网络风险背景下儿童个人信息保护研究

何乘曦

（合肥工业大学文法学院,安徽 合肥 230009）

随着互联网的快速发展，人们的生活方式趋于数字化和信息化。 大数据等技术的不断应用，个人信息流动的次数愈发频繁。 儿童作为互联网时代的新生一代，自蹒跚学步时就开始通过手机、平板电脑等电子设备接触互联网。 其中，小学生互联网普及率达到92.1%，33.7%的小学生首次使用互联网的时间是在上小学前。 在各种网络平台中，儿童的身影随处可见。 不可否认，互联网已经成为儿童重要的学习、生活空间。 但这也导致儿童个人信息网络侵害的风险呈几何式上升。

一、现状：儿童个人信息安全正面临网络风险

（一）儿童保护

2020 年发布的《信息安全技术个人信息安全规范》（GB/T35273-2020)中明确对14 岁以下儿童个人信息进行特殊保护。2021 年《个人信息保护法》中虽未使用儿童个人信息字样， 但也将不满14 周岁的未成年人个人信息列为敏感个人信息，要求加强保护。 因此，可以看出中国法律层面的儿童个人信息是指未满14 周岁未成年人的个人信息。

（二）儿童个人信息网络风险的来源及其类型

1.网络风险的来源。 儿童个人信息网络风险主要由以下几个方面产生：

第一，信息发布与传播。儿童不仅是信息的接受者，同样是信息的传播者与发布者。许多儿童个人信息的首次公开首先来源于儿童自己及其监护人的发布行为。 儿童喜欢在电子平台中与陌生人分享他们生活的点点滴滴， 在各类网络平台中有大量关于儿童的视频。这些视频一些是由儿童本人发布，一些是父母发布的“花式晒娃”。 其中甚至有想打造所谓的“网红儿童”来以此牟利者。 这些视频往往以展示儿童个人日常生活为主， 其中包括大量儿童面貌、年龄、住址等个人信息。 随着不断的传播，这些儿童个人信息直接或间接地完全暴露在网络世界中。 而儿童及其父母对这些信息传播后对儿童声誉、 人格发展可能造成的潜在危险缺乏足够认识。

第二，大数据收集与挖掘。如果儿童在网络平台注册和登录时留下姓名、住址、学校等个人信息，除了自身使用外， 网络平台往往会将收集的数据共享给其他网络平台。与此同时，这些网络平台会基于大数据挖掘和分析的算法推荐机制， 分析出用户的喜好，并据此有针对性地向用户推送内容。在这些过程中，儿童个人信息极易被扩散与传播，管理个人信息对成年人来讲即非易事，对于儿童则更加困难。

2.网络风险的类型。这些网络风险的类型主要有：

第一，个人信息泄露。 儿童个人信息的泄露逐渐成为儿童遭受侵害的前置行为， 一旦遭到泄露，后患无穷。 在网络世界中，个人信息泄露主体一般为网络平台、黑客等。 在“虚构绑架型诈骗”案件中，骗子通过各种渠道获取未成年个人信息，向其父母谎称已绑架孩子，以此要挟父母支付赎金。 除此之外，由于网络世界的匿名化、去中心化、自主化的特点，网络世界中的所有人都可能成为侵害人。 在网络暴力事件中，加害者往往会在网上散布受害人谣言，发布会对受害人造成伤害的信息。 这些泄露行为，轻则导致被泄露者个人生活安宁被破坏，重则儿童及其父母的财产人生安全都会受到威胁。

第二，潜在算法歧视。 网络平台主要通过算法自动化决策来处理收集的大数据，算法自动化决策是指通过数据算法自动化处理手段所做出的决策行为。 一般来说，算法自动化决策本意在于给个人提供了定制化服务， 以便用户拥有更好的使用体验，但是算法决策出现偏差，导致歧视的现象并不少见。 算法的非透明性又使这些歧视现象很难被发现和评估。 因此，在数字鸿沟日益扩大的现今，儿童个人信息极易遭到歧视或不公平待遇。

第三，童年梦魇。 与成年人相比，儿童身心尚未发育成熟，心理承受能力较为脆弱。 网络时代，数据具有持久性的特点。 个人信息一旦变成网络数据，便很难彻底删除。 而这些网络数据可能会给儿童身心带来负面影响，成为童年梦魇。 儿童个人信息被网络传播后易出现个人形象的固化。 本来儿童一些不道德或侵害他人权益的负面行为已有相关法律法规进行约束，处理后果也十分明确，并不存在任何争议。 然而，一旦这些行为被传播到网络环境中，由于网络形成了一个近乎免责的社会环境，许多留言者的发言便脱离了社会规范。 儿童尚处于成长期，情绪控制能力较弱，对社会规则缺乏认识，可能因为一次违反社会规则的过错行为就被持久性地打上负面标签，并难以撕掉。 这对儿童的身心发展与后续生活都是巨大打击。

二、成因：现有儿童个人信息保护机制存在不足

（一）相关法律法规亟待政府完善

为了满足儿童网络安全的需求， 中国针对儿童个人信息安全，陆续出台了一些法律法规。但由于中国儿童个人信息保护制度尚处于起步阶段， 还有许多需完善之处。如现行法律法规多为原则性规定，缺乏具体细则，可操作性不强。 以儿童身份识别为例，儿童个人信息保护的前提是能够准确识别和确认儿童主体。目前，根据《互联网用户账号信息管理规定》第九条的规定， 中国身份识别的普遍性规定是网络平台在所有用户注册时的必要程序。 为了提高身份识别的精准度， 各类文件也逐渐要求网络平台采取生理特征识别等方式落实账户实名制。 但不同行业的规范标准各不相同， 急需出台统一的规范对此进行规定。 在儿童涉网领域，中国仅仅在网络游戏、网络直播方面要求较为严格的实名认证。 在儿童涉网的其他领域如社交、资讯、视频等网络平台的标准则较为宽松， 网络平台往往依赖于用户主动提供的信息来识别年龄， 也几乎不会主动采取其他手段来验证用户的真实年龄。事实上，儿童往往通过冒用监护人的信息来对此规避， 使得后续儿童个人信息保护措施形同虚设。并且也存在网络平台滥用身份识别，从而造成过度收集儿童信息的问题。同时，存在立法缺失的现象。 例如中国对儿童个人信息侵权的民事救济仍处于几乎空白的状态， 儿童及其监护人缺乏获得相关涉案信息的渠道， 在发现侵权行为后往往处于弱势地位。 相较一般侵权案件， 举证难度会更大。 因此，导致鲜有人对此进行维权。

（二）“监护人同意”制度虚置化

由于儿童尚不具备完全民事能力，故各国主要通过监护人同意原则来进行儿童个人信息保护。 如使用该信息的目的、存储方式、安全保障措施、更正删除途径等事项，必须征得监护人同意。 但在现实中监护人同意往往流于形式。

1.网络平台是否有效告知监护人存在疑问，中国虽然对监护人同意制度有所规定，但仅局限于告知说明义务，这给实践操作带来了困境。 现实中，网络平台一般在用户注册环节，通过向用户提供含有监护人同意内容的用户协议与隐私政策等文件来告知监护人并得到同意。 这些文件推定儿童用户注册时，监护人在场。 这实际上将告知监护人的义务转移给儿童。 儿童勾选了同意选项即默认监护人同意。 这种方式无法确保网络服务提供者是否将信息有效传达到监护人，间接地剥夺了监护人的知情权与选择权。

2.监护人是否实质同意难以判断。 网络平台提供的文件往往对企业收集、使用、处理个人信息行为描述的十分详尽，并长达十多页。 一方面，过于冗长的文件会使监护人陷入同意疲劳。 在事实上，也很少有人去读这些文件。 另一方面，监护人不一定拥有充分的信息素养。 这些文件内容大多数都是技术性较强的规则，对监护人来说或许存在一定的阅读困难，监护人难以确定文件内容的正当性。 因此，监护人同意原则本意是希望监护人对儿童个人信息起到监督、保护的作用，但实际效果远没有达到此目的。

（三）网络平台鲜少采取主动保护措施

在儿童个人信息保护中，网络平台的主要义务是制定政策、 落实保护措施以及回应监护人要求等。 虽然几乎所有的网络平台的隐私政策中都有关于儿童个人信息保护的内容，但大多数措施都是被动保护措施，而未采取主动保护措施，有应付政府监管之嫌。

1.网络平台隐私政策告知方式不显著。 笔者调研了10 个热门网络平台， 其类型囊括了通信、社交、视频等主流网络平台。 这10 个网络平台都在隐私政策中单独规定了儿童个人信息保护规则，但是其中9 个网络平台在初始化时只会显示服务协议和隐私政策要求用户勾选同意，只有1 个网络平台在初始化时会单独显示儿童个人信息保护规则。 并且这10 个网络平台都是要求勾选同意选项， 否则就无法登录账户。

2.未建立全链条的儿童个人信息保护模式。 在最高检发布的141 号指导性案例即全国首例儿童个人信息公益诉讼案中，涉诉网络平台对儿童个人信息缺乏主动保护。 在注册、收集信息环节，儿童用户未经监护人同意即可注册使用网络平台，网络平台采取监护人默示同意、一次性概括同意等方式收集儿童个人信息。 在存储环节，没有建立专门的儿童信息保护池。 在使用、共享、披露环节，未创建涉及儿童信息内容的独立算法机制，在未再次征得监护人明示同意的情况下，直接向其他用户推送含有儿童个人信息的短视频，同时也未对儿童账户采取区分管理措施，其他用户只需关注即可与儿童账户私信并能获取地理位置、面部特征等个人信息。

三、对策：政府、网络平台、家庭须多管齐下，共同建立完备法律保护体系

（一）政府须完善制度设计和加强制度落实

1.完善制度设计

第一，健全身份识别机制。 首先，统一身份识别标准。 目前，各类行业存在不统一、交叉重叠的身份识别标准。 从标准本身来说，不可避免地存在一定的规则模糊地带；对于网络平台来说，也存在难以预测的执法可能性。 所以建议整合各类标准，由国家层面出台统一规范。 其次，由政府部门建立一体化的识别平台。 不同于网络游戏防沉迷验证系统中政府部门仅负责对信息实名验证，一体化识别平台既负责对儿童信息的收集， 又负责对信息进行验证。 这样可以有效避免网络平台过度收集并滥用儿童信息的情况。 根据儿童使用网络现状，一体化识别也不应仅限于网络游戏这单一领域，而应适用于所有需要确认儿童身份的场景。

第二，“监护人同意” 验证方式采取场景化方针。 相比于国内网络平台大多采取的推定监护人同意模式， 美国COPPA 就主要依靠可验证的监护人同意模式。COPPA 会通过将不同网络场景划分为不同风险等级，并以此来决定不同程度的父母同意方式。 为了保证监护人的知情权真正得到实施，笔者建议中国可以混合使用推定监护人同意模式和可验证监护人同意模式， 在借鉴域外经验的基础上，考虑到中国的基本国情，在低风险场景中，使用推定监护人同意模式。 在中风险场景中，使用宽松可验证监护人同意模式，例如采取支付宝、微信支付等已通过成年人身份验证的在线支付系统进行验证。 在高风险场景中，使用严格的可验证的监护人同意，例如人脸识别等生物识别验证，但是验证之后网络平台应当立即删除相关信息。 将年龄与信息本身的风险性作为划分低、中、高风险场景的依据。在年龄方面，可以参考中国《网络游戏适龄提示》，该文件根据儿童的认知能力、生理发育水平等，以8岁、12 岁、16 岁作为年龄分类标准。 而在信息风险性方面，可以由监管部门事先评估各类信息诱发风险的可能性， 依据可能性的高低， 将其区分为低、中、高风险信息，适用于对应的风险场景。

2.加强制度落实

第一，细化民事公益诉讼。 实践中，由于个人维权成本大，被侵害人往往不会对侵权行为进行维权。这种“躺在权利上睡眠” 的消极态度助长了不法之风，传统私益诉讼难以全面保护个人信息权益。利用公益诉讼来保护儿童个人信息， 是现有法律框架下的最优选择。根据2021 年出台的《个人信息保护法》规定， 侵害众多个人信息的行为被纳入公益诉讼事项。检察机关一直都是中国公益诉讼的适格主体，并且相较于其他主体，拥有更多的专业人士、诉讼经验和一定的实践经验。 个人信息保护公益诉讼和消费者保护公益诉讼存在一定的共通性， 例如保护对象存在交叉，在网络购物个人信息泄露案件中，个人信息被侵害者同时可能是网络平台的消费者。 将消费者协会纳入个人信息保护公益诉讼适格主体， 有利于衔接消费者保护公益诉讼规则。 国家网信部门确定的组织也应作为必要的起诉主体， 由社会组织提起公益诉讼，也更能够体现公众参与原则。

第二，建立多元主体协同治理监管体系。 首先，政府部门应建立专门的网络个人信息监管机构。 一方面，在个人信息保护方面，政府各职能部门权力结构划分仍然存在交叉和盲区。 另一方面，互联网企业数量庞大、用户使用途径繁杂以及网络个人信息生命周期长且隐蔽性强的特点，导致实际监管难度大。 除此之外，网络信息天然具有流动性，全球已经有超过90 个国家或地区设立了专门的监管机构， 以面对日益逐渐增多的监管机构跨国执法合作。 例如在美国首例处罚互联网玩具侵犯儿童个人信息案中， 美国联邦贸易委员会 （Federal Trade Commission,FTC） 与加拿大隐私专员办公室（Office of Canda,OPC)共享信息并协调执行。其次，引入第三方专业机构对企业进行评估和提供合规指导。 第三方评估作为一个行之有效的外部制衡机制已经在其他领域中广泛应用。 其独立性以及专业性能够准确、 有效地评估网络平台的个人信息安全保护能力，评估结果能为政府监管部门提供科学依据。 同时，在中国现状下，企业自身，特别是中小企业很难自行完成大量企业合规监管工作，由具备资质的第三方机构提供有针对性的帮助、辅导都是行之有效的措施。 最后，加强互联网行业自律。 《儿童个人信息网络保护规定》第六条鼓励行业组织制定儿童个人信息保护行业规范。 行业协会须发挥引领作用，定期组织重点企业，发布、更新关于儿童个人信息保护的行业自律准则，以弥补立法滞后性。 目前，中国已经形成国家级、省市等不同层级的全覆盖互联网协会体系， 互联网行业协会可以对不同地区、行业的网络平台进行相应的监管以弥补政府部门的监管盲区。 此外，还可以通过颁发符合标准的行业认证标志、宣传行业自律准则等行为，引导网络平台加强儿童个人信息保护。

（二）网络平台自身须建立全链条儿童信息保护机制

作为儿童个人信息的收集者和使用者，网络平台应采取有效措施， 强化对于儿童个人信息的保护。 从儿童个人信息的收集、存储、使用、共享、披露等环节，建立一条针对儿童的全链条保护机制。 要重视事前预防，在产品自开发到运营的每个环节都加入儿童个人信息保护功能。 要强化事中监管，除现行对策外， 还需增加专门的儿童个人信息存储池、采取加密存储、加强涉及儿童内容的审核标准等措施来对儿童个人信息进行特殊保护。 要完善事后处理，个人信息经由网络储存后，就变成了不易删除、永久保存的记忆。 对不必要的儿童个人信息，网络平台应及时销毁，并为监护人提供儿童个人信息追溯、监督的简便渠道。

（三）加强家庭引导与监督，以提高儿童网络素养

家庭教育是儿童教育中最关键的环节。 儿童获得上网渠道、场所最直接的来源是监护人，所以监护人是引导儿童科学、 合理地使用网络的核心力量，其角色是无法替代的。 监护人自身需要提高网络素养，规范自身行为，这样才能有效引导和监督儿童安全上网。 监护人对儿童价值观和行为习惯有重要影响。 相关政府部门、网络平台也可以开展“数字扫盲”计划以提高监护人素养。 监护人应重视对儿童的引导和监督，并切实履行。 根据儿童具体情况，合理分配上网时间。 在发现儿童存在不良网络行为时，采取科学、合理的干预政策。

随着社会发展，儿童个人信息的安全问题日益凸显。 法律保护体系的建立、实施和优化并不只是某一方主体的责任，需要政府、网络平台、家庭的共同努力，发挥各自的监督作用，才能构建完善的儿童个人信息保护法律体系。