安 琳

（陕西省图书馆,陕西 西安 710061）

联合国《儿童权利公约》第3条所确立的“儿童利益最大化”原则已成为世界各国制定儿童权利保护法律的共识，然而为实现利益最大化，对儿童是赋权还是保护（Empowerment versus Protection），国际社会一直争议不断［1］134。互联网和大数据时代，“赋权与保护”困境愈加凸显，成为儿童个人信息保护制度设计所面临的最大挑战［2］。一方面，个人信息保护是根植于信息自决基础上的权利保护，传统的知情同意原则对儿童和成年人同样适用；另一方面，儿童身心发展的特殊性决定了其无法拥有完全的信息自决，需要引入对其行为进行干预的保护性规定，其中最关键的就是父母或其他监护人（统一简称“监护人”）代替儿童行使知情同意权。如何更好地在保护儿童隐私安全和尊重儿童自我决策和参与的独立性这二者之间保持平衡，是政策制定者亟待思考的问题。从民法亲权和监护权理论来看，“替代决定”是儿童监护的主要范式和监护人同意规则设计的底层逻辑［3］。目前，儿童个人信息保护仍需要依赖监护人同意机制来实现。因此，在现有的互联网服务模式和政策框架下，有必要基于儿童动态发展和最大化利益保护的考量，进一步完善监护人同意规则，并就与之相关的儿童赋权和运营商责任等进行符合实践场景的制度探索，在各方利益平衡的基础上实现对儿童个人信息和隐私安全的最大化保护。

1 儿童网络信息保护与监护人同意模式的立法实践

美国和欧盟在儿童信息法律保护方面走在世界前列。美国是世界上最早关注儿童个人信息保护的国家之一，早在互联网出现之前就已经有针对儿童个人信息和隐私保护的政策实践，如1974年出台的《家庭教育权与隐私权法》（Family Educational Rights and Privacy Act）。1998 年美国国会通过《儿童网络隐私保护法》（Children's Online Privacy Protection Act，简称COPPA），与之配套的还有该法案执行机构——美国联邦贸易委员会（Federal Trade Commission，简称FTC）发布的实施细则和相关指导性文件［4］。COPPA是美国首部完整的、专门保护儿童网络信息安全的法案，其沿用了“家长同意”这一核心原则，并对网络环境下儿童个人信息收集、使用和披露行为中的运营商义务和父母权利作出了更为明确细致的规定。

2016 年，欧盟议会通过了《一般数据保护条例》（General Data Protection Regulation，简 称GDPR）。相较于欧盟1995 年《数据保护指令》，GDPR明确引入儿童数据保护，相关原则性条款分散出现在序言和正文多处，其中第8条“信息社会服务中适用儿童同意的条件”可视为GDPR 关于儿童个人数据最重要的保护性规定，该条款明确要求对儿童个人数据的处理必须以其家长的同意或授权为前提要件［5］。2020年1月，英国信息专员办公室（ICO）根据GDPR及英国《2018 年数据保护法》发布了《网络服务适龄设计实践守则》（Age appropriate design: a code of practice for online services，简称《实践守则》），要求网络服务提供者以适龄标准处理儿童数据，并且全力支持监护人在适当情况下作出最有利于儿童利益的选择，保护儿童免受网络服务可能带来的隐私与安全伤害［6］。

与欧美国家相比，我国在儿童个人信息网络保护立法方面起步较晚，近年来才逐步纳入法治轨道。2016 年通过的《中华人民共和国网络安全法》是我国首部专门规范网络空间安全的基础性法律［7］，但在个人信息保护方面，未对儿童这一特殊群体与成年人进行区分。2017 年发布的《信息安全技术个人信息安全规范》（以下简称《规范》）在5.4(d)中明确规定收集不满14 周岁未成年人的个人信息，应征得其监护人的明示同意［8］。《规范》因吸收了GDPR 的诸多经验而备受推崇，但作为国家标准其本身并不具备法律约束力。2019年10月施行的《儿童个人信息网络保护规定》（以下简称《规定》）是我国首部儿童个人信息网络保护的专门立法，其第九条规定网络运营者收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意［9］。《规定》在《规范》的基础上，确立了儿童个人信息处理各环节的监护人同意原则，并对告知方式做出了明确要求。2020年10月修订的《中华人民共和国未成年人保护法》（以下简称《未成年人保护法》）新增“网络保护”章节，第七十二条规定信息处理者通过网络处理不满十四周岁未成年人个人信息的，应当征得未成年人的监护人同意。同时该条款还对未成年人或监护人要求更正、删除未成年人个人信息的权利作出明确说明［10］。2021 年8 月最新出台的《中华人民共和国个人信息保护法》（以下简称《个保法》）将不满十四周岁未成年人个人信息全部纳入个人敏感信息以强化保护，其三十一条重申了儿童个人信息处理的监护人同意原则，并且规定处理儿童个人信息应当制定专门的个人信息处理规则［11］。《个保法》高度整合和承继了此前相关法律法规中有关儿童个人信息保护的内容，儿童个人信息网络保护的法律体系正在逐步充实和完善。

2 传统监护人同意模式的困境及成因

2.1 知情同意困境

监护人知情同意原则看似赋予个人很强的个人信息自决权，但面对网络环境下日益复杂且普遍的信息收集，监护人同意原则很容易陷入“同意困境”。一方面，目前很多信息收集者的隐私政策冗长晦涩，特别是涉及儿童的部分，在收集、披露和共享各个细节的告知更加具体和复杂。现实中大部分用户既无兴趣，也无足够时间和专业知识阅读隐私政策。“一刀切”式的同意要求将儿童个人信息保护责任过多地加诸监护人身上，很可能导致监护人“同意疲劳”，从而难以对儿童个人信息处理行为作出准确理解和判断。另一方面，目前的“告知同意”大多发生在信息收集或服务开始之前，人们在“同意”的时候无法预知未来个人信息的使用情况，因此即便监护人阅读隐私政策，也不一定明白“同意”给儿童将带来的影响，最终导致同意效果和立法目的背道而驰［1］135。

2.2 家长非理性决策

目前，保护儿童隐私的法律都是从基于“理性人”假设的家长式观点制度而制定，即家长对子女个人信息拥有独家控制权，并总是有能力就子女个人信息的收集、处理行为做出最符合儿童自身利益的决策［12］。但现实中，这个假设存在不恰当之处：一方面，家长基于监护人地位的知情同意霸权可能会造成对儿童自主权、隐私权以及自由人格发展的忽视，与此同时，过度的家长监督保护也不利于儿童锻炼探索网络世界和抵御信息侵害的能力；另一方面，家长作为儿童信息安全的守门人，很多情况下并没有给儿童提供相应保护，反而无意中成为儿童信息权益的侵犯者之一，如很多家长在社交平台上频繁分享未成年子女的日常，这种过度分享行为与儿童个人信息安全和隐私利益之间存在固有冲突。

2.3 验证手段的技术性障碍

实施在线监护人同意机制的难点之一在于如何识别监护关系并验证同意的真实有效性。GDPR 第8 条第3 款规定，信息控制者应采取合理努力并结合技术可行性以核实相关同意是否由儿童监护人作出或者授权。但GDPR 并没有进一步说明什么是“合理努力”。相比之下，COPPA 对获得家长“可验证同意”（Verifiable Parental Consent）的措施进行了详细规定（包括签署同意书、金钱交易凭证、专用电话或视频连线确认、提供政府颁发的身份证明、人脸识别等）［13］。尽管COPPA 在核实手段方面提供了诸多可参考的具体路径，但严格的验证同意目前仍无法摆脱成本高昂的困境，且容易导致过量和不必要的信息收集，从而带来新的隐私泄露风险。现有技术基础上验证措施也无法阻止儿童为逃避同意审核而衍生出的年龄谎报、证件伪造等问题。

2.4 高额的合规与执法成本

在儿童个人信息保护的实践中，严格的“一揽子同意”以及现有技术下较为可靠的验证手段（如电子签名、人工电话、面部识别等）通常需要耗费运营商大量的人力物力，高昂的合规成本可能导致两个结果：一是业界普遍违法，由此产生的高额执法成本使得大量违法网络服务逍遥法外，儿童个人信息安全威胁依旧存在。如根据COPPA 出台20 年间FTC 的执法情况来看，几乎所有案例（96.4%）都涉及违反“获得父母的可验证同意”的原则［14］，且相较于违法运营商的数量，20年内FTC所提起的28 起诉讼只占极少数；二是一些非专门针对儿童的混合型运营商直接放弃儿童市场以降低成本或规避监管，如YouTube 删除芝麻街频道以避免吸引年幼儿童，Facebook 主动禁用13 岁以下的儿童账户等［1］136。

3 完善儿童个人信息网络保护制度的建议

3.1 以场景区分为基础的监护人同意机制

以隐私场景理论著称的海伦·尼森鲍姆(Helen Nissenbaum)指出，隐私是合理的信息流通（appropriate flow of data）。保护隐私与个人信息的关键在于确保具体场景中个人信息的合理流通［15］。因此，根据不同场景制定信息使用规则的场景化保护或可作为监护人同意规定设计中较为可行的进路：变“一刀切”的严格同意机制为区分不同场景的差异同意机制，并进一步明确同意的例外规则。

3.1.1 设计差异同意机制

差异同意机制的核心是从保护儿童用户的角度，根据不同场景中的隐私风险等级设计不同的保护标准。COPPA的“同意滑尺”（sliding scale）可为差异同意机制的设计提供良好借鉴。根据COPPA 实施细则，并非所有面向儿童的网络服务都需要取得严格的监护人同意，而是针对不同隐私风险等级的网络场景采用差异化的同意方式：最低风险的网络服务无需取得父母同意，如一次性或多次回应儿童特定请求等非交互式或不共享儿童个人信息的网络服务；中度风险等级的网络服务，如对儿童信息进行非披露性的内部使用时，可以采用较为简单的“加强型电子邮件”(email plus)的验证方式；高风险等级的网络服务必须符合严格的同意机制，如向第三方披露儿童数据或儿童注册使用社交媒体时，网络服务提供者需要通过父母签署同意书、提供身份证明等方式取得验证同意［16］。基于现有技术水平和服务模式，差异同意机制在平衡“赋权与保护”及减轻运营商合规负担方面具有重要的实践价值。

3.1.2 明确同意例外规则

针对合法正当事由或特殊情形给予一定的同意例外符合信息流通的“场景性公正”，其本身并不违反知情同意原则，也不存在侵犯隐私权益行为，是儿童个人信息场景化保护的重要体现。

在立法实践中，GDPR类似的豁免条款出现在序言38 条“在直接向儿童提供保护性预防或咨询服务（preventive or counselling service）时，不必取得儿童监护人的同意。”相较而言，COPPA 的同意豁免在颗粒度方面更为细化，包括维护公共利益和儿童安全，以及企业正当的不会对儿童权益造成实质性影响的行为，如出于获得可验证同意或特定的响应儿童一次或多次请求的目的收集等［17］，为运营商合规操作提供了明确的参考路径。我国在《规定》第18条仅就披露儿童个人信息的同意例外进行了宽泛规定，未来可在立法实践中通过司法解释等形式进一步明确规定包括对儿童信息权益不会造成实质影响的正当行为和高于儿童信息权益的合法事由在内的同意例外情形。

3.2 以最大化利益保护为目的的儿童赋权性规定

儿童个人信息保护制度应特别重视相关赋权性规定的明确和完善。有别于“监护人同意”这样只针对家长的赋权（对儿童实际上是保护性规定），这里的“赋权”应同等适用于家长及儿童，从而有效平衡“赋权与保护”困境。对比COPPA，欧盟GDPR 在赋权性规定方面更胜一筹，其第三章“数据主体的权利”详细规定了知情、访问、更正、擦除、可携带、反对等诸多数据控制权，GDPR的覆盖性规定使得这些数据权利对儿童和成年人同样适用，其中的“数据透明权”“被遗忘权”等被认为特别与儿童相关，可为我国立法完善提供借鉴。

3.2.1 数据透明权——儿童信息处理告知的友好化

GDPR 在第三章首先强调务必确保交流与模式的透明性，即规定数据控制者有义务以简单易懂和便于访问的形式提供任何关于数据收集处理的相关信息。同时，GDPR特别指出在处理儿童数据时必须格外留意表述的简洁及通俗性。其目的显然是希望以儿童为目标用户的网络服务能够以儿童友好化为原则履行告知义务。根据GDPR，英国《实践守则》对面向儿童的数据透明做出了更为详细的规定［18］。运营商向用户提供的隐私条款、服务协议及其他政策，不仅要向监护人提供可读性强的完整信息，还要根据不同年龄阶段的儿童提供视频或文字，告知禁止与允许的行为，解释服务中涉及的隐私概念、默认设置以及如何保护个人信息等，同时考虑到儿童的能力差异提供隐私政策简洁和详细版本的选择项，并提示儿童可以与父母一同阅读或向父母寻求帮助。具体见表1所示。

表1 面向家长和不同年龄范围儿童的数据透明度建议

3.2.2 被遗忘权——儿童已公开信息的再隐私化

“被遗忘权”（亦称“擦除权”）是GDPR 最突出的赋权性规定。赋予作为个人信息主体的儿童以“被遗忘权”意味着儿童有机会改变自己的数字足迹，从而有利于补救儿童因心智不成熟公开私人信息或家长过度分享子女形象所造成的负面影响。我国《未成年人网络保护条例(草案征求意见稿》（以下简称《条例》第18条规定，未成年人或其监护人有权要求运营者删除、屏蔽网络空间中与其有关的未成年人个人信息［19］。《规定》第20 条对儿童或监护人行使删除权的情形作出了更为具体的规定，除了违犯法律规定和双方约定，还增加了超出目的范围、必要期限以及撤回同意等情形，可视为对儿童“被遗忘权”本土化的尝试。需注意的是，“被遗忘权”是对传统信息删除权的扩张［20］，在牵涉儿童这一特殊群体时尤为如此。为实现对儿童利益最大化的保护，未来立法实践中还需要针对“被遗忘权”在权利主体、适用范围等方面作出更加具体明确的规定，如：明确以网络行为发生时间为儿童行使被遗忘权的年龄衡量节点，赋予儿童成年后仍享有擦除年幼时所发布信息的权利；除了传统删除权的适用情形外，被遗忘权的适用范围还应包括网络上关于其自身不恰当的、会导致负面评价的信息［21］；行使被遗忘权不仅可删除由自身发布的信息，还可有条件地删除他人发布或经第三人复制转发的有关自身的特定信息等。

3.3 以技术创新和行业自律为手段的运营商责任内化

3.3.1 通过设计保护隐私——信息保护责任的“技术内嵌”

我国互联网企业应充分践行“通过设计保护隐私”（Privacy by Design，简称PbD）理念，让儿童隐私信息保护成为互联网企业默认的运行模式，而不是仅仅依靠遵守监管框架或依赖家长责任。根据PbD基本原则［22］，第一，隐私保护是主动预防和被默认设置的。如系统应采用最小化收集儿童个人身份信息和禁止数字画像、地理定位等最高级别的隐私默认设置，儿童和家长不需要变更设置即可实现最佳隐私保护。第二，隐私保护应同时兼顾信息主体和信息控制者的利益，避免零和博弈。如对儿童个人信息采用匿名化、数据脱敏等技术处理，家长不必担心儿童信息泄露的安全风险，运营者还可以进行数据分析并合理使用。第三，隐私保护贯穿端到端全生命周期。除了最小化信息收集，数据控制者还应采用加密存储、授权访问、到期自动删除等技术手段确保全过程个人信息安全。第四，隐私保护必须以用户为中心，保持开放和透明。如制定对监护人和儿童清晰友好的隐私政策，采用“隐私偏好平台”（P3P）技术让儿童和监护人自主设置隐私保护方案。

3.3.2 加强行业自律——信息保护责任的“自我调节”

在儿童个人信息网络保护方面，提高互联网行业的自律程度是更为快速有效的保护手段。《规定》第6条和《条例》意见稿第4条鼓励相关行业组织参与儿童网络保护工作，制定关于儿童个人信息网络保护的行业自律规范。政府应继续深入加强与互联网行业的合作，在儿童个人信息网络保护领域实现法律监管和行业自律双轨并行。一方面，可参考美国鼓励行业自律的“安全港”（Safe Harbor）项目，在立法中预留制度创新接口，积极引导业界制定有关儿童信息保护的行业指引和自律规范，运营者接受来自政府监管部门和行业组织的双重监督和定期审查，对符合规范的运营者颁发儿童隐私安全的行业认证标志，对侵害儿童个人信息的行为加大惩罚力度，提高违法成本。另一方面，政府鼓励行业开发创新隐私友好的儿童网络服务并积极推广采用经济、科学技术手段和经营模式的企业优秀实践经验，促使业界在履行儿童个人信息保护义务的同时最大限度降低合规与执法成本。

3.4 以儿童信息安全和隐私保护为重点的网络素养教育

我国《条例》意见稿第14、15条规定，未成年人的监护人应当提高网络素养，教育、引导、监督未成年人正确使用网络；中小学校应当将网络安全教育纳入课程，并鼓励中小学以校外课堂的方式对监护人进行指导。这是我国首次尝试将未成年人和家长的网络素养教育提升以法条形式纳入未成年人网络权益保障范畴，由此可见儿童及其监护人的网络素养对于保护儿童个人信息安全的重要意义。随着低龄群体触网比例不断加大，教育部门应加强与网络安全、信息化等相关部门的合作，在基础教育中加大网络素养教育比重，并将在线隐私素养融入数字素养教育，教授儿童有关个人信息保护的基本知识和防范个人隐私泄露的方法，特别是使用在线教育、社交和娱乐平台时，能够主动与家长保持沟通并学会谨慎或避免分享敏感信息、不侵犯他人隐私等。

4 对我国公共图书馆儿童个人信息网络保护的启示

互联网和大数据时代，我国公共图书馆线上少儿服务持续深入推进，但儿童隐私保护问题长期以来未得到充分重视，儿童用户正成为隐私泄露的高风险人群。根据前述完善儿童个人信息网络保护制度的建议，我国公共图书馆应在充分借鉴国内外相关立法和实践经验的基础上，探索儿童个人信息网络保护的图书馆治理模式。

4.1 制定图书馆儿童隐私政策或相关条款

目前，我国已制定隐私政策或相关条款的省级以上公共图书馆中，只有内蒙古图书馆隐私政策笼统规定未成年人应在监护人监护、指导并获得监护人同意情况下使用图书馆网站及相关服务，其他图书馆隐私政策均未提及儿童个人信息保护事项。根据《个保法》和《规定》中有关公开个人信息处理规则的要求，我国公共图书馆应重视制定儿童隐私政策或条款，并基于使用场景区分和儿童利益最大化保护原则作出细化规定，以平衡儿童个人信息保护与赋权的矛盾。具体而言应重点关注以下事项。

4.1.1 基于场景区分和差异化同意的儿童个人信息处理规则

图书馆隐私政策应根据不同服务或使用场景对儿童个人信息处理明确差异化的监护人同意规定。一方面，儿童在图书馆网站注册账户、提交个人信息以参与图书馆线上活动、图书馆自身或与第三方合作为儿童提供网络服务等需要收集或公开儿童个人信息的情形，图书馆需要通过电话、电子邮件、提供身份证明等技术可行的方式取得监护人有效验证同意，未经监护人同意所收集的儿童个人信息应当及时删除。另一方面，明确儿童个人信息处理的监护人同意例外情形：一是重大利益情形，如为维护公共利益和儿童人身安全；二是低风险服务情形，如儿童使用简单在线咨询等无需收集个人信息的网络服务；三是合理使用情形，如利用匿名汇总后的儿童借阅信息、活动参与信息等改善图书馆服务且不会对儿童权益造成实质性影响的正当行为。

4.1.2 基于利益最大化保护的儿童权利事项

《规定》和《未成年人保护法》均明确规定儿童或监护人享有更正、删除儿童个人信息的权利。《个保法》更是以专章形式对个人信息处理所享有的权利作出了具体规定。与个人信息处理相关的权利事项是儿童隐私政策的重要内容，图书馆隐私政策应对儿童赋权性规定作出明确具体的说明。如规定在儿童用户使用图书馆网络服务期间，监护人或子女有权在身份核验后对儿童个人信息进行访问、更正、删除、撤回同意、注销账户等操作。出于儿童利益最大化保护的需要，图书馆应按照《个保法》和《规定》的要求对儿童及监护人行使删除权的情形作出进一步规定，如：图书馆超出必要目的或期限处理儿童个人信息；监护人撤回同意；儿童或其监护人通过账号注销等方式终止使用图书馆网络服务等。目前，我国法律没有设立专门的“被遗忘权”，有关删除权的规定也并没有针对儿童群体的特殊性而扩大删除力度。图书馆可借鉴国外立法经验，就儿童行使删除权的适用范围等现有法律细化和完善问题组织调研和讨论，积极向国家立法层面建言献策。

4.2 重视优化隐私政策透明度

基于家庭参与和告知友好原则，图书馆儿童隐私政策应格外留意表述的简洁和通俗，以鼓励监护人和子女共同关注图书馆儿童隐私保护事项，以增强儿童及家长的隐私保护意识，并有助于他们在充分理解和协商的基础上作出更为理性的判断和选择。我国公共图书馆可借鉴英国《实践守则》的经验，除了向监护人提供简洁、清晰、易读的完整隐私政策外，还应充分考虑儿童的认知特点，以动画视频或漫画等趣味生动的形式对个人信息的概念、图书馆收集个人信息的内容和方式、如何对个人信息进行自我管理和保护等重点内容进行简要说明，并将面向普通公众与儿童的不同版本隐私政策置于图书馆网站显著位置，鼓励儿童与父母一起关注和阅读。此外，图书馆网站可通过在不同场景下灵活运用完整隐私政策、增强式通知、即时提示等多种形式实现个人信息保护事项的告知，将政策披露模式从单一的、一次性的静态披露转变为基于场景的、持续性的动态披露。监护人即使不浏览常规隐私政策，也能在作出具体授权同意前了解特定图书馆服务所涉及的儿童个人信息处理行为，从而强化监护人对儿童个人信息在不同场景和各处理环节的控制力。

4.3 强化图书馆的信息安全责任

根据《个保法》规定，不满十四周岁未成年人个人信息属于敏感个人信息，适用最严格的保护措施。作为儿童个人信息收集和使用者，图书馆应重视采用管理和技术方面的措施，强化自身在信息安全方面的能力和责任。在技术方面，应根据PbD 原则将儿童隐私保护植入技术应用，从源头上强化儿童个人信息安全。如：图书馆网站默认最小化收集儿童个人信息并默认禁止基于儿童个人信息的数字画像、信息推送等个性化图书馆服务；对合理使用的儿童个人信息应采取匿名化处理的技术手段；利用加密、分类存储、授权访问、到期自动删除等技术确保儿童个人信息处理各环节的安全性。在管理方面，除了制定完整详实的隐私政策外，服务覆盖面广、服务人数较多的省级以上公共图书馆可考虑设置个人信息保护专岗，负责对个人信息处理活动以及采取的保护措施等进行监督，并建立授权访问制度、个人信息安全影响评估制度等内部管理制度，加强对包括儿童个人信息在内的个人敏感信息的安全管理。

4.4 建立儿童个人信息网络保护行业自律体系

行业自律是规范图书馆管理、保护用户隐私的有效途径。首先，图书馆学（协）会应依据《个保法》《规定》及其他相关法律法规，牵头制定图书馆行业儿童个人信息网络保护的相关指导性文件，如图书馆儿童隐私保护声明、隐私政策制定指南等，为各个公共图书馆制定具体的儿童个人信息保护政策提供指导。其次，提供图书馆儿童隐私保护检查清单和优秀实践范例等实用性资源，辅助指导公共图书馆创新开展隐私友好型儿童在线服务。最后，开展儿童个人信息网络保护认证、考核和评估工作，借鉴互联网行业的个人信息保护认证标准和实践经验，制定具有图书馆行业特点的儿童个人信息网络保护认证规范，对通过认证的图书馆网站许可使用保护认证标志。将儿童个人信息网络保护工作纳入图书馆考评指标体系中，通过考核和评估促使各公共图书馆重视儿童的隐私权。

4.5 开展针对儿童和家长的隐私保护教育

公共图书馆作为承担社会教育职能的重要机构，有责任、有能力通过提供指导和教育来提升儿童及其家庭的隐私保护意识和技能。一方面，图书馆可强化与外部专家的合作，结合不同年龄阶段儿童的特点，共同设计开发具有指导意义的儿童在线隐私保护课程体系，并面向家庭提供课程资源、馆藏专题书目推介等配套资源［23］，鼓励家长和儿童自觉学习发掘保护个人隐私的方法，以不断提高家长和儿童的个人信息安全意识和应对网络隐私威胁的能力。另一方面，图书馆可以定期举办安全隐私日、科技周等有关儿童个人信息保护的主题活动，向家长和儿童宣传普及在线隐私保护的必要性，提升儿童及其家庭的隐私保护意识。重点教育家长熟悉儿童网络服务的隐私政策、展示儿童形象时注意分享节制和避免隐私披露、促进家庭交流并尊重子女在个人信息事务上的决策权等。