互联网合规答疑解惑系列 | 儿童隐私保护篇

Original 周洋吕皓中伦视界 2022-08-01

内容小哥

互联网合规

小博士

Hello，我是互联网合规小博士！“用最易懂的话，解答你最关心的问题”。我们今天的提问主角是——内容小哥，来吧，先介绍下自己。

大家好，我是一家互联网内容平台的创始人，朋友们都叫我内容小哥。我们平台主要做的是图片和视频的制作及分享，我们的用户现在越来越多，还有不少海外用户，为了给大家提供更个性化的使用体验，我们通过收集和分析用户信息，实现平台的功能优化和精准推送，这也是内容小哥我引以为傲的地方。但是，最近我却为此很是苦恼。

前不久，抖音海外版TikTok被美国法院判决向美国政府交了 570万美元的天价罚款，新闻上说被罚的原因是违法收集儿童信息。其实我们做内容平台的，收集用户信息在所难免，用户多了自然什么群体都有，万万没想到会因为“儿童”这个细分群体的隐私保护没到位而被罚那么惨。我最近看了些这方面的报道，现在脑子里有很多词：《儿童在线隐私保护法》，13岁，父母同意，还有叫什么GDPR的….但依然没拎清，有很多疑问，小博士你能用最易懂的话回答下我最想知道的一些问题么？

当然，“用最易懂的话，解答你最关心的问题”。让我们进入问答环节吧！

Q1：听说抖音被罚的是它在美国的运营公司，那我们还没有在美国注册过公司，是不是美国的这个《儿童在线隐私保护法》就管不到我们啦？

A1：哈哈，不是的哦，《儿童在线隐私保护法》（COPPA）的管辖范围可比你想的要广，它不仅能管直接在美国注册的企业，美国境外注册的企业它也能管呢。你也提到你们有不少海外用户，那在美国应该也有用户吧，如果你们收集了在美国的儿童用户的信息，那就要受COPPA管辖哦。

Q2：这样啊，那我们还有欧洲用户的，是不是也要受那什么GDPR管啊？

A2：很会举一反三嘛，没错，GDPR，也就是《通用数据保护条例》，你们也需要关注的。它的管辖范围也很广，即使控制个人数据的公司不在欧盟境内，只要它为欧盟境内的主体提供商品或服务，并且处理与提供这些商品或服务相关的数据，就会落入GDPR管辖范围的。所以，像你们这样，虽然身处欧盟境外，但有欧盟用户，且会收集和使用他们的个人信息的，也必须遵守GDPR的要求哦。

Q3：嗯，知道了。我很好奇，这570万美元的罚款是怎么算的呀，为什么会这么高呢？

A3：哈哈，这已经是双方和解的结果啦，按照COPPA的规定，每一次违反的罚金可以高达42,530 美金，所以理论上来说，如果运营商违反规定收集了1000个美国儿童的信息，那罚金就可能高达42,530,000美金。不过，一般这种情况下都会以和解方式解决，不会严格按人数来算啦，因为除了被收集信息的人数，法庭在判罚金数额时还会考虑其他很多因素，比如：公司之前是否有违反过COPPA，收集个人信息的数量和种类，信息是如何使用的，是否向第三方分享了收集的信息以及公司的规模等等。

顺便提一句，GDPR的罚金也很重哦，严重的话，罚金可能高达企业上一财年全球营业额的4%！

Q4：我的天，太吓人了！看来我们中国企业必须得高度重视这方面的合规问题了，同样的失误不能再犯。对了，新闻上只笼统说抖音是因为违反COPPA规定收集儿童信息被罚的，那具体是什么行为不合规了？

A4：对，确实有必要了解下具体的违法违规行为。根据当时的起诉书，主要是说该平台没有在收集和使用未满13岁儿童的个人信息前通知并征得他们父母的同意，也没有给到父母在他们要求时删除孩子个人信息的权利，也就是说法律给儿童父母的对儿童个人信息的控制权，这个平台没有执行到位。

Q5：等下，信息量有点大呀。先问下，我们这里谈的儿童隐私保护中的“儿童”就是指13岁以下的孩子么？

A5：问的好！这里“儿童”的年龄标准各国/地区都有可能不一样的。像上面说的，美国的COPPA是把年龄定在13岁，未满13岁的孩子是受COPPA保护的对象。欧盟的话，是定在了16岁，GDPR第8条规定，收集和处理16岁以下儿童的个人数据，需要经过其监护人的同意或授权，不过它允许成员国降低这个年龄标准，但不能低于13岁。

我国目前还没有专门针对儿童网络信息安全的立法，所以在法律层面还没有一个年龄标准。2017年的时候倒是有一个《未成年人网络保护条例（送审稿）》，不是生效的法律，但那个里面也没有单独规定受保护的“儿童”的年龄标准，而是根据《未成年人保护法》，18周岁以下的都是未成年人，都受该法保护。不过，我们倒是有两部关于信息安全技术的国标里面有提到具体的年龄，一个是推荐性国家标准《信息安全技术个人信息安全规范》，将受特殊保护的年龄定在了14周岁以下；另一个是指导性国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》，将受特殊保护的儿童年龄定在了16周岁以下。虽然这两个都不是强制性国家标准，但确实是相关政府部门监管时的重要参照。

Q6：OK。不过，其实我们平台不是专门针对儿童的，就是一般的、不分年龄全部开放的那种，那我们运营商其实很难真实、准确地知道用户年龄的呀，难道熊孩子们谎报年龄注册我们平台，也要我们负责么？

A6：嗯，确实是个棘手的问题。目前来看，欧盟的GDPR和中国的行业规范对这个问题都还没有具体说明，只有COPPA实施细则处理了这个问题。

先说下，你刚刚提问的思路特别好，其实当中包含了两个步骤：第一步，自我判断说你们不是专门针对儿童的平台，所以不是必须受COPPA管；第二步，你说你们作为面向一般受众的平台，很难知道用户是不是儿童，从而不确定对他/她的信息收集和使用要不要遵守COPPA。这个其实也是COPPA的思路。运营商需要先判断自己的服务是不是专门面向儿童的，COPPA列举了很多判断时考虑的因素，比如：网站或服务的主题，视觉设计，使用动画人物，面向儿童的活动和奖励，模特年龄，童星或吸引儿童的名人，网站或服务的语言等。如果明确不属于这种，而是面向一般受众的，那运营商只有“实际知道”特定用户是儿童才需要遵守COPPA规定收集和使用信息。也就是说，如果儿童在面向一般受众的平台上发布个人信息，但未透露其年龄，并且运营商没有其他信息可以知道这个用户是儿童，那么运营商就不会被视为“实际知道”，从而不用遵守COPPA规定。但是呢，如果运营商后续了解到某个用户是儿童（比如收到来自家长的投诉，或者运营商的相关责任人发现用户的发帖暴露了他/她的实际年龄），那就会被认为“实际知道”了这个被收集信息的用户是儿童，从而需要遵守COPPA规定，通知并取得孩子家长的同意或者删除孩子的个人信息。

Q7：哦哦，这样比较合理，不然确实太为难了。对了，我发现这些关于儿童隐私保护的规定，有个共同的核心要求，就是要在收集儿童信息前取得父母的同意。但是，这其实不太好操作呀，国外是怎么去取得父母的同意并去核实这个同意确实是某个孩子的父母作出的呢？

A7：哈哈，看问题很准确嘛！运营商向儿童收集个人信息前应当取得父母的同意确实已经成为各国的共识，难就难在如何取得父母的同意以及如何核实这个同意，无论技术上还是法律上都是个挑战。

GDPR 第8 条第2 款规定，在考虑技术可行性的前提下，运营商应作出“合理努力”以核实相关同意是不是由儿童的监护人作出或授权的。但是，GDPR并没有对做到什么程度才算是“合理努力”进行解释。

相比GDPR，COPPA就亲切多了，它虽然也没有明确运营商应该采取哪种方式来取得父母同意，只是说要在考虑现有技术的情况下，保证同意确实是来自儿童的父母。但是呢，COPPA实施细则中列出了已经被联邦贸易委员会（FTC）（COPPA的具体实施机构）认可的一些方法，比如：父母签名同意的纸质邮件、传真件或电子扫描件；电话同意；视频会话同意；核实父母的由政府签发的身份证明文件等。除了这些列举在COPPA实施细则里的方式，运营商如果想使用新方法的话，可以提交FTC确认这个新方法是不是合规，这样一来是不是就好操作多了呢。也许以后我国也可以学习下美国COPPA的这个“可验证的家长同意”制度（Verifiable Parental Consent），哈哈。

Q8：哇塞，COPPA确实很贴心嘛，那它是不是也有整体合规流程上的指南呀，直接对照着做的那种？

A8：还真有！FTC为了使COPPA的执行更有可操作性，自己发布了几个指南，其中有一个就叫《企业六步合规计划》，手把手告诉你自己是不是受COPPA管辖，以及受管辖的话要怎么做才合规。具体的六步是：

第一步，确定你们是不是收集13岁以下儿童个人信息的网站或在线服务商；

第二步，发布符合COPPA规定的隐私政策；

第三步，在向儿童收集个人信息前直接通知他们的家长；

第四步，在向收集儿童信息前取得他们父母的可验证的同意；

第五步，保证父母在关于收集他们孩子的信息上的持续性权利；

第六步，采用合理的程序来保护儿童的个人信息安全。

Q9：呃，很清晰，不过，这每一步下面应该还有具体的说明吧，比如第五步要求保证父母在关于收集他们孩子的信息上的持续性权利，具体指哪些权利呢，我想知道这些具体的规定要去哪里找呀？

A9：其实跟COPPA相关的这些规定FTC网站上都有的，上面不仅有法规内容，还有FTC的指南和常见问题解答，基本上你能想到的问题FTC网站上都能找到答案。比如你刚刚问的问题，在《企业六步合规计划》指南和《常见问题解答》指南里都能找到，父母的这些持续性权利主要是指查看儿童信息、撤回同意和删除信息的权利。

Q10：说的对，直接看信息源会更准确。但我还有个担心哎，我们自己照着要求做了，内部觉得很合规了，但是就够了么，光是我们自己觉得合规有用么，有木有什么认证机构给我们发个证书啥的证明我们已经符合COPPA要求了？

A10：哈哈，机智呀，还真有的！COPPA专门有个“安全港” 条款，允许一些经FTC审核批准的行业自治组织作为第三方认证机构，给符合这些认证机构颁布的行业规范（这些行业规范对运营商的合规要求必须大于等于COPPA的规定）的运营商颁发认证证书。其实这个可以类比我国最近实行的APP安全认证制度（参见《互联网合规答疑解惑系列 | APP个人信息安全自评估篇》），都是由第三方认证机构（中国就是“中国网络安全审查技术与认证中心”，美国目前经FTC批准的认证机构有7家）根据行业规范（中国是《信息安全技术个人信息安全规范》，美国就是这7家机构自己颁布的规范）来做认证，认证证书的取得可以作为合法合规性的支持性证据，但并不是运营商的永久性合规的证明。无论是美国的COPPA还是中国的认证实施规则，都要求这些认证机构对运营商的持续性合规作监督，至少每年一次评估。

明白了，谢谢小博士！现在清晰多了，我们做互联网内容平台的真是不容易啊，光是针对儿童隐私保护的合规要求就这么讲究，以前还真没想到，看来以后要多多关注小博士你啦。

点

点击图片回顾往期精彩

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

作者简介：

周洋律师

合伙人上海办公室

业务领域：收购兼并, 资本市场/证券, 合规/政府监管, 科技、电信与互联网

长按识别图中二维码，可查阅该合伙人简历详情。

输12