華 劼

(同濟大學(xué) 上海國際知識產(chǎn)權(quán)學(xué)院，上海 200092)

信息網(wǎng)絡(luò)技術(shù)的發(fā)展使觸網(wǎng)年齡不斷低齡化。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《2019年全國未成年人互聯(lián)網(wǎng)使用情況研究報告》(1)本文所稱“未成年人”是指不滿18周歲的自然人，“兒童”是指不滿14周歲的未成年人。因《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》出臺前的我國立法和研究報告都只提及“未成年人”，因此，本文論述相關(guān)內(nèi)容時仍使用“未成年人”一詞。，2019年，我國未成年網(wǎng)民規(guī)模為1.75億，32.9%的小學(xué)生網(wǎng)民在學(xué)齡前就開始使用互聯(lián)網(wǎng)[1]。較多兒童都有社交平臺的個人賬號，在個人賬號中披露的諸如年齡、性別、居住地、興趣愛好、好友等個人信息越來越多[2]。大數(shù)據(jù)、人工智能和物聯(lián)網(wǎng)技術(shù)的快速發(fā)展催生了智能玩具、智能電話手表等兒童青睞的設(shè)備，智能玩具上傳感器、存儲設(shè)備、語音識別技術(shù)、互聯(lián)網(wǎng)連接和定位技術(shù)被用來記錄使用者的聲音和行為等信息，其存儲的兒童個人信息易被不法分子竊取和侵害[3]83。

鑒于個人信息披露會給未成年人，尤其是14歲以下的兒童帶來不可逆的傷害，國家互聯(lián)網(wǎng)信息辦公室起草頒布了《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》(以下簡稱《規(guī)定》)，并于2019年10月1日正式實施，旨在落實《網(wǎng)絡(luò)安全法》對未成年人的保護，這是我國第一部兒童個人信息網(wǎng)絡(luò)保護的專門法。本文在分析《規(guī)定》出臺的立法背景和比較法環(huán)境的基礎(chǔ)上，探索《規(guī)定》所借鑒的美歐兒童個人信息保護主要原則，并通過探討2019年7月至12月美國啟動《兒童在線隱私保護法》新一輪修訂所征求到的建議，提出完善我國《規(guī)定》的方案。

一、《規(guī)定》的國內(nèi)及國際立法背景

《規(guī)定》出臺之前，我國涉及未成年人個人信息保護的法律法規(guī)主要有兩大體系：一是以《未成年人保護法》為核心的基本權(quán)益保護法體系；二是以《網(wǎng)絡(luò)安全法》和《關(guān)于加強網(wǎng)絡(luò)個人信息保護的決定》為核心的“一法一決定”等信息保護基本法體系[4]60。

《未成年人保護法》僅對兒童個人信息和權(quán)益做了基本規(guī)定，未針對網(wǎng)絡(luò)環(huán)境下的個人信息保護做出具體規(guī)定。其第39條規(guī)定，任何組織或者個人不得披露未成年人的個人隱私；第58條規(guī)定，對未成年人犯罪案件，新聞報道、影視節(jié)目、公開出版物、網(wǎng)絡(luò)等不得披露該未成年人的姓名、住所、照片、圖像以及可能推斷出該未成年人的資料。

“一法一決定”對個人信息保護作了基本規(guī)定，但卻缺乏專門保護未成年人或兒童個人信息的特別規(guī)定?！毒W(wǎng)絡(luò)安全法》在“網(wǎng)絡(luò)信息安全”一章中覆蓋了網(wǎng)絡(luò)運營者保護個人信息的責(zé)任義務(wù)規(guī)制，但沒有針對未成年人作出特殊保護，僅在第13條提及“國家支持研究開發(fā)有利于未成年人健康成長的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，依法懲治利用網(wǎng)絡(luò)從事危害未成年人身心健康的活動，為未成年人提供安全、健康的網(wǎng)絡(luò)環(huán)境”[5]。

近年來，兒童互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展迅速。二胎政策的開放使我國進入生育高峰期，兒童互聯(lián)網(wǎng)產(chǎn)業(yè)預(yù)期前景可觀，兒童遠(yuǎn)程教育、兒童數(shù)字圖書、兒童網(wǎng)絡(luò)游戲、兒童服裝玩具等電子商務(wù)領(lǐng)域競相出現(xiàn)，各類兒童軟件層出不窮。短視頻平臺及社交媒體平臺的興起使得兒童更青睞于集娛樂、資訊、分享、交友等為一體的網(wǎng)絡(luò)服務(wù)平臺，并在娛樂、學(xué)習(xí)、交友等活動參與中越來越多地披露個人信息。兒童由于心智不成熟和社會閱歷不豐富，面臨無法判斷網(wǎng)站推薦信息良莠、釣魚網(wǎng)站等信息套用的風(fēng)險，其自愿披露的個人信息也極易被網(wǎng)站用于商業(yè)營銷，甚至被用于侵犯兒童人身權(quán)利的犯罪活動。因此，對兒童網(wǎng)絡(luò)個人信息進行立法保護變得十分必要且迫切。

從比較法視角看，美國和歐盟有關(guān)隱私和個人數(shù)據(jù)保護的立法體現(xiàn)了兩大不同類型的立法模式。美國的立法模式專門性和指導(dǎo)性強，早在1998年，美國就針對兒童隱私保護出臺了《兒童在線隱私保護法》(Children’s Online Privacy Protection Act，COPPA)，針對13歲以下兒童個人信息保護為網(wǎng)絡(luò)運營者收集和使用兒童個人信息提供詳細(xì)的指導(dǎo)說明。2011年9月，美國聯(lián)邦貿(mào)易委員會對COPPA提出修訂意見，經(jīng)過兩年咨詢討論，修訂法案于2013年7月1日生效[6]。

歐盟立法模式更具有綜合性和懲罰性，沒有針對兒童隱私和個人數(shù)據(jù)保護的專門立法，而是將其納入一般主體數(shù)據(jù)保護中，所有適用于一般主體數(shù)據(jù)保護的規(guī)則都適用于兒童個人數(shù)據(jù)保護。歐盟早在1995年就通過了《關(guān)于與個人數(shù)據(jù)處理相關(guān)的個人數(shù)據(jù)保護及此類數(shù)據(jù)自由流動指令》(以下簡稱《個人數(shù)據(jù)保護指令》)，由各成員國將其轉(zhuǎn)化為國內(nèi)法。歐盟于2012年著手對《個人數(shù)據(jù)保護指令》進行修訂，并于2016年通過了《通用數(shù)據(jù)保護條例》(General Data Protection Regulation)，替代《個人數(shù)據(jù)保護指令》。該條例于2018年5月25日生效，從數(shù)據(jù)控制者和處理者的責(zé)任以及數(shù)據(jù)監(jiān)管等方面重新調(diào)整了歐盟個人數(shù)據(jù)保護策略，被稱為“史上最嚴(yán)”的數(shù)據(jù)保護法案[7]。

我國在借鑒美國和歐盟立法模式和相關(guān)立法規(guī)定的基礎(chǔ)上出臺了《規(guī)定》。從《規(guī)定》的29條法律條文看，其更接近美國專門性和指導(dǎo)性的立法模式，有國外觀察者將我國《規(guī)定》稱為中國版本的COPPA[8]?！兑?guī)定》同時也借鑒了《通用數(shù)據(jù)保護條例》的相關(guān)規(guī)則。

二、《規(guī)定》對美歐立法所確立主要原則的借鑒

(一)收集和處理信息充分告知原則

美國COPPA特別關(guān)注專門針對兒童的網(wǎng)站和運營者知曉有兒童訪問的一般網(wǎng)站，確立了運營者收集和處理兒童信息必須充分告知的原則。專門針對兒童的網(wǎng)站必須向其用戶提供充分告知，說明他們從兒童訪問者那里收集了哪些信息，如何使用這些信息，以及向誰披露這些信息。充分告知的通知必須以“清晰和突出的方式”發(fā)出，如可以在網(wǎng)站主頁、專門針對兒童的網(wǎng)站特定區(qū)域或收集個人信息的任何頁面上發(fā)出[9]228。

我國《規(guī)定》同樣包含了收集和處理信息必須充分告知的原則?！兑?guī)定》第7條明確網(wǎng)絡(luò)運營者收集、存儲、使用、轉(zhuǎn)移和披露信息必須遵循正當(dāng)必要和知情同意的原則。第9條指出收集處理兒童個人信息必須充分告知兒童監(jiān)護人，征得兒童監(jiān)護人同意，充分告知的方式必須顯著、清晰。第10條、第11條、第12條、第14條進一步明確收集信息必須必要且適當(dāng)，不能超出合法合理的收集和處理目的，存儲信息不能超出合理期限；充分告知的具體內(nèi)容也應(yīng)包括收集和處理信息的目的、方式和范圍以及到期后的處理措施等。

(二)監(jiān)護人全面控制原則

監(jiān)護人全面控制原則已成為各國兒童個人信息保護的主要原則。美國COPPA要求運營者獲得兒童父母可驗證的同意后方可收集和處理兒童個人信息，父母可驗證的同意可通過任何合理的努力獲取(2)參見Code of Federal Regulations, Title 16 Section 312.2。。而且父母有審查已收集兒童個人信息的權(quán)利，網(wǎng)站必須提供一種方法供父母審查已收集的信息，并提供一種方法供父母與網(wǎng)站運營者聯(lián)系，以禁止進一步使用或維護兒童的個人信息。擁有平臺個人賬戶的兒童的父母可以訪問他們孩子的在線資料，并可隨時刪除或修改部分或全部資料[9]229。

歐盟《通用數(shù)字保護條例》第8條規(guī)定，網(wǎng)絡(luò)服務(wù)提供者如要收集或處理不滿16歲兒童的個人數(shù)據(jù)，只有在對兒童負(fù)有父母責(zé)任的人給予或授權(quán)同意的情況下，這種處理才是合法的；成員國可以設(shè)定更低的年齡界限，但不得低于13歲[10]。數(shù)據(jù)控制者在考慮到可用的技術(shù)的情況下，應(yīng)盡合理努力核實負(fù)有父母責(zé)任的人是否同意或授權(quán)[11]。

我國《規(guī)定》在第9條、第10條、第14條、第19條、第20條等條文中都有將監(jiān)護人同意或授權(quán)對兒童個人信息的收集、處理、刪除、更正納入其中，體現(xiàn)了父母等監(jiān)護人對兒童個人信息收集和處理過程的全面監(jiān)控。相對而言，我國的規(guī)定更具原則性，并未像COPPA一樣窮盡式列舉技術(shù)所支持的所有可能的授權(quán)同意方式。

(三)被遺忘權(quán)與信息更正刪除原則

歐盟個人數(shù)據(jù)保護機制下的“被遺忘權(quán)”能將已落入公共領(lǐng)域的信息拉回到私人控制的狀態(tài)，被遺忘權(quán)是指權(quán)利主體有權(quán)要求數(shù)據(jù)控制者刪除其個人數(shù)據(jù)的權(quán)利。對于已公開但隨后淡出公眾視野、被公眾遺忘的私人事實，如果未來仍有被披露而給權(quán)利人帶來危害的風(fēng)險，則這些已公開的私人事實仍能回到隱私狀態(tài)，需防止其后再次被披露?！锻ㄓ脭?shù)據(jù)保護條例》第17條將“被遺忘權(quán)”寫入其中。

我國《規(guī)定》第19條和第20條借鑒了歐盟數(shù)據(jù)保護制度中的“被遺忘權(quán)”。這兩條規(guī)定明確賦予兒童及其監(jiān)護人更正和刪除網(wǎng)絡(luò)運營者所收集、存儲、使用、披露的兒童個人信息的權(quán)利。更正的權(quán)利適用于信息錯誤的情形，刪除的權(quán)利適用于違法、違反正當(dāng)必要原則收集和處理信息以及監(jiān)護人撤回同意、注銷服務(wù)的情形。

(四)網(wǎng)站內(nèi)部操作例外與最小授權(quán)原則

COPPA規(guī)定，有運營者為內(nèi)部維護網(wǎng)站或網(wǎng)絡(luò)服務(wù)目的而向提供技術(shù)支持的人披露兒童個人信息的例外。究其根本，這一規(guī)定實際賦予維護網(wǎng)站運營的相關(guān)工作人員訪問運營者收集的兒童個人信息的權(quán)利。美國立法將這一規(guī)定稱為網(wǎng)站內(nèi)部操作例外(internal operation exception)，因為運營者向相關(guān)工作人員披露個人信息被視為披露信息的例外。COPPA要求這一例外僅適用于提供網(wǎng)絡(luò)服務(wù)所必需的有限情形，即在最小范圍內(nèi)授權(quán)相關(guān)工作人員獲取個人信息。

最小授權(quán)原則被首次納入我國個人信息保護的法律文件中，體現(xiàn)于《規(guī)定》第15條?！兑?guī)定》要求網(wǎng)絡(luò)運營者在授權(quán)其工作人員訪問個人信息時，應(yīng)嚴(yán)格設(shè)定訪問權(quán)限，控制個人信息知悉范圍，只讓最小量的必須知曉個人信息的工作人員進行訪問。

(五)行業(yè)自律原則

行業(yè)自律原則是美國隱私保護所鼓勵和支持的一大原則，即讓行業(yè)聯(lián)盟或網(wǎng)絡(luò)運營者自發(fā)采用行業(yè)自律政策為網(wǎng)絡(luò)隱私提供保護，以彌補立法總是滯后于現(xiàn)實狀況的不足。這一原則在COPPA中又被稱為“避風(fēng)港計劃”(safe harbor program)。避風(fēng)港計劃鼓勵行業(yè)自律，允許經(jīng)批準(zhǔn)的行業(yè)成員根據(jù)自己的合規(guī)指南創(chuàng)建自己履行COPPA義務(wù)的監(jiān)督計劃，避風(fēng)港計劃對其成員的信息保護實踐進行年度全面審查，并向聯(lián)邦貿(mào)易委員會提交年度審查結(jié)果報告[9]230。

我國《規(guī)定》借鑒美國隱私保護的行業(yè)自律原則，在《規(guī)定》第6條提及鼓勵互聯(lián)網(wǎng)行業(yè)組織指導(dǎo)推動網(wǎng)絡(luò)運營者制定兒童個人信息保護的行業(yè)規(guī)范、行為準(zhǔn)則等，加強行業(yè)自律。第8條強調(diào)網(wǎng)絡(luò)運營者應(yīng)設(shè)置專門的兒童個人信息保護規(guī)則和用戶協(xié)議，并指定專人負(fù)責(zé)兒童個人信息保護。專人是指參照境外互聯(lián)網(wǎng)公司的做法，設(shè)立“首席隱私官”全面負(fù)責(zé)兒童個人信息保護[4]62。

三、美國COPPA新一輪修訂征求建議及啟示

美國聯(lián)邦貿(mào)易委員會于2019年7月25日啟動對COPPA的第二次修訂，以確保該COPPA能跟上自2013年修訂以來所發(fā)生的市場、技術(shù)和商業(yè)模式變化。聯(lián)邦貿(mào)易委員會在《聯(lián)邦公報》上發(fā)布征求公開建議的公告，敦促公眾于2019年10月23日前提交建議[12]。據(jù)統(tǒng)計，聯(lián)邦貿(mào)易委員會已收到超過17.5萬份建議[8]。本文參考了能從公開渠道獲取的兩份建議，歸納總結(jié)出COPPA第二次修訂中可能出現(xiàn)的變化。這兩份建議一份來自于英國一家旨在推動青少年隱私權(quán)益保護的基金會(5Rights Foundation)，一份來自于美國普林斯頓大學(xué)信息技術(shù)政策中心(Center for Information Technology Policy)。鑒于我國《規(guī)定》主要借鑒COPPA制定，本文主要探討COPPA第二次修訂可能出現(xiàn)的變化及對我國進一步完善《規(guī)定》的啟示。

(一)調(diào)整年齡段限制

COPPA只保護13歲以下兒童的網(wǎng)絡(luò)隱私。建議提出額外的、比較靈活的保護應(yīng)延伸至13至17歲的青少年。聯(lián)邦貿(mào)易委員會在2012年的一份報告中就已在考慮讓社交網(wǎng)絡(luò)平臺為青少年增加隱私保護默認(rèn)設(shè)置，雖然青少年可能規(guī)避這些設(shè)置，但這些設(shè)置可被視為有效的減速帶，讓青少年更好地思考分享個人信息帶來的影響[13]。于2020年生效的美國2018年《加利福尼亞州消費者隱私法》已針對兒童和青少年采用隱私保護的“雙層模式”(two-tier model)。該法規(guī)定，企業(yè)實際知道消費者不滿16歲的，不得出售消費者的個人信息，但是，13至16歲的消費者或者不滿13歲的消費者的父母或監(jiān)護人明確同意出售消費者個人信息的除外(3)參見California Consumer Privacy Act of 2018, Section 1798.120(c)。。對16歲以下的未成年人，加州法律采取了經(jīng)主體明示授權(quán)同意后方可采集利用個人信息的“opt-in”模式，而對16歲以上的人采取信息披露后允許主體退出信息披露的“opt-out”模式[14]。

我國《規(guī)定》保護主體是14歲以下的兒童，采用了與COPPA近似的“一刀切”年齡段限制。采用一刀切還是個體化的年齡限制一直是各國針對未成年人個人信息保護立法時的糾結(jié)之處，這源于賦權(quán)還是保護以及取平均年齡還是看個體差異這兩類困境[3]84-85。未成年人身心發(fā)展尚不成熟，仍需依賴成年人進行身心照顧，因此需要對未成年人給予特別保護。但同時隨著年齡和知識閱歷的不斷增長，青少年相較于兒童對社會的關(guān)注度和理解力更趨于成熟，需要通過網(wǎng)絡(luò)等技術(shù)工具獲取知識、發(fā)表看法、自我決策和參與社會。此外，同一年齡段的未成年人由于其先天智力和后天成長環(huán)境的不同，可能出現(xiàn)個體間成熟度的差異。因此，需要對未成年人個人信息予以特別保護，但又需針對不同成熟度的兒童和青少年給予差異化保護，這增加了立法的難度。對每個兒童和青少年進行個性化的能力測試會極大加重網(wǎng)絡(luò)運營者的成本和負(fù)擔(dān)，在目前的技術(shù)環(huán)境下不易實現(xiàn)。以年齡段進行劃分側(cè)重考察某一年齡段兒童或青少年的平均能力，有其可取之處。我國《未成年人保護法》保護的未成年人為18歲以下，而《規(guī)定》保護個人信息的主體卻限制在14歲以下，忽略了14至17歲青少年的個人信息保護?？煽紤]采用《加利福尼亞州消費者隱私法》所選擇的雙層模式，對未成年人的個人信息保護延伸至14至17歲的青少年，采用相較于14歲以下兒童更靈活的保護方式。

(二)增加透明度審查

建議提出COPPA面臨的一個主要挑戰(zhàn)是，外部觀察員(例如父母、研究者、記者或宣傳團體)很難理解網(wǎng)絡(luò)運營者是如何決定遵守COPPA的[15-16]。需要遵守COPPA的是其服務(wù)專門針對兒童的網(wǎng)絡(luò)運營者或知曉其用戶中有兒童但用戶年齡混合的一般網(wǎng)絡(luò)運營者。如果服務(wù)是專門針對兒童的，在收集用戶信息之前，運營者必須確保已獲得了可驗證的父母同意。如果用戶是混合年齡，則運營者必須確保未經(jīng)父母同意，不會收集13歲以下用戶的信息。決定網(wǎng)絡(luò)服務(wù)是否專門針對兒童，需要綜合考慮諸多因素，包括其主題、視覺內(nèi)容、動畫人物的使用或兒童導(dǎo)向的活動和激勵、音樂或其他音頻內(nèi)容、示范人物的年齡、兒童名人或吸引兒童的名人的出現(xiàn)、語言或網(wǎng)站的其他特點，以及廣告宣傳是否針對兒童(4)參見Code of Federal Regulations, Title 16 Section 312.2。。如果是混合年齡用戶的網(wǎng)絡(luò)運營者試圖收集用戶信息，則可以選擇設(shè)置“年齡門”(age gate)，以確保不會收集未成年用戶信息。“年齡門”是一種要求用戶以年齡中立的方式提供年齡或出生日期的機制。

建議提出應(yīng)修訂COPPA，要求運營者選擇更加開放、以便于外部審查的系統(tǒng)設(shè)計。具體而言，不管運營者是否認(rèn)為其服務(wù)專門針對兒童，聯(lián)邦貿(mào)易委員會都應(yīng)要求運營者以機器可讀的格式披露其系統(tǒng)設(shè)計，以使研究者或父母可以檢查運營者保護兒童隱私的具體方案。如果運營者設(shè)置了“年齡門”作為確定其服務(wù)不是專門針對兒童，那么運營者必須公開發(fā)布“年齡門”的操作說明，以及采取了哪些步驟來驗證13歲以下的兒童無法規(guī)避“年齡門”。聯(lián)邦貿(mào)易委員會可通過一些方式讓iOS或Android等平臺在篩選用戶和驗證年齡方面發(fā)揮更有效的作用[15-16]。

我國《規(guī)定》未像COPPA一樣區(qū)分專門針對兒童的網(wǎng)站和面向混合年齡用戶的網(wǎng)站，《規(guī)定》第3條指出其適用于所有在我國境內(nèi)通過網(wǎng)絡(luò)收集和處理兒童個人信息的網(wǎng)絡(luò)運營者，但《規(guī)定》卻未要求網(wǎng)絡(luò)運營者告知公眾其如何知曉和判定其收集和處理的個人信息屬于14歲以下的兒童。隨著人工智能算法在網(wǎng)站運行中的運用，算法黑箱和算法偏見讓兒童及其監(jiān)護人更無從知曉運營者如何保護其網(wǎng)絡(luò)個人信息。算法黑箱和算法偏見已成為智能算法發(fā)展中不可忽視的問題，算法提供了聚類或預(yù)測結(jié)果，卻不能解釋這些結(jié)果是如何形成的，錯誤、不準(zhǔn)確、有偏見的輸入數(shù)據(jù)導(dǎo)致了錯誤的輸出結(jié)果。誠如倡導(dǎo)全球在線公民自由和人權(quán)的非政府機構(gòu)民主與技術(shù)中心(Center for Democracy and Technology)所提及的，設(shè)計易于審計的算法系統(tǒng)增加了算法可靠性，審計對于系統(tǒng)化且長期檢測不公平結(jié)果是必要的[17]。因此，我國《規(guī)定》也應(yīng)考慮要求網(wǎng)絡(luò)運營者采用易于外部審查和審計的系統(tǒng)保護兒童個人信息，為審查和審計需要，必要時應(yīng)披露其系統(tǒng)運行方案，以供兒童監(jiān)護人或研究者查驗。

(三)明確“實際知曉”和“個人信息”的定義

COPPA區(qū)分了專門針對兒童提供服務(wù)的網(wǎng)絡(luò)運營者和面向混合年齡用戶的網(wǎng)絡(luò)運營者。面向混合年齡用戶的網(wǎng)絡(luò)運營者只有在實際知曉用戶中有13歲以下兒童時才需遵守COPPA，但COPPA卻未給予“實際知曉”確切定義。為規(guī)避實際知曉，網(wǎng)絡(luò)運營者可能只收集寬泛的年齡段數(shù)據(jù)，如詢問注冊者是否18歲以下、18至35歲、35歲以上等[18]。為了確保網(wǎng)絡(luò)運營者不會忽視眾多兒童已使用其服務(wù)，建議提出COPPA應(yīng)采用“故意失明”(wilfully blind)理論以定義“實際知曉”[14]?！肮室馐鳌崩碚撌侵柑峁┮环N將知曉歸因于一方當(dāng)事人的方法，該方當(dāng)事人已對某些事項產(chǎn)生強烈懷疑，但為了避免這些懷疑被證實而不對懷疑事項進行調(diào)查。該理論旨在推翻通過故意避免實際知曉而讓自身免除刑事責(zé)任的企圖(5)參見R.v.Briscoe, 2008 ABCA 327(CanLII), Paragraph 19。?！肮室馐鳌崩碚撘驯?018年《加利福尼亞州消費者隱私法》采納，該法規(guī)定，故意無視消費者年齡的企業(yè)應(yīng)被視為實際了解消費者年齡(6)參見California Consumer Privacy Act of 2018, Section 1798.120(c)。。

我國《規(guī)定》并未通過識別網(wǎng)絡(luò)運營者的主觀意識來明確其是否應(yīng)遵循《規(guī)定》，《規(guī)定》采取了無過錯歸責(zé)原則，只要網(wǎng)站收集處理了兒童個人信息，無論網(wǎng)絡(luò)運營者是否知曉，均應(yīng)遵守《規(guī)定》。只有通過計算機系統(tǒng)自動留存處理信息且無法識別該信息屬于兒童個人信息的，才不適用《規(guī)定》(7)參見《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》第28條。。這無疑會加重網(wǎng)絡(luò)運營者維護系統(tǒng)的成本和負(fù)擔(dān)，導(dǎo)致所有網(wǎng)絡(luò)運營者無論其是否收集和處理了兒童個人信息都需按照可能收集兒童個人信息的狀態(tài)執(zhí)行《規(guī)定》條款。因此，有必要明確網(wǎng)絡(luò)運營者的責(zé)任追究采用過錯歸責(zé)原則，只有當(dāng)網(wǎng)絡(luò)運營者實際知曉其收集和處理的信息中存在兒童個人信息時才需遵守《規(guī)定》，故意無視用戶年齡應(yīng)被視為實際知曉用戶年齡。

COPPA以詳細(xì)列舉的方式定義“個人信息”，包括姓名、住址、在線聯(lián)系信息、網(wǎng)絡(luò)用戶名、電話號碼、身份證號、能在不同時間和網(wǎng)站識別出用戶身份的永久性識別符號、照片或音視頻、定位信息等(8)參見Code of Federal Regulations, Title 16 Section 312.2。。聯(lián)邦貿(mào)易委員會在進行新一輪COPPA修訂時考慮在對“個人信息”的定義中，是否應(yīng)包括從兒童身上推斷而非直接收集的個人信息。建議認(rèn)為個人信息應(yīng)當(dāng)包含推斷信息，推斷信息占兒童所有信息的很大一部分，推斷過程意味著看似平凡或無害的數(shù)據(jù)可以用來對高度個人敏感信息做出令人驚訝的準(zhǔn)確預(yù)測，對這些信息的處理可以使兒童受到與處理直接收集信息相同的影響[14]。

我國《規(guī)定》未明確定義個人信息，但在《網(wǎng)絡(luò)安全法》中將個人信息定義為以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息(9)參見《網(wǎng)絡(luò)安全法》第76條第(5)項。。因此，從《網(wǎng)絡(luò)安全法》非窮盡式立法模式來看，我國網(wǎng)絡(luò)運營者所收集和處理的包含兒童個人信息在內(nèi)的各項個人信息也應(yīng)包括能識別個人身份的推斷信息。

(四)注意教育技術(shù)帶來的變化

教育技術(shù)的發(fā)展使越來越多的學(xué)校和家庭采用網(wǎng)絡(luò)運營者提供的教育技術(shù)服務(wù)。例如，有課堂管理應(yīng)用程序LanSchool17、支持學(xué)校家庭聯(lián)系的技術(shù)Seesaw18、成績管理技術(shù)Schoology19、幫助兒童學(xué)習(xí)技能的程序Dreambox20、跟蹤學(xué)生行為和改善紀(jì)律的軟件BRIM22等[15-16]?？紤]到日益增長的教育技術(shù)服務(wù)市場需求，聯(lián)邦貿(mào)易委員會在新一輪COPPA修訂中考慮是否有必要規(guī)定父母同意的例外規(guī)定，為學(xué)校提供教育技術(shù)服務(wù)的運營者為更好地促進學(xué)校教育(即“教育目的”)，在收集和處理兒童個人信息時，學(xué)?？梢源鷮W(xué)生父母做出授權(quán)同意，而無需一一征求父母意見。

建議提出，聯(lián)邦貿(mào)易委員會在考慮父母同意的具體例外之前，應(yīng)研究教育技術(shù)在學(xué)校教育中的使用情況，認(rèn)真做到以下幾方面：首先，應(yīng)以無障礙方式告知父母，教育技術(shù)提供者收集了關(guān)于其子女的哪些信息，如何使用這些信息，誰有權(quán)訪問這些信息，以及這些信息保留多長時間，父母也應(yīng)有權(quán)要求刪除其子女的信息；其次，應(yīng)指導(dǎo)學(xué)校管理者在如何選擇教育技術(shù)提供者時作出明智的決定，制定保護學(xué)生隱私的政策，并培訓(xùn)教育工作者執(zhí)行這些政策；再次，COPPA應(yīng)闡明學(xué)校管理者和教育技術(shù)提供者如何就收集、使用和維護其子女信息對父母負(fù)責(zé)；最后，聯(lián)邦貿(mào)易委員會在考慮父母同意的任何例外時，需明確界定“教育目的”的含義[15-16]以及被禁止的目的和范圍，被禁止的目的應(yīng)包括但不限于直接營銷、行為廣告以及任何與服務(wù)功能不必要的數(shù)字畫像(10)數(shù)字畫像(profiling)被歐盟《通用數(shù)據(jù)保護條例》定義為與自然人相關(guān)的某些個人情況，特別是為了分析或預(yù)測該自然人的工作表現(xiàn)、經(jīng)濟狀況、健康狀況、個人偏好、興趣、可信度、行為、位置或行蹤，而對個人數(shù)據(jù)進行的任何形式的自動化處理和利用。[3]87。

我國《規(guī)定》尚未考慮到教育技術(shù)的廣泛運用所帶來的變化。在學(xué)校使用聯(lián)網(wǎng)教學(xué)管理技術(shù)越來越普遍的情況下，可考慮在《規(guī)定》中增加監(jiān)護人全面控制兒童個人信息收集和處理的例外，例如，可允許學(xué)校代為授權(quán)同意教育技術(shù)提供者為更好促進學(xué)校教育的目的收集和處理學(xué)生個人信息，無需經(jīng)過學(xué)生父母同意。但需對何為促進學(xué)校教育目的進行明確規(guī)定，并且嚴(yán)格將父母同意的例外限制在為提升教育技術(shù)服務(wù)的目的上，排除其他商業(yè)性目的。如有可能，應(yīng)將收集到的學(xué)生個人信息匿名化處理，防止學(xué)生身份被識別。