2022年“3·15”晚会曝光了一些儿童智能手表因为操作系统老旧，各种APP安装后，无须用户授权就可以拿走定位、麦克风、摄像头等各种敏感权限。而另一些低配版的儿童智能手表系统虽然较新，可一旦拒绝授权，APP就会闪退，拒绝提供任何服务，APP强制索权的行为会使开发商不断通过这个权限获取个人信息，孩子的地理位置、图片视频、通话录音等就会被搜集。深受孩子喜爱、家长信任的儿童智能手表却成为“行走的偷窥器”，给孩子的人身、财产带来了巨大的安全隐患。

2022年3月7日，最高人民检察院发布的第三十五批指导性案例显示，北京某公司开发运营的一款知名短视频App，在未以显著方式告知并征得儿童监护人明示同意的情况下，允许儿童注册账号，收集、存储了儿童网络账户、联系方式、儿童面部识别特征、声音识别特征等个人信息。在未再次征得儿童监护人明示同意的情况下，运用后台算法，向具有浏览儿童内容视频喜好的用户直接推送含有儿童个人信息的短视频。2018年1月至2019年5月，被告人徐某某收到该App后台推送的含有儿童个人信息的短视频，通过其私信功能联系多名儿童，并对其中3名儿童实施猥亵犯罪。

随着互联网的普及，触网低龄化的趋势愈发明显，《中国互联网络发展状况统计报告》数据显示，2020年我国未成年网民达到1.83亿人，城镇未成年人互联网普及率达到95.0%，农村为94.7%，远高于全国互联网普及率70.4%。此外，智能设备进一步普及，儿童能够接触到的联网设备越来越多，在线学习、娱乐已成为日常。这些“互联网原住民”的“居住环境”却不容乐观，当前的网络攻击手段层出不穷，个人信息泄露事件频发，儿童由于心智尚不成熟，自我保护能力弱，更加容易成为非法侵害的对象。

如何保护儿童个人信息，为孩子打造清朗明亮的网络天空，需要立法、执法、网络运营者、学校、家长等社会各方的协作。

立法层面，我国已经形成了包括《未成年人保护法》《儿童个人信息网络保护规定》《个人信息保护法》在内的较为完善的儿童个人信息保护法规体系。其中，《个人信息保护法》将儿童个人信息列为敏感个人信息，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可经允许收集敏感的个人信息。个人信息处理者收集敏感个人信息的，应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。个人信息处理者收集敏感个人信息应当取得单独同意，而不能将敏感的个人信息与非敏感的个人信息混在一起，一揽子取得个人的同意。

个人信息处理者收集不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。个人信息处理者具有双重验证义务：一方面，需要验证个人信息主体为不满十四周岁的未成年人；另一方面，需要验证代表未成年人同意的人是其父母或其他监护人。遗憾的是，《个人信息保护法》对监护人如何进行“监护同意”未做细化规定。实践中，可参照美国《儿童在线隐私保护法》（Children's Online Privacy Protection Act，COPPA）创设的“监护同意”制度。COPPA第312.5条款具体规定了6种具有可操作性的监护同意方式，包括：

（1）监护人签署的同意书通过传真、邮递、电子扫描等方式返回给网络运营者；

（2）使用信用卡、借记卡或其他网络支付手段时网络运营者向监护人发送通知；

（3）获得监护人的电话同意；

（4）监护人与专业的工作人员视频通话；

（5）通过政府颁发的身份证明形式验证父母身份；

（6）网络运营者使用电子邮件和其他步骤验证提供同意的人是父母。

执法层面，中央网信办、工业和信息化部、公安部、市场监管总局自2019年1月起在全国范围组织开展App违法违规收集使用个人信息专项治理，要求App运营者收集使用个人信息时要严格履行《网络安全法》规定的责任义务，对收集的个人信息安全负责，采取有效措施加强个人信息保护。遵循合法、正当、必要的原则，不收集与所提供服务无关的个人信息；收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则，并经个人信息主体自主选择同意；不以默认、捆绑、停止安装使用等手段变相强迫用户授权，不得违反法律法规和与用户的约定收集使用个人信息。倡导App运营者在定向推送新闻、时政、广告时，为用户提供拒绝接收定向推送的选项。

工业和信息化部信息通信管理局定期通报侵害用户权益APP，要求其限期整改，并下架了多款拒不整改的APP，持续净化了APP的生态，APP治理取得了显著成绩。从目前公开的渠道信息来看，监管部门对于违法违规APP的处罚措施多为公开曝光、约谈、下架，处罚力度较为谦抑，网络运营者的违法成本较低。与之相应的是，域外执法机构对侵犯个人信息APP的网络运营者则会严厉很多。2019年，因谷歌旗下的视频网站YouTube推出YouTube Kids违反COPPA的规定，在未征得儿童父母同意情况下收集13周岁以下儿童信息，最终谷歌公司与美国联邦贸易委员会（FTC）达成和解协议，谷歌同意支付1.5亿至2亿美元罚款。2021年，亚马逊因对个人数据的处理不符合欧盟《通用数据保护条例》（GDPR）的规定，被处以7.46亿欧元罚款。

网络运营者层面，网络产品和服务提供者、智能终端产品制造者和销售者应当遵守法律法规规章，尊重社会公德，履行未成年人网络保护义务，承担社会责任。包括儿童智能手表在内的智能终端产品制造者应当在产品出厂前安装未成年人上网保护软件，或者采用显著方式告知用户安装渠道和方法。智能终端产品销售者在产品销售前，应当采用显著方式告知用户安装未成年人上网保护软件的情况，以及安装渠道和方法。网络服务提供者为未成年人提供信息发布、即时通讯等服务，应当在确认提供服务时，要求未成年人或者其监护人提供未成年人真实身份信息。未成年人或者其监护人不提供未成年人真实身份信息的，网络服务提供者不得为未成年人提供相关服务。

学校层面，学校应当将文明、安全使用网络等内容纳入安全教学活动，依法规范管理未成年学生带入学校的智能终端产品，培养学生网络安全意识，养成良好上网习惯，增强学生对网络信息的获取和分析判断能力。

家长层面，家长应当主动学习网络知识，提高自身网络素养，规范自身使用网络的行为，加强对未成年人使用网络行为的教育和监督，指导未成年人使用上网保护软件、智能终端产品等，创造良好的网络使用家庭环境。家长应树立安全保护意识，热衷在网络“晒娃”的家长在分享未成年人照片时应设置分组，不建议分享清晰正面图片和影像，对图像中可用于识别的背景信息（如小区、学校等）应做处理，切忌在分享时显示实时定位。定期检查未成年人对智能终端产品使用情况，APP授权前应认真阅读隐私政策和用户协议，防止APP过度索取相册、通讯录、定位等非必要权限。

综上，数字时代环境下，儿童个人信息的保护具有特殊性和挑战性。一方面，要使儿童与成年人一样享有数字时代带来的便利；另一方面，基于儿童的身心发展阶段，需要社会各界共同努力，携手保障儿童的身心安全。

* 本文所称“儿童”，是指不满十四周岁的未成年人。