谷歌旗下YouTube被罰1.7億美元 履行社會責任仍任重道遠

近年來互聯網侵犯用戶隱私事件頻發，其中兒童隱私問題已成為各國政府監管的重點。守法合規之外，企業對于隱私保護的的前沿動向“嗅覺”更靈敏，知識儲備更豐富，應當采取主動的姿態維護兒童隱私、履行社會責任。

在移動互聯網飛速發展的今天，全球數以十億計的少年兒童每天身處互聯網世界當中，接受和被接受各種資訊灌輸及各種應用軟件的信息收集請求。根據中國互聯網絡信息中心（CNNIC）發布第43次《中國互聯網絡發展狀況統計報告》，截至2018年12月，中國網民規模為8.29億，其中，10歲以下網民占4.1%。另一方面，據知名數據安全機構Gemalto統計，自2013年以來，世界范圍內已經有超過134億條數據被泄露。全球互聯網經營者和家長們都面臨一個越來越嚴峻的課題，那就是：如何營造一個安全健康的網絡環境，令孩子們的個人隱私不受侵犯？

因侵犯兒童隱私 谷歌與字節跳動受天價罰款

9月4日，谷歌同意繳納創紀錄的1.7億美元罰款，并修改旗下視頻網站YouTube關于保護兒童隱私的措施。此前，美國聯邦貿易委員會（FTC）和紐約州總檢察長指控，谷歌在未經父母同意的情況下，非法收集兒童的個人信息，從中牟利數百萬美元，違反了《兒童在線隱私保護法》（Children‘s Online Privacy Protection Act）。除了罰款之外，擬議的和解方案還要求谷歌開發一套識別兒童內容的系統，并通知頻道所有者他們有義務先征得家長的同意，隨后才能收集兒童信息。

無獨有偶，今年2月，美國短視頻社交應用Musical.ly（于2017年被字節跳動收購）因蓄意收集兒童個人信息，違反美國《兒童在線隱私保護法》（COPPA），被美國聯邦貿易委員會（FTC）處以570萬美元巨額罰款。

為什么短時間內會先后有兩家國際企業觸法受到重罰呢？究其原因，主要是因為相關企業管理層缺乏社會責任意識，把商業利益置于公眾利益之上，觸犯眾怒而受到利益相關方起訴。

全球大部分國家均制定了兒童隱私保護規范

兒童隱私和個人信息保護不是今天才有的話題。早在1989年11月，聯合國大會便通過了《兒童權利公約》，目前為止已有190多個國家批準生效。公約規定：“兒童的隱私、家庭、住宅或通信不受任意或非法干涉，其榮譽和名譽不受非法攻擊。兒童有權享受法律保護，以免受這類干涉或攻擊?！?012年，聯合國兒童基金會、聯合國全球契約組織和救助兒童會共同發布《兒童權利和企業原則》，列舉了企業尊重和支持兒童權利的行動措施，并重申了《兒童權利公約》關于隱私部分的要求。

可見，兒童隱私和個人信息保護議題在二十多年前已被聯合國提出并為世界各國接受。目前，大部分國家均從法律層面和企業社會責任層面對兒童隱私和個人信息保護行為進行了規范。

在美國，雖然美國至今都沒有批準《兒童權利公約》，但是它建立了更具操作性的法律體系。1998年，美國國會通過了《兒童在線隱私保護法》(COPPA)，保護兒童個人信息免受商業網站侵犯。次年10月，聯邦貿易委員會(FTC)發布了實施該法的細則。COPPA要求那些面向12歲以下兒童、或向兒童收集信息的網站和在線服務者，須向父母發出有關信息收集的通知，并在向兒童收集個人信息之前得到父母的同意;要求網站保證父母有可能修改和更正這些信息。YouTube和Musical.ly 觸犯的正是《兒童在線隱私保護法》。

在歐洲，2018年5月，歐洲《通用數據保護條例》(GDPR)正式開始在歐盟生效。GDPR規定：“只有在兒童年滿16周歲時，基于本人同意的數據處理才是合法的。如果兒童未滿該年齡，則只有在監護人的同意（或授權）的情況下，數據處理才是合法的。歐盟各成員國可以規定更低的年齡門檻，但不得低于13周歲?！睘榇?，騰訊按照GDPR要求，更新了QQ 國際版以便歐洲客戶繼續使用；另有100多家外國網站為此停止了其在歐洲地區的服務。

在中國，因應互聯網兒童隱私泄露或被不當利用事件頻發的現狀，今年8月，國家互聯網信息辦公室發布了《兒童個人信息網絡保護規定》，此規定適用于未滿14周歲的未成年人的個人信息保護，鼓勵互聯網行業組織指導推動網絡運營者制定兒童個人信息保護的行業規范、行為準則等，加強行業自律，履行社會責任?！兑幎ā芬缶W絡運營者設置專門的兒童個人信息保護規則和用戶協議，指定專人負責兒童個人信息保護。由此可見，兒童隱私和個人信息權利在國際、國內均受有關公約、法律法規的保障和關注。守法合規是互聯網企業持續經營的基本條件，若連合規都做不到，更不用標榜企業是如何履行社會責任了。

企業如何保護兒童隱私、履行社會責任

2018年，哈佛大學出版社出版了隱私領域知名學者WoodrowHartzog的新著《隱私保護的藍圖》，被美國媒體稱為“我們這個時代最重要的隱私著作”！作者認為：隱私保護的工作僅僅依賴一部法律、一類機構，還遠遠不夠。企業和行業組織等掌握關鍵資源的利益攸關者，亦應當承擔重要的社會責任。

企業如何能在守法合規的基礎上，更好地履行自身社會責任，切實保護兒童隱私和個人信息權利？我們提出以下幾點建議：

一、修改隱私保護政策，滿足政策法規要求。

守法合規是企業經營的必由之路，企業的客戶隱私政策首先要滿足當地法規的要求。隱私保護方面守法合規的優等生當屬蘋果公司。業內人士認為，該公司的具體規則基本與《兒童網絡隱私保護法》（COPPA）一致。例如，蘋果公司“家人共享”計劃。其隱私政策載明，13周歲以下的兒童無法自行創建 Apple ID，如需創建，家庭組織者需要提供經驗證的家長同意書，并代表兒童在家庭群組中創建Apple ID。我國互聯網企業騰訊、京東、酷狗等公司的服務協議也要求18周歲以下的未成年人，在使用其產品與/或服務前，應事先取得家長或法定監護人的“書面同意”。

二、支持建立關于兒童隱私保護的行業標準。

鼓勵企業參與并引導行業設立統一的兒童隱私保護標準。國際標準化組織（常簡稱ISO）等標準編撰機構均在著手書寫隱私相關的行業標準，并已產生部分成果。相比監管機構，企業對前沿動向的“嗅覺”更靈敏，在知識等方面的儲備亦更加豐富適用，同時可以降低合規成本、培育用戶信任等，這些都是企業自發推進隱私領域合規的動力。

三、設立首席隱私官，將隱私保護嵌入組織治理體系。

為了更有效地貫徹企業的客戶隱私保護政策，一些先行企業還專門任命了首席隱私官（CPO），將隱私保護納入組織治理體系。自2000年IBM首次任命首席隱私官后（CPO），包括微軟、花旗集團、美國運通、惠普、Facebook、奇虎360、螞蟻金服等100多家知名企業都設立了首席隱私官。CPO的設置，是企業守法合規、履行社會責任、獲得消費者信任的重要舉措，我們希望更多的中國企業能夠邁出這一步。

四、定期披露兒童隱私保護行動進展。

《GRI可持續發展報告標準》是一項被90%的世界250強企業認可采用的社會責任報告標準。該《標準》有一項議題便是“客戶隱私”?！稑藴省饭膭钇髽I向公眾披露：客戶隱私的管理辦法；收到的與侵犯客戶隱私有關的經證實的投訴總數以及經確認的泄漏、盜竊或丟失客戶資料的總數等。上述披露是一種有效的利益相關方溝通方式，企業可以化被動為主動，贏得客戶、媒體和監管機構信任。

五、提升個人隱私保護意識。

在我國，消費者個人隱私保護意識和能力薄弱是導致侵權行為頻發的重要因素之一。因此，加強兒童隱私保護教育、提升公民自我防護意識顯得尤為迫切和必要！這項工作需要政府、行業協會和互聯網企業的群策群力，也需要家長乃至少年兒童們的積極參與。

Goggle和字節跳動子公司違規事件給每家互聯網企業上了震撼心靈一課——那就是任何時候都不能把企業商業利益凌駕于公眾利益之上。兒童隱私保護事關國家未來主人的健康成長。企業在嚴格遵守法規的同時，應當采取更加主動的策略和措施，為兒童個人信息權利保護承擔多一份社會責任！