儿童个人信息保护研究

暨南大学，广东 广州 510632

一、我国立法现状

（一）《儿童个人信息网络保护规定》颁布

2019 年5 月31 日，国家互联网信息办公室为保护儿童个人信息权益，发布了《儿童个人信息网络保护规定（征求意见稿）》（以下简称《征求意见稿》），向全社会征求意见后进行修改，并于2019 年8 月23 日颁布《儿童个人信息网络保护规定》（以下简称《规定》），这是第一部保护个人信息的部门规章，更是我国第一部关于儿童个人信息保护的立法。伴随着新的智力成果和附随的商业模式的不断出现，必然要增加保护种类、加大保护力度①

《规定》属于部门规章，是依据《立法法》第八十条而制定。因此《规定》是以《网络安全法》和《民法总则》为上位法依据，调整网络运营者和消费者个人信息的关系，以保护儿童和未成年人个人信息为目的而制定，以解决我国儿童个人信息保护制度不健全、立法空白的问题，数字和网络技术的发展已经改变了作品的创作和传播方式，儿童个人信息亟待保护②。

（二）《儿童个人信息网络保护规定》创新与发展

1.从选择性监护人同意机制到监护人机制的完善。《未成年人网络保护条例（送审稿）》第16条规定，在征求意见前应征得未成年或监护人同意③，相当于未成年人可以自行决定是否同意收集数据，儿童个人信息保护在此之前适用该规定，使得监护人对儿童筛选信息的保护失去应有之义。

2.明确年龄界限。规定儿童的年龄界限为14岁，与我国法律自洽，与民法契合。1991 年我国批准加入《联合国儿童权利公约》，其中规定儿童是指18 岁以下的任何人。欧盟规定允许成员国设定不低于13 岁的年龄界限，美国把年龄设置在13 岁以下。我国把年龄设置在14 岁，与民法的限制民事行为能力人的行为效力相契合，适合我国实际情况。

3.数据更正权。《网络安全法》第43 条规定，权利人有权要求网络运营者更正或者删除错误的信息，且运营者有义务删除。但是《未成年人网络保护条例（送审稿）》中没有对数据更正权作出规定。后来在《规定》中第19 条规定了儿童或者监护人有权要求删除或要求更正。

（三）《儿童个人信息网络保护规定》待完善之处

《儿童个人信息网络保护规定》删除了《征求意见稿》第五条数据透明权的规定；被遗忘权应当进一步完善，被遗忘权中没有针对已经公开的信息如何处理，不利于维护儿童权益；应当规定禁止对儿童进行数据画像；对于监护人同意机制缺乏具体可以操作的指引，不利于企业风险的规避，同时也使得监护人同意机制形同虚设，增加企业的不稳定性及风险。因此在比较欧盟和美国的相关立法，为我国的儿童个人信息保护提出建议。

二、国外立法借鉴

（一）美国立法及实践

美国关于儿童个人信息安全的代表法案有三个：1998 年的《儿童在线保护法案》（COPA），2000 年的《儿童在线隐私保护法案》（Children’s Online Privacy Protection Act以下简称COPPA》和2001 年《儿童互联网保护法案》（CIPA）。其中，最具有借鉴意义的是在2000 年实施的COPPA，2013 年国会对该法案进行修订完善，2013 年7 月1 日，新修订的COPPA 正式生效。同时为了配套落实COPPA，美国联邦贸易委员会（Federal Trade Commission，FTC）出台细则、问答清单以及《六步骤合规计划》等具体操作指南。美国这一系列的法案和指南，不仅为父母同意可验证机制提供指引、规定需要父母同意的例外情况、同时也为运营商规定行业自律和安全港规则等一系列规定，值得我国在保护儿童个人信息时进行借鉴：

分散立法和行业自律相结合。美国针对个人信息的保护没有统一立法，都是采用分散的立法模式，对不同的保护对象制定单行法进行保护，例如保护儿童个人信息制定COPPA；同时针对儿童个人信息的保护，美国采用行业自律的做法，由行业制定行为规则来规范对儿童个人信息的处理，例如Twitter 为了保护儿童的个人信息，在其隐私政策中这样规定：Twitter 服务的对象不包括13 岁以下的儿童，如果父母发现孩子未经其同意向Twitter提供儿童个人信息，则可以向Twitter发送邮件要求删除相关的儿童个人信息。

通过安全港规则、监护人同意例外等规定，达到法律规制和网络企业运营效率之间的平衡。COPPA 的第十部分“安全港待遇”，是全球第一次以法律的形式确认行业自律的效力，联邦贸易委员会批准特定的行业可以制定适合自身实际的自律规范，美国COPPA 设置了一个相对安全领域，只要遵循该规则的行为就进入“安全港”。因此行业可以在COPPA 的第十部分“安全港待遇”的模式下，自律运转。

（二）欧盟立法及借鉴

2000 年颁布的《欧盟基本权利宪章》中第24条规定儿童应当享有的权利，2016年欧盟出台《一般数据保护条例》（以下简称GDPR），在序言中用了5 条，正文中用了7 条内容全面对儿童个人信息进行保护，有以下的创新之处值得我国借鉴：

最低年龄门槛和个性化验证机制相结合。欧盟GDPR 关于儿童年龄界限经历了从18 岁、13岁到16 岁的三个改变，最后，欧盟将儿童年龄界限设定为16 周岁的同时，允许成员国设定不低于13 岁的年龄界限。例如爱尔兰、葡萄牙规定门槛为13 岁，西班牙规定为14 岁、德国规定为16 岁等等。但是绝大对数成员国采用个性化儿童可验证方式。例如采用滑动比例等方法，来验证儿童是否由自主决策能力以及赋予儿童自主决定权④。年龄门槛和个性化验证机制相结合，不仅为各个成员国规定儿童年龄预留空间，而且个性化可验证机制更加契合《联合国儿童权利》中关于儿童参与权和儿童决策权。

儿童个人信息透明权更有利于保护儿童权益。GDPR 在序言58 条和第12 条中均规定应当用儿童容易理解的语言来表达。当网络用户协议面对对象是用户时，应当采用儿童容易理解的语言吸引不同年龄阶段的儿童，考虑到儿童特殊群体需要特殊保护，当儿童无法理解用户协议或者网站信息时，难以做出判断和取舍。例如可以通过设定儿童专门网站或者在不区分儿童网站的情况下设定儿童专门协议等方式，为信息透明权提供保护。

禁止自动化处理儿童个人信息，即禁止对儿童进行数据画像。数据画像是指分析或者预测和自然人有关情况，并且根据其个人偏好、兴趣、可行度、行为等方式，对个人数据进行任何形式的自动化处理。GDPR 在第4 条规定数据画像的定义，同时在序言第38 条和序言第71 条规定禁止对儿童进行数据画像。在现实生活中，儿童手表、儿童智能手机等应用对儿童的个人信息进行收集，若不禁止企业对儿童个人信息进行数据画像，将会导致儿童个人信息以及隐私的泄露。

处理数据特别保护儿童利益。GDPR 不仅禁止对儿童收集的数据进行自动化处理，同时在处理数据时应当特别保护儿童利益。GDPR 第25 条规定，网络服务提供者应当将设计和默认的数据保护原则纳入到产品的最初阶段，相当于在设计儿童产品。

三、我国立法完善

增设数据透明权，恢复《征求意见稿》第五条关于儿童个人用户协议简洁易懂的规定；处理数据特别保护儿童利益，在设计儿童产品时应当将数据保护原则纳入；禁止对儿童进行数据画像。企业方面：加强对企业违规收集利用儿童个人信息的处罚力度，未经父母同意的情况下不得收集和利用儿童个人信息；同时为运营商规定行业自律和安全港规则，我国《信息网络传播权保护条例》规定的“通知—删除规则”以及“避风港规则”⑤，在规定安全港规则可以参照适用。

注释：

①刘颖.TRIPS 时代国际知识产权法律制度的“碎片化”［J］.学术研究，2019（07）.

②丁婧文.我国〈著作权法（修订草案送审稿）〉中技术措施条款之评述［J］.法制与经济，2019（03）.

③《未成年网络保护条例（送审稿）》第16 条.

④付新华.大数据时代儿童数据法律保护的困境及其应对—兼评〈一般数据保护条例〉的相关规定［J］.暨南学报，2018.12.

⑤郭鹏.云计算Saa S 模式下的著作权侵权分析.知识产权，2018（11）.