摘要: 大数据时代,儿童个人信息保护问题日益凸显,对儿童个人信息进行法律保护是法治社会建设的关键步骤。我国在这一领域的立法经历了从原则性规定到有可操作性的具体规定的演进过程,体现了国家对儿童权益的高度重视。在这一过程中,我国儿童个人信息保护制度逐渐清晰,然而其中的实质性规定也引发了诸多争议。在国际上,美国和欧盟在儿童个人信息保护方面已经走在前列,在儿童年龄界限、信息核实、可验证家长同意制度等方面作出了规定,但在具体实践过程中仍需要进一步完善。我国目前在儿童个人信息保护方面存在立法空白,应当借鉴欧美立法中的有益经验,在立法设计时,相应增加儿童个人信息保护章节,合理调整儿童年龄界限,构建多方一体的儿童个人信息保护体系,注重家长同意的可操作性,鼓励互联网行业自觉遵守相关法律法规,确保儿童的个人信息权得到充分的保障。
Abstract:
In the era of big data, the protection of children’s personal information has become increasingly prominent, and the legal protection of children’s personal information is a key step in the construction of a society based on the rule of law. China’s legislation in this field has gone through an evolutionary process from principle-based provisions to specific provisions with operability, reflecting the great importance the state attaches to children’s rights and interests. In this process, China’s personal information protection system for children has gradually become clearer, yet the substantive provisions therein have also triggered many controversies. Internationally, the U.S. and the EU have been in the forefront of the protection of children’s personal information, with provisions on the age limit of children, information verification, and verifiable parental consent, etc., but further improvement is still needed in the process of concrete practice. At present, there is a legislative gap in the protection of children’s personal information in China, and we should learn from the useful experience of European and American legislation, add a chapter on the protection of children’s personal information accordingly in the design of the legislation, reasonably adjust the age limit of children, build a multi-party and integrated system of protection of children’s personal information, pay attention to the operability of parental consent, and encourage the Internet industry to consciously comply with relevant laws and regulations, so as to ensure that the right of children to personal information is fully safeguarded. Ensure that children’s personal information rights are fully protected.
1. 问题的提出
中国消费者协会在2018年9月发布的《APP个人消费信息泄漏情况报告》显示,超八成的消费者曾经遭遇个人信息泄漏的问题,而其中大约三成以上受访者对于这种状况会自认倒霉 [1] 。四川省消费者委员会的调查报告显示,超七成消费者认为个人信息曾经被泄露,此外,消费者在拒绝非必要授权后高达九成APP无法正常使用 [2] 。2018年8月14日,华住旗下酒店5亿用户信息疑似泄漏,数亿条用户隐私数据在暗网中文论坛被黑客打包出卖,这些资料里面包含当事人的身份信息、酒店开房记录等极为私密的信息,涉及华住品牌旗下10余个酒店品牌,波及1.5亿人 [3] 。企业发生信息泄露其根本还是在企业自身的管理出现了漏洞,用户在入住酒店时为了方便,不得已让渡出了某些权利,在入住时用户和企业形成了契约关系,企业有义务保障用户的安全,这里面的安全当然也包括信息安全,但很显然华住酒店并未做到。2022年央视3.15晚会揭露了低配儿童智能手表的安全问题,这些智能手表利用低版本系统的漏洞,无需本人授权即可轻松读取儿童个人信息。而对于这些明显的侵权行为,往往很难证明产生实际的损害结果,即使可以证明损害结果的发生,也很难确定是由智能手表导致的,根据现有法律很难处置这些侵权商家。实际上,在处理这类案件时,因为受害主体的分散性、不确定性,以及主张权利的主体不明确,在没有实质利益受损的时候大部分人是不会主张权利的,相关企业也很少因此受到处罚,这种情况助长了类似侵害事件越来越多的现实。
综合以上案例来看,大数据分析技术的不断发展使得从海量数据中提取个人敏感信息变得更加容易。但在实际操作的过程中,我国现行的法律体制很难为其提供及时的救济。大数据时代,儿童利益最大化的共识为世界所承认,儿童的个人信息、隐私数据保护正逐步成为个人信息保护的重点领域。2020年修订后的《中华人民共和国未成年人保护法》(以下简称《未成年人保护法》)新增设“网络保护”专章用于应对数字时代的对儿童个人信息带来的种种挑战。因此,对儿童个人信息权值得进行深入的研究。由此,本文以我国20世纪末以来颁布的有关儿童信息保护法律法规为基础,对我国近20年儿童信息保护机制演进进行分析,为我国构建新时代中国特色社会主义儿童信息保护机制提供历史参考和理论借鉴。
2. 我国儿童个人信息保护制度的立法现状
信息技术在全球范围的大量应用和演进改变了数据处理的环境,带来新的挑战。在这一时代背景下,儿童触网的时间不断提前,一项国外的研究显示,儿童互联网用户数量占用户总数的1/3 [4] 。在中国,据调查,2022年未成年网络用户数量已达1.93亿,2018~2021年小学生的互联网普及率从89.5%一路飙升至95.1%,用网低龄化趋势明显 [5] 儿童的在线行为、学习记录、社交互动等数据可能被无意中收集,而这些信息的滥用可能对儿童的信息安全产生潜在风险。越来越多的儿童频繁使用社交平台分享生活,但随之而来的是诸如姓名,性别,年龄,家庭住址,兴趣喜好等越来越多的信息被泄露。
(一) 我国儿童个人信息保护的法理基础
从儿童本身来看,儿童是“自然弱势群体” [6] ,其特征显著地体现在其“未成熟状态”上 [7] 。这种未成熟状态不仅指的是生理上的尚未发育完全,更重要的是指儿童在认知、情感和行为上的稚嫩和缺乏经验。由于他们尚未形成完整的思维体系和自我保护意识,因此无法运用理性为自己的权益进行斗争,也无法独立承担自己的行为所带来的后果。因此,儿童个人信息的保护显得尤为重要。而儿童个人信息保护面临着立法不足、技术滞后、社会认知不足等一系列问题。大数据时代如何有效地保护儿童信息权利成为亟待解决的问题。为此,有必要深入研究大数据时代儿童个人信息的制度演进过程。
(二) 我国儿童个人信息保护的演进发展
就历史发展而言,我国对数据信息的最初保护应该可以追溯到2003年的《居民身份证法》 [8] ,2009年《刑法(修正案七)》在第253条增设了“侵犯公民个人信息罪”,首次将非法提供获取公民个人信息的行为纳入刑法的调整范围。2012年全国人大常委会通过了《关于加强网络信息保护的决定》,明确国家保护网络信息安全,网络服务提供者和其他企业事业单位及其工作人员收集个人信息应当遵循合法、正当、必要的原则,并履行防止信息泄露的义务。此后,国务院于2013年1月21日发布了《征信业管理条例》,2013年7月16日工业和信息化部制定了《电信和互联网用户个人信息保护规定》,全面加强对个人信息的保护。而国家互联网信息办公室于2019年8月22日审议通过,并于同年10月1日正式实施的《儿童个人信息网络保护规定》(以下简称《规定》)更是开启了儿童个人信息保护专门立法的进程 [9] 。
(三) 我国儿童个人信息保护的立法现状
我国在儿童互联网治理方面,采取了一种“以立法为主导,辅以行业自律和技术手段”的模式 [10] 。目前尚未出台专门针对儿童个人信息保护的法律,因此,对儿童个人信息的保护采用一种“分散立法”的模式。
我国对儿童个人信息的保护虽然可以在许多法律法规中找到依据,但多为原则性规定且相对分散,未对其进行特殊保护。比如在我国《宪法》第33条“人权条款”,第37条“人身自由条款”,第38条“人格尊严条款”和第40条“儿童保护条款”都可以找到对儿童个人信息保护的影子,但是毕竟还是没将儿童个人信息保护以明确规定,在保护力度上略显不足。又如《民法典》第110条对自然人的个人信息予以明确的法律保护,但是仍旧缺乏对儿童个人信息保护的专门规定。这极易使得儿童在个人信息受到侵害时由于缺乏具体保护和处罚措施,儿童个人信息难以得到真正保护。因此,我国在儿童个人信息权保护方面仍需加强立法,明确保护措施和处罚机制,以更好地保障儿童的合法权益。
在儿童个人信息保护方面,2019年,网信办出台《规定》,作为国内首部专门针对儿童网络信息保护的部门规章,该《规定》将儿童保护的范围扩展至网络空间,形成了儿童个人信息权保护的完整“闭环”。《规定》进一步明确了《未成年人保护法》中关于未成年人个人隐私受法律保护的基本原则,更是首次将“儿童”的年龄范围明确为不满14周岁的未成年人,对儿童个人信息权的从收集到披露的全部过程作出了系统全面的规定。尽管《规定》仅有29条,但其内容涵盖了保护原则、获得授权的方式、多个主体义务与责任承担等多个方面,为儿童的个人信息网络保护提供了专门的法律依据。2020年10月,全国人大常委会正式批准通过新修订的《未成年人保护法》,这是继2006年和2012年之后,该法的第三次重大修改,新法新增了网络保护专门章节,明确了个人信息保护的相关条款,包括网络产品和服务提供者在收集、使用未成年人个人信息时,需承担明确的提示义务和保护性限制义务,且必须事先征得未成年人及其父母或其他监护人的同意。现了对未成年人网络安全保护的全面覆盖,凸显了法律的时代特色 [9] 。
3. 我国儿童个人信息保护制度的主要问题
我国对于个人信息的保护力度在法律法规的修改与出台中得到了不断加强,这体现了立法机关对于个人信息权益的高度重视。同时,也开始逐步认识到儿童个人信息需要得到更为特殊的保护。然而,在立法层面,我们仍然面临着诸多亟待解决的问题与挑战。
(一) 儿童个人信息保护法律体系不完整
我国在个人信息保护的法律构建起步较晚,然而近年来,社会对于个人信息保护的关注逐渐升温,尤其是儿童个人信息的保护问题备受瞩目。2019年的《规定》对儿童个人信息权的保护提出了重要的法律要求,具有历史性的意义。然而,受其效力低和规范范围有限的制约,该规定在实际执行中难以充分发挥作用。儿童个人信息权是儿童权益的一部分,尤其在大数据背景下,儿童个人信息更应受到法律的重点和特殊关照。我国的民法、刑法、刑事诉讼法等法律体系均包含与个人信息保护相关的法规,但儿童个人信息保护方面的法律法规却存在诸多抵牾,法律保护混乱的现象令人担忧。由于缺乏统一、明确的上位法规范,各部门法规在保护儿童个人信息方面各自为政,难以形成合力。究其原因,主要体现在以下几个方面:
第一,部门法保护在儿童个人信息领域呈现出碎片化、重叠化的特点,涉及儿童权益和信息保护的法规分散在多个文件中。这使得法律适用范围不明确,儿童个人信息的全面保护难以实现。不同部门制定的法规往往只关注某一方面的保护问题,缺乏对儿童个人信息保护全面、系统的规范。这导致在实际操作中,不同法规之间的衔接不畅,甚至存在相互矛盾的情况。因此,亟须对现行法规进行系统性整合,形成完备的法律框架。第二,适应性的滞后。当前法规的制定相对滞后于科技发展的速度,导致其在面对新型儿童个人信息保护问题时显得力不从心。新型隐私泄露风险和数据滥用等问题的出现超越了现有法规的规制范围,使得儿童个人信息容易受到侵害。第三,法规之间的不协调。现行法规在儿童个人信息保护方面存在不一致性,如儿童权益法和个人信息保护法对信息的收集、处理和使用存在差异。这种不协调性给儿童个人信息保护带来实际操作上的困扰。各部门之间的职责分工和利益诉求不同,导致在执行法律法规时存在一定的偏差。有的部门可能过于宽松,对违法行为的处罚力度不够,而有的部门则可能过于严格,给企业和个人带来了不必要的负担。
(二) 儿童个人信息的年龄界限不统一
年龄是判断民事权利能力的重要客观标准,1989年通过的联合国《儿童权利公约》被视为得到最广泛接受的为保护儿童权利而制定的人权公约,其在第1条将儿童(child)定义限定在18岁以下任何人,这一规定为国际社会在保护儿童权益方面提供了统一的标准。然而,在实际操作中,各国法律对于儿童年龄界限的规定并不一致。2000年4月21日开始施行的美国《儿童在线隐私保护法》(Children’s Online Privacy Protection Act, COPPA)第1302条将13周岁以下个体定义为儿童。而欧盟2016年通过的《通用数据保护条例》(General Data Protection Regulation, GDPR)第8条则将儿童年龄标准定义为16周岁以下,但各成员国可以根据自身情况设定儿童年龄标准,但这一标准不得低于13周岁。但有学者指出,这一划分不具有明确的正当性基础,没有建立在扎实的社会调研基础上,仍有可能忽视儿童的个性化发展。 [11] 2023年8月,印度《2023年数字个人数据保护法案》(Digital Personal Data Protection Bill, 2023)在议会两院获得一致通过,该法案规定处理18岁以下儿童或者有合法监护人残疾人的个人信息,就必须得到其父母或监护人的明确同意。由此看来,在网络信息保护中的“儿童”的年龄标准尚无统一定论。实际上是对“何者需要特殊保护”做出的价值判断。这种判断并非单纯基于文化因素,而是与保护对象所处的信息环境以及父母与子女间信息控制权的博弈密切相关。在不同的文化和社会背景下,人们对于儿童的认知和保护意识存在差异,这也在一定程度上影响了对儿童年龄界限的划定 [12] 。
关于儿童年龄的界定,实际上是对“何者需要特殊保护”做出的价值判断。这种判断并非单纯基于文化因素,而是与保护对象所处的信息环境以及父母与子女间信息控制权的博弈密切相关。在不同的文化和社会背景下,人们对于儿童的认知和保护意识存在差异,这也在一定程度上影响了对儿童年龄界限的划定。
在我国,儿童的年龄并没有一个明确的法律定义。《预防未成年人犯罪法》和《未成年人保护法》将18岁作为未成年人的年龄标准,这为我们提供了一个基本的参考。我国《民法典》以年龄标准划分自然人民事行为能力,而在行政法规中,儿童年龄的标准也并不统一。例如2019年网信办颁布的《规定》中明确指出其保护对象为不满14周岁的儿童,其中并未涵盖14至18周岁年龄段的未成年人,但工业和信息化部2013年2月21日实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》却将对儿童个人信息进行保护的年龄限定为16周岁,这种差异导致在实际操作中,对于儿童个人信息的保护存在一定的混乱和不一致性。儿童年龄的定义问题如此重要是因为这涉及家长同意的问题,即儿童何时才能独立决定个人信息的处理问题而无需家长同意,而这与儿童的民事行为能力是截然不同的两类问题,这一问题的答案直接关系到儿童个人信息的安全和隐私保护。
(三) 监护人知情同意的合理性存疑
网络运营者收集或处理儿童信息必须征得监护人同意已成为全球共识,但针对“监护人同意”,学界主要存在三种质疑:
第一,父母对儿童网络行为进行保护的确可以有效避免儿童受到伤害,过度保护也可能带来副作用。对于青少年而言,他们正处于个性形成和社会交往的关键时期,对社交的需求更加迫切。社交媒体为他们提供了一个表达自我、交流思想、结交朋友的重要平台。如果家长过分干预他们的网络行为,可能会导致青少年失去话语权,无法充分展示自己的个性和才华。同时,在这一过程中儿童本人的意志被完全忽视了。由于儿童这一主体民事行为能力的不完整,所以很多民事权利实质由父母代为行使,这就导致在儿童与监护人利益不一致的情况下其权益难以得到保护。第二,现行法律法规中虽然规定网络运营者在使用儿童信息时应当征得监护人同意,但没有任何一部法律明确同意应当以何种形式做出,是必须明示还是默示也可行,是仅仅需要口头还是必须书面等问题都亟待进一步明确。第三,仅仅加重监护人的监督责任并不足以解决所有问题。相比之下,政府和企业应当承担起构建适应儿童特殊性的市场环境的责任,对儿童信息收集和使用进行特别规制,而非过度依赖父母的保护,从而确保儿童在市场环境中的安全和权益得到充分保障 [13] 。法律更应当将重心放在网络运营者的注意义务上,推动他们不断完善机制以约束自身行为,从而更有效地保护儿童的网络安全 [14] 。同时,政府应当更多承担防御性职责,只有当危害行为确实发生时才进行干预,而非一味干预网络正常运行 [15] 。
4. 我国儿童信息保护制度完善的路径
党的十八大以来,党中央高度重视数据秩序的法律治理工作。网络与信息安全保障体系被放到了前所未有的高度。党的二十大报告中提到要加强个人信息保护,强化数据等安全保障体系建设。而我国儿童个人信息保护的治理实践起步较晚,面临诸多现实困境,具体表现为儿童个人信息保护制度不完善、责任主体不明确、监护同意规则规定不明确、信息管理制度体系不健全等。
(一) 完善儿童个人信息保护法律体系
如前文所述,我国儿童个人信息保护法律体系还处于刚起步阶段,我国《未成年人保护法》在传统领域对未成年人的保护毋庸置疑,《个人信息保护法》《网络安全法》在对公民的信息安全保护方面也卓有成效,但是针对保护未成年人(儿童)网络个人信息安全方面的权益时,这些法律显然有点捉襟见肘 [16] 。最主要的问题是有关的法律法规数量过少,规定大多数为原则性规定,实践上可操作不高。2019年《规定》的出台表明立法者对儿童个人信息保护的重视,《未成年人保护法》设立“网络专章”更是体现了对儿童网络个人信息保护的决心,但这些只能算作一个开端,这些规范性法律文件缺乏对违反规则后强有力的处罚手段,仍需要加强后续的立法工作。在完善已有立法的基础上,使制度更加合理化与高效化,制定更具有针对性、可操作性、更加细化的法律法规,形成可以具体实施的法律框架。可以借鉴欧盟GDPR的相关立法,建立一套保护儿童个人信息的特别法律规定
(二) 构建多方一体的儿童个人信息保护体系
对儿童个人信息进行完善保护的前提是厘清包括国家、网络运营者以及儿童的父母监护人等主体在其中扮演的角色与承担的责任。国家应该积极响应儿童隐私保护的需要,在儿童信息权利保护专门性立法上应当持续发力,着力解决“政出多门”可能导致法律条文衔接不畅的问题,健全立法部门协调机制,加强沟通交流,减少法律法规之间的冲突。同时以法律条文的形式明确规定儿童信息的监管主体,完善儿童个人泄漏事件发生后的救济机制,建立健全儿童权利保障的特殊司法机构和司法程序,为儿童信息权益的保护提供强大的法律屏障。网络运营者要强化责任意识,加强行业自律,除了传统的事后监督模式外,更应该自觉营造良好网络环境,充分做到事前和事后双向发力;监护人需要增强儿童个人信息的保护意识,认识到儿童信息泄漏带来的严重后果,防范自身行为可能给儿童招致的风险。
(三) 合理调整儿童的年龄界限
由于未成年人在认知能力和理解能力上尚未完全成熟,因此,法律设立了父母知情同意规则,以确保他们在处理个人信息等事务时得到充分的保护。然而,仅仅依赖年龄标准来评价未成年人的认知能力显然是不够的。儿童的认知水平受到地域、经济发展水平、文化传统等多种因素的影响,因此,设定一个相对宽泛的年龄界限是必要的。在这个背景下,法律对未成年人个人信息保护的规定并非一成不变。因此,如果存在足够的证据表明未成年人已经具备了相应的认知能力,那么法律将不再为其提供特殊保护,同时也不再赋予父母或其他监护人相应的权利。这种灵活的处理方式既体现了法律的公正性,又兼顾了未成年人的成长需求。
在探讨未成年人个人信息保护的问题时,我们不可避免地要面对如何界定“未成年人”这一群体的难题。现有的以某个具体年龄作为界限的“一刀切”做法,虽然操作简单,但往往忽视了未成年人在不同年龄阶段的认知能力和心智成熟度的差异。因此,本文主张以义务教育阶段作为划分标准,以此更全面地反映未成年人的实际认知水平,并适应社会发展做出灵活调整 [17] 。同时,这种划分方式也允许监护人在《民法典》规定的8周岁至完成义务教育这一范围内,根据未成年人认知能力的实际发展情况自主决定是否同意其独立处理个人信息。我们可以根据学生在校表现、学习成绩等多方面的指标来综合评估其认知能力和心智成熟度。这相较于单纯以年龄为界限的划分方式,这样更能减少法律执行中的争议和纠纷,提高法律实施的效率和公正性。
(四) 建立监护人同意验证机制
当前我国立法要求网络平台在收集、使用未成年人个人信息时,必须取得监护人的同意。然而,这一规定相对笼统,并未明确取得同意的具体形式,也未强调监护人同意的可验证性,这导致验证机制难以真正发挥作用。以预防未成年人沉迷游戏为例,我国大型互联网企业已经普遍采用实名注册、人脸识别等验证措施,这些措施在一定程度上确实起到了限制未成年人游戏时间的作用。然而,实践中仍然经常出现儿童冒用监护人身份绕过验证的情况。同时,由于缺乏有效的监护人验证机制,他们更容易冒用他人身份进行网络活动,从而增加了网络安全风险。为了解决这一问题,立法者可能会考虑进一步要求所有网络平台研发和设立更为严格的验证系统。然而,这一做法可能会给中小企业带来沉重的负担,影响它们的发展。同时,这也可能进一步强化个别大型企业在相关行业的垄断地位,不利于市场的公平竞争 [18] 。因此,我国在保护未成年人网络权益方面需要更加全面和细致地考虑。一方面,立法应进一步明确监护人同意的形式和可验证性要求,确保验证措施的有效性。另一方面,政府应提供必要的支持和指导,帮助中小企业建立符合要求的验证系统,同时鼓励技术创新和市场竞争,避免个别企业形成垄断。
为此,可以借鉴欧洲GDPR关于“数据保护认证”的做法,我国可以构建一套完善的儿童数据保护体系。具体而言,应建立统一的认证机制,确保通过认证的平台具备儿童数据保护的能力,并由官方认证机构颁发相应资质证书。这样,不仅有利于降低中小企业的运营成本,还能在加强儿童保护与促进市场发展之间找到平衡点。为了进一步确保儿童数据的安全,还需建立统一的监护人身份验证平台。这个平台可以综合运用支付系统、人脸识别、政府数据库核对等多种方式,以验证监护人同意的有效性。这种一致的验证平台和验证方法不仅简化了监护人的操作流程,降低了学习成本,还有助于防止监护人因难以理解相应条款或掌握验证方法而逃避履行监护义务。关于如何验证父母同意这一问题,则可以参考美国COPPA的“可验证的父母同意”原则,即任何涉及儿童个人信息的收集、使用、披露的后续使用,都应当由操作主体尽到向孩子父母通知的义务,并在征得父母同意的前提下进行。
(五) 采取双重同意模式
我们要明确的是,儿童的利益与其父母或其他监护人的利益并不总是完全一致的。在某些情况下,这两者的利益甚至可能发生冲突。例如,父母可能为了孩子的安全和方便,而过度披露孩子的个人信息,但这样做可能会侵犯孩子的隐私权。因此,在处理儿童个人信息时,我们应遵循儿童最大利益原则,确保儿童的权益得到充分保障。尽管儿童在多数情况下不具备完全的行为能力,也不能像成年人那样独立地保护自己的权益,但这并不意味着我们可以忽视他们的需求和权益。相反,我们应该将儿童视为独立的个体,尊重他们的权利,并通过教育和引导,提高他们的自我保护能力。这样,即使在没有父母或其他监护人监督的情况下,儿童也能更好地保护自己的个人信息。
在我国,父母或其他监护人的网络素养参差不齐,对儿童网络行为的干预程度也有限,这使得儿童更容易成为网络犯罪的受害者。为了弥补这一缺陷,我们有必要采取GDPR的双重同意模式来保护儿童的个人信息。这种模式要求网络平台在收集、使用或披露儿童个人信息时,不仅要获得父母或其他监护人的同意,还需要获得儿童本人的同意。这样,即使父母或其他监护人没有充分理解或注意到相关的风险,儿童本人也能对自己的信息保护负起责任。为了确保儿童能够理解并同意个人信息的收集和使用,网络平台应采取易于理解的方式向儿童解释相关信息。例如,可以使用简单明了的语言、生动的插图或动画等方式,向儿童解释什么是个人信息、为什么要收集这些信息以及如何使用这些信息。这样,儿童就能更好地了解并保护自己的个人信息。