中美儿童网络隐私保护研究

白净　赵莲

摘要 随着互联网技术的迅速发展，接触和使用互联网的儿童越来越多，儿童缺乏自我保护意识，他们的个人信息和隐私保护成为人们关注的重点。本文对比分析中关两国儿童网络隐私保护状况，美国2000年实施了《儿童网络隐私保护法》，2013年国会对该法案进行了修订。美国联邦贸易委员会对违反该法的网络商进行处罚，美国各大网站相应设置了保护儿童政策。中国目前没有针对儿童网络隐私保护进行专门立法予以保护，网站在保护儿童网络隐私方面缺乏适当政策。

关键词 儿童保护；隐私保护；网络隐私；个人个息；互联网责任

中图分类号G206 文献标识码A

互联网的发展，一方面令信息流通变得更加自由便捷，另一方面，也带来诸多问题，其中最引人关注一个问题是网络用户的个人隐私保护。网络运营商利用各种技术手段收集用户信息，在很多情况下，用户对自己的个人信息被搜集、存储、复制、公开、利用甚至出售毫不知情。为保护个人权益不受侵犯以及避免隐私资料被滥用，很多国家对互联网进行约束，以期维护个人的基本权益。

美国的隐私立法已有百年历史，进入互联网时代，个人网络信息被纳入隐私保护范围。2001年9.11恐怖袭击事件发生后，布什总统于当年10月签署通过《美国爱国者法案》（Uniting and Strengthening America by ProvidingAppropriate Tools Required t0 Intercept and Obstruct Terrorism Act of 2001，简称USA Patriot Act）），该法案赋予政府更广泛地实施监视窃听的权力，其中包括追踪互联网传播的更大权力。法案通过后引发争议不断，争议之一是国家借反恐之名侵犯个人隐私。发生在2013年的司诺登事件，令互联网用户更加关注个人信息安全问题。

近年来，越来越多的儿童使用互联网。美国Common Sense Media的最新调查发现，儿童对平板电脑、智能手机等带屏便携设备的使用率在过去两年呈现爆炸式增长：0-8岁儿童中使用移动设备的人数增长了89%，比例从2011年的38%上升N2013年的72%。中国儿童使用互联网的比例也在不断增多，据第31次中国互联网络发展状况统计报告，2012年中国网民中10-19岁人群的比例是24.0%，约有1.35亿，10岁以下人群比例是1.7%，约有1000万。同时，儿童在使用移动网的数量也在不断增多，据2013年中国移动互联网用户分析报告，截止2012年9月，10-19岁移动互联网用户在总体用户中占比28.5%，约有1.42亿。

相对于成年人在网络上的个人信息来说，美国社会普遍认为，儿童的网络隐私保护应列为优先地位。相当一部分网站搜集用户个人信息，而儿童缺乏隐私保护意识，辨别能力不强、容易不假思索提供个人和家庭资料，网站通过各种方式诱导儿童填写个人信息，包括姓名、住址、生日等，甚至还包括父母的信息，对此应制定更严密的保护措施。因此，美国国会在1998年10月通过了《儿童网络隐私保护法》（Childrens OnlinePrivacy Protection Act of 1998，简称COPPA）。2000年4月该法正式生效。该法产生的另一个背景是，互联网时代，美国希望对儿童接触网络不良信息加以约束，但受到宪法第一修正案的限制，因而国会通过的《通讯内容端正法案》（Communication Decency Act）和《儿童在线保护法案》（Child Online Protect Act）在1997年相继被宣布为违宪。为了保护儿童避免互联网不良内容的侵害，美国采取迂回办法，于2000年分别推出《儿童网络保护法案》（Childrens InternetProtect Act）和《儿童网络隐私保护法》（COPPA），这两个法案的思路，均是放弃约束互联网内容，而改为约束向儿童提供服务的学校、图书馆和互联网商。

根据这一联邦法律，在美国司法管辖范围内的网络运营商，必须制定相应的隐私政策，在向13岁以下儿童搜集个人信息时，必须征得儿童父母同意，同时，必须保护儿童网络隐私和安全。2011年9月，美国联邦贸易委员会（Federal TradeCommittee，以下简称FTC）对COPPA提出修订意见，经过两年咨询讨论，2013年7月1日，新修订的COPPA正式生效。

中国的隐私保护历史较美国短，关于隐私的立法散见于多个法律中，学者将其分为三种情况：一是对公民的人身、人格尊严、家庭、住宅等最基本的隐私事项予以保护；二是在法律中对属于隐私的个别事项予以保护；三是规定禁止公开他人隐私。直至2009年《侵权责任法》，才正式将隐私权列为一项民事权益。在中国，隐私与个人信息不是同一概念，关于网络个人信息保护的立法，2012年全国人大常委会《关于加强网络信息保护的决定》对个人信息保护做了较为详细的规定，其中包括：任何组织和个人不得非法获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息；网络服务提供者在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息；网络服务提供者对在业务活动中收集的公民个人电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。上述规定只是原则性的要求，对网络服务商在具体操作过程中应该怎样做没有具体的指引和说明，也并未对儿童施以特殊保护。

关于儿童隐私保护，主要见《未成年人保护法》，该法三十九条规定：任何组织或者个人不得披露未成年人的个人隐私，例如未成年人的信件、日记、电子邮件等；第五十八条规定：对未成年人犯罪案件，新闻报道、影视节目、公开出版物、网络等不得披露该未成年人的姓名、住所、照片、图像以及可能推断出该未成年人的资料。对于未成年人的年龄，该法确定为未满18周岁。按照中文，未满18周岁与儿童是两个概念，但在中国法律中，没有关于儿童年龄的明确划分，《民法通则》第十一条、第十二条规定18岁以上的公民是成年人，是完全民事行为能力人，16-18岁有完全收入的人为完全行为能力人，10-16岁为限制行为能力人，10岁以下为无行为能力人。

在法律之外，针对儿童网络上的个人信息保护，全国信息安全标准化技术委员会2013年2月1日公布《信息安全技术公共及商用服务信息系统个人信息保护指南》。指南将个人信息分为一般信息和敏感信息，敏感信息包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等等。该指南适用于指导如电信、金融、医疗等领域的服务机构，不适用于政府机关等行使公共管理职责的机构。指南规定在收集和利用个人敏感信息之前，必须首先获得个人信息主体明确授权，特别规定：不直接向未满16周岁的未成年人收集个人敏感信息，确需收集其个人敏感信息的，要征得其法定监护人的明示同意。这个指南注意到了向未成年人收集个人信息的问题，但该指南没有约束力。工信部随后于2013年9月1日施行《电信和互联网用户个人信息保护规定》，没有规定对未成年人施以特殊保护。

由于中美两国对隐私和个人信息的表述各有不同，本文为便于比较和行文，将儿童在网络上的个人信息，等同于“儿童网络隐私”。

一、美国《儿童网络隐私保护法》内容及实施情况

《儿童网络隐私保护法》要求网站或网络服务商在收集、使用或披露用户信息而用户中包括13岁以下（包括13岁）儿童时，必须做到以下几点：

1.制定清晰的隐私政策，解释收集儿童信息的行为，包括明确提示正在收集有关儿童的信息，并说明将如何使用这些信息。

2.赋予儿童父母决定权，收集儿童信息时，需要采取必要措施，征求家长同意，家长的身份需要得到验证。同时，提供合理途径，令父母可以检查网站所收集的关于他们孩子的信息；提供方法，令父母能够删除孩子信息；另外，允许父母可要求网站不再收集孩子信息。

为保护儿童网络隐私，美国联邦贸易委员会（FTC）提出了行业自律与立法相结合的安全港模式（safe harbor），即行业组织或其他组织可以创建保护儿童隐私的自律规范，这些规范必须包括独立监管或惩戒程序，并提交给FTC批准。FTC发布该规范，征求公众意见以考虑是否通过。若该规范通过，有关运营商只要遵守了规范，就被认为遵守了COPPA。

自从COPPA实施以来，对那些未能遵守COPPA的网站或网络运营商，FTC采取罚款等措施进行处理。从FTC官方网站可以查到22个因违反COPPA而遭到处罚的案例。本文介绍其中6个典型案例：

1.2000年7月FTC对Toysmart网站提起诉讼，阻止其出售消费者数据库。这是第一个FTC对违反COPPA提起诉讼的案例。FTC称Toysmart网站在隐私政策中声明，从消费者那里收集的信息不会与第三方共享，但当它陷入经济困境，试图出售所有财产，包括详细的消费者数据库，该数据库包含了儿童的姓名和生日。最终，Toysmart签署了“破产协议”，承诺不会将消费者数据库作为独立财产出售，并删除在违反COPPA条件下收集的所有信息。

2.Girlts Life是针对9至14岁女孩的网站，与BigMailbox.com和Looksmart合作，为孩子提供免费电子邮件账户和网络留言板服务。FTC称，Girl's Life从孩子那里收集个人信息，包括姓名和家庭住址、电子邮件和电话号码，没有在网站张贴符合COPPA的隐私政策，也没有在收集儿童个人信息之前征询其父母同意的程序。Girls Life被罚款3万美元。

3.Hershey Foods采取的获取父母同意的方法不符合COPPA标准，FTC称该公司没有采取任何步骤确保父母或监护人填写同意书。即使父母或监护人没有提交同意书，该公司仍继续从儿童那里收集个人信息，包括姓名、年龄、家庭住址、电子邮件。这是第一个针对网站获取父母同意方法不当的COPPA案例。FTC对其罚款8.5万美元，并要求其删除违反COPPA所收集的所有信息。

4.RockYou游戏网站有17.9万用户，因安全漏洞导致电邮地址和密码泄露。FTC称RockYou没有说明其对儿童个人信息的收集、使用和披露政策；在收集儿童个人信息之前也没有获得可证实的父母同意；没有采取合理程序，对从儿童那里收集的个人信息进行加密保护。FTC对其罚款25万美元，并要求其删除相关信息，同时实施数据安全保护，在20年内每隔一年，接受独立第三方的安全审查。

5.Playdom运营的20个virtual world网站收集、披露大量13岁以下儿童的个人信息，没有事先获得儿童父母同意，违反COPPA，FTC对其罚款300万美元，这是目前因违反COPPA所受到的最大数额的罚款。FTC主席莱博维茨（JonLeibowitz）说“无论是虚拟世界、社交网络或其他吸引孩子的互动网站，都有责任向父母和儿童提供适当的通知并获得适当的许可。这个案件表明违反COPPA的代价不菲。”

6.移动应用程序开发者Justin Maples在没有事先取得儿童父母同意的情况下，非法收集和披露数万名13岁以下儿童的个人信息。FTC对其罚款5万美元。要求其在收集、使用或披露儿童个人信息前要通知其父母并获得他们的同意，提供清晰、易于理解、完整的隐私政策。要求其删除非法收集的个人信息。这是第一个涉及移动应用，即APP的COPPA案例。FTC主席莱博维茨称：“当涉及儿童在智能手机上分享信息时，公司必须让家长有机会做出聪明的选择。”

二、COPPA修订及引发的争议

2013年7月，美国国会通过了对COPPA的修订，主要有以下几方面特点：

覆盖范围更广：修改运营商定义，扩大其覆盖的范围。收集儿童信息的网络插件和网络广告商，以及明知从孩子那里收集个人信息的第三方，都需要遵守COPPA。即使是非营利性网站，若从其用户中盈利，也需要遵守COPPA规则。

扩大个人信息范围：除姓名、家庭住址、电邮、电话、社会保险号码等个人信息外，地理位置、照片、视频、音频、网络联系信息等等，也被纳入个人信息范围；在某些情况下，IP地址、设备序列号、cookies等信息也在新规则的保护范围之内。

改进征询父母意见和方式。在修订之前，COPPA规定运营商验证父母身份可采取以下几种方式：1）邮寄或传真父母签名同意书；2）接受和验证信用卡号码；3）采用免费电话确认；4）有数字签名的电子邮件；5）通过上述验证方法获得的有PIN或密码的电子邮件。在新修订的规则中，企业可以通过更多的方式获得父母的同意。如电子扫描的签名同意书、视频、身份证明和替代支付系统。在请求父母同意时遵循了真诚善意原则的运营商，若无意间向声称是家长的他人披露了儿童个人信息，将受到联邦和州法律的免责保护。

加强保护力度：要求网站和网络服务商对搜集的儿童个人信息维持保密、安全和完整，只向有能力保证信息安全的组织发布儿童的个人信息，且需要采取合理程序。对于所搜集的儿童网络信息，只应用于达成最初搜集的目的，用后应予以删除，防止未经授权的访问和使用。

为中小网站制定符合COPPA要求的清晰指引，具体为六个步骤：1）确定公司是否收集13岁以下儿童个人信息；2）公布符合COPPA的隐私政策；3）收集儿童信息前给父母直接通知；4）收集儿童信息前获得可经证实的父母的同意；5）收集儿童信息时，尊重其父母和持续权利；6）采取适当程序保护儿童信息安全

此外，新规则加强了FTC对安全港项目的监督，要求行业组织每年都要对成员进行审核，并向FTC报告审核的结果。

COPPA的上述修订，引起不少争议。2012年，在FTC就COPPA修订征求意见期间，Faeebook向FTC提交文件表示，COPPA的修订提案与宪法第一修正案相悖，会侵犯儿童的言论自由权利。Google表示，新规则关于“个人信息”的定义范围过于广泛，将限制运营商维持和开发儿童产品的能力。也有人认为，COPPA不是作为一个安全法律被实施，而是作为增加企业收入的法律来实施。例如，它并不保护儿童免于广告的侵扰。FTC随后发布了两个新文件，旨在帮助面向儿童的中小网站、如应用程序和插件，确保运营商明确其义务，采取相应措施保护儿童网络隐私，以遵守新的修订规则。

有许多评论赞成新修订法案，认为13岁以下儿童还不具备完全能力，以识别和理解网站收集信息的真实意图及网站的隐私政策，新规则对保护儿童网络隐私非常必要。美国国会众议院两党联合隐私权小组联席主席爱德华·马基（EdwardMarkey）在一次新闻发布会上说：“保护儿童在互联网上的安全，与保护他们在学校、家庭内外的安全同样重要。”FTC称新修订的法案符合初衷，即减少从儿童那里收集个人信息，为儿童创造一个更安全的上网环境。

FTC主席乔恩·莱博维茨（Jon Leibowitz）说：“在不断变化的科技背景下，COPPA修订，旨在保护创新，为儿童提供丰富有趣的内容，同时确保家长了解并参与孩子的网络活动。”

在智库TechFreedom举办的“COPPA：儿童隐私与媒体的过去、现在和未来”讨论中，美国民权同盟（American Civil Liberties Union）的法律顾问Gabriel Rottman认为网站要适应COPPA，要么改变网站内容，要么把13岁以下的儿童排除在网站用户之外。圣塔克拉拉大学法学院（SantaClara Law Sch001）教授Eric Goldman认为，网站或服务商从孩子那里获利很少，但为保护儿童隐私，却要花费不少，他建议网站经营者直接把13岁以下的儿童排除在外。Facebook创办人扎克伯格（Mark Zuckerberg）对修订法案表示反对，他认为，教育越早开始越好。修订法案将令儿童接触和使用互联网受到很大限制，不能充分利用互联网，似乎不符合当前信息社会发展的需要。

三、美国互联网公司的儿童隐私政策

在COPPA框架之下，美国大型互联网公司，如Google、Twitter、Facebook，均在其用户隐私政策中，制定专门针对儿童隐私保护的政策。

在Google的隐私政策中，Google明确告知，对用户信息的使用方式，以及用户可采取何种方式来保护自己的隐私。Google的隐私政策主要有三点：1）Google收集哪些信息，以及收集这些信息的原因；2）Google对这些信息的使用方式；3）Google为用户提供的选择，包括访问和更新信息。在COPPA实施后，Google不再为13岁以下的儿童创建个人账号。若新用户在注册Google账号时填写的年龄在13岁以下，Google会告知不能成功注册的理由，并向其提供COPPA的链接网址。若儿童以虚假年龄注册成功，而运营商后来经过某种方式获悉该用户在13岁以下，Google可能停止该帐户。Google旗下的视频网站YouTube实行与Google一致的政策，不允许13岁以下的儿童创建个人帐号。如果Google已有用户注册YouTube时将年龄填为13岁以下，则Google会停止该用户的Gmail等服务，直至用户通过身份验证为13岁以上。将儿童排除在外，需要设计年龄筛选机制，保证注册者能正确地输入他们的年龄，不鼓励儿童伪造他们的年龄来成为用户。

Twitter的隐私政策中有一条专门针对儿童的政策，明确声明其服务对象不包括13岁以下的儿童。如果父母发现孩子未经同意向Twitter提供个人信息，可以通过邮件联系Twitter。Twitter不会故意从13岁以下的儿童那里收集个人信息。如果发现13岁以下的儿童向Twitter提供个人信息，Twitter将采取措施删除这些信息，并且终止孩子的帐号。同时，Twitter创建了Safe tips forparent页面，为家长和青少年提供更多建议。

Facebook也不对13岁以下儿童开放。在注册页面，要求用户提供出生年月，并告知用户此举是为确保得到适合注册者年龄的Facebook体验。若用户年龄未满13岁，会被告知Facebook不能处理他们的登记申请。在数据使用政策方面，Facebook提供了“未成年人及其安全”的链接，称为保护未成年人，可能会采取特殊保障措施（如对成年人与未成年人的分享和联系设限），这可能使未成年人使用Faeebook受到限制。

上文提到六家因违反COPPA受到FTC惩罚的网站，经检查，其中两家已将注册方式更改为使用Facebook帐号登入，由于Facebook限制儿童使用，等于间接符合要求。一家不准13岁以下儿童注册，一家要求家长验证身份；另外两家其中一个破产，一个是手机APP。

由上可以看出，美国儿童网络隐私保护法的实施，对网络搜集儿童个人信息方面，起到一定的约束作用。

四、中国互联网公司的儿童隐私政策

由于中国没有类似美国COPPA的法律，网站或网络服务商的儿童保护政策比较宽松。

百度在《百度隐私权保护声明》中规定：百度非常重视对未成年人信息的保护。若您是18周岁以下的未成年人，在使用百度的产品和/或服务前，应事先取得您家长或法定监护人的同意。

《腾讯服务协议》第三条用户个人信息保护规定：“腾讯非常重视对未成年人个人信息的保护。若您是18周岁以下的未成年人，在使用腾讯的服务前，应事先取得您家长或法定监护人（以下简称“监护人”）的书面同意。同时，在该协议的第十九条未成年人使用条款中规定：“若用户未满18周岁，则为未成年人，应在监护人监护、指导下阅读本协议和使用本服务。”

新浪微博在《新浪微博个人信息保护政策》巾规定：新浪微博非常重视对未成年人个人信息的保护。若您是18周岁以下的未成年人，在使用新浪微博的服务前，应确保事先取得监护人的同意，如您在新浪微博上申请注册账号，新浪微博将默认为您已得到前述同意。新浪微博将根据国家相关法律法规及本《个人信息保护政策》的规定保护未成年人的个人信息。

百度、腾讯、新浪微博的个人信息保护政策中都对未成年人使用其服务做出了同样的规定，即取得家长或监护人的同意。事实上，这些条款的设置如同虚设。用户在注册的过程中，可以随意填写姓名、性别、生日等相关信息，即使填写的年龄显示注册者是1岁，注册过程也没有任何提示性的消息告知用户，需要监护人的同意才可注册。用户顺利注册后，所享受到的服务也不会受到任何限制。

三大网站的上述规定，无非是一种宣示性的声明。在实际操作过程中，网站不会对未成年人是否已取得监护人的同意进行任何验证。新浪微博在其政策中声明，“如您在新浪微博上申请注册账号，新浪微博将默认为您已得到前述同意。”网站因为这样的声明而表明其已履行了相应的义务，并可据此推卸责任。

广受小学生欢迎的4399游戏在《4399通行证服务条款》有一条“青少年用户特别提示”：青少年用户必须遵守全国青少年网络文明公约。在4399游戏网站上，若是用户打开个人中心，可以看到其中有一个“防沉迷设置”，要求填写真实姓名和身份证号码。信息一旦保存，不可修改。填写了防沉迷设置的信息，如果用户未满18岁，在游戏过程中将受防沉迷系统的限制。如游戏过程中，会提示用户累计网络时间；累计游戏时间超过3个小时，游戏收益（经验、金钱）减半；累计游戏时间超过5个小时，游戏收益为0。但这个防沉迷设置不是强制的，不填写也丝毫不影响操作，形同虚设。

五、中美儿童网络隐私保护比较

从美国国会就儿童网络隐私保护的立法。及美国贸易委员会对违反法律的制裁、美国网站的实践来看，美国政府和社会，对互联网时代如何保障儿童健康成长，体现出细致入微的关怀，中国需要借鉴。具体有以下几个方面：

（一）关于儿童年龄的划分

中国法律中没有关于儿童年龄的明确界定，1991年中国批准《联合国儿童权利公约》，其中第1条规定：儿童系指18岁以下的任何人。在中国，人们习惯上将18周岁以下的人称为“未成年人”，而将“儿童”理解为年龄较小的孩子。但18岁定义覆盖的范围太广，如果在互联网中将儿童年龄限制在18岁，将会把很多人阻挡在互联网门外。在信息时代，互联网上有丰富的资源，涵盖了各个领域，极大地开阔青少年的视野和思路。如果一味地限制他们使用互联网上的各种服务，与互联网开放性的初衷矛盾，尽管这样的做法可能有利于保护孩子的个人信息，却也阻碍了孩子对未知世界的探求欲望，反而限制了孩子们的成长。给予儿童特别的保护，是因为儿童的生理、心理较为脆弱，判断能力和辨别能力不足，容易受到客观环境和他人的影响。美国COPPA将儿童的年龄限制在13岁以下，也许正是考虑到青少年已经具备了一定的辨别能力。

（二）关于网络隐私的涵盖范围

美国关于儿童网络隐私的范围不断扩大，除姓名、家庭住址、电邮、电话、社会保险号码等常见的个人信息外，还包括了地理位置、照片、视频、音频、网络联系信息，甚至还包括IP地址、设备序列号、cookies等等。这是FTC在面对网络技术快速发展的同时，对儿童网络隐私加强保护的一种应对。在此基础上要求网站、在线服务运营商在收集、使用、披露儿童个人信息时承担更多的注意义务和责任。在中国，儿童个人信息同样面临问题，但是这一危险并没有引起足够的重视。目前，中国对儿童应用网络的保护，仍停留在尽可能避免儿童接触不良信息方面，缺少对儿童个人信息的保护措施。

（三）赋予家长监管儿童使用网络的责任

在保护儿童网络隐私方面，COPPA让家长占据主动位置。与其他社会机构不同，对于父母来说，防止孩子个人信息被商业网站利用非常重要。网站或在线服务商在收集儿童个人信息前，需取得其父母同意，并确保该同意经过验证。同时，还赋予父母审视其孩子个人信息，有权要求删除信息，以及禁止信息被进一步收集或使用的权力。在这种情况下，家长在保护儿童个人信息方面就拥有更多的控制权。孩子能够接触或使用哪些网站提供的服务，在很大程度上取决于家长的态度。在儿童个人信息保护方面，除了互联网公司需采取合理措施保证儿童个人信息安全外，家长可以随时撤销自己的“同意”，限制网站或网络运营商对孩子个人信息的使用。

（四）对互联网商加以约束

美国儿童网络隐私保护立法，旨在对网站和网络服务商加以约束，加重网络商保护儿童的责任，要求网络商须在保护儿童利益方面放弃一部分商业利益。在COPPA实行后，FTC颁布了一系列的文件，对网站及网络服务商如何遵守COPPA做了详细的说明，如遵守COPPA的六步法则，明确规定了网站在收集、使用和保护儿童个人信息方面应该怎么做，具体到细节，引导网络商遵守法律。FTC对违反法律的网站进行罚款处理，起到警示作用。

综上，美国通过制定法律，对互联网商加以约束，充分运用父母对子女的亲情保护，赋予父母监管儿童使用网络的权力，政府部分加强监督与执法，多管齐下，保障儿童权益。这些做法，值得借鉴。