在网上“裸奔”的儿童信息

近期，抖音海外版TikTok母公司字节跳动因涉嫌触犯美国《儿童在线隐私保护法》(COPPA)，收集未成年用户信息在伊利诺斯州被起诉，但随后迅速达成和解。这已然不是字节跳动第一次涉及收集儿童信息而被起诉了，在去年2月，字节跳动因为同样的指控被FTC罚款570万美元，并且TikTok要修改针对13岁以下儿童用户的使用协议。

网络运营者对于人们的信息收集俨然成为了一个公开的秘密。反观当前的网络安全大环境，威胁形势日趋严重，各类攻击手段层出不穷，个人信息泄露事件频发，不仅仅发生在成年人身上，信息窃取的魔爪更是伸向了儿童或者说是未成年人，儿童的信息安全越来越受到人们的重视。

据数据显示，中国的未成年人互联网普及率达93.7％，未成年网民规模达1.69亿人。未来在网络世界给未成年人的空间有增无减，未成年人涉网早龄化趋势只会进一步加强。儿童也涵盖在未成年人这个概念之中。此外，物联网技术进一步普及，儿童能够接触到的联网设备只会越来越多，在网上学习、娱乐已成为日常，但是如何保护个人信息，儿童的安全意识显然不足。

有些成年人尚且不具备网络安全意识，更别说儿童了。儿童作为特殊主体，一方面由于其心智尚不成熟，对其个人信息的价值及被违法收集、使用的后果缺乏清晰的认知，另一方面，由于儿童本身的自我保护能力不足，难以主动核对其信息的准确性、安全性，一旦信息泄露后也更加容易成为非法侵害的重灾区。

大量儿童信息在网上“裸奔”，甚至成为信息贩子的利益来源，不禁让人思考，从何处泄露？儿童信息泄露主要来源有三个方面，包括网络运营者主动收集、网络攻击导致信息泄露以及父母因缺乏儿童信息保护意识导致的无意识泄露。

网络平台、APP、智能设备等都可以主动收集用户信息，包括儿童。随着网络普及率的升高，儿童也难逃信息泄露。去年9月，由于YouTube违反了《儿童在线隐私保护法》,美国联邦贸易委员会对YouTube母公司谷歌处以1.7亿美元罚款。网络运营者利用跟踪网页浏览情况识别代码收集儿童信息，利用这些信息投放广告，以此获利。YouTube和字节跳动都是因为非法收集儿童信息，触及美国《儿童在线隐私保护法》而被罚，接踵而来的就是修改对于儿童网民的使用协议。出于儿童群体的特殊性，推出针对该群体的使用模式，比如抖音的“青少年模式”。

网络运营者的信息收集还是在用户或者说是儿童主动给予权限的情况下所致的，而网络攻击导致儿童信息泄露，更具恶意性。某国产儿童智能手表被曝存在严重漏洞，达5000多名儿童及其父母的个人详细信息和位置信息泄露，攻击者甚至可以跟踪儿童或拨打电话。网络攻击无处不在，成人尚且无法避免，遑论儿童。但是这也应该引起人们的高度重视，网络攻击所造成的儿童信息泄露远比网络运营者收集危害更大，不法分子利用这些信息犯罪，往往给儿童及父母带来更为直接、更为深刻的伤害。

此外，有时候不法分子收集信息并不一定需要利用网络攻击的手段，只需要看看父母的“朋友圈”，就能获取大量的儿童信息。晒娃想必是不少父母常常会做的事情，但是有时候这正好给了罪犯可乘之机，父母缺乏儿童信息保护的安全意识，过度地在网络上曝光儿童信息，这种方式导致的儿童信息泄露是最为常见的。父母在无意识之中为网络犯罪者递上了伤害孩子的“匕首”。去年10月，FTC禁止三个Retina-X应用软件，其中，MobileSpy软件就是用来监视员工和儿童的，包括照相机监控、通话内容录音、GPS定位等功能。父母使用跟踪软件监视儿童本意是好的，然而这些软件的安全性本身并不能保证，儿童信息安全意识的缺乏反而容易成为犯罪分子的帮凶。

前文提及的Youtube收集儿童信息，最直接的利益来源便是广告。非法收集儿童信息并且和广告公司合作投放广告，Youtube通过这种方式赚取了数百万美元。监视孩子的成长，在不同阶段精准投放广告，引发父母的购买行为以此长期牟利，细思极恐。

信息泄露还很容易对儿童的人身安全造成威胁，涉及地理位置收集，可进行跟踪监视，这对于不法分子而言，是莫大的便利，只需要通过网络监控，甚至提前定点准备，即可进行绑架，向其父母索要赎金。

儿童信息泄露还可以造成网络有害信息推送更加精准，有些儿童视频，比如动画片经过二次加工，充斥着暴力血腥、色情等的镜头。披着儿童动画片的表皮，而实际上内容早已被替换，若父母留儿童独自观看视频，不加注意，长此以往对儿童的思想将是一颗”毒瘤”。

由此可见，对于儿童这种特定对象的信息收集和泄露危害远远高于成人，成人对于儿童信息安全的意识并没有那么高，且往往容易因此落入圈套。国家也应该加大对儿童信息保护的重视，出台相关法律法规，一方面加大儿童信息非法收集和利用者的惩治力度，另一方面普及父母、监护人和学校对于儿童信息安全意识培养教育，多方协助才能减少网上儿童信息的泛滥之殇。

去年10月1日，由国家互联网信息办公室发布的《儿童个人信息网络保护规定》正式实施，对不满十四周岁的儿童个人信息进行全生命周期保护，包括收集、存储、使用、转移、披露、删除等环节。这是我国第一部专门针对儿童网络保护的立法，填补了互联网时代儿童个人信息保护的法律空白。相较于比较成熟的美国《儿童在线隐私保护法》（COPPA），在儿童信息安全保护方面，我国法律虽有所进步但仍显不足。

《儿童个人信息网络保护规定》明确以下重要制度强化儿童个人信息的保护： （一）设置儿童个人信息保护的专门规则、协议和责任人。网络运营者应当设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护。 （二）实行严格的“同意规则”。对于儿童个人信息的收集、使用、转移、披露，《规定》要求网络运营者应当以显著、清晰的方式告知儿童监护人，并应当征得其同意，并同时提供拒绝选项。 （三）明确了儿童个人信息保护的“最小原则”。其中包含不得收集与其提供的服务无关的儿童个人信息；不得超过实现其收集、使用目的所必需的期限；严格设定信息访问权限，控制儿童个人信息知悉范围。 （四）确立了儿童个人信息安全评估制度。网络运营者委托第三方处理儿童个人信息、向第三方转移儿童个人信息的，均应当进行安全评估。经评估达不到安全保护要求的，不得进行委托和转移，否则应承担法律责任。 （五）进一步明确了儿童个人信息的删除制度。细则包含网络运营者违法或者违约、超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的；儿童监护人撤回同意的；儿童或其监护人通过注销等方式终止使用产品或服务的；网络运营者停止运营产品或服务的。

以上几条制度在《儿童在线隐私保护法》中均有类似法规，两者对于家长同意原则或者说儿童监护人的知情权保障以及网络运营者针对儿童专门的隐私政策协议的发布都有所强调。对儿童信息的减少收集、删除、安全存储和加密等都做出了详细规定，明确网络运营商的责任和义务，规范对儿童信息的收集和使用行为，强调儿童监护人对于儿童信息保护的职责和意识。

但除此之外，《儿童在线隐私保护法》和《儿童个人信息网络保护规定》也有些差异。前者针对13岁以下的儿童，后者针对不满十四周岁的未成年人。对于儿童的“个人信息”内容定义、范围，在《儿童在线隐私保护法》中则有做出明确规定，如姓名、家庭住址或其他地址、电子邮箱地址、电话号码、社会保险号码等，而在《儿童个人信息网络保护规定》尚未提及。此外，《儿童在线隐私保护法》还增加了网络运营商在收集儿童信息前征求父母同意的3个例外，分别是允许儿童通过电子邮件进行提问；允许儿童获取线上即时信息，但需要通知其父母有权取消这些信息；允许儿童从事联邦贸易委员会认为的其他必要活动。

1998年美国国会制定并由总统签署通过《儿童在线隐私保护法》，保护儿童个人信息免受商业网站侵犯。1999年10月20日，美国联邦贸易委员会发布了实施细则。细则于2000年4月21日生效,适用于在线收集个人信息的活动。

在2020年，数据泄露、隐私问题的热浪或将持续高涨，儿童信息泄露趋势愈演愈烈或不可避免。要解决这个社会新痛点，国家应进一步落实出台的法律法规，切实地保障儿童信息安全，对于不合规的网络运营商加大惩处力度，同时对于儿童的监护人，也应提高网络安全意识，切勿让犯罪分子有机可趁。

参考来源：

儿童个人信息网络保护规定 《儿童个人信息网络保护规定》正式出台：儿童网络保护立法的里程碑 美国《儿童在线隐私保护法》的适用与商业合规 美国立法保护儿童网络信息安全 抖音再次因侵犯儿童隐私被起诉 被忽视的儿童网络隐私保护

*本文作者：Sandra1432，转载请注明来自FreeBuf.COM