人信息網(wǎng)絡保護規(guī)定》

中圖分類號：D923.8

文獻標識碼：A

文章編號：1673-8268（2021）01-0056-08

信息網(wǎng)絡技術的發(fā)展使觸網(wǎng)年齡不斷低齡化。根據(jù)中國互聯(lián)網(wǎng)絡信息中心發(fā)布的《2019年全國未成年人互聯(lián)網(wǎng)使用情況研究報告》本文所稱“未成年人”是指不滿18周歲的自然人，“兒童”是指不滿14周歲的未成年人。因《兒童個人信息網(wǎng)絡保護規(guī)定》出臺前的我國立法和研究報告都只提及“未成年人”，因此，本文論述相關內容時仍使用“未成年人”一詞。，2019年，我國未成年網(wǎng)民規(guī)模為1.75億，32.9%的小學生網(wǎng)民在學齡前就開始使用互聯(lián)網(wǎng)[1]。較多兒童都有社交平臺的個人賬號，在個人賬號中披露的諸如年齡、性別、居住地、興趣愛好、好友等個人信息越來越多[2]。大數(shù)據(jù)、人工智能和物聯(lián)網(wǎng)技術的快速發(fā)展催生了智能玩具、智能電話手表等兒童青睞的設備，智能玩具上傳感器、存儲設備、語音識別技術、互聯(lián)網(wǎng)連接和定位技術被用來記錄使用者的聲音和行為等信息，其存儲的兒童個人信息易被不法分子竊取和侵害[3]83。

鑒于個人信息披露會給未成年人，尤其是14歲以下的兒童帶來不可逆的傷害，國家互聯(lián)網(wǎng)信息辦公室起草頒布了《兒童個人信息網(wǎng)絡保護規(guī)定》（以下簡稱《規(guī)定》），并于2019年10月1日正式實施，旨在落實《網(wǎng)絡安全法》對未成年人的保護，這是我國第一部兒童個人信息網(wǎng)絡保護的專門法。本文在分析《規(guī)定》出臺的立法背景和比較法環(huán)境的基礎上，探索《規(guī)定》所借鑒的美歐兒童個人信息保護主要原則，并通過探討2019年7月至12月美國啟動《兒童在線隱私保護法》新一輪修訂所征求到的建議，提出完善我國《規(guī)定》的方案。

一、《規(guī)定》的國內及國際立法背景

《規(guī)定》出臺之前，我國涉及未成年人個人信息保護的法律法規(guī)主要有兩大體系：一是以《未成年人保護法》為核心的基本權益保護法體系;二是以《網(wǎng)絡安全法》和《關于加強網(wǎng)絡個人信息保護的決定》為核心的“一法一決定”等信息保護基本法體系[4]60。

《未成年人保護法》僅對兒童個人信息和權益做了基本規(guī)定，未針對網(wǎng)絡環(huán)境下的個人信息保護做出具體規(guī)定。其第39條規(guī)定，任何組織或者個人不得披露未成年人的個人隱私;第58條規(guī)定，對未成年人犯罪案件，新聞報道、影視節(jié)目、公開出版物、網(wǎng)絡等不得披露該未成年人的姓名、住所、照片、圖像以及可能推斷出該未成年人的資料。

“一法一決定”對個人信息保護作了基本規(guī)定，但卻缺乏專門保護未成年人或兒童個人信息的特別規(guī)定。《網(wǎng)絡安全法》在“網(wǎng)絡信息安全”一章中覆蓋了網(wǎng)絡運營者保護個人信息的責任義務規(guī)制，但沒有針對未成年人作出特殊保護，僅在第13條提及“國家支持研究開發(fā)有利于未成年人健康成長的網(wǎng)絡產品和服務，依法懲治利用網(wǎng)絡從事危害未成年人身心健康的活動，為未成年人提供安全、健康的網(wǎng)絡環(huán)境”[5]。

近年來，兒童互聯(lián)網(wǎng)產業(yè)發(fā)展迅速。二胎政策的開放使我國進入生育高峰期，兒童互聯(lián)網(wǎng)產業(yè)預期前景可觀，兒童遠程教育、兒童數(shù)字圖書、兒童網(wǎng)絡游戲、兒童服裝玩具等電子商務領域競相出現(xiàn)，各類兒童軟件層出不窮。短視頻平臺及社交媒體平臺的興起使得兒童更青睞于集娛樂、資訊、分享、交友等為一體的網(wǎng)絡服務平臺，并在娛樂、學習、交友等活動參與中越來越多地披露個人信息。兒童由于心智不成熟和社會閱歷不豐富，面臨無法判斷網(wǎng)站推薦信息良莠、釣魚網(wǎng)站等信息套用的風險，其自愿披露的個人信息也極易被網(wǎng)站用于商業(yè)營銷，甚至被用于侵犯兒童人身權利的犯罪活動。因此，對兒童網(wǎng)絡個人信息進行立法保護變得十分必要且迫切。

從比較法視角看，美國和歐盟有關隱私和個人數(shù)據(jù)保護的立法體現(xiàn)了兩大不同類型的立法模式。美國的立法模式專門性和指導性強，早在1998年，美國就針對兒童隱私保護出臺了《兒童在線隱私保護法》（Childrens Online Privacy Protection Act，COPPA），針對13歲以下兒童個人信息保護為網(wǎng)絡運營者收集和使用兒童個人信息提供詳細的指導說明。2011年9月，美國聯(lián)邦貿易委員會對COPPA提出修訂意見，經(jīng)過兩年咨詢討論，修訂法案于2013年7月1日生效[6]。

歐盟立法模式更具有綜合性和懲罰性，沒有針對兒童隱私和個人數(shù)據(jù)保護的專門立法，而是將其納入一般主體數(shù)據(jù)保護中，所有適用于一般主體數(shù)據(jù)保護的規(guī)則都適用于兒童個人數(shù)據(jù)保護。歐盟早在1995年就通過了《關于與個人數(shù)據(jù)處理相關的個人數(shù)據(jù)保護及此類數(shù)據(jù)自由流動指令》（以下簡稱《個人數(shù)據(jù)保護指令》），由各成員國將其轉化為國內法。歐盟于2012年著手對《個人數(shù)據(jù)保護指令》進行修訂，并于2016年通過了《通用數(shù)據(jù)保護條例》（General Data Protection Regulation），替代《個人數(shù)據(jù)保護指令》。該條例于2018年5月25日生效，從數(shù)據(jù)控制者和處理者的責任以及數(shù)據(jù)監(jiān)管等方面重新調整了歐盟個人數(shù)據(jù)保護策略，被稱為“史上最嚴”的數(shù)據(jù)保護法案[7]。

我國在借鑒美國和歐盟立法模式和相關立法規(guī)定的基礎上出臺了《規(guī)定》。從《規(guī)定》的29條法律條文看，其更接近美國專門性和指導性的立法模式，有國外觀察者將我國《規(guī)定》稱為中國版本的COPPA[8]?！兑?guī)定》同時也借鑒了《通用數(shù)據(jù)保護條例》的相關規(guī)則。

二、《規(guī)定》對美歐立法所確立主要原則的借鑒

（一）收集和處理信息充分告知原則

美國COPPA特別關注專門針對兒童的網(wǎng)站和運營者知曉有兒童訪問的一般網(wǎng)站，確立了運營者收集和處理兒童信息必須充分告知的原則。專門針對兒童的網(wǎng)站必須向其用戶提供充分告知，說明他們從兒童訪問者那里收集了哪些信息，如何使用這些信息，以及向誰披露這些信息。充分告知的通知必須以“清晰和突出的方式”發(fā)出，如可以在網(wǎng)站主頁、專門針對兒童的網(wǎng)站特定區(qū)域或收集個人信息的任何頁面上發(fā)出[9]228。

我國《規(guī)定》同樣包含了收集和處理信息必須充分告知的原則。《規(guī)定》第7條明確網(wǎng)絡運營者收集、存儲、使用、轉移和披露信息必須遵循正當必要和知情同意的原則。第9條指出收集處理兒童個人信息必須充分告知兒童監(jiān)護人，征得兒童監(jiān)護人同意，充分告知的方式必須顯著、清晰。第10條、第11條、第12條、第14條進一步明確收集信息必須必要且適當，不能超出合法合理的收集和處理目的，存儲信息不能超出合理期限;充分告知的具體內容也應包括收集和處理信息的目的、方式和范圍以及到期后的處理措施等。

（二）監(jiān)護人全面控制原則

監(jiān)護人全面控制原則已成為各國兒童個人信息保護的主要原則。美國COPPA要求運營者獲得兒童父母可驗證的同意后方可收集和處理兒童個人信息，父母可驗證的同意可通過任何合理的努力獲取參見Code of Federal Regulations， Title 16 Section 312.2。。而且父母有審查已收集兒童個人信息的權利，網(wǎng)站必須提供一種方法供父母審查已收集的信息，并提供一種方法供父母與網(wǎng)站運營者聯(lián)系，以禁止進一步使用或維護兒童的個人信息。擁有平臺個人賬戶的兒童的父母可以訪問他們孩子的在線資料，并可隨時刪除或修改部分或全部資料[9]229。

歐盟《通用數(shù)字保護條例》第8條規(guī)定，網(wǎng)絡服務提供者如要收集或處理不滿16歲兒童的個人數(shù)據(jù)，只有在對兒童負有父母責任的人給予或授權同意的情況下，這種處理才是合法的;成員國可以設定更低的年齡界限，但不得低于13歲[10]。數(shù)據(jù)控制者在考慮到可用的技術的情況下，應盡合理努力核實負有父母責任的人是否同意或授權[11]。

我國《規(guī)定》在第9條、第10條、第14條、第19條、第20條等條文中都有將監(jiān)護人同意或授權對兒童個人信息的收集、處理、刪除、更正納入其中，體現(xiàn)了父母等監(jiān)護人對兒童個人信息收集和處理過程的全面監(jiān)控。相對而言，我國的規(guī)定更具原則性，并未像COPPA一樣窮盡式列舉技術所支持的所有可能的授權同意方式。

（三）被遺忘權與信息更正刪除原則

歐盟個人數(shù)據(jù)保護機制下的“被遺忘權”能將已落入公共領域的信息拉回到私人控制的狀態(tài)，被遺忘權是指權利主體有權要求數(shù)據(jù)控制者刪除其個人數(shù)據(jù)的權利。對于已公開但隨后淡出公眾視野、被公眾遺忘的私人事實，如果未來仍有被披露而給權利人帶來危害的風險，則這些已公開的私人事實仍能回到隱私狀態(tài)，需防止其后再次被披露。《通用數(shù)據(jù)保護條例》第17條將“被遺忘權”寫入其中。

我國《規(guī)定》第19條和第20條借鑒了歐盟數(shù)據(jù)保護制度中的“被遺忘權”。這兩條規(guī)定明確賦予兒童及其監(jiān)護人更正和刪除網(wǎng)絡運營者所收集、存儲、使用、披露的兒童個人信息的權利。更正的權利適用于信息錯誤的情形，刪除的權利適用于違法、違反正當必要原則收集和處理信息以及監(jiān)護人撤回同意、注銷服務的情形。

（四）網(wǎng)站內部操作例外與最小授權原則

COPPA規(guī)定，有運營者為內部維護網(wǎng)站或網(wǎng)絡服務目的而向提供技術支持的人披露兒童個人信息的例外。究其根本，這一規(guī)定實際賦予維護網(wǎng)站運營的相關工作人員訪問運營者收集的兒童個人信息的權利。美國立法將這一規(guī)定稱為網(wǎng)站內部操作例外（internal operation exception），因為運營者向相關工作人員披露個人信息被視為披露信息的例外。COPPA要求這一例外僅適用于提供網(wǎng)絡服務所必需的有限情形，即在最小范圍內授權相關工作人員獲取個人信息。

最小授權原則被首次納入我國個人信息保護的法律文件中，體現(xiàn)于《規(guī)定》第15條。《規(guī)定》要求網(wǎng)絡運營者在授權其工作人員訪問個人信息時，應嚴格設定訪問權限，控制個人信息知悉范圍，只讓最小量的必須知曉個人信息的工作人員進行訪問。

（五）行業(yè)自律原則

行業(yè)自律原則是美國隱私保護所鼓勵和支持的一大原則，即讓行業(yè)聯(lián)盟或網(wǎng)絡運營者自發(fā)采用行業(yè)自律政策為網(wǎng)絡隱私提供保護，以彌補立法總是滯后于現(xiàn)實狀況的不足。這一原則在COPPA中又被稱為“避風港計劃”（safe harbor program）。避風港計劃鼓勵行業(yè)自律，允許經(jīng)批準的行業(yè)成員根據(jù)自己的合規(guī)指南創(chuàng)建自己履行COPPA義務的監(jiān)督計劃，避風港計劃對其成員的信息保護實踐進行年度全面審查，并向聯(lián)邦貿易委員會提交年度審查結果報告[9]230。

我國《規(guī)定》借鑒美國隱私保護的行業(yè)自律原則，在《規(guī)定》第6條提及鼓勵互聯(lián)網(wǎng)行業(yè)組織指導推動網(wǎng)絡運營者制定兒童個人信息保護的行業(yè)規(guī)范、行為準則等，加強行業(yè)自律。第8條強調網(wǎng)絡運營者應設置專門的兒童個人信息保護規(guī)則和用戶協(xié)議，并指定專人負責兒童個人信息保護。專人是指參照境外互聯(lián)網(wǎng)公司的做法，設立“首席隱私官”全面負責兒童個人信息保護[4]62。

三、美國COPPA新一輪修訂征求建議及啟示

美國聯(lián)邦貿易委員會于2019年7月25日啟動對COPPA的第二次修訂，以確保該COPPA能跟上自2013年修訂以來所發(fā)生的市場、技術和商業(yè)模式變化。聯(lián)邦貿易委員會在《聯(lián)邦公報》上發(fā)布征求公開建議的公告，敦促公眾于2019年10月23日前提交建議[12]。據(jù)統(tǒng)計，聯(lián)邦貿易委員會已收到超過17.5萬份建議[8]。本文參考了能從公開渠道獲取的兩份建議，歸納總結出COPPA第二次修訂中可能出現(xiàn)的變化。這兩份建議一份來自于英國一家旨在推動青少年隱私權益保護的基金會（5Rights Foundation），一份來自于美國普林斯頓大學信息技術政策中心（Center for Information Technology Policy）。鑒于我國《規(guī)定》主要借鑒COPPA制定，本文主要探討COPPA第二次修訂可能出現(xiàn)的變化及對我國進一步完善《規(guī)定》的啟示。

（一）調整年齡段限制

COPPA只保護13歲以下兒童的網(wǎng)絡隱私。建議提出額外的、比較靈活的保護應延伸至13至17歲的青少年。聯(lián)邦貿易委員會在2012年的一份報告中就已在考慮讓社交網(wǎng)絡平臺為青少年增加隱私保護默認設置，雖然青少年可能規(guī)避這些設置，但這些設置可被視為有效的減速帶，讓青少年更好地思考分享個人信息帶來的影響[13]。于2020年生效的美國2018年《加利福尼亞州消費者隱私法》已針對兒童和青少年采用隱私保護的“雙層模式”（two-tier model）。該法規(guī)定，企業(yè)實際知道消費者不滿16歲的，不得出售消費者的個人信息，但是，13至16歲的消費者或者不滿13歲的消費者的父母或監(jiān)護人明確同意出售消費者個人信息的除外參見California Consumer Privacy Act of 2018， Section 1798.120（c）。。對16歲以下的未成年人，加州法律采取了經(jīng)主體明示授權同意后方可采集利用個人信息的“opt-in”模式，而對16歲以上的人采取信息披露后允許主體退出信息披露的“opt-out”模式[14]。

我國《規(guī)定》保護主體是14歲以下的兒童，采用了與COPPA近似的“一刀切”年齡段限制。采用一刀切還是個體化的年齡限制一直是各國針對未成年人個人信息保護立法時的糾結之處，這源于賦權還是保護以及取平均年齡還是看個體差異這兩類困境[3]84-85。未成年人身心發(fā)展尚不成熟，仍需依賴成年人進行身心照顧，因此需要對未成年人給予特別保護。但同時隨著年齡和知識閱歷的不斷增長，青少年相較于兒童對社會的關注度和理解力更趨于成熟，需要通過網(wǎng)絡等技術工具獲取知識、發(fā)表看法、自我決策和參與社會。此外，同一年齡段的未成年人由于其先天智力和后天成長環(huán)境的不同，可能出現(xiàn)個體間成熟度的差異。因此，需要對未成年人個人信息予以特別保護，但又需針對不同成熟度的兒童和青少年給予差異化保護，這增加了立法的難度。對每個兒童和青少年進行個性化的能力測試會極大加重網(wǎng)絡運營者的成本和負擔，在目前的技術環(huán)境下不易實現(xiàn)。以年齡段進行劃分側重考察某一年齡段兒童或青少年的平均能力，有其可取之處。我國《未成年人保護法》保護的未成年人為18歲以下，而《規(guī)定》保護個人信息的主體卻限制在14歲以下，忽略了14至17歲青少年的個人信息保護。可考慮采用《加利福尼亞州消費者隱私法》所選擇的雙層模式，對未成年人的個人信息保護延伸至14至17歲的青少年，采用相較于14歲以下兒童更靈活的保護方式。

（二）增加透明度審查

建議提出COPPA面臨的一個主要挑戰(zhàn)是，外部觀察員（例如父母、研究者、記者或宣傳團體）很難理解網(wǎng)絡運營者是如何決定遵守COPPA的[15-16]。需要遵守COPPA的是其服務專門針對兒童的網(wǎng)絡運營者或知曉其用戶中有兒童但用戶年齡混合的一般網(wǎng)絡運營者。如果服務是專門針對兒童的，在收集用戶信息之前，運營者必須確保已獲得了可驗證的父母同意。如果用戶是混合年齡，則運營者必須確保未經(jīng)父母同意，不會收集13歲以下用戶的信息。決定網(wǎng)絡服務是否專門針對兒童，需要綜合考慮諸多因素，包括其主題、視覺內容、動畫人物的使用或兒童導向的活動和激勵、音樂或其他音頻內容、示范人物的年齡、兒童名人或吸引兒童的名人的出現(xiàn)、語言或網(wǎng)站的其他特點，以及廣告宣傳是否針對兒童參見Code of Federal Regulations， Title 16 Section 312.2。。如果是混合年齡用戶的網(wǎng)絡運營者試圖收集用戶信息，則可以選擇設置“年齡門”（age gate），以確保不會收集未成年用戶信息?！澳挲g門”是一種要求用戶以年齡中立的方式提供年齡或出生日期的機制。

建議提出應修訂COPPA，要求運營者選擇更加開放、以便于外部審查的系統(tǒng)設計。具體而言，不管運營者是否認為其服務專門針對兒童，聯(lián)邦貿易委員會都應要求運營者以機器可讀的格式披露其系統(tǒng)設計，以使研究者或父母可以檢查運營者保護兒童隱私的具體方案。如果運營者設置了“年齡門”作為確定其服務不是專門針對兒童，那么運營者必須公開發(fā)布“年齡門”的操作說明，以及采取了哪些步驟來驗證13歲以下的兒童無法規(guī)避“年齡門”。聯(lián)邦貿易委員會可通過一些方式讓iOS或Android等平臺在篩選用戶和驗證年齡方面發(fā)揮更有效的作用[15-16]。

我國《規(guī)定》未像COPPA一樣區(qū)分專門針對兒童的網(wǎng)站和面向混合年齡用戶的網(wǎng)站，《規(guī)定》第3條指出其適用于所有在我國境內通過網(wǎng)絡收集和處理兒童個人信息的網(wǎng)絡運營者，但《規(guī)定》卻未要求網(wǎng)絡運營者告知公眾其如何知曉和判定其收集和處理的個人信息屬于14歲以下的兒童。隨著人工智能算法在網(wǎng)站運行中的運用，算法黑箱和算法偏見讓兒童及其監(jiān)護人更無從知曉運營者如何保護其網(wǎng)絡個人信息。算法黑箱和算法偏見已成為智能算法發(fā)展中不可忽視的問題，算法提供了聚類或預測結果，卻不能解釋這些結果是如何形成的，錯誤、不準確、有偏見的輸入數(shù)據(jù)導致了錯誤的輸出結果。誠如倡導全球在線公民自由和人權的非政府機構民主與技術中心（Center for Democracy and Technology）所提及的，設計易于審計的算法系統(tǒng)增加了算法可靠性，審計對于系統(tǒng)化且長期檢測不公平結果是必要的[17]。因此，我國《規(guī)定》也應考慮要求網(wǎng)絡運營者采用易于外部審查和審計的系統(tǒng)保護兒童個人信息，為審查和審計需要，必要時應披露其系統(tǒng)運行方案，以供兒童監(jiān)護人或研究者查驗。

（三）明確“實際知曉”和“個人信息”的定義

COPPA區(qū)分了專門針對兒童提供服務的網(wǎng)絡運營者和面向混合年齡用戶的網(wǎng)絡運營者。面向混合年齡用戶的網(wǎng)絡運營者只有在實際知曉用戶中有13歲以下兒童時才需遵守COPPA，但COPPA卻未給予“實際知曉”確切定義。為規(guī)避實際知曉，網(wǎng)絡運營者可能只收集寬泛的年齡段數(shù)據(jù)，如詢問注冊者是否18歲以下、18至35歲、35歲以上等[18]。為了確保網(wǎng)絡運營者不會忽視眾多兒童已使用其服務，建議提出COPPA應采用“故意失明”（wilfully blind）理論以定義“實際知曉”[14]?！肮室馐鳌崩碚撌侵柑峁┮环N將知曉歸因于一方當事人的方法，該方當事人已對某些事項產生強烈懷疑，但為了避免這些懷疑被證實而不對懷疑事項進行調查。該理論旨在推翻通過故意避免實際知曉而讓自身免除刑事責任的企圖參見R. v. Briscoe， 2008 ABCA 327 （CanLII）， Paragraph 19。?！肮室馐鳌崩碚撘驯?018年《加利福尼亞州消費者隱私法》采納，該法規(guī)定，故意無視消費者年齡的企業(yè)應被視為實際了解消費者年齡參見California Consumer Privacy Act of 2018， Section 1798.120（c） 。。

我國《規(guī)定》并未通過識別網(wǎng)絡運營者的主觀意識來明確其是否應遵循《規(guī)定》，《規(guī)定》采取了無過錯歸責原則，只要網(wǎng)站收集處理了兒童個人信息，無論網(wǎng)絡運營者是否知曉，均應遵守《規(guī)定》。只有通過計算機系統(tǒng)自動留存處理信息且無法識別該信息屬于兒童個人信息的，才不適用《規(guī)定》參見《兒童個人信息網(wǎng)絡保護規(guī)定》第28條。。這無疑會加重網(wǎng)絡運營者維護系統(tǒng)的成本和負擔，導致所有網(wǎng)絡運營者無論其是否收集和處理了兒童個人信息都需按照可能收集兒童個人信息的狀態(tài)執(zhí)行《規(guī)定》條款。因此，有必要明確網(wǎng)絡運營者的責任追究采用過錯歸責原則，只有當網(wǎng)絡運營者實際知曉其收集和處理的信息中存在兒童個人信息時才需遵守《規(guī)定》，故意無視用戶年齡應被視為實際知曉用戶年齡。

COPPA以詳細列舉的方式定義“個人信息”，包括姓名、住址、在線聯(lián)系信息、網(wǎng)絡用戶名、電話號碼、身份證號、能在不同時間和網(wǎng)站識別出用戶身份的永久性識別符號、照片或音視頻、定位信息等參見Code of Federal Regulations， Title 16 Section 312.2。。聯(lián)邦貿易委員會在進行新一輪COPPA修訂時考慮在對“個人信息”的定義中，是否應包括從兒童身上推斷而非直接收集的個人信息。建議認為個人信息應當包含推斷信息，推斷信息占兒童所有信息的很大一部分，推斷過程意味著看似平凡或無害的數(shù)據(jù)可以用來對高度個人敏感信息做出令人驚訝的準確預測，對這些信息的處理可以使兒童受到與處理直接收集信息相同的影響[14]。

我國《規(guī)定》未明確定義個人信息，但在《網(wǎng)絡安全法》中將個人信息定義為以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息參見《網(wǎng)絡安全法》第76條第（5）項。。因此，從《網(wǎng)絡安全法》非窮盡式立法模式來看，我國網(wǎng)絡運營者所收集和處理的包含兒童個人信息在內的各項個人信息也應包括能識別個人身份的推斷信息。

（四）注意教育技術帶來的變化

教育技術的發(fā)展使越來越多的學校和家庭采用網(wǎng)絡運營者提供的教育技術服務。例如，有課堂管理應用程序LanSchool17、支持學校家庭聯(lián)系的技術Seesaw18、成績管理技術Schoology19、幫助兒童學習技能的程序Dreambox20、跟蹤學生行為和改善紀律的軟件BRIM22等[15-16]?？紤]到日益增長的教育技術服務市場需求，聯(lián)邦貿易委員會在新一輪COPPA修訂中考慮是否有必要規(guī)定父母同意的例外規(guī)定，為學校提供教育技術服務的運營者為更好地促進學校教育（即“教育目的”），在收集和處理兒童個人信息時，學?？梢源鷮W生父母做出授權同意，而無需一一征求父母意見。

建議提出，聯(lián)邦貿易委員會在考慮父母同意的具體例外之前，應研究教育技術在學校教育中的使用情況，認真做到以下幾方面：首先，應以無障礙方式告知父母，教育技術提供者收集了關于其子女的哪些信息，如何使用這些信息，誰有權訪問這些信息，以及這些信息保留多長時間，父母也應有權要求刪除其子女的信息;其次，應指導學校管理者在如何選擇教育技術提供者時作出明智的決定，制定保護學生隱私的政策，并培訓教育工作者執(zhí)行這些政策;再次，COPPA應闡明學校管理者和教育技術提供者如何就收集、使用和維護其子女信息對父母負責;最后，聯(lián)邦貿易委員會在考慮父母同意的任何例外時，需明確界定“教育目的”的含義[15-16]以及被禁止的目的和范圍，被禁止的目的應包括但不限于直接營銷、行為廣告以及任何與服務功能不必要的數(shù)字畫像數(shù)字畫像（profiling）被歐盟《通用數(shù)據(jù)保護條例》定義為與自然人相關的某些個人情況，特別是為了分析或預測該自然人的工作表現(xiàn)、經(jīng)濟狀況、健康狀況、個人偏好、興趣、可信度、行為、位置或行蹤，而對個人數(shù)據(jù)進行的任何形式的自動化處理和利用。[3]87。

我國《規(guī)定》尚未考慮到教育技術的廣泛運用所帶來的變化。在學校使用聯(lián)網(wǎng)教學管理技術越來越普遍的情況下，可考慮在《規(guī)定》中增加監(jiān)護人全面控制兒童個人信息收集和處理的例外，例如，可允許學校代為授權同意教育技術提供者為更好促進學校教育的目的收集和處理學生個人信息，無需經(jīng)過學生父母同意。但需對何為促進學校教育目的進行明確規(guī)定，并且嚴格將父母同意的例外限制在為提升教育技術服務的目的上，排除其他商業(yè)性目的。如有可能，應將收集到的學生個人信息匿名化處理，防止學生身份被識別。

參考文獻：

[1]中國互聯(lián)網(wǎng)絡信息中心.2019年全國未成年人互聯(lián)網(wǎng)使用情況研究報告[R/OL].（2020-05-13）[2020-06-12].http：//www.cnnic.net.cn/hlwfzyj/hlwxzbg/qsnbg/202005/P020200513370410784435.pdf.

[2]梅雨婷，虞潯.未成年人互聯(lián)網(wǎng)信息過濾機制探析——兼議《兒童個人信息網(wǎng)絡保護規(guī)定（征求意見稿）》[N].民主與法制時報，2019-06-20（7）.

[3]付新華.大數(shù)據(jù)時代兒童數(shù)據(jù)法律保護的困境及其應對——兼評歐盟《一般數(shù)據(jù)保護條例》的相關規(guī)定[J].暨南學報（哲學社會科學版），2018（12）.

[4]朱巍.《兒童個人信息網(wǎng)絡保護規(guī)定》解讀[J].中國信息安全，2019（10）.

[5]張若琳.未成年人網(wǎng)絡保護制度建設域外經(jīng)驗及借鑒[J].信息安全研究，2017（12）：1072.

[6]白凈，趙蓮.中美兒童網(wǎng)絡隱私保護研究[J].新聞界，2014（4）：57.

[7]王磬.“最嚴數(shù)據(jù)法”GDPR今日生效，能否將數(shù)字時代的權力關進籠子里？[EB/OL].（2018-05-25）[2020-02-24].http：//www.sohu.com/a/232883347_313745.

[8]QUINN C. Whats Come in 2020 Part 1： Childrens Online Privacy & Safety[EB/OL].[2020-02-24].https：//www.privo.com/blog/childrens-online-privacy-sa-fety-in-2020.

[9]GADBAW T. Legislative Update： Childrens Online Privacy Protection Act of 1998 [J]. Childrens Legal Rights Journal，2016（3）.

[10]Regulation （EU） 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with regard to the Processing of Personal Data and on the Free Movement of Such Data， and Repealing Directive 95/46/EC （General Data Protection Regulation， Article 8（1）[DB/OL].[2020-02-24].https：//eur-lex.europa.eu/eli/reg/2016/679/oj.

[11]Regulation （EU） 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with regard to the Processing of Personal Data and on the Free Movement of Such Data， and Repealing Directive 95/46/EC （General Data Protection Regulation， Article 8（2）[DB/OL].[2020-02-24].https：//eur-lex.europa.eu/eli/reg/2016/679/oj.

[12]Federal Trade Commission. The Federal Trade Commissions Implementation of the Childrens Online Privacy Protection Rule[EB/OL].（2019-10-22）[2020-02-25]. https：//www.federalregister.gov/documents/2019/10/22/2019-22940/the-federal-trade-commissions-implementation-of-the-childrens-online-privacy-protection-rule.

[13]5Rights Foundation. 5Rights Foundations Submission to the COPPA Rule Review 2019[EB/OL].[2020-02-25].https：//5rightsfoundation.com/uploads/final-5rig-hts-submission-on-coppa-rule-review.pdf.

[14]陳慧慧.比較視角看CCPA的立法導向和借鑒意義[J].信息安全與通信保密，2019（12）：28-30.

[15]CHETTY M， FELTEN E W， KSHIRSAGAR M， et al. COPPA Rule Review， 16 CFR 312， Project No. P195404[EB/OL].（2019-12-11）[2020-02-25].https：//s3.amazonaws.com/citpsite/wp-content/uploads/2019/12/13160400/CITP-Clinic-FTC-COPPA-Rule-Comments.pdf.

[16]KSHIRSAGAR M. Improving Protections for Childrens Privacy Online[EB/OL]. （2020-01-15）[2020-02-25].https：//freedom-to-tinker.com/2020/01/15/improving-protections-for-childrens-privacy-online/.

[17]Center for Democracy and Technology. AI & Machine Learning[EB/OL].[2020-02-19]. https：//cdt.org/ai-machine-learning/.

[18]胡元瓊.網(wǎng)絡隱私權保護立法的能與不能——以美國《兒童在線隱私保護法》評介為中心[J].網(wǎng)絡法律評論，2004（1）：164-165.

Abstract：The Regulation on the Network Protection of Childrens Personal Information （thereafter “the Regulation”） drafted and promulgated by Cyberspace Administration of China was officially implemented on 1 October 2019， which is the first special law on the protection of childrens online personal information in China. The Regulation borrows basic principles of Childrens Online Privacy Protection Act （COPPA） of the United States and General Data Protection Regulation of the European Union， and is regarded as the Chinese version of COPPA by foreign observers. Based on the analysis of the legislative background and comparative legal environment of the Regulation， this article explores the main principles of childrens personal information protection in the United States and the European Union， and finds out further improvement of the Regulation through the discussion of public proposals in the new round of COPPA rule revision launched by the United States in 2019.

Keywords：children; privacy; personal information; online services; Regulation on Network Protection of Childrens Personal Information of Peoples Republic of China

（編輯：劉仲秋）