保护儿童网络隐私权的企业责任

□孙 萌 李 彤

（1.中国政法大学人权研究院，北京 100088；2.北京市中凯律师事务所，北京 100011）

儿童是网络空间最为活跃的主体之一，也是影响网络经济发展的重要消费者，因此成为企业在运营中收集、处理和利用个人信息的重点对象。儿童由于心智尚未完全成熟，在网络环境中仍处于显著的弱势地位，导致他们的隐私信息更容易遭受非法披露或滥用，并影响到他们的健康发展，因此需要全社会特别的关注和特殊的保护。同时，儿童网络隐私权所面临的上述问题也一定程度上反映了人民群众在信息科技发展趋势下保障个人信息安全和隐私权方面日益迫切的需求。习近平总书记于2021 年3 月主持召开中央财经委员会第九次会议时曾强调，“要加强平台各市场主体权益保护”，“维护好用户数据权益及隐私权”[1]。面对社会发展对于儿童事业带来的新问题和新挑战，为儿童营造安全网络环境，切实保障儿童网络隐私权理应是当今社会保障儿童健康成长的重要工作。

目前，尽管国际、区域和各国国内层面均在不同程度上建立了儿童网络隐私权的企业责任体系，但是企业在履行相关责任时却由于法律制度、行业规则的抽象性和罅隙，及自身缺乏维护儿童权利的意识等原因，尚不能为儿童提供充分照顾其特殊性的隐私政策和技术保障。2021 年，全球约有49 亿人使用互联网，其中，1/3 左右是18 岁以下的儿童；就中国而言，儿童网络用户为1.83 亿，互联网普及率高达94.9%，远高于成年群体的互联网普及率[2]。在此背景下，有必要以儿童隐私权在网络中受到侵犯的现实及其企业责任规则为基础，借助社会调查数据深入探讨企业应遵循的网络隐私保障规则及其在实践中存在的不足，并从儿童的心理特征和成长发展的社会需要出发提出针对性建议，以促进企业更好地履行相关责任，推动儿童网络隐私权在全社会得到进一步尊重和保障。

一、儿童网络隐私权受侵犯的问题及企业的相应责任

网络时代，企业所开发的新技术和新应用在为人们带来便利的同时，也对个人的隐私权造成了极大的危害，儿童则因其特有的好奇心和脆弱性受到了更大的威胁。好奇心使儿童往往成为探索和体验新的网络设备和服务的先行者，但是由于知识、经验、意识和能力的不足，他们对于网络隐私的认知和保护能力严重欠缺，多数还停留在应对父母的过度监控和防范熟人或陌生人侵扰的基本层面，而对于隐私的商业价值及由此引发的企业的侵犯风险却不能理解和有效管理，这使他们在监护人意识到威胁或采取抵御措施之前，就已经遭遇了严重的隐私权被侵犯的风险。现实中，企业侵害儿童网络隐私权的行为主要表现为：首先，企业在未征得儿童或其监护人同意的情况下，或者超出经营所需范围收集儿童信息。2015年，“全球隐私执法网络”对儿童使用的1494 个网站和应用程序的调查结果显示，其中收集儿童的个人信息的达67%，允许儿童提供照片或视频的达23%，要求儿童提供电话号码的达22%，有50%的网站或应用程序会与第三方共享儿童的信息[3]。其次，企业将收集的儿童信息，通过身份解析形成数字人格画像，并对儿童投放更具个性化、精准性和有效性的广告服务。这些数据分析形成了巨大的商业价值，使企业形成了一整套针对儿童不同阶段特征的营销策略，但对于他们的成长产生着长远而深刻的不利影响。最后，儿童的网络隐私信息往往遭遇过度或未获授权的披露，以及非法入侵。根据2015年电子学习产品制造商伟易达集团（Vtech Holdings）的公告，其运营的Learning Lodge 网站客户资料由于遭遇黑客侵入，致使全球大约500万个账户以及包括姓名、出生日期、性别、邮箱和IP地址等方面的儿童信息被全面泄露[4]。

网络技术不仅使隐私信息数据化、连通化以及商业化，而且还具有可搜索性、广泛传播性及留痕永久性等特点。因此，企业对于上述儿童信息的不当收集、分析、利用和传播，不仅会威胁儿童的隐私权，使其可能处于不利处境和遭遇歧视待遇，而且还可能危及儿童的人身安全，使其面临遭受经济剥削、性侵害等暴力类型的危险，从而严重限制和影响儿童在社会中的参与和发展。由此，针对儿童所面临的上述风险，规范企业经营行为的规则体系正应运而生，以敦促有关企业履行保障儿童网络隐私权的责任。

在国际层面，涉及企业尊重和保护隐私权等各项权利的责任规则主要包括两大类，一是联合国等通过的人权公约及决议等，旨在通过国家义务来约束企业的经营行为。其中，联大1989 年通过、至今已有196个缔约方的《儿童权利公约》及儿童权利委员会的一般性意见，不仅规定了保障儿童网络隐私权的一般性原则，还对国家和企业提出了明确的要求和指导。这些内容包括：禁止根据儿童的个人信息或位置投放广告或其他商业内容；各国应确保在处理儿童的数据之前，由其本人或根据其年龄和成熟度，由监护人给予知情同意；确保儿童及其监护人能够查阅公共当局、私人或机构所储存的数据，纠正不准确或过时的数据，并删除不必要储存的数据；鼓励企业在提供对儿童有影响的服务中采用如“端到端加密”等隐私技术设置等。二是直接为企业设置的人权责任。其中，联合国大会人权理事会2011年发布的《工商业与人权：实施联合国“保护、尊重和救济”框架指导原则》为企业履行保护儿童的网络隐私权责任提供了规则指导。前不久国际电信联盟发布的《2020 年保护上网儿童指南》则进一步指明了企业应为儿童建立适合其年龄的、安全的网络环境，并通过教育，提升儿童适当程度地使用信息技术的能力。

在区域层面，欧洲在保障网络隐私权方面已有大量创新和领先实践，同时也全面惠及儿童。自20世纪末以来，从欧洲理事会通过的《关于个人数据自动处理的个人保护公约》到《保护儿童在互联网中的尊严、安全和隐私宣言》《2016 年至2021年儿童权利战略》《在网络环境中尊重、保护、实现儿童权利指南的建议》等，再到欧盟于2018 年5 月25日开始执行的《通用数据保护条例（GDPR）》，这些法律文件通过从不同角度规定监护人同意制度，以及企业在落实数据主体的知情权、修正权、限制处理权、可携带权等方面的义务和责任，来强化对于包括儿童在内的个人网络隐私权的保护。

在各国国内层面，关于企业保护儿童网络隐私权的责任的规定最早源于美国于1998年通过的《儿童在线隐私保护法》所建立的监护人同意制度，该制度至今仍然是大部分企业人权责任规范的主要内容，也是区域和国际层面有关规范的渊源[5]。随着信息技术的发展，我国与许多其他国家均在逐步强化对于包括儿童在内的个人隐私信息的保护制度，并为企业收集和利用儿童信息规定了具体的责任。一些国家例如西班牙《个人数据保护法》以及澳大利亚的电子安全专员制度等，都在保障儿童等个人的网络隐私权方面为我们提供了有价值的制度规范和实践经验。当前在我国，关于儿童网络隐私权的保护体系已开始逐步完善。比如，《中华人民共和国个人信息保护法》《中华人民共和国未成年人保护法》《中华人民共和国网络安全法》以及国家网信办2019年发布的《儿童个人信息网络保护规定》等法规明确规定了监护人同意制度，要求企业制定儿童个人信息保护的行业规范，加强行业自律；在处理儿童信息时遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则，从而保护儿童信息安全，促进儿童健康成长。此外，《中华人民共和国民法典》《中华人民共和国数据安全法》《中华人民共和国消费者权益保护法》也能够为儿童网络隐私权的保障提供一定的法律根据。

在行业规则方面，与保障儿童网络隐私权有关的网络信息和通信技术、社交网站等自我监管的规则体系正在逐步丰富。例如，国际商会通过了《国际商会广告与营销传播实务准则》，欧洲领域的行业组织——儿童网络信息和通信技术联盟通过了《儿童和青年安全使用互联网设备和网络服务的欧盟原则》《欧盟更安全的社交网络原则》等，旨在促进互联网在发挥推动全球发展最大效用的同时，防范儿童和青年所面临的风险。

二、企业在保障儿童网络隐私权方面的疏漏

尽管国际和各国国内层面都已经初步建立了企业保护网络隐私权的责任体系，但是由于上述规则相对零散、多数缺乏对于儿童，尤其是青少年群体的针对性和可操作性，加之企业的自律性有限等问题，致使这一责任体系在实践中还存在一系列漏洞，需要弥补和完善。

（一）缺乏全面的系统性规则

目前，各国关于企业保障儿童网络隐私权的责任规则主要集中于监护人同意制度，但是该项制度中企业对于隐私权的保障，无论是在儿童身份的权利主体范围还是权利内容方面，均存在规则和实施上的不足，更无法将儿童隐私权的保护贯穿于网络隐私信息“生命周期”的全部过程。

第一，监护人知情同意制度对于受保障儿童的年龄界限设计欠合理。目前很多企业之所以遵行以13 岁为基准年龄的监护人同意制度，主要是最初各国对美国做法的效仿。在欧洲，为了与美国的标准相对接，并避免为企业带来不适当的负担，监护人同意制度中的儿童年龄从未得到全面的提高[6]。对此，2018 年生效的《通用数据保护条例（GDPR）》规定了弹性的，同时也是妥协性的年龄标准，允许成员国在其规定的16岁基础上，降低儿童年龄至年满13 岁，这样就造成了各国企业对于儿童网络隐私权保护力度参差不齐的现状。但事实上，美国在立法时初步设定的是16 岁，而13岁年龄只是一个政治妥协的结果[7]，并没有顾及儿童的整体性以及与地区文化和法律的协调性，与今天网络技术的迅速发展和对社会的巨大影响相比照已经严重脱节，因此，重新为监护人同意制度等规则设定新的保障年龄界限或者把相关保障措施提至18岁的讨论已经迫在眉睫。

在我国，《中华人民共和国个人信息保护法》第28条以及《儿童个人信息网络保护规定》第2 条都规定了监护人同意制度适用于不满14 岁的儿童。尽管在涉及金融服务，例如银行业务的应用中，企业也会将监护人知情同意的年龄提高到18岁，以保护儿童网络隐私信息，但是，大多数企业主要按照14 岁的年龄基准执行监护人同意制度。面对我国在互联网和信息产业方面的迅猛发展，及其为儿童网络隐私权带来的较大风险，有学者也提出将“儿童同意”的年龄提至为16 岁，以符合我国的法律传统和社会现实，顺应国际立法的发展趋势的观点[8]。

同时，目前保障年龄界限的单一规定也有失合理性。儿童的能力发展是一个不断变化的过程，因此对于他们的保护也应当呈现阶段性的变化，而不是采取“一刀切”的单一措施。对于监护人同意制度中儿童年龄界限的调整，涉及儿童获得“上网自由”而失去特定保护的复杂问题，关乎儿童作为权利主体和国家提供特别保护义务之间的平衡，对此应当以儿童权利为出发点，兼顾儿童的需要、能力和成长带来的变化[9]，并考虑到特殊国情和法律体系的历史、文化和社会传统，从而为儿童网络隐私权的保护提供更有效和科学的策略。

第二，青少年儿童网络隐私权保障的空白。目前各国企业普遍缺乏覆盖青少年群体网络隐私权的特殊保障制度，如前所述，各国企业实施的监护人同意制度主要以13岁—16岁为儿童年龄的界限，而对于超越各国规定的年龄界限的青少年的网络隐私权缺乏相应的保障。但是研究表明，即使是16岁以上、更加成熟的儿童，对于网络数据的收集和处理等技术和商业环节及其危害隐私权的认识仍然存在不足[10]，他们容易受到环境的影响，并在情绪激动、压力大时做出错误的决定[11]，而且难以对企业所投放的有针对性的煽动式营销做出理智判断。因此，只有将他们全面纳入专门保障体系才能符合这一年龄阶段儿童的弱势地位及其权利保障的需求。

第三，缺乏对于儿童网络隐私信息全程性、特殊性的保护规范。尽管现有的规则体系，如欧盟《通用数据保护条例（GDPR）》第8 条及我国的《中华人民共和国未成年人保护法》第73 条等都规定了对于儿童网络隐私权的特别保护；国家网信办《儿童个人信息网络保护规定》更是对企业收集和处理儿童信息的全过程提出了明确、全面的要求，但是企业的实践主要局限在信息采集环节落实监护人同意制度，并未在分析、使用、储存和共享等环节提供应有的特殊保障策略和技术支持。这意味着企业在征得儿童或儿童监护人的同意后，即将儿童的网络隐私信息置于与成年人相同的地位，使他们的隐私保障被边缘化、成人化和简单化，并未针对其脆弱性给予特殊的关注和保障。

第四，企业的隐私协议同意制度存在瑕疵。目前，企业对于监护人同意制度的落实流于形式，并未给予儿童网络隐私权切实的保障。首先，监护人在实现知情同意时缺乏选择。在进行信息收集、处理和利用方面，多数企业往往只提供“是与否”的选项，未提供其他保障措施和选择。这种简单的选择很容易使监护人不假思索地点击“同意”，使儿童的网络隐私权面临风险。其次，企业缺乏对于儿童隐私信息的分析、共享、储存和披露等环节授权同意的规定和解释，多数止步于对信息的采集行为的说明。最后，隐私政策的不透明问题对于儿童群体产生了更负面的影响。有学者曾针对商业网站的隐私协议进行分析，发现均存在问题。在表述方面，隐私协议经常省略对自身义务的提及，并通过淡化信息采集的频率和影响程度等方式，来掩盖不道德的收集隐私信息的行为。在内容方面，协议未能列明用户所关注的有关隐私信息收集、处理和披露等关键事项的条款。在表达方式方面，协议通常将不同类型的隐私信息和处理方法进行混合说明，缺乏对信息处理过程中发生的变化的解释，导致用户很难发现隐私协议中的缺陷并造成误解[12]。隐私协议中普遍存在的模糊性问题为儿童或是监护人准确理解网络隐私政策造成更大的困难，使他们难以做出维护隐私的正确选择，从而真正实现对于个人信息的自主控制[5]。

（二）忽视能力差异造成的不平等保护

儿童的能力是对其实施保护的重要程度标准，这种能力往往会因年龄、性别、族裔和社会地位而有所差异，但是目前企业对于儿童的网络隐私权的保护并没有针对这种能力的差异而做出应有的考虑和回应，使部分儿童处于不利地位。

第一，网络设备的拥有、使用和父母引导情况的差异，使不同经济及社会地位的家庭对于儿童的隐私认知和自我保护能力形成不同影响。调查表明，中产阶级家庭的儿童更能受益于网络带来的机会，因为他们的家庭在培养其自我保护能力的过程中发挥着间接但重要的作用[13]。其中，父母教育程度与孩子的网络素养呈正相关趋势[14]。一项针对14—19岁美国低收入和少数族裔家庭青少年的研究证实，由于上网的方式受到限制，导致他们对于共享电脑和私人电脑的不同安全特质存在模糊性认识，从而引发隐私权受侵扰的风险。与此同时，在网络隐私保护中的这一不利地位进一步引发了儿童发展的其他困扰。由于来自低收入家庭的儿童会受到四面八方的监控，这导致有些儿童会选择远离网络以维护自己的尊严与隐私；或者刻意地将网络活动分割在不同平台上，以抵制信息技术将其身份和网络活动融合在一起对其形成的歧视待遇。但是这种分散于不同社交网络的活动极可能导致同龄人的误解或者其他复杂问题，使得这些被边缘化的儿童进一步沉默[15]。第二，性别因素对儿童的网络隐私权产生差别影响。目前，各国企业对于儿童网络隐私权的影响评估和保障措施普遍缺乏性别视角。一项关于加拿大儿童和年轻女性网络社交经历的调查发现，绝大多数网络服务和应用中的隐私政策缺乏女性视角和对女童的特殊保护。长期以来对于儿童采取的是性别中立的保护，这实际上忽略了社会文化规范以及性别歧视等社会问题在网络空间中依然存在的现实，从而导致网络对于男童和女童不平等的隐私权影响。其中，社交平台通过各种方法促进最大限度的披露隐私的做法，与性别刻板印象、社会影响相结合，共同诱发了对女童的性骚扰风险[16]。而多数国家和企业对于这种问题都没有足够的重视和防范措施。这些差异表明儿童中存在着更加弱势的群体。

（三）监护权与儿童独立的隐私权之间的保障失衡

保护儿童的首要责任在于监护人，但是在网络隐私权方面，现行的监护人同意制度等保护规则及其企业的实践过分注重监护人“保护和限制”的权利，并没有兼顾儿童自身的隐私需求，缺失对权利的平衡保障[17]。

有研究发现，在安卓应用商店的75 种商业移动应用中，有89%是通过控制或监督儿童来支持家长的限制性教育方式，而不是采取亲子探讨等协商性教育方式。这些应用为父母提供了精细的访问权限，包括查看儿童的浏览记录、短信内容以及下载的应用程序等，以限制和监督儿童与他人的网络互动，从而侵犯了儿童自身的隐私权[18]。面对家长的这种上述监控，学者们纷纷发表了对于儿童发展的忧虑。唐亚·鲁尼（Tonya Rooney）认为，监护人的过分干涉不利于儿童构建对于父母、他人和社会的信赖，也不利于儿童责任意识的提升[19]。耶莱娜·格里戈里耶维奇（Jelena Gligorijević）认为，现有的监护人同意制度无法在儿童网络隐私权与监护人的保护利益发生冲突时，为儿童提供有效的保障[20]。帕梅拉·维斯涅夫斯基（Pamela Wisniewski）则认为，既然无法消除网络风险，那么对于儿童隐私权的保障就应该引入风险管理理念，提升他们自身保障隐私的能力建设，提高网络行为的安全性[18]。

传统语境中，由于存在儿童与其监护人利益相一致的假设，因此，儿童独立的隐私权往往被忽略。然而儿童作为独立的人，即使面对监护人，她/他自身固有的尊严也使其享有一定的隐私，并在成长中发挥着重要作用。任何对隐私权的侵害都会损害一个人作为人和其他群体联系的完整性[21]。没有受保障的隐私，就不可能有尊重、爱、友谊和信任。同时，信任是对等的，如果儿童不被信任，他们就无法学会信任。但是事实上，在保护儿童成长的过程中，信任很容易被监督所取代。家长密集的监督会剥夺孩子信任和被信任的能力，致使他们被迫脱离人与人之间的交往，因此儿童独立的隐私具有不可忽视的意义[22]。鉴于此，企业在借助监护人力量保护儿童网络隐私权的同时，也应正确认识儿童自身的需求，给予他们与其能力相适应的成长空间，实现网络收益的最大化。

（四）忽视儿童在网络环境下的成长和发展要求

当今社会，网络为儿童的成长提供了全新的环境。对于儿童来讲，在这一时期有四个至关重要的发展目标有待于网络的支持：自主性、身份认同、亲密性以及性的自我发展。自主性意味着儿童放弃对父母的过分依赖，而在感受、思考和行动上具有更多的独立性；身份认同是儿童实现对自己是谁、成为谁的判断与评估；亲密性意味着儿童与他人形成和维持密切的、有意义的关系；而性的自我发展意味着儿童对于性别和性取向的认同和接受。在实现上述目标的过程中，儿童需要找到适合自身的途径进行学习，学会适当地向他人展示自己，在互动过程中形成亲密关系，并形成对自我身份的认同，从而发展自我。对此，网络信息的持久性、可复制性、可扩展性和可搜索性，可为儿童发展创造独特的条件，如儿童可以通过网络展示自己，寻求和获知各种信息满足自己的需要，并利用社交平台建立、维系和密切伙伴关系等[23]。儿童在网络空间中的活动不仅有助于其各项权利的实现，而且还能增强他们对个人信息的自决，并提升发展技能。因此，现代儿童的发展已经离不开网络的助力，为了更好地促进儿童的全面发展，相关网络隐私权的保障措施既不能以保护为名剥夺其参与网络发展的机会，也不能过度依赖监护人的保护，无视其实现权利的能力建设和自我发展的需求。

但是实践中，多数企业对于儿童网络隐私权依然沿用陈旧的“家长式”的保护策略，而缺乏赋权的思想；侧重于限制或者“隔断”风险的做法，却忽略了对于儿童利用网络技术发展的支持。从长远来看，单纯地依赖监护人同意制度，并不利于儿童的发展。一方面，如果监护人不同意儿童使用网络服务和产品可能会限制其探索和利用网络资源的能力和机会。另一方面，如果没有配套的技术支持和教育培训，获得监护人同意的儿童的网络行为同样会存在较大风险。虽然随着年龄增长，儿童能够逐步掌握更多的网络技能，但仍不足以同成年人一样保护自己的隐私信息。一项针对12—15 岁英国儿童的抽样调查显示，46%的儿童知道如何删除浏览网站的历史记录，并有27%的人删除过；36%的儿童知道无痕模式下使用浏览器的技巧，并有20%的人使用过；18%的儿童知道如何消除网站的隔离墙，并有6%的人操作过；7%的人掌握使用代理服务器的方法，并有3%的人使用过[24]。上述统计从一个侧面表明，多数儿童在网络环境中还没有习得足够的隐私风险意识并采取有效的隐私保护措施。随着网络的发展和全面普及，儿童将会向更多的平台和受众无意识地披露更多的个人信息，由此也会带来倍增的隐私权侵害和其他安全风险，这一现象应引起社会更大的关注。

因此，只有通过技术和教育赋权，从提升网络环境安全性和儿童权利意识两个方面改善对网络隐私权的保障，才能在降低网络给儿童带来风险的同时，保障儿童合理利用网络充分发展，这同样也是企业人权责任的要求。例如，欧盟《通用数据保护条例（GDPR）》第25 条第2 款规定，“数据控制者应当采取适当的技术和组织措施，以确保个人数据在默认情况下只有符合特定处理目的且有必要时才能被处理”。联合国儿童基金会则督促企业教育和培养儿童的数字素养，确保儿童全面地了解并参与网络，并保障他们的上网安全，而这些规则和要求都需要企业在经营中进一步落实[25]。

三、完善企业保障儿童网络隐私权的责任

面对在保障儿童网络隐私权方面存在的不足，企业应该以《儿童权利公约》的原则和精神为指导，贯彻儿童最大利益、受保护、非歧视以及参与和发展原则，以提升和强化相关责任[26]。对此，企业应该针对儿童特有的弱势性，提供额外的特殊保护；强调保护的同时，重视能力的发展以及网络技能的培养，支持其最佳发展，实现儿童利益的最大化。

（一）完善企业保障儿童网络隐私权的规则和技术体系

随着互联网和信息技术的快速发展，企业对于儿童网络隐私权的保障不能仅限于信息采集阶段的告知和监护人同意，更要将切实可行的保护措施拓展至信息的分析、储存、转移等整个信息生命周期，从而为儿童提供更加安全的网络环境。

第一，增加信息采集等隐私政策的透明度。企业应以符合儿童特殊需求的、易于理解的方式向其提供数据处理过程的信息，这对于儿童在上网过程中维护其信息安全以及培养网络隐私素养十分重要[26]。我国的《中华人民共和国个人信息保护法》、国际电信联盟的《儿童网络保护行业指南》、欧盟的《通用数据保护条例（GDPR）》等均对此有明确规定，后者第12—14条特别强调，针对儿童的信息，企业有责任以清晰明了的语言、容易看到的图标，以及其他简明易懂、透明且易于获取的方式向儿童提供数据处理和数据权利的信息。对此，企业还应逐步考虑通过向用户提供数据处理变化的可视化和可访问工具，或向用户通报数据处理过程中的重要事件等措施，来进一步强化对于儿童知情权的保障[27]。

第二，适用更高的数据收集、使用、保存和披露标准。由于儿童的心智不够成熟，无法全面理解在网上分享其隐私信息所带来的广泛和深远的影响，因此，企业在收集、使用和披露儿童信息时应给予特殊的保护措施。首先，在收集信息方面，企业对于儿童信息，特别是敏感数据的收集需要额外的审查和隐私影响评估，甚至采取部分禁止采集的措施，并应进一步规范收集儿童信息的途径，使之更加公平、合法和合理。对此，企业应考虑在网站、平台、产品、服务或应用程序中提供无需或者减少信息收集的儿童版本，避免向儿童推送诱使其提供额外隐私信息换取积分、奖品的游戏或应用程序，并且确保通过其产品和服务收集数据的任何第三方必须履行相同的尊重责任[28]。其次，在处理和利用儿童信息方面，我国企业应根据《中华人民共和国个人信息保护法》第28 条规定，对于不满14岁的儿童信息等敏感信息，只能在具有特定目的和充分的必要性，并采取严格保护措施的情形下，才能被处理。关于《通用数据保护条例（GDPR）》的法律实施指导文件还特别强调了数据控制者不应对儿童的数据进行商业性分析的规定[29]。由于企业利用儿童信息投放广告或从事其他商业活动的做法是不透明的，而且可能对儿童产生不利后果，甚至影响其成年后的生活。联合国儿童权利委员会要求企业不应利用儿童的隐私信息来获利，例如投放广告等，并在任何情况下处理儿童信息时提供特殊的保护措施[30]。这些都是企业应遵照执行的依据。最后，在公开和储存儿童信息方面，企业除了获得儿童或监护人的明确同意之外，还应考虑提供特殊保护措施。（1）对于儿童信息的披露，企业要采取格外谨慎的态度。对于拥有大量儿童用户的企业来说，其对于平台、网站和应用中的儿童信息应采取“默认不公开”的设置。依据实证调查，大多数儿童在13 岁之前就拥有了社交媒体账号。很多网络服务和产品存在风险门槛较低、身份识别环节薄弱及监护人有效监督的缺位问题，导致这些活跃于网络的儿童轻易就接触到了有害内容，甚至受到引诱、欺凌和剥削[31]。因此，默认儿童的内容不共享、不可见或设定与其年龄相适合的限制性条件，可以保护他们免遭陌生人或不愿接触的熟人之打扰以及隐私信息泄露的相关风险。（2）在存储儿童信息方面，企业应强化对儿童隐私信息加密技术的应用，包括采取“端到端加密”、磁盘或设备加密以及传输加密等措施，以防止对其隐私信息的内部和外部入侵。（3）企业还应考虑将儿童的数据转换为更难以读取的形式，以提高保障标准，从而全面保护儿童的隐私信息[32]。

（二）开展儿童网络隐私权的影响评估

人权影响评估是企业履行“尽责调查义务”的重要环节，旨在帮助企业通过发现经营行为中存在的人权风险，及时采取适当对策，防止和缓解对于人权状况的负面作用。这一评估是企业避免侵权的前提条件，其既可以弥补制度本身过于抽象性带来的缺陷，也可以通过细化隐私权保障措施强化其发展的完整性，有利于企业设计和制定针对儿童的特殊隐私政策、措施和技术应用，以帮助儿童在享有网络隐私权的同时，充分利用网络实现其他权利。对此，2015 年救助儿童会（Save the Children）和联合国儿童基金会（UNICEF）联合发布的《儿童权利与企业原则》特别指出，与成人相比，企业的经营活动可能对儿童造成更严重的负面影响，因此，企业必须确保其向儿童提供的产品和服务具有安全性，并采取一切合理措施，积极预防并消除相关风险。对此，英国政府信息专员办公室2018 年制定的《儿童与通用数据保护条例指南》也倡导企业在处理儿童数据时，应定期和系统地进行隐私权等影响评估，以确定采取何种适当的措施来验证儿童的年龄和监护人的同意，及相关限制措施的相称性[33]。

就总体而言，对于儿童的人权影响评估，应以儿童最大利益原则以及发展的整体性和全面性为指导，确保其各项权利的实现。对此，联合国儿童权利委员会认为，考虑到儿童能力具有持续的演进性，因此，对于儿童的人权评估应该考虑其发展的可能情况，并结合儿童心理、情感、生理和教育等多方面需求对他们做出短期和长期相结合的分析和评估，并对有关措施进行调整和修订[34]。因此企业针对儿童网络隐私权的评估需要注意如下五个方面：第一，隐私评估必须在数据收集和处理前进行。将评估设计纳入技术和产品当中，从设计之初就引入保护隐私的理念，通常比其后单独加入相关设置更容易实现对于儿童网络隐私权的保护。第二，隐私评估并不是一劳永逸的一次性工作，而是需要定期和持续的重新评估。第三，隐私评估应以对儿童友好的方式公开进行，这样不仅有利于监护人、社会和国家的监督，也有利于培养儿童的网络隐私意识。第四，应根据年龄和成熟度，将儿童的参与纳入网络隐私权的影响评估过程，尊重他们的意见。第五，在隐私评估中增添性别、家庭身份等视角，全面反映儿童群体的多样性和不同需求。

（三）细化儿童或其监护人同意制度

尽管监护人同意制度可以给予儿童的网络隐私权合理的保护，但是企业对于该制度的落实还需要依据他们的年龄、认知情感、心理等方面的能力和成熟度，以及社会发展状况进行适当的完善，提升对于儿童网络隐私权的保护，并实现其独立发展要求与监护人权利间保障的平衡。

第一，逐步推动建立覆盖所有年龄阶段的监护人同意制度，并根据年龄设置不同的监护权限。对此，英国政府2020 年制定的《在线服务业务中的适龄设计规则》提出了较为先进的监护人同意制度及分级设置儿童年龄的指导规则。该规则将儿童年龄分为五个阶段，分别为0—5 岁识字前和早期识字阶段，6—9 岁小学核心年龄阶段，10—12 岁过渡年龄阶段，13—15 岁的少年阶段，以及16—17 岁接近成年阶段，并要求企业对不同年龄的儿童和父母提供差异化的信息和保障措施，包括告知追踪或监督服务何时处于启动状态；为父母提供材料，解释孩子独立的隐私权及不同年龄阶段的隐私需求；提供资源，帮助家长和孩子共同理解隐私政策等[35]。《中华人民共和国个人信息保护法》的生效促使企业提升了对于监护人知情同意制度的执行力度。例如微信、支付宝等应用明确提出，未满18 周岁的儿童在使用手机应用前，应事先取得法定监护人（书面）同意的建议，这种做法的积极效果虽尚无评估，但是却值得进一步完善和推进。第二，促进企业通过技术等手段提升对于儿童身份的识别效果，以此减少他们虚报年龄以绕过监督机制的情况。准确的身份识别是一项必要的保障措施，可以强化监护人同意制度的实施成效。对此，联合国儿童基金会、国际电信联盟等积极呼吁企业开发和使用有效的身份识别技术，如通过人工智能分析用户参与网络互动的方式等途径来确定儿童的大致年龄。鉴于对儿童用户的身份验证必然导致企业在更大范围上收集、处理和存储儿童的信息，特别是敏感信息，因此对于这些信息的使用应当在验证儿童身份必要的范围内进行。对此，有关各国法律和行业规范建议企业使用国家或可信赖的第三方建立的身份验证系统，以减少隐私信息泄露的风险。如《中华人民共和国未成年人保护法》第75 条规定：“国家建立统一的未成年人网络游戏电子身份认证系统。网络游戏服务提供者应当要求未成年人以真实身份信息注册并登录网络游戏。”而使用第三方身份验证系统的企业则应当开展尽责调查，以确定该服务符合保护儿童网络隐私的要求，并向用户提供使用该服务的明确信息。

（四）为儿童行使网络隐私权提供技术和网络素养的赋权

实证研究表明，在网络环境中，即使被限制较多的儿童，接触风险的机会也不少于其他同龄人[36]。因此，从儿童成长的角度来讲，企业对他们网络隐私权的保障，不仅要侧重通过监护人的监管和限制手段来达到保护的效果，更要注重对于儿童自身的权利能力建设，发挥其内在的能动性和有效行使权利进行自我保护的能力。无疑，在儿童网络隐私权的能力建设中，技术保障以及网络素养的培养既是至关重要的环节，也是企业的人权责任和需要着重攻克的难点。

第一，企业应充分开发和利用技术来支持儿童的网络参与和发展目标，辅助其认识和执行安全的网络行为。企业应当鼓励儿童的自我行为调整，依据他们的安全需求和特点来设计产品和服务，并且鼓励儿童与监护人的沟通，帮助而不是限制他们来认识危险的网络行为，如在各种应用中为儿童提供“个人助理”等服务功能，及时提醒和控制风险，或仅让监护人访问元级别的详细信息，在减少监控的同时，引导强化儿童对于网络行为的自我完善。对此，国际电信联盟曾在《儿童网络保护行业指南》中用英国广播公司推出的“掌握信息技术（Own IT）”应用来举例说明。这是一款为8—13 岁初次使用智能手机的儿童设计的健康应用，其通过跟踪儿童使用手机的行为、在网络上的活动以及相关信息来为儿童量身定制干预与支持方案及情绪状态报告。该应用可在儿童使用手机的行为偏离预设标准，或者向网络发布隐私信息时，及时向他们发出友好提示，并在儿童寻求帮助时，提供即时的建议和支持，以帮助儿童合理安排使用手机和网络的时间，建立安全和健康的行为习惯。这类产品的设计理念旨在通过技术来辅助儿童培养正确使用网络的习惯，从而为儿童保障自身的网络隐私权奠定基础。

第二，企业应该采取有效步骤提高儿童的网络隐私素养。所谓网络隐私素养，分为了解、认识、实现、评估和决定5 个方面[37]。根据联合国教科文组织的解释，它包括：理解维护网络隐私权的价值和必要性；了解网络环境中的隐私风险和利益，认识隐私信息在网络中的货币化和商品化，并能相应地调整隐私设置；掌握网络匿名等知识，具备尊重他人隐私的常识，以及保障自我隐私权的基本技能；对于所分享的网络信息具有批判性的判断力；有能力评估和参与组织，有能力鉴别和使用网站、平台及应用，并管理隐私风险[38]。这些网络隐私素养的培养能够帮助儿童在不同情境下，面对企业提出收集和处理信息的请求时做出合理判断，在提升自我保护意识和素质的同时，完善享受科技发展成果的能力，从而在探索网络和保护网络隐私权之间实现平衡。对此，《中华人民共和国未成年人保护法》在”网络保护”一章（第5章）中规定，“国家、社会、学校和家庭应当加强未成年人网络素养宣传教育，培养和提高未成年人的网络素养，增强未成年人科学、文明、安全、合理使用网络的意识和能力，保障未成年人在网络空间的合法权益。”

至于如何帮助儿童提升上述隐私素养，国际电信联盟《儿童网络保护行业指南》以举例的方式说明了企业应向儿童和监护人、教育工作者提供的提升网络隐私素养知识的内容及其教育方式和途径。该指南建议企业应根据儿童的特点，尽量以创造性的方式向儿童提供安全使用互联网的信息，并推荐了谷歌与非政府组织通过共同开发网络游戏来教授儿童网络安全基础知识的做法。此外，联合国儿童基金会还建议企业为监护人和教育工作者提供必要的知识培训，使其了解儿童经常使用的网络服务和产品；培养他们密切关注儿童的行为，具备识别潜在的网络隐私危害的意识；指导监护人和教育工作者如何处理与网络有害内容和影响儿童行为有关的问题，使他们具备指导儿童负责任地使用网络技术的能力[25]。

作为数字革命的主要推动力，企业正通过提供互联网服务、数字产品等方式日益影响和融入儿童的生活。同时，企业也是网络信息的守门人。这些角色赋予企业相当大的权力和影响力，因此，对于儿童的网络隐私权的保护责无旁贷。尽管国际、区域和各国国内层面关于企业尊重和支持儿童网络隐私的人权责任已具有相对体系化的规则，但是相关的规则和企业的具体实践还存在一些空白且缺乏操作性，需要进一步完善和落实。针对儿童的特殊性，企业对其网络隐私权的保护，不能仅止步于目前通行的监护人同意制度，要进一步促进建立覆盖所有儿童群体，且体现不同年龄阶段隐私需求的，符合信息生命周期特征、完善的、有针对性的规则体系并强化实践。实践中，企业在尊重和支持儿童网络隐私权方面，不仅要兼顾监护人权利和儿童独立的隐私需求的平衡，还要顾及对于儿童的保护和促进其参与和发展间的平衡，从而通过隐私评估、强化技术支持和网络素养的培育，来支持儿童网络隐私权的能力建设，充分落实企业的人权责任。