■ 汪 靖 符梦婷

(同济大学 艺术与传媒学院，上海 200092)

2019年2月27日，美国联邦贸易委员会(Federal Trade Commission，以下简称FTC)宣布，被调查企业musical.ly(即TikTok运营商)因违反美国《儿童网络隐私保护法》(Children’s Online Privacy Protection Act of 1998，COPPA)，罚款570万美元。这是该机构在儿童网络隐私案件中做出的迄今为止最大的民事罚款[1]。

上述案件再次提出了儿童网络隐私保护的问题。美国是世界上较早意识到儿童网络隐私和数据安全问题的严峻性，并通过立法形式对儿童网络隐私加以保护的国家。到2018年为止，美国《儿童网络隐私保护法》已通过20年，在其发展过程中形成了比较完善的隐私保护体系，取得了丰富的执法经验。本文试图总结美国儿童网络隐私保护法律制度的有益经验及其局限，为我国企业和立法机构提出针对性的建议。

一、美国《儿童网络隐私保护法》的起源与立法背景

《儿童网络隐私保护法》是美国首部有关儿童网络隐私保护的联邦法律。总的来说，有两个驱动因素：社会背景和法律因素，这两大因素在将儿童作为特殊数据主体专门立法保护方面起到了重要作用。

(一)社会背景

20世纪90年代初的美国，网站对儿童网络用户个人信息的大肆收集引发了新闻媒体的报道和广泛的社会关注。美国有线电视新闻网(CNN)于1995年12月14日报道：“没有任何法律可以阻止一个陌生人拨打900号码并获取有关您孩子的信息。事实上，直到几个星期以前，R.Donnelley的一家子公司就提供了这样的服务。”[2]网站从儿童那里收集其个人或家庭信息的做法受到严厉抨击，因为“幼儿无法理解揭露其个人信息的潜在影响; 他们也不能区分网站上的事实性材料和围绕四周的广告”[3]。

为了解决日益增长的儿童在线隐私问题，FTC在1998年举办了公共论坛，并对一千四百多家热门网站进行了调查，调查结果堪忧。FTC建议国会在儿童网络隐私领域专门立法，让父母可以控制从儿童那里收集和使用个人信息的行为。作为回应，美国国会于1998年10月21日通过了《儿童网络隐私保护法》，并授权FTC在该法案颁布后一年内颁布实施该章程的细则。1999年10月20日，FTC颁布了《儿童网络隐私保护法》的实施细则，并于2000年4月21日正式生效。

(二)法律因素

为了全方位的保障儿童网络权益，美国政府制定了一系列相关法案，但是这些关于内容管制的法案也时常面临合宪性的争议。从1996-2000年，美国国会先后通过了5个关于未成年人网络保护的法案，其中3个被判违宪。1996年2月通过的《传播净化法》(CDA)，在1997年“雷诺诉自由联盟案”中被最高法院宣布部分违宪；同年通过的《儿童色情保护法》(CPPA)于2002年被判违宪；1998年1月国会通过的《儿童在线保护法》(COPA)仍在2009年以失败告终。从上述法案的命运可知，政府试图对网络内容加以规制的立法尝试最终几乎都在与宪法《第一修正案》所保护的言论自由价值的较量中落败。

然而，这“并不能说明互联网不需要规制，而是折射出了人们对政府过度规制互联网的担心”[4]。 对于宪法《第四修正案》所捍卫的另一种法律价值——个人隐私权的保护，却在《儿童网络隐私保护法》的顺利实施中得以确认。因此，《儿童网络隐私保护法》将规制的重点从网络内容转向网络运营商的信息收集行为，这种转向一方面回避了与言论自由价值的冲突，另一方面与保护个体隐私权的基本价值相符。

二、美国《儿童网络隐私保护法》的主要内容与重大修订

美国国会通过《儿童网络隐私保护法》的意图是限制网络运营商随意收集信息的行为，增加父母对儿童在线活动的参与，确保儿童参与在线活动时的安全。这种保护主要体现在“强化网站运营商责任”和“赋予儿童监护人权利”两个方面。

《儿童网络隐私保护法》特别关注针对儿童的网站和运营商明知其用户是儿童的一般网站。《儿童网络隐私保护法》的要求主要包括：通知、父母同意、父母审查、安全、游戏和奖品使用限制五个方面。2012年12月，为应对技术日新月异的变化，FTC自1998年《儿童网络隐私保护法》通过以来，对其进行了重大修订，主要包括以下几个方面：(1)扩大了监管范围。对“运营商” 和“针对儿童的网站或在线服务”的定义做出了修改，修订之后有更多的网站都必须遵守《儿童网络隐私保护法》。(2)扩大个人信息的范围。“个人信息”被重新定义为包括“地理信息以及儿童图像或语音的照片、视频和音频文件”，填补了原有立法的一个重大漏洞。(3)运营商被要求仅在“合理必要的时间内”保留儿童的个人信息，并且必须采取“合理的措施来防止未经授权的访问”。(4)为FTC提供了对安全港计划的更大监督权。修订之前，参与安全港计划的网站运营商仅受其自行创建和自我监管的计划约束，修订之后则要求安全港计划对其成员的信息实践进行年度全面审查，并向FTC提交年度审查结果的年度报告。(5)扩充了公司获得父母同意的方法。修订之后，公司网站可以通过电子扫描签署的父母同意书、视频会议，使用政府颁发的身份证和其他支付系统获得家长同意。企业还可以提交新的同意方案，然后由FTC进行为期120天的通知和评论过程以获得批准[5]。

三、美国《儿童网络隐私保护法》的执法情况

《儿童网络隐私保护法》的执法机构可分为联邦和州两个层面。在联邦层面，根据《联邦贸易委员会法》(以下简称《FTC法》)第5条，违反《儿童网络隐私保护法》被视为不公平或欺骗性的商业行为，FTC可对其进行民事处罚。在州层面，《儿童网络隐私保护法》授权州检察长在联邦地方法院提起诉讼，以强制网站或网络运营商遵守FTC规定并对受侵害者做出赔偿。自2000年《儿童网络隐私保护法》正式生效以来，FTC已处理过28个违反《儿童网络隐私保护法》规则的案例[6]。

(一)FTC处罚案例的违法行为类型

这些案件所涉及的法律规则主要是FTC的《儿童网络隐私保护法》规则及《FTC法》第5条。

第一，FTC的《儿童网络隐私保护法》规则要求：(1)充分通知；(2)直接通知家长；(3)取得可验证的父母同意；(4)建立和维护合理程序以保护从儿童处收集的个人信息的机密性、安全性和完整性；(5)提供合理方式让父母审阅儿童信息或者拒绝进一步使用儿童信息的权利；(6)不得诱导儿童参加活动并提供超过必需的个人信息。

第二，《FTC法》第5条。根据《FTC法》第5条，FTC负有禁止市场上不公平与欺诈性的商业活动的职责。如果网站或在线服务的运营商违背了上述《儿童网络隐私保护法》规则，或者实际做法与其公布的隐私政策中的承诺不一致，就会被认为提供了“虚假和误导性的隐私政策”，违反了《FTC法》第5条的规定。

本文对FTC提起的28个案例的起诉书(Complaints)作了内容分析(见下页表1)。

第一，几乎所有的案例都涉及违反《儿童网络隐私保护法》规则中的“充分通知”(92.9%)、“直接通知父母”(92.9%)和“父母同意”(96.4%)要求，并且这三种违法行为通常是同时发生。以2014年FTC诉在线评论网站Yelp Inc.案为例，FTC指控称，Yelp虽然在其网站上提供了年龄筛选机制，但却没有为其新的移动应用程序(APP)开发同样的功能，导致从2009年4月到2013年4月，无论用户输入的出生日期是否表明其年龄在13岁以下，均可以在Yelp移动应用程序的IOS或Android版本注册成功；并且无论是通过Yelp应用程序还是通过Yelp网站完成注册，用户都可以获得对Yelp服务的完全访问权限，网站所设置的年龄筛选机制实际上没有任何作用[7]。

第二，违反《FTC法》第5条“禁止提供虚假和误导性的隐私政策”(67.9%)。FTC提起的第一个违反《儿童网络隐私保护法》的诉讼就是基于违背隐私政策的法律事实。Toysmart是一个主要销售玩具的网站，2000年5月，该网站宣布其因经济状况试图出售所有财产，包括详细的消费者数据库，而该数据库中包含了儿童的姓名和生日。FTC指控称，Toysmart在隐私政策中声明，“从消费者处收集的个人信息不会与第三方共享”，现在这种出售消费者数据库的做法违反了《FTC法案》第5条“公正、不欺骗”的原则[8]。

第三，“未提供合理方式让父母审阅儿童信息或者拒绝进一步使用儿童信息的权利”的案例共11起，占总数的39.3%，但从时间来看，这些案例均发生于2001-2008年。以2008年FTC诉索尼BMG案为例，索尼音乐为其旗下音乐家和演艺人员运营着一千多个音乐粉丝网站。FTC指控称，通过这些网站，索尼音乐在未经父母同意的情况下，不当收集、维护和披露了至少30 000名13岁以下儿童的个人信息。然而，索尼音乐并没有为父母提供合理的方法来审查从儿童那里收集的个人信息，或者拒绝进一步使用儿童信息[9]。

表1 FTC处罚案例的违法行为类型(n=28)

第四，“诱使儿童披露超出参与该类活动所必须的合理范围的个人信息”的案例共4起，占总数的14.3%。这4起案例均发生在2001-2002年。以2001年FTC诉Monarch Services, Inc.案为例。Monarch公司运营了一家名为Girls’Life的网站，为13岁以下儿童提供在线活动和服务。根据FTC的指控，如果儿童希望参加该网站组织的竞赛，就必须提交他们的全名、电子邮件地址等个人信息。这些内容已远远超过了儿童参加活动所必须的合理范围的个人信息。最后Monarch公司被处以3.5万美元的民事罚款。该条款后来被认为是一项“创新的条款”[10]，有效地阻止了运营商在没有明确规定的情况下诱导儿童提供更多个人信息的可能性。

第五，“未建立和维护合理程序以保护从儿童处收集的个人信息的机密性、安全性和完整性”的案例仅有2起，但其重要性却日益凸显。2018年1月，FTC指控总部位于中国香港的智能玩具制造商伟易达(VTech)及其美国子公司没有使用合理的数据安全措施来保护收集到的信息。由于这一安全缺陷，2015年11月在一次数据泄露事件中，伟易达近500万用户数据遭黑客窃取。这是FTC发起的第一个涉及智能联网玩具的案例[11]。

总体而言，网站运营商是否遵循数据处理的“通知和同意”原则，以及是否遵守“公正和不欺诈”原则一直是FTC执法的重点。《儿童网络隐私保护法》颁布初期，FTC对于“禁止以诱导式方法收集超过必需的儿童个人信息”的执法效果显著。有关“数据安全”的案例数量较少，但近年来国内外层出不穷的数据泄露事件[注]近年来全球发生多起数据泄露事件，如2015年世界最大的婚外情交友网站Ashley Madison.com 3 600万用户资料发生泄漏，2018年Facebook超过5 000万用户的数据泄露事件。显然已经引起了美国执法部门的重视。

(二)FTC处罚案例的罚款金额

如果违反《儿童网络隐私保护法》，法院可以追究运营商的法律责任，并处以民事罚款，每次违规最高的达到民事罚款41 484美元[12]。法院对民事处罚金额的评估可能会考虑到许多因素，包括违规行为的严重性、经营者是否先前违反了规则、涉及的儿童人数、收集的个人信息的数量和类型、信息被使用的方式、是否与第三方共享，以及公司的规模。本文对FTC处罚的28个案例的罚款金额作了数据统计(见表2)。

由表2可知，FTC开出的最高民事罚款为300万美元，最低仅为1万美元。2011年的Playdom案是目前为止罚款金额最高的案例。Playdom是迪士尼旗下的社交游戏公司，在2006-2010年期间运营了大约二十多个虚拟世界，涉及人数共计约1 224 000人。该网站被指控在用户注册过程中收集了儿童的年龄和电子邮件地址，但未能在收集或披露儿童个人信息之前直接通知或获得其父母的可验证同意，因此FTC对其罚款300万美元[13]。

四、美国《儿童网络隐私保护法》的争议及其对欧盟的影响

(一)《儿童网络隐私保护法》引发的争议

《儿童网络隐私保护法》自通过以来，受到了许多批评。有批评者认为，《儿童网络隐私保护法》的实际效果是阻止13岁以下儿童在大多数社交媒体平台上自由表达[14]。批评者还指出，2012年修正案对某些应用程序数量和网站的收入能力产生了不利影响。由于无法向儿童提供有针对性的广告，运营商可能会增加向儿童展示的广告数量，或者从基于广告的收入模式转向基于收费的收入模式。这将影响儿童可用的免费应用程序和网站的质量[15]。另一个常见的批评是，网站实施的年龄验证系统无法有效地保护儿童，因为儿童可能会虚报年龄来访问这些网站，许多父母甚至会帮助他们的孩子撒谎[16]。

还有一些批评者指出《儿童网络隐私保护法》对网络内容和匿名性带来的潜在影响。批评者认为，《儿童网络隐私保护法》的修订使得那些混合型网站也被纳入其监管范围，像YouTube这样的混合型网站有可能使其内容更加成熟(通过删除芝麻街频道)以避免吸引年幼的孩子，从而导致适合儿童观看的网络内容数量急剧减少。如果网站要合乎《儿童网络隐私保护法》新规，就必须对用户进行年龄筛查，但是任何要求互联网用户进行个人身份识别的行为都会因寒蝉效应而伤害言论自由[17]。甚至“父母同意”机制的有效性也遭到质疑，因为在大数据背景下，即使父母同意，也未必能对儿童进行有效的保护。有研究表明，用户仅阅读一年中使用的网络服务的隐私声明就要花费244 小时的时间，而现实中用户往往越过隐私声明直接点击同意，既不阅读更难以理解其内容，隐私声明沦为一纸空文[18]。更何况在网络语境中，为使用产品或服务，用户往往除点击同意之外并无其他选择，同意个人数据处理并不等于在复杂的网络环境中给予个人控制其个人数据的灵丹妙药。

(二)《儿童网络隐私保护法》对欧盟GDPR的影响

尽管遭到很多争议，但《儿童网络隐私保护法》却对欧盟《一般数据保护条例》以下简称(GDPR)产生了重要影响。在GDPR最初的提案中，儿童被限定为18岁以下的个人。在提案发布之前，却意外地引入了未经父母同意不能处理13岁以下儿童个人数据的条款(第8条第1款)。在后来的草案中，欧盟委员会起初将父母同意的年龄限制为13岁，但最后一刻又提高到16岁。这一变化引发了公众——特别是年轻人的愤怒。最后GDPR草案选择了一种折衷办法：将需父母同意的儿童年龄定为16岁，但允许成员国将年龄限制下调到不得低于13周岁，才得以通过[19]。

毫无疑问，GDPR对同意年龄的选择是来自于《儿童网络隐私保护法》的灵感。关于GDPR的一份影响评估报告指出：“关于13岁以下儿童在网络环境中同意的具体规则——需要父母授权——是从现行的1998年的《儿童网络隐私保护法》中得到的启发。”[20]欧盟委员会还明确承认把13岁作为现有标准[21]的理由，是因为保持现状并不需要太多的改变或者给数据控制者带来新的负担。然而，有批评者认为，欧盟立法者不应照搬美国标准，而是应该重新评估13岁的年龄门槛是否能够适应当今的网络环境并有效地减少隐私风险；是否能够适应欧洲文化和法律传统；是否符合儿童互联网使用的实证研究的结论[22]。

GDPR是一项非常严厉的立法。与《儿童网络隐私保护法》相比，GDPR要求获得父母同意的年龄门槛更高，约束的对象范围更广，赋予父母或监护人的权利更全面，企业的合规成本更高，违法所受到的处罚力度更大。严苛的隐私保护条例和高额的罚款甚至让部分企业直接退出欧洲市场[23]。

五、对我国的启示

本文回顾了美国儿童网络隐私保护机制的形成与演变，从《儿童网络隐私保护法》二十多年的发展经验来看，我们可以得到以下几点启示：

第一，《儿童网络隐私保护法》的主要成就在于限制数据控制者对于儿童个人信息的收集行为。霍夫·纳戈尔(Hoofnagle)认为，“《儿童网络隐私保护法》的真正价值在于它通过增加数据控制者的义务来限制个人数据的收集、使用和保留，而不是聚焦于父母同意的要求上。”[24]从这个意义上讲，《儿童网络隐私保护法》对于20世纪90年代随意收集儿童个人信息的网络环境起到了有效的约束作用。

第二，《儿童网络隐私保护法》在大数据环境下显得有些力度不足，更现实的做法似乎需要将责任从父母转移到数据控制者身上。法律可以通过限制数据控制者的行动来杜绝有损儿童利益的行为，而不是过于依赖家长同意来控制儿童的数据收集。蒙哥马利(Montgomery)认为一些关于儿童的数据收集——如数据画像、行为广告、跨平台追踪、地理定位等——即使有父母的授权同意，也不应被《儿童网络隐私保护法》所允许[25]。

第三，《儿童网络隐私保护法》采用共同监管的“安全港”模式值得借鉴。FTC建立了许多获取父母同意的方法，以便为业界提供明确的指引，还允许网络服务商向FTC提交新的可验证的父母同意方法。2013年12月，FTC批准使用基于知识的认证方法，即通过询问一系列挑战性问题来验证用户身份的方法。这些问题通常依赖于所谓的“钱包外”信息，即不能通过查看个人的钱包来确定、而且不是本人将很难回答的信息[26]。

基于以上对《儿童网络隐私保护法》的探讨，对我国未成年人网络保护机制的建设提出如下建议：

第一，年龄验证和父母同意机制不宜照搬照抄。从国外执法经验来看，通过年龄验证和父母同意机制严格限制儿童信息的收集，可能会产生限制儿童上网权利、增加网络运营商成本、对保护儿童隐私的实际作用有限等弊端。我国立法应以未成年人权益保护为根本出发点，兼顾未成年人网络隐私、未成年人上网权利与产业发展利益之间的平衡。我国2016年公布的《未成年人网络保护条例(送审稿)》(以下简称《条例(送审稿)》)在征得同意的方式上采取了“未成年人或监护人同意”的方式，实际上回避了父母同意的问题，可能就是出于此种考虑。

第二，重点限制或禁止网络运营商对儿童不利的数据处理行为。《条例(送审稿)》对于针对儿童的数据画像、行为定向广告、追踪儿童定位信息等未做明确规定，可以借鉴GDPR的做法，明确禁止这些可能损害儿童利益的数据处理行为。

第三，应对网络运营商施加严格管理强制其担负保护儿童数据的义务，对因安全漏洞导致数据泄漏等问题加以严惩。《条例(送审稿)》只规定应加强未成年人网上个人信息的保护，对于惩罚和补救措施未做明确规定。可以借鉴《儿童网络隐私保护法》的做法，对未采取合理措施保障数据安全的企业进行严格处罚；同时借鉴GDPR的做法，建立72小时内数据泄露通知的制度。

第四，应建立专门的数据保护机构，确保法律的实施，更好地参与国际合作。从美国经验来看，FTC在推动《儿童网络隐私保护法》的实施与执行方面扮演了重要角色。全球超过90个国家和地区都依法成立或设立了专门的个人信息保护/隐私监管机构[27]。在全球经济一体化的背景下，我国可以考虑建立专门的数据管理机构并开展相关工作。

第五，鼓励业界提出有效、可接受(从业界角度)和按部门定制的解决方案以供批准。鼓励企业开发创新、有效和隐私友好的儿童网络服务，不能因为保护儿童网络隐私就将儿童排除在网络世界的丰富资源之外。

第六，进入美国或欧盟市场的中国企业应更加谨慎地履行合规义务。尽管存在各种批评，但很明显《儿童网络隐私保护法》仍然存在，而且其实施细则已建立了一种现行标准影响了欧盟的立法。进入美国或欧盟市场的中国企业，必须更加谨慎地履行合规义务，以避免遭受巨额罚款。