苏丽君

[摘要]快捷的网络生活给社会带来便利的同时，也前所未有地冲击了儿童的隐私权益。儿童由于辨识能力和自控能力较弱，更易遭受网络不良信息侵害，其个人隐私在网上频遭泄露，这些问题使得儿童网络隐私保护迫在眉睫。文章以《未成年人网络保护条例（草案）》为例，对儿童网络隐私权在行政法领域的保护进行研究。通过分析条例存在的问题，探索保护儿童隐私权益的方法和途径，以期为网络环境下的儿童隐私权提供更为全面、完善的保护。

[关键词]儿童；网络隐私权；未成年人网络保护条例；行政法

移动互联网技术的飞速发展，在带来快捷与便利的同时，对私人生活亦产生了巨大影响，互联网世界被定性为“与真实世界一样需要进行管控”的领域。

一、儿童网络隐私权法律保护的现实困境

（一）保护儿童网络隐私权利刻不容缓

随着互联网基础设施建设的不断完善，以及对经济生活的逐步渗透，互联网已经成为当前儿童群体获取重要信息以及进行交流沟通、休闲娱乐的途径和平台，这其中向我们提出了一个严肃的法律问题——儿童网络隐私权的保护。根据中国互联网网络中心2017年1月发布的《第39次中国互联网络发展状况统计报告》的统计数据，截至2016年12月，我国网民规模达到7.31亿，互联网普及率为53.2%，其中10-19岁群体比例为20.2%，10岁以下儿童群体比例为3.2%，占比有所增长，互联网继续向儿童群体渗透。儿童由于辨识能力和自控能力较之成人弱，防范意识较差，更易遭受网络不良信息侵害，其个人隐私在网上频遭泄露，加之目前复杂的网络环境，保护儿童网络隐私权迫在眉睫。

儿童网络隐私权极易受到侵害，主要表现为：

1.侵权主体多样。除了网络行业及其从业人员外，商业公司、软硬件设备供应商、某些网络的所有者或管理者也会因为商业或者其他原因而侵害到儿童的网络隐私权，而媒体在相关社会、刑事犯罪案件和慈善救助等新闻报道中也会涉及侵犯儿童网络隐私权的问题。此外，在涉及侵权的网络用户中，有三类比较特别，第一类是黑客，用各种技术手段攻击他人计算机系统，窃取和篡改儿童网络用户的私人信息，引发儿童个人数据隐私权保护的法律问题。第二类是儿童本人，也会成为其他未成年人网络侵权事件中的侵害人。据腾讯公司2016年6月1日发布的《儿童安全上网指引报告》披露：我国低于10岁网民已超过1800万，未成年人上网人群已过亿，90%的中国儿童（指18岁以下未成年人）在日常生活中接触互联网。儿童不仅成为了网络媒介信息的接受者和使用者，还成为传播者、创造者，但是由于身心的不成熟，在使用互联网过程中容易成为网络欺凌等侵害其他儿童隐私事件的主角。第三类是儿童的监护人，如有些家长热衷于在网上包括微信朋友圈晒孩子的照片，包含了孩子的姓名、年龄、学校、班级、住址等个人敏感信息，在给不法分子以可乘之机的同时，亦不自觉地侵害了子女的网络隐私权。

2.侵权方式隐蔽。互联网具有的开放性和交互性，打破了时空的界限，身处于虚拟网络之中的无形的儿童网络隐私权极易受到侵害。随着网络技术的不断提高，不法分子在窃取儿童网络用户信息时肆无忌惮、不留痕迹，很难觉察、追踪和锁定侵害人的身份，对此成年人尚且难以防范，遑论识别能力较弱的儿童了。侵权手段的隐蔽性也使得对儿童网络隐私权的维护更为困难。

3.侵权后果严重。互联网的特性使得个人隐私和个人信息更易于被传播，其传播的速度、范围和影响力比传统媒介要快速而广泛，加之儿童较弱的辨识能力和自护能力，使其面临的潜在风险大大增加，难以防范；另一方面儿童因身心发育尚未成熟，心理较为脆弱，抗压、抗挫能力不足，在网络隐私权受到侵害时，如新闻媒体将艾滋孤儿的照片、真实姓名以及隐私同时披露且被多家网站转载，给艾滋孤儿造成二次伤害的中国首例艾滋孤儿隐私权案，未成年人因不雅照被曝光或因网络欺凌而自杀、自残等事件，使受到侵害的儿童承受了难以想像的巨大伤害，甚至于发生不良事件。

4.权利救济困难。“网络的高度开放性、流动性和交互性的特性决定了个人信息一旦在网络上传播，其速度之快、范围之广以及任何人攫取之便捷将无法控制，使得侵權变得十分容易，而救济变得相当困难。”儿童由于网络经验缺乏，自护与自控能力较差，如2016年广州发布国内首份儿童网络安全研究报告中的调研数据提到“如果在网上要你填真实资料，你会怎么办？”的问题，“只有32.5%的孩子会先询问父母意见，而直接填的比例从小学低年级的2.9%上升到初中的10.5名。”这些都极易被不法分子通过隐瞒、欺诈、盗窃等不正当方式知悉、掌握和利用其网上的个人信息；另一方面可能意识不到自己的网络隐私权受到了侵害，维护自己合法权益的意识淡薄，即便意识到了侵权行为的存在，很少会去认真考虑侵害后果的严重性，更缺乏维权的能力。

（二）立法并没有对儿童网络隐私权作出专门界定

目前除了以未成年人保护为主体的法律《未成年人保护法》《预防未成年人犯罪法》明确指出侵犯未成年人隐私应当承担行政责任外，其他法律，如《侵权责任法》《刑法修正案（七）》《刑法修正案（九）》都只笼统规定了侵害公民网络隐私权的应当承担民事责任或者刑事责任。2017年颁布实施的《民法总则》第111条规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。《全国人大常委会关于加强网络信息保护的决定》中，也仅仅作了“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”的规定。上述法律位阶的立法并没有对儿童网络隐私权进行确认，也没有对儿童网络隐私侵权行为的种类和方式进行规范，更没有对其权利保护和救济的途径进行细化。

简言之，关于儿童网络隐私权保护的法律规范分散于不同的部门法中，相对零散，无法形成体系，且成年人网络隐私权和儿童网络隐私权未加以区分，而两者无论在权利主体、权利内容、权利保护方式等方面显然是有差别的。endprint

2017年1月，国务院法制办公室公布了国家互联网信息办公室送审的《未成年人网络保护条例（送审稿）》，已征求社会各界意见。该条例的送审，意味着行政机关针对儿童网络权益的保护迈出了步伐，但是该条例着眼于保护未成年人的上网权益，对儿童网络隐私权的保护虽有关涉，但是范围和力度有所不及，立法的薄弱与亟需保护的现状产生了错位。

二、《未成年人网络保护条例（草案）》对儿童网络隐私权保护存在问题的探讨

总体而言，《未成年人网络保护条例（草案）》（以下简称《条例》）中针对儿童网络隐私权保护的内容相对较少，规定也比较原则笼统，欠缺可操作性和可执行性。

（一）政府保护方面

1.《条例》作为专门保护儿童网络权益的行政立法，并没有明确儿童网络隐私权的概念和范围，仅在附则中就“未成年人个人信息”的内涵和外延进行了说明，其中“可识别性”是判断是否属于《条例》所规制的“个人信息”的关键，虽然“包括但不限于”的表述使得儿童网络个人信息的定义更为宽泛，但是儿童的个人网络信息并不能等同于其所应享有的网络隐私权，个人网络信息只是网络隐私权的内容之一。就公民个人权利的立法位阶而言，网络隐私权似乎应当由更高的位阶立法，但是在目前的立法情形下，已经进行中的专项行政立法（尽管不是专门针对网络隐私权这一方面）是否可以考虑对此作出明示。

2.《条例》未设立专门的行政机关或者机构以集中管理和保护儿童上网权益和隐私权。《条例》第三条规定“各级网信、教育、工信、公安、文化、卫生计生、工商、新闻出版广电等部门依据各自职责开展未成年人网络保护工作。”看似多个部门都有行政职责进行保护，但容易产生政出多门、多头管理的弊病。且也未就国家机关及其工作人员应对在履行职责中知悉的儿童隐私及个人信息的保密义务作出明确规定。虽然《刑法修正案（九）》将“出售、提供、获取”个人信息、情节严重的行为入罪（构成侵犯公民个人信息罪），但于那些未达到入罪条件的违反保密义务的行为也是需要进行立法规制的。

3.“通过网络收集、使用未成年人个人信息”的主体不甚明确。除了私营网站或者商业网站等网络服务提供者和一些企业事业单位之外，对于行政机关的网站是否具有同样的约束力，《条例》第三十一条“违反本条例规定，通过网络收集、使用未成年人个人信息，……由网信、工信等部门依据职责给予警告、责令限期改正……”之规定亦看不出网站的主体是否涵盖了政府部门的网站，但是无论什么性质的网站，包括政府网站也存在滥用职权不当甚至违法收集儿童个人信息的可能。

（二）社会保护方面

1.《条例》未对网络服务提供者和其他企业事业单位及其工作人员在业务活动中收集儿童个人信息行为设定保密义务。虽然全国人大常委会于2012年出台的《关于加强网络信息保护的决定》中，对网络服务提供者和其他企业事业单位及其工作人员，就其在业务活动中收集的公民个人电子信息规定了保密义务——“不得泄露、篡改、毁损，不得出售或者非法向他人提供”，但是在《条例》中，并没有就“通过网络收集、使用未成年人个人信息”具体实施者的个人保密义务进行规范。而现实生活中，利用职务便利对获取的儿童个人信息进行泄露、非法向他人提供甚至售卖的违法犯罪案件并不鲜见，导致不法分子利用获取的儿童个人信息甚至是成年大学生个人信息实施诸如电信网络诈骗等犯罪行为，严重危害到儿童的身心健康安全。

2.《条例》虽然规定网络信息服务提供者有按儿童或其监护人要求采取措施删除、屏蔽儿童个人信息的义务，但是没有明确儿童或其监护人有禁止数据被进一步收集或使用的权利，也没有提供给监护人随时审视儿童数据档案和查询、变更、补充、清除儿童相关个人信息的机会。

3.《条例》虽然对利用网络“收集、使用未成年人个人信息”的行为作出了制定规则及通知义务的要求，但是欠缺了对制定和发布规则的行为进行有效监督、以及对无视这些要求的收集使用者进行管制的具体措施。即便是国内知名的大型网站如新浪、腾讯、网易、百度等，虽然在其网页上公布了各自的隐私政策，但是就兒童使用其服务的行为这一涉及儿童隐私保护的关键点上，仅仅蜻蜓点水般地作了诸如“鼓励父母或监护人指导未满十八岁的未成年人使用我们的服务。我们建议未成年人鼓励他们的父母或监护人阅读本《隐私政策》，并建议未成年人在提交个人信息之前寻求父母或监护人的同意和指导”的规定，并未向家长说明网站收集儿童隐私之原因及使用情况。其中，搜狐网站的隐私政策要更为规范详细些，如规定“任何18岁以下的未成年人参加网上活动应事先得到家长或其法定监护人的可经查证的同意。未经监护人之同意，本网站将不会使用未成年人之个人资料，亦不会向任何第三方披露或传送可识别该未成年人的个人资料。”“本网站如收集监护人或未成年人的姓名或其它网络通讯资料之目的仅是为获得监护人同意，则在经过一段合理时间仍未获得同意时，将主动从记录中删除此类资料”等。但是“可经查证的同意”如何获取并未提及，如何保证也不得而知。由此可看出互联网行业对儿童网络隐私保护的标准并不统一，且笼统简单。作为管理者的行政机关亦未确立儿童网络隐私权保护的最低标准，在运用行政指导的方式对互联网及其从业者进行指导和引导方面难有作为。

（三）家庭保护方面

《条例》没有强化监护人作为儿童保护第一责任人对于儿童网络隐私权益的保护负有不可推卸之责任。虽然第十六条规定“通过网络收集、使用未成年人个人信息的，……并征得未成年人或其监护人同意。”赋予了监护人作为儿童和家庭私人信息守护者的权利，及第二十六条“未成年人的监护人不履行本条例规定监护职责的，由其所在单位或居民委员会、村民委员会予以劝诫、制止。”但是通过何种途径来有效识别监护人的同意并对此作出真实性保证，怠于执行此规定的网络运营商如何监控，以及劝诫、制止的效果如何，不得而知。

三、儿童网络隐私权行政法领域保护的途径探索endprint

综上前述，在尚无一部专门保护儿童网络隐私权法律的当下，依托《未成年人网络保护条例（查案）》，从行政法角度探索儿童网络隐私权保护的途径似乎更具现实性。

（一）丰富《未成年人网络保护条例（查案）》中儿童网络隐私权的内容

就目前的国内立法实践来看，在《个人信息保护法》出台前，依托《未成年人网络保护条例》探索儿童网络隐私权益在行政法领域的保护，具有可行性和现实性。

笔者以为，儿童最大利益原则和儿童优先原则同样适用于儿童的网络隐私权保护。应当确立这样的立法观念，即相对于一般的信息隐私保护，儿童个人网络信息的保护应列为最优先的地位；相对于成年人的网络隐私权保护，儿童的网络隐私权从保护方式和保护强度上应优于成年人；相对于儿童各项上网权益的保护，儿童网络隐私权的保护应当不低于其他上网权益的保护。如果立法机关暂不考虑将儿童网络隐私权纳入专项立法计划，建议《未成年人网络保护条例（查案）》中关于儿童网络隐私的部分单列一章，充实内容。当然，即便条例作出了明确的规定，要具备可行性和可操作性，还需要制定与之配套的实施细则，以及明确执行这些行政法规、规章的职能部门。

（二）建议由统一的联合执法机构来监督和执行条例及其实施细则

研究关于儿童网络隐私权的立法，都绕不开第一部儿童网络隐私保护的法律——美国于1998年通过的《儿童网络隐私保护法》（Children's OnlinePrivacy Protection Act of 1998，简称COPPA）。美国在制定COPPA后，联邦贸易委员会（FTC）发布了实施该法的细则并监督执行，取得了一定的效果。其立法及实践得失于我们亦有启示和借鉴意义。就《条例》而言，在完善儿童网络隐私保护规定的同时，如若秉持“各级网信、教育、工信、公安、文化、卫生计生、工商、新闻出版广电等部门”多头执法的思路，职责不清、权责不明，很容易出现“九龙治水”的局面。故要取得良好的执法效果，厘清职权与职责十分必要。建议成立专门的综合执法机构，或由一部门主导牵头，联动执法。同时，建立和完善网络安全审查制度，加强网络监管，并对非法收集、泄露、出售兒童个人信息的行为进行重点执法。

（三）确立儿童网络隐私权保护的最低标准并指导行业自律

从互联网的发展特点来看，过于严格的立法规制会影响甚至限制网络行业的发展，但是对儿童网络隐私权益的保护势必又不能屈从于互联网的商业利益。美国“安全港模式”的提出与尝试，在保护儿童网络隐私权方面为行业自律和立法实践之间找到了一个相对的平衡点，“即业界可依其需要及属性制定保护儿童隐私的自律规范（self-regulatory guide-lines），该规范经联邦贸易委员会批准后即成为安全港。有关的网络服务商只要遵守该规范就被认为遵守了有关要求，可以免责。”有学者指出：“安全港计划既具有行业政策的灵活性，也具有立法规制的强制性，其较能反映不同行业的资料收集的特点，并且兼顾行业自律和立法规制的长处，具有很强的可利用性。”在保护儿童网络隐私权益的同时，亦兼顾了网络行业的发展。

作为行政机关而言，推动和促进互联网行业的自律，不能仅仅依靠行政强制和行政命令来完成管理，对行业自律尤其是对儿童隐私权保护的管理还需要进行引导和指导，以推动行业本身以及网络从业者制定和完善保护儿童当然不限于儿童的个人资料隐私的方案、政策及措施，在与行业的互动中确立并不断完善保护儿童网络隐私的统一适用标准。当然，这一标准同样适用于政府网站。

正如搜狐在其隐私政策中所指出的“监护人应承担保护未成年人在网络环境下的隐私权的首要责任”，《条例》第5条也提到“国家、社会、学校帮助和指导未成年人及其监护人学习网络知识、提高网络素养”，监护人应当对其未成年子女或者被监护人的网络隐私保护承担起切实的监护职责，不因政府、学校、社会的保护责任而免责。而教育主管部门通过宣传、教育、培训等方式，指导和引导监护人提高网络素养，进而加强和提升其监护意识和监护能力，使之能够对儿童接触、使用互联网进行正确科学地引导。

[责任编辑：张东安]endprint