2021年3月11日，浙江省杭州市余杭区检察院诉国内某知名短视频公司侵犯儿童个人信息民事公益诉讼案结案。相关报道显示，该公司主要在以下三方面侵犯了儿童个人信息：第一，在开发运营该公司APP的过程中，未以显著、清晰的方式告知并征得儿童监护人有效明示同意允许注册儿童账户，并收集、存储儿童个人信息；第二，在未再次征得儿童监护人有效明示同意的情况下，向具有相关浏览喜好的用户直接推送含有儿童个人信息的短视频；第三，没有采取技术手段对儿童信息进行专门保护。该案最终以调解方式结案，公司接受了检察机关就该案提出的停止侵权、赔礼道歉、消除影响、赔偿损失等诉求。

该案为所有涉及未成年人个人信息处理的机构敲响了警钟，未成年人个人信息保护相关的法律规定不仅是依靠企业自律遵守的管理性规定，违反规定将会被依法追究责任。

上述案件未披露具体赔偿金额，尚不能从中看出我国对侵犯儿童个人信息行为进行处罚的尺度，鉴于我国对个人信息的保护借鉴了国际经验[1]，国际上已有司法实践可以为我国未来针对违规处理儿童个人信息行为的执法力度提供参考。以美国为例，截至2020年，美国联邦贸易委员会共处罚了36家违反《儿童在线隐私保护法》的企业[2]。典型案例如2019年2月7日，美国联邦贸易委员会对北京字节跳动科技有限公司在美国的运营实体Musical.ly处以570万美元罚款，其违法行为包括未通知13岁以下用户的父母有关该应用程序收集和使用个人信息的行为，在此类收集和使用之前未征得父母的同意，并且未在父母的要求下删除该信息。以及，2019年9月4日，谷歌与美国联邦贸易委员会达成和解协议，同意就旗下YouTube视频公司非法收集和分享儿童个人信息一案共支付1.7亿美元的罚金，因为其存在以下三种违法行为：未能在其网站上充分披露他们如何收集并使用儿童信息；未向家长直接报告儿童信息收集的方式和内容；未能在收集信息前获得家长的明确同意。以欧盟国家为例，荷兰数据保护局（Autoriteit Persoonsgegevens）于2021年7月22日，以侵犯儿童隐私为由，决定对字节跳动旗下短视频社交平台TikTok（“抖音”国际版）处以75万欧元的罚款，原因使2018年5月25日至2020年7月29日间，TikTok没有以“可以理解的语言”告知儿童关于个人数据的处理，从而违反了GDPR第12（1）条的规定。

我们在提供常年法律顾问服务过程中也遇到一些客户在提供服务过程中需要收集、存储和使用未成年人个人信息的情况，如学校委托第三方处理学生报考事宜、企业提供考务外包服务等。各行各业在开展业务的过程中未成年人也是用户的重要构成部分。在法律加强对未成年人个人信息保护力度，主管机关监管趋严的当下，企业面向儿童开展业务过程中，如何合法合规处理儿童个人信息，避免被追究法律责任，是亟待明确的问题。

2021年11月1日实施的《中华人民共和国个人信息保护法》(以下简称“个保法”)是个人信息保护领域的基本法，该法重申了对未成年人个人信息的特殊保护，本文以此为切入点，结合其他有关未成年人个人信息收集方面的法律规定，明确未成年人个人信息收集的底线和边界，并提出具有可操作性的未成年人个人信息处理合规指引。

根据我国相关法律规定，不满十四周岁未成年人的个人信息需要受到特别保护。

个保法第二十八条将不满十四周岁未成年人的个人信息列为敏感个人信息，适用敏感个人信息的处理规则。《中华人民共和国未成年人保护法》第七十二条、《数据安全管理办法（征求意见稿）》第十二条、《儿童个人信息网络保护规定》第二条和《信息安全技术个人信息告知同意指南》3.2也作出了相同的规定。

个保法确立了以“告知—同意”为核心的个人信息处理系列规则。在收集未成年人个人信息过程中应对哪些事项进行告知，应取得哪些人的同意，违规收集信息将导致什么样的法律责任，本节对相关法律规定进行了梳理。

（一）未成年人个人信息收集过程中的告知事项

《中华人民共和国个人信息保护法》第十七条规定了处理个人信息时应告知的内容，第三十条规定了处理包括不满十四周岁未成年人个人信息的敏感个人信息时应告知的内容。《儿童个人信息网络保护规定》第十条规定了网络运营者处理未成年人信息时应告知的内容。

总结而言，处理不满十四周岁未成年人个人信息时至少应告知以下内容：

1．个人信息处理者的名称或者姓名和联系方式；

2．个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

3．个人行使个保法规定权利的方式和程序；

4．法律、行政法规规定应当告知的其他事项；

5．处理敏感个人信息的必要性以及对个人权益的影响

一至四项事项发生变更的，应当将变更部分告知个人。第三项中个人行使个保法规定权利是指个保法第四章规定的个人在个人信息处理活动中的权利，主要是个人对其个人信息的处理的知情权和决定权，具体包括请求查阅、复制、更正、补充和删除个人信息的权利。

网络运营者处理未成年人个人信息时除了告知上述事项外，还应告知以下内容：

1．个人信息存储的地点、期限和到期后的处理方式；

2．个人信息的安全保障措施；

3．拒绝的后果；

4．投诉、举报的渠道和方式；

5．更正、删除个人信息的途径和方法；

个保法中对于告知内容的规定是处理个人信息时应进行告知的最低标准，更详细的告知内容可参见《信息安全技术 个人信息告知同意指南（征求意见稿）》8.1的规定。

（二）监护人明示同意制度

按照个人信息保护制度的一般规定，处理个人信息应取得个人同意。鉴于未成年人尚未建立健全的信息保护意识，也不具备必要辨别能力和理解能力，法律对不满十四周岁未成年人个人信息处理提出了更高的保护要求，针对未成年人个人信息的处理设立了监护人同意制度。

个保法第三十一条、《中华人民共和国未成年人保护法》第七十二条和《儿童个人信息网络保护规定》第九条均规定，个人信息处理主体处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。

上述法律未明确同意的做出方式，网络运营者取得监护人同意的可参照《信息安全技术 个人信息告知同意指南（征求意见稿）》9的相关规定。

（三）违规收集未成年人信息的法律责任

在全国首例未成年人网络保护民事公益诉讼案中，案涉公司承担了停止侵权、赔礼道歉、消除影响、赔偿损失的法律责任。根据个保法相关规定，违规收集未成年人信息的，相关主体将依法被追究民事责任、行政责任或刑事责任。

根据个保法第六十六条规定，违法处理个人信息或者未履行个人信息保护义务的，由主管机关责令改正，给予警告，没收违法所得，对违法处理个人信息的应用程序，责令暂停或者终止提供服务；拒不改正的，并处一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的，处罚金额最高可达五千万元或者上一年度营业额百分之五，并可受到责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照的处罚。

根据个保法第六十七条规定，违规企业将被记入信用档案，并予以公示。

民事责任方面，个保法第六十九条规定，违规收集未成年人信息侵害个人信息权益造成损害的应承担损害赔偿等侵权责任。

个保法第七十一条规定，违法行为构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

（一）依照最小必要原则筛选必须收集未成年人个人信息的业务场景

个人信息收集应遵循最小必要原则，即个人信息的收集处理应限于实现处理目的所必要的最小范围。在收集未成年人个人信息时，更应该对收集个人信息的业务场景做出严格限制。各企业应对自身业务进行梳理分类，筛选出必须收集个人信息的业务，并对收集个人信息的目的、必要性等加以明确，为收集未成年人个人信息的行为提供合法理由。

（二）采取合理措施识别未成年人用户并验证其监护人

为识别不满十四岁的未成年人，应建立年龄认证和识别系统, 或利用真实身份注册验证机制, 有效识别未成年人用户。

收集未成年人的个人信息前, 严格要求用户的父母或其监护人明示同意。参照其他国家关于未成年人父母或监护人明示同意的规定，表示明示同意的方法包括：

1.签署一份书面的同意文件并通过传真、邮箱或电子扫描方式邮寄回来；

2.通过电话联系；

3.进行视频会议；

4.提供政府颁发的可在数据库中查询的ID复印件；

5.使父母或监护人回答一系列以知识为基础的对于父母之外的人很难回答的具有挑战的问题；

6.验证父母或监护人的照片，通过人脸识别技术进行对比。

企业还应设置筛查甄别机制, 及时发现未经同意而收集的未成年人个人信息, 及时删除相关数据。

（三）制定未成年人个人信息处理隐私政策

在收集未成年人个人信息阶段应向本人及其父母监护人发布未成年人个人信息处理隐私政策。隐私政策应当是清晰易理解的。隐私政策应该封闭列举出所要收集的未成年人个人信息，并清晰且全面地说明未成年人个人信息被收集后是如何处理的以及其他法律规定的应该告知未成年人父母或其他监护人的内容。