場景完整性理論在兒童數(shù)據(jù)保護監(jiān)管中的應(yīng)用
——以英國《適齡準(zhǔn)則》和美國COPPA為例

高 奇 劉慶帥

（對外經(jīng)濟貿(mào)易大學(xué)法學(xué)院，北京 100029；中國人民大學(xué)社會學(xué)理論與方法研究中心，北京 100872）

在數(shù)字化浪潮中，兒童網(wǎng)絡(luò)用戶規(guī)模日益龐大，對于兒童進行專門性的數(shù)據(jù)保護日益成為一項全球性議題。從隱私理論的演進歷程來看，以海倫·尼森鮑姆（Helen Nissenbaum）的場景完整性理論（Contextual Integrity Theory）為代表的觀點，逐漸拋棄以單一要素作為隱私的完整定義，轉(zhuǎn)向了一種基于場景的個性化規(guī)范框架，并在域外立法上有所反映［1］。2019年，美國《兒童在線隱私保護法》（Children's Online Privacy Protection Act，以下簡稱COPPA）啟動第二次修訂。2020年，英國信息專員辦公室（ICO）發(fā)布《網(wǎng)絡(luò)服務(wù)適齡設(shè)計實踐守則》（Age Appropriate Design:a Code of Practice for online Services，以下簡稱《適齡守則》），作為全球首部專門針對兒童網(wǎng)絡(luò)服務(wù)進行適齡設(shè)計的規(guī)范標(biāo)準(zhǔn)，將于2021年9月生效［2］。上述立法動態(tài)與理論前沿相契合，為兒童數(shù)據(jù)保護帶來了新的評價視角。

鑒于此，本文將從兒童的特殊性出發(fā)，探討大數(shù)據(jù)時代保護兒童數(shù)據(jù)的現(xiàn)實必要性，以海倫·尼森鮑姆的“場景完整性”理論為視角，對兒童數(shù)據(jù)保護的海外監(jiān)管理論趨勢和最新立法進行評析，以期為我國兒童數(shù)據(jù)保護規(guī)范提供借鑒。

一、場景完整性理論的內(nèi)涵與路徑構(gòu)建

基于對英國《適齡準(zhǔn)則》和美國COPPA的觀察可以發(fā)現(xiàn)，各國政府均已重新審視傳統(tǒng)數(shù)據(jù)保護規(guī)則，試圖在知情同意的基礎(chǔ)上建立適應(yīng)兒童特征的、與網(wǎng)絡(luò)化邏輯組態(tài)的數(shù)據(jù)保護規(guī)則體系。場景完整性理論能夠有效地闡釋其規(guī)則的內(nèi)在邏輯，在此理解基礎(chǔ)上建構(gòu)的規(guī)則正成為一種可行的治理路徑。

（一）場景完整性理論的內(nèi)涵

“場景”一詞基于海倫·尼森鮑姆的“場景完整性”理論，影響用戶對于隱私敏感程度或接受程度的因素被稱為“場景”（context）。個人信息的傳播與利用無法擺脫信息主體以及政治、經(jīng)濟、文化等具體場景因素的影響，保護個人信息就是保護該信息傳播的完整性不受破壞，確保信息合理流動［3］。該理論認(rèn)為，在收集個人數(shù)據(jù)時，對于數(shù)據(jù)和隱私權(quán)的保護，應(yīng)轉(zhuǎn)向一種以場景為導(dǎo)向的動態(tài)的、多元的體系，數(shù)據(jù)收集以及后期的傳播利用不應(yīng)超出原定場景設(shè)想。該理論界定了：場景的意義，何謂個人信息的合理使用，何謂不合理使用等，這些在不同場合不盡相同，需要根據(jù)具體場景進行具體考慮。兒童作為特殊數(shù)據(jù)主體，本身就是場景的體現(xiàn)。

不同的場景決定了不同的信息流動規(guī)范和評價要素。影響場景完整性的因素包括三個方面：信息主體（actor）、信息類型（information type）和傳播原則（transmission principle）①關(guān)于場景理論的具體模型，參見Barth A,Datta A,Mitchell J C,et al.Privacy and Contextual Integrity:Framework and Applications.IEEE,2006.。其中，信息主體是指信息傳播中的行為主體，包括信息的發(fā)送者、傳播者、接收者、使用者等，不同主體在不同的場景下被賦予不同的角色，享有不同的權(quán)利和義務(wù)。信息類型是指信息的屬性、特質(zhì)與劃分。敏感信息的界定需要置于場景之中，并不存在一種普適性、一般性的劃分標(biāo)準(zhǔn)。傳播原則是指信息在不同場景流動過程中的約束性規(guī)范，常見原則包括控制性原則、當(dāng)事人同意、禁止信息向公眾領(lǐng)域擴散等。

該理論認(rèn)為，信息流動需要遵守特定場景下的流動規(guī)范，如果這些規(guī)范中的某一環(huán)節(jié)被違反，便破壞了場景完整性，會產(chǎn)生隱私風(fēng)險。風(fēng)險產(chǎn)生后，需要分析用戶對于風(fēng)險或者損害的接受程度，降低損害或風(fēng)險直至用戶可接受的程度，這在歐盟《通用數(shù)據(jù)保護條例》（GDPR）中被稱為數(shù)據(jù)保護影響評估（DPIA）。場景不同，風(fēng)險不同，《適齡守則》將隱私風(fēng)險界定為：“任何重大潛在的物質(zhì)的、身體的、心理的和社會層面的傷害”。由此可見，違反場景要素導(dǎo)致的風(fēng)險的含義十分寬泛。

在上述原則上，判斷數(shù)據(jù)保護是否符合當(dāng)事人預(yù)期、是否合理方面需要考察以下方面：一是確認(rèn)數(shù)據(jù)從誰流向誰；二是界定數(shù)據(jù)的類型；三是數(shù)據(jù)傳播的約束性規(guī)范。主體、類型和傳播原則這三項影響因素，雖然基于傳播學(xué)理論提出，卻與法律關(guān)系的主體、客體、內(nèi)容不謀而合，二者具有高度一致性。信息主體即法律關(guān)系主體是法律關(guān)系的參加者，信息類型則是權(quán)利和義務(wù)所指向的對象，是法律關(guān)系的客體。傳播原則是主體在一定條件下所享有的權(quán)利和承擔(dān)的義務(wù)，是法律關(guān)系的內(nèi)容。因此，借由“場景完整性”理論討論數(shù)據(jù)的法律保護，既符合法律關(guān)系的三要素，也與傳播學(xué)理論相契合，內(nèi)在邏輯具備一致性。當(dāng)實然的信息傳播情形與應(yīng)然的傳播要素不一致時，就突破了保護隱私的預(yù)期設(shè)想，也就破壞了場景的完整性。從這個角度去衡量數(shù)據(jù)保護法律關(guān)系的主體、客體和內(nèi)容，許多問題便迎刃而解。

（二）英美改革法案中以“場景”為導(dǎo)向的路徑構(gòu)建

場景的理念并非一蹴而就。在2015年美國《消費者隱私權(quán)法》（草案）中，“尊重場景”（Respect for Context）作為單獨的章節(jié)出現(xiàn)，被賦予了法律意義，信息控制和透明度都要求依據(jù)具體場景進行［4］。2018年，GDPR也將場景作為一種導(dǎo)向，搭建起了場景完整性規(guī)則。如第22條“數(shù)據(jù)控制者義務(wù)”規(guī)定，機構(gòu)應(yīng)設(shè)定在職場、個人或家庭目的下利用，并根據(jù)其個人信息處理行為的性質(zhì)、范圍、場景、目的而承擔(dān)相應(yīng)責(zé)任。

《適齡守則》中凸顯以場景為核心的構(gòu)架，對處理兒童信息的規(guī)定進行細(xì)化、澄清?！斑m齡化”一詞的理論根源便基于“場景”。該標(biāo)準(zhǔn)從歐盟與英國的數(shù)據(jù)保護法規(guī)入手，介紹了網(wǎng)絡(luò)服務(wù)提供者和監(jiān)護人在其中扮演的角色，重點規(guī)定了15條兒童適齡的網(wǎng)絡(luò)服務(wù)設(shè)計標(biāo)準(zhǔn)，意圖在于為兒童在線隱私與安全提供指引。其中規(guī)定，“ICO必須考慮兒童在不同的年齡階段有不同的需求這一事實”“尊重兒童不斷提高的做出選擇的能力”。其中涉及場景化的規(guī)定包括：（1）機構(gòu)在進行數(shù)據(jù)活動處理之前，應(yīng)在早期進行數(shù)據(jù)保護影響評估，具體包括“向兒童和父母咨詢、評估必要原則和比例原則、確定降低風(fēng)險的措施”。（2）適齡應(yīng)用。機構(gòu)采用基于風(fēng)險的進路來識別用戶的年齡，在數(shù)據(jù)處理中專門針對兒童的權(quán)利和自由建立相應(yīng)水平的保護舉措。（3）透明度要求。針對不同年齡段的兒童，應(yīng)提供多重選擇。（4）家長控制。若服務(wù)提供家長控制的功能，則應(yīng)提供與兒童年齡相適宜的提示信息等?！哆m齡守則》通過上述場景化規(guī)定，為兒童數(shù)據(jù)保護建立了以場景為基礎(chǔ)、以數(shù)據(jù)評估為手段，通過區(qū)分細(xì)化不同的數(shù)字年齡、監(jiān)護人職責(zé)、透明度要求進行風(fēng)險控制的兒童數(shù)據(jù)保護體系，擺脫了以成年人和未成年人二元劃分的兒童數(shù)據(jù)保護構(gòu)架。

除上述立法外，早在1998年，美國便出臺了《兒童在線隱私保護法》，為13歲以下的未成年人數(shù)據(jù)保護提供了指導(dǎo)說明和監(jiān)管規(guī)則，2003年該法案第一次修訂生效。2019年美國聯(lián)邦貿(mào)易委員會啟動了對該法的第二次修訂，并公開征求意見，以確保該法能夠滿足活躍的市場技術(shù)變化。根據(jù)公開獲取的資料，建議中提到的主要完善內(nèi)容包括：調(diào)整年齡限制，采取靈活的年齡設(shè)置；增加透明度審查，機構(gòu)需采取更加開放、便于外部審查的算法設(shè)計；注意教育技術(shù)帶來的發(fā)展變化，學(xué)校可以代為父母做出授權(quán)等［5］。以上修改均可納入場景的概念進行解釋。

綜上所述，場景完整性理論轉(zhuǎn)變了傳統(tǒng)兒童數(shù)據(jù)保護中二元論的固化思維，認(rèn)識到信息從一個主體流向另外一個主體時諸多要素均對兒童的隱私期待產(chǎn)生影響。在未來，基于場景理論的兒童數(shù)據(jù)保護監(jiān)管構(gòu)造，將為兒童隱私保護提供一個更加有效的理論支撐。

二、兒童作為特殊數(shù)據(jù)保護主體的原因及困境

（一）兒童成為特殊數(shù)據(jù)保護主體的原因

1.主體特殊性與數(shù)據(jù)持久性的二律背反

根據(jù)隱私控制理論，隱私是個人享有的決定自己何時、以何種方式以及在何種程度上披露自身信息不受干擾的權(quán)利［6］?！秲和瘷?quán)利公約》第16條規(guī)定，兒童的隱私、家庭、住宅或通信不受任意或非法干涉，其榮譽和名譽不受非法攻擊。無論是從理論還是從公約層面，在數(shù)字化時代與網(wǎng)絡(luò)環(huán)境下，對于個人信息的控制權(quán)由成年人享有，兒童也應(yīng)當(dāng)享有。但是，由于自身認(rèn)知能力的欠缺，兒童普遍具有上網(wǎng)意愿強烈、上網(wǎng)方式熟悉、安全意識缺乏的特征，極易陷入“以隱私換便利”的錯誤認(rèn)知中。兒童的監(jiān)護人也可能對兒童信息保護造成負(fù)面影響，例如，許多父母在社交平臺經(jīng)?！皶裢蕖?，就泄露了兒童的面部信息。兒童自身及其監(jiān)護人對網(wǎng)絡(luò)如何影響兒童的人格聲譽以及未來發(fā)展尚未產(chǎn)生深刻認(rèn)識。

網(wǎng)絡(luò)中的信息數(shù)據(jù)所具有的持久性的特點，將對兒童的未來發(fā)展造成潛在危險。如聯(lián)合國兒童基金會研究中心倫理顧問Gabrielle Berman所說：“從兒童身上收集的網(wǎng)絡(luò)數(shù)據(jù)可能在未來不確定的時刻，被網(wǎng)絡(luò)服務(wù)提供者用不確定的算法用于不確定的客服端，以創(chuàng)建兒童所不知道的數(shù)字身份”［7］。面對兒童不經(jīng)理性思考而存留下來的網(wǎng)絡(luò)數(shù)據(jù)，如果無法有效刪除，則容易導(dǎo)致未成年人的數(shù)字身份失控。

2.行業(yè)自律缺失的治理黑洞

互聯(lián)網(wǎng)企業(yè)對于自身的約束能夠在保障兒童隱私、打擊侵權(quán)行為上發(fā)揮直接而重要的作用。遺憾的是，互聯(lián)網(wǎng)產(chǎn)業(yè)創(chuàng)新重于規(guī)范，漠視數(shù)據(jù)安全，追求便利與利益，僅依靠自身規(guī)范，監(jiān)管效果十分有限。以抖音為例，下載并注冊抖音賬號時，并未出現(xiàn)單獨的未成年人用戶協(xié)議，未成年人相關(guān)條款隱藏在《用戶服務(wù)協(xié)議》中。注冊抖音賬號時，僅需手機號碼與驗證碼，沒有年齡提醒以及單獨的未成年人用戶服務(wù)協(xié)議或隱私政策，注冊之后彈出可自行設(shè)置的青少年模式，但該模式存在程序化傾向，用戶點擊“好的”之后即可直接使用該程序。通過推定監(jiān)護人同意的模式，未成年人使用抖音服務(wù)不存在任何障礙，這實際上剝奪了監(jiān)護人的拒絕權(quán)。在程序上雖然滿足了告知與授權(quán)的兩個步驟，但監(jiān)護人難以獲得實際的監(jiān)護權(quán)。

3.損害結(jié)果多元的彌散風(fēng)險

網(wǎng)絡(luò)服務(wù)提供者收集到的數(shù)據(jù)，一方面可以供自身使用，另一方面可以轉(zhuǎn)移或者出售給其他網(wǎng)絡(luò)服務(wù)提供者。隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展，智能產(chǎn)品層出不窮，損害不僅局限于財產(chǎn)安全，甚至可能通過跟蹤、監(jiān)視行為威脅人身安全。2018年5月，IOS平臺青少年手機監(jiān)控應(yīng)用程序TeenSafe服務(wù)器發(fā)生泄漏，由于Apple.ID以及郵箱地址和密碼沒有加密設(shè)置，因此，黑客訪問其服務(wù)器后直接訪問兒童個人數(shù)據(jù)［8］。2020年，知名兒童游戲Animal Jam的制作公司W(wǎng)ildWorks同樣發(fā)生了數(shù)據(jù)泄露事件，4600萬條記錄泄露，內(nèi)容包括用戶名、密碼、性別、出生年份等［9］。

比數(shù)據(jù)泄露損害更為嚴(yán)重的是數(shù)據(jù)濫用。國際計算機研究所2018年的研究報告顯示，活躍在市場上的過半Android應(yīng)用，涉嫌違反了COPPA［10］。大量兒童隱私數(shù)據(jù)已經(jīng)在暗網(wǎng)（dark web）上被非法販賣。犯罪分子可以將不同的兒童數(shù)據(jù)信息進行拼湊，通過創(chuàng)建數(shù)字合成身份（synthetic identities）進行詐騙、申請貸款或辦理信用卡等活動。在我國，利用網(wǎng)絡(luò)收集個人信息，然后出售、牟利，日益形成了一條隱秘且完整的產(chǎn)業(yè)鏈，利用職務(wù)便利非法獲取、買賣兒童個人信息獲刑的公開報道屢見不鮮［11］。

（二）兒童數(shù)據(jù)保護傳統(tǒng)規(guī)則下的困境

傳統(tǒng)規(guī)則下，對于兒童的數(shù)據(jù)保護是基于知情和同意構(gòu)架的［12］。機構(gòu)在收集兒童數(shù)據(jù)之前，需要告知兒童或者監(jiān)護人對于數(shù)據(jù)的處理情況。一般的表現(xiàn)形式是發(fā)布用戶協(xié)議或隱私聲明，由兒童自身或監(jiān)護人同意作為對個人數(shù)據(jù)收集和利用的合法授權(quán)。然而，在這種知情同意以及監(jiān)護人控制的傳統(tǒng)框架下，能否對兒童產(chǎn)生實質(zhì)保護存在疑問。

1.兒童的數(shù)據(jù)保護需要通過衡量成熟度來決定賦予兒童何種自我決策的權(quán)利

《兒童權(quán)利公約》第12條規(guī)定，“締約國應(yīng)確保有主見能力的兒童有權(quán)對影響到其本人的一切事項自由發(fā)表自己的意見，對兒童的意見應(yīng)按照其年齡和成熟程度給予適當(dāng)?shù)目创?。”對兒童成熟程度進行劃分的標(biāo)準(zhǔn)分為兩種：一種是較為常見的年齡標(biāo)準(zhǔn)，采取這種方式，能夠得出是或否的明顯結(jié)論，執(zhí)行起來更為容易。但兒童還受外在環(huán)境、自身條件等差異的影響，一刀切會忽視兒童的個性化發(fā)展程度。另外一種方式是在理想狀態(tài)下，依據(jù)每個兒童的成熟度以及相應(yīng)的網(wǎng)絡(luò)環(huán)境進行個性化評估。以個體為單位的個性化評估雖然理想，但在當(dāng)前技術(shù)和成本條件下并不現(xiàn)實［13］。

2.在成熟度劃分基礎(chǔ)上對權(quán)利和義務(wù)的設(shè)定更為重要

一方面，兒童隨著自身成長，依賴成年人并被照顧的需求不斷降低，國家以及監(jiān)護人的干預(yù)理應(yīng)降低；另一方面，兒童包括言論自由和表達自由在內(nèi)的自我決策的權(quán)利應(yīng)當(dāng)被相應(yīng)賦予，這種關(guān)系被一些學(xué)者稱為賦權(quán)和保護（Empowerment vs protection）［14］，二者存在緊張關(guān)系。在區(qū)分不同成熟程度的前提下，如何賦予兒童相應(yīng)權(quán)利，又避免過度保護，成為一大問題。

3.知情同意機制為兒童用戶及其監(jiān)護人帶來沉重負(fù)擔(dān)

個人信息流轉(zhuǎn)的復(fù)雜性與隱私聲明的簡單易懂之間產(chǎn)生了矛盾。個人信息在存儲后以何種方式得到利用和存儲往往難以預(yù)料，機構(gòu)為了合規(guī)要求，需列出冗長復(fù)雜、晦澀難懂的隱私說明，給用戶帶來了沉重的理解負(fù)擔(dān)。有研究表明，如果用戶將一年中所使用的網(wǎng)絡(luò)服務(wù)用戶協(xié)議聲明全部閱讀完畢，需要花費244小時［15］。正如學(xué)者Susan Landau所言，隱私聲明遠非為人類使用而設(shè)計［16］。因此，現(xiàn)實中大多數(shù)用戶，無論是成年人還是兒童，均直接點擊同意，忽視隱私協(xié)議內(nèi)容，被迫接受同意，告知和同意淪為形式。

事實上，在互聯(lián)網(wǎng)時代，兒童數(shù)據(jù)的特殊性保護問題尚未得到解決。而隨著大數(shù)據(jù)時代的到來、物聯(lián)網(wǎng)技術(shù)的發(fā)展，監(jiān)護人知情同意的傳統(tǒng)保護方式已經(jīng)無法為兒童提供切實有效的保護手段，需要擴展新的理論與方法。

三、場景完整性理論闡釋下的兒童數(shù)據(jù)保護新理念

基于前述英美改革法案中以場景為導(dǎo)向的路徑構(gòu)建，筆者從信息主體、信息類型以及傳播原則出發(fā)，對英國《適齡守則》和美國COPPA涉及場景完整性的亮點進行逐一闡釋。

（一）信息主體的場景化：細(xì)分?jǐn)?shù)字年齡

1.細(xì)分?jǐn)?shù)字年齡的必要性

如上文所述，對兒童成熟度進行劃分的方法有兩種，一種是年齡，一種是個性化評估?；谀挲g進行劃分是目前的主流規(guī)定，達到年齡界限的兒童視為具有能力處理個人數(shù)據(jù)，未達到年齡界限的兒童需要父母給予同意或者拒絕。至于年齡的確定標(biāo)準(zhǔn)，各國法律中并沒有作出解釋，“一刀切”的模式顯得過于隨意，也缺乏實證數(shù)據(jù)支持。以美國為例，為何選取13歲作為標(biāo)準(zhǔn)，一種觀點認(rèn)為，英語數(shù)字中對于child（兒童）的界定是12周歲，超過13周歲的不再是child，而是teenager（青少年）。還有一種觀點認(rèn)為，這與美國電影分級制度一致，其中PG13為特別輔導(dǎo)級，建議13歲以上兒童觀看，而NC.17級是屬于17歲以下禁止觀看的影片［17］。

設(shè)定明確年齡界限，對于兒童自身來說也存在一定問題。受生長環(huán)境和能力差異的影響，不同年齡的兒童自我參與和決策的能力存在差異，“一刀切”將限制一部分成熟度較高的兒童的參與權(quán)，忽略了兒童的個性化發(fā)展。另外，兒童年齡的劃分沒有考慮到隱私風(fēng)險的差異，例如，兒童開設(shè)社交媒體賬戶，需要父母同意，而使用電子郵件則未必需要獲得父母同意［18］。單純的年齡劃分缺乏對場景以及風(fēng)險的區(qū)分。

2.細(xì)分?jǐn)?shù)字年齡的途徑

盡管有學(xué)者指出，兒童個性化評估將會增加網(wǎng)絡(luò)服務(wù)提供者和監(jiān)管者的負(fù)擔(dān)，但并不構(gòu)成阻礙場景化監(jiān)管的有力理由。例如，在電影和游戲分級中，兒童年齡劃分更為詳細(xì)。在我國《游戲適齡提示草案》中，依據(jù)用戶的生理特征、認(rèn)知能力、道德水平等，將其年齡劃分為18歲、16歲、12歲、6歲四個階段，6歲以下兒童需要在家長陪同下才可以接觸游戲，6－11歲的兒童不提倡在游戲中過度社交，12－15歲以及16－17歲的青少年，有必要進行針對性關(guān)注等［19］。歐洲非政府組織兒童在線安全聯(lián)盟（eNACSO）也認(rèn)同以個體為單位的評估在當(dāng)前技術(shù)條件下并不可行，但這不妨礙對兒童年齡進行細(xì)分，設(shè)立不同的父母同意方式［20］。

因此，在信息主體場景化中，兒童作為特殊保護群體僅是第一層次劃分，需在這一基礎(chǔ)上繼續(xù)進行場景化，對數(shù)字年齡進行詳細(xì)劃分。立法者有必要對年齡跨度和相應(yīng)的心理狀態(tài)、生理狀態(tài)、行為特性進行詳細(xì)的測試。《適齡守則》中，將兒童分為0－5歲學(xué)齡前期、6－9歲學(xué)齡初期、10－12歲過渡期、13－15歲青少年初期以及16－17歲即將成年期。不同年齡段的兒童被賦予不同的自我決策權(quán)，取代了傳統(tǒng)單一劃分?！哆m齡守則》同時規(guī)定了年齡的驗證方式，包括：自我聲明，人工智能，第三方年齡驗證，賬戶持有人確認(rèn)，權(quán)威標(biāo)識符，設(shè)置鏈接跳轉(zhuǎn)至官方身份認(rèn)證頁面，如填寫護照信息等方式等①參見：Age appropriate design:a code of practice for online services：3.Age appropriate application.，以上方式均具有借鑒意義。

（二）信息類型的場景化：著重高風(fēng)險信息

1.劃分信息類型的必要性

目前，兒童使用網(wǎng)絡(luò)的監(jiān)護人同意方式可以分為三類：一類以我國國內(nèi)微信、抖音在內(nèi)的軟件為代表，為推定監(jiān)護人同意模式。一類是簡單的可驗證同意方式，如Facebook要求依據(jù)信用卡、借記卡或其他需要身份驗證的在線支付系統(tǒng)，確認(rèn)表示“同意”的人為有資格申請信用卡、借記卡的成年人。最后一類是復(fù)雜的可驗證同意方式，可由家長簽署郵寄知情同意書并返回給網(wǎng)絡(luò)服務(wù)提供者。監(jiān)護人同意盡管存在著不同的驗證模式，但由于缺乏場景化的理念，產(chǎn)生了諸多爭議。歐盟GDPR第35條對涉及個人信息的數(shù)據(jù)進行了分類②參見Art.35 GDPR Data protection impact assessment.，區(qū)分了高風(fēng)險信息與低風(fēng)險信息，對于低風(fēng)險的數(shù)據(jù)處理行為，豁免了部分規(guī)定，而對可能引發(fā)高風(fēng)險的行為設(shè)定了附加義務(wù)。兒童數(shù)據(jù)作為高風(fēng)險數(shù)據(jù)被要求進行影響評估，但對于不同的評估結(jié)果應(yīng)如何處理，卻未提出明確要求。這導(dǎo)致各種類型的網(wǎng)絡(luò)服務(wù)都需要得到監(jiān)護人同意，范圍十分廣泛，易產(chǎn)生疲勞［21］，使得監(jiān)護流于形式。另一方面，監(jiān)護人同意不符合比例原則，在有的嚴(yán)格同意方式中，設(shè)置了家長提供身份證件的要求，作為一項敏感個人信息，是否有必要在監(jiān)護人同意中提供身份證件，值得進一步討論。

美國的法律中并沒有將所有的網(wǎng)絡(luò)行為都納入監(jiān)護人同意范疇，而且基于風(fēng)險不同劃分了不同信息類型，規(guī)定了不同級別的監(jiān)護人同意［22］。沒有互動或者數(shù)據(jù)不需要傳播共享的行為產(chǎn)生的數(shù)據(jù)被視為低風(fēng)險，使用時無須得到監(jiān)護人同意。如果網(wǎng)絡(luò)服務(wù)提供商僅在內(nèi)部使用數(shù)據(jù)，并不向第三方披露和公開時，可以采用較為寬松的監(jiān)護人同意形式，如向父母發(fā)送電子郵件獲得回復(fù)后，視為獲取監(jiān)護人同意。而對于涉及敏感信息的網(wǎng)絡(luò)服務(wù)，必須要獲得最為嚴(yán)格的監(jiān)護人同意，如涉及兒童面部信息、身份識別號碼或者數(shù)據(jù)需要向第三方提供時，可以采用電話或者視頻的方式獲得父母的當(dāng)面授權(quán)，或者采用電子方式填寫詳細(xì)的同意書。

基于信息類型的不同，設(shè)置差異化的監(jiān)護人同意方式，在一定程度上解決了同意疲勞的問題。COPPA在新一輪修訂中，提出了明確的監(jiān)護人同意例外，如涉及教育目的的網(wǎng)絡(luò)服務(wù)提供商在處理兒童信息時，學(xué)?？梢源娓改高M行統(tǒng)一的同意表示，而不需要監(jiān)護人個體作出回應(yīng)。監(jiān)護人具有知情權(quán)，學(xué)校應(yīng)將兒童數(shù)據(jù)如何獲取、如何使用、如何處理等及時告知監(jiān)護人，代替監(jiān)護人對未成年人的信息負(fù)責(zé)；還需明確界定教育目的的含義，禁止不必要的數(shù)字畫像、營銷和廣告服務(wù)等。

2.劃分信息類型的途徑

對于兒童數(shù)據(jù)類型劃分最大的困難來源于個人信息與非個人信息、敏感信息與普通信息的二分法局限。個人信息的范圍并沒有一個抽象概括的精準(zhǔn)界定，需要高度依存數(shù)據(jù)所在的場景。以監(jiān)護人同意的標(biāo)準(zhǔn)為例，以信息類型為指引，重點針對容易引發(fā)高風(fēng)險的信息進行規(guī)制，可以成為一種有效方式。兒童數(shù)據(jù)如用于構(gòu)建圖像或者對兒童作出不利決定，需要為監(jiān)護人提供相應(yīng)的控制機制，網(wǎng)絡(luò)服務(wù)提供商也應(yīng)根據(jù)風(fēng)險評估等級設(shè)計監(jiān)護人控制機制。當(dāng)風(fēng)險級別為低級時，可以考慮采取推定監(jiān)護人同意模式，甚至豁免監(jiān)護人的同意；當(dāng)風(fēng)險評估等級為中級時，可以采取簡易方式獲取監(jiān)護人同意并告知監(jiān)護人風(fēng)險；對于高風(fēng)險信息，則應(yīng)當(dāng)進行重點規(guī)制，初始披露中以較為復(fù)雜的方式獲得監(jiān)護人的控制。除此之外，機構(gòu)也應(yīng)當(dāng)向監(jiān)護人進行即時披露，增強告知機制，并且主動采取措施降低風(fēng)險。

對信息類型進行場景化劃分，區(qū)分中高低風(fēng)險，必不可少的就是數(shù)據(jù)保護影響評估（DPIA）。數(shù)據(jù)保護影響評估作為評估隱私風(fēng)險的流程與工具，在國際社會上已經(jīng)獲得了普遍認(rèn)同與實踐。歐盟GDPR將風(fēng)險程度劃分為高中低三種級別，機構(gòu)可結(jié)合自身行業(yè)自行確定具體劃分方式。在《適齡守則》中，也有著明確的數(shù)據(jù)保護影響評估規(guī)定，要求機構(gòu)根據(jù)不同的年齡能力和發(fā)展需求進行風(fēng)險評估，堅持必要原則和比例原則，識別和評估風(fēng)險，并采取降低風(fēng)險的措施。作為一種已經(jīng)成熟的隱私評估工具，與場景化完整性理念一致，在個案中對風(fēng)險進行評估，既有助于為機構(gòu)提供明確的指引，也可為機構(gòu)結(jié)合自身行業(yè)采取靈活調(diào)試的標(biāo)準(zhǔn)留出柔性緩沖的空間。

（三）傳播原則的場景化：透明度要求

傳播原則是指信息在不同場景流動過程中所具有的約束性規(guī)范。讓兒童及其監(jiān)護人理解用戶協(xié)議和隱私政策的內(nèi)涵具有特殊的意義。通過增加透明度，有助于增強用戶的安全感和信任度，提升機構(gòu)處理兒童數(shù)據(jù)的接受度，實現(xiàn)信息價值的最大利用與開發(fā)。GDPR第58條也指出，應(yīng)以兒童易理解的簡潔語言向兒童提供信息。但在實踐中，由于缺乏場景化理念，如何落實透明度成為棘手問題。例如，在收集14歲以下兒童信息時需要獲得監(jiān)護人同意，此時，用戶協(xié)議和隱私政策的讀者是監(jiān)護人而非兒童，那么是否有必要針對兒童再設(shè)置一份簡潔易懂的用戶協(xié)議呢？簡潔易懂是要讓兒童易懂，還是讓監(jiān)護人易懂？年齡較小的兒童由于認(rèn)知能力較差，用戶協(xié)議和隱私聲明中對于數(shù)字畫像、精準(zhǔn)營銷、數(shù)據(jù)處理和使用的規(guī)定無論如何簡潔易懂，兒童都可能無法充分認(rèn)知和理解，此時應(yīng)如何落實透明度規(guī)則？在傳統(tǒng)機制無法解決上述問題的情況下，簡潔易懂的要求已經(jīng)逐漸淪為一種形式，兒童既不閱讀也不理解其內(nèi)涵。

在場景化理念下應(yīng)當(dāng)以場景導(dǎo)向提升信息處理的透明度?！哆m齡守則》充分認(rèn)識到此局限，強化了告知義務(wù)的要求，規(guī)定了實現(xiàn)透明度的“合理性”標(biāo)準(zhǔn)?！哆m齡守則》規(guī)定，向用戶提供的隱私條款以及其他公開條款、政策和社區(qū)標(biāo)準(zhǔn)，應(yīng)當(dāng)風(fēng)格簡潔、語言清晰和適宜兒童閱讀理解，特定情形下應(yīng)及時特別提示。在具體規(guī)則上，對于監(jiān)護人，守則要求機構(gòu)根據(jù)GDPR第13條和14條向家長提供適合閱讀的完整信息。對于兒童則區(qū)分年齡段：對于0－5歲的學(xué)齡前兒童，需向其提供音頻視頻，告知禁止與允許的行為；對于6－9歲的學(xué)齡初期兒童，需向其提供卡通片、音頻和視頻，簡單解釋服務(wù)中涉及的隱私概念、默認(rèn)設(shè)置、誰可以看到以及如何操作；對于10－12歲過渡期兒童，須向其提供書面或音頻和視頻，提供簡單信息和詳細(xì)信息選項。當(dāng)試圖改變默認(rèn)設(shè)置時，通過視頻音頻告知后果；對于13－15歲青少年初期的兒童，需向其提供書面或音頻和視頻，提供簡單信息和詳細(xì)信息選項。當(dāng)試圖改變默認(rèn)設(shè)置時，通過視頻音頻告知后果，可提示他們可向父母尋求幫助；而對于16－17歲即將成年的少年，則應(yīng)向其提供書面或音頻和視頻，提供簡單信息和詳細(xì)信息選項。當(dāng)試圖改變默認(rèn)設(shè)置后，可提供書面、視頻和音頻告知其風(fēng)險與后果，提示可向成年人或其他信息可信來源處查詢。

《適齡守則》上述方案有效完善了兒童透明度規(guī)則。首先，規(guī)則解決了透明度是針對兒童還是監(jiān)護人這一問題，規(guī)定了對于監(jiān)護人和兒童雙重的透明度要求。對于監(jiān)護人要求提供完整的信息，對于兒童則根據(jù)不同年齡段提供符合年齡的簡潔易懂的信息。其次，規(guī)則試圖去保障年齡較小、理解能力較差的兒童的知情權(quán)。規(guī)則并不要求兒童理解個人信息保護和數(shù)據(jù)使用等規(guī)則，而是試圖以動畫的形式簡單解釋相關(guān)行為，這對于兒童的權(quán)利意識培養(yǎng)和法律普及有益無害。最后，隨著兒童年齡的增大，用戶協(xié)議和隱私要求不斷完善，并逐步與成年人要求相符。設(shè)置不同區(qū)間的透明度規(guī)則雖然會增加網(wǎng)絡(luò)服務(wù)提供商的負(fù)擔(dān)，但有利于兒童利益的提升，無疑可有效覆蓋實施成本，具有正外部性。

四、啟示

近年來，我國在立法上也認(rèn)識到了兒童作為特殊數(shù)據(jù)主體的必要性。2019年《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》出臺，成為首個兒童數(shù)據(jù)保護的專門性立法。2021年生效的《民法典》專章設(shè)置了隱私權(quán)和個人信息保護。《未成年人保護法》2020年最新修訂版將網(wǎng)絡(luò)保護作為六種保護方式之一進行列明。此外，多項國家標(biāo)準(zhǔn)也對未成年人的數(shù)據(jù)保護進行了單獨規(guī)定，已經(jīng)初步構(gòu)建起了兒童數(shù)據(jù)保護體系。從場景完整性的解釋路徑出發(fā)，我國有必要通過隱私理論和法學(xué)要素的連接，將兒童數(shù)據(jù)保護置于場景完整性的框架內(nèi)進行闡釋。

首先，兒童需要依據(jù)年齡差異享有不同的權(quán)利與義務(wù)。依據(jù)《未成年人保護法》，網(wǎng)絡(luò)保護的對象年齡上限設(shè)定為18周歲，監(jiān)護人同意年齡設(shè)定為14周歲。而《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》則將保護主體以及監(jiān)護人的同意年齡均設(shè)定為14周歲。《數(shù)據(jù)安全管理辦法》（征求意見稿）第12條規(guī)定，收集14周歲以下未成年人個人信息的，應(yīng)當(dāng)征得其監(jiān)護人同意。可見，我國對于兒童數(shù)字年齡的劃分是14歲和18周歲，存在兩個區(qū)間，未成年人均可獲得特殊的網(wǎng)絡(luò)保護，14周歲以下需獲得監(jiān)護人同意。相比于《適齡守則》，我國的年齡劃分相對單一?！睹穹ǖ洹返?9條規(guī)定，兒童可以獨立實施與其年齡、智力相符合的或者純獲利益的民事行為。那么在網(wǎng)絡(luò)世界中，與其行為年齡和智力相適應(yīng)的或者純獲利益的活動，是否可以豁免監(jiān)護人同意呢？

對于上述問題，我國可以在實證調(diào)研的基礎(chǔ)上科學(xué)劃分年齡段。結(jié)合我國現(xiàn)有規(guī)定，可以將兒童數(shù)字年齡劃分從2個區(qū)間增加至4個區(qū)間，即學(xué)齡前8周歲、過渡期14周歲、青少年初期16周歲以及18周歲階段，并可采用自我聲明、人工智能、第三方年齡驗證、賬戶持有人確認(rèn)等方式確認(rèn)兒童年齡，并在細(xì)分?jǐn)?shù)字年齡基礎(chǔ)上，確定不同的信息傳播規(guī)范。

其次，場景完整性理論要求對信息屬性、信息特質(zhì)的界定須在特定場景中進行?！秲和瘋€人信息網(wǎng)絡(luò)保護規(guī)定》第9條規(guī)定，網(wǎng)絡(luò)運營者收集、使用、轉(zhuǎn)移、披露兒童個人信息的，應(yīng)當(dāng)征得兒童監(jiān)護人的同意?！段闯赡瓯Ｗo法》第12條規(guī)定，處理不滿14周歲未成年人個人信息的，應(yīng)當(dāng)征得未成年人的父母或者其他監(jiān)護人同意，但法律、行政法規(guī)另有規(guī)定的除外。前者立法與歐盟GDPR和美國COPPA一致，而后者立法在前者的基礎(chǔ)上，增加了“法律、行政法規(guī)另有規(guī)定的除外”。實踐中還是采取了一刀切的監(jiān)護人同意模式。建議借鑒美國COPPA中的監(jiān)護人規(guī)則，建立基于不同場景下差異化的父母同意方式，進行數(shù)據(jù)影響安全評估，涉及高風(fēng)險信息的，如與第三方合作處理兒童數(shù)據(jù)的，簽訂協(xié)議明確雙方處理事項、處理目的、處理范圍后，必須獲取監(jiān)護人的明示同意，并可設(shè)置較為復(fù)雜的同意方式。而對于低風(fēng)險場景下的信息，可以在規(guī)范中明確監(jiān)護人同意的例外，即明確“法律、行政法規(guī)另有規(guī)定”的范圍包括哪些。比較典型的就是考慮以學(xué)校教育為目的收集處理學(xué)生信息，可以直接默認(rèn)同意，無需獲得監(jiān)護人同意。但同時也應(yīng)在立法中明確教育為目的范圍，禁止采取的行為、父母與學(xué)校責(zé)任的劃分等。

最后，傳播原則中要對透明度有所要求。在我國，監(jiān)護人同意模式主要是推定同意，《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》中，對于兒童的個人信息保護規(guī)則和用戶協(xié)議，僅要求指定專人負(fù)責(zé)（參見第8條），相比于征求意見稿，刪除了應(yīng)當(dāng)簡潔易懂的要求（參見《兒童個人信息網(wǎng)絡(luò)保護規(guī)定（征求意見稿）》第5條），這無疑減輕了網(wǎng)絡(luò)服務(wù)提供商的工作量，但是正因如此，推定同意模式下透明度要求便顯得尤為重要。與監(jiān)護人同意權(quán)的落實一樣，網(wǎng)絡(luò)服務(wù)提供者需要開發(fā)一套簡潔易懂的規(guī)定，對于簡潔易懂的定性，建議借鑒《適齡守則》并結(jié)合我國具體實際情況，通過音頻、視頻、書面等方式告知兒童相應(yīng)操作。