平台“收集”与“删除”儿童个人信息的中美实践比较

2022-06-06

引言：

不到半年时间，95万余条未成年人个人信息被出售！

据杭州互联网法院微信公众号于2022年2月17日发送的推文^[1]，杭州互联网法院就浙江省首个侵害未成年人个人信息公益诉讼案作出判决，针对邓某、肖某通过搭建贩卖个人信息的网络平台出售未成年人个人信息的违法犯罪行为，判决其支付损害赔偿款30万元专门用于个人信息保护或信息安全等公益事项，并在国家级媒体上向社会公众刊发赔礼道歉声明。

数据显示，我国未成年人网民已达1.83亿，互联网普及率高达94.9%^[2]，互联网平台已经成为未成年人重要的学习、社交和娱乐工具。然而，未成年人个人信息的黑灰产业如此之猖獗，不由得让人为未成年人个人信息保护捏了把冷汗。

今年2月，在海南省网信办开展的未成年人个人信息保护专项治理工作中，监测到 “追追漫画”“成语状元郎”等9款App存在不同程度违法违规收集使用未成年人个人信息的行为，部分App的下载量已经突破2000多万。

如何善“始”又善“终”地“收集”与“删除”未成年人个人信息，是绝大多数互联网平台无法逃避的难题。

对此，我们聚焦未成年人中最易受到侵害的群体——儿童，就其个人信息的“收集”与“删除”两个环节，以中美两国对于儿童个人信息收集与删除的监管为切入点，梳理中美主流平台的儿童个人信息收集与删除现状，并针对性地提出最佳实践合规建议，希冀能够筑牢儿童的个人信息保护防线，让儿童不再成为“网络透明人”。

一、 中美主流平台的儿童个人信息收集与删除现状

（一） 收集环节

目前，我国除了网络游戏平台要求用户提供身份证号完成个人实名认证外，一般互联网平台仅要求用户提供手机号进行认证，不少互联网平台坦言，在绝大多数情形下无法识别使用其产品与/或服务的具体人员信息是否属于儿童（指十四周岁以下的未成年人）个人信息^[3]，因而只能通过用户协议、隐私政策等文件中声明：未成年人应当在监护人陪同下阅读相关协议、政策，同时在监护人同意和指导下使用平台产品和服务并向平台提交个人信息。一旦勾选同意，即由此推定监护人作出了同意。

而美国主流平台通常会在注册环节针对儿童（一般是13周岁以下）用户设置准入限制。以Facebook、Twitter为例，其在服务条款中明确，未满13周岁的用户不得使用平台服务，并且在账号创建注册阶段，要求必须填写出生年月日，对于年龄不符合要求的，会提示错误，无法完成账号注册。

（二） 删除环节

在删除环节，中美主流平台的实践路径类似，一般都是通过注销账户的方式实现个人信息的全部删除，即在用户账户设置中预先嵌入了“注销账号”的按钮，在确认满足平台设定的注销条件（如账户无余额、无未完成的交易等）后，用户可向平台申请注销。其中，删除儿童个人信息与删除成年人个人信息的设置上并无分别，并未就儿童个人信息的删除设置更加便捷的路径。

二、 监管对比：中美儿童个人信息的收集与删除规制

(一) 收集环节——如何证明已征得父母同意？

无论是中国还是美国，在收集未成年人个人信息之前，征得父母或其他监护人（统称“父母”）的同意均为法定义务。但在“征得”父母同意的具体实践路径上，存在差异。

1. 中国：明确告知+提供“拒绝”选项

（1）明确告知

根据《儿童个人信息网络保护规定》的规定，互联网平台向父母征得同意时，应当明确告知以下事项：

若上述事项发生变化的，互联网平台还应重新征得父母同意。

（2）提供“拒绝”选项

同时，《儿童个人信息网络保护规定》还明确要求互联网平台必须同步提供拒绝选项，以使得父母能够自由地根据自身意愿确定是否同意互联网平台收集儿童个人信息。

而且，互联网平台不得就父母的“拒绝”行为设置不合理的障碍。根据《未成年人网络保护条例（征求意见稿）》的规定，互联网平台不得以任何理由强制要求未成年人或监护人同意非必要的个人信息处理行为，不得因为其拒绝或撤回同意的行为，而拒绝未成年人使用平台基本功能服务。

2. 美国：明确告知+可验证的父母同意

与中国一样，美国也强调互联网平台在收集儿童个人信息时的“明确告知”义务，但与中国不同的是，美国更看重对于“征得”行为本身的约束。

根据美国《儿童在线隐私保护法》（“Children’s Online Privacy Protection Act”，下称“《COPPA》”）的规定，互联网平台收集儿童个人信息必须获得可验证的父母同意(“Verifiable Parental Consent”)。所谓“可验证的父母同意”，是指互联网平台在收集儿童个人信息前向父母所作出的任何合理的努力，包括确保父母收到其发出的请求其授权收集、使用和披露儿童个人信息的通知，以及其能够对此作出授权等举动。

（1） 一般验证方法

根据美国联邦贸易委员会（“Federal Trade Commission”）专门针对《COPPA》指定的合规指引（《COPPA：企业六步合规计划》，下称“《COPPA合规指引》”），符合《COPPA》要求的验证方法，包括以下七种：

（2） 特殊验证方法

根据《COPPA合规指引》，如果互联网平台仅将儿童个人信息用于内部而不会向外界披露，则可以采用“加强邮件验证”（“Email Plus”）的方式，即互联网平台需要向父母发送电子邮件并让他们回复以表示同意后，再通过电子邮件、信件或电话向父母发送确认书以再次确认。

如果互联网平台采用“加强邮件验证”，则必须让父母知晓他们可以随时撤回他们的同意。

（3） 其他验证要求——不得捆绑，发生变化时需重新征得同意

《COPPA合规指引》强调，互联网平台必须让父母选择允许收集和使用他们孩子的个人信息，而不能捆绑式地要求他们同时同意向第三方披露该信息。

同时，如果互联网平台对于父母已经同意的收集、使用或披露行为发生变化的，必须向父母发送新通知并重新征得父母的同意。

（二）删除环节——如何行使“删除权”？

1. 中国：明确删除情形，忽视实现路径

我国就法定删除情形（含“主动删除”和“被动删除”）做出了明确规定（具体如下图所示），但并未就具体实现路径予以明确，导致儿童及父母在实际权利行使过程中存在障碍。

2. 美国：关注删除权的实现路径

与中国类似，美国《COPPA》项下也明确规定了有关儿童个人信息删除权的相关规定。在此基础上，美国也开始关注删除权的具体实现路径。在《儿童在线白板法案（草案）》（“Clean Slate for Kids Online Act of 2021”）^[4] 中，明确要求互联网平台需就删除权的行使提供便捷的实现路径，包含发布通知、应要求立即删除及提供书面确认三步。具体而言：

三、 最佳实践：互联网平台处理儿童个人信息，如何善“始”又善“终”？

（一） 收集环节——有效验证父母的“同意”

1. 合规要素一：做好个人信息保护影响评估

在我国，儿童个人信息属于敏感信息。互联网平台在处理敏感信息之前，进行个人信息保护影响评估是法定义务。除此之外，如若未来真的发生侵害儿童个人信息权益的事件，互联网平台也可以据此证明确实遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求，有助于“自证清白”（详见本团队文章《个人信息安全影响评估——“自证清白”第一步》《个人信息安全影响评估——被严重低估的价值》）。

2. 合规要素二：明确告知

互联网平台在收集儿童个人信息前，应当遵循“最小必要”的收集原则，在实现处理目的的最小范围内处理个人信息。最小必要的要求包括最小影响、直接关联、最小类型、最小频度、最小数量、最小权限、最短时间等维度（具体详见本团队文章《身份信息给不给？当“实名认证”遇到拦路虎：“最小必要原则”》）。

同时互联网平台应明确告知儿童及其父母其收集儿童个人信息的目的（可通过简洁明了的隐私政策或系统弹窗等方式）、范围及用途，让儿童及父母能够清楚得知晓其个人信息为什么要收集、哪些个人信息要收集、个人信息收集后怎么用。

3. 合规要素三：有效验证父母的“同意”

基于我国尚未就“征得”同意的具体路径进行细化规定，为避免双方对此产生分歧或争议，互联网平台可以考虑借鉴美国的“可验证的父母同意”模式，通过邮件、短信、电话、视频通话等各种方式验证父母是否已就儿童个人信息的收集作出明确的同意，避免仅通过勾选同意隐私政策等方式进行确认。

4. 合规要素四：不为父母的“拒绝”设置障碍

互联网平台在征得儿童父母同意时，需要同时提供“拒绝”的选项，并就拒绝的后果向父母进行明确告知。

同时，互联网平台需特别留心不得就其“拒绝”行为设置人为障碍，或是以此为由拒绝其使用平台基本功能服务，从而变相地强迫父母同意其收集儿童个人信息的行为。

（二） 删除环节——提供便捷的“删除权”实现路径

1. 合规要素一：明确告知

针对儿童个人信息的删除，互联网平台应当使用显著、清晰的语言，明确告知儿童及其监护人行使“删除权”的具体路径、删除个人信息范围及删除后果。为便于父母理解，互联网平台还可以通过举例的方式进行具体讲解。

2. 合规要素二：提供便捷实践路径

除明确告知儿童及父母如何行使删除权外，互联网平台还需要向其提供易于访问且便捷的“删除权”实现路径，不得为用户行使其权利设置障碍。

如不得要求用户访问数个页面才能到达行使删除权的界面，不得要求用户必须填写行使删除权的理由，不得以消极的语言向其强调行使删除权的负面后果，以及不得利用UI设计隐藏删除权界面等。

四、 结语

我国与美国在儿童个人信息的收集及删除环节存在较大差异：

（1）在收集环节，我国并未就“征得”父母的同意的方式作出细化规定，实践中互联网平台的“征得”同意方式流于形式；而美国则更注重于对“征得”行为本身的约束，要求互联网平台要获得“可验证的父母同意”；

（2）在删除环节，我国针对主动删除、被动删除场景做出了明确规定，但与收集行为一样，并未针对删除权的具体行使路径进行特别规制；而美国则开始关注删除权的便捷行使要求。

基于儿童的弱势地位，在个人信息保护方面应当予以倾斜。互联网平台在收集环节应当借鉴美国先进经验，通过多种举措有效验证父母的“同意”；在删除环节则应关注如何提供便捷的“删除权”实现路径，从而“善始善终”地处理儿童个人信息，保护儿童个人信息不受侵犯。

本团队后续将持续推出系列文章，针对国内外主流平台对于儿童个人信息的收集及删除环节进行合规测评，以帮助互联网平台进一步明确儿童个人信息保护的实践要点。

参考文献：

[1]杭州互联网法院，《两男子搭建平台收集、贩卖未成年人信息，后续来了！》， https://mp.weixin.qq.com/s/4_JpviF0-xtQaPzTlI37YA， 2022年6月1日第一次访问。

[2]中国互联网络信息中心（CNNIC），《中国互联网络发展状况统计报告》，http://www.cnnic.cn/hlwfzyj/hlwxzbg/hlwtjbg/202202/t20220225_71727.htm， 2022年6月1日第一次访问。

[3]《爱奇艺儿童个人信息保护规则》，https://privacy.iqiyi.com/tips， 2022年6月1日第一次访问。

[4]该法案于2021年 04月 28日提交众议院审，尚在审议中。

本文作者：

声明：            

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。