■戴曾盛

（華僑大學(xué)法學(xué)院，福建 泉州 350001）

一、前言

隨著互聯(lián)網(wǎng)技術(shù)的普及，參與數(shù)字生活已不是成年人的“特權(quán)”，兒童在日常的生活中普遍使用互聯(lián)網(wǎng)已成為社會(huì)生活的基本現(xiàn)狀。中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《2020年全國未成年人互聯(lián)網(wǎng)使用情況研究報(bào)告》數(shù)據(jù)顯示，截至2020年底，中國青少年網(wǎng)民規(guī)模約為2.77億，占整體網(wǎng)民20%左右，其中年齡14周歲以下的兒童網(wǎng)民在青少年網(wǎng)民比例中占比11.6%，這之中有32.9%的兒童在學(xué)齡前就開始使用互聯(lián)網(wǎng)[1]。成年人在數(shù)字生活中對信息泄露的風(fēng)險(xiǎn)尚且難以防范，這一風(fēng)險(xiǎn)對于兒童而言更為棘手。例如，兒童學(xué)習(xí)生活中，針對兒童設(shè)計(jì)的兒童教育游戲、兒童電子圖書館等兒童教育產(chǎn)品作為教輔用具在市場中受到追捧，為獲得更為精準(zhǔn)的用戶數(shù)據(jù)，部分兒童互聯(lián)網(wǎng)產(chǎn)品會(huì)利用技術(shù)手段在兒童使用產(chǎn)品過程中收集、處理個(gè)人信息。一旦數(shù)據(jù)泄露或被竊取必將會(huì)威脅兒童的數(shù)據(jù)安全，就可能對兒童的日常生活造成安全影響。并且兒童身心尚處于發(fā)育過程中，其行為能力、同意能力和風(fēng)險(xiǎn)識(shí)別能力在生理階段不及成年人般完善，面對冗雜繁長的“用戶協(xié)議書”時(shí)恐怕難以識(shí)別進(jìn)而導(dǎo)致誤判造成自身敏感數(shù)據(jù)的泄露。

在此背景下，如何保護(hù)數(shù)量龐大的兒童個(gè)人信息不受侵害，如何完善現(xiàn)有法律制度減少兒童的網(wǎng)絡(luò)風(fēng)險(xiǎn)，對保障兒童網(wǎng)絡(luò)生活的安全環(huán)境具有重要的意義。

二、兒童個(gè)人信息保護(hù)的立法現(xiàn)狀

我國兒童個(gè)人信息保護(hù)法律體系尚處于立法初創(chuàng)階段，雖然形成了法律規(guī)制框架，但在落實(shí)規(guī)范的過程中缺乏具體的、可執(zhí)行的規(guī)范指引，導(dǎo)致有關(guān)法條空懸虛位。

（一）國內(nèi)現(xiàn)行立法

涉及兒童個(gè)人信息保護(hù)的立法主要包括《民法典》《未成年人保護(hù)法》《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》《個(gè)人信息保護(hù)法》。其中《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》（下稱《規(guī)定》）是首部保護(hù)兒童信息的專門性法律規(guī)范，對于兒童信息保護(hù)具有里程碑式的作用。

1.明確監(jiān)護(hù)人知情同意下的“監(jiān)護(hù)同意”規(guī)則

《規(guī)定》第五條、第九條、第十條、第十四條、第十九條、第二十條等規(guī)定，監(jiān)護(hù)人對于網(wǎng)絡(luò)運(yùn)營商意圖收集、處理、使用未成年人個(gè)信息具有事前同意、事中及事后對產(chǎn)生錯(cuò)誤的兒童個(gè)人信息刪除、更正的控制權(quán)。

2.明確網(wǎng)絡(luò)運(yùn)營商的運(yùn)營責(zé)任

《規(guī)定》第七條、第九條、第十條等條款規(guī)定，網(wǎng)絡(luò)運(yùn)營者在收集、處理兒童個(gè)人信息時(shí)需要監(jiān)護(hù)人同意，并且網(wǎng)絡(luò)運(yùn)營商應(yīng)當(dāng)針對兒童制定符合其生理、心理特征的保護(hù)規(guī)則和用戶協(xié)議，強(qiáng)調(diào)了監(jiān)護(hù)人的事前監(jiān)督權(quán)和平臺(tái)承擔(dān)的事前責(zé)任。

3.明確互聯(lián)網(wǎng)運(yùn)營商自律管理責(zé)任

《規(guī)定》第十五條至第十八條、第二十一條等規(guī)定互聯(lián)網(wǎng)運(yùn)營商對其管理的未成年個(gè)人信息的管理義務(wù)。互聯(lián)網(wǎng)運(yùn)營商不得違法向未授權(quán)的企業(yè)個(gè)人披露個(gè)人信息，并且遵守“最少授權(quán)原則”嚴(yán)格控制知悉兒童個(gè)人信息的人員范圍，需要制定應(yīng)急方案以防范可能發(fā)生的信息泄露危險(xiǎn)。

（二）域外立法比較

美國在兒童信息保護(hù)方面是立法的先行者，較之國內(nèi)相關(guān)規(guī)范而言，內(nèi)容更加具體、更具可操作性。

1.監(jiān)護(hù)人同意制度

美國《兒童在線隱私保護(hù)法》（Children's Online PrivacyProtection Act，COPPA）是美國針對13歲以下未成年人所制定的信息保護(hù)法案，法案創(chuàng)設(shè)了“監(jiān)護(hù)同意”制度①的具體規(guī)則。COPPA與《規(guī)定》第九條相似，都強(qiáng)調(diào)監(jiān)護(hù)人有權(quán)知悉并決定互聯(lián)網(wǎng)運(yùn)營商對兒童個(gè)人信息的收集、處理。不過COPPA規(guī)范更加具體，規(guī)定了6種具有可操作性的同意方式，包括:（1）通過傳真、郵遞、電子掃描等方式向運(yùn)營商提供父母簽署的同意書；（2）使用信用卡、借記卡或其他網(wǎng)絡(luò)支付手段并向父母發(fā)送通知；（3）父母電話同意；（4）與專業(yè)的工作人員視頻通話；（5）通過政府頒發(fā)的身份證件復(fù)印件用于驗(yàn)證；（6）運(yùn)用面部識(shí)別技術(shù)進(jìn)行驗(yàn)證等[2]。“可驗(yàn)證的父母同意”為監(jiān)護(hù)人知悉并允許網(wǎng)絡(luò)運(yùn)營商使用13歲以下兒童個(gè)人信息提供了多種方式，雖然同意方式較為繁瑣，可能降低網(wǎng)絡(luò)經(jīng)營商的經(jīng)濟(jì)利益，但隱藏在互聯(lián)網(wǎng)中的網(wǎng)絡(luò)隱私危機(jī)令成年人都難以防范，對兒童更需要傾斜保護(hù)。因此，為強(qiáng)化兒童個(gè)人信息安全，在制度上安排監(jiān)護(hù)人介入并保障介入方式的有效性，有利于平衡保護(hù)兒童權(quán)益與社會(huì)經(jīng)濟(jì)利益。

2.網(wǎng)絡(luò)運(yùn)營商的運(yùn)營責(zé)任

3.網(wǎng)絡(luò)運(yùn)營商的自律監(jiān)管要求

強(qiáng)調(diào)行業(yè)自律監(jiān)管是COPPA法案一大特點(diǎn)，其中自律監(jiān)管條款被稱為“避風(fēng)港計(jì)劃”②。該條款鼓勵(lì)互聯(lián)網(wǎng)運(yùn)營商在符合法律法規(guī)的前提下自行制定符合COPPA法律內(nèi)涵的行業(yè)自律規(guī)定，允許互聯(lián)網(wǎng)運(yùn)營商針對自身特點(diǎn)制定保護(hù)兒童個(gè)人信息的隱私政策，這些自律行為需聯(lián)邦貿(mào)易委員會(huì)批準(zhǔn)后生效，互聯(lián)網(wǎng)運(yùn)營商在運(yùn)營過程中只需遵守各自的自律規(guī)定即可[4]。

COPPA法案的“避風(fēng)港計(jì)劃”條款授權(quán)網(wǎng)絡(luò)運(yùn)營商自我管理，提倡行業(yè)成員創(chuàng)造符合法律精神的“軟法”，以此防范法律“以偏概全”的失靈狀況。所謂“軟法”是指，不依靠國家強(qiáng)制力保證實(shí)施的法律規(guī)范，它是一種由多元主體經(jīng)或非經(jīng)正式的國家立法程序制定或形成，并由各制定主體自身所隱涵的約束力予以保障實(shí)施的行為規(guī)范[5]。例如行業(yè)協(xié)會(huì)公約、公司內(nèi)部規(guī)章、互聯(lián)網(wǎng)運(yùn)營商的隱私政策均是“軟法”，能夠起到彌補(bǔ)法律空白抑制公權(quán)力膨脹的效用。COPPA法案將自律監(jiān)管與法律規(guī)定相結(jié)合，意圖使用“軟法”彌補(bǔ)法律失靈時(shí)存在的監(jiān)管空白問題。

三、兒童個(gè)人信息保護(hù)的立法缺憾

（一）兒童年齡范圍界定問題

兒童是需要被特殊保護(hù)的法律主體，但其年齡的范圍存在一定爭議。在《規(guī)定》中兒童的年齡為14周歲以下?！睹穹ǖ洹芬?周歲為限，8周歲以下為無民事行為能力人，8周歲以上18周歲以下是限制民事行為能力人。《未成年人保護(hù)法》規(guī)定未成年人是指18周歲以下的公民。《個(gè)人信息保護(hù)法》規(guī)定不滿14周歲未成年人的個(gè)人信息處理需要監(jiān)護(hù)人同意。《個(gè)人信息安全規(guī)范》規(guī)定收集年滿14周歲未成年人的個(gè)人信息前，應(yīng)征得未成年人或其監(jiān)護(hù)人的明示同意?？梢娫趪鴥?nèi)沒有統(tǒng)一的兒童信息保護(hù)年齡界限標(biāo)準(zhǔn)，“兒童”與“未成年人”之間的年齡界限亦處于模糊狀態(tài)。放眼域外，年齡標(biāo)準(zhǔn)同樣存在爭議。美國COPPA法案2000年通過之時(shí)保護(hù)的對象是13周歲以下的兒童，2018美國國會(huì)對COPPA法案進(jìn)行修訂，將保護(hù)對象的年齡擴(kuò)大到了12～16歲的未成年人，在修訂審查稿中保護(hù)對象的年齡曾被建議提升至18歲以下。

兒童在個(gè)人信息保護(hù)領(lǐng)域年齡范圍界定問題的本質(zhì)是對兒童參與數(shù)字生活的行為能力、同意能力、認(rèn)知能力等能力的界分。統(tǒng)一年齡標(biāo)準(zhǔn)雖然滿足了法律的確定性要求，但這種“一刀切”的處理模式忽略了兒童生理年齡與心理年齡的差異，忽略了不同年齡段未成年人對“個(gè)人信息自決權(quán)”的管理、支配與處分的需求，限制了部分兒童自我決策的權(quán)利。以統(tǒng)一年齡作為判斷標(biāo)準(zhǔn)符合一部分兒童的需求，但會(huì)對另一部分兒童產(chǎn)生不當(dāng)限制，從而導(dǎo)致兩個(gè)不利結(jié)果，要么抑制某些早熟兒童獲取新的信息和知識(shí)，要么會(huì)使某些晚熟的兒童接觸到與其智力水平不相適應(yīng)的信息[6]。在法律適用中，統(tǒng)一年齡的界分方式將會(huì)導(dǎo)致監(jiān)護(hù)人與兒童之間的權(quán)利沖突。一方面，兒童隨著自身成長，自主決策權(quán)的需求不斷提升，對成年人的依賴不斷降低，監(jiān)護(hù)人對兒童干預(yù)的權(quán)利理應(yīng)被縮限；另一方面，兒童的表達(dá)自由、個(gè)人隱私處分自由等“自決權(quán)”應(yīng)當(dāng)被逐漸強(qiáng)化，這種關(guān)系被一些學(xué)者稱為賦權(quán)和保護(hù)沖突[7]。換言之，不科學(xué)的年齡界分將造成兒童“賦權(quán)”和“保護(hù)”之間的沖突，如果賦權(quán)性規(guī)定過多，會(huì)導(dǎo)致對兒童的保護(hù)不力；如果保護(hù)性規(guī)定過多，則可能限制兒童的自我決策權(quán)等賦權(quán)性利益[8]。所以立法者需要重新審視以統(tǒng)一年齡標(biāo)準(zhǔn)對兒童個(gè)人信息保護(hù)的合理性，構(gòu)建更為合理的年齡界分標(biāo)準(zhǔn)以指引兒童及監(jiān)護(hù)人的網(wǎng)絡(luò)行為。

（二）監(jiān)護(hù)人“監(jiān)護(hù)同意”制度問題

我國《規(guī)定》明確：網(wǎng)絡(luò)運(yùn)營商意圖收集、處理兒童個(gè)人信息必須告知其監(jiān)護(hù)人，在監(jiān)護(hù)人同意之后方可使用。美國COPPA法案存在同樣的“監(jiān)護(hù)同意”條款，但較之我國《規(guī)定》，美國COPPA具有更強(qiáng)的可操作性，其中列舉式的監(jiān)護(hù)人同意措施是我國《規(guī)定》所欠缺的。除此之外，監(jiān)護(hù)同意制度本身在實(shí)際運(yùn)行中暴露出諸多問題。

1.監(jiān)護(hù)人的同意疲勞

法律規(guī)定要求監(jiān)護(hù)人介入兒童處分個(gè)人信息決定的本意是為兒童制造信息屏障，希望監(jiān)護(hù)人幫助兒童屏蔽有害信息并協(xié)助兒童管理個(gè)人數(shù)據(jù)。然而，美國COPPA法案實(shí)施后十年，產(chǎn)生了一種監(jiān)護(hù)人的同意困境，即監(jiān)護(hù)人的“同意疲勞”。監(jiān)護(hù)人同意規(guī)則賦予監(jiān)護(hù)人較強(qiáng)的查閱權(quán)，然而監(jiān)護(hù)人受“監(jiān)護(hù)同意”約束被迫面對數(shù)量龐大的互聯(lián)網(wǎng)運(yùn)營商以及種類繁多的門戶網(wǎng)站，并且互聯(lián)網(wǎng)運(yùn)營商的隱私政策冗長且復(fù)雜，這對監(jiān)護(hù)人的識(shí)別與控制能力造成較大挑戰(zhàn)[9]。如果允許監(jiān)護(hù)人使用“集中授權(quán)”模式，那么監(jiān)護(hù)人同意制度就容易被濫用而失去保護(hù)作用，但單一監(jiān)護(hù)同意制度將監(jiān)護(hù)人推入信息的泥潭，使得監(jiān)護(hù)人陷入疲于同意的困境。

2.監(jiān)護(hù)人同意的真實(shí)性

眾創(chuàng)空間的價(jià)值創(chuàng)造以服務(wù)創(chuàng)客團(tuán)隊(duì)為基本邏輯，能夠?yàn)閯?chuàng)客提供從創(chuàng)意設(shè)計(jì)、模具設(shè)計(jì)到產(chǎn)品制造、市場營銷等各環(huán)節(jié)的全鏈條式服務(wù)。眾創(chuàng)空間擁有豐富的服務(wù)接口以及立體化全要素的創(chuàng)業(yè)平臺(tái)，能夠提供便捷的創(chuàng)業(yè)運(yùn)營一站式服務(wù)，促進(jìn)創(chuàng)業(yè)者和創(chuàng)業(yè)資源之間的對接。在產(chǎn)品價(jià)值創(chuàng)造方面，眾創(chuàng)空間聚集了創(chuàng)客、企業(yè)以及供應(yīng)鏈上的各種創(chuàng)新資源，形成了完善的產(chǎn)品創(chuàng)新服務(wù)體系。產(chǎn)品價(jià)值創(chuàng)造包括新利益點(diǎn)的確定、消費(fèi)行為的引導(dǎo)和用戶體驗(yàn)的設(shè)計(jì)。

互聯(lián)網(wǎng)中每個(gè)人的身份都具有匿名性，用戶個(gè)人信息可以隨意填寫，兒童可能會(huì)虛報(bào)年齡以避免征得其監(jiān)護(hù)人同意，或者冒充其監(jiān)護(hù)人同意，甚至是在監(jiān)護(hù)人教唆下謊稱年齡。例如，對美國家長進(jìn)行的一項(xiàng)調(diào)查顯示，家長明知Facebook不接受13周歲以下兒童注冊賬號(hào)的規(guī)定，依然幫助孩子隱瞞年齡注冊，成為孩子“共犯”[10]。我國《規(guī)定》以及美國COPPA法案都未就如何核實(shí)監(jiān)護(hù)人同意的真實(shí)性做出規(guī)定，亦均不存在豁免同意的例外規(guī)定。為追求商業(yè)利益，網(wǎng)絡(luò)運(yùn)營商更傾向采取消極的態(tài)度對待“監(jiān)護(hù)同意”制度，即使法律強(qiáng)調(diào)了網(wǎng)絡(luò)運(yùn)營商對監(jiān)護(hù)人同意真實(shí)性的審核義務(wù)，網(wǎng)絡(luò)運(yùn)營者在接收用戶主動(dòng)提供的信息后，并不會(huì)采取其他手段來驗(yàn)證用戶的真實(shí)年齡。例如，最早采用“監(jiān)護(hù)同意”制度的網(wǎng)絡(luò)游戲防沉迷系統(tǒng)，在實(shí)踐中幾乎是被動(dòng)接受注冊用戶提供的身份信息，即便是兒童提供虛假身份信息，網(wǎng)絡(luò)運(yùn)營商也從不主動(dòng)審核，這種現(xiàn)象直到近期“史上最嚴(yán)”防沉迷規(guī)定③出臺(tái)才有所改變。監(jiān)護(hù)人以及網(wǎng)絡(luò)運(yùn)營商的消極態(tài)度使得“監(jiān)護(hù)同意”的真實(shí)性遭到質(zhì)疑，“監(jiān)護(hù)同意”的真實(shí)性是監(jiān)護(hù)同意制度的基礎(chǔ)，無法核實(shí)監(jiān)護(hù)同意的真實(shí)性將使該制度形同虛設(shè)，如何確定監(jiān)護(hù)人同意的真實(shí)性、避免兒童自己假借監(jiān)護(hù)人同意或使用虛假身份同意是監(jiān)護(hù)人同意機(jī)制的現(xiàn)實(shí)難題。

（三）自律管理指引缺失問題

保護(hù)兒童個(gè)人信息免受侵害是全社會(huì)的責(zé)任，對兒童個(gè)人信息的保護(hù)需要社會(huì)各界的支持和配合。比較國內(nèi)外兒童個(gè)人信息保護(hù)規(guī)定，較為通行的治理模式是法律規(guī)范指導(dǎo)、行業(yè)自律監(jiān)督、家庭教育引導(dǎo)相結(jié)合的多層次綜合治理模式。我國《規(guī)定》第六條以及美國COPPA法案均鼓勵(lì)行業(yè)制定“軟法”參與兒童個(gè)人信息保護(hù)的社會(huì)治理中。但我國《規(guī)定》對行業(yè)自律管理只有原則指引卻無具體規(guī)定，相較之下，美國COPPA“避風(fēng)港計(jì)劃”條款中包含了行業(yè)自律條款的標(biāo)準(zhǔn)。例如：（1）自律規(guī)定需要大于或等于COPPA法案對兒童個(gè)人信息保護(hù)的范圍；（2）自律規(guī)定需要經(jīng)過有效的、有強(qiáng)制性的獨(dú)立評估；（3）有階段性的管理計(jì)劃報(bào)告、合規(guī)認(rèn)證，定期交主管部門評估等[11]。從細(xì)節(jié)來看，我國《規(guī)定》需要進(jìn)一步補(bǔ)充完善，簡單、籠統(tǒng)的實(shí)施細(xì)則和粗糙保護(hù)措施凸顯了法律指引在內(nèi)容上的單薄。行業(yè)自律監(jiān)督是社會(huì)治理中發(fā)揮保障作用的重要一極，法律規(guī)定需要為行業(yè)監(jiān)督增添詳細(xì)、明確的指引規(guī)范。

三、兒童個(gè)人信息保護(hù)完善之建議

（一）細(xì)分不同場景年齡區(qū)間

不同年齡兒童的身心發(fā)育及認(rèn)識(shí)能力均有所不同，以統(tǒng)一標(biāo)準(zhǔn)簡單區(qū)分年齡區(qū)間不利于合理保護(hù)不同年齡階段的兒童個(gè)人信息。聯(lián)合國《兒童權(quán)利公約》第12條規(guī)定，“締約國應(yīng)確保有主見能力的兒童有權(quán)對影響到其本人的一切事項(xiàng)自由發(fā)表自己的意見，對兒童的意見應(yīng)按照其年齡和成熟程度給予適當(dāng)?shù)目创雹?。故采取?xì)化兒童個(gè)人信息保護(hù)的年齡區(qū)間、在不同場景中界分兒童個(gè)人信息敏感度的方式保護(hù)兒童個(gè)人信息是更理性的做法。

1.擴(kuò)大保護(hù)年齡區(qū)間

如前所述，我國各類規(guī)范對兒童個(gè)人信息保護(hù)的年齡區(qū)間界定并不統(tǒng)一，且“兒童”與“未成年人”之間的保護(hù)規(guī)定多有交叉重疊，這不利于網(wǎng)絡(luò)運(yùn)營商制定隱私政策。應(yīng)當(dāng)將兒童個(gè)人信息保護(hù)的年齡區(qū)間擴(kuò)大至18歲以下，涵蓋未成年人、青少年、兒童等群體。即將兒童個(gè)人信息保護(hù)年齡標(biāo)準(zhǔn)分為三個(gè)檔次：14歲以下低齡兒童、14～16歲中低齡兒童和16歲以上兒童，采取多層次年齡保護(hù)模式較統(tǒng)一年齡模式更為合理。

2.不同年齡區(qū)間兒童敏感信息保護(hù)程度不同

個(gè)人信息分為一般個(gè)人信息與敏感個(gè)人信息，根據(jù)《信息安全技術(shù)個(gè)人信息安全規(guī)范》規(guī)定，敏感個(gè)人信息指一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或非歧視性待遇等的個(gè)人信息，包括但不限于個(gè)人身份證號(hào)、個(gè)人生物識(shí)別信息、銀行賬戶、通信記錄、住宿信息、地理位置信息、交易信息等等⑤。而一般個(gè)人信息是指泄露對個(gè)人影響比較輕微、具有可識(shí)別的個(gè)人信息。

法律對敏感信息著重保護(hù)，敏感信息針對不同年齡階段的兒童可以區(qū)分為弱敏感信息以及強(qiáng)敏感信息。

（1）14歲以下低齡兒童認(rèn)識(shí)能力薄弱，但在特殊場景可以放寬“監(jiān)護(hù)同意”限制，允許兒童對弱敏感信自主決策。新冠肺炎疫情期間，諸多中小學(xué)生改為線上授課，存在不同類別課程在不同網(wǎng)站上教學(xué)的情形，學(xué)生需要在網(wǎng)上注冊，必然將個(gè)人信息披露給學(xué)習(xí)網(wǎng)站，對于性別、昵稱、手機(jī)號(hào)碼等低敏感度信息可以成為“監(jiān)護(hù)同意”的例外情形，在特殊場景交由14歲以下兒童有限處分。

（2）14～16歲的中低齡兒童已進(jìn)入初高中學(xué)習(xí)，其認(rèn)識(shí)能力、風(fēng)險(xiǎn)感知能力已有較大提升，但自我控制能力較弱，可以區(qū)分適用場景解除性別、年齡等低敏感信息的“監(jiān)護(hù)同意”限制。如教育網(wǎng)站、社交網(wǎng)站、視頻網(wǎng)站等可以交由14～16歲兒童自行決定，但對于14～16歲兒童參與互聯(lián)網(wǎng)直播這類有可能暴露生物信息等高敏感信息的行為時(shí)，仍需嚴(yán)格保護(hù)。

（3）16歲以上的兒童基本具備社會(huì)生活能力，基本可以解除“監(jiān)護(hù)同意”限制，但對于生物識(shí)別信息、通信記錄、住宿信息等強(qiáng)隱私信息仍需保留限制。例如在抖音、快手等應(yīng)用程序的隱私條款中規(guī)定，網(wǎng)絡(luò)直播服務(wù)提供者需年滿16周歲，若是未成年人需要由父母同意并驗(yàn)證其身份，此種限制值得借鑒。

（二）“監(jiān)護(hù)同意”制度完善

我國《規(guī)定》只有“監(jiān)護(hù)同意”的原則性規(guī)定而無具體的操作指引，使我國“監(jiān)護(hù)同意”的制度效力大打折扣，但這亦是我國“監(jiān)護(hù)同意”制度的后發(fā)優(yōu)勢，可以借鑒域外成熟的經(jīng)驗(yàn)完善我國“監(jiān)護(hù)同意”制度。

1.不同場景下“監(jiān)護(hù)同意”的有限適用

美國COPPA法案適用后產(chǎn)生了監(jiān)護(hù)人的“同意疲勞”，該狀況在十年后的COPPA修正案落地后才有所改觀。其原因是“監(jiān)護(hù)同意”制度不對網(wǎng)絡(luò)行為以及行為的適用場景做區(qū)分，將所有的行為與場景均納入規(guī)制的范圍中，導(dǎo)致了監(jiān)護(hù)人疲于同意。

美國COPPA規(guī)定的“浮動(dòng)比例尺(sliding scale)”⑥規(guī)則根據(jù)不同場景下網(wǎng)絡(luò)運(yùn)營商收集、處理兒童個(gè)人信息的目的，浮動(dòng)調(diào)整“監(jiān)護(hù)同意”制度是否需要適用[12]。例如，網(wǎng)絡(luò)運(yùn)營商收集、處理兒童信息僅做內(nèi)部使用或作為研究數(shù)據(jù)參考等情形，即可認(rèn)為兒童將數(shù)據(jù)交由該網(wǎng)絡(luò)運(yùn)營商的處分行為風(fēng)險(xiǎn)較低，可以取得“監(jiān)護(hù)同意”豁免或以簡易方式獲得“監(jiān)護(hù)同意”；反之在網(wǎng)絡(luò)運(yùn)營商收集、處理兒童信息的目的具有商業(yè)性質(zhì)等高風(fēng)險(xiǎn)場景，對兒童數(shù)據(jù)的收集、處理必須以“監(jiān)護(hù)同意”為前提，且必須采取嚴(yán)格方式獲得“監(jiān)護(hù)同意”。

2.場景風(fēng)險(xiǎn)的判斷方式

數(shù)據(jù)保護(hù)影響評估以及隱私影響評估（DPIA）⑦是歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）規(guī)定企業(yè)的數(shù)據(jù)合規(guī)義務(wù)，指網(wǎng)絡(luò)運(yùn)營商收集和處理數(shù)據(jù)時(shí)需要考慮數(shù)據(jù)的性質(zhì)、范圍、背景、目的，設(shè)想在處理此項(xiàng)個(gè)人數(shù)據(jù)時(shí)可能對該自然人的權(quán)利造成何種風(fēng)險(xiǎn)，并對風(fēng)險(xiǎn)可能的影響做出評估。其中DPIA條款第五項(xiàng)著重強(qiáng)調(diào)了對兒童數(shù)據(jù)處理的風(fēng)險(xiǎn)評估義務(wù)。完成DPIA規(guī)定后，網(wǎng)絡(luò)運(yùn)營商需要根據(jù)GDPR規(guī)定，將數(shù)據(jù)劃分為低中高三種不同的風(fēng)險(xiǎn)程度，以此作為收集、處理數(shù)據(jù)的場景的風(fēng)險(xiǎn)標(biāo)準(zhǔn)。

3.完善“監(jiān)護(hù)同意”的真實(shí)性判斷

“監(jiān)護(hù)同意”的真實(shí)性判斷是兒童個(gè)人信息保護(hù)機(jī)制中最難解決的病灶，因?yàn)樘摷俚摹氨O(jiān)護(hù)同意”可能是兒童偽造身份的結(jié)果，例如未經(jīng)同意使用監(jiān)護(hù)人身份信息注冊虛擬賬戶；可能是家長配合兒童共同規(guī)避網(wǎng)絡(luò)運(yùn)營商的隱私政策，如前述父母協(xié)助兒童注冊Facebook；也可能是網(wǎng)絡(luò)運(yùn)營商消極對待注冊信息，即便發(fā)現(xiàn)是虛假身份注冊也不采取措施。

所以在實(shí)踐中，不論是網(wǎng)絡(luò)運(yùn)營商亦或是監(jiān)管單位對“監(jiān)護(hù)同意”的真實(shí)性都無法完全辨明。無法確認(rèn)真實(shí)性的“監(jiān)護(hù)同意”對網(wǎng)絡(luò)運(yùn)營商而言極為不利，運(yùn)營商可能需要為無意間違反《規(guī)定》而承擔(dān)不利后果。故“監(jiān)護(hù)同意”的真實(shí)性判斷應(yīng)采取“推定真實(shí)”模式，且需要區(qū)分不同場景。具體而言：使用DPIA規(guī)則判斷兒童的網(wǎng)絡(luò)行為處于何種風(fēng)險(xiǎn)之中，若處于低風(fēng)險(xiǎn)狀況例如兒童注冊QQ、微信、微博等社交程序，具有形式上可以查證的監(jiān)護(hù)人信息即可對“監(jiān)護(hù)同意”的效力“推定真實(shí)”；若處于高風(fēng)險(xiǎn)狀況，如兒童進(jìn)行網(wǎng)絡(luò)購物、辦理信用卡需要人臉生物信息等需要收錄敏感信息的場景，采取嚴(yán)格“監(jiān)護(hù)同意”并且增加“監(jiān)護(hù)同意”的同意次數(shù)，在“監(jiān)護(hù)同意”完成后進(jìn)行二次回訪，且要求網(wǎng)絡(luò)運(yùn)營商承擔(dān)過錯(cuò)推定責(zé)任。

綜上，我國《規(guī)定》可以借鑒DPIA規(guī)定，要求網(wǎng)絡(luò)運(yùn)營商向有關(guān)監(jiān)管部門提供手機(jī)應(yīng)用、網(wǎng)站等網(wǎng)絡(luò)產(chǎn)品劃分應(yīng)用場景的數(shù)據(jù)影響評估風(fēng)險(xiǎn)等級(jí)，以此作為“監(jiān)護(hù)同意”有限適用的指引規(guī)則，再配合細(xì)分兒童年齡和“監(jiān)護(hù)同意”的真實(shí)性判斷，成體系地完善“監(jiān)護(hù)同意”制度。

（三）補(bǔ)充自律監(jiān)管的指引規(guī)范

行業(yè)自律監(jiān)管是社會(huì)治理中重要一極，行業(yè)制定的“軟法”可以根據(jù)不同行業(yè)的實(shí)際情況制定符合現(xiàn)狀的規(guī)范?！败浄ā陛^之于法律法規(guī)等“硬法”更具有可操作性，且“軟法”規(guī)制效力能夠填補(bǔ)“硬法”的留空，故在國際上“硬法”與“軟法”協(xié)同防范社會(huì)風(fēng)險(xiǎn)的治理模式是行業(yè)主流。

經(jīng)上述比較法研究，在我國兒童個(gè)人信息保護(hù)領(lǐng)域，亦應(yīng)當(dāng)采取以法律法規(guī)為主、行業(yè)自律規(guī)定為輔的保護(hù)模式。行業(yè)自律監(jiān)管對法律規(guī)定的補(bǔ)充具有重要意義，例如“抖音”為落實(shí)兒童數(shù)據(jù)保護(hù)設(shè)置了青少年守護(hù)工具，在其《親子守護(hù)協(xié)議》中細(xì)化了“監(jiān)護(hù)同意”真實(shí)性的確認(rèn)方式⑧，以及監(jiān)護(hù)人發(fā)現(xiàn)虛假確認(rèn)后選擇限制使用賬戶的具體方式⑨，在兒童個(gè)人信息保護(hù)尚不完善的情形下發(fā)揮了良好的補(bǔ)充作用。然而，“軟法”需要“硬法”的指引才不會(huì)背離法治精神，我國《規(guī)定》缺乏如COPPA“避風(fēng)港計(jì)劃”的規(guī)則指引和有關(guān)監(jiān)督單位對“軟法”核查規(guī)定，有可能增加網(wǎng)絡(luò)運(yùn)營商的合規(guī)風(fēng)險(xiǎn)。故增補(bǔ)自律監(jiān)管的指引規(guī)范有助于企業(yè)協(xié)同監(jiān)護(hù)人共同保護(hù)兒童個(gè)人信息安全。

注釋：

①見Children’s Online PrivacyProtection Act(“COPPA”)Act§ 6502，訪問地址 https://www.law.cornell.edu/uscode/text/15/6502，訪問時(shí)間2021-09。

②見COPPA Safe Harbor Program，訪問地址https://www.ftc.gov/safe-harbor-program，訪問時(shí)間2021-09。

③見國家新聞出版署《關(guān)于進(jìn)一步嚴(yán)格管理切實(shí)防止未成年人沉迷網(wǎng)絡(luò)游戲的通知》。

④見《兒童權(quán)利公約》（Convention on the Rights ofthe Child）第 12條。

⑤見《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 25069—2010）注 1、2、3。

⑥ 見 Children’s Online Privacy Protection Rule(“COPPA”)Act§312，訪問地址https://www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-rule.，訪問時(shí)間2021-09。

⑦見Data Protection Impact Assessment(DPIA)Article 35 of the General Data Protection Regulation（GDPR），訪問地址https://gdpr.eu/data-protection-impact-assessmenttemplate/，訪問時(shí)間2021-09。

⑧參見抖音程序《親子守護(hù)服務(wù)協(xié)議》2.5。

⑨參見抖音程序《親子守護(hù)服務(wù)協(xié)議》3.1。