張繼紅 尹 菡
未成年人特別是兒童群體,出生和成長于數字時代,屬于“互聯(lián)網原住民”,互聯(lián)網、大數據已經與新生代未成年人的生活、學習密不可分。中國互聯(lián)網絡信息中心發(fā)布的《青少年上網行為調查報告》顯示,截至2019年底,中國青少年網民規(guī)模約為2.77億,占整體網民20%左右,占青少年總體79.6%。在我國的網民群體中,學生數量最多,占比為26%。學生特別是未成年人群體比重較大,并且呈現(xiàn)低齡化趨勢,6-11歲網民在青少年網民比例中占11.6%。未成年人尚處于成長階段,其辨識能力和自控能力較成人更弱,防范意識也較差,更易遭受來自數字空間的不法侵害。加之復雜、隱蔽的數字環(huán)境,未成年人個人信息被泄露、非法使用甚至批量販賣等問題頻發(fā),保護迫在眉睫。歐盟及美國都有針對未成年人信息或隱私保護的相關規(guī)定,我國2019年8月出臺《兒童個人信息網絡保護規(guī)定》和2020年10月修訂《未成年人保護法》,其中如何構建行之有效的未成年人信息保護法律框架體系已經成為各方關注的焦點。
數字時代背景下,大數據、云計算、互聯(lián)網等技術的應用,個人信息被傳播、存儲、利用的成本更低,流動也更加頻繁、便捷。然而,數字環(huán)境下未成年人遭受個人信息泄露的風險也呈現(xiàn)幾何式上升。未成年人不僅僅是信息的接收者和使用者,同樣是信息的傳播者和發(fā)布者。我國目前對未成年人的傳統(tǒng)教育范式是一種家長、老師的單向灌輸式,未成年人在成長過程中往往是被動聽取者和接受者,缺乏表達的機會。數字世界的虛擬性和隱蔽性使得未成年人暫時脫離了這種來自現(xiàn)實生活的束縛,更容易在互聯(lián)網空間釋放和展示自己,更喜歡在虛擬的數字空間里與陌生人分享其生活點滴,從而獲得相對平等的溝通交流機會。在“快手”“抖音”等短視頻APP中,隨處可見未成年人的身影,一些家長也熱衷于在社交軟件或網絡上分享自己的“育娃經驗”以及各種“花式曬娃”,這些行為無意間導致未成年人的“數字身份”信息完全暴露在網絡世界,而忽視了可能存在的危險。數字時代背景下,未成年人的數字身份極易被其擴散和傳播,未成年人及其父母正在不經意之中,逐漸失去對兒童數字身份的控制。管理數字身份對成年人而言都并非易事,未成年人則更加困難。與此同時,人類大腦的運轉過程中,遺忘是常態(tài)、記憶是例外。然而,在數字時代記憶則成為常態(tài),一旦在虛擬空間留下影像、圖片及個人資料信息,就很難被徹底刪除,這些“數字痕跡”都有可能對未成年人之后的學習、工作及生活帶來負面影響。
另一方面,各種游戲、短視頻以及在線教育網絡運營商以及網站要求用戶注冊使用其應用程序時,會要求其盡可能提供更多的個人信息。而未成年人信息對于一些商家而言,更像是一把實現(xiàn)用戶精準營銷的利器。他們可以根據未成年人的年齡、性別、愛好、上網習慣、父母職業(yè)、家庭收入等進行大數據分析和畫像,從而有針對性地向用戶推出個性化的服務或者定向推送廣告。更為嚴重的是,一些未成年人信息進入地下交易市場進行非法買賣,此時數字身份的泄露及非法利用就變成了線下侵害的前置風險,對未成年人的信息安全構成了極大威脅。
未成年人正處于從無知到有知、不成熟到成熟的轉變時期,理解能力和認知能力明顯不足,缺乏生活經驗和社會經驗,在自我控制和自我保護方面更顯稚嫩,無法辨識來自外界的風險。(1)Ilene R.Berson & Michael J.Berson,Children and Their Digital Dossiers: Lessons in Privacy Rights in the Digital Age, International Journal of Social Education ,47-135(2006).加之,未成年人身心發(fā)育尚未成熟,心理較為脆弱,一旦其個人信息受到不法侵害,會對其未來成長造成巨大陰影和傷害。而且,未成年人的個人信息往往與其父母信息有所關聯(lián)。當未成年人的信息被泄露或非法使用時,還可能給整個家庭帶來財產甚至是人身安全風險。不法分子往往利用未成年人的信息對其父母進行詐騙、勒索等,由此造成的財產及人身損害案例不勝枚舉。
應該說,我國立法層面對未成年人個人信息保護的關注與保護力度明顯提升。2017年1月,國務院法制辦公布《未成年人網絡保護條例(送審稿)》,以專章明確對未成年人個人信息予以保護(明確了通過網絡收集、使用未成年人個人信息所應遵循的基本原則;網絡信息服務提供者的刪除、屏蔽義務以及其他禁止性規(guī)定),是針對未成年人信息保護邁出的關鍵一步。2019年8月,網信辦出臺《兒童個人信息網絡保護規(guī)定》(以下簡稱《規(guī)定》),其作為首部專門性規(guī)章就兒童個人信息網絡保護作了具體規(guī)范,明確了兒童個人信息的收集和處理應當遵循明示同意原則,網絡運營者應當設置專門的兒童個人信息保護規(guī)則和用戶協(xié)議,指定專人負責兒童個人信息保護工作,體現(xiàn)了從嚴保護的總體思路。2020年3月,國家市場監(jiān)管總局與國家標準化委員會發(fā)布的《個人信息安全規(guī)范》(GB/T 35273-2020)將14歲以下(含)兒童的個人信息列入“敏感個人信息”。2020年10月修訂后的《未成年人保護法》遵循“最有利于未成年人”的保護原則,明確對“未成年人隱私權和個人信息”的保護,設立“網絡保護”專章(第五章),其中第72條規(guī)定“信息處理者通過網絡處理未成年人個人信息的,應當遵循合法、正當和必要原則”。應該說,我國對于未成年人個人信息的法律保護水平明顯提升,形成了未成年人個人信息保護的規(guī)范體系。然而,從內容上看,上述法律規(guī)范仍然相對零散且大多為原則性、框架性規(guī)定,在具體規(guī)則方面仍存在不足。
從世界范圍來看,不同國家及地區(qū)對未成年人個人信息保護的監(jiān)管思路,主要從三個方面著手:一是未成年人信息自決的年齡界限標準;二是監(jiān)護人同意制度;三是網絡運營商的信息保護義務及責任。各國立法者雖然都意識到未成年人個人信息保護的緊迫性和必要性,但不同國家地區(qū)對于未成年人信息隱私及其被侵害的容忍程度存在較大差異,有時甚至實用主義會占上風。政策制定者面對眾多的游說集團和各種消費者協(xié)會的力量,不得不在消費者個人信息保護和行業(yè)經濟利益之間進行平衡。(2)參見[德]尼古拉·杰因茨:《金融隱私—征信制度國際比較》,萬存知譯,中國金融出版社2009年版,第108頁。
如何判定是否為未成年人,即年齡標準問題,是適用未成年人信息保護的前提條件。未成年人年齡界限標準直接關系到其信息保護特殊機制的適用與否,達到什么年齡可以由孩子自行決定其信息的處理,是啟動后續(xù)監(jiān)護人同意制度必經程序。年齡界限標準劃分不統(tǒng)一,將導致針對未成年人這一類特殊群體保護范圍不一致,進而造成法律適用上的沖突和矛盾。如果賦予未成年人過多的自決權,有可能會導致對未成年人權益保護不力;如果保護性規(guī)定過多,則可能又會限制其自我決策權。“賦權與保護”困境不能被徹底消除,只能在“賦權”與“保護”之間尋求一定的平衡。因此,如何平衡兩者之間的關系,在給予未成年人充分保護的同時,如何避免過度保護是決定未成年人信息自決年齡界限面臨的最大難題。換言之,年齡界限標準關乎未成年人個人信息保護問題,亦牽涉父母與子女之間的信息控制權的平衡問題。“賦權與保護”困境亦引發(fā)了“個性化與平均年齡”困境。換言之,未成年人成熟度評估可以幫助解決“賦權與保護”困境面臨的部分問題,即對達到一定成熟度的未成年人賦予其自我決策的權利,對未達到一定成熟度的未成年人則引入監(jiān)護制度進行保護。目前,對未成年人進行成熟度評估主要有兩種方法:一是劃定一個明確的年齡界限作為所有兒童是否成熟的分界線;二是對每個未成年人的成熟度進行個性化地評估。從法律適用的角度來看,采用明確的年齡界限可以限制司法者的自由裁量權且執(zhí)行起來更為容易,但也容易造成“一刀切”,忽視未成年人的個體差異。
從已有的規(guī)定看,我國目前沒有統(tǒng)一的未成年人信息保護年齡界限標準?!秱€人信息安全規(guī)范》(第5.5條)和《兒童個人信息網絡保護規(guī)定》(第2條)僅規(guī)范了“兒童個人信息”,將年齡界限設定為14周歲;《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》(第5.2.7條)則規(guī)定,向16周歲以下未成年人收集敏感信息要監(jiān)護人同意;而《民法典》第17條及《未成年人保護法》第2條均采用“未成年人”的概念,即“不滿18周歲”。
國外立法,目前也沒有統(tǒng)一的年齡標準。美國《兒童在線隱私保護法案》(Children’sOnlinePrivacyProtectionAct,COPPA)適用于針對13歲以下兒童的商業(yè)網站和在線服務,以及實際知道他們可能收集了兒童數據的一般網站,旨在禁止與在線兒童收集、使用和披露個人信息有關的不公平和欺騙性行為。(3)是否構成“實際知道”需要綜合判斷在下列情形下,經營者可能被認為實際知道其存在兒童用戶:收到來自父母的投訴;用戶發(fā)來的郵件內容中可以明確看出其為兒童;用戶發(fā)帖暴露了自己的年齡,而運營者對其網站的帖子采取監(jiān)控措施。用戶發(fā)帖暴露了自己的年齡,而有證據表明運營者的相關負責人員看到了帖子。2018年《兒童反追蹤法案》(DoNotTrackKidsActof2018)對于COPPA中兒童年齡的限制進行了修訂,將原先僅涉及13周歲以下兒童的保護制度擴大到了“12-16歲的青少年”。加州第568號法案又稱為“橡皮擦法案”,規(guī)定加州不滿18周歲的未成年人享有永久刪除網站或其他在線服務上的個人數據的權利。(4)Katherine P. McGrath,Developing a First Amendment Framework for the Regulation of Online Educational Data: Examining California's Student Online Personal Information Protection Act, UC Davis Law Review,1149-1181(2016).歐盟《通用數據保護條例》(GDPR)規(guī)定了兒童同意數據處理的年齡門檻:將兒童的年齡設定為16歲,且成員國可以設定不低于13歲的年齡門檻(第8條)。英國和法國以“軟”法取代了立法者干預,網上商業(yè)通訊業(yè)務守則提供了有關14歲以下兒童在線隱私的具體規(guī)定。(5)Daniel J.Solove,Privacy Self-management and the Consent Dilemma, Harvard Law Review, 1880-1903(2013).
應該說,未成年人有關信息自決的年齡界限與各國本國的歷史文化傳統(tǒng)密切相關。事實上,各國在未成年人的年齡界分問題上,確實存在很大爭議。2010年,美國在對COPPA進行修訂時,電子隱私信息中心曾經建議國會將年齡要求提高到18歲,主要是因為“社交網絡的出現(xiàn)以及強大的商業(yè)力量正試圖從使用這些服務的所有用戶(尤其是兒童)中提取個人數據。這一作法帶來了新的挑戰(zhàn),而COPPA最初根本沒有考慮到這一點?!狈磳φ邉t認為,將COPPA擴展到青少年領域將減少隱私和匿名性,因為需要對大量成年人進行年齡驗證和數據收集,并可能引發(fā)言論自由問題。(6)EPIC, Testimony of Marc Rotenberg before the Senate Commerce Committee(sept.20,2020), https://epic.org/privacy/kids/EPIC_COPPA_Testimony_042910.pdf.如果完全遵照COPPA的要求來執(zhí)行,對于網絡服務商和兒童父母而言,都必須付出高額的成本。而美國及歐盟的年齡界限標準幾乎都受到了其域內學者的批判,有學者認為有足夠的證據證明其所設置的年齡界限門檻太高,與互聯(lián)網上兒童行為的大量研究不一致;(7)Bart W. Schermer, Bart H. Custers et al. The Crisis of Consent, How Stronger Legal Protection may Lead to Weaker Consent in Data Protection, Ethics & Information Technology, 171-196(2014).有學者認為統(tǒng)一設定年齡界限本身即是不合理的。(8)Lee Rainie & Maeve Duggan,Privacy and Information Sharing, Villanova Law Review,951-980(2016).
結合域外未成年人年齡界分標準看,13歲以下未成年人屬于絕對的未成年人信息保護期間已經達成共識。這一階段的未成年人,其人格尚處于培育發(fā)展過程中,對隱私和信息的期待并不明確,對個人信息的處分行為也缺乏足夠理性的判斷,應當作為特殊群體加以保護,主要由監(jiān)護人和學校監(jiān)督控制未成年人的網絡行為。
進入13-16歲區(qū)間段,未成年人成長的內生要求需要行使信息自決權,未成年人能夠在一定程度上自主決定自己的個人信息,原先由監(jiān)護人行使的監(jiān)督和控制權逐步回歸未成年人自己。在這一年齡區(qū)間,法律應根據其個人信息的具體應用場景再作進一步的細分,允許未成年人對其個人信息權進行一定的處分和決定。對于16-18歲區(qū)間未成年人相比更低齡的人來說,確實具有一定的自我控制能力和防控風險能力。對于那些可以通過自己的勞動收入獨立工作和生活的未成年人而言,完全可以自主決定其個人信息的處理,等同于成年人。除此之外,對于其他仍不能獨立工作的未成年人,依然應處于受保護階段。但從我國修訂后的《未成年人保護法》規(guī)定看,事實上放寬了未成年人決定其個人信息的年齡。也就是說,只有不滿14周歲的未成年人,才需征得監(jiān)護人同意,而對于14周歲以上的未成年人,則可以自主決定其個人信息。上述規(guī)定雖然充分考慮了未成年人對其個人信息的獨立處分權,但也存在高年齡段未成年人信息保護不足的問題。(9)騰訊視頻針對不滿14歲與已滿14歲的未成年人制定了不同的政策:不滿14周歲的未成年人在使用騰訊視頻服務或向其提供個人信息前,應當事先取得監(jiān)護人的授權同意;已滿14周歲不滿18周歲的未成年人,可以事先取得監(jiān)護人同意或自行授權同意。也就是說,騰訊視頻為代表的一些網絡經營者已經按照《個人信息安全規(guī)范》賦予了已滿14周歲未成年人自行決定個人信息的權利。
筆者認為,應當通過制度設計并結合應用場景平衡未成年人信息保護與其獨立人格之間的沖突,而不是一刀切式地限定年齡標準。也就是說,在18周歲以內普遍予以特殊保護的同時,應采用年齡分段并結合個人信息的類型,區(qū)別設計不同年齡階段的保護制度,對低齡未成年人嚴格保護,對高齡未成年人則在最大限度給予其自主決定權。如果是私密性相對較弱的個人信息,比如在社交網站、在線教育等注冊虛擬賬號而需要授權收集但不進行披露的個人信息(如性別、昵稱、手機號碼等),對于此種類型的年齡界限可設定為14周歲,從而使該年齡段的未成年人可以正常的進行其社交及學習活動,更有利于其獨立人格的成長。然而,對于類似抖音等可能公開未成年人的肖像、形體及其他信息的視頻資料,屬于私密性較強的個人信息,則應該設定18周歲的嚴格年齡界限,需經過監(jiān)護人同意,從而使未成年人的個人信息得到有效保護。上述分場景進行規(guī)制的思路,也部分體現(xiàn)在《未成年人保護法》中。比如,針對未成年人的網絡直播活動,提出了更高的年齡限制。網絡直播服務提供者為年滿16周歲的未成年人提供網絡直播發(fā)布者賬號注冊服務時,應當對其身份信息進行認證,并征得其父母或者其他監(jiān)護人同意。
美國COPPA是未成年人個人信息保護立法中的典范。其中,“可驗證的父母同意”是COPPA對未成年人在線個人信息保護的主要貢獻之一。(10)Simone V. Hof.,I Agree, or Do I: A Rights-Based Analysis of the Law on Children's Consent in the Digital World, Wisconsin International Law Journal,409-445(2016) .COPPA規(guī)定:在收集、使用或披露兒童的個人信息前,網絡服務提供商必須獲得可驗證的父母的同意。符合COPPA要求的驗證方法,包括以下六種:(1)通過傳真、郵遞、電子掃描等方式向運營商提供父母簽署的同意書;(2)使用信用卡、借記卡或其他網絡支付手段并向父母發(fā)送通知;(3)父母電話同意;(4)與專業(yè)的工作人員視頻通話;(5)通過政府頒發(fā)的身份證件復印件用于驗證;(6)運用面部識別技術進行驗證等。在運營者對兒童信息進行非披露性的內部使用時,可以采用較為簡單的“加強型電子郵件”的驗證方式,即通過電子郵件取得父母同意后,再以郵件、電話等形式發(fā)送第二次通知,并告知父母有隨時撤回同意的權利。(11)當然,也有學者認為美國COPPA“可驗證的父母同意”確實有效阻止了未成年人個人數據的濫用,然而父母同意的驗證方法可能輕易被兒童偽造而使其達不到可驗證的目的,這也與即時訪問網絡相矛盾。如此一來,不僅會使想要訪問的未成年人望而卻步,也會影響網站經營者的經濟利益。
歐盟GDPR第8條同樣引入了“父母同意”制度(Parental consent),明確規(guī)定網絡服務的提供者在收集、使用或處理未滿16周歲的兒童的個人網絡信息前,需要獲得父母的同意或者授權。該條款規(guī)定的目的在于充分保護兒童,考慮到兒童可能在沒有充分意識到自己分享個人數據后果的情形下,賦予家長一定的控制措施。(12)European Commission ( EC) .Stronger Data Protection Rules for Europe(Sept.8,2017), http: //Europa.eu/rapid/pressrelease_MEMO-15 -5170_en.htm.然而,該規(guī)定也成為了GDPR最有爭議的條款之一。GDPR要求所有的收集和處理關涉兒童的個人數據條款都需要得到家長的同意,這一要求的規(guī)定不僅增加網絡服務提供者同意收集的難度,同時也極大地限制了兒童在網絡上的活動。有學者指出,GDPR要求的“家長同意”不僅是一個授權,而且是要讀懂網絡用戶提供者提供的專業(yè)化的服務條款和法律授權,對于家長的數字素養(yǎng)而言都將是一個極大的挑戰(zhàn)。(13)McCullagh Karen, The General Data Protection Regulation: A Partial Success for Children on Social Network Sites? (Sept.25,2020),https://ssrn.com/abstract=2985724.
我國《個人信息安全規(guī)范》第5條第4款規(guī)定,收集年滿14周歲未成年人的個人信息前,應征得未成年人或監(jiān)護人的明示同意;不滿14周歲,應征得其監(jiān)護人的明示同意?!秲和瘋€人信息網絡保護規(guī)定》第9條規(guī)定,網絡運營者收集、使用、轉移、披露兒童個人信息的,應當以顯著、清晰的方式告知兒童監(jiān)護人,并應當征得兒童監(jiān)護人的同意。《未成年人保護法》第72條規(guī)定,處理不滿14周歲未成年人個人信息的,應當征得未成年人的父母或者其他監(jiān)護人同意。上述規(guī)定雖然都需要經監(jiān)護人同意,但對于同意的方式卻沒有作出進一步的具體規(guī)定。
2019年《兒童個人信息網絡保護規(guī)定》出臺后,各大平臺均調整了各自的“隱私政策”,并特設“未成年人信息”條款內容。例如,百度和搜狐等大型門戶網站明確規(guī)定了只有在取得監(jiān)護人同意的情況下,未成年人方可提供其個人信息,但并未明確未成年人的年齡范圍。從《未成年人保護法》的規(guī)定來看,可以默認為不滿14周歲未成年人的個人信息獲取,都需要明確取得監(jiān)護人的同意。然而,大部分網站對于如何獲得監(jiān)護人的授權并沒有作出更具操作性的規(guī)定,僅在同意條款之前必須讓監(jiān)護人明確閱讀其“隱私政策”。值得注意的是,上述“隱私政策”還規(guī)定了如果監(jiān)護人不同意隱私政策,可以立即通知網絡運營商,網絡運營商會采取相應的措施終止服務并提供了通知途徑。實際上,這相當于一項事后同意制度,即在監(jiān)護人同意之前,網絡運營商就有資格向未成年人提供相應的服務并且獲取其個人信息。如前所述,數字環(huán)境會形成永久性的“數字痕跡”,一旦發(fā)布很難刪除,這種事后同意方式顯然不利于未成年人的個人信息保護。
與上述門戶網站不同的是,騰訊視頻在相關未成年人條款中做到了明確的年齡區(qū)分,不滿14周歲的未成年人,按照《兒童個人信息網絡保護規(guī)定》的規(guī)定,使用服務或者提供個人信息的時候,需要取得監(jiān)護人的授權同意;而在14周歲到18周歲區(qū)間的未成年人,規(guī)定相對寬松,獲得監(jiān)護人的同意授權或自行授權。愛奇藝視頻“隱私政策”同樣詳細,特別增設附則說明對于兒童個人信息的收集和使用規(guī)則,包括“兒童虛擬子賬號創(chuàng)建”功能;“家長控制”功能以及其他信息如上網操作記錄等。其中,收集“兒童虛擬子賬號”的兒童信息包括昵稱、生日、性別和頭像。雖愛奇藝也明確說明,如沒有必要無需提供兒童個人真實信息,但也未設置明確的家長同意機制。愛奇藝隱私附則的內容,更多的體現(xiàn)在強調監(jiān)護人的保護義務方面,而對于網絡運營商在授權通知上的操作準則卻很少涉及。同樣地,抖音“兒童/青少年使用需知”專設了未成年人特殊保護條款,并制定了“抖音親子平臺服務協(xié)議”,但對于兒童個人信息的收集也未明確通過何種途徑向監(jiān)護人獲取授權的相關內容,而僅為籠統(tǒng)性概括。
事實上,很多未成年人往往因某些原因在披露個人信息時謊報年齡或冒充父母的同意,如何確保提供的同意真正來自監(jiān)護人。具體到社交活動領域,作為監(jiān)護人的父母真的有能力代替其子女而非濫用其監(jiān)護權作出更適當的決定?而網絡運營商征得監(jiān)護人同意到何種程度才算是真正意義上公允的同意?如果要確認監(jiān)護人同意的真實性,通常需要對其身份的真實性進行驗證,這不僅與數字世界的普遍匿名化傳統(tǒng)難以兼容,亦容易引發(fā)人們對身份信息泄露的焦慮。也有部分家長甚至認為,如果可以促進家庭溝通或強化子女的社會互動,那么他們就可以接受違反年齡限制的做法,甚至幫助他們的孩子通過說謊來規(guī)避來自網站的年齡限制。(14)Danah Boyd, Why Parents Help Their Children Lie to Facebook About Age: Unintended Consequences of the 'Children’s Online Privacy Protection Ac,First Monday, 31(2011).
正因為未成年人心智尚不成熟,無法與成人一樣擁有完全的行為能力,法律上才創(chuàng)設了親權和監(jiān)護制度,即由監(jiān)護人撫養(yǎng)、教育、照顧未成年人,代理未成年人實施一定的民事行為,以保護未成年人的人身權利、財產權利和其他合法權益。這也是目前收集和處理未成年人個人信息需要取得監(jiān)護人同意的理論基礎。監(jiān)護人基于監(jiān)護關系對未成年人個人信息享有知情權和決定權,甚至包括獲取未成年人敏感的、隱私的個人信息,以及在網絡、學校等各種環(huán)境或社交途徑中的個人信息。(15)參見尹志強:《未成年人監(jiān)護制度中的監(jiān)護人范圍及監(jiān)護類型》,載《華東政法大學學報》2018年第6期。
監(jiān)護人同意制度的預設前提是未成年人與父母利益的一致性和統(tǒng)一性。但事實上,子女與父母之間存在一定的價值沖突,特別是當子女隨著年齡的增長,自我意識不斷強化,父母監(jiān)護本身也是對子女權利的一種約束和控制,目前已經發(fā)生多起父母在社交平臺曬娃導致親情關系緊張的事件。有學者認為,父母同意條款可能本身就侵犯了兒童的隱私權。這些條款引發(fā)了父母與子女之間的緊張關系,父母同意條款可能實際上鼓勵過度廣泛的父母監(jiān)督。(16)Benjamin Shmueli&Ayelet B.Prigat, Privacy for Children ,Columbia Human Rights Law Review, 759-796(2011) .然而,目前關于兒童隱私及信息保護的法律規(guī)范都是從傳統(tǒng)單向式父母對子女的控制為出發(fā)點,認為父母作為監(jiān)護人在未成年人個人信息的公開和使用方面擁有控制和監(jiān)督權。但作為成長中的個體,未成年人也應該有針對父母的個人隱私及信息權。因此,監(jiān)護人對未成年人個人信息的介入權和知情權在目的和行使方式上應當有一定的限制,即應遵循“最有利于未成年人的原則”服務于未成年人權益的保護,尊重被監(jiān)護人的自我決定權,在彌補未成年人在行為能力上不足的同時,代理未成年人作出更符合其自身利益的選擇,從而避免監(jiān)護權的濫用。
雖然我國現(xiàn)有法律規(guī)范及網絡運營商的隱私政策中都有針對未成年人信息收集的監(jiān)護人同意條款,但對于征得同意的方式卻沒有做出具體的規(guī)定,這使得監(jiān)護人同意條款的施行效果被大打折扣。這里,可以借鑒美國COPPA中的“可驗證的父母同意”,如通過電子郵箱等方式向運營商提供父母簽署的同意書,或者采取父母電話同意告知、視頻通話等方式,使未成年人難以偽造或刻意規(guī)避,切實發(fā)揮對監(jiān)護人同意的監(jiān)督作用。
網絡運營商的主要義務是隱私政策的制定、個人信息保護措施的落實以及響應父母要求終止服務等。美國COPPA和歐盟GDPR對此都做了規(guī)定,我國《兒童個人信息網絡保護規(guī)定》也明確規(guī)定了網絡平臺的主體責任。
歐盟GDPR采用獨特的“賦權”模式,以此強化數據主體對其個人數據的有效控制。一是數據可攜權(Right to data portability)。GDPR第20條的規(guī)定,數據主體有權收取一份關于其個人數據的復制件(該復制件應以通常機器可讀形式制作),并將其個人數據從某數據控制者移交至另一數據控制者,或要求在兩個數據控制者之間直接傳送。可攜帶權的基本含義,即賦予數據主體要求將其數據從某數據控制者轉移至另一數據控制者的權利。例如,社交媒體用戶可以要求Facebook其賬戶內的一切個人數據移交至Twitter。該權利實際上有助于網絡平臺之間的保護升級,強化了數據控制者之間的競爭。(17)Macenaite M, From Universal Towards Child-Specific Protection of the Right to Privacy Online: Dilemmas in the EU General Data Protection Regulation. New Media & Society,765-799(2017).二是被遺忘權(Right to be forgotten),GDPR第17條詳細闡述了被遺忘權的內容。由于網上數據一旦收集后,很難被刪除的。所以即便當監(jiān)護人行使刪除權利時,也很難保證兒童個人信息能夠被徹底刪除。被遺忘權的設定注重于保護兒童,允許他們刪除會損害他們個人的數據,即便當他們要求行使這項權利的時候已經成年。
與歐盟相比,美國則采用了典型的“義務設定型”監(jiān)管模式。美國COPPA首次制定關于平臺主體責任,通過立法明確了網絡服務提供者的義務。第一,發(fā)布隱私政策。通過在公眾平臺上制定關于平臺服務的隱私政策,必須包含收集個人信息的類型、使用途徑以及關于這些信息是否會與第三方平臺共享等內容。其所制定的隱私政策,必須明確、具體,且鏈接要位于網站的主頁,方便查看。第二,提供直接通知家長的策略,此方式則是讓家長了解并且同意網絡服務提供者在收集兒童個人信息的內容。第三,可以讓家長審核子女的信息。家長有權在任何情況下,向平臺調取他們收集的兒童個人信息。網絡服務提供者必須有義務去核實調取信息的確實為該兒童家長,審核的方式必須簡潔有效,不能故意設置不必要的步驟來增加家長的負擔。第四,家長撤銷同意權。當家長明確要求刪除平臺上收集的關于兒童的個人信息時,網絡服務提供者必須立即將兒童個人信息從網站數據庫中刪除。第五,建立安全保障措施及程序,以保護兒童個人信息的完整和安全。(18)The Rule’s Sliding Scale for Obtaining Parental Consent was Set to Expire on April 21, 2002. In October 2001, the FTC Published a Federal Register Notice Proposing to Amend the Rule and Extend the Sliding. 66 Fed. Reg.54,963(October 31,2001).
雖然美國在聯(lián)邦層面并未賦予用戶以“刪除權”及“可攜帶權”,但在州立法層面可以采用比聯(lián)邦法律更嚴格的消費者隱私權保護制度。比如,加州“橡皮擦法案”規(guī)定了被遺忘權,即加州不滿18周歲的未成年人享有永久刪除網站或其他在線服務的個人數據的權利,運營商的義務包括信息刪除、通知、解釋說明、提醒義務。但該法案所確立的被遺忘權的效力范圍十分有限,未成年人只可以刪除自己發(fā)布的信息,對于其他人發(fā)布或自己發(fā)布被其他人轉載的個人信息卻無權要求刪除。(19)Lee J, Does California’s Online Eraser Button Protect the Privacy of Minors?University of California Davis Law Review, 1173-1206(2015).需要注意的是,歐盟GDRP和加州“橡皮擦法案”雖然都確立了被遺忘權制度,但在具體規(guī)則上仍存在差異。GDRP采取的是混合模式,即不區(qū)分成年人和未成年人而統(tǒng)一給予被遺忘權,此種模式簡潔但缺乏針對性,難以體現(xiàn)出對未成年人這一特殊群體的保護。加州則采用單列模式,即專門規(guī)定了未成年人的被遺忘權,雖然該模式操作性強,內容具體明確,但立法成本相對也更高一些。
在責任方面,無論是歐盟還是美國對于侵害未成年人個人信息的違法行為都不約而同地施以重罰,以強化網絡運營商的主體責任。GDPR被稱為“史上最嚴數據保護法”,針對違法行為具體列舉了監(jiān)管機構在實施行政處罰時應考慮的因素,如故意還是過失、先前違法行為、被侵害的個人數據的種類、是否采取了減輕損害的措施等。同時,明確了罰款額的上限標準,并按照違法行為類別將罰款額分為兩檔:第一檔針對那些不能履行條例規(guī)定義務的數據控制者及數據處理者等,將被處以1000萬歐元或者前一年度全球營業(yè)額的2%,以兩者中較高者為準。第二檔針對未能說明如何獲得了用戶的同意、違反數據處理之一般性原則、侵害數據主體的合法權利以及拒絕服從監(jiān)管機構的執(zhí)法命令等性質更為嚴重的違法行為,違法者將被處以兩千萬歐元或者企業(yè)前一年度全球營業(yè)額4%,以兩者中較高者為準(第83條)。美國聯(lián)邦貿易委員會(FTC)對于不遵守COPPA規(guī)則的企業(yè),也采取了更嚴厲的懲罰性措施。2019年2月28日,F(xiàn)TC發(fā)布了一項裁決,以違反美國兒童在線隱私保護法案(COPPA)為由對TikTok(抖音海外版)罰款 570萬美元。除了巨額罰款之外,F(xiàn)TC 與TikTok還達成了一項和解協(xié)議,即 TikTok必須引入年齡控制措施,應用不會排除 13歲以下用戶,但這些兒童必須被引導至不同的應用區(qū)域內,從而限制對兒童用戶個人信息的收集。(20)美國聯(lián)邦貿易委員會網站,https://www.ftc.gov/news-events/press-releases/2019/02/video-social-networking-app-musically-agrees,2020年4月20日訪問。這是FTC在美國保護兒童隱私的案件中開出的最大一筆民事罰款,美國參議員Ed Markey在一份聲明中表示,“盡管對違反該法的公司來說,這筆罰款可能是創(chuàng)紀錄的歷史最高水平,但對于對兒童造成的傷害和阻止其他公司未來違反該法的行為來說,這還遠遠不夠”。
美國模式提供明確的行為指引,設定多種“監(jiān)護人同意”的獲取方法,供網絡運營商參考和借鑒。同時,網絡運營商在確保自身隱私政策及信息保護措施符合法律基本要求的前提下,亦擁有一定的自主權,他們可以在規(guī)則之下建立新的、更有效的方式來取得“監(jiān)護人同意”。只有當法律和政策給予網絡運營商更大的自我管理和規(guī)制空間時,才更有助于推動未成年人個人信息更完善的保護制度的形成。相比之下,歐盟正是因為GDPR對于兒童信息保護的規(guī)制性措施十分嚴格,導致了很多外資企業(yè)退出了歐洲市場。在數字經濟快速發(fā)展的背景下,合理設定網絡運營者的義務和責任負擔,如何把握其中的“度”是立法者亟需解決的問題。
相比歐盟GDPR的賦權模式與美國“義務設定”模式,我國立法則兼容并包,多管齊下,既規(guī)定了未成年人及其監(jiān)護人的更正、刪除權,也對網絡運營商及其他相關信息處理者施以相應的義務和責任,以此提升我國未成年人個人信息的保護基準?!秱€人信息安全規(guī)范》在附錄D“個人信息保護政策模板”規(guī)定,“如果我們發(fā)現(xiàn)自己在未事先獲得可證實的父母同意的情況下收集了兒童的個人信息,則會設法盡快刪除相關數據”?!秲和瘋€人信息網絡保護規(guī)定》第20條規(guī)定:“兒童或者其監(jiān)護人要求網絡運營者刪除其收集、存儲、使用的兒童個人信息的,網絡運營者應當及時采取措施予以刪除?!薄段闯赡耆吮Wo法》第72條第2款規(guī)定,未成年人、父母或者其他監(jiān)護人要求信息處理者更正、刪除未成年人個人信息的,信息處理者應當及時采取措施予以更正、刪除。也就是說,我國現(xiàn)有法律規(guī)范已經確立了“更正、刪除權”,即當未成年人或其父母撤回同意或者控制者不再有合法理由繼續(xù)處理數據等情形時,用戶有權要求刪除數據。
值得注意的是,剛剛修訂的《未成年人保護法》設定并明確了網絡經營者的未成年人信息保護義務。一是提示及報告義務。網絡服務提供者發(fā)現(xiàn)未成年人通過網絡發(fā)布私密信息的,應當及時提示,并采取必要的保護措施(第73條);網絡服務提供者發(fā)現(xiàn)用戶發(fā)布、傳播含有危害未成年人身心健康內容的信息的,應當立即停止傳輸相關信息,采取刪除、屏蔽、斷開鏈接等處置措施,保存有關記錄,并向網信、公安等部門報告(第80條)。二是鏈接和廣告推送等禁止性義務。以未成年人為服務對象的在線教育網絡產品和服務,不得插入網絡游戲鏈接,不得推送廣告等與教學無關的信息(第74條)。三是響應父母請求等義務。未成年人、父母或者其他監(jiān)護人要求信息處理者更正、刪除未成年人個人信息的,信息處理者應當及時采取措施予以更正、刪除(第72條);遭受網絡欺凌的未成年人及其父母或者其他監(jiān)護人有權通知網絡服務提供者采取刪除、屏蔽、斷開鏈接等措施。網絡服務提供者接到通知后,應當及時采取必要的措施制止網絡欺凌行為,防止信息擴散(第77條)。《兒童個人信息網絡保護規(guī)定》同時也對網絡服務提供者的義務進行了具體界定,如應設置專門的兒童個人信息保護規(guī)則和用戶協(xié)議,并指定專人負責兒童個人信息保護。
在責任方面,《未成年人保護法》第127條規(guī)定,由公安、網信、電信、新聞出版、廣播電視、文化和旅游等有關部門按照職責分工責令改正,給予警告,沒收違法所得,違法所得100萬元以上的,并處以違法所得1倍以上10倍以下罰款,沒有違法所得或者違法所得不足100萬元的,并處10萬元以上100萬元以下罰款,對直接負責的主管人員和其他責任人員處1萬元以上10萬元以下罰款;拒不改正或者情節(jié)嚴重的,并可以責令暫停相關業(yè)務、停業(yè)整頓、關閉網站、吊銷營業(yè)執(zhí)照或者吊銷相關許可證。這個處罰力度與《網絡安全法》并無太大差異,與前述歐盟GDPR或美國的天價罰款相比,并不算過分嚴格。
從救濟渠道來看,我國目前對個人信息的法律保護以刑事及行政處罰為主,民事救濟仍存在維權成本高、舉證困難、賠償數額低等問題。在個人信息侵權案件中,原告與被告之間的“能力天平”明顯傾斜,兩者的實力差距懸殊。而未成年人由于缺乏相應的網絡基礎知識、技術手段和信息獲取能力,在發(fā)現(xiàn)侵權行為、限制侵權后果等方面處于相對弱勢的地位,舉證難度會更大,并且舉證過程還可能對未成年人造成二次傷害。雖然《民法典》已經明確了對自然人個人信息的法律保護,但在舉證責任方面并未作相應的調整。建議可在《未成年人保護法》公益訴訟條款當中,將社交平臺內容管理義務不履行行為明確納入公益訴訟的法定類型,通過人民檢察院提起公益訴訟的方式以強化對未成年人個人信息的程序法保護。
從《未成年人保護法》《兒童個人信息網絡保護規(guī)定》相關義務規(guī)則內容來看,以往網絡經營者僅制定一份個人信息保護政策已經無法滿足保護未成年人等群體的特殊需求。除了在組織機構上需設置專門負責保護未成年人個人信息的工作人員,網絡運營商還需制定針對未成年人的隱私政策,并充分考慮不同年齡階段未成年人的心智與認知能力,對未成年人個人信息保護政策內容依不同年齡階段分別加以設定。同時,還需進一步明確未成年人信息使用范圍,細化隱私政策。例如,愛奇藝在隱私保護政策中提到的兒童信息使用范圍應當包括兒童App的核心業(yè)務所必需的信息和附加業(yè)務功能可能需要收集的信息,具體包括“兒童虛擬賬號創(chuàng)建”功能、“家長控制”功能等。在兒童個人信息安全保障措施方面,網絡運營商可進一步采取與服務所關聯(lián)的安全保障技術,對兒童個人信息進行加密存儲并使用隔離技術進行隔離。同時,在使用未成年人個人信息時,如兒童個人信息展示、兒童個人信息關聯(lián)計算時,應采用包括內容替換、加密脫敏等技術以增強使用信息過程中的安全性。
數字技術迅猛發(fā)展,已全方位深入到社會活動的各個領域,引發(fā)了生產方式、活動方式、思維方式的改變。伴隨著互聯(lián)網、大數據、云計算、物聯(lián)網、人工智能等一系列信息技術的迭代發(fā)展以及相應的新業(yè)態(tài)的不斷成熟,數字世界已經成為獨立于物理世界的第二空間,并且兩者相互影響、融合共生。技術進步和業(yè)態(tài)創(chuàng)新推動了更深層次的變革,人類行為的全面數字化、數字流動的實時化與網絡化、決策執(zhí)行的自動化與智能化,都預示著一個獨立的數字世界即將誕生。然而,新興技術帶來的不僅是數字經濟的迅速發(fā)展,還會引發(fā)數字身份的泄露以及無法刪除的“數字痕跡”,這些都對未成年人個人信息保護提出了新的挑戰(zhàn)。為適應數字技術的發(fā)展,美國、歐州都在主動調整其未成年人信息保護法律規(guī)則,雖然在年齡界分認定、監(jiān)護人同意以及網絡經營者義務和責任設定方面上還存在一定監(jiān)管分歧,但都認識到未成年人個個信息保護在未成年人成長過程中的關鍵作用,都不斷完善和細化相關具體行為規(guī)范,加大執(zhí)法力度,使法律規(guī)范真正得以有效施行。(21)Emmanuelle Bartoli,Children’s Data Protection vs Marketing Companies,International Review of Law Computers & Technology,35-45(2009).同時,還積極通過行為守則等形式,(22)例如,英國和法國則是通過“網上商業(yè)通訊業(yè)務守則”等行為守則形式,以“軟”規(guī)則取代直接立法干預。對網絡經營者的信息合規(guī)提供具體指引,以自律規(guī)范填補強制性規(guī)范過于剛性的不足,采用“軟硬兼施”的管理模式更能有效激發(fā)企業(yè)自覺遵守行為規(guī)范的內在動力。目前,我國未成年人信息保護已經形成以《未成年人保護法》為基礎、《兒童個人信息網絡保護規(guī)定》為抓手、《個人信息安全規(guī)范》為標準的體系框架,但并未給予信息處理者、網絡經營者等更多的自我管理權限。由于自治精神的長期缺位,雖然上述規(guī)范中也明確寫入了“鼓勵相關行業(yè)組織參與未成年人網絡保護工作,制定關于未成年人網絡保護的行業(yè)自律規(guī)范,引導行業(yè)組織成員加強對未成年人的網絡保護”等條款,并在實踐中逐步擴大行業(yè)自律組織進行自我管理的權限,但這并未根本性改變行業(yè)組織受到政府及有關主管部門管控的本質,獨立性也被弱化。(23)參見張繼紅:《大數據時代個人信息保護行業(yè)自律的困境與出路》,載《財經法學》2018年第6期。今后很長一段時間里,我們要著重建設個人信息保護領域的自律能力,作為政府監(jiān)管的重要補充。同時,還需開展未成年信息保護方面的宣傳教育,這不僅可以提升未成年人的自我保護意識,還能提高父母等監(jiān)護人的網絡素養(yǎng),熟悉網絡經營者的隱私政策,學會謹慎分享或征得同意分享未成年人個人信息,并以“最有利于未成年人的原則”適時行使拒絕權。
綜上,未成年人作為心智尚不成熟、正處于成長期的特殊群體,其權益更容易受到來自數字虛擬世界的侵害,有必要針對未成年人在法律保護規(guī)則上做專門的考量和設計,區(qū)別不同類型的個人信息,并結合具體應用場景做同意事項上年齡的進一步界分,以最大限度的平衡未成年人相對獨立人格與個人信息保護之間的沖突。應該說,未成年人個人信息保護從來都不只是某一方主體的責任,需要政府、社會、企業(yè)和家庭共同努力,分別發(fā)揮政府監(jiān)管、社會監(jiān)督、企業(yè)保障、家庭教育的積極作用,共同建構數字時代未成年人個人信息保護的法制屏障。