数据跨境流动视角下的欧盟儿童隐私保护

发布时间：2025-11-21 17:59:53  浏览量：43

当今，未成年人已成为使用互联网主要群体，约占总网民人数的15%。儿童因其认知有限，在参与网络活动中个人信息更容易被泄露，是需要特殊保护的群体。尤其当儿童隐私和数据跨境流动相结合时，更需重视对他们的保护。

□ 王钢 肖卓航 张艺蓓

2024年，爱尔兰数据保护委员会曾对X（前Twit⁃ter）及其关联公司xAI进行调查，原因是该公司将欧盟用户在X平台上公开的帖文传输至美国用于训练“Grok人工智能模型”，此举涉嫌违反欧盟《通用数据保护条例》（以下简称《条例》）关于数据跨境传输的规定。该案涉及6000多万欧盟用户，其中相当比例为13至17岁的未成年人，而X公司在数据传输过程中并未设置年龄限制。

此案表明，数据跨境流动可能对儿童隐私信息造成进一步的侵害。本文从数据跨境流动视角出发，分析欧盟在儿童隐私保护方面的相关立法与实践。

数据商业价值驱动下的儿童隐私泄露

2016年联合国儿童基金会报告显示，全球每三人中就有一人为儿童，而在“网络人口”中，这一比例更高。近年来，儿童的网络使用时长持续增加，甚至在网络基础设施不足的地区，儿童上网时间仍显著高于成年人。这意味着，包含儿童个人隐私的上网数据在数量、类型等方面均处于快速扩张状态。

与此同时，数据在全球数字经济中的地位已由“副产品”转向“核心资产”。跨境电商、社交媒体、游戏等互联网企业以及第三方市场调研、数据提供机构为实现精准营销和个性化服务，更加依赖数据驱动的商业模式，这也给儿童隐私乃至安全带来极大威胁。2018年，法国数据保护委员会曾对YouTube是否符合《条例》对未成年用户数据的保护要求（如实施家长同意机制）进行调查，最终，You⁃Tube被处以5000万欧元的罚款。无独有偶，2020年，韩国通信委员会发现TikTok在收集14岁以下用户数据时未征得家长同意，并且未能披露其跨境传输情况，其中涉及至少6000名儿童。

2022年，美国游戏公司史诗游戏因其在《堡垒之夜》运行过程中违规收集儿童信息而遭到调查。公司不仅默认开启未成年玩家的实时语音聊天功能，还通过数据分析系统将儿童玩家随机匹配给陌生成年人。这使儿童在游戏中面临潜在的隐私泄露和安全风险，同时，家长也难以有效删除相关敏感数据。美国联邦贸易委员会认定这些做法违反了《儿童在线隐私保护法》（1998）及相关消费者保护法规。最终，该公司同意支付总额约5.2亿美元的和解金，其中包括因侵犯儿童隐私而支付的2.75亿美元罚款，以及向受影响用户退款2.45亿美元。

前述案例表明，数据跨境流动一旦忽视儿童特殊保护要求，风险将被成倍放大。这种缺乏精细化防范机制的现状，使儿童面临“无差别暴露”的危险。

欧盟法律框架下的儿童隐私保护及其矛盾

《条例》框架下的儿童数据保护

《条例》被认为是全球最具影响力的隐私保护法规。其序言第38条明确指出，儿童因认知不足和心理不成熟而需要特别保护。第8条规定，处理16岁以下儿童数据需获得监护人同意，第12条则强调，应以儿童可理解的方式提供相关信息。

在跨境传输方面，《条例》以“充分性认定”机制要求第三国提供与欧盟“实质等同”的保护水平。韩国等国家正是通过欧盟委员会的认定，才得以进入欧盟数据跨境“白名单”。

制度缺陷与现实矛盾

尽管2018年《条例》强调儿童数据隐私权保护，但通过上述案例可见，其在实践中仍存在三大难题：

其一，年龄验证难以落实。儿童可轻易通过谎报年龄的方式规避平台限制，且平台缺乏统一的验证数据库，从而缺少相应的技术支持。

其二，父母同意机制流于形式。许多平台只需勾选同意框即可“获得”监护人许可，监护人的身份极易被冒用，许可的真实性无从验证。

其三，充分性认定存在政治化倾向。在数据流动实践中，欧盟的评估标准不仅基于法律考量，还受制于外交与经贸关系。这使得“儿童利益最大化”未必能成为认定的核心、独立要素，从而削弱了制度的针对性和客观性。

换言之，《条例》虽然确立了儿童特别保护原则，但缺乏与数据跨境流动高度契合的技术要求和操作细则。

可能的制度完善方案

找寻科学有效的年龄验证机制

针对前述“验证难题”，可借鉴2018年英国信息专员办公室制定的《适龄设计守则》。该守则提出，企业可通过第三方验证服务或人工智能分析推测用户年龄，并要求遵循“最小化收集”和“用途限定”原则，以降低数据滥用风险。

未来，欧盟可考虑推动统一的年龄验证标准，借助行业协会与国际标准化组织进行推广。这不仅能提升合规一致性，也有助于减少跨境服务提供商的合规成本。

按照风险等级分层保护与父母同意机制改革

文章开篇提到的案例表明，不同类型服务可能造成的儿童隐私风险程度不同，如社交媒体、游戏平台等用户种类复杂的网络环境所采取的用户数据处理规则，与使用群体较为单一的教育应用相比，更难统一标准。因此，对所有平台的儿童用户数据保护采取“一刀切”模式并不可取。

为此，欧盟可考虑设置基于不同风险的多层级的保护模式：低风险服务采取简化机制，高风险平台则引入强制性多重验证。同时，在父母同意机制上，可借鉴美国联邦贸易委员会与行业合作的模式，引入小额支付、视频验证或区块链身份认证等更具可信度和可操作性的方式。行业协会还可制定行为准则，在《条例》第8条的框架下为各类服务提供差异化的执行方案。

在“充分性认定”中引入儿童保护指标

前已述及，实践中欧盟对于“充分性认定”的规则考量偏重政治与经贸因素。对于这一问题，欧盟可在“充分性认定”体系中纳入“儿童保护指标”，并针对第三国在儿童数据保护领域的立法、执法等环节，单独设立专门的评价维度。例如，可设立最低保护标准：第三国必须具备明确的儿童数据定义、年龄验证机制、监护人同意规则以及可供审查的执法实践案例。只有符合要求的国家，方可获得儿童数据跨境的“白名单”资格。如此，欧盟才可能在保护数据主权的同时真正实现儿童隐私的跨境保护。

数据跨境流动在推动数字经济与人工智能发展的同时，使儿童隐私面临巨大挑战。已有国际案例表明，儿童数据是企业勾勒商业版图的重要资源，但现有制度的漏洞也正在放大其风险。《条例》作为全球领先的隐私立法，在原则层面明确了儿童特别保护的要求，但在执行细节上仍存在年龄验证不力、父母同意形式化以及充分性认定偏离目标等问题。

未来，欧盟需要在三个方向上做出努力：其一，建立科学且普适的年龄验证机制；其二，按风险程度实行差异化保护并改革父母同意方式；其三，在“充分性认定”中引入儿童保护特别指标。如此，才能在维护数据跨境流动自由基调的同时实现对儿童权益的实质保障。

【本文系国家社科基金项目“中国对外纠纷解决中的国家安全保护研究”（项目编号：21BZZ085）的阶段性成果】

（作者单位：西北大学法学院）