網絡風險背景下兒童個人信息保護研究

何乘曦

（合肥工業大學文法學院,安徽 合肥 230009）

隨著互聯網的快速發展，人們的生活方式趨于數字化和信息化。 大數據等技術的不斷應用，個人信息流動的次數愈發頻繁。 兒童作為互聯網時代的新生一代，自蹣跚學步時就開始通過手機、平板電腦等電子設備接觸互聯網。 其中，小學生互聯網普及率達到92.1%，33.7%的小學生首次使用互聯網的時間是在上小學前。 在各種網絡平臺中，兒童的身影隨處可見。 不可否認，互聯網已經成為兒童重要的學習、生活空間。 但這也導致兒童個人信息網絡侵害的風險呈幾何式上升。

一、現狀：兒童個人信息安全正面臨網絡風險

（一）兒童保護

2020 年發布的《信息安全技術個人信息安全規范》（GB/T35273-2020)中明確對14 歲以下兒童個人信息進行特殊保護。2021 年《個人信息保護法》中雖未使用兒童個人信息字樣， 但也將不滿14 周歲的未成年人個人信息列為敏感個人信息，要求加強保護。 因此，可以看出中國法律層面的兒童個人信息是指未滿14 周歲未成年人的個人信息。

（二）兒童個人信息網絡風險的來源及其類型

1.網絡風險的來源。 兒童個人信息網絡風險主要由以下幾個方面產生：

第一，信息發布與傳播。兒童不僅是信息的接受者，同樣是信息的傳播者與發布者。許多兒童個人信息的首次公開首先來源于兒童自己及其監護人的發布行為。 兒童喜歡在電子平臺中與陌生人分享他們生活的點點滴滴， 在各類網絡平臺中有大量關于兒童的視頻。這些視頻一些是由兒童本人發布，一些是父母發布的“花式曬娃”。 其中甚至有想打造所謂的“網紅兒童”來以此牟利者。 這些視頻往往以展示兒童個人日常生活為主， 其中包括大量兒童面貌、年齡、住址等個人信息。 隨著不斷的傳播，這些兒童個人信息直接或間接地完全暴露在網絡世界中。 而兒童及其父母對這些信息傳播后對兒童聲譽、 人格發展可能造成的潛在危險缺乏足夠認識。

第二，大數據收集與挖掘。如果兒童在網絡平臺注冊和登錄時留下姓名、住址、學校等個人信息，除了自身使用外， 網絡平臺往往會將收集的數據共享給其他網絡平臺。與此同時，這些網絡平臺會基于大數據挖掘和分析的算法推薦機制， 分析出用戶的喜好，并據此有針對性地向用戶推送內容。在這些過程中，兒童個人信息極易被擴散與傳播，管理個人信息對成年人來講即非易事，對于兒童則更加困難。

2.網絡風險的類型。這些網絡風險的類型主要有：

第一，個人信息泄露。 兒童個人信息的泄露逐漸成為兒童遭受侵害的前置行為， 一旦遭到泄露，后患無窮。 在網絡世界中，個人信息泄露主體一般為網絡平臺、黑客等。 在“虛構綁架型詐騙”案件中，騙子通過各種渠道獲取未成年個人信息，向其父母謊稱已綁架孩子，以此要挾父母支付贖金。 除此之外，由于網絡世界的匿名化、去中心化、自主化的特點，網絡世界中的所有人都可能成為侵害人。 在網絡暴力事件中，加害者往往會在網上散布受害人謠言，發布會對受害人造成傷害的信息。 這些泄露行為，輕則導致被泄露者個人生活安寧被破壞，重則兒童及其父母的財產人生安全都會受到威脅。

第二，潛在算法歧視。 網絡平臺主要通過算法自動化決策來處理收集的大數據，算法自動化決策是指通過數據算法自動化處理手段所做出的決策行為。 一般來說，算法自動化決策本意在于給個人提供了定制化服務， 以便用戶擁有更好的使用體驗，但是算法決策出現偏差，導致歧視的現象并不少見。 算法的非透明性又使這些歧視現象很難被發現和評估。 因此，在數字鴻溝日益擴大的現今，兒童個人信息極易遭到歧視或不公平待遇。

第三，童年夢魘。 與成年人相比，兒童身心尚未發育成熟，心理承受能力較為脆弱。 網絡時代，數據具有持久性的特點。 個人信息一旦變成網絡數據，便很難徹底刪除。 而這些網絡數據可能會給兒童身心帶來負面影響，成為童年夢魘。 兒童個人信息被網絡傳播后易出現個人形象的固化。 本來兒童一些不道德或侵害他人權益的負面行為已有相關法律法規進行約束，處理后果也十分明確，并不存在任何爭議。 然而，一旦這些行為被傳播到網絡環境中，由于網絡形成了一個近乎免責的社會環境，許多留言者的發言便脫離了社會規范。 兒童尚處于成長期，情緒控制能力較弱，對社會規則缺乏認識，可能因為一次違反社會規則的過錯行為就被持久性地打上負面標簽，并難以撕掉。 這對兒童的身心發展與后續生活都是巨大打擊。

二、成因：現有兒童個人信息保護機制存在不足

（一）相關法律法規亟待政府完善

為了滿足兒童網絡安全的需求， 中國針對兒童個人信息安全，陸續出臺了一些法律法規。但由于中國兒童個人信息保護制度尚處于起步階段， 還有許多需完善之處。如現行法律法規多為原則性規定，缺乏具體細則，可操作性不強。 以兒童身份識別為例，兒童個人信息保護的前提是能夠準確識別和確認兒童主體。目前，根據《互聯網用戶賬號信息管理規定》第九條的規定， 中國身份識別的普遍性規定是網絡平臺在所有用戶注冊時的必要程序。 為了提高身份識別的精準度， 各類文件也逐漸要求網絡平臺采取生理特征識別等方式落實賬戶實名制。 但不同行業的規范標準各不相同， 急需出臺統一的規范對此進行規定。 在兒童涉網領域，中國僅僅在網絡游戲、網絡直播方面要求較為嚴格的實名認證。 在兒童涉網的其他領域如社交、資訊、視頻等網絡平臺的標準則較為寬松， 網絡平臺往往依賴于用戶主動提供的信息來識別年齡， 也幾乎不會主動采取其他手段來驗證用戶的真實年齡。事實上，兒童往往通過冒用監護人的信息來對此規避， 使得后續兒童個人信息保護措施形同虛設。并且也存在網絡平臺濫用身份識別，從而造成過度收集兒童信息的問題。同時，存在立法缺失的現象。 例如中國對兒童個人信息侵權的民事救濟仍處于幾乎空白的狀態， 兒童及其監護人缺乏獲得相關涉案信息的渠道， 在發現侵權行為后往往處于弱勢地位。 相較一般侵權案件， 舉證難度會更大。 因此，導致鮮有人對此進行維權。

（二）“監護人同意”制度虛置化

由于兒童尚不具備完全民事能力，故各國主要通過監護人同意原則來進行兒童個人信息保護。 如使用該信息的目的、存儲方式、安全保障措施、更正刪除途徑等事項，必須征得監護人同意。 但在現實中監護人同意往往流于形式。

1.網絡平臺是否有效告知監護人存在疑問，中國雖然對監護人同意制度有所規定，但僅局限于告知說明義務，這給實踐操作帶來了困境。 現實中，網絡平臺一般在用戶注冊環節，通過向用戶提供含有監護人同意內容的用戶協議與隱私政策等文件來告知監護人并得到同意。 這些文件推定兒童用戶注冊時，監護人在場。 這實際上將告知監護人的義務轉移給兒童。 兒童勾選了同意選項即默認監護人同意。 這種方式無法確保網絡服務提供者是否將信息有效傳達到監護人，間接地剝奪了監護人的知情權與選擇權。

2.監護人是否實質同意難以判斷。 網絡平臺提供的文件往往對企業收集、使用、處理個人信息行為描述的十分詳盡，并長達十多頁。 一方面，過于冗長的文件會使監護人陷入同意疲勞。 在事實上，也很少有人去讀這些文件。 另一方面，監護人不一定擁有充分的信息素養。 這些文件內容大多數都是技術性較強的規則，對監護人來說或許存在一定的閱讀困難，監護人難以確定文件內容的正當性。 因此，監護人同意原則本意是希望監護人對兒童個人信息起到監督、保護的作用，但實際效果遠沒有達到此目的。

（三）網絡平臺鮮少采取主動保護措施

在兒童個人信息保護中，網絡平臺的主要義務是制定政策、 落實保護措施以及回應監護人要求等。 雖然幾乎所有的網絡平臺的隱私政策中都有關于兒童個人信息保護的內容，但大多數措施都是被動保護措施，而未采取主動保護措施，有應付政府監管之嫌。

1.網絡平臺隱私政策告知方式不顯著。 筆者調研了10 個熱門網絡平臺， 其類型囊括了通信、社交、視頻等主流網絡平臺。 這10 個網絡平臺都在隱私政策中單獨規定了兒童個人信息保護規則，但是其中9 個網絡平臺在初始化時只會顯示服務協議和隱私政策要求用戶勾選同意，只有1 個網絡平臺在初始化時會單獨顯示兒童個人信息保護規則。 并且這10 個網絡平臺都是要求勾選同意選項， 否則就無法登錄賬戶。

2.未建立全鏈條的兒童個人信息保護模式。 在最高檢發布的141 號指導性案例即全國首例兒童個人信息公益訴訟案中，涉訴網絡平臺對兒童個人信息缺乏主動保護。 在注冊、收集信息環節，兒童用戶未經監護人同意即可注冊使用網絡平臺，網絡平臺采取監護人默示同意、一次性概括同意等方式收集兒童個人信息。 在存儲環節，沒有建立專門的兒童信息保護池。 在使用、共享、披露環節，未創建涉及兒童信息內容的獨立算法機制，在未再次征得監護人明示同意的情況下，直接向其他用戶推送含有兒童個人信息的短視頻，同時也未對兒童賬戶采取區分管理措施，其他用戶只需關注即可與兒童賬戶私信并能獲取地理位置、面部特征等個人信息。

三、對策：政府、網絡平臺、家庭須多管齊下，共同建立完備法律保護體系

（一）政府須完善制度設計和加強制度落實

1.完善制度設計

第一，健全身份識別機制。 首先，統一身份識別標準。 目前，各類行業存在不統一、交叉重疊的身份識別標準。 從標準本身來說，不可避免地存在一定的規則模糊地帶；對于網絡平臺來說，也存在難以預測的執法可能性。 所以建議整合各類標準，由國家層面出臺統一規范。 其次，由政府部門建立一體化的識別平臺。 不同于網絡游戲防沉迷驗證系統中政府部門僅負責對信息實名驗證，一體化識別平臺既負責對兒童信息的收集， 又負責對信息進行驗證。 這樣可以有效避免網絡平臺過度收集并濫用兒童信息的情況。 根據兒童使用網絡現狀，一體化識別也不應僅限于網絡游戲這單一領域，而應適用于所有需要確認兒童身份的場景。

第二，“監護人同意” 驗證方式采取場景化方針。 相比于國內網絡平臺大多采取的推定監護人同意模式， 美國COPPA 就主要依靠可驗證的監護人同意模式。COPPA 會通過將不同網絡場景劃分為不同風險等級，并以此來決定不同程度的父母同意方式。 為了保證監護人的知情權真正得到實施，筆者建議中國可以混合使用推定監護人同意模式和可驗證監護人同意模式， 在借鑒域外經驗的基礎上，考慮到中國的基本國情，在低風險場景中，使用推定監護人同意模式。 在中風險場景中，使用寬松可驗證監護人同意模式，例如采取支付寶、微信支付等已通過成年人身份驗證的在線支付系統進行驗證。 在高風險場景中，使用嚴格的可驗證的監護人同意，例如人臉識別等生物識別驗證，但是驗證之后網絡平臺應當立即刪除相關信息。 將年齡與信息本身的風險性作為劃分低、中、高風險場景的依據。在年齡方面，可以參考中國《網絡游戲適齡提示》，該文件根據兒童的認知能力、生理發育水平等，以8歲、12 歲、16 歲作為年齡分類標準。 而在信息風險性方面，可以由監管部門事先評估各類信息誘發風險的可能性， 依據可能性的高低， 將其區分為低、中、高風險信息，適用于對應的風險場景。

2.加強制度落實

第一，細化民事公益訴訟。 實踐中，由于個人維權成本大，被侵害人往往不會對侵權行為進行維權。這種“躺在權利上睡眠” 的消極態度助長了不法之風，傳統私益訴訟難以全面保護個人信息權益。利用公益訴訟來保護兒童個人信息， 是現有法律框架下的最優選擇。根據2021 年出臺的《個人信息保護法》規定， 侵害眾多個人信息的行為被納入公益訴訟事項。檢察機關一直都是中國公益訴訟的適格主體，并且相較于其他主體，擁有更多的專業人士、訴訟經驗和一定的實踐經驗。 個人信息保護公益訴訟和消費者保護公益訴訟存在一定的共通性， 例如保護對象存在交叉，在網絡購物個人信息泄露案件中，個人信息被侵害者同時可能是網絡平臺的消費者。 將消費者協會納入個人信息保護公益訴訟適格主體， 有利于銜接消費者保護公益訴訟規則。 國家網信部門確定的組織也應作為必要的起訴主體， 由社會組織提起公益訴訟，也更能夠體現公眾參與原則。

第二，建立多元主體協同治理監管體系。 首先，政府部門應建立專門的網絡個人信息監管機構。 一方面，在個人信息保護方面，政府各職能部門權力結構劃分仍然存在交叉和盲區。 另一方面，互聯網企業數量龐大、用戶使用途徑繁雜以及網絡個人信息生命周期長且隱蔽性強的特點，導致實際監管難度大。 除此之外，網絡信息天然具有流動性，全球已經有超過90 個國家或地區設立了專門的監管機構， 以面對日益逐漸增多的監管機構跨國執法合作。 例如在美國首例處罰互聯網玩具侵犯兒童個人信息案中， 美國聯邦貿易委員會 （Federal Trade Commission,FTC） 與加拿大隱私專員辦公室（Office of Canda,OPC)共享信息并協調執行。其次，引入第三方專業機構對企業進行評估和提供合規指導。 第三方評估作為一個行之有效的外部制衡機制已經在其他領域中廣泛應用。 其獨立性以及專業性能夠準確、 有效地評估網絡平臺的個人信息安全保護能力，評估結果能為政府監管部門提供科學依據。 同時，在中國現狀下，企業自身，特別是中小企業很難自行完成大量企業合規監管工作，由具備資質的第三方機構提供有針對性的幫助、輔導都是行之有效的措施。 最后，加強互聯網行業自律。 《兒童個人信息網絡保護規定》第六條鼓勵行業組織制定兒童個人信息保護行業規范。 行業協會須發揮引領作用，定期組織重點企業，發布、更新關于兒童個人信息保護的行業自律準則，以彌補立法滯后性。 目前，中國已經形成國家級、省市等不同層級的全覆蓋互聯網協會體系， 互聯網行業協會可以對不同地區、行業的網絡平臺進行相應的監管以彌補政府部門的監管盲區。 此外，還可以通過頒發符合標準的行業認證標志、宣傳行業自律準則等行為，引導網絡平臺加強兒童個人信息保護。

（二）網絡平臺自身須建立全鏈條兒童信息保護機制

作為兒童個人信息的收集者和使用者，網絡平臺應采取有效措施， 強化對于兒童個人信息的保護。 從兒童個人信息的收集、存儲、使用、共享、披露等環節，建立一條針對兒童的全鏈條保護機制。 要重視事前預防，在產品自開發到運營的每個環節都加入兒童個人信息保護功能。 要強化事中監管，除現行對策外， 還需增加專門的兒童個人信息存儲池、采取加密存儲、加強涉及兒童內容的審核標準等措施來對兒童個人信息進行特殊保護。 要完善事后處理，個人信息經由網絡儲存后，就變成了不易刪除、永久保存的記憶。 對不必要的兒童個人信息，網絡平臺應及時銷毀，并為監護人提供兒童個人信息追溯、監督的簡便渠道。

（三）加強家庭引導與監督，以提高兒童網絡素養

家庭教育是兒童教育中最關鍵的環節。 兒童獲得上網渠道、場所最直接的來源是監護人，所以監護人是引導兒童科學、 合理地使用網絡的核心力量，其角色是無法替代的。 監護人自身需要提高網絡素養，規范自身行為，這樣才能有效引導和監督兒童安全上網。 監護人對兒童價值觀和行為習慣有重要影響。 相關政府部門、網絡平臺也可以開展“數字掃盲”計劃以提高監護人素養。 監護人應重視對兒童的引導和監督，并切實履行。 根據兒童具體情況，合理分配上網時間。 在發現兒童存在不良網絡行為時，采取科學、合理的干預政策。

隨著社會發展，兒童個人信息的安全問題日益凸顯。 法律保護體系的建立、實施和優化并不只是某一方主體的責任，需要政府、網絡平臺、家庭的共同努力，發揮各自的監督作用，才能構建完善的兒童個人信息保護法律體系。