快乐小鸡在安装时要求位置权限。

小盒子学生强行打开多个权限。

8月2 3日，国家互联网情报局发布《儿童个人信息网络保护规定》，自2019年10月1日起施行。这意味着我国针对儿童的信息保护制度又向前迈进了一步。

该规定是5月31日互联网通信公司发布《儿童个人信息网络保护规定(征求意见稿)》，向社会公开征求意见后推出的正式版本。根据规定，网络运营者必须设置特殊的儿童隐私规则和用户合同。网络运营者收集、使用、转移和公开儿童个人信息时，必须以明显、明确的方式通知儿童保护者，并得到儿童保护者的同意。网络运营者征求同意时，必须同时提供拒绝选项等。

新京报记者发现，目前大部分APP都以提出隐私合同的方式介绍信息收集方式。结合这项规定，APP在收集儿童信息时需要隐私协议，该协议必须得到儿童监护人的同意，APP不能强制收集信息。

此前，新京报记者从9月3日至9月8日测试了30个儿童应用程序，结果显示，其中9个在保护儿童信息方面存在缺陷，包括没有隐私合同、没有儿童监护人同意的选项。

“这项条款的引入是非常及时和必要的。但是，现在很多儿童通过父母手机使用app，如何认识到“儿童信息”是什么，并指明监护人是否需要进一步细分制度，因此，儿童信息保护仍然存在一些困难。”中国人民大学法学院副教授郑晓东对新京报记者说。

13个儿童应用程序要求位置权限，幸福小鸡、小盒子学生强制要求请求权。

9月3日至9月8日，新京报记者测试了30个儿童应用程序，结果显示，2个应用程序强制批准，6个隐私协议，2个有隐私协议，但没有监护人的许可。部分APP同时存在两个问题，所以最终共有9个APP在隐私规范上存在缺陷。

在这30个应用程序中，鱼、绘本、凯宿说故事等15个应用程序为七密数据发布的“iOS免费排行榜”中排名前15位的应用程序、童谣多、幸福小鸡等15个应用程序都是从华为应用市场“儿童”分类区的人气推荐中选出的。分别代表iOS系统和Android系统。

新京报记者的测试表明，在强制许可中，大多数儿童APP可以明确警告和拒绝收集的信息，提供选项。如果宝宝用英语要求摄像头和录音权限，拒绝后会显示“程序需要这些权限才能正常工作”的消息。儿童配音在文件访问权限被拒绝时显示消息“如果拒绝，APP将无法正常工作”，但上述APP在拒绝授权后仍可继续打开。

以上30个应用程序中，幸福小鸡在安装时要求存储和地理权限，如果用户拒绝，则无法安装。相反，小盒子学生在安装后第一次打开时，要求存储、位置、电话、拍照、麦克风权限，如果拒绝，则不能使用。相比之下，小盒子的学生们会签订比较完整的隐私合同，要求填写“你或父母的手机号码”，幸福的小鸡比较简单，没有隐私合同。

根据APP特别管理工作组发布的《APP申请安卓系统权限机制分析与建议》，APP通过“打包包”、“默认打开”、“强制捆绑”、“个人变更”、“经常干扰”等方式，“授权APP安装时一次性申请多项危险权限或所有权限”

记者登录了“幸福小鸡”，在该应用程序中没有发现与地理位置相关的功能。事实上，时尚公主、奇妙怪物朋友等多种儿童应用程序要求地理位置权限，但这些应用程序提供了拒绝选项，而不是强制安装。

需要注意的是，根据《网络安全法》第41条，互联网运营者并非如此。

得收集与其提供的服务无关的个人信息。但对于儿童类APP中何种信息属于“与其提供的服务无关”，目前尚未有明确的标准出台。此前，全国信息安全标准化技术委员会曾发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》，依据个人信息收集最少够用的原则以及不同种类APP的业务范围，对地图导航、网上购物、餐饮外卖等16类APP收集个人信息的范围给出了参考，但目前尚无针对儿童APP的明确标准。

不过仅从APP要求索取的权限来看，30款儿童APP中有13款索取了地理位置权限，地理位置是儿童APP最爱收集的涉敏感权限。

6款儿童APP无隐私协议，8款未设置监护人同意选项

《儿童个人信息网络保护规定》强调，APP在收集、使用、转移、披露儿童个人信息时，应当征得儿童监护人的同意。目前，在记者的测试中，共有8款APP在隐私条款或运行界面中没有监护人同意的设置。

其中，有6款APP直接没有隐私条款的设置，包括可可宝贝、人教版小学英语、宝宝爱连线、小企鹅乐园、快乐小鸡、DIY史莱姆制造者。其中，人教版小学英语或为配合教程使用的辅助APP，而宝宝爱连线、DIY史莱姆制造者等为功能较为单一的游戏类APP，不过可可宝贝获取了电话、照片等敏感权限，却没有隐私条款，存在的隐私规范瑕疵较大。

此外，少儿趣配音与晓黑板2款APP虽然具备隐私政策，但没有监护人授权的选项。因此共有8款儿童APP没有“征得监护人同意”的设置。

新京报记者发现，测试的30款儿童APP中，监护人同意的表述大部分都写在隐私协议中，如宝宝玩英语在其隐私政策中表示，“若您是18周岁以下的未成年人，请在您的父母或监护人的指导下仔细阅读本《隐私政策》，并在征得您的父母或监护人同意的前提下提交您的个人信息。”而少数APP具备家长设置儿童使用时间，以及通过算术题验证的方式验证家长身份等。

对于儿童类APP“监护人同意”选项的设置方式，目前也有一些不同的声音。有不愿具名的早教类APP从业者对新京报记者表示，在实际操作中，“征得监护人同意”的规定“较为死板”，“一般小孩子玩的APP都是家长给下载好的，手机也是家长的，再在APP里写一则隐私协议并标注‘监护人同意’也就是为了合规，即便写了，也怀疑家长会真正阅读。”她认为，一些规则较为简单的儿童游戏APP的界面设计“非常简单，并不收集儿童信息，但再强行放置一个隐私协议或家长需知，有些没有必要”。

其认为，“通过做算术题或者填成语的方式验证家长身份比在隐私协议中标明家长需知更加能确保APP收集信息的行为真正被监护人而不是儿童知晓。”

对此，中国人民大学法学院副教授丁晓东表示，在儿童领域，难点在于监护人同意的设置是否可以真正起到这个作用。“因为通知权限本身就容易被用户忽略，如果普通用户在使用APP时已经习惯点击同意权限申请了，那么可以合理怀疑儿童使用APP时，同样是普通用户的父母会不会更加在意。”

实际上，国外也有类似的“监护人同意”制度。如美国于1998年通过了《儿童网络隐私保护法》(COPPA)，而联邦贸易委员会(FTC)则负责儿童网络隐私保护的执法。COPPA确定的重要原则就是要求特定网站和网络服务在收集、使用或透露不满13岁儿童个人信息前应履行“通知并取得同意”义务，即通知儿童父母并取得父母同意的事先义务。

在丁晓东看来，APP采取“在产品开发和商业模式上做设计”的方式来进行儿童信息隐私保护可能会更为合理。比如，广告个性化推荐，应当对相关算法进行人工优化，避免对儿童进行个性化推荐。换句话说，就是对风险的控制应当在产品开发设计和商业模式规划阶段就考虑到，而不是通过监护人的同意机制来实现。

综合类APP保护儿童信息陷困境

目前，对APP用户年龄最精确的统计方式是直接统计APP注册用户的年龄信息，但多个专家对新京报记者表示，对于儿童，这种方法无法做到。

有从事APP大数据统计的人士对新京报记者表示，此次新规规定了APP在收集儿童信息时的注意事项，但实际上，绝大多数APP都不可避免的有儿童用户，此时如何判断用户为儿童是一大难点。“例如我们可以统计手机注册用户的年龄，但14岁以下的儿童基本没有手机，都是使用大人的，此时APP也不知道对方的真实身份，因此难以统计。”

因此，在此次测试中，新京报记者采用在各大APP商店中标明“儿童”标签且排名靠前的APP作为测试标的。但对于主要用户是成年人，但也有儿童使用的APP，《儿童个人信息网络保护规定》应如何发挥作用呢？

目前，多个国内热门APP均上线了“青少年模式”，如bilibili在首页会弹出进入青少年模式的弹窗，但对于此类用户涵盖儿童及成人的APP，《儿童个人信息网络保护规定》在实际操作方面或将遭遇难题。

“这是因为，在现实生活中，识别儿童很容易，禁止儿童购买烟酒也容易做到。但在网络上，对儿童的个人信息保护较为困难，商家很难在线上辨识用户是否为儿童，以及它收集的信息是否为儿童信息。”丁晓东表示。

中国互联网络信息中心(CNNIC)发布的第44次《中国互联网络发展状况统计报告》显示，截至2019年6月，我国网民规模达8.54亿，其中10岁以下网民占比4.0%，10-19岁网民占比16.9%。

事实上，有不少家长向新京报记者反映，孩子喜欢用自己的手机“玩吃鸡、刷抖音”等，对手机里的APP“比家长还懂”。此时，APP为进行定推收集到的信息是否属于儿童信息就容易引起争议。

收集儿童信息以判断儿童身份或增加问题

新京报记者测试发现，目前儿童类APP主要分两类：游戏类与学习类。

其中，针对游戏类儿童APP的规定实际早已有之。如2017年发布的《未成年人网络保护条例(送审稿)》第二十二条规定，“网络信息服务提供者提供网络游戏服务的，应当要求网络游戏用户提供真实身份信息进行注册，有效识别未成年人用户，并妥善保存用户注册信息。国家鼓励网络游戏服务提供者根据国家有关规定和标准开发网络游戏产品年龄认证和识别系统软件。”

北京青少年法律援助与研究中心2019年8月发布《中国未成年人网络保护法律政策研究报告》指出，自2012年起，《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》以及国家互联网信息办公室发布的规章等逐步要求“信息发布、即时通讯等服务”，通过“后台实名、前台自愿”的方式获取用户的真实身份信息。中国网络视听节目服务协会于2019年1月发布的《网络短视频平台管理规范》也明确提出要求网络短视频平台采用“用户画像、人脸识别、指纹识别等”新技术手段来落实账户实名制的要求。

北京青少年法律援助与研究中心对新京报记者表示，从上述法律政策要求可以看出，我国未成年人网络保护立法政策的基础是身份识别，“为了加强对未成年人的网络保护，我们首先强化了对其个人信息的收集，通过收集其各种信息以确认其是未成年人，千方百计避免未成年人虚报年龄以逃避特殊保护。但在收集儿童信息方面，必须提出的问题是:这个收集信息的过程也许就成为侵害未成年人隐私权的过程，就埋下了未成年人隐私权受到严重侵害的风险。”

在此次30款儿童APP测试中，新京报记者并未发现有游戏APP要求对儿童进行信息注册。目前，在实名注册方面做得较为完善的游戏APP包括王者荣耀、和平精英等，但这些APP的主要用户为成年人。

对此，腾讯守护者计划对新京报记者表示，其用户中也不乏使用家长手机进行注册并游戏的未成年人，而对于这批用户，腾讯采取一定的算法来进行识别，“比如查看用户的游戏时长以及操作习惯等，对判断为未成年人的用户，也会采取相对应的措施。”

不过，通过收集注册信息来判断儿童身份或许会带来负面影响。如2011年韩国国会通过了《未成年人保护法》，规定互联网游戏运营者向不满16周岁的未成年人提供互联网游戏服务的，应当征得其监护人的同意，且0点至6点之间，互联网游戏运营者不得向不满16周岁的未成年人提供互联网游戏服务。但根据韩国产业研究2014年的“文化产业全球竞争力提高方案”报告，推行游戏宵禁制度之后，青少年每日玩游戏的时间虽然减少了约16到20分钟，但这项制度也使40%的青少年通过盗用身份证号码的方式玩游戏，从而导致他们可能更多地接触面向成人的游戏。另外未满16岁的未成年人需要监护人的同意才能注册游戏账号，因此游戏公司需花高额费用建构个人信息收集系统，用于收集监护人的个人信息。这导致如何有效保护这些监护人的个人信息不被泄露成为了另外一个难题。

北京青少年法律援助与研究中心呼吁，目前未成年人网络保护问题上存在多重视角，政府希望通过推动立法、制定政策，不仅督促企业承担更多责任，也希望家长、学校发挥起有效作用；越来越多企业在承认自身要承担更多责任基础上，也希望政府、家长、学校要积极履责。因此对此问题，亟需多方共治。

新京报记者 罗亦丹 实习生 翁睿敏 张卓 luoyidan@xjbnews.com