摘要: 大数据时代,互联网、云计算、人工智能技术的不断发展,在便利生活的同时,也对公民的个人信息构成巨大威胁。贩卖公民个人信息、非法收集面部信息以及网络经营者对公民个人信息的滥用已经屡见不鲜。随着相关法律的出台,公民的个人信息得到一定保护,但是,对于未成年人的保护仍有待加强。未成年人,作为一个特殊的群体,由于其存在特殊性和脆弱性,更容易遭受外界的不法侵害,未成年人的个人信息保护面临着巨大的挑战。未成年人的人格尊严受法律保护,个人信息自决权也依法受到保护。我国仍处于起步阶段,年龄界定、监护人同意、第三方数据主体规制以及监管模式等方面还有待进一步明确。结合该领域的最新立法,如欧盟《一般数据保护条例》(GDPR)、美国《儿童网络隐私保护法》(COPPA),与中国信息保护的实践,坚持最有利于未成年人原则,在保护的同时尽最大限度地保障未成年人个人权利,通过对监护人同意制度进一步细化和完善,明确监护人责任、国家义务以及行业责任,多方协同,形成社会合力,更好地实现未成年人利益最大化,为未成年人的成长与发展保驾护航。
Abstract:
In the era of big data, the continuous development of the Internet, cloud computing and artificial intelligence technologies not only facilitates life, but also poses a great threat to citizens’ personal information. Selling citizens’ personal information, illegal collection of facial information and abuse of citizens’ personal information by network operators are already common. With the introduction of relevant laws, citizens’ personal information has been protected to some extent, but the protection of minors still needs to be strengthened. Minors, as a special group, are more vulnerable to illegal infringement from the outside world due to their particularity and vulnerability, and the protection of their personal information is facing great challenges. The personal dignity of minors is protected by law, and the right to self-determination of personal information is also protected according to law. China is still in its infancy, and the age definition, guardian consent, third-party data subject regulation and supervision mode need to be further clarified. Combined with the latest legislation in the field, such as the EU General Data Protection Regulation (GDPR), the Children's Online Privacy Protection Act (COPPA), and the practice of Chinese information protection, we adhere to the principle of being in the best interests of minors. At the same time of protection, the legal rights of minors should be guaranteed to the greatest extent. Through the further refinement and improvement of the guardian consent system, clear guardian responsibility, national obligations and industry responsibility, multilateral synergy, form social force, better maximize the interests of minors, for the growth and development of minors.
1. 引言
根据中国互联网络信息中心发布的第四十八次《中国互联网络发展状况统计报告》,报告表明,截至2021年6月,中国互联网网民规模为10.11亿人,6~19岁网民占15.7%,共1.58亿人1。同时根据第十次“中国未成年人互联网运用调查”,调查显示,中国未成年人互联网普及率为99.2%,明显高于71.6%的全国平均普及率2。未成年人心智不成熟、辨别是非的能力较差,在虚拟的网络空间中,各种形式的信息纷繁复杂,容易使未成年人产生认知上错误,更容易被误导,也容易遭到泄露和滥用。不仅损害其身心健康,侵犯其人格尊严,也对其成长过程以及未来发展产生重大影响。这不仅关乎当下,而且关乎民族未来,未成年人的个人信息保护亟需重点关注。
2. 未成年人个人信息保护的必要性
2.1. 大数据时代数据风险
目前,我们已经迈步到大数据时代,每天都会产生各种各样的数据信息,而个人信息已然成为大数据时代的核心资源,不断影响着社会生产生活以及国家经济发展运行。与此同时,数据安全风险也日益凸显。
数据是二十一世纪的石油和钻石。所谓数据,是对客观事物特征和特性进行描述的一种抽象性的符号化的记录,它由数字、字母、图形等组成。其特点具有抽象性、符号化、可识别性 [1] 。数据作为一种载体,人们在日常生活中产生的身份信息、教育信息、健康信息、行踪信息等等都会通过数据的形式表现出来,而这些信息或许对个人来说看似无关紧要,并且不经意间就会传递,但是通过大数据的整合、处理、分析就能得到更重要的信息甚至能够精准测算其需求偏好,高度还原一个人的外部形象,对其进行数字画像,进而产生数字化形象。大数据的复杂性、可变性、快速性,随之而来必然导致数据外泄的风险增加,对公民特别是未成年人个人信息和隐私安全造成严重威胁。
2.2. 网络风险
网络环境的虚拟性、隐蔽性使得人们在虚拟环境下更肆无忌惮。尤其是网络服务提供者、网络运营商,面对扑面而来的大量的信息,应收尽收,不断的获取用户信息并对此进行分析计算。这些网络运营商利用未成年人智力水平和理解能力的不足的弱点,获取其身份信息、家庭情况以及兴趣偏好等,由此以来,他们获得信息的成本更低,承受的风险也更小,不断地攫取更大的利益。更有甚者,将这些所获取的信息非法售卖,给未成年人增加了潜在的违法犯罪的风险。
2.3. 未成年人群体的特殊性
未成年人作为“互联网的原住民”,未成年人触网比例不断提高,人数已经达到全部网民的15%且普及率达到99%,网络低龄化现象突出,网络普及程度接近饱和,受众数量庞大,未成年人已经成为互联网网民的重要组成部分,是不容忽视的重要群体。相对于成年人来说,未成年人年龄小,阅历浅,心智尚处在发育阶段、心智不成熟,辨别是非能力差,自控力差,容易受外界环境的影响。法律意识、自我保护意识的薄弱和风险认识能力的缺失,在互联网中更容易遭受泄露和滥用的危险。另外,未成年人处于相对弱势的一方,抗风险能力较弱,心理素质差,一旦遭受侵害,并不会表达自己的诉求,也没有能力维护自身的合法权益,救济途径并不完善。对未成年人的保护一直是家庭、社会乃至国家的一项重要主题,未成年人的发展关系到民族未来,这也是一直成为社会热点的原因。面对大数据时代的到来,针对未成年人的特点,防范和规避网络风险,远离大数据带来的负面影响,为未成年人提供一个安全、清朗、良好的网络环境,加大对未成年人个人信息的保护就显得尤为重要。
3. 未成年人个人信息保护的立法现状
未成年人的个人信息保护在我国正处于起步阶段,相较于欧美等国家的立法仍不够成熟。欧盟《一般数据保护条例》(GDPR)被称为“史上最严格的数据保护法”,对信息处理者提出更严格要求以及更重的处罚力度;美国向来是儿童网络保护领域立法的引领者,制定了一系列的法律法规保护未成年人的个人信息,其中包括《儿童网络隐私保护法》(COPPA)以及相应的配套规则 [2] 。我国起步较晚并没有跳脱出监护人同意的框架。目前,结合我国的具体国情和实践,探讨最适合我国的未成年人个人信息保护途径,成为一项重要任务。
3.1. 我国未成年人个人信息保护制度
《未成年人保护法》是针对未成年人这一群体的特别保护,目的在于保障未成年人的合法权益。其中的第五部分,设专章保护未成年人在网络空间中的合法权益。第七十二条明确规定,信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。该条是对信息处理者在处理未成年人个人信息时做出的原则性规定,不仅从信息处理者一方确定处理信息行为的义务而且从另一方面也明确了监护人责任,加强了对未成年人在网络领域的保护。即将实施的《未成年人网络保护条例》亦对未成年人的个人信息保护做出了专门规定。其中第四章为个人信息网络保护。第三十二条明确规定,个人信息处理者应当严格遵守国家网信部门和有关部门关于网络产品和服务必要个人信息范围的规定,不得强制要求未成年人或者其监护人同意非必要的个人信息处理行为,不得因为未成年人或者其监护人不同意处理未成年人非必要个人信息或者撤回同意,拒绝未成年人使用其基本功能服务。这也是最小、必要原则在处理未成年人个人信息方面的运用。此外,第三十三条和第三十四条规定了未成年人享有个人信息处理活动中的查阅、复制、更正、补充、删除等权利,当未成年人不能行使相应权利时,其监护人可以代为行使。同时还强化监护人的监管义务和个人信息处理者的合规义务,以保障未成年人能够及时、有效维护其合法权益。
我国最新出台的《个人信息保护法》,第二十八条列举了敏感信息的种类,将不满十四周岁的未成年人的个人信息列为敏感个人信息,敏感个人信息涉及人格尊严,具有重大人身、财产利益,将其列为敏感信息并要求采取特殊的保护方式以及对信息处理者设定了更高要求,这也体现出对未成年人保护的重视程度。第三十一条规定,个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。此条同样地明确了监护人同意制度。
《儿童个人信息网络保护规定》对处理不满十四周岁的儿童信息做出了具体规定。第九条,网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。第十四条,网络运营者使用儿童个人信息,不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人的同意。该条对信息处理者提出了更具体的要求,进一步强化了处理儿童个人信息时的告知义务,加大信息处理者的义务,从上游保护儿童的个人信息,以确保儿童的个人信息权。我国颁布的这些法律对未成年人的个人信息保护发挥重要作用,但是这些保护规则分散于各个法律中,并没有集中的做出统一立法 [3] 。其次,仍然采用监护人同意的方式,只是对监护人同意做出笼统性的规定,并没有具体的告知同意规则。
3.2. 欧盟《一般数据保护条例》的“父母同意”规则
欧盟GDPR对未成年人个人信息保护做出以下规定。规定第6(1)条(a)适用的情形下,对于为儿童直接提供信息社会服务的请求,当儿童年满16周岁,对儿童个人数据的处理是合法的。当儿童不满16周岁,只有当对儿童具有父母监护责任的主体同意或授权,此类处理才是合法的。对于年满13周岁的情形,成员国的法律可以降低年龄要求。控制者应当采取合理的努力,结合技术可行性,确保此类情形中对儿童具有父母监护责任的主体已经授权或同意 [4] 。在此条中,明确规定了信息处理者在收集、处理不满16周岁的未成年人的个人信息,需要监护人的同意,只有监护人明确授权才能处理,强化了监护人的同意责任,采取严格父母同意规则,将儿童对信息的控制权完全交由父母行使,父母享有较大的权利,但是,这样容易造成对未成年人的过度保护,往往会忽略儿童的内心感受,忽视其内心意思的真实表达,反而不利于未成年人参与网络活动。
3.3. 美国《儿童网络隐私保护法》的“可验证父母同意”规则
美国COPPA规定了“可验证的父母同意”规则。“可验证的父母同意”指任何合理有效的方式(考虑现行技术因素),包括在向儿童收集信息之前,要求授权进行通知中所描述的信息未来收集、利用和披露。保证该儿童的父母收到了运营者的个人信息收集、使用和披露行为的通知,且授权允许其对该儿童个人信息进行收集、使用和披露,以及对该信息的后继使用。“可验证的父母同意”主要包括六种情形:父母签名的邮件、传真件或电子扫描件;金钱交易凭证;电话同意;视频连线同意;政府签发的身份认证系统;邮件回复双重确认 [5] 。该条规定,最先确定了监护人同意制度,确保监护人的充分的知情权,采取多样化方式授权同意,使得监护人的同意更明晰确定,但由于其将需经同意年龄设置在13周岁以下,最低年龄过低导致较高年龄段无法得到充分保护,另外,严格的年龄限制以及验证方式无疑也会增加了监护人负担,监护人帮助孩子规避同意程序,对个人信息的重视程度不高,对未成年人的个人信息安全甚至隐私造成巨大威胁。
4. 监护人同意规则的反思
我国一向重视对未成年人的保护,受中国历史传统的影响,重视家庭教育,重视家风的塑造。现在,我国依然通过法律明确规定监护人的抚养、教育、照顾、保护等义务,对于未成年人的保护,家庭仍然是第一位的,监护人对未成年人的成长发挥着重要作用。但是,随着时代的进步,监护人的保护功能并不能完全囊括其中,仍然会有其局限性。儿童权利的不断扩展,也需要多元化的、多层次、多形式的保护,以家庭监护为基础、国家监护为兜底,家庭保护和国家保护相互配合,才能更好的保障未成年人的合法权益。
4.1. 监护人与未成年人预设利益一致的缺陷
未成年人的个人信息保护,监护人同意是最重要的保护形式,通过监护人替代决定在一定程度上保障了未成年人的信息权,这也是目前最广泛采用的方式。但此种方式预设前提是监护人和未成年人利益一致,体现出家长本位的思想。多数情形下未成年人的信息权是由父母或监护人代行,这必然存在着权利冲突,比如:监护人的监督权、监护权与未成年人的个人隐私和信息权之间,监护人在行使监护权时是否会对未成年人的隐私造成侵犯,以及监护人有多大程度的干预权,这些与未成年人的权利密切相关。再有,监护人的过度保护与未成年人发展权之间,监护人对未成年人的过度保护会造成未成年人很难自主做出决策,面对新事物的反应缓慢,反而不利于未成年人的成长和发展,不利于其自主决定权的行使。因此,需要对监护人介入权进行必要的限制,监护人要尊重未成年人的隐私,履行注意义务,履行监护职责。
4.2. 监护人同意可操作性规范缺失
个人信息保护中最重要的一个原则是知情同意原则。网络运营商在处理公民个人信息时,应取得个人同意。这项原则充分保障个人的知情权,但是在实践中,网络运营商往往使其流于形式,绝大多数制定的隐私条款冗长且复杂,一些专业术语也增加了理解难度,即便人们能耐心的阅读,但长此以往也会陷入同意疲劳。一方面,网络运营商还需要专门针对未成年人制定一系列的隐私条款,可能会更繁琐复杂,确保监护人的知情权。另一方面,作为监护人,监护人对个人信息保护意识并不强烈,面对未成年人的隐私条款,阅读的意愿大大降低,更不会仔细阅读,很难保证未成年充分的知情权,若不加以重视,往往使得未成年人个人信息遭受到严重威胁。
4.3. 监护人注意义务不明晰
父母作为孩子最亲近的人,未成年人的父母也会不经意的造成孩子个人信息的泄露,这种风险是很难避免的。这就使得监护人既是未成年人的保护者又是侵害者。父母在日常生活中记录孩子的成长过程,意味着孩子的信息控制权交由父母掌握,父母在发布、传播的过程就已经在互联网中留下记忆,而这种记忆将是持续的、永久的,伴随着孩子的成长 [6] 。对于人类的大脑记忆而言,遗忘是常态,记忆是例外;而数字时代,记忆与遗忘发生了反转,记忆成为常态,遗忘成为例外 [7] 。互联网有着超强的记忆功能,婴儿从出生时就产生了身份信息,随着其不断成长,产生教育信息、生活信息等等,而这些信息被互联网形成记忆就很难被删除,未成年人在成长过程中,互联网的记忆甚至比其自己的记忆更深刻。相对于成年人来说,未成年人个人信息一旦造成侵害,次生危害会不断扩大和蔓延,造成的后果影响更加长远。这就对监护人提出了更高要求,同时也需要对监护人的行为进行规制。
5. 监护人同意规则的完善路径
5.1. 以最有利于未成年人原则为中心
联合国《儿童权利公约》第三条,以儿童的最大利益为首要考虑。这里的儿童是指不满18周岁的任何人。我国《未成年人保护法》第四条亦明确了该原则,坚持最有利于未成年人原则,给予未成年人特殊保护、优先保护,保护未成年人隐私权和个人信息。儿童利益最大化原则,作为未成年人保护的核心原则,不仅仅限于某一法律之中同样地应当贯穿于涉及未成年人保护的各个法律。《个人信息保护法》当然也不例外。
在未成年人个人信息保护的处理规则中也必然体现该原则,但是就目前来看,在保护未成年人个人信息时最主要的是采用保护性规定,通过监护人同意的形式表现出来,单一、固化的监护人同意模式并不足以使其权利得到充分保障 [8] 。
未成年人作为独立的个体,享有生存权、发展权、参与权等,作为网络空间的信息主体,享有知情权、同意权、删除权等。将未成年人权利更加明晰化,通过赋权性规定扩大未成年人权利保护的范围,不仅仅局限于监护人的职责,也不再局限于第三方数据主体处理个人信息时的义务,而应更侧重于未成年人在行使权利时具有较大的自主性和独立性。
以最有利于未成年人原则为中心,作为保护未成年人个人信息的指引原则,同时也是监护人作出替代决定、第三方数据主体收集和处理未成年人信息所需要遵循的基本原则。通过增加授权性规则而并非单纯的义务性规则,一方面,注重形式上的保护,通过严格的同意程序确保其权利不受侵害;另一方面,注重实质的保护,赋予其更广泛明确的权利。从未成年人的最大利益出发,避免监护人的过度保护,给予未成年人自主的发展空间,真正地考虑到未成年人的需求,在成长的过程中更好地融入社会,切实地保障其在网络空间中的权利。
5.2. 不同场景下的监护人同意
目前,监护人同意作为保护未成年人个人信息的最通行的方式,我国则需要借鉴国外的有利经验,结合我国的具体实践,进一步细化监护人同意的适用,通过将个人信息划分不同风险等级以及分层次的年龄阶段,综合评估处理信息的行为对不同发展能力的未成年人的带来的风险,采取不同的监护人同意方式,在具体场景下考量相关因素,从而尽最大限度防范个人信息泄露和滥用危险 [9] 。
在庞大的数据信息中,各种信息纷繁复杂,信息的多样性对信息主体产生不同影响。主要包括一般信息、敏感信息、隐私信息等,因此,针对不同类型信息考量带来的风险程度,有助于降低风险。可以将收集未成年人的信息进行分类型划分,对各类信息进行风险评估,主要从第三方数据主体收集目的、用途、应用场景,被收集者的重视程度等标准,大致地分为高、中、低等级。
首先,低等级风险的信息,当该未成年人信息用于社会公共利益的目的,或者处理者只是概括性收集并且即时删除的数据信息,并不会对被收集者造成财产和人身风险。如在教育类APP,其功能主要是提供教育服务,并没有必要获取大量的未成年人信息,此时就可采用宽松的同意方式。其次,中等级风险信息,处理者仅作内部使用并且不产生信息的流动,数据保密系数高,限制特定的应用场景,对于被收集者而言是享受服务所必须,但会对其身份、财产信息产生一定影响。如游戏防沉迷系统,处理者收集的未成年人信息仅用于验证身份,此时就需要较严格的同意方式。最后,高风险信息,处理者收集的信息范围、用途广泛,将处理的信息向第三方披露或者被收集者重要身份、财产信息甚至涉及人格尊严,对其应用场景不特定,会带来不确定的风险,不仅可能产生信息泄露的风险而且可能对被收集者的人身安全造成威胁。如处理者运用未成年人信息作为广告推送,此时则需采用最严格的同意方式。通过对信息风险等级的划分,处理不同的信息采用不同的同意方式,一方面网络经营者能在控制的范围内确定自己的义务,另一方面也能降低监护人的负担。
《个人信息保护法》中将不满十四周岁的未成年人列为敏感个人信息给予特殊保护。根据中国青少年研究中心“未成年人权益状况研究”调查数据表明,小学生的个人信息受侵率要低于初高中生,即使初高中生相对小学生来说较为成熟,但外界环境的影响仍然会对初高中生造成很大威胁,对于已满十四不满十八周岁的未成年人(青少年)仍是保护的重要组成部分 [10] 。因此,对青少年群体的保护不可或缺,根据其发展能力的不同采用差异化的监护人同意。
不满十四周岁的未成年人主要通过监护人同意,监护人负有更大的注意义务,要考虑风险程度做出决定。而对青少年而言,则应以自主决定为主,监护人同意为辅。面对不同等级的风险做出不同的反应。对于一般信息,青少年根据自己的认知即可判断,但对于生物信息、行踪信息、支付信息等重要信息则需要监护人的明确同意。
综合考量不同的风险等级及不同年龄阶段,对监护人同意方式做出差异化规定。针对不满十四周岁的未成年人面临的不同的风险等级采用不同的同意方式:低风险度的信息,采用宽松的同意方式,在告知同意的框架下,采用用户协议告知,选项勾选同意的方式即可;而中风险度信息,则采用较严格的同意方式,二次同意的方式,在第一次同意的基础上再次通过短信、电子邮件等通知,监护人默许同意即可,可以明确拒绝;高风险度信息,采用最严格的同意方式,可以通过监护人实名或者生物信息识别验证同意。而对于青少年来说,青少年对自己的信息享有较大的控制权,有较大的自主性,若涉及到重大人身、财产利益,监护人则要明确授权同意。由此以来,明确监护人的注意义务,在监护人作出替代决定时更好的保障未成年人的个人信息安全。
5.3. 以家庭教育强化监护人同意
监护人是未成人保护的有力后盾,在维护未成年人权益方面扮演者重要角色。加强对监护人的教育,弥补监护人自身的不足,使监护人重视未成年人的保护,重视未成年人的个人信息保护,保障未成年人的合法权益。
从近代监护模式的转型来看,儿童经历了从客体到准主体再到主体的变迁,形成了家庭和国家的双重保护,当家庭保护不足以提供最大保护甚至危害到儿童权利时,国家保护就发挥出重要作用 [11] 。在未成年人保护中,监护人的保护是天然的、自发的,这种义务更多地源于道德准则,只有当其违背了最低的道德要求才需要通过法律的约束。随着时代的不断进步,道德标准的不断提升,对监护人的监护义务也会随之增加。在大数据时代,未成年人的个人信息与其成长发展密切相关,外界环境的风险不断增加,尤其是在网络领域,监护人对风险的不可控性和隐蔽性难以认知,缺乏应对能力,也没有较强的权利意识,往往会对未成年人造成潜在的不良影响。
为加强家庭教育,促进未成年人健康成长,我国专门制定了《家庭教育促进法》。《家庭教育促进法》第五条,尊重未成年人人格尊严,保护未成年人隐私权和个人信息,保障未成年人合法权益;第十七条,未成年人的父母或者其他监护人实施家庭教育,应当关注未成年人的生理、心理、智力发展状况,尊重其参与相关家庭事务和发表意见的权利。该条规定监护人要尊重未成年人的权利,要重视未成年人的发展情况,研究表明,在有隐私感的环境中长大的孩子,加上父母的支持及较少的控制,比那些童年具有较少自主性的孩子进入成年后会有更强的幸福感和更高的生活满意度。通过家庭教育,对监护人提出较高要求,强化对未成年人的保护,与此同时,尊重其独立性和自主性。只有不断使其创造自我意识,才能更好的成长和发展。
加强对监护人的宣传教育,在全社会形成对未成年人个人信息的保护意识,强化监护人的责任包括熟悉第三方数据主体提供的隐私政策、充分明确地做出同意决定、谨慎的分享敏感的个人信息、注重培养儿童权利自主性等。为了未成年人的最大利益,监护人可以像牧羊人一样保护孩子个人信息,直到成长为成年人,掌握自己的数字身份。强化家庭监护与国家监护相统一的监护制度,为未成年人筑起全链条、全方位的网络屏障。
6. 结语
大数据时代,未成年人是未来的主体,承担着更大的责任和使命。保护未成年人的个人信息是在数字时代一项新的挑战。面对这一群体的特殊性及复杂程度,要充分认识到未成年人个人信息保护的现实必要性,借鉴域外的有益经验与我国的具体实践相结合,探索最适合我国的保护途径。处理好监护人与未成年人之间的微妙关系,在对其保护的同时更要重视其权利的保障,不仅从监护人同意上进行形式上保护,而且注重未成年人的人格尊严和其他基本权利,将最有利于未成年人原则作为个人信息保护中的基本准则,从家庭保护到国家保护,强化监护人的监护责任,增强权利意识,加大宣传教育,促进监护人一方重视未成年人的个人信息保护。在社会中,弘扬家庭教育的优良传统,使家庭、社会、国家保护形成合力,相辅相成,相互促进,为未成年人的合法权益筑牢安全网,真正地使这些“互联网原住民”在数字时代生活的更加安全、舒适!
NOTES
1参见中国互联网络信息中心(CNNIC)第48次《中国互联网络发展状况统计报告》, http://www.cnnic.net.cn/n4/2022/0401/c88-1132.html,最后访问时间:2022年10月31日。
2参见季为民等主编:《青少年蓝皮书:中国未成年人互联网运用报告(2021)》,社会科学文献出版社2021年版,第27-53页。