2024年5月，全国网络安全标准化技术委员会（简称“网安标委”）发布了2024年度第一批网络安全国家标准需求清单，其中就包括了多项与未成年人保护相关的标准需求。值此6.1儿童节之际，本文就“未成年人产品和服务网络保护要求”标准的编制思路予以探讨，一则为后续标准编制提供参考思路，二则向各方分享观点，呼吁进一步加强未成年人网络保护能力水平，构建适应未成年人身心健康发展和网络空间。

一、未成年人网络保护原则探讨

近年来，随着互联网的普及应用，特别是移动互联网迅速发展，越来越多的未成年人开始接触和使用互联网。互联网在拓展未成年人学习、生活空间的同时，也带来了一些问题，如未成年人安全合理使用网络的意识和能力不强、网上违法和不良信息影响未成年人身心健康、未成年人个人信息被滥采滥用、一些未成年人沉迷网络等。2024年1月1日，《未成年人网络保护条例》（以下简称“《条例》”）实施，为未成年人在网络空间的健康成长提供了坚实的法治保障。

《条例》明确指出，未成年人网络保护应坚持最有利于未成年人的原则，适应未成年人身心健康发展和网络空间的规律和特点，实行社会共治。因此，“未成年人产品和服务网络保护要求”的编制应紧密围绕《条例》提出的根本和总体原则，从有助于帮助产品和服务提供方理解和实施的角度明确具体的原则。结合上述当前存在的问题，以及以往未成年人网络保护的实践经验，可从以下几个方面界定原则：

一是默认保护原则。除未成年人产品和服务所提供的基本功能以外，其他扩展功能及对应的系统权限和个人信息应处于关闭或不收集状态，以确保未成年人及其监护人不做任何设置直接使用产品或服务也能达到有效保护的状态。

二是有限使用原则。成年人产品和服务应根据有关规定设置时间限制、功能限制等机制，防止未成年人沉迷网络导致影响身心健康等问题。

三是正向引导原则。未成年人产品和服务所提供的功能及所展示的信息内容，应当始终坚持从有利于未成年身心健康发展的视角进行正向引导。

四是简洁有效原则。未成年人产品和服务所提供的功能界面应当简洁易操作，不存在误导性、干扰性的设置，处理个人信息的目的应明确，所提供的功能应独立且能产生直接的使用效果。

五是便于监护原则。未成年人产品和服务应提供监护人对未成年人使用网络的行为进行监督管控的功能，且功能简单易操作。

六是影响评估原则。未成年人产品和服务提供方应开展未成年人网络保护影响评估，确保产品和服务的相关功能、目的不会对未成年人身心健康产生不利影响；同时，因实现功能所需以及便于监护人管控处理未成年人的个人信息时，应事先进行敏感个人信息处理的个人信息保护影响评估。

七是开放共治原则。未成年人产品和服务应公开可获取，且长期向社会开放监督、评议的渠道，并能及时根据监护人和社会反馈意见予以优化调整。

二、未成年人网络保护要点探讨

未成年人产品和服务的种类繁多，包括了智能硬件产品、移动应用程序、互联网平台、专用保护软件等等，且生态复杂、更迭频繁，在提出网络保护要求时，应当尽可能兼顾各类不同产品和服务，以保证条款内容的适用性。建议从以下视角提出共性的要求，以便产品和服务提供方结合自身功能特点就适用条款予以落地实施。关注要点包括：

一、未成年人网络保护总体要求，包括在产品和服务的设计、研发、运营等阶段，充分考虑未成年人身心健康发展特点，定期开展未成年人网络保护影响评估；提供未成年人模式或者未成年人专区等；按照国家规定建立健全未成年人网络保护合规制度体系，成立主要由外部成员组成的独立机构，对未成年人网络保护情况进行监督等。

二、个人信息网络保护要求，包括未成年人的监护人指导未成年人行使其在个人信息处理活动中的查阅、复制、更正、补充、删除等权利，保护未成年人个人信息权益；以最小授权为原则，严格设定信息访问权限，控制未成年人个人信息知悉范围等。

三、未成年人模式和专区要求，包括对未成年人模式和专区的入口设置、账号管理、支付限制、防沉迷设置、服务功能设置等提出要求等。

四、监护人控制要求，包括应用安装控制、功能控制、时间控制、以及监护人管理等相关要求。

五、软件安全要求，包括操作系统安全、应用程序安全、第三方应用程序安全管理、后台信息系统安全等相关要求。

六、网络信息内容安全要求，包括引导未成年人养成良好生活习惯和行为习惯等的网络信息，营造有利于未成年人健康成长的清朗网络空间和良好网络生态，建立健全网络欺凌行为的预警预防、识别监测和处置机制等。

七、新技术新应用安全，包括新型硬件和组件应用、算法和人工智能应用、生物识别技术应用、主动保护技术应用等方面的要求。

三、未成年人网络保护难点堵点

未成年人网络保护问题一直是全社会的焦点，一则是体现了全社会对其的重视，二则是其中有部分问题难以找到妥帖的解决方案，这也是全世界范围内的一大难题，在研制未成年人产品和服务网络保护基本要求标准时，应尽力寻找最优解，也需要以创新、发展的思维方式尝试破题。需关注典型难点和堵点问题包括：

一是，监护人有效同意的实施方法和同意后如何持续核验身份的方法不统一，方法存在规避可能，核验效果欠佳。

监护人同意是处理未成年人个人信息的前提，也几乎成为了所有未成年人产品和服务使用的前提。根据《个人信息保护法》，不满14周岁的未成年人个人信息属于敏感个人信息，需要监护人单独同意。因此，准确识别用户的年龄似乎就成为了履行《个保法》和《未保法》相关义务的必要动作，而如何在用户注册时识别用户年龄、准确识别当前使用用户的年龄则成为一大难题。按照当前的实践做法，可以简单区分为主动识别、被动识别和无需识别三种。具体如下：

从上表可以看出，如何进一步在未成年人产品和服务网络保护基本要求的标准中提出指导下更强、效果更佳的具体方案成为了标准研制中的重要关注点。

二是未成年人的年龄分段与网络产品和服务功能设置、信息内容设置、个保机制设置的关系交错复杂，需通过广泛探讨、试点验证等探索最佳实践。

根据《未成年人保护法》，未成年人是指未满十八周岁的公民，所有未成年人保护的义务均需履行；其第七十六条规定，网络直播服务提供者不得为未满十六周岁的未成年人提供网络直播发布者账号注册服务；为年满十六周岁的未成年人提供网络直播发布者账号注册服务时，应当对其身份信息进行认证，并征得其父母或者其他监护人同意。《个人信息保护法》规定，不满十四周岁未成年人的个人信息属于敏感个人信息，需要履行所有敏感个人信息保护的法定义务，同时，处理不满十四周岁未成年人的个人信息需监护人同意。为优化信息内容设置，《移动互联网未成年人模式建设指南（征求意见稿）》将年龄段划分为：不满3周岁、3周岁以上不满8周岁、8周岁以上不满12周岁、12周岁以上不满16周岁、16周岁以上不满18周岁，并对相应年龄段的功能设置、内容池等提出要求。

未成年人产品和服务要满足上述要求，一是依赖于对当前用户年龄段的准确识别，二是需要对产品和服务的功能、机制进行重构设计。第一方面的难点在上一个问题已经提出，第二方面主要由未成年人产品和服务提供者实现，但实现的效果（尤其是内容池方面）与投入的成本相关，如何在标准中提出更为均衡的方案，促使用户体量一般的未成年人产品或服务提供者能实现更好效果的功能和提供更优质的内容，是一个现实中的难点。否则，也可能会造成部分产品和服务虽然声明抛弃未成年人用户，而实际上由于缺乏未成年人保护措施，服务了一些未成年人用户，使得该部分未成年人无法得到保护，且同时进一步削弱了实现了未成年人保护相应功能的产品和服务的吸引力。

除上述难点堵点外，在未成年人网络保护方面，还有大量值得进一步深入探讨的新问题，比如不同产品和服务形态的适配问题，人工智能、元宇宙等新技术新应用与未成年人成长发展的同步问题，未成年人产品和服务功能多样化和创新的利弊把握等等，还需在标准研制过程中予以广泛讨论。

小 结

《未成年人保护法》指出，国家保障未成年人的生存权、发展权、受保护权、参与权等权利。网络为当前社会发展所必须依赖，未成年人触网、用网不可避免，未成年人网络保护怎么做的合理、恰当，除了家长们的忧虑、教育界的声音、产业界的意见和社会各界的评议，不妨再听听未成年人的意见，网络对他们意味着什么，保护措施是否适用于他们，或许可以从中获取新的破题。当然，这也是《未成年人保护法》第三条保护未成年人，应当坚持最有利于未成年人的原则中“听取未成年人的意见”能给到的启发。

作者：中国电子技术标准化研究院网安中心 何延哲

声明：本文来自CCIA数据安全工作委员会，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。