1. 引言
近年来,我国高度注重个人信息保护的问题,在2020年相继颁布了《中华人民共和国个人信息保护法》和《中华人民共和国数据安全法》等。而未成年人作为弱势群体,其个人信息一旦泄露会造成更大的伤害。因此,社会各界广泛关注未成年人个人信息保护的问题。根据《2020年全国未成年人互联网使用情况研究报告》显示,我国未成年网民规模为1.91亿,未成年人互联网普及率达到96.8%。互联网在拓展未成年人学习、娱乐、生活空间的同时,也大大增加了个人信息泄露的可能性。尤其随着各种社交软件的兴起,越来越多的父母会通过微信、微博以及抖音等社交平台进行“晒娃”行为。这种行为本意是为了记录孩子的成长过程,却会在无意中出现未成年人被动“交付”自身信息的现象。因此,在大数据背景下加强未成年人个人信息保护具有重要意义。但是,未成年人尚处于成长阶段,其辨识能力和自控能力较成人更弱,他们之间最本质区别在于对世界的认知能力不同,这是未成年人的权益容易被侵害的心理、生理原因 [1] 。再加上,互联网的开放性、自由性、虚拟性、流动性和交互性使得未成年人隐私和信息更易于被传播 [2] 。因此,未成年人个人信息和隐私一旦遭到泄露,将会造成不好的后果。基于此,加强保护未成年人个人信息,营造有利于未成年人健康成长的网络环迫在眉睫。
2. 未成年人个人信息概述
2.1. 未成年人个人信息概念及界定
根据《民法典》第17条:“十八周岁以上的自然人为成年人。不满十八周岁的自然人为未成年人,”1明确规定未成年人与成年人之间的年龄界线是十八周岁。未成年人的个人信息从出生到成年一直在不断积累,在接受义务教育前其个人信息相对稳。未成年人的个人信息的范围会随着其接触外界的范围的扩大而呈几何倍数扩大,因此,当未成年人进入学校开始与外界接触后,个人信息也会随之发生改变。参照《民法典》以及国家出台的相关法律条文,对个人信息的定义作出具体阐述:未成年人在线上线下的学习当中使其个人信息不断发生改变,并且这些变化具有一定的关联性以及可识别性。
2.2. 未成年人个人信息保护的年龄段
2019年10月1日起开始施行的《儿童个人信息网络保护规定》,对保护我国未成年个人信息权益的具有重要意义。该规定第2条表示:“本规定所称儿童,是指不满十四周岁的未成年人”。我国年龄达到十四周岁的未成年人基本上都完成了九年义务教育,相信经过学习这些未成年人已经具备一定的安全保护意识、辨别信息的能力。但目前,我国对于已满十四周岁未满十八周岁这个年龄段的未成年人的个人信息保护还未进行明确的规定。
有学者结合受教育以及劳动权相结合角度提出:十六周岁以下可以作为未成年人信息保护的年龄标准。因为,在法律上对完全民事行为能力的定义中提到:对于已满16岁但未满18岁的公民来说,如果是在完成了九年义务教育的基础上参与到社会工作中,并且主要生活来源是由自己的劳动所得,那么也可以视为完全民事行为能力人 [3] 。但十六周岁到十八周岁之间的未成年人也必须引起重视,尤其是这部分群体中可能存在参与社会工作的未成年人或是在读大学生,但由于其缺乏相关的社会经验,个人信息保护意识淡薄,容易在他人或网络软件的诱惑下泄露自己的个人信息,受不确定性的信息的误导。未成年人本身作为弱势群体,基于其自身的特性处于理性、保护、救济的弱者地位 [4] 。因此,本文认为对未成年个人信息保护的主体年龄应当以未满十八周岁为界线。
3. 大数据背景下未成年人个人信息保护现状及存在问题
3.1. 我国未成年个人信息法律保护现状
2020年10月17日,《中华人民共和国未成年人保护法》(以下简称《未成年人保护法》)第三次修订,将原本的“四大保护”结构调整为“六大保护”结构。新增了政府保护和网络保护两章,而网络保护这一章符合新时代的发展要求。在《未成年人保护法》第1章第4条明确规定:要以“最有利于未成年人”原则为核心,优先保护未成年人、尊重未成年人人格尊严,并对未成年人隐私权和个人信息保护作出明确规定。
《儿童个人信息保护规定》是我国第一部专门针对未成年个人信息保护的规范性文件。其内容主要针对本国境内儿童个人信息的网络活动作出要求。并明确规范了监护人、网络运营商等特定主体的责任和义务。根据儿童最大利益原则,严格保护儿童的个人信息,网络运营者也应当切实履行相应的义务与法律责任。但是鉴于该《规定》的法律效力极低,难以得到广泛地适用。同时,未成年人个人信息涉及到的行为主体多元,法律关系较为复杂。因此,需要根据儿童最大利益原则来调整相关的法律法规,以此来更好地指引网民、网络运营者、监护人的行为。
《信息安全技术个人信息安全规范》以十四周岁为界线,分成两个年龄段对未成年人进行保护。收集未满十四周岁未成年人的个人信息,必须要获取其监护人的明确许可2。而对于已满十四周岁的未成年人,想要收集其个人信息需要尊重本人的意愿,得到其监护人或信息收集对象(即本人)的同意。同时,《信息安全技术个人信息安全规范》规定,未满十四周岁儿童的个人信息纳入“敏感个人信息”中,涉及敏感个人信息的收集要求一般比较严格。因此,必须要以严格的标准来收集或使用关于未成年人的个人信息。
3.2. 现有未成年人个人信息保护制度的不足
第一,未成年人个人信息保护相关法律规范衔接不畅。
近年来,我国对于未成年人个人信息保护的相关法律法规尚未形成集中规定,相关法律规范衔接不通畅。因此,在法律层面上尚未完全形成对未成年人个人信息的有效保护。所以,大数据背景下加强对未成年人个人信息的保护是当务之急。2019年我国发布的《儿童个人信息保护规定》对保护未成年人个人信息起着重要的作用,对未成年人个人信息保护的年龄界线作出要求,强调了监护人、网络运营者等多方主体的责任与义务,并要求相关部门承担责任共同保护未成年人的个人信息。但由于,《儿童个人信息保护规定》的效力级别低,可能导致无法在全国范围内有效推行。并且,根据我国法律规定,针对敏感信息或有关个人隐私的信息进行高标准要求。但在《儿童个人信息保护规定》中,敏感信息中尚未包含未成年人信息。
第二,未成年人个人信息保护标准过高。
首先,对年龄界线的“一刀切”。根据《儿童个人信息保护规定》,将“儿童”的年龄界线定为未满十四周岁的未成年人,针对未满十四周岁的未成年人个人信息加强保护3。虽然这个界线是在结合我国社会各种因素所考量的结果,但十四周岁到十八周岁的未成年人的个人信息可能无法得到更好地保护。虽然,使用明确的年龄界限一定程度上可以限制司法机关的自由裁量权。但是,在未成年人成长过程中,不同阶段存在不同的问题,甚至于同一阶段的未成年人因为成长环境不同也会存在差异。明确的年龄划分界限容易出现将未成年人的问题简单归于一类,这是不利于对未成年人个人信息进行保护的。
另一方面,刑法作为法律的最后一道防线,在对未成年人个人信息的保护力度是远远不够的,根据刑法规定,只有一部分危害未成年个人信息的行为属于“侵犯公民个人信息犯罪”。在《刑法》中对于涉及到个人信息保护的问题,区分了“情节严重”与“情节非常严重”的犯罪情节,制定不同程度的保护措施来保护个人信息。但是在司法实践中,针对未成年人个人信息保护的相关法律条文较少。刑法对未成年人个人信息保护力度低于其他法律规范,违法成本较低,使其威慑作用未能得到完全发挥。
第三,监护人同意机制的虚化。
首先,涉及未成年人的隐私政策及相关文件过于复杂。在现有的法律法规中,对未成年人的个人信息保护更多体现在监护人的同意知情上。但很多网络运行商所提供的隐私政策内容过长,并且在内容中设计多项的专业术语,能坚持看完全部的文件内容就对大多数的监护人来说是一个挑战,更多的监护人可能会直接点击同意。另外,网络运营商为了尽可能保证隐私政策等相关文件的法律规范,所以文件内容无法使用简洁的语言。这就造成了监护人即便能够看完每一个条款,但想要理解其中的专业术语就极其不易了。因此,大部分监护人无法充分利用青少年模式或者未成年模式来保护未成年人的个人信息。
其次,未成年人监护人身份确认的问题。随着大量网络游戏的出现,使得越来越多的未成年人沉迷于此。而现如今有许多游戏为防止未成年人消费或沉迷,出现了未成年人防沉迷模式,但这个模式的出现也存在一定的漏洞。因为很多的未成年人并没有属于自己的电子设备,当未成年人使用监护人的设备玩耍时,网络运营商会默认娱乐软件客户端为成年人,所以在线上进行验证身份关系并非易事。
最后,监护人知情同意下的“理性人”崩塌。大数据背景下,信息主体在知情同意前提下作出具有理性决定的实际能力与“理性人”理论预设程度相差很大,在内部性决策困境与外部性决策的共同作用下削弱了“知情同意”的实效 [5] 。目前,很多信息主体已经意识到个人信息保护的重要性,所以他们很少会在网络上直接公布个人信息。但仍不可避免大数据将信息主体过往所分享的关联信息收集起来,并对这些信息进行加工整合,进而具体的个人身份就会被识别。而大数据收集分散信息、并对此使用,很多信息主体并不能立刻预估到后果,使其无法对自己的决策所带来的风险进行准确的判断。
4. 未成年人个人信息保护制度构建
4.1. 完善未成年人个人信息的相关法律制度
一是,完善个人信息保护法。首先,考虑到未成年人这一信息主体的特殊性,在保护法中应满足未成年人个人信息保护的基本原则。第一,未成年人最大利益原则:个人信息保护必须符合未成年人最大利益原则,涉及未成年人权益的决策,应以未成年人最大利益为准。第二,同意原则:未获得未成年本人或其监护人的允许,不得收集和使用其个人信息。第三,目的明确原则:必须明确告知本人或其监护人收集未成年人个人信息的目的和用途,不得以非法的手段获得同意。第四,最小化原则:不得过度收集未成年人个人信息,仅局限于实现特定目的所必须的范围。第五,安全保护原则:无论是未成年人的监护人或网络运营商,都有责任和义务共同保护未成年人的个人信息。
4.2. 强化未成年人个人信息保护力度
刑法作为对未成年人个人信息保护的最后一道防线,在未成年人个人信息保护的问题上必须充分发挥刑法的威慑作用。第一,加大刑事惩罚力度。对于非法侵害未成年人个人信息的罪犯,先判定其行为所带来的后果,对于涉及危害未成年人个人信息的行为加大处罚力度。第二,针对侵害未成年人个人信息的罪犯,加重其处罚金额。通过提高处罚金额,增加罪犯的犯罪成本,从而减少侵害未成年人个人信息的行为。
4.3. 完善监护人同意机制
一是,建立未成年人个人信息保护平台,落实未成年人真实身份。对未成年人与成年人的个人信息进行明确区分,才能更有效地保护未成年人的个人信息。政府作为最大个人信息的收集、处理、储存和利用者,具有利用者和管理者的双重身份 [6] 。因此,政府可以作为“发起人”来建立未成年人个人信息保护平台,并要求各部门或组织共同参与收集与共享未成年人个人信息,有效地为相关部门提供未成年人个人信息以便能作出更好的决策与提供有效的服务。一方面,通过该平台来整合未成年人的个人信息,便于各大网络平台进行未成年人的身份识别。另一方面,可以在监护人做出错误判断,使得他人非法利用未成年人的个人信息时及时提供帮助,可以通过该平台帮助监护人找出信息泄露踪迹进而锁定侵权的源头,以便明确侵权者责任。
二是,培养监护人信息素质,监护人作为保护未成年人个人信息的第一道防线,必须意识到未成年人个人信息存在的风险和隐患,积极学习预防手段。并且,监护人作为未成年人的“第一位”老师,有责任引导未成年人认识到个人信息的重要性,培养未成年人的安全防范意识。同时,可以把信息安全素质课程纳入未成年人的必学课程中,要求学校设立相关普法课程,并定期开展“个人信息安全”为主题的教育宣传活动。除此之外,政府、企业和相关组织应当加大未成年人个人信息安全教育方面的投入。比如:政府可以要求各大校区举办未成年人个人信息安全教育知识竞赛,企业也可以设置相关的活动,共同营造全社会学习信息安全和参与信息保护的浓厚氛围。
5. 结语
未成年人网络产品和服务的逐渐普及,在丰富未成年人成长、学习、生活的同时,也潜藏着未成年人个人信息泄露的风险。因此,本文通过对大数据背景下未成年人个人信息保护现状及存在问题进行分析,提出可以针对未成年人在法律保护规则上做专门的考量和设计,从而增强未成年人个人信息保护力度。并通过完善监护人同意机制,集政府、社会、企业和家庭多方主体的共同努力,为未成年人打造安全可靠的网络空间。
NOTES
1《中华人民共和国民法典》第17条:十八周岁以上的自然人为成年人,不满十八周岁的自然人为未成年人。
2《信息安全技术个人信息安全规范》第5.4条:收集年满 14 周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
3《儿童个人信息网络保护规定》第2条:本规定所称儿童,是指不满十四周岁的未成年人。