1. 引言
目前,我国未成年网民规模已达1.91亿,未成年人互联网普及率达96.8%,其中14~17周岁的青少年是使用互联网平台的活跃人群,普及率在98%以上1。在使用网络时,青少年未成熟的心智易成为“弱势群体”,其个人信息具有被互联网平台不当处理的可能性,而这将危及其自身成长。然而目前我国仅有针对不满14周岁的未成年人个人信息进行特别保护的法律法规,青少年的个人信息保护很大程度上依赖于互联网平台。国家也意识到互联网平台的特殊地位,有关部门相继发布了意见要求其积极承担相应的主体责任。
为此,有必要基于互联网平台披露的相关个人信息处理规则,结合互联网平台应遵循的法律法规及实践中存在的不足,从维护青少年利益的角度出发提出建议,以督促互联网平台尽到相关主体责任,保护青少年个人信息。
2. 互联网平台保护青少年个人信息主体责任的相关规范
2.1. 互联网平台的主体责任
依据《个人信息保护法》(以下简称“《个保法》”)对个人信息的界定,青少年个人信息是指14~17周岁自然人的各种信息。主体责任最初用于安全生产领域,近年来逐渐出现于互联网行业中。2021年9月,国家互联网信息办公室发布《关于进一步压实网站平台信息内容管理主体责任的意见》,互联网平台的主体责任包括未成年人网络保护,同时指出了互联网平台对主体责任认识不充分、履职尽责不到位等问题。2021年10月,国家市场监督管理总局发布了《互联网平台落实主体责任指南(征求意见稿)》,对互联网平台保护自然人个人信息及隐私提出了要求。2022年3月国家互联网信息办公室关于《未成年人网络保护条例(征求意见稿)》再次公开征求意见,此条例中设专章规范互联网平台保护未成年人个人信息。
2.2. 互联网平台保护青少年个人信息主体责任的规范梳理
我国涉及互联网平台保护青少年个人信息的相关条文散见于各类法律法规中。《民法典》在人格权编中的隐私权和个人信息保护章节,总括性规定信息处理者的义务。《个保法》重视互联网平台在处理个人信息的环节中是否保护个人相应的权益,第31条规定处理不满14周岁的未成年人个人信息适用监护人同意制度,并严格限制对此类敏感个人信息的处理,在相关法律条文中还规定了个人享有删除权等各项权利。《数据安全法》侧重互联网平台在开展数据处理活动时数据本身的安全性。依据该法,互联网平台应当在网络安全等级保护制度的基础上开展数据处理活动,并且加强风险监测。《网络安全法》侧重互联网平台对其收集的个人信息的安全保护义务,具体包括应对收集的个人信息严格保密,并且应采取技术措施防止个人信息的泄露、毁损、丢失等。《未成年人保护法》的相关原则及监护人同意制度衔接了《个保法》,但是第72条特别规定了互联网平台作为信息处理者的更正、删除义务。刑法通过设置涉个人信息保护的具体罪名及刑事责任,进一步明确了我国互联网平台保护青少年个人信息主体责任的底线。我国刑法规定的两项具体罪名分别是侵犯公民个人信息罪与拒不履行信息网络安全管理义务罪,分别从积极和消极角度设立互联网平台应当承担的刑事责任。此外,由国家互联网办公室发布的《未成年人网络保护条例(征求意见稿)》虽然尚未生效,但仍有一定的参考价值。该条例适当优化了监护人同意制度,第33条规定网络直播服务提供者为十六周岁未成年人提供网络直播发布者账号注册服务时,需要经其监护人同意,第35条规定了在一定情形下要重新取得监护人同意。就删除个人信息的规则而言,第30条规定网络产品和服务提供者发现违反有关条例时如涉及网络欺凌未成年人时,应当采取包括删除等措施。
就行业的自律规范而言,行业自律公约具有的灵活性能弥补法律滞后性的不足,但目前十分缺乏涉及互联网平台保护青少年乃至未成年人个人信息主体责任的规范。在中国互联网协会及各省、市的互联网行业主管部门牵头下,我国部分互联网企业订立了包括《中国互联网行业自律公约》《用户个人信息收集使用自律公约》等行业自律公约。但目前没有专门保护未成年人的行业自律公约,也没有专门负责未成年人保护的机构 [1] 。另外,行业自律公约如《用户个人信息收集使用自律公约》仅有28家互联网企业签署,虽然不乏大型的互联网平台,但覆盖度依旧不够广泛。
3. 互联网平台履行保护青少年个人信息的主体责任存在之不足
3.1. 头部环节:同意规则的适用对象与身份识别制度存在不足
依据监护人同意规则,互联网平台在实践中通常要求不满14周岁未成年人的父母或者监护人勾选隐私政策下的“同意”,而14~17周岁的青少年不适用此规则。这一规则有着明显的弊端,以14岁为年龄上限,14~17周岁的青少年被视为成年人,拥有完全的个人信息自决权,但青少年与成年人在认知与心理成熟度上存在天然的差异,如果对青少年的决策缺乏引导或限制可能不利于保护其个人信息。部分互联网平台注意到了这个问题,抖音制定隐私政策要求青少年的父母或其他监护人介入,以协助青少年决策,微信、QQ、新浪微博、淘宝等多数互联网平台都要求青少年的父母或监护人替代同意。这也相继引发身份识别问题,如要确保同意规则的实效性有必要识别出个人信息主体为青少年用户,而介入同意的主体为其父母或者其他监护人 [2] 。实践中,互联网平台不识别用户年龄或身份,或者仅依据用户填写的资料识别,都容易使青少年虚构年龄以规避监护人介入或者替代同意。上述两个问题根源于我国相关法律法规的不完善,对于监护人同意规则的适用范围没有激励政策,对其验证方式也没有生效规定,因此互联网平台缺乏承担相应主体责任的动力。
3.2. 中部环节:互联网平台采用算法处理个人信息的缺陷
2022年3月生效的《互联网信息服务算法推荐管理规定》第7条要求算法推荐服务提供者应制定并公开算法推荐服务相关规则,第16条规定应当以显著方式告知用户提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图、运行机制等。
结合各互联网平台所披露的信息,笔者发现:首先,多数平台未尽到告知义务。多数平台未以显著方式公开算法推荐服务规则,例如,某短视频平台将其隐匿于“设置”页面“隐私设置”板块“个性化选项”中的“了解详情”链接中。在解释算法的基本原理与运行机制时,部分平台的条款内容过于简略,甚至部分头部平台未公开算法推荐服务规则,且大多数平台算法推荐服务规则中多为计算机专业术语,青少年用户可能难以理解推荐服务的运行机制。
其次,在青少年个人信息的处理上,对涉及青少年内容的算法推送机制不完善。以某短视频平台为例,平台在未采取相关措施得到监护人明确同意的情况下就将含有青少年信息的内容经推荐算法推送给大量用户,并提供转发与下载功能。青少年由于心智不够成熟,缺少隐私期待与个人信息保护意识 [3] ,可能在不经意间就将包含自己肖像信息、家庭信息的内容上传至平台上,此时,这种仅以用户喜好为标准的推送可能为不法分子提供了可乘之机,例如某短视频平台曾因违法推送未成年人个人信息而引发了一起猥亵案 [4] 。
最后,算法对青少年的标签化可能会带来潜在的风险。个性化推荐算法本质上是通过机器学习算法对用户行为和海量数据进行类比、分析,最终达到预测用户偏好以针对不同用户的个性化服务推荐的目的。算法在提取和分析青少年用户数据时,会根据用户特征权重将其标签化。结合个人信息的“识别说+关联说”定义,这些标签与个人存在关联,因此应当属于个人信息的范畴。这些个人信息不仅能体现了青少年的性别、民族及价值取向等重要的个人特征,还可以在一定程度上预判其即将进行的行为和选择等。因此,《互联网信息服务算法推荐管理规定》要求数据处理者即互联网平台加强对用户的标签化管理,但实践中互联网平台未告知用户标签化到何种程度,也未告知用户选择或者删除用于算法推荐服务标签,这有可能导致青少年个人信息被算法不当处理,增加个人信息甚至隐私被泄露的风险。
3.3. 尾部环节:以匿名化处理替代删除信息存在一定风险
我国《个保法》第47条规定了互联网平台应当删除个人信息的多种情形包括用户注销账号,根据目前多数互联网平台所披露的信息,用户在注销账号以后平台将对其个人信息进行删除或者匿名化处理。《个保法》规定匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程,那么互联网平台的匿名化处理是否可以达到与删除同样的效果?
首先,个人信息匿名化处理与删除存在本质上的区别。个人信息经过匿名化处理后只是以另一种方式存在,以互联网平台匿名化用户生日类信息为例,常采用的一种技术手段是泛化,如购物类平台常将用户的准确出生日期简化为某几年的区间内,以便平台收集信息以统计分析不同年龄段用户的购买偏好。
其次,个人信息匿名化处理的标准并不统一。我国立法对“可识别性”并未作出明确规定,涉及“无法识别”的标准较模糊。个人信息的可识别性越低安全性就越高,理想状态是达到绝对的匿名化,但随着个人信息可识别性的降低其可用性也随之减少,完成匿名化后的利用价值更是极大地减损 [5] 。加之对信息的匿名化处理同样需要一定成本,平台可能因为逐利而在匿名化时降低去标识化处理的标准。
最后,个人信息经匿名化处理后有被再次识别的风险。美国国家标准与技术研究院(National Institute of Standards and Technology,简称“NIST”)在《个人信息匿名化》报告中指出重新识别风险的出现造成了匿名化一词的定义与其实际效果之间的矛盾 [6] 。进一步证实了经匿名化处理的信息并不是绝对安全的,仍有可能被再识别并利用。
4. 完善互联网平台保护青少年个人信息主体责任的建议
4.1. 构建身份识别制度与青少年个人信息的分级分类同意制度
完善同意规则应兼顾两个方面,一是最有利于未成年人原则,二是平衡互联网平台运营成本。考虑到青少年发展网络素质的需要,应当赋予其一定的个人信息自决权,监护人不宜过多干涉。另外,由于监管与激励的法律法规暂缺,不宜对互联网平台施加过重的技术负担,过分加大其合规、运营的成本。因此,笔者认为可以参考以下建议完善:首先,完善同意规则的身份识别制度。互联网平台可以通过收集青少年用户的身份证号进行年龄识别,并在用户使用平台的过程中利用算法对其浏览内容进行年龄验证。被识别为青少年的用户可以自行决定同意互联网平台收集其个人信息,无需监护人介入。如在使用过程中被系统验证为儿童,则需由监护人提供身份证号并替代同意。由于身份验证涉及收集青少年及监护人敏感信息,互联网平台应确保专业人员及技术保障与之配套。其次,对青少年个人信息进行分级分类实行单独同意。互联网平台为青少年用户提供服务的过程中,如需要收集青少年的敏感信息应弹窗获得青少年的单独同意,青少年敏感信息的范围应比成年人敏感信息的范围更广。目前我国正在完善个人信息的分级分类管理制度,应当考虑通过立法确定青少年敏感个人信息的具体范围并制定具体规则。
4.2. 优化算法公示规则并推广适用于青少年的算法推送机制
首先,互联网平台应将算法推荐服务相关规则以显著方式公布,如附在首次使用软件以及用户登录时跳出的弹窗中,与用户服务协议、隐私政策链接置于相同位置。为解决青少年因无法准确理解相关规则做出选择的困境,平台应结合自身功能将自身算法的基本原理、目的意图与运行机制以简明易懂的方式告知,例如可以在识别到用户为青少年时,主动向青少年用户推送相关视频、图片解释算法推荐服务的相关规则。其次,优化并推广单独适用于青少年的算法推送机制。目前已经有不少平台开发了青少年模式,但依据《2021年全国未成年人互联网使用情况研究报告》,仅有不到五成的青少年和家长设置青少年模式,因此互联网平台应继续对青少年模式进行优化推广。平台可以在用户授权其处理个人信息时通过用户身份信息验证用户年龄,若用户为青少年,则登录后默认开启青少年模式,若用户年龄无法得到有效验证,则应关闭个性化推荐算法。建议互联网平台在用户上传涉及青少年相关信息的内容时告知其相应风险,并在征得其监护人明确同意的情况下才允许上传相关内容。此外,在算法对青少年用户进行标签化的过程中,管控标签生成与设置的数量和类型,尤其注意敏感标签的设置 [7] ,避免由此产生的个人信息及隐私泄露。
4.3. 完善青少年个人信息的删除规则与匿名化处理标准
个人信息的删除规则可追溯至2015年生效的美国加州第568号法案,又称“橡皮擦法案”,该法案规定了网络服务的提供者应当为未成年人用户提供删除功能,以便未成年人用户能够自由删除此前提供的个人信息。互联网记录的个人痕迹可以是持久不变的,但青少年时期是一个人快速成长、变化的时期,,不合时宜的个人信息如同“不能被遗忘的幽灵” [8] 可能会影响青少年的发展。结合《未成年人网络保护法(征求意见稿)》删除个人信息的规定以及青少年个人信息的特殊性,建议互联网平台在一般情况下不以匿名化处理代替删除,并且在青少年删除个人信息时可以删除第三方发布或转载的个人信息。针对确有技术问题无法完全删除的用户信息,建议互联网平台明确匿名化处理标准,告知用户信息处理到何种程度为“无法识别” [9] ,以防止个别互联网平台为节约成本对个人信息的匿名化处理不达标。同时应互联网平台应加强内部管理,明确内部规范严禁对已匿名化处理的信息进行二次识别操作,防止已匿名化的信息被二次识别。
5. 结语
网络环境下未成年人的个人信息保护应由互联网平台承担主要义务,即主体责任。这既是国家互联网信息办公室《关于进一步压实网站平台信息内容管理主体责任的意见》的政策导向,也是立法和行政监管滞后以及行业自律缺位所导致的。目前,在缺乏相关法律对已满14周岁未成年人即青少年的个人信息进行特别保护的情况下,国内互联网平台在处理个人信息的过程中尚未尽到相应的主体责任。其主要问题可以分解为三个环节:在头部环节方面,同意规则适用对象与身份识别制度存在不足;在中部环节方面,存在互联网平台使用算法处理个人信息未尽告知义务、算法推荐机制不完善及对青少年个人信息标签化的问题;尾部环节方面,互联网平台以匿名化处理替代删除个人信息存在一定风险,匿名化处理替代删除不到位。为了更好地履行互联网平台的主体责任,互联网平台应从同意规则、算法处理以及删除与匿名化处理规则三个层面切入,构建身份识别制度与青少年个人信息的分级分类同意制度,优化算法公示规则并推广适用于青少年的算法推送机制,完善青少年个人信息的删除规则与匿名化处理标准。
基金项目
2022年重庆市级大学生创新创业训练计划项目《网络环境下未成年人个人信息保护研究》(S202210635212)。
NOTES
12022年11月,共青团中央维护青少年权益部、中国互联网络信息中心(CNNIC)联合发布的《2021年全国未成年人互联网使用情况研究报告》,初中生互联网普及率达到99.4%,较2020年(98.1%)提升1.3个百分点。高中和中等职业教育学生的互联网普及率分别为98.4%和98.8%。