美国儿童在线隐私保护立法与实践

　　互联网的发展，一方面令信息流通变得更加自由便捷，另一方面，也带来诸多问题，其中最引人关注是互联网上的隐私问题。网络运营商利用各种技术手段收集用户信息，在很多情况下，用户对自己的个人信息被搜集、存储和转卖毫不知情。

　　美国的隐私立法已有百年历史，2001年9.11恐怖袭击事件发生后，布殊总统于当年十月签署通过《美国爱国者法案》（Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001，简称USA Patriot Act），该法案赋予政府更广泛地实施监视窃听的权力，其中包括追踪互联网传播的更大权力。该法案通过后引发争议不断，争议之一是国家借反恐之名侵犯个人隐私。发生在2013年的斯诺登事件，令互联网用户更加关注个人信息安全问题。

　　相对于成年人在网络上的个人信息来说，美国社会普遍认为，儿童的在线隐私保护应列为优先地位。相当一部分网站搜集用户个人信息，而儿童缺乏隐私保护意识，网站通过各种方式诱导儿童填写个人信息，包括姓名、住址、生日等，甚至还包括父母的信息。因此，美国国会在1998年十月通过了《儿童在线隐私保护法》（Children's Online Privacy Protection Act of 1998，简称COPPA）。2000年四月该法正式生效。根据这一联邦法律，在美国司法管辖范围内的网络运营商，必须制定相应的隐私政策，在向13岁以下儿童搜集个人信息时，必须征得儿童父母同意，同时，必须保护儿童在线隐私和安全。2011年九月，美国联邦贸易委员会（Federal Trade Committee，以下简称FTC）对COPPA提出修订意见，经过两年谘询讨论，2013年七月一日，新修订的COPPA正式生效。

COPPA内容及实施情况

　　《儿童在线隐私保护法》要求网络服务商在收集、使用或披露用户信息而用户包括13岁以下儿童时，必须做到以下几点：

（一） 制定清晰的隐私政策，解释收集儿童信息的行为，包括明确提示正在收集有关儿童的信息，并说明将如何使用这些信息。

（二） 赋予儿童父母决定权，收集儿童信息时，需要采取必要措施，征求家长同意，家长的身份需要得到验证。同时，提供合理途径，令父母可以检查网站上收集的关于他们孩子的信息；提供方法，令父母能够删除孩子信息；另外，允许父母可要求网站不再收集孩子信息。

　　自从COPPA实施以来，对那些未能遵守COPPA的网站或网络运营商，FTC采取罚款等措施进行处理。从FTC官方网站可以查到廿二个因违反COPPA而遭到处罚的案例。本文介绍其中六个典型案例：

1.2000年七月FTC对Toysmart网站提起诉讼，阻止其出售消费者数据库。这是第一个FTC对违反COPPA提起诉讼的案例。FTC称Toysmart网站在隐私政策中声明，从消费者那里收集的信息不会与第三方共享，但当它陷入经济困境，试图出售所有财产，包括详细的消费者数据库，该数据库包含了儿童的姓名和生日。最终，Toysmart承诺不会将消费者数据库作为独立财产出售，并删除或销毁在违反COPPA条件下收集的所有信息。

2.Girl's Life是针对9至14岁女孩的网站。FTC称，Girl's Life从孩子那里收集个人信息，包括姓名和家庭住址、电子邮件和电话号码，没有在网站张贴符合COPPA的隐私政策，也没有在收集儿童个人信息之前征询其父母同意的程序。Girl's Life被罚款3万美元。

3.Hershey Foods从儿童那里收集个人信息，包括姓名、年龄、家庭住址、电子邮件，但没有采取任何步骤确保父母或监护人填写同意书。FTC对其罚款8.5万美元，并要求删除违反COPPA所收集的所有信息。

4.RockYou游戏网站没有说明其对儿童个人信息的收集、使用和披露政策；没有获得可证实的父母同意；没有对个人信息进行加密保护导致泄露。FTC对其罚款25万美元，并要求其删除从13岁以下儿童那里收集的信息，同时实施数据安全保护，在二十年内每隔一年，接受独立第三方的安全审查。

5.Playdom运营的二十个virtual world网站非法收集、披露大量13岁以下儿童的个人信息，没有事先获得儿童父母同意，违反COPPA，FTC对其罚款300万美元，这是目前因违反COPPA所受到的最大数额的罚款。

6.移动应用程序开发者Justin Maples在没有事先取得儿童父母同意的情况下，非法收集和披露数万名13岁以下儿童的个人信息。FTC对其罚款5万美元。这是第一个涉及移动应用（APP）的COPPA案例。

保护法修订及引发的争议

　　2013年七月，美国国会通过了对COPPA的修订，主要有以下几方面特点：
-　覆盖范围更广：修改运营商定义，扩大其覆盖的范围。收集儿童信息的网络插件和在线广告商，以及明知从孩子那里收集个人信息的第三方，都需要遵守COPPA。

-扩大个人信息范围：除姓名、家庭住址、电邮、电话、社会保险号码等个人信息外，地理位置、照片、视频、音频、在线联系信息等等，也被纳入个人信息范围；在某些情况下，IP地址、设备序列号、cookies等信息也在新规则的保护范围之内。

-改进征询父母意见和方式。在修订之前，COPPA规定运营商验证父母身份可采取以下几种方式：1）邮寄或传真父母签名同意书；2）接受和验证信用卡号码；3）采用免费电话确认；4）有数字签名的电子邮件；5）通过上述验证方法获得的有PIN或密码的电子邮件。在新修订的规则中，企业可以通过更多的方式获得父母的同意。如电子扫描的签名同意书、视频、身份证明等。

-加强保护力度：要求网站和网络服务商对搜集的儿童个人信息维持保密、安全和完整，只向有能力保证信息安全的组织发布儿童的个人信息，且需要采取合理程序。对于所搜集的儿童在线信息，只应用于达成最初搜集的目的，用后应予以删除，防止未经授权的访问和使用。

　　COPPA的上述修订，引起不少争议。2012年，在FTC就COPPA修订征求意见期间，Facebook向FTC提交文件表示，COPPA的修订提案与宪法第一修正案相悖，会侵犯儿童的言论自由权利。Google表示，新规则关于「个人信息」的定义范围过于广泛，将限制运营商维持和开发儿童产品的能力。

　　有许多评论赞成新修订法案，认为13岁以下儿童还不具备完全能力，以识别和理解网站收集信息的真实意图及网站的隐私政策，新规则对保护儿童在线隐私非常必要。FTC称新修订的法案符合初衷，即减少从儿童那里收集个人信息，为儿童创造一个更安全的上网环境。FTC主席乔恩•莱博维茨（Jon Leibowitz）说：「在不断变化的科技背景下，COPPA修订，旨在保护创新，为儿童提供丰富有趣的内容，同时确保家长了解并参与孩子的在线活动。」

　　美国民权同盟（American Civil Liberties Union）法律顾问Gabriel Rottman认为网站要适应COPPA，要么改变网站内容，要么把13岁以下的儿童排除在网站用户之外。圣塔克拉拉大学法学院（Santa Clara Law School）教授Eric Goldman认为，网站或服务商从孩子那里获利很少，但为保护儿童在线隐私，却要花费不少，他建议网站经营者直接把13岁以下的儿童排除在外。Facebook创办人扎克伯格（Mark Zuckerberg）对修订法案表示反对，他认为，教育越早开始越好。修订法案将令儿童接触和使用互联网受到很大限制，不能充分利用互联网，似乎不符合当前信息社会发展的需要。

美国互联网公司保护儿童的隐私政策
　　在Google的隐私政策中，Google明确告知，对用户信息的使用方式，以及用户可采取何种方式来保护自己的隐私。1 在COPPA实施后，Google不再为13岁以下的儿童创建个人账号。若新用户在注册Google账号时填写的年龄在13岁以下，Google会告知不能成功注册的理由，并向其提供COPPA的链接网址。若儿童以虚假年龄注册成功，而运营商后来经过某种方式获悉该用户在13岁以下，Google可能停止该帐户。Google旗下的视频网站YouTube实行与Google一致的政策，不允许13岁以下的儿童创建个人帐号。如果Google已有用户注册YouTube时将年龄填为13岁以下，则Google会停止该用户的Gmail等服务，直至用户通过身份验证为13岁以上。

　　Twitter的隐私政策中有一条专门针对儿童的政策，明确声明其服务对象不包括13岁以下的儿童。如果父母发现孩子未经同意向Twitter提供个人信息，可以通过邮件联系Twitter。Twitter不会故意从13岁以下的儿童那里收集个人信息。如果发现13岁以下的儿童向Twitter提供个人信息，Twitter将采取措施删除这些信息，并且终止孩子的帐号。2 同时，Twitter创建了Safe tips for parent页面，为家长和青少年提供更多建议。

　　Facebook也不对13岁以下儿童开放。在注册页面，要求用户提供出生年月，并告知用户此举是为确保得到适合注册者年龄的Facebook体验。若用户年龄未满13岁，会被告知Facebook不能处理他们的登记申请。在数据使用政策方面，Facebook提供了「未成年人及其安全」的链接，称为保护未成年人，可能会采取特殊保障措施（如对成年人与未成年人的分享和联系设限），这可能使未成年人使用Facebook受到限制。3

　　从美国国会就儿童在线隐私保护的立法，及美国贸易委员会对违反法律的制裁来看，美国政府和社会，对互联网时代如何保障儿童健康成长，体现出细致入微的关怀，对互联网商加以约束，加重网络商保护儿童的责任，要求网络商须在保护儿童利益方面放弃一部分商业利益，充分运用父母对子女的亲情保护，赋予父母监管儿童使用网络的权力，多管齐下，保障儿童权利。这些做法，值得借鉴。

1 Google的隐私政策(2013年6月24日) http://www.google.cn/intl/en/policies/privacy/
2 Twitter的隐私政策(2013年10月21日) https://twitter.com/privacy
3 Facebook的数据使用政策（2013年11月15日）https://www.facebook.com/about/privacy/minors