2024年8月,美国司法部
(“DOJ”)
代表美国联邦贸易委员会
(“FTC”)
起诉TikTok及其母公司,指控其违反了《儿童在线隐私保护法》(Children’s Online Privacy Protection Act,
“COPPA”
),对美国儿童的个人信息安全造成了威胁。这一案件是FTC依据COPPA开展的众多执法实践之一,是美国长期以来持续关注儿童个人信息保护的体现。相比之下,TikTok被诉的多种行为在中国的各大网络平台中也并不少见,而中国虽然通过《个人信息保护法》等多部法律法规建立了与美国相类似的儿童个人信息保护框架,但在执法活跃度和执法效果上与美国还存在很大差距。本文将梳理中美的儿童个人信息保护立法框架,对比分析中美在儿童个人信息保护方面的执法实践,以供读者参考。
美国在联邦层面和州层面制定了一系列专门的法律法规来保护儿童个人信息,其中最为重要的包括1998年颁布的COPPA和1999年颁布、2013年修订的《儿童在线隐私保护规则》(
“COPPA Rule”
),二者旨在保护美国13岁以下的儿童的网络个人信息与隐私安全。 这两项法规对网络平台运营商设定了四项主要义务:
(1)
告知和获取监护人同意的义务
,这是儿童个人信息保护中的核心义务要求,包括告知和获取家长同意两个方面:
-
告知(Notice)义务,即运营商应通过直接通知儿童的父母或监护人、在网站上发布通知等途径,清晰、简单、完整地说明针对儿童收集的信息的内容、信息的用途及信息的披露情况;
-
获取可核实家长同意(Verifiable parental consent)的义务,即在收集、使用或披露儿童个人信息前,运营商应获得可核实的、有效的父母或监护人的同意。
(2) 行权保障义务
,即运营商应为家长行使撤销同意权、查阅权等权利的行使提供便捷、合理的途径。
(3) 信息范围最小化义务
,即禁止运营商要求儿童披露超过参与游戏、获得奖品或其他活动所需的合理范围的个人信息。
(4) 信息安全保障义务
,即运营商应建立合理有效的信息安全保障机制,确保收集的儿童个人信息的保密性、安全性和完整性。
此外,在2024年7月,美国参议院初步通过了《儿童和青少年在线隐私保护法案》(
“COPPA 2.0”
),该法规主要从三个方面对COPPA进行了修订:一是将保护对象的范围扩展到了17岁以下的未成年人,二是将生物识别信息纳入个人信息范围内,三是新增了家长的删除权。未来,随着COPPA 2.0经众议院审批和通过后正式出台,网络平台运营商将面临更严格的监管。
相比之下,我国未成年人网络个人信息保护起步较晚。2019年,国家互联网信息办公室(
“国家网信办”
)年颁布并实施了专门的儿童个人信息保护的部门规章——《儿童个人信息网络保护规定》(“《
儿童个保规定
》”)。同时,儿童个人信息保护的规定在多部法律、行政法规中均有体现,包括2021年实施的《个人信息保护法》、2024年实施的《未成年人网络保护条例》以及最近发布并将于2025年实施的《网络数据安全管理条例》。上述法律法规对不满十四周岁的未成年人的个人信息安全进行保护,形成了我国儿童个人信息保护框架。其中,上述法律法规对个人信息处理者设定的义务与美国立法框架下的义务基本一致,主要包括:
(1) 告知和获取监护人同意的义务,即个人信息处理者在收集、使用、转移、披露儿童个人信息前,应以显著、清晰的方式告知儿童监护人并征得儿童监护人的同意。
(2) 行权保障义务,即个人信息处理者应支持未成年或其监护人行使查阅权、复制权、更正权、补充权、删除权,为其行权提供便捷的方法和途径。
(3) 信息范围最小化义务,即禁止运营商不得收集与其提供的服务无关的儿童个人信息,不得存储超过实现其收集收集、使用目的所必需的期限。
(4) 信息安全保障义务,即个人信息处理者应设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护,确保儿童个人信息安全。
尽管中美两国在儿童个人信息保护的立法模式上一定差异,但两者实质上规定的儿童个人信息权利、对数据处理者规定的义务基本一致。然而,从执法层面来看,中美两国在执法活跃度和执法效果上存在明显差异。
美国对儿童个人信息保护的执法非常严格,DOJ和FTC积极关注大型网络平台运营商的儿童个人信息保护政策,频繁地进行警告、调查甚至提起诉讼,确立了强大的监管威慑力。自COPPA实施至今,除上述的TikTok被诉案外,FTC官网还公布了43个与COPPA相关的执法案件,总处罚金额超过5.32亿美元。其中,Epic游戏公司因违法收集儿童个人信息、未能履行行权保障义务被处以2.75亿美元的最高罚金。
美国执法机构主要围绕COPPA的四项主要义务对网络平台运营商展开调查,并在个案中深入审查了具体隐私政策和实践中的细节问题。以近期TikTok被诉案为例,DOJ主要针对TikTok的个人信息处理政策和做法提出了三项指控:
(1) 明知在为儿童创建账户情况下,未通知家长和经家长同意收集、处理儿童数据:
一方面,TikTok允许儿童通过在注册时重新提交出生日期或使用某些第三方平台(包括Instagram和Google)的账号创建“年龄未知”账户,绕过TikTok的年龄限制;另一方面,TikTok在为儿童创建“儿童模式”的账号后也未能合法收集和处理儿童的数据,包括收集儿童的应用活动数据、设备信息等非必需信息,以及在未通知家长的情况下,基于平台运营以外的目的将在儿童模式下收集的信息与第三方分享。
首先,TikTok设置了不合理、不便捷的行权流程,为家长行使删除权设置了障碍;其次,即使在家长请求删除儿童的账户及信息后,TikTok也未能及时响应并处理此类请求;最后,即使删除了儿童的账户及信息,TikTok也未建立完善的机制来防止儿童用户使用与以前相同的信息重新创建账号。
(3) 未能删除系统和员工识别出的儿童账户和信息:
TikTok仍保留了部分其系统或员工明知属于儿童的账户和信息,如针对明显由儿童拍摄和发布的内容的举报信息,TikTok没有采取相应行动删除儿童账户和信息。
上述TikTok被指控行为在中国的各大互联网平台中也屡见不鲜,许多平台服务提供者并未设置采取有效的措施对儿童用户进行身份识别、避免儿童绕过年龄限制创建非“儿童模式”的账户,并且在未通知家长和取得家长同意的情况下收集、处理儿童个人信息,从而导致儿童个人信息泄露、网络欺凌等事件时有发生。尽管如此,我国鲜少针对性地对可能危害儿童个人信息安全的大型平台进行执法。目前,国家网信办尚未公开任何儿童个人信息保护领域的相关案例。地方层面,公开案例中仅有河南焦作市互联网信息办公室针对某校园投票App未经父母或监护人同意处理儿童个人信息行为进行行政处罚的1例处罚案例。 此外,海南省网信办在2022年3月对一批与未成年人密切相关的APP收集使用个人信息情况进行通报,责令违法违规的App运营单位进行整改。
对于我国大型平台而言,其监管压力更多可能来源于民事公益诉讼方面。基于《个人信息保护法》第77条规定的个人信息保护公益诉讼制度,我国各地检察院在儿童个人信息保护领域积极开展相关工作。其中有2例关联案件分别入选杭州互联网法院个人信息保护十大典型案例和最高人民检察院指导性案例,但此后,我国也鲜少再开展更高层次的相关执法活动,互联网平台侵犯儿童个人信息权益问题仍有发生。
1. 浙江省杭州市余杭区人民检察院诉某短视频平台侵犯儿童个人信息权益民事公益诉讼案
该案系全国首例儿童个人信息、网络安全保护民事公益诉讼。该案中,检察院在办理某一猥亵儿童刑事案件时发现,某短视频App存在侵害众多不特定儿童个人信息的侵权行为,包括未以显著、清晰的方式告知并征得儿童监护人明示同意的情况下允许儿童注册账号并收集、存储儿童的个人信息乃至敏感个人信息,且在未再次征得儿童监护人明示同意的情况下,向具有浏览儿童内容视频喜好的用户直接推送含有儿童个人信息的短视频。经法院调解,该App对相关内容进行了整改,并赔偿公共利益损失150万元,交由相关儿童公益保护组织用于儿童个人信息安全保护等公益事项。
2. 北京市人民检察院督促保护儿童个人信息权益行政公益诉讼案
鉴于上述案件同时反映出相关行政主管机关对涉案企业监管不到位,北京市人民检察院随后以行政公益诉讼立案,经调查向北京市互联网信息办公室(“北京市网信办”)提出依法履行监管职责,全面排查、发现和处置违法情形,推动完善儿童个人信息权益网络保护的特殊条款,落实监护人同意的法律规定等相关建议。此后,北京市网信办对涉案企业进行了约谈,并开展未成年人信息安全保护专项整治工作。2021年4月,最高人民检察院向国家网信办通报该案情况并提出开展短视频行业侵犯儿童个人信息权益问题专项治理。
有关数据表明,我国未成年网民规模将近2亿。由于心智尚不成熟、风险认知能力相对不足,儿童个人信息更有可能被一些互联网企业非法收集,甚至被不法分子利用引发诈骗、拐卖儿童等严重问题。因此,加强儿童个人信息保护至关重要。与美国相比,我国在法律体系的构建方面已经较为成熟,但在执法和司法方面缺乏广泛而深入的实践。为了更有效地实施儿童个人信息保护,未来还需依赖执法部门的有力行动与公益诉讼的积极开展。
1.
https://www.ftc.gov/news-events/news/press-releases/2024/08/ftc-investigation-leads-lawsuit-against-tiktok-bytedance-flagrantly-violating-childrens-privacy-law
.
2. 除了COPPA及其配套规则,美国联邦层面保护儿童个人信息的法律还包括《家庭教育权与隐私权法》(FamilyEducational Rights and Privacy Act)、《学生隐私保护法》(Student Privacy Protection Act)、《儿童网络保护法》(Children’s Internet Protection Act)、《学生数字隐私和家长权利法案》(Student Digital Privacy and Parental Rights Act)等,州层面典型的法律包括加州“橡皮擦法”(加州第568号法案)、马里兰州儿童法案等。
3.
《儿童个人信息网络保护规定》第
8-12
条、《个人信息保护法》第6条第2款,第
31
条第
2
款、《网络数据安全管理条例》第
21
条第
2
款,第22条第1款第3项、《未成年人网络保护条例》第34条。
4. https://www.ftc.gov/news-events/news/press-releases/2022/12/fortnite-video-game-maker-epic-games-pay-more-half-billion-dollars-over-ftc-allegations.
5. 参见焦作市互联网信息办公室行政处罚决定书(焦网信处罚﹝2022﹞04号)。
6. https://m.gmw.cn/baijia/2022-02/23/1302817502.html.
7. 参见浙江省互联网法院(2020)浙0192民初10993号民事调解书。
