论《儿童个人信息网络保护规定》之完善
——以美欧儿童网络隐私保护立法的比较和借鉴为视角*
2021-03-26华劼
华 劼
(同济大学 上海国际知识产权学院,上海 200092)
信息网络技术的发展使触网年龄不断低龄化。根据中国互联网络信息中心发布的《2019年全国未成年人互联网使用情况研究报告》(1)本文所称“未成年人”是指不满18周岁的自然人,“儿童”是指不满14周岁的未成年人。因《儿童个人信息网络保护规定》出台前的我国立法和研究报告都只提及“未成年人”,因此,本文论述相关内容时仍使用“未成年人”一词。,2019年,我国未成年网民规模为1.75亿,32.9%的小学生网民在学龄前就开始使用互联网[1]。较多儿童都有社交平台的个人账号,在个人账号中披露的诸如年龄、性别、居住地、兴趣爱好、好友等个人信息越来越多[2]。大数据、人工智能和物联网技术的快速发展催生了智能玩具、智能电话手表等儿童青睐的设备,智能玩具上传感器、存储设备、语音识别技术、互联网连接和定位技术被用来记录使用者的声音和行为等信息,其存储的儿童个人信息易被不法分子窃取和侵害[3]83。
鉴于个人信息披露会给未成年人,尤其是14岁以下的儿童带来不可逆的伤害,国家互联网信息办公室起草颁布了《儿童个人信息网络保护规定》(以下简称《规定》),并于2019年10月1日正式实施,旨在落实《网络安全法》对未成年人的保护,这是我国第一部儿童个人信息网络保护的专门法。本文在分析《规定》出台的立法背景和比较法环境的基础上,探索《规定》所借鉴的美欧儿童个人信息保护主要原则,并通过探讨2019年7月至12月美国启动《儿童在线隐私保护法》新一轮修订所征求到的建议,提出完善我国《规定》的方案。
一、《规定》的国内及国际立法背景
《规定》出台之前,我国涉及未成年人个人信息保护的法律法规主要有两大体系:一是以《未成年人保护法》为核心的基本权益保护法体系;二是以《网络安全法》和《关于加强网络个人信息保护的决定》为核心的“一法一决定”等信息保护基本法体系[4]60。
《未成年人保护法》仅对儿童个人信息和权益做了基本规定,未针对网络环境下的个人信息保护做出具体规定。其第39条规定,任何组织或者个人不得披露未成年人的个人隐私;第58条规定,对未成年人犯罪案件,新闻报道、影视节目、公开出版物、网络等不得披露该未成年人的姓名、住所、照片、图像以及可能推断出该未成年人的资料。
“一法一决定”对个人信息保护作了基本规定,但却缺乏专门保护未成年人或儿童个人信息的特别规定。《网络安全法》在“网络信息安全”一章中覆盖了网络运营者保护个人信息的责任义务规制,但没有针对未成年人作出特殊保护,仅在第13条提及“国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境”[5]。
近年来,儿童互联网产业发展迅速。二胎政策的开放使我国进入生育高峰期,儿童互联网产业预期前景可观,儿童远程教育、儿童数字图书、儿童网络游戏、儿童服装玩具等电子商务领域竞相出现,各类儿童软件层出不穷。短视频平台及社交媒体平台的兴起使得儿童更青睐于集娱乐、资讯、分享、交友等为一体的网络服务平台,并在娱乐、学习、交友等活动参与中越来越多地披露个人信息。儿童由于心智不成熟和社会阅历不丰富,面临无法判断网站推荐信息良莠、钓鱼网站等信息套用的风险,其自愿披露的个人信息也极易被网站用于商业营销,甚至被用于侵犯儿童人身权利的犯罪活动。因此,对儿童网络个人信息进行立法保护变得十分必要且迫切。
从比较法视角看,美国和欧盟有关隐私和个人数据保护的立法体现了两大不同类型的立法模式。美国的立法模式专门性和指导性强,早在1998年,美国就针对儿童隐私保护出台了《儿童在线隐私保护法》(Children’s Online Privacy Protection Act,COPPA),针对13岁以下儿童个人信息保护为网络运营者收集和使用儿童个人信息提供详细的指导说明。2011年9月,美国联邦贸易委员会对COPPA提出修订意见,经过两年咨询讨论,修订法案于2013年7月1日生效[6]。
欧盟立法模式更具有综合性和惩罚性,没有针对儿童隐私和个人数据保护的专门立法,而是将其纳入一般主体数据保护中,所有适用于一般主体数据保护的规则都适用于儿童个人数据保护。欧盟早在1995年就通过了《关于与个人数据处理相关的个人数据保护及此类数据自由流动指令》(以下简称《个人数据保护指令》),由各成员国将其转化为国内法。欧盟于2012年着手对《个人数据保护指令》进行修订,并于2016年通过了《通用数据保护条例》(General Data Protection Regulation),替代《个人数据保护指令》。该条例于2018年5月25日生效,从数据控制者和处理者的责任以及数据监管等方面重新调整了欧盟个人数据保护策略,被称为“史上最严”的数据保护法案[7]。
我国在借鉴美国和欧盟立法模式和相关立法规定的基础上出台了《规定》。从《规定》的29条法律条文看,其更接近美国专门性和指导性的立法模式,有国外观察者将我国《规定》称为中国版本的COPPA[8]。《规定》同时也借鉴了《通用数据保护条例》的相关规则。
二、《规定》对美欧立法所确立主要原则的借鉴
(一)收集和处理信息充分告知原则
美国COPPA特别关注专门针对儿童的网站和运营者知晓有儿童访问的一般网站,确立了运营者收集和处理儿童信息必须充分告知的原则。专门针对儿童的网站必须向其用户提供充分告知,说明他们从儿童访问者那里收集了哪些信息,如何使用这些信息,以及向谁披露这些信息。充分告知的通知必须以“清晰和突出的方式”发出,如可以在网站主页、专门针对儿童的网站特定区域或收集个人信息的任何页面上发出[9]228。
我国《规定》同样包含了收集和处理信息必须充分告知的原则。《规定》第7条明确网络运营者收集、存储、使用、转移和披露信息必须遵循正当必要和知情同意的原则。第9条指出收集处理儿童个人信息必须充分告知儿童监护人,征得儿童监护人同意,充分告知的方式必须显著、清晰。第10条、第11条、第12条、第14条进一步明确收集信息必须必要且适当,不能超出合法合理的收集和处理目的,存储信息不能超出合理期限;充分告知的具体内容也应包括收集和处理信息的目的、方式和范围以及到期后的处理措施等。
(二)监护人全面控制原则
监护人全面控制原则已成为各国儿童个人信息保护的主要原则。美国COPPA要求运营者获得儿童父母可验证的同意后方可收集和处理儿童个人信息,父母可验证的同意可通过任何合理的努力获取(2)参见Code of Federal Regulations, Title 16 Section 312.2。。而且父母有审查已收集儿童个人信息的权利,网站必须提供一种方法供父母审查已收集的信息,并提供一种方法供父母与网站运营者联系,以禁止进一步使用或维护儿童的个人信息。拥有平台个人账户的儿童的父母可以访问他们孩子的在线资料,并可随时删除或修改部分或全部资料[9]229。
欧盟《通用数字保护条例》第8条规定,网络服务提供者如要收集或处理不满16岁儿童的个人数据,只有在对儿童负有父母责任的人给予或授权同意的情况下,这种处理才是合法的;成员国可以设定更低的年龄界限,但不得低于13岁[10]。数据控制者在考虑到可用的技术的情况下,应尽合理努力核实负有父母责任的人是否同意或授权[11]。
我国《规定》在第9条、第10条、第14条、第19条、第20条等条文中都有将监护人同意或授权对儿童个人信息的收集、处理、删除、更正纳入其中,体现了父母等监护人对儿童个人信息收集和处理过程的全面监控。相对而言,我国的规定更具原则性,并未像COPPA一样穷尽式列举技术所支持的所有可能的授权同意方式。
(三)被遗忘权与信息更正删除原则
欧盟个人数据保护机制下的“被遗忘权”能将已落入公共领域的信息拉回到私人控制的状态,被遗忘权是指权利主体有权要求数据控制者删除其个人数据的权利。对于已公开但随后淡出公众视野、被公众遗忘的私人事实,如果未来仍有被披露而给权利人带来危害的风险,则这些已公开的私人事实仍能回到隐私状态,需防止其后再次被披露。《通用数据保护条例》第17条将“被遗忘权”写入其中。
我国《规定》第19条和第20条借鉴了欧盟数据保护制度中的“被遗忘权”。这两条规定明确赋予儿童及其监护人更正和删除网络运营者所收集、存储、使用、披露的儿童个人信息的权利。更正的权利适用于信息错误的情形,删除的权利适用于违法、违反正当必要原则收集和处理信息以及监护人撤回同意、注销服务的情形。
(四)网站内部操作例外与最小授权原则
COPPA规定,有运营者为内部维护网站或网络服务目的而向提供技术支持的人披露儿童个人信息的例外。究其根本,这一规定实际赋予维护网站运营的相关工作人员访问运营者收集的儿童个人信息的权利。美国立法将这一规定称为网站内部操作例外(internal operation exception),因为运营者向相关工作人员披露个人信息被视为披露信息的例外。COPPA要求这一例外仅适用于提供网络服务所必需的有限情形,即在最小范围内授权相关工作人员获取个人信息。
最小授权原则被首次纳入我国个人信息保护的法律文件中,体现于《规定》第15条。《规定》要求网络运营者在授权其工作人员访问个人信息时,应严格设定访问权限,控制个人信息知悉范围,只让最小量的必须知晓个人信息的工作人员进行访问。
(五)行业自律原则
行业自律原则是美国隐私保护所鼓励和支持的一大原则,即让行业联盟或网络运营者自发采用行业自律政策为网络隐私提供保护,以弥补立法总是滞后于现实状况的不足。这一原则在COPPA中又被称为“避风港计划”(safe harbor program)。避风港计划鼓励行业自律,允许经批准的行业成员根据自己的合规指南创建自己履行COPPA义务的监督计划,避风港计划对其成员的信息保护实践进行年度全面审查,并向联邦贸易委员会提交年度审查结果报告[9]230。
我国《规定》借鉴美国隐私保护的行业自律原则,在《规定》第6条提及鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等,加强行业自律。第8条强调网络运营者应设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。专人是指参照境外互联网公司的做法,设立“首席隐私官”全面负责儿童个人信息保护[4]62。
三、美国COPPA新一轮修订征求建议及启示
美国联邦贸易委员会于2019年7月25日启动对COPPA的第二次修订,以确保该COPPA能跟上自2013年修订以来所发生的市场、技术和商业模式变化。联邦贸易委员会在《联邦公报》上发布征求公开建议的公告,敦促公众于2019年10月23日前提交建议[12]。据统计,联邦贸易委员会已收到超过17.5万份建议[8]。本文参考了能从公开渠道获取的两份建议,归纳总结出COPPA第二次修订中可能出现的变化。这两份建议一份来自于英国一家旨在推动青少年隐私权益保护的基金会(5Rights Foundation),一份来自于美国普林斯顿大学信息技术政策中心(Center for Information Technology Policy)。鉴于我国《规定》主要借鉴COPPA制定,本文主要探讨COPPA第二次修订可能出现的变化及对我国进一步完善《规定》的启示。
(一)调整年龄段限制
COPPA只保护13岁以下儿童的网络隐私。建议提出额外的、比较灵活的保护应延伸至13至17岁的青少年。联邦贸易委员会在2012年的一份报告中就已在考虑让社交网络平台为青少年增加隐私保护默认设置,虽然青少年可能规避这些设置,但这些设置可被视为有效的减速带,让青少年更好地思考分享个人信息带来的影响[13]。于2020年生效的美国2018年《加利福尼亚州消费者隐私法》已针对儿童和青少年采用隐私保护的“双层模式”(two-tier model)。该法规定,企业实际知道消费者不满16岁的,不得出售消费者的个人信息,但是,13至16岁的消费者或者不满13岁的消费者的父母或监护人明确同意出售消费者个人信息的除外(3)参见California Consumer Privacy Act of 2018, Section 1798.120(c)。。对16岁以下的未成年人,加州法律采取了经主体明示授权同意后方可采集利用个人信息的“opt-in”模式,而对16岁以上的人采取信息披露后允许主体退出信息披露的“opt-out”模式[14]。
我国《规定》保护主体是14岁以下的儿童,采用了与COPPA近似的“一刀切”年龄段限制。采用一刀切还是个体化的年龄限制一直是各国针对未成年人个人信息保护立法时的纠结之处,这源于赋权还是保护以及取平均年龄还是看个体差异这两类困境[3]84-85。未成年人身心发展尚不成熟,仍需依赖成年人进行身心照顾,因此需要对未成年人给予特别保护。但同时随着年龄和知识阅历的不断增长,青少年相较于儿童对社会的关注度和理解力更趋于成熟,需要通过网络等技术工具获取知识、发表看法、自我决策和参与社会。此外,同一年龄段的未成年人由于其先天智力和后天成长环境的不同,可能出现个体间成熟度的差异。因此,需要对未成年人个人信息予以特别保护,但又需针对不同成熟度的儿童和青少年给予差异化保护,这增加了立法的难度。对每个儿童和青少年进行个性化的能力测试会极大加重网络运营者的成本和负担,在目前的技术环境下不易实现。以年龄段进行划分侧重考察某一年龄段儿童或青少年的平均能力,有其可取之处。我国《未成年人保护法》保护的未成年人为18岁以下,而《规定》保护个人信息的主体却限制在14岁以下,忽略了14至17岁青少年的个人信息保护。可考虑采用《加利福尼亚州消费者隐私法》所选择的双层模式,对未成年人的个人信息保护延伸至14至17岁的青少年,采用相较于14岁以下儿童更灵活的保护方式。
(二)增加透明度审查
建议提出COPPA面临的一个主要挑战是,外部观察员(例如父母、研究者、记者或宣传团体)很难理解网络运营者是如何决定遵守COPPA的[15-16]。需要遵守COPPA的是其服务专门针对儿童的网络运营者或知晓其用户中有儿童但用户年龄混合的一般网络运营者。如果服务是专门针对儿童的,在收集用户信息之前,运营者必须确保已获得了可验证的父母同意。如果用户是混合年龄,则运营者必须确保未经父母同意,不会收集13岁以下用户的信息。决定网络服务是否专门针对儿童,需要综合考虑诸多因素,包括其主题、视觉内容、动画人物的使用或儿童导向的活动和激励、音乐或其他音频内容、示范人物的年龄、儿童名人或吸引儿童的名人的出现、语言或网站的其他特点,以及广告宣传是否针对儿童(4)参见Code of Federal Regulations, Title 16 Section 312.2。。如果是混合年龄用户的网络运营者试图收集用户信息,则可以选择设置“年龄门”(age gate),以确保不会收集未成年用户信息。“年龄门”是一种要求用户以年龄中立的方式提供年龄或出生日期的机制。
建议提出应修订COPPA,要求运营者选择更加开放、以便于外部审查的系统设计。具体而言,不管运营者是否认为其服务专门针对儿童,联邦贸易委员会都应要求运营者以机器可读的格式披露其系统设计,以使研究者或父母可以检查运营者保护儿童隐私的具体方案。如果运营者设置了“年龄门”作为确定其服务不是专门针对儿童,那么运营者必须公开发布“年龄门”的操作说明,以及采取了哪些步骤来验证13岁以下的儿童无法规避“年龄门”。联邦贸易委员会可通过一些方式让iOS或Android等平台在筛选用户和验证年龄方面发挥更有效的作用[15-16]。
我国《规定》未像COPPA一样区分专门针对儿童的网站和面向混合年龄用户的网站,《规定》第3条指出其适用于所有在我国境内通过网络收集和处理儿童个人信息的网络运营者,但《规定》却未要求网络运营者告知公众其如何知晓和判定其收集和处理的个人信息属于14岁以下的儿童。随着人工智能算法在网站运行中的运用,算法黑箱和算法偏见让儿童及其监护人更无从知晓运营者如何保护其网络个人信息。算法黑箱和算法偏见已成为智能算法发展中不可忽视的问题,算法提供了聚类或预测结果,却不能解释这些结果是如何形成的,错误、不准确、有偏见的输入数据导致了错误的输出结果。诚如倡导全球在线公民自由和人权的非政府机构民主与技术中心(Center for Democracy and Technology)所提及的,设计易于审计的算法系统增加了算法可靠性,审计对于系统化且长期检测不公平结果是必要的[17]。因此,我国《规定》也应考虑要求网络运营者采用易于外部审查和审计的系统保护儿童个人信息,为审查和审计需要,必要时应披露其系统运行方案,以供儿童监护人或研究者查验。
(三)明确“实际知晓”和“个人信息”的定义
COPPA区分了专门针对儿童提供服务的网络运营者和面向混合年龄用户的网络运营者。面向混合年龄用户的网络运营者只有在实际知晓用户中有13岁以下儿童时才需遵守COPPA,但COPPA却未给予“实际知晓”确切定义。为规避实际知晓,网络运营者可能只收集宽泛的年龄段数据,如询问注册者是否18岁以下、18至35岁、35岁以上等[18]。为了确保网络运营者不会忽视众多儿童已使用其服务,建议提出COPPA应采用“故意失明”(wilfully blind)理论以定义“实际知晓”[14]。“故意失明”理论是指提供一种将知晓归因于一方当事人的方法,该方当事人已对某些事项产生强烈怀疑,但为了避免这些怀疑被证实而不对怀疑事项进行调查。该理论旨在推翻通过故意避免实际知晓而让自身免除刑事责任的企图(5)参见R.v.Briscoe, 2008 ABCA 327(CanLII), Paragraph 19。。“故意失明”理论已被2018年《加利福尼亚州消费者隐私法》采纳,该法规定,故意无视消费者年龄的企业应被视为实际了解消费者年龄(6)参见California Consumer Privacy Act of 2018, Section 1798.120(c)。。
我国《规定》并未通过识别网络运营者的主观意识来明确其是否应遵循《规定》,《规定》采取了无过错归责原则,只要网站收集处理了儿童个人信息,无论网络运营者是否知晓,均应遵守《规定》。只有通过计算机系统自动留存处理信息且无法识别该信息属于儿童个人信息的,才不适用《规定》(7)参见《儿童个人信息网络保护规定》第28条。。这无疑会加重网络运营者维护系统的成本和负担,导致所有网络运营者无论其是否收集和处理了儿童个人信息都需按照可能收集儿童个人信息的状态执行《规定》条款。因此,有必要明确网络运营者的责任追究采用过错归责原则,只有当网络运营者实际知晓其收集和处理的信息中存在儿童个人信息时才需遵守《规定》,故意无视用户年龄应被视为实际知晓用户年龄。
COPPA以详细列举的方式定义“个人信息”,包括姓名、住址、在线联系信息、网络用户名、电话号码、身份证号、能在不同时间和网站识别出用户身份的永久性识别符号、照片或音视频、定位信息等(8)参见Code of Federal Regulations, Title 16 Section 312.2。。联邦贸易委员会在进行新一轮COPPA修订时考虑在对“个人信息”的定义中,是否应包括从儿童身上推断而非直接收集的个人信息。建议认为个人信息应当包含推断信息,推断信息占儿童所有信息的很大一部分,推断过程意味着看似平凡或无害的数据可以用来对高度个人敏感信息做出令人惊讶的准确预测,对这些信息的处理可以使儿童受到与处理直接收集信息相同的影响[14]。
我国《规定》未明确定义个人信息,但在《网络安全法》中将个人信息定义为以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息(9)参见《网络安全法》第76条第(5)项。。因此,从《网络安全法》非穷尽式立法模式来看,我国网络运营者所收集和处理的包含儿童个人信息在内的各项个人信息也应包括能识别个人身份的推断信息。
(四)注意教育技术带来的变化
教育技术的发展使越来越多的学校和家庭采用网络运营者提供的教育技术服务。例如,有课堂管理应用程序LanSchool17、支持学校家庭联系的技术Seesaw18、成绩管理技术Schoology19、帮助儿童学习技能的程序Dreambox20、跟踪学生行为和改善纪律的软件BRIM22等[15-16]。考虑到日益增长的教育技术服务市场需求,联邦贸易委员会在新一轮COPPA修订中考虑是否有必要规定父母同意的例外规定,为学校提供教育技术服务的运营者为更好地促进学校教育(即“教育目的”),在收集和处理儿童个人信息时,学校可以代学生父母做出授权同意,而无需一一征求父母意见。
建议提出,联邦贸易委员会在考虑父母同意的具体例外之前,应研究教育技术在学校教育中的使用情况,认真做到以下几方面:首先,应以无障碍方式告知父母,教育技术提供者收集了关于其子女的哪些信息,如何使用这些信息,谁有权访问这些信息,以及这些信息保留多长时间,父母也应有权要求删除其子女的信息;其次,应指导学校管理者在如何选择教育技术提供者时作出明智的决定,制定保护学生隐私的政策,并培训教育工作者执行这些政策;再次,COPPA应阐明学校管理者和教育技术提供者如何就收集、使用和维护其子女信息对父母负责;最后,联邦贸易委员会在考虑父母同意的任何例外时,需明确界定“教育目的”的含义[15-16]以及被禁止的目的和范围,被禁止的目的应包括但不限于直接营销、行为广告以及任何与服务功能不必要的数字画像(10)数字画像(profiling)被欧盟《通用数据保护条例》定义为与自然人相关的某些个人情况,特别是为了分析或预测该自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可信度、行为、位置或行踪,而对个人数据进行的任何形式的自动化处理和利用。[3]87。
我国《规定》尚未考虑到教育技术的广泛运用所带来的变化。在学校使用联网教学管理技术越来越普遍的情况下,可考虑在《规定》中增加监护人全面控制儿童个人信息收集和处理的例外,例如,可允许学校代为授权同意教育技术提供者为更好促进学校教育的目的收集和处理学生个人信息,无需经过学生父母同意。但需对何为促进学校教育目的进行明确规定,并且严格将父母同意的例外限制在为提升教育技术服务的目的上,排除其他商业性目的。如有可能,应将收集到的学生个人信息匿名化处理,防止学生身份被识别。