数字时代儿童隐私数据的法律保障

王玉玲

（苏州大学 王健法学院，江苏 苏州 215006）

近年来，由于数字技术的不断发展，儿童隐私数据泄露事件频频发生，这既对儿童安全有着现实威胁，又可能对儿童身心健康成长造成不利影响。在传统意义上，由于儿童行动范围的有限，其隐私保护往往并不成问题。但由于智能移动设备、物联网等的不断发展，父母“晒娃”致孩子被绑架，智能儿童玩具大规模的隐私泄露等事件频出，儿童的位置、姓名、家庭地址，甚至病历等隐私数据都越来越难以被保证，甚至为犯罪提供了诸多便利。同时，一些隐私数据的泄露也可能对儿童的身心健康成长造成不利影响。然而对此，我国儿童隐私数据的实际保护现状是既缺乏完善的规范支持，也缺乏相应的理论研究。由是，数字时代儿童隐私数据的法律保障成为了当前亟需解决的问题，需要在法学层面界定儿童的年龄范围，明确“隐私数据”的内涵及权利属性，并针对儿童隐私数据的法律保障困境，提出相对应的保障策略，以期能够立足当下、立足我国，更好地解决儿童隐私数据保护问题。

一、问题提出前的考量

对数字时代儿童隐私数据的法律保障的思考，前提即是要厘清何为“儿童隐私数据”，具体可以从两个方面进行阐释：一是儿童的年龄范围界定；二是“隐私数据”的内涵及权利属性厘清。

（一）儿童的年龄范围界定

“儿童”的年龄范围界定看似简单，但事实上，由于立法的欠缺，目前法学界并没有形成统一的观点。2019年《儿童个人信息网络保护规定》的出台可能会缓解这一现象，但一方面，其在效力位阶上并不甚高；另一方面，其“不满14周岁”的儿童年龄界定在学界也存在一定的争议，如祁涛，景聪会认为儿童即12岁以下（“以下”包含本数，下同）的孩子[1]；美国1998年通过的《儿童网络隐私保护法》（Chil dr en's Onl ine Pr ivacy Pr ot ect ion Act）将儿童界定为0-13岁之间；1989年的《儿童权利公约》（Convent ion on t he Right s of t he Chil d）中甚至将儿童界定为18岁以下的自然人。可以说对儿童年龄范围的争议主要体现在年龄的“上限”问题上。本文同意“13岁以下”的年龄界定，因为一方面，14岁到25之间实际已为青少年[2]，与我国刑法层面的界定相一致，将儿童年龄界定过窄或过宽均不利于对儿童群体特别的保护性规范的制定与施行；另一方面，对儿童与青少年、未成年人法学层面研究进行较为明确的区分，也会使得对儿童的法律保障更具针对性、统一性。

（二）“隐私数据”的内涵及权利属性厘清

“隐私数据”的内涵及权利属性厘清具体包含“隐私数据”的内涵界定与“隐私数据”的权利属性明确。

其一，“隐私数据”的内涵界定。对于“隐私数据”的内涵界定问题可以分为“隐私”和“数据”两个方面进行阐释。一方面，对于“隐私”，我国2021年实施的《民法典》以保护私人生活安宁，私人空间、活动、信息不受他人刺探、侵扰、泄露、公开等干扰为标准。王利明教授同样指出隐私权包括“生活安宁”、“私人秘密”等基本内容[3]。事实上，关于隐私的争议自沃伦与布兰代斯“不受干扰”的主张后，就始终存在争论。而本文对隐私的关注则主要强调儿童隐私与成人隐私存在实质区分，这主要体现在：儿童隐私的范围，儿童对隐私的控制能力，儿童对隐私公开的许可能力等方面。因此，对儿童隐私不能与成人隐私相互混淆，须进行单独的法律规定予以更强力度的保护。另一方面，对于“数据”。虽说数字化与数据化并不相同[4]，但仅就本文而言，对数字时代背景下儿童隐私数据的法律保障思考决定了对儿童隐私数据的讨论基本体现于“二进制”空间内。以此而言，数据构成了本文对象的形式范围，即二进制网络空间中“0”和“1”的组合形式。进一步而言，“隐私”方才是是本文研究的实质内容，二者共同构成了“隐私数据”内涵，结合儿童年龄的限定，则是本文探讨的儿童隐私数据。

其二，“隐私数据”的权利属性明确。尽管当前关于“数据”的权利属性问题还存有诸多争论，但是对于“隐私数据”，尤其是“儿童隐私数据”而言，则应当处于人格尊严保护的角度去进行权利属性的明确。当然，这并不是说隐私数据，或者儿童隐私数据不具备经济价值，事实上情况刚好相反，Spir al Toys，Vt ech等儿童制品公司遭受黑客攻击在一定程度上说明了儿童隐私同样具备很高的经济价值，但对于儿童隐私数据而言，数据的有效保护才是目前最应当考虑的问题，而非数据如何高效流通带来更多经济价值。

二、目前我国儿童隐私数据的法律保障困境

儿童隐私数据保护的欠缺一方面容易使得儿童可能成为民事侵权甚至刑事犯罪的目标；另一方面，儿童隐私数据保护的欠缺也可能对儿童的身心健康造成巨大创伤，特别是在涉及儿童医疗、特殊经历等隐私数据方面时。但当前儿童隐私数据的法律保障存在困境，主要体现在儿童隐私数据保护的观念欠缺，针对性的法律保障研究不足，保护的法律规范缺乏灵活性和专业性等方面。

（一）儿童隐私数据保护的观念欠缺

当前我国人们对儿童隐私数据保护存在相当大程度被忽视的问题，儿童隐私数据保护的观念相对较为欠缺，在实践中则主要表现为两类问题：一是部分儿童隐私成为网络社交谈资；二是对儿童智能设备的防范认识不足。

其一，部分儿童隐私成为网络社交谈资。在当前数据分享、数据流通、数字经济等观点越来越被人们所熟悉和接受的同时，人们越来越倾向于分享自身的生活，“晒娃”就是其中的表现之一，但这同样在客观上加大了儿童隐私泄露的风险，甚至也可能存在一些软件借助人们的这种心理大量收集儿童隐私数据进行不法行为。据相关调查，家长在网上“晒娃”往往能得到很高的回复率，且有与他人“晒娃”行为强烈的互动倾向，“晒娃”在一定程度上已经成为了一种社交活动[1]。法国虽然规定了孩子14岁以上，父母须事先征得其同意才能将其照片发布网络，但这也同样表明很多儿童对于自己的隐私照片、视频无权阻止父母的“晒照”。对此，法国国家宪兵也曾发出警示，“晒娃”可能会在无形中侵害儿童的隐私权[5]。

其二，对儿童智能设备的防范认识不足。近些年，儿童智能手表、智能玩具等面向儿童群体的智能设备被迅速推广，这在方便家长与儿童沟通、防止儿童手机成瘾、避免恶意电话等方面具有积极意义的同时，也存在儿童隐私数据泄露的隐患。这些智能设备中保存的儿童隐私数据具有持久性和难以删除的特点，可能会被网络运营商利用算法隐秘地创建出儿童的“数字身份”[6]，对儿童未来的成长与生活产生不确定因素。欧盟2016年通过了《一般数据保护条例》(2016/679)，其第17条规定了被遗忘权，可适用于儿童隐私数据的删除，但在我国被遗忘权尚未深入人心。特别是在当前这类市场产品良莠不齐的情况下，家长及儿童自身对于智能手表、智能玩具的防范意识也十分薄弱，更是增加了儿童隐私数据的泄露风险。此外，儿童自身在社交网络平台或网络软件中无意识的信息泄露。目前随着手机、电脑及平板等的普及，儿童也更多的在社交网络平台、网络软件上独立进行各种交流、展示或游戏行为，但这些行为也同样伴随着儿童无意识的个人信息泄露，从而被平台或个人收集利用。

（二）儿童隐私数据缺乏针对性的法律保障研究

当前我国学界对儿童隐私数据缺乏针对性的法律保障研究。这点从国内外关于儿童隐私的研究上即可见一二。以中国知网为例，进行SU=“儿童隐私”的专业检索，截至2020年6月26日，仅检索到9条中文文献结果，其中法学领域仅5条，且基本集中在最近三年内。同样的条件下进行SU=“隐私”的专业检索则可得到21428条中文文献结果之巨。相较于国内，域外对儿童隐私数据的理论关注显得更强，以域外法学领域颇具代表性的HeinOnLine为依据，进行Tit l e为Chil dr en's pr ivacy的高级检索，截至2020年共可得到165条结果。目前我国对于儿童隐私数据问题的研究较少，并且法律层面的针对性研究则更少，而在这些研究中又以对美国儿童隐私保护模式、欧盟数据保护模式的研究为偏重。由于国内关于儿童隐私数据问题的立法实践和理论研究较为匮乏，使得我国既有相关研究主要基于域外材料，这也造成了本土儿童隐私数据观察与研究的缺失。而不论是儿童隐私数据保护问题尚未引起我国学界的高度关注，或我国尚未意识到儿童隐私保护是一个严峻的社会问题，都从侧面说明了当前我国目前对儿童隐私数据保护实际上存在一定程度的忽视，使得我国缺少对于儿童隐私数据保护的理论积累和实践措施。特别是当下人们实际上已经成为“数据人”，在网络空间几乎有着自身全部的信息[7]，而相较青少年、成年人等群体的自我保护意识而言，儿童尚未形成健全的隐私保护意识，自我保护能力薄弱，儿童隐私数据保护问题尤显严峻，亟待针对性研究的深入展开。

（三）儿童隐私数据保护规范缺乏灵活性

目前我国儿童隐私数据保护规范缺乏一定的灵活性。具体而言，在儿童隐私数据法律保障的实现方式确立上，我国儿童隐私数据保护乃至于我国整体的数据保护方式都偏重于对儿童监护人或者数据权利主体“是否被告知且同意数据被采集”等对数据的自决控制方式。而事实上，过于强调儿童监护人的权利规制地位并不一定具备实质性的意义。儿童监护人是否具备良好的数据思维、法律保护意识，在享受技术便利的同时，对于儿童隐私的授权许可是否知其所以然，抑或是仅仅为了获得网络运营商的服务而进行的“形式同意”，都尚存在一定的疑问。对此，尽管美国关于儿童隐私数据的保护较为先进，《儿童网络隐私保护法》已颁布二十多年，对于儿童网络隐私保护形成了较为完善的保护措施，但却同样在一定程度上存在这样的问题。例如美国《儿童网络隐私保护法》中严格的年龄验证和监护人同意虽然保护了儿童隐私数据，但同时可能也导致儿童上网权利受限，无法参与自媒体等网络平台自由表达观点[8]，实际上“聪明女孩”、惠普公司等已经采取了限制或者排除儿童参与的方式以保证自己的经营合法[9]。这与儿童网络隐私保护的立法初衷是相违背的。

（四）儿童隐私数据保护规范缺乏专业性

目前我国儿童隐私数据保护规范缺乏专业性。不论是从当前时代的发展速度，还是从各领域儿童隐私数据保护的具体问题的千差万别来看，对不同领域内儿童隐私数据收集、管理、使用等也缺乏一种更为灵活和专业的规范模式，这也是当前我国儿童隐私数据保护所亟需解决的问题。事实上，我国对儿童隐私数据的规范目前尚有诸多不足，既有规范大致散见于《未成年人保护法》、《刑法》、《民法典》等法律，2019年则出台了较具针对性的《儿童个人信息网络保护规定》，较为系统地规定了儿童的隐私数据保护。相较美国关于儿童隐私数据保护的立法规定，我国立法起步较晚，且制度刚刚建构并不成熟，儿童隐私数据保护规范也缺乏足够的专业性。

我国《儿童个人信息网络保护规定》的颁布使得儿童隐私保护问题初见曙光，但同时其本身也存在一些问题。一方面其在效力位阶上并不甚高，仅仅是部门规章，再加上其责任承担力度较轻，能够对网络运营商发挥的约束效果并不明显。其对于网络运营商的责任承担方式仅有网信部门约谈，在被追究法律责任后才有可能被记入信用档案公示。儿童隐私数据的收集、分析、利用均是较为隐秘的过程，现有的规定在不触及刑事犯罪的前提下，网络运营商具有很大的可操作空间，约束效果十分有限。另一方面，其对于儿童隐私数据的规范也并不完善，不够全面，例如网络运营商对于儿童数据的具体管理要求及加密措施的程度，非主动泄露儿童隐私数据后的责任承担，父母对儿童数据的网络档案查看的权利与方式，专门的儿童类软件或网站的针对性规定，游戏等特殊领域内的儿童隐私数据使用限制等都还存在一定的空白。

三、数字时代儿童隐私数据的法律保障策略

当前儿童监护人对于“晒娃”的限度与风险多不以为意[1]，儿童更难以意识到自己的“玩伴”、网络平台可能会泄露自己的隐私。因此，儿童隐私数据的法律保障策略的思考尤为重要。其法律保障一方面需要重视儿童隐私数据保护观念的网络形成途径，并加强儿童隐私数据法律保障针对性研究；另一方面，要实现由“控制”到“智慧监管”的保障方式，由强调儿童监护人对儿童数据被采集阶段的“同意”控制制度到强调多元灵活的智慧监管方式，并构建规范的“专业化”实现路径，以使得儿童隐私数据的法律保障更具市场适应性。

（一）重视儿童隐私数据保护观念的形成

我国对于信息保护的意识较薄弱，尤其是自我意识尚未完全形成的儿童，对其隐私保护的观念则更为欠缺，对此，需要充分重视儿童隐私数据保护观念的形成，以多元形式培养人们的儿童隐私数据保护观念。具体可以从主体层面和实施层面展开。

其一，在主体层面，联合政府、社会、学校、家庭等主体，推动儿童隐私数据保护观念的形成。儿童隐私数据保护观念的形成应当是政府、社会、学校、家庭等多元主体的共同参与，从而推动儿童隐私数据保护观念的全面形成。目前儿童隐私泄露已经成为威胁社会稳定和安全的潜在风暴点，政府主体应当承担更多的宣传和引导义务，多部门高度重视并督促相关措施的落实，形成“由上而下”的合力矫正。社会主体如其中的商业平台追求利益的同时需要更多约束自身行为，因APP、短视频、直播等形式已经使得其在某些层面上具有较强的影响力，其需要承担更多促进儿童隐私数据保护观念形成的责任；如社区或乡镇应当通过举办公开宣讲、发放宣传单等形式引起家长对儿童隐私的关注及增进了解；如媒体则应当通过微信、微博、电视、广播等途径宣传儿童隐私保护的重要性及泄露危害。学校主体如幼儿园或小学应通过多种生动有趣的方式帮助其形成自我保护的观念，避免其过度信任智能玩具或网络平台；如高校则应通过普法宣传、爱心支教等多种形式提高不同群体对儿童隐私的保护意识。家庭中父母长辈应理性适度“晒娃”，学会保护儿童的敏感信息；在为孩子购买儿童手表、智能玩具或允许孩子登录使用游戏、社交账号时，应当履行一定的注意义务，及时引导其学会保护自身的隐私。

其二，在实施方式层面，借助互联网线上与传统方式线下的双重途径，促进儿童隐私数据保护观念的形成。事实上，在儿童隐私数据保护观念形成过程中，尽管传统儿童隐私数据保护观念形成促进方式必不可少且意义重大，但传统的儿童隐私数据保护观念形成促进多采用线下活动推广等方式，会受到活动范围、活动时间长度、活动资金等多方面的制约，而互联网途径在这些方面有着天然的优势。同样的，以互联网方式促进儿童隐私数据保护观念的形成也会有着促进力度不足、促进程度不深等问题，甚至在一定程度上，由于互联网对儿童隐私数据保护观念促进形成行为人专业性等方面要求的降低，以及互联网本身信息传递的失真可能性存在，传统儿童隐私数据保护观念形成促进方式更显重要。因此，应当结合当前时代背景，借助互联网与线下的双重途径，降低成本的同时，形成大范围、长持续的儿童隐私数据保护观念形成环境，促进儿童隐私数据保护观念的形成。

（二）儿童隐私数据法律保障针对性研究的展开

目前而言，我国对于儿童隐私数据保护问题研究较少，这使得我国关于儿童隐私数据保障的理论较为欠缺，在影响人们对于儿童隐私数据认识的同时，也阻碍了儿童隐私数据的立法保护进程，我国儿童隐私数据法律保障需要更为针对性地展开相关研究。对此，可以从三个方面出发加强针对性研究的同时，完善我国《儿童个人信息网络保护规定》：一是联系既有的隐私数据理论；二是要与当前隐私数据研究进行区分；三是需要重视我国实际国情。

其一，儿童隐私数据法律保障针对性研究的展开需要联系既有的隐私数据理论。事实上，不论是域外还是我国，学界关于隐私的理论研究实际已经较为深入，关于数据的理论研究也颇为丰富，儿童隐私数据的保护研究可基于现有的隐私数据理论展开。其二，儿童隐私数据法律保障针对性研究的展开需要与当前隐私数据研究进行区分。儿童隐私与成人隐私甚至概括而言的未成年人隐私等都有着较大差异，且学界关于数据分享等的主张在整体数据流通需要的环境下并无不妥，但具体到儿童隐私数据方面则需要进行适当的调整和改变。其三，我国儿童隐私数据法律保障针对性研究的展开需要重视我国实际国情。由于我国当前关于儿童隐私数据的针对性研究存在一定程度上的匮乏，且对于儿童隐私数据保护的立法规范也并不健全，这使得既有的我国儿童隐私数据法律保障针对性研究主要基于域外材料，实际上缺乏对本土环境特殊性的考察，对此，我国儿童隐私数据法律保障针对性研究的展开亟需重视我国实情。

针对儿童隐私数据问题，我国应当把握以上三个方面加强针对性研究，除了技术方面的具体研究，更应注重法律层面的针对性研究。如何在法律层面保护儿童隐私数据的同时，兼顾儿童网络自由表达和参与的权利，寻找其与网络运营商发展利益之间的最佳的平衡点，是目前处理儿童隐私数据保护问题的重中之重，同样也是我国目前需要展开针对性研究的重点。即使是已有二十多年经验的美国在这方面也时常有失偏颇，《儿童网络隐私保护法》自颁布以来不断受到多方的质疑和抨击。

（三）由“控制”到“智慧监管”的保障方式转变

智慧监管是一种更灵活的监管方式，并要求多元主体共同参与[10]。目前我国关于儿童隐私数据的规范中，儿童监护人对网络运营商的规制措施被极大注重，尤其体现在网络运营商对儿童隐私数据的采集方面，儿童监护人具备诸多对抗的权利。事实上，不仅在我国，美国的儿童隐私数据保护亦是如此，但是取得的效果却相当有限，对儿童的隐私数据保护立法也慢慢变成了儿童网络参与受限或者被排除的实践“支持”。以此看来，制度上的考量更多的应该是优化儿童隐私数据的采集、管理和使用监管，以及使得儿童隐私数据保障性规范更具灵活和适应性，实现由“控制”到“智慧监管”的保障方式转变，而不是一味强调儿童监护人的权利规制手段。过分依赖家长同意制度来控制网络运营商对于儿童隐私数据的收集，实际上并不能达到各方都理想的效果，并非所有父母都是儿童最称职理性的权利保护人，即使经过父母的同意，这也可能仅仅是为了获得相应服务而不得不接受其隐私条款的“形式同意”。

当然，由“控制”到“智慧监管”的保障方式转变，并不是否认儿童监护人对网络运营商的规制权利的意义，实际上，尽管本文论述了诸多儿童监护人对网络运营商享有规制权利方式相应的缺陷，但儿童监护人对网络运营商享有的这种规制权利也确实对儿童权益起到了相当程度的保护，这从国内外依旧非常推崇这种“控制型”的保障模式就可见一二。但是，从经济学的角度来说，“控制型”的保障模式在儿童隐私数据保护上有一个边际效益最大的点，要素数量的增加一般会降低边际效益，但要素的种类变化则可以在一定程度上突破这种制约[11]。问题在于一个人最饿的时候吃“包子”边际效益确实最大，但一个“包子”不可能吃饱，那么，如何增大后续用以填饱肚子的“包子”的边际效益就是问题的核心。由“控制”到“智慧监管”的保障方式转变，不严谨地说，实质上就是将“包子”变成饮料和其他物品，让“饿肚子”的人在每个物品上都能取到较高的边际效益。通过“智慧监管”让除儿童监护人外，同时调动政府、市场、社会等多元主体的共同参与，让我国儿童隐私保护更加灵活，取得更好的社会效果。

（四）“专业化”规范实现路径

正如前文所言，对不同领域内儿童隐私数据收集、管理、使用等都需要一种更为灵活和专业的规范模式。而“专业化”规范的实现路径大致则包括两方面，一是完善儿童隐私数据保护的法律制度；二是发挥行业协会的主体作用。

其一，完善儿童隐私数据保护的法律制度。儿童隐私保护数据法律制度的完善是对不同领域内儿童隐私数据收集、管理、使用的基本要求，保证“专业化”实现路径不会成为“偏执化”、“混乱化”实现路径，让儿童隐私数据保护规范有着基本稳定和共同的基调，并在此基础上进行“专业化”设计。大体而言，完善儿童隐私数据保护的法律制度至少包含两方面：一方面，在无法实现儿童隐私数据保护更高位阶立法时，应当更加细致地落实《儿童个人信息网络保护规定》中网络运营商非法收集、利用儿童隐私数据或数据存储、保护不当导致其泄露的法律责任。没有切实责任承担方式的法律规定仅能发挥倡导性规定的宣告效应，很难实现理想的实质性约束，达到较好的社会立法效果。随着实践需求的增加，我国同样可以基于《儿童个人信息网络保护规定》，进行儿童隐私数据的进一步专业立法。另一方面，逐步完善儿童隐私数据保护的法律制度覆盖面，构建完善儿童隐私数据保护的法律制度。目前我国应当基于现有的《儿童个人信息网络保护规定》完善其中的规定，如网络运营商对于儿童数据的具体管理要求及加密措施的程度，父母对儿童数据的网络档案查看的权利与方式等方面的规定。之后可进一步完善各领域儿童隐私数据保护问题，如对儿童导向的软件或网站，以及网络游戏等特别领域进行规范等，健全专业化的儿童隐私数据保护法律体系。

其二，发挥行业协会的主体作用。有学者认为我国行业协会在一定程度上脱胎于我国行会[12]，是一种自愿、自治性的服务组织，也是行业协会的出现是市场体制和国家体制之外的重大创新[13]，能够有效促进行业管理和发展的自主性，行业协会等的主体作用发挥是对不同领域内儿童隐私数据收集、管理、使用进行专业性保障的必然要求。事实上，由于儿童隐私数据保护的复杂性和跨领域性，对儿童隐私数据的保护需要有其他规范制定主体参与，同时，这些主体必须具备很强的敏感性和专业性。目前各国一般将行业协会置于这样的位置，也早有学者认为行业协会必然在我国得到兴起和发展[14]，但至今我国行业协会的规范制定能力实际非常有限，只能对现有规范进行细节补充，并且，对于这种补充也缺乏进一步的法律明确，这大大影响了行业协会作用的发挥，使得儿童隐私数据保护缺乏活力。对此，一方面应当细化对行业协会的规范和引导，提高行业协会的专业性和管理能力；另一方面是引入“避风港”等制度加强行业协会规范制定能力，例如美国在《儿童网络隐私保护法》第1304条规定由行业组织制定的相关规范报联邦贸易委员会审核，经批准后即可以作为避风港。当然，完善我国的儿童隐私数据的法律保证体系，虽然放眼全球、放眼未来，但始终需要落足于我国本土、我国当下。

四、结语

技术的发展会给人们的生活带来便利，但同时也会带来新的问题。近年来，儿童隐私数据泄露事件的频频发生，既对儿童安全有着现实威胁，又可能对儿童身心健康成长造成不利影响，数字时代儿童隐私数据的法律保障问题亟需解决。对此，本文首先在法学层面界定儿童的年龄范围，明确其中“隐私数据”的内涵及权利属性，并针对当前儿童隐私数据的法律保障困境，提出：一方面，需要重视儿童隐私数据保护观念的网络形成途径，并对儿童隐私数据法律保障进行针对性研究的展开，以加强我国儿童隐私数据保护观念；另一方面，需要在规范偏重上实现由“控制”到“智慧监管”的保障方式转变，并以“避风港”制度的设立达到规范的“专业化”实现路径，从而使得儿童隐私数据的保护更具灵活和专业性，以完善我国儿童隐私数据保护的法律规范。但儿童隐私数据的法律保障实质上还存在诸多问题未被解决，例如游戏等特殊领域中儿童隐私数据的针对性保护，再例如儿童隐私数据的具体立法方式、体例等，这些都需要进一步的研究开展。