GDPR大棒下，未成年人个人信息保护的全球合规路径

编者按
GDPR生效，企业面临新一轮的合规压力。本文首先通过美国联邦贸易委员会对美国《儿童在线隐私保护法》（Children’s Online Privacy Protection Act，以下简称COPPA）的一份指南，介绍了美国企业遵守COPPA的六步法。
然后介绍了已经于5月25日生效的欧盟《数据保护通用条例》（General Data Protection Regulation，以下简称GDPR）中的儿童信息保护规定对带来企业的影响。最后介绍我国主要科技公司的儿童隐私保护政策，并提出建议和总结。

随着大数据时代的到来，个人信息保护备受关注，很多企业在经营过程中也会面对儿童个人信息的收集、使用、披露和转让等问题。儿童群体的特殊性决定了对儿童个人信息及隐私保护应当有所区分，并在立法和实践中对企业涉及儿童个人信息和隐私的经营时提供指引。企业规范经营，既能够保证合规性，又能够避免潜在的法律风险。

一.企业遵守美国COPPA的六步指南

美国于1998年通过了《儿童在线隐私保护法》，以回应在互联网时代儿童个人信息的传播性问题，以及如果网站对儿童个人信息的收集和使用不承担责任所造成的越来越多的儿童损害的担忧。美国联邦贸易委员会（Federal Trade Commission，简称FTC）是COPPA唯一的监管机构，FTC在美国隐私保护执法层面上，被视为一个综合性、跨行业的隐私保护执法机构。FTC为COPPA制定了几份指南，其中包括《企业六步合规计划》（A Six-Step Compliance Plan for Your Business）,为企业遵守COPPA提供了实用指南。

步骤1：确定您的公司是收集13岁以下儿童个人信息的网站或在线服务商
步骤2：发布符合COPPA规定的隐私政策
步骤3：在向儿童收集个人信息前直接通知家长
步骤4：在收集儿童信息前征得他们父母的可识别同意
步骤5：尊重父母在关于收集儿童信息上的持续性权利
步骤6：实施合理程序保护儿童个人信息的安全

步骤1：确定您的公司是收集13岁以下儿童个人信息的网站或在线服务商

COPPA适用的对象有三种：（1）直接面向13岁以下儿童收集个人信息的商业网站和在线服务的运营者；（2）虽面向普通公众，但对于收集13岁以下儿童个人信息有实际认知的网站和在线服务运营者；（3）明知收集的信息来自面向13岁以下的网站或在线服务的运营者，包括广告网络、插件和其他第三方。

步骤2：发布符合COPPA规定的隐私政策

隐私政策必须清晰且全面地描述13岁以下儿童信息被收集后是如何处理的。该项说明告知不仅应包括运营者本身的处理，还应当包括任何其他在其网站或者服务上收集信息的插件和广告网络。

隐私政策应当是清晰和易懂的，隐私政策中必须包括：

（1）从儿童处收集的个人信息类型（如：姓名、地址、邮箱、爱好等）

（2）个人信息如何收集的——直接来自于儿童或通过cookie被动收集

（3）个人信息将如何被使用（如：向儿童推销、通知竞赛优胜者、或在聊天室中公开儿童信息）

（4）是否将儿童信息披露给第三方。如果是，隐私政策中必须列明披露企业类型（如网络商）以及他们如何使用

步骤3：在向儿童收集个人信息前直接通知家长

告知应清晰易懂，不能包含不相关和困惑信息，应告知父母：

（1）你收集他们的在线联系信息, 以获得他们的同意

（2）你想从他们的孩子那里收集个人信息

（3）他们的同意被要求收集、使用和透露个人信息

（4）你想收集的特定的个人信息，以及将如何透露给他人

（5）你的在线隐私政策的链接

（6）父母如何做出同意

（7）如果父母没有在合理时间内给出同意回复，你应当从记录中删除家长的在线联系信息

步骤4：在收集儿童信息前征得他们父母的可识别同意

在收集、使用和披露儿童个人信息前，必须征得父母可识别的同意。COPPA将这个问题留给企业，但是须通过清晰可用的技术设计，合理选择一个方法以确保作出同意的是儿童的父母，而非儿童本人，这点非常重要。

可接受的方法包括：

（1）父母签署一个同意表格并通过传真、邮箱或电子扫描方式邮寄回来

（2）让父母使用信用卡、借记卡或其他在线支付系统等可以向账户持有人提供每笔单独交易的通知的系统

（3）使父母可以与训练有素的人员拨打免费电话

（4）使父母可以与训练有素的人员进行视频会议

（5）使父母提供政府颁发的可在数据库中查询的ID复印件，只要你在完成认证程序后删除认证记录

（6）使父母回答一系列以知识为基础的对于父母之外的人很难回答的具有挑战的问题

（7）验证由父母的驾驶证照片和父母本人照片，通过人脸识别技术进行对比

步骤5：尊重父母在关于收集儿童信息上的持续性权利

即使父母已经同意你可以收集儿童信息，父母也有持续性的权利，你有持续性的义务。

如果父母要求，你必须：

（1）给他们一个可以审查被收集的孩子的个人信息的途径；

（2）给他们撤回同意和拒绝进一步收集和使用孩子个人信息的途径；

（3）删除他们孩子的个人信息的途径。

步骤6：实施合理程序保护儿童个人信息的安全

COPPA要求你建立和维持合理的程序以保护所收集的儿童个人信息的保密性、安全性和完整性。首先将收集的信息数量降低到最低。采取合理的措施仅向有能力保证信息保密性、安全性和完整性的服务提供者和第三方发布个人信息，并得到他们将会履行这些责任的保证。仅在有合理必要的目的时收集个人信息。一旦你不再具有合法理由持有该信息，安全处置该信息。

综上，美国FTC对企业如何合规经营提供了详细的指南。美国COPPA规范所有收集美国儿童信息的网站，而无论该网站建立在美国境内还是境外，也无论网站建立者是美国人还是外国人。因此，如果我国企业在运营中收集美国儿童信息，也应当严格遵守美国COPPA的规范。

二.欧盟GDPR中的儿童个人信息保护

欧盟GDPR全称General Data Protection Regulation，中译《欧洲数据保护通用条例》，该条例自2012年1月份开始起草，经过4年的协商谈判，于2016年4月正式通过这一条例，2018年5月25 日正式全面施行。GDPR作为欧盟立法的条例（Regulation），可直接适用于欧盟成员国。在全球现有的数据隐私保护法规中，GDPR是迄今为止覆盖面最广、监管条件最严格的关于个人隐私和数据安全的法规。

5月25日，GDPR生效后，Twitter、WhatsApp等社交应用软件更新用户条款，表示将禁止16岁以下青少年使用这些应用。这是因为GDPR中有关于儿童个人信息保护的严格规定。

不同于美国COPPA专门针对儿童作出的个人信息和隐私保护的立法，GDPR并没有对个人信息保护的主体进行区分，所有规定同时适用于成年人和未成年人。

GDPR中对儿童个人信息保护的规定集中于第8条，第1款规定儿童不满16周岁的，需要对儿童具有父母监护责任的主体同意或授权，对儿童直接提供信息社会服务的处理才是合法的。针对儿童年龄的界定，第2款规定对于年满13周岁的，成员国的法律可以降低年龄要求。与COPPA一样，GDPR也没有做出强制性的技术规范，第3款规定控制者应当采取“合理的努力”，结合技术可行性，确保监护人已经授权或同意。但COPPA给出更多的方法和例外情形，给网站运营者更多的指导。

GDPR对所有的自然人有广泛的关注，GDPR的所有收集、使用和透露个人数据和提供数据的行为标准都同样适用于儿童，而且应当更加严格。因此，在GDPR生效之后，涉及跨境业务的可能收集和使用欧盟儿童的企业，应当格外注意合规要求。例如，腾讯QQ国际版按照GDPR要求，进行了相关更新，宣布更新到5.0及以上版本的QQ 国际版可继续使用。

三.我国儿童个人信息保护规范

我国尚无一部对个人信息保护的综合性立法，而且多数含有个人信息保护内容的规范性文件多为宣示性内容，缺乏可操作性。我国正在制定专门针对儿童的个人信息保护规范——《未成年网络保护条例（送审稿）》，另有《个人信息安全规范》对儿童个人信息保护作出规定。

（一）《未成年网络保护条例（送审稿）》

不同于美国和欧洲对儿童年龄分别界定为13岁、16岁，送审稿中对默认未成年人的年龄即为我国《未成年人保护法》中规定的18周岁，这也是UNCRC（UN Convention on the Rights of the Child）中规定的年龄。

总结送审稿中对服务提供者的主要要求：

1. 通过网络收集、使用未成年人个人信息的，应当在醒目位置标注警示标识，注明收集信息的来源、内容和用途，并征得未成年人或其监护人同意。（第16条）送审稿的规定与欧美规定明显不同之处在于，只要未成年人本人同意的情况下，网络服务提供者有权收集、使用未成年人个人信息，而不是必须经过未成年的监护人同意。

2. 游戏服务提供者有效识别未成年用户，并妥善保存用户注册信息。这也并非是强制性要求，国家鼓励企业开发能够有效识别年龄的技术。

3. 网络游戏服务提供者应当建立、完善预防未成年人沉迷网络游戏的游戏规则，对可能诱发未成年人沉迷网络游戏的游戏规则进行技术改造。

4. 服务商须对登载的信息进行审查，发现违反法律、行政法规和部门规章的信息的，应当采取措施进行删除或屏蔽，并向有关主管部门报告。

5. 公益性场所为未成年人提供上网设施的，智能终端产品制造商在产品出厂时、智能终端产品进口商在产品销售前应当在产品上安装未成年人上网保护软件。

6. 未成年人或其监护人要求网络信息服务提供者删除、屏蔽网络空间中与其有关的未成年人个人信息的，网络信息服务提供者应当采取必要措施予以删除、屏蔽。

（二）《个人信息安全规范》

《信息安全技术个人信息安全规范》（GB/T 35273—2017）是我国国家质量监督检验检疫总局和国家标准化管理委员会在2017年12月29日发布的，2018年5月1日正式实施的一部关于我国公民个人隐私安全保护技术标准。

与《未成年网络保护条例（送审稿）》不同的是，送审稿通过后即是行政条例，具有法律强制性效力，《个人信息安全规范》不是一部强制性标准而是一部推荐性标准。尽管如此，该规范在行业内引起了广泛关注，并被认为可以作为各企业的进行网络安全和数据合规的重要指引，以及指导各监管部门的网络安全管理和执法工作。

《个人信息安全规范》中关于儿童个人信息保护的规定如下：

1. 收集年满14周岁的未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意。

2. 个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等。

由此可见，《个人信息安全规范》中将未成年人分为两个阶梯予以不同保护，年满14周岁的未成年人信息可以仅征得未成年人同意，而不满14周岁的，则应征得其监护人的明示同意。此外，将14周岁以下儿童的个人信息规定为个人敏感信息，予以特别保护。

四.我国主要科技公司儿童隐私保护政策

我国主要的科技公司BAT（百度、阿里巴巴和腾讯）都有隐私政策，其中也有专门针对儿童的隐私保护政策的规定。

（一）百度的儿童隐私保护政策

1. 百度隐私政策中界定个人敏感信息包括14岁以下（含）儿童的个人信息；百度隐私权保护声明中建议未满18周岁的未成年人请其监护人仔细阅读本隐私政策，并在征得您的监护人同意的前提下使用我们的产品和/或服务或向我们提供信息。

2. 百度地图：我们的产品、网站和服务主要面向成人。如果没有父母或监护人的同意，儿童不得创建自己的用户账户。对于经父母同意而收集儿童个人信息的情况，我们只会在受到法律允许、父母或监护人明确同意或者保护儿童所必要的情况下使用或公开披露此信息。

3. 百度钱包：若您是18周岁以下的未成年人，在使用百度钱包支付产品/服务前，应事先取得您的家长或法定监护人的阅读并同意本隐私政策，并如实提供您的个人信息。

（二）阿里巴巴的儿童隐私保护政策

1. 阿里巴巴隐私政策中界定个人敏感信息包括14岁以下（含）儿童的个人信息。

2. 游戏/文学/淘宝个人信息隐私政策

（1）如果没有父母或监护人的同意，未成年人不得创建自己的用户账户。如您为未成年人的，建议您请您的父母或监护人仔细阅读本隐私权政策，并在征得您的父母或监护人同意的前提下使用我们的服务或向我们提供信息。

（2）对于经父母或监护人同意使用我们的产品或服务而收集未成年人个人信息的情况，我们只会在法律法规允许、父母或监护人明确同意或者保护未成年人所必要的情况下使用、共享、转让或披露此信息。

3. 支付宝隐私权政策

（1）我们期望父母或监护人指导未成年人使用我们的服务。我们将根据国家相关法律法规的规定保护未成年人的个人信息的保密性及安全性。

（2）如您为未成年人，建议请您的父母或监护人阅读本政策，并在征得您父母或监护人同意的前提下使用我们的服务或向我们提供您的信息。对于经父母或监护人同意而收集您的信息的情况，我们只会在受到法律允许、父母或监护人明确同意或者保护您的权益所必要的情况下使用或公开披露此信息。如您的监护人不同意您按照本政策使用我们的服务或向我们提供信息，请您立即终止使用我们的服务并及时通知我们，以便我们采取相应的措施。

（三）腾讯的儿童隐私保护政策

1.微信：我们鼓励父母或监护人指导未满十八岁的未成年人使用我们的服务。我们建议未成年人鼓励他们的父母或监护人阅读本《隐私政策》，并建议未成年人在提交的个人信息之前寻求父母或监护人的同意和指导。

2.腾讯游戏协议中有更为详细的关于未成年保护的规定，有腾讯游戏成长守护平台服务协议、腾讯成长守护协议，其中多是如何与父母、学校帮助未成年规范网络游戏行为。

另外值得一提是，京东、携程对未成年的个人信息保护规定中要求18周岁以下的未成年人，在使用其产品与/或服务前，应事先取得家长或法定监护人的书面同意。“书面同意”这一要求是BAT三家公司中未要求的。

综上，我国主要科技公司都表示了高度重视未成年人的个人信息保护，并在其隐私保护政策中予以列明。百度和阿里对未成年人年龄予以划分，与《个人信息安全规范》中规定的14周岁一致。总体来看，这些公司都要求未成年人使用产品或服务前征得父母的同意，但是规定的措辞不一，既有“建议”“鼓励”等倡导性的，也有“应当”强制性的要求。

虽然我国目前尚无法律强制性的规定，但是可以看出这些企业把握了国际主流对未成年个人信息保护的方向。但是诸如“征得父母同意”这类要求目前技术上难以切实保证，无论美国的COPPA，还是欧盟的GDPR，也都仅仅是规定服务提供者采用“合理的措施”以确保监护人的同意，其实际可操作性还有待加强和完善。

五.总结与建议

目前我国正在进行个人信息保护方面的综合性立法，仅从目前《未成年网络保护条例（送审稿）》《个人信息安全规范》来看，可以预见我国立法上对未成年个人信息保护的关注和重视。

对存在跨国业务的大型企业来说，不仅仅是科技类公司，传统行业中诸如航空、电信等领域，或多或少会涉及儿童个人信息收集、使用的业务，那么遵从当地法律儿童个人信息保护，把握国际主流趋势，对企业提升自身竞争优势至关重要。而对于小型公司而言，尽管业务尚无涉及收集和使用国外儿童个人信息的情况，也应高度重视未成年人的个人信息和隐私保护。

因此，建议企业在设计隐私政策时，应充分考虑未成年人的特殊性，并结合我国和国际对儿童个人信息保护的趋势，尽量采取最严格的措施予以保护。这样既有利于应对将来可能更加严格的立法，也能够在消费者中建立信誉，提升竞争力。

GDPR大棒下，未成年人个人信息保护的全球合规路径

迈向自动化渗透测试：引入大语言模型基准、分析与改进

从传统企业资产管理到CAASM

英国ICO报告：使用AI招聘工具的数据保护注意事项