加強未成年人網絡保護應建立以事前預防為主的App信息保護體系2023年10月，國務院正式發布《未成年人網絡保護條例》（以下簡稱《保護條例》明確提出要“做好未成年人網絡保護工作”。目前未成年人上網使用智能手機的比例超過90%，由于缺乏針對性的事前預防手段，導致手機App成為超范圍收集和非法濫用未成年人信息的主要通道，引發各類針對未成年人的非法網絡活動并造成嚴重后果。《保護條例》的出臺，讓建立以事前預防為主的App未成年人個人信息保護體系有了政策上的明確指引，但在實踐過程中還存在諸多問題。對此，本文提出相應建議。一、建立以事前預防為主的App未成年人個人信息保護體系面臨四個不足分發平臺對App的實際檢測驗證落實不足。分發平臺對App對未成年人個人信息的侵害也將是巨大的。目前App數量和分發量巨大（目前國內市場上監測到的APP數量為252萬款分發平臺難以全面落實對App的檢測驗證。如作為全球前三大分發平和未成年人隱私保護自檢，分發平臺也對擬上架App進行隱私合規檢測和人工審核，但是工業和信息化部通報的違法違規收集個人信息的未成年人應用類App數據顯示，依然有部分App來自該應用市場，在一定程度上甚至會誤導用戶。證服務能力的要求比較高。目前我國檢測認證機構在數量、能力和檢測結果互認性方面還存在不足。一是有資質的檢測認證機構認可，具有GB/T35273-2020《信息安全技術個人信息安全規范》標準測試能力的檢測機構共44家，在全國軟件和信息技術專業領域檢測實驗室中僅占10%。而經批準具有國推個人信息保未成年人個人信息保護專項檢測認證能力不足。2022年12月，國家認監委秘書處組織了“移動互聯網應用程序（App）收集個人信息”全國技能競賽。在參賽的32家機構中，檢測實操項目均分為57±6分（滿分為100分），檢測能力難以滿足持續開展未成年人網絡保護檢測的要求。三是缺乏對未成年人信息保護保護檢測結果的互認標準。到目前為止，尚不存在一款工具可以對App收集個人信息的行為進行完全自動化的測試，測試人員的能力差異、使用檢測工具和方法的差異，都會直接影響到檢測結果的一致性，在缺乏互認標準的情況下，進而影響未成年人個人信和梆梆5個App安全在線檢測平臺對同一款AndroidApp進行檢測，分別測出表達幾乎完全不同的10－30個風險漏洞，其中判定為高風險的漏洞也各不相同1。由于沒有針對手機App的未成年人信息保護檢測的標準，無法形成互認的標準化檢測服務。準確識別未成年人個人信息。根據中國軟件評測中心的實際測評結果，App在未成年人個人信息收集方面，罕見能夠準確識別并給予單獨提示，采取避免收集或征得監護人同意的方式。在未成年人年齡分段、敏感信息識別、保護措施合理性等方面也缺乏準確判定。App難以準確識別未成年人個人信息的背后根源在于其DevelopmentKit，軟件開發套件）時，對其檢測不嚴，進而牽連到集成了問題SDK的所有App。360調研結果顯示，被工業和信息化部通報的違法違規收集個人信息的App中，有80%以上是因為集成了違法違規收集個人信息的SDK，而導致App被動性違法違規。三是App開發者預防性保護資源投入不足。Sy的商業App包含過時或廢棄的開源組件。84%的商業和專有代碼庫中至少檢測到一個已知的開源漏洞，其中48%屬于高風險漏洞，包括已被積極利用的遠程代碼執行漏洞”。黑客可能通過這些漏洞繞過認證、越權訪問、竊取個人信息、篡改業務數據等。中國微企業）在數字安全方面的年投入不超過10萬元，此外有81%外界的幫助”。面向家長和未成年人用戶的專業保護知識和工具不足。從作為App用戶的家長和未成年人角度來看，用戶缺乏自我保護的專業知識。中國軟件評測中心的調研顯示，對于什么時候可以拒絕提供未成年人個人信息、如何判別未成年人個人信息收集方是否超范圍使用、發現問題向誰投訴等問題，大多數家長和未成年人都沒有答案。未成年人隱私政策往往包含在App整體隱私政策中，缺乏幫用戶“看懂”隱私政策和“看到”App收集過程的技能“看見”收集過程的保護工具提醒用戶理解，也無家長和未成年人的自我保護效果。二、建立以預防為主的未成年人個人信息保護體系需從四方面發力加強對App分發平臺的監管。一是落實《保護條例》，出臺細分領域的未成年人個人信息保護標準，明確未成年人個人信息保護要求。如針對未成年人大量使用的短視頻類App、泛社交類App、教育類App、醫療類App和游戲類App的“未成年人個人信息處理規范”。二是持續做好App分發平臺的上架檢測監管。分發平臺要做好收集未成年人的個人信息檢測，并將檢測結果和過程文檔存檔2年備查。在提升分發平臺的檢測能力方面，可以增加檢測頻次，A+B角交叉檢測，進行100%人工審核，邀請有資質的專業人員提供現場指導等方式，來精準提升分發平臺的保護能力。三是持續開展治理違法違規收集未成年人個人信息的專項行動。優先選取未成年人使用量大的短視頻類、社交類、游戲類、教育類、醫療類App進行檢測，加大對未成年人個人信息違法違規收集的懲罰力度和專項治理。建設高質量的App檢測認證服務體系。一是扶持更多第三方檢測認證機構建設個人信息安全檢測認證能力。用1至2年的時間，再扶持3至5家可提供專業個人信息安全檢測認證服務的龍頭機構。二是提升有資質檢測認證機構的服務能力。聯合檢測認證機構、主流分發平臺、未成年人用戶多的大型互聯網企業，共同研發對手機App未成年人個人信息保護檢測的互認標準。鼓勵有資質的檢測認證機構參加檢驗檢測能力驗證、國家級技能競賽，“以賽促學”。主動研發和解讀相關的未成年人個人信息合規標準、規范、指南、技術保護工具、案例等，提供未成年人個人信息保護影響評估等服務。精準提升專業保護能力。做好精準培訓和賦能，助力AppApp開發者要主動學習和落實《個人信息網絡保護法》、《未成年人保護法》、GB/T35273-2020《信息安全技術個人信息安全規范》的規定和要求。要結合現有政策《兒童個人信息網絡保護規定》《保護條例》，進行自評、自測和內部整改。從“善用外力”來說，要復用相對成熟和性價比高的網絡安全技術策略構建檢測合規管理體系，提升對App集成SDK的未成年人個人信息保護檢測能力。對于開發能力有限、難以完成自檢的App開發商，應當在上架前或需要時，主動尋求有資質的第三方檢測認證機構服務，包括未成年人個人信息保護專項測評、App滲透測試、SDK安全測評、App開源供應鏈安全測評、代碼托管、個人信息保護影響評估和合規審計、個人信息保護認證等。從保護意識層、技術層、管理層和外部層四方面構建預防性的信息安全技術策略和合規檢測能力。建設未成年人個人信息網絡保護一體化公共服務平臺。匯集App開發者、分發平臺、政府、高校、研究院所、協會、平臺企業、第三方檢測機構認證機構和用戶的力量，加強協同作用。智能手機終端企業和App開發者要研發或升級完善未成年人個人信息保護軟件，為家長、未成年人提供專業的自助保護工具和使用培訓。大