2019年8月23日，国家互联网信息办公室正式发布《儿童个人信息网络保护规定》（以下简称“《规定》”），我们团队也对该《规定》的各重要条款和与征求意见稿有变化的条款进行了第一时间的解读，请详见【新规】《儿童个人信息网络保护规定》正式发布。其中，《规定》第九条、第十条和第十四条第一款规定了收集、使用儿童信息必须经过监护人同意制度，并在第五条规定了监护人应当履行监护职责的义务。但对于如何落地实施监护人同意，是企业更为关心的问题，也是难题所在。故本文章将挑选国外较为典型的儿童产品实践，尝试为企业提供相应的参考。

由于App运营商在用户下载时无法得知下载者的年龄是否属于受特殊保护的儿童，故用户的身份判断主要通过注册或使用时输入出生年份的方式验证。如果出生年份所对应的年龄在受保护儿童给的范围之内，App一般采取以下两种方式：（i）禁止操作者的后续操作；或（ii）要求操作者输入监护人的邮箱，要求监护人代替儿童进行后续操作。以下将分别进行说明、举例。

1． 禁止操作者的后续操作

采取此种方式的App有Facebook、Spotify等App。通常的做法是，在创建账户时首先为用户提供选择出生日期的选项，当用户选择的年份对应的年龄为13岁或其他相应法域规定的年龄线以下时，则提示“不满足年龄要求”并无法进行下一步操作。

2． 要求操作者输入监护人的联系方式，要求监护人进行后续操作

采取此种方式的App有BBC iPlayer、Youtube Kids等App。根据对BBC iPlayer的调研，在注册时用户首先需要选择年龄是13岁以下还是以上，如果选择在十三岁以下，则要求提供监护人的邮箱，然后由监护人根据邮箱提示进行操作。在监护人邮箱受到特定邮件后，由监护人进行相应操作。

二、 如何征得监护人同意

就如何征得监护人同意而言，在调研范围内的产品中，主流的方式有两种，包括：在产品界面展示监护人同意书、为监护人发送邮件征得同意。

1． 在产品界面展示监护人同意书

在用户登录账户后并为儿童创建简历前，Youtube Kids会通过向用户展示完整的监护人同意书，来征求监护人同意。监护人同意书的内容包括收集的信息类型、如何使用、如何分享、监护人如何控制儿童信息或撤回同意，并通过最终再次输入账户密码的方式表示已阅读隐私政策并授予监护人同意。

2． 通过监护人邮箱征得监护人同意

根据对BBC iPlayer的调研，监护人填写邮箱后，会收到一封用于验证的邮件。在填写儿童的相关信息时，系统会逐项告知填写的各项信息收集的目的，如果监护人填写了相关信息并点击“继续”，则视为已征求监护人的同意。

三、 如何保障监护人控制

经调研，针对使用环节的个别功能，例如设置、充值等，App通常也会要求验证监护人身份，防止儿童错误操作，保障监护人能够控制儿童的使用。此时验证监护人的方式一般包括：请监护人进行数学运算、根据提示识别相应的小写字母、完成特定手势等。而App可能会在多个功能方面实现监护人控制：（1）向监护人提供访问、更改、删除儿童个人信息的方式；（2）控制可能被收集的儿童个人信息类型；以及（3）控制儿童可观看内容。

1． 向监护人提供访问、更改、删除儿童个人信息的方式

根据调研，在访问、更改、删除儿童个人信息方面，目前App的验证模式大体相同，均要求通过特定验证方式，保证操作者为监护人而非儿童。以Youtube Kids为例，当用户点击页面的设置并通过数学计算验证年龄，则可以看到儿童的个人信息页面，如需访问儿童个人信息，则要求再次输入账户密码，输入密码后方可实现对儿童个人信息的访问、更改、删除等操作。根据调研，相似的验证监护人的方式还包括根据提示识别相应的小写字母、完成特定手势等。

2． 控制可能被收集的儿童个人信息类型

BBC iPlayer在注册阶段便要求监护人为选择儿童可以使用的产品功能，包括个性化推送、评论、上传功能、通知功能，在源头上为监护人提供相应的渠道和方式，实现控制可能被收集儿童个人信息的效果。

3． 控制儿童可观看内容

从内容保护和防沉迷的角度，Youtube Kids 还从观看内容和观看时间两个角度加强对儿童的保护。例如，在监护人为儿童创建角色之后，要求监护人根据儿童的年龄选择儿童可以观看的视频范围，或者针对某一视频采取屏蔽的措施。

同时，Youtube Kids 还为监护人提供了控制儿童观看时间的功能，从而有效地控制儿童使用App的时间，起到防沉迷的作用。

四、 结语

《儿童个人信息网络保护规定》虽然经历二个月征求意见后已经正式发布，但就具体的“同意”实施方式，还需要配套可落地的相关标准。企业可以借鉴国外相关实践，以破只是简单点击隐私政策就代表了是由监护人陪同阅读并同意的“假命题”。毕竟国内外隐私保护的环境与基础不同，在国内，我们更需要各方予以关注和思考，尽快设计出一套行之有效，既保护到儿童的个人信息不被滥收集，真正是由家长起到监督管理作用，又能够管住企业不因验证儿童与家长的年龄而多收集个人信息主体的个人信息，这确实需要进一步在实践中进行回答。