基于移动互联网应用的儿童网络保护产业实践与完善
2021-10-19
来源: 信息安全与通信保密杂志社
《中华人民共和国未成年人保护法(2020修订)》于2021年6月1日正式施行,其中一大亮点是增设了“网络保护”专章,以回应在数字时代妥善保护未成年人的迫切需要。儿童作为未成年人中更为脆弱的群体,对其网络保护的有效性也应更受关注。如果以儿童网络保护为主线,以移动互联网应用程序为切入点,通过梳理近年来国内外主流移动互联网应用的儿童保护实践做法,就可以发现当前移动互联网应用的儿童网络保护措施主要实现了防沉迷、内容管理的功能,而隐私保护、年龄识别作为儿童网络保护的发展方向与实践难点,仍需在制度体系、合规程度等层面上进行完善。
0 引 言
2020年9月发布的《青少年蓝皮书:中国未成年人互联网运用报告(2020)》显示:我国未成年人的互联网普及率已达99.3%,明显高于我国总体互联网普及率(64.5%)。在数量庞大的“数字原住民”畅享高效、便利的数字技术的同时,如何保障其个人权利与数字权益是值得关注探讨的重要议题。
对于诸如算法偏见、信息茧房、个人信息保护等一系列新兴的数字社会问题,即使在以成年人为对象的讨论语境下,仍未有清晰完善的解决方案,而未成年人(即十八周岁以下的自然人)的保护同时也面临着新的挑战。其中,又以儿童(即十四周岁以下的自然人)为讨论对象的相关议题更显复杂,例如家长监护机制如何在线上环境中有效实施,监护机制与儿童自主性之间的平衡,通用型应用(即面向一般大众的应用)在监护模式下如何兼顾儿童的独特需求等;但也正是这些复杂性凸显了探索数字时代儿童保护的方法路径的时代价值。本文即从儿童网络保护这一议题出发,对近年来国内外主要移动互联网应用(App)的儿童保护实践做法予以简要梳理,总结经验,以期参考。
1 移动互联网应用(App)儿童保护主要实践做法
从产业实践来看,移动互联网应用(App)的儿童保护主要有两种做法:一是在通用型 App中嵌入“青少年模式”。目前,青少年模式功能在我国音视频、社交、直播类App中普遍存在。二是在产品中,区分通用版和儿童版两种相互独立的 App。国外例如Facebook、Amazon、YouTube、Spotify、PBS等产品旗下均配有对应的独立儿童(Kids)版本。我国在相关内容类App 中也有类似区分,如“小企鹅乐园”(腾讯视频儿童版)、“小小优酷”(优酷视频儿童版)、“爱奇艺奇巴布”(爱奇艺儿童版)等专门的儿童版 App。
我国各类App中的“青少年模式”尝试始于2019年。2019年3月28日,国家网信办对“青少年模式”展开首批试点,组织“抖音”“快手”“火山小视频”等短视频平台上线青少年防沉迷系统。2019年5月28日,国家网信办在前期试点经验的基础上继续将“青少年模式”在视频类应用中推广,包括哔哩哔哩、微视、微博等在内的14家短视频平台与腾讯视频、爱奇艺、优酷、PP视频等4家网络视频平台也统一上线了“青少年模式”。同年10月,另有24家网络直播平台、9家网络视频平台上线了该功能,上线青少年模式的平台总数上升至53家。此后,上线青少年模式的应用程序逐渐增加,其功能特点、产品设计也在实践中不断优化。
同我国App中较为普遍采用的青少年模式相类似,国外市场上的部分App也采取内置分龄设计的模式,对未成年人群体的App使用予以产品功能和隐私政策上的特别考虑。此外,针对受法律特别保护的“儿童”群体,欧美国家的经营者在实践中多倾向于开发专门的儿童版App。从用户交互性来看,此类儿童版App往往能够通过独具风格的产品设计提升儿童用户体验,且在儿童专用的电子设备上安装儿童专属App也更便于家长管理。
2 儿童网络保护的主要功能、发展与难点
2.1 目前“青少年模式”的主要功能目标
从我国各类App中青少年模式的具体功能特点上看,内容管理、防沉迷仍旧是其主要的设计目标,主要包括以下几项功能:
切回限制,目前我国的青少年模式主要由使用者自主决定是否切换,但在青少年模式下切回普通模式时需要输入密码,便利家长等监护人设置门槛,限制未成年人进入普通模式。
弹窗提醒,即每日首次启动应用时主动弹窗询问“是否切换至青少年模式”。
在进入青少年模式后,一般会启动以下儿童保护功能:
时间限制,即固定时段内(目前多为22时至次日6时)无法使用,每日累计一定使用时长后(目前一般为分钟)无法使用或需要输入密码重新验证;
功能限制,即对于未成年人不适宜的功能将被禁止使用,例如观看直播、发布视频、发送消息与评论、关注特定博主等互动性功能以及打赏、商城等具有经济性的功能;
内容限制,即对未成年人不适宜的内容在青少年模式下将无法检索也不会推送给用户,只能访问适宜青少年的内容,如知识科普、书法绘画、课程学习等。
目前我国App中的青少年模式是企业和监管者在相关法律框架下积极探索未成年人网络保护的具体体现,其以内容管理、防沉迷为主要功能特点的产品设计也同现行法律规范的要求相一致。自2000年国务院印发《互联网信息服务管理办法》以来,对违法有害等性质的内容管理便是互联网服务提供者的重要责任之一。从国家网信办在试点“青少年模式”之初的表述来看,也将其称为“青少年防沉迷系统”。此外,从相应的法律条文规定来看,例如《中华人民共和国未成年人保护法》第 74 条也要求“网络游戏、网络直播、网络音视频、网络社交等网络服务提供者应当针对未成年人使用其服务设置相应的时间管理、权限管理、消费管理等功能”。
2.2 儿童网络保护的发展方向
值得肯定的是,青少年模式对于网络世界中的青少年保护具有积极作用,但在关注通过时间、内容限制从而实现防沉迷、内容适龄化的同时,保障未成年人个人信息安全也是青少年模式可继续发展的方向。目前,部分App青少年模式的功能特点其实已经达到了一定程度的个人信息保护目的。例如,“微信”的青少年模式禁止了“直播和附近”“摇一摇”等选项。“抖音”的青少年模式中“同城”功能无法使用,由此对此类青少年敏感信息的处理予以了限制。
此外,实践中已有一些应用程序会在隐私政策中明确青少年模式下个人信息处理的特殊性。例如“搜狐视频”在对青少年模式中的时间限制等进行说明外,也表明其仅收集用户的观看记录信息,不对用户的年龄作特定识别,也不针对儿童作个性化推荐和其他商业用途;“抖音”的儿童隐私政策中表明未成年人的个人信息将不用于任何商业目的,包括但不限于商业推广、营销等;“小红书”的隐私政策中明确,青少年模式下个人信息的收集使用目的与普通模式存在差别。
同国内的实践做法相似,国外的App也往往通过分龄设计来实现儿童个人信息保护合规要求。一是开发专门针对儿童的独立版本,二是在并不以未成年人(含儿童)为唯一目标受众的普通版本中设置未成年人专区。有所发展的是,考虑到不同年龄段未成年人的特点与需求,有的App在合规实践中采取“细化分龄”办法,对处于不同年龄段的未成年人提供不同的用户规则及与之相适应的产品功能。此外,许多国外App还为监护人(家长)提供特定的功能板块,用于管理未成年人用户账户的隐私安全设定、反馈App上有关未成年人的风险内容等。
2.3 儿童网络保护的实践难点
由于物理空间的隔绝,数字世界中的儿童保护首先面临的一个难点就是如何将其从一般用户中识别出来。但如果不加区分地,要求所有的在线服务提供者实施年龄识别措施,并请求对应的家长实施监护义务,将难以避免数据过量收集的问题,也显著增加了数据安全风险。
就App准入阶段的年龄识别问题而言,我国的“青少年模式”实际上将是否适用儿童网络保护的问题交到了App使用者手中,而当前欧美App的主流做法仍为App运营者进行识别但并不旨在精确收集用户年龄。以欧美的儿童专属App为例,一种做法是由“家长”向App主动申报儿童用户的年龄,且该申报步骤既非强制、亦不要求完全精确;另一种更常见的做法是由App提供若干备选年龄段,“家长”只需从中选出孩子所属的年龄段。可以说,针对所谓“未成年人通过在年龄上撒谎而绕过年龄墙”的问题,国外App的做法更多是通过家长进行事前控制和事后申报,而非通过采集未成年人用户生物数据、身份数据等个人敏感信息的方式去实现用户年龄判断。甚至在“家长”身份的判断上也并非想象中那么严格,有时仅需通过简易知识测试就能认定“家长”身份。
如首次登录YouTube Kids时,儿童用户无法自行登录(App会提示“Get a parent to unlock the App”),家长用户需通过一定的方式方可登录(首次登陆采取主动申报家长年龄的认证方法,后续进入设置页面时则通过“九九乘法表”的数学运算题判定家长身份,并可设定四位密码)。“家长”用户登录后,可为儿童选择适合的年龄段(0~4,5~7,8~12),无须提供精确年龄。
首次登录Spotify Kids时,只有购买了家庭VIP(系Spotify的“premium family”付费服务)的家庭管理者(Family manager)才能创建Spotify Kids 的账户。创建 Spotify Kids 的账户时,要求设置由家长掌控的四位数密码。在设置密码后方进入儿童账户的创建环节。在儿童账户(Kids Account)的创建页面,包含“儿童姓名”与“生日(非必填)”两个填空选项,并附有收集此信息的功能性说明和隐私政策的跳转链接。即使不填写“生日”,也将进入勾选年龄段的页面(“0~6”与“5~12”两个可选项),旨在有针对性地、分类地为儿童提供适合他们收听的歌曲。
首次登录Messenger Kids时,只有通过一个Facebook账号(该账号无法由未满13岁的用户获得),才能进入Messenger Kids的账户创建页面,从而可以为孩子设定姓名(无需真名)、生日(可跳过)。接下来则进入隐私政策的提示页面。而在用户进入App后的使用环节,儿童版App也进行了一系列合规设计。如视频类应用YouTube Kids 应用页面没有评论功能、用户上传短视频或直播功能。《YouTube Kids儿童须知》中指出:“YouTube Kids不允许您与他人共享个人信息或面向公众发布个人信息。”音乐类应用Spotify Kids同样不开放评论与用户上传等功能,为儿童提供了一个相对封闭的App环境,使其信息不易从用户端流出。
在儿童用户识别的问题上,欧美儿童版App(这里与游戏类的强监管型App应作区分)的用户识别机制目前相对仍比较宽松,这可能是出于个人信息保护(如尽量避免事前过度收集儿童个人信息)、企业成本和程序操作可能性等多重考虑。在监护人管理的问题上,欧美儿童版App采取强化家长控制权的手段,认为家长应当对儿童用户尽到监管职责,并基于上述理念开发产品功能。但对于依托家长监管是否有效的争议,以及如何在合规的同时保障儿童(或更大范围而言的未成年人群体)得以适度参与在线世界、使用技术设备等问题,仍然处于激烈争论之中。
3 移动互联网应用(App)儿童网络保护的完善
3.1 制度上协调儿童网络保护功能中的隐私保护
从制度溯源看,欧美国家“儿童版App”的发展也是有关法律法规体系为经营者收集、处理儿童个人信息提出的一系列合规要求的体现。例如,美国国会于1998年就已通过《儿童在线隐私保护法》(Children's Online Privacy Protection Act,COPPA),旨在规范商业网站或在线服务商从儿童处收集、使用和披露儿童个人信息等行为。且在此后近二十年,联邦贸易委员会(Federal Trade Commission,FTC)作为其指定的执法机构先后发布并持续修订了包括COPPA 规则(the COPPA Rule)在内的一系列法规与指导文件,以指导践行儿童信息保护。英国信息专员办公室也于2020年发布《适龄儿童设计准则》(Age Appropriate Design: A Code of Practice for Online Services),用以指导在线服务商如何实现儿童免受网络时代的隐私侵扰问题。就以上法律法规,各国相关互联网服务提供者便需要兼顾内容管理与隐私保护两方面的合规要求。
我国目前个人信息保护法律体系正在构建过程中,以《中华人民共和国民法典》第六章“隐私权与个人信息保护”为始,《中华人民共和国个人信息保护法》已于2021年8月20日通过,各部门各地方有关个人信息保护的配套立法进程也正在进行中。而关于未成年人个人信息的处理问题,诸如《中华人民共和国民法典》《中华人民共和国个人信息保护法》第31条、《中华人民共和国未成年人保护法》第72条以及《儿童个人信息网络保护规定》等对处理未成年人个人信息的问题进行了一般性的明确,但在“青少年模式”中如何融入、协调从而实现恰当的隐私保护仍旧需要进行更为详细的探索。
例如,有批评表示会有儿童绕过“年龄墙”“青少年模式”等措施,甚至家长也可能帮助儿童“撒谎”,因此主张需要收集更多的儿童个人信息以实现年龄识别。但如前所述,面对“谎报年龄”等行为,更好的方法或许是健全举报机制和事后探查措施,而不是肆意收集儿童个人信息。基于成本—收益的考量,在强监管要求之外的App不必在事前过度探查个人年龄信息,否则对于该部分敏感信息的收集、使用、存储又将造成新的困难,等到举报出现之后再进行核实或许是更有利于保护未成年人个人信息的方法。
3.2 不同App在年龄识别等合规要求上的细分与类型化
针对各家App形形色色的隐私条款与个人信息保护政策,已有第三方公司对其开展评估。非营利组织Common Sense Media的隐私政策评估项目对多个面向未成年人或专属儿童的App的信息保护合规程度进行了跟踪分析,并给出了供参考的评价指数。我国《南方都市报》联合“南都未成年人网络保护研究中心”,也于2021年4月发布了《短视频直播App青少年保护测评报告》。
据相关报告数据,可以看到:其一,主流App的未成年人隐私保护水平更高。从普遍表现上看,相对于小微公司开发的面向未成年人的App而言,大型公司开发的系列主流App的合规水平更高。这一结果不排除各方监督的推动,以及这些主流的大型公司背后也有更多的实力进行儿童个人信息保护方面的隐私合规;其二,不同功能类别的 App 的未成年人隐私保护合规要求与合规难度不同。社交类、直播类App因其高互动性特征与更多的个人信息暴露可能(如通讯信息、面部信息等),需要进行更为复杂细致的合规设计。而对于提供单纯的视频观看功能或音乐收听功能的App而言,则相对更易实现隐私保护合规。
因此,参考欧盟《一般数据保护条例》因对不同规模大小的企业科以同样的数据保护法律义务而招致批评的实践经验,在儿童网络保护领域可针对公司规模、业务类型等为基准而建立的更为恰当的合规体系。例如,参考上文中YouTube、Spotify、Facebook等公司的实践,及美国儿童在线隐私保护法律法规、英国《适龄儿童设计准则》等规定,对于影音类、社交类等主打不同功能、面向不同领域的App在年龄识别准入、后续使用等问题上存在的不同风险,制定较为适配的合规标准,从而实现儿童网络保护的最大效益。
4 结 语
我国目前互联网应用实践中普遍采用的App青少年模式可被视为儿童网络保护议题下的一种有益探索。但考虑到该模式的出发点系防沉迷基础上的功能限制与内容管理,其下一步将如何接入未成年人个人信息保护等功能并同《中华人民共和国个人信息保护法》等相关法律法规进行衔接,尚有待观察。从国际上看,无论是正在搭建儿童网络保护机制的中国,还是儿童在线隐私保护机制已运行二十年有余的美国,都面临着进一步思考诸如用户年龄识别、运营商知晓标准、监护人管理有效性等议题的要求。需要注意的是,不应要求儿童作为能独立掌控自己在线行为的成年人,也不应框定其为一个单纯被动的受限制者。儿童网络保护需要从不同的应用场景出发和功能类别出发,提出更多样态,更具有可持续性的解决方案,在国家、企业、家庭和未成年人之间建立健康可操作的权利义务分配关系,在保护儿童个人信息的同时保护他们在互联网上访问互动内容的能力。