未成年人网络隐私保护困境的立法研究
2021-11-24刘文静
刘文静
摘要:随着互联网的普及和科学技术的发展,用户的隐私安全成为备受社会关注的热点话题,而其中未成年人作为互联网的一大群体且由于该主体自身的特殊性,生理和心理上都未发展成熟,认识能力和自我保护能力有限,隐私泄露问题更容易为这一群体带来侵害。因此,研究未成年人隐私保护具有重要意义。本文以未成年人群体作为研究对象,通过了解目前未成年人隐私保护领域内存在的问题,同时进行我国和域外的相关法条的对比比较,从不同角度发掘目前未成年人隐私保护领域存在的问题并且提出相关建议,希望以此启发相关领域对这些问题更加深入的研究以及对于体系层面上的优化。
关键词:未成年人,隐私保护,法条对比,建议
一、研究背景
1、未成年人主体的特殊性
未成年人作为社会阶层组成中一个特殊的群体,没有独立的经济来源,且在生理和心理上都未发展成熟,认识能力和自我保护能力有限,容易遭受侵害,而侵害所造成的后果也要比成年人要严重的多,同时未成年人对于自身的权利保护也缺乏必要的意识和手段,因此探讨未成年人的隐私权的相关保护具有重要的现实意义。
2、网络时代的发展
网络时代,横亘在人们面前的一大矛盾就是享受使用各类服务的同时,需要承担数据被抓取、隐私泄露的潜在风险。随着互联网的普及,青少年使用网络低龄化趋势明显。在各类互联网软件的使用中,未成年人对于网络诱惑的抵制力和自制力相对较低,对于个人信息防范意识也相对较弱,因此迫切需要社会与相关法律对其的保护。2020年修订的《中华人民共和国未成年人保护法》(后文简称为《未成年人保护法》)的出台,对未成年人隐私保护落实的实际效果,也是我们的探究重点。
3、隐私权在世界范围内的普遍确认
目前隐私权在全世界民法范围内都得到了不同程度上的确认,美国在1974年通过的《隐私法案》(The Privacy Act of 1974)将隐私权作为一项独立的人格权进行保护,同时在单行立法中针对一些特定主体进行保护,例如《儿童在线隐私权保护法》(Children’s Online Privacy Protection Act)在隐私权得到世界范围内广泛的关注与重视这一基础之上,进行中国与欧美隐私权法律的比较研究。
二、研究意义
本文将重点关注未成年人使用互联网各类软件的过程中所面临的识别、授权以及个人信息使用等问题。研究主要分为以下三个层面:首先是内容方面,未成年人使用游戏软件需提供个人信息情况及使用游戏软件频率。其次是关于监护人如何监管未成年人的网络使用状况,如何采取授权与取消授权的措施等问题。最后是在游戏技术软件的开发过程中,开发者与技术公司如何精准识别未成年人身份以及如何正确运用和保护未成年人个人信息,如何解决平台垄断性等问题。这些都是目前社会各界与学界所关注的焦点与讨论的重点。本文会继续关注在2021年正式实施的《未成年人保护法》的实施情况,以及在实施过程中遇到的问题,并了解欧美等国家关于未成年人保护法在年龄设置,信息封存等方面所做出的措施。
三、我国立法及规范设定的特征
2020年颁布的《中华人民共和国民法典》(后文简称《民法典》)首次确认了隐私权,将隐私权明确纳入侵权法所保护的民事权益范围中,确认侵害隐私权应当承担侵权责任。同时人格权编的隐私权与个人信息保护部分对网络侵权行为进行了规制,规范了网络服务商的责任,使公民隐私权受到网络侵害得到救济。
《预防未成年人犯罪法》以不公开审理未成年人犯罪案件的方式对其隐私权进行了保障,并限制新闻媒体的报道。该法第45条规定,对于审判的时候被告人不满18周岁的刑事案件,不公开审理。对未成年人犯罪案件,新闻报道、影视节目、公开出版物不得披露该未成年人的姓名、住所、照片及可能推断出该未成年人的资料。但随着网络的发展,微博、微信等自媒体的出现,涉案未成年人的个人信息很容易在网络空间被广泛传播,这些手段甚至较传统媒体的报道更为迅捷和广泛。上述规定仅限制了传统新闻媒体的宣传报道,但本条却没有考虑到其他传播渠道侵害未成年人隐私权的可能性。
《刑事诉讼法》对刑事诉讼过程中未成年犯罪嫌疑人的隐私权进行了具体保护,涉及案件不公开审理、犯罪记录封存等内容。“隐私权”一词虽然未曾在我国《刑法》及相关司法解释中直接出现过,但某些严重侵犯公民网络隐私权的行为同样是《刑法》的调整对象。我国《刑法修正案(九)》明确规定严重侵犯“通信自由”、“公民个人信息”的行为构成刑事犯罪。
《未成年人保护法》对未成年人信息隐私的保护作出了规定,涉及未成年人信件、日记和电子邮件等信息。新修订的《未成年人保护法》自2021年6月1日起施行,是我国未成年人权益保障的基本立法。其专门增设“网络保护”一章。针对未成年人沉迷网络等问题,规定“网络产品和服务提供者不得向未成年人提供诱导其沉迷的产品和服务。网络游戏、网络直播、网络音视频、网络社交等网络服务提供者应当针对未成年人使用其服务设置相应的时间管理、权限管理、消费管理等功能。”新修订的未成年人保护法从政府、学校、家庭、网络产品和服务提供者等不同主体出发,对网络素养教育、网络信息内容管理、个人信息保护、网络沉迷预防和网络欺凌防治等内容作了规定,力图实现对未成年人的线上线下全方位保护,但是其具体实施情况以及在实施过程中遇到的问题我们还会持续关注。
《信息安全技术个人信息安全规范》(以下简称《安全规范》)已经对于未成年人的个人信息收集标准作出了明确规定:收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。我国对于未成年人的个人信息决定权的制度安排是出于對该群体智力及民事行为能力不断发展的动态化考量,避免了“一刀切”式的僵化管理模式,将十四岁至十八岁年龄段的未成年人作为特殊主体进行规制,赋予其一定的信息自决权益,同时又允许其监护人合法介入。
四、域外立法的相关内容
1、美欧关于未成年人网络保护的立法规定
借鉴外国的法律也是我们可以进一步完善和制定未成年人保护机制的重大来源。以美国和欧盟为例,美国通过立法对未成年人网络活动加以保护,先后出台一系列法律,逐步完善长效保护机制。美国既探索制定了《儿童在线保护法》 《儿童在线隐私保护法》和《儿童互联网络保护法》等专门性立法,也在《通信规范法》 《梅根·梅尔网络欺凌预防法》和《网络免税法》等网络相关立法中强化对未成年人的保护力度。在未成年人观看内容上,美国以立法的形式防止未成年人接触有害信息,美国1996年制定的《通信规范法》首次通过立法明确对网络色情淫秽信息内容进行规制,防止未成年人接触此类有害信息。并在未成年人使用和基础信息的过程中进行有害内容的拦截,采取内容过滤封堵措施,《儿童互联网络保护法》确认了过滤方法的正当性,规定要求全国公共图书馆联网计算机安装色情过滤系统,否则图书馆将无法获得政府提供的技术补助资金。并通过税收优惠促使商业色情网站采取限制未成年人浏览的措施,1998年通过的《网络免税法》规定,如果向未成年人提供缺乏严肃艺术、文学及科学价值的裸体及文字内容等有害信息内容,将不会获取免征两年新税的优惠。在未成年人个人信息保护方面,美国未成年人个人信息保护立法走在各国前列,且在立法模式方面指导性较强。1998年就通过了《儿童在线隐私保护法》,此后联邦贸易委员会陆续颁布《儿童在线隐私保护法实施细则》《六步合规计划》《遵守儿童在线隐私保护法:常见问题解答》等官方文件,还在2013年对《儿童在线隐私保护法实施细则》进行修订。
我们不难发现,美国在应对儿童个人信息保护时更是考虑到了不同企业经营内容差异而对网络经营者进行了明确的分类: 内容面向儿童的网络运营者,部分内容面向儿童的网络运营者,以及内容并非面向儿童、但实际知道其正在收集儿童个人信息的网络运营者。对于第一类网络运营者应当将全部用户视为儿童,第二类主体适用“实际知晓”规则,即只有当此类网络经营者实际知晓用户为儿童时才承担相应责任,第三类应当严格依照美国《儿童网络隐私保护法》(以下简称COPPA)来要求其承担责任。COPPA 对不同类别网站的划分,减轻了网络运营者的合规成本, 尤其针对小企业的发展而言减轻合规负担显得尤为重要。综上所述,本文认为中国与美欧在儿童个人信息保护方面主要有以下两点不同:第一,不同经营者内容差异的划分对于未成年人的管制意义。第二,应当区分未成年人的年龄段管制的效果 这两点可以将报告内容更加深化,建议在未来立法中添加进去。
美国加州2015年颁布了一部《在线“橡皮擦”法》专门针对COPPA管辖范围之外的十三岁至十八岁的未成年人的在线个人信息保护。该法律不仅针对未成年人或实际知道未成年人正在使用该服务的网站和移动应用程序所有者施加广告和营销限制,还对网络服务提供商提出了必须提供未成年人删除其发布的任何内容或信息的机制。 该法实际上赋予了以上年龄段未成年人以被遗忘权。COPPA中还规定要尊重十三岁以下未成年人家长的持续性权利,这种持续性权利可以延伸至对未成年人个人信息的处理阶段,包括要求义务人提供可以审查被收集的孩子的个人信息的途径,以及赋予其撤回同意及删除的权利。由此可知,美国的儿童在线个人信息保护立法使用的是按照年龄以十三岁为界的简单区分,十三岁之前由儿童的父母行使权利而十三岁之后则将权利全部转移到儿童的手中。相比而言,我国的制度设计更为人性化,充分考量到了十四岁以上未成年人的成长及发展特色,赋予其一定信息自主权的同时,也允许其监护人介入并行使其持续性的查阅、撤回及删除权,从而合理地平衡了保护与发展的双重价值。
欧盟没有针对儿童隐私和个人数据保护的专门立法,而是将其纳入一般主体数据保护中。欧盟早在 1995 年就通过了《关于与个人数据处理相关的个人数据保护及此类数据自由流动指令》(《个人数据保护指令》),并于2016年通过了《通用数据保护条 例》( General Data Protection regulation),替代《人数据保护指令》。重新从控制数据者和处理者所具备的责任以及数据监管的问题等方面调整了欧盟个人数据保护策略。
2、美欧立法所确立的可借鉴原则
(1)收集和处理信息充分告知原则
COPPA 对于儿童的专门运营网站和运营者知晓有儿童访问的一般网站,确立了运营者收集、运用和处理儿童信息必须充分告知的原则。以清晰明确的告知信息,使用户知道他们的信息将会怎样被获得,如何被应用以及向谁批漏。
(2)监护人全面控制原则
监护人全面控制原则已成为各国儿童个人信息保护的主要原则。COPPA要求运营者获得儿童父母可验证的同意后方可收集和处理儿童个人信息且父母有审查已收集儿童个人信息的权利,并提供方法供父母与网站运营者联系。拥有平台个人账户的儿童的父母可以访问他们孩子的在线资料,并可随时删除或修改部分或全部资料。欧盟《通用数字保护条例》第8条规定,网络服务提供者如要收集或处理不满16岁儿童的个人数据,只有在对儿童负有父母责任的人给予或授权同意的情况下,这种处理才是合法的;成员国可以设定更低的年龄界限,但不得低于13岁。数据控制者在考虑到可用的技术的情况下,应尽合理努力核实负有父母责任的人是否同意或授权。
(3)被遗忘权与信息更正删除原则
欧盟个人数据保护机制下的“被遗忘权”能将已落入公共领域的信息拉回到私人控制的状态,被遗忘权是指权利主体有权要求数据控制者删除其个人数据的权利。对于已公开但随后淡出公众视野、被公众遗忘的私人事实,如果未来仍有被披露而給权利人带来危害的风险,则这些已公开的私人事实仍能回到隐私状态,需防止其后再次被披露。《通用数据保护条例》第17条将“被遗忘权”写入其中。
五、我国立法存在的问题及相应解决对策
本文提炼出目前在未成年人互联网信息保护方面可能存在的问题并尝试给出相应的解决方案。
1、隐私政策水平层次不齐,应加强其制定与完善
市面上常见的各类APP比如哔哩哔哩、腾讯、王者荣耀、作业帮等软件,在隐私保护条款的详尽和清晰程度方面存在较大的差异。京东、滴滴出行等APP的隐私政策较当当网、同花顺等APP的简单与模糊,则更为专业与详尽,前者其中部分还提供了更为便利的在线访问、撤回和关闭授权、注销账户,更正、删除其个人信息等功能。
面向大众的隐私条款之外,各款软件在未成年人隐私保护的关注程度更存在较大的差异。其中固然有些软件因受众不以未成年人为主而不关注这一问题,没有出台相应的隐私保护政策,但是数据安全和用户信息保护是对互联网公司的基本要求,其中对未成年人数据隐私的保护应成为一种社会共识。各大企业应加强对未成年人隐私保护政策的制定与完善, 具体而言, 可以参照行业领头企业, 制定规范、清晰、专业的未成年人隐私保护政策。
2、隐私保护政策流于形式,应保障其落实和实施
许多互联网应用软件未成年人隐私政策规定在使用产品或者服务前,应在监护人监护、指导下共同阅读本隐私政策且应在监护人明确同意和指导下使用产品或服务,但是实践中,未成年人下载使用该软件服务时是否在监护人的同意和监护下完成的是无法得知的。在此可以参考借鉴国外的做法,如监护人全面控制原则等。中外法条借鉴,吸取其中精华,根据中国具体国情加以运用。
未成年人网络保护工作中应体现特殊保护、多方共治的思路及利益平衡、包容审慎的原则。针对未成年人健康成长的特殊保护贯穿于各国立法实践之中,但未成年人在线上线下并非孤立的存在。需要我们解决好与成年人权利的平衡问题,掌握好家长保护、学校保护、社会保护等各类保护的权利义务及相互之间的關系,处理好私权自由与公权规范、立法监管与行业自律之间的关系。
3、未成年人对隐私保护的认识不够,应强化未成年人的认识
首先,呼吁学校加强对未成年人自身隐私保护的教育,同时呼吁社会形成未成年人隐私保护的体系共识。当未成年人置身于一个体系中,可以潜移默化影响未成年人,有利于培养其意识。其次,一些广泛使用的APP的青少年模式功能并未推广,可以进行宣传,引导未成年人开启这一模式,从而更好地保护自身隐私。
总而言之,美国和欧盟的未成年人网络保护框架是历史实践选择下的产物,各国国情存在较大差别,本本主义的“西学东渐”并不可取,在未成年人网络保护领域只有最适合本土国情、能解决本国实际问题的制度才是科学的。我国要更加重视未成年人网络保护工作,各个立法层级、监管执法都有积极进展,正在加快形成系统完备的治理体系,为全球未成年人网络保护提出“中国方案”。未成年人网络保护可作为构建全球网络空间命运共同体的“前哨站”,各国携手推进未成年人个人信息保护、信息内容治理等重点问题的制度设计,加强人工智能、5G、大数据等新技术新应用背景下未成年人网络保护问题的研究,为全球未成年人在网络空间中成长成才撑起一片法治蓝天。