儿童个人信息保护完善路径研究
——基于美国COPPA法案对比
2022-03-18戴曾盛
■戴曾盛
(华侨大学法学院,福建 泉州 350001)
一、前言
随着互联网技术的普及,参与数字生活已不是成年人的“特权”,儿童在日常的生活中普遍使用互联网已成为社会生活的基本现状。中国互联网络信息中心发布的《2020年全国未成年人互联网使用情况研究报告》数据显示,截至2020年底,中国青少年网民规模约为2.77亿,占整体网民20%左右,其中年龄14周岁以下的儿童网民在青少年网民比例中占比11.6%,这之中有32.9%的儿童在学龄前就开始使用互联网[1]。成年人在数字生活中对信息泄露的风险尚且难以防范,这一风险对于儿童而言更为棘手。例如,儿童学习生活中,针对儿童设计的儿童教育游戏、儿童电子图书馆等儿童教育产品作为教辅用具在市场中受到追捧,为获得更为精准的用户数据,部分儿童互联网产品会利用技术手段在儿童使用产品过程中收集、处理个人信息。一旦数据泄露或被窃取必将会威胁儿童的数据安全,就可能对儿童的日常生活造成安全影响。并且儿童身心尚处于发育过程中,其行为能力、同意能力和风险识别能力在生理阶段不及成年人般完善,面对冗杂繁长的“用户协议书”时恐怕难以识别进而导致误判造成自身敏感数据的泄露。
在此背景下,如何保护数量庞大的儿童个人信息不受侵害,如何完善现有法律制度减少儿童的网络风险,对保障儿童网络生活的安全环境具有重要的意义。
二、儿童个人信息保护的立法现状
我国儿童个人信息保护法律体系尚处于立法初创阶段,虽然形成了法律规制框架,但在落实规范的过程中缺乏具体的、可执行的规范指引,导致有关法条空悬虚位。
(一)国内现行立法
涉及儿童个人信息保护的立法主要包括《民法典》《未成年人保护法》《儿童个人信息网络保护规定》《个人信息保护法》。其中《儿童个人信息网络保护规定》(下称《规定》)是首部保护儿童信息的专门性法律规范,对于儿童信息保护具有里程碑式的作用。
1.明确监护人知情同意下的“监护同意”规则
《规定》第五条、第九条、第十条、第十四条、第十九条、第二十条等规定,监护人对于网络运营商意图收集、处理、使用未成年人个信息具有事前同意、事中及事后对产生错误的儿童个人信息删除、更正的控制权。
2.明确网络运营商的运营责任
《规定》第七条、第九条、第十条等条款规定,网络运营者在收集、处理儿童个人信息时需要监护人同意,并且网络运营商应当针对儿童制定符合其生理、心理特征的保护规则和用户协议,强调了监护人的事前监督权和平台承担的事前责任。
3.明确互联网运营商自律管理责任
《规定》第十五条至第十八条、第二十一条等规定互联网运营商对其管理的未成年个人信息的管理义务。互联网运营商不得违法向未授权的企业个人披露个人信息,并且遵守“最少授权原则”严格控制知悉儿童个人信息的人员范围,需要制定应急方案以防范可能发生的信息泄露危险。
(二)域外立法比较
美国在儿童信息保护方面是立法的先行者,较之国内相关规范而言,内容更加具体、更具可操作性。
1.监护人同意制度
美国《儿童在线隐私保护法》(Children's Online PrivacyProtection Act,COPPA)是美国针对13岁以下未成年人所制定的信息保护法案,法案创设了“监护同意”制度①的具体规则。COPPA与《规定》第九条相似,都强调监护人有权知悉并决定互联网运营商对儿童个人信息的收集、处理。不过COPPA规范更加具体,规定了6种具有可操作性的同意方式,包括:(1)通过传真、邮递、电子扫描等方式向运营商提供父母签署的同意书;(2)使用信用卡、借记卡或其他网络支付手段并向父母发送通知;(3)父母电话同意;(4)与专业的工作人员视频通话;(5)通过政府颁发的身份证件复印件用于验证;(6)运用面部识别技术进行验证等[2]。“可验证的父母同意”为监护人知悉并允许网络运营商使用13岁以下儿童个人信息提供了多种方式,虽然同意方式较为繁琐,可能降低网络经营商的经济利益,但隐藏在互联网中的网络隐私危机令成年人都难以防范,对儿童更需要倾斜保护。因此,为强化儿童个人信息安全,在制度上安排监护人介入并保障介入方式的有效性,有利于平衡保护儿童权益与社会经济利益。
2.网络运营商的运营责任
3.网络运营商的自律监管要求
强调行业自律监管是COPPA法案一大特点,其中自律监管条款被称为“避风港计划”②。该条款鼓励互联网运营商在符合法律法规的前提下自行制定符合COPPA法律内涵的行业自律规定,允许互联网运营商针对自身特点制定保护儿童个人信息的隐私政策,这些自律行为需联邦贸易委员会批准后生效,互联网运营商在运营过程中只需遵守各自的自律规定即可[4]。
COPPA法案的“避风港计划”条款授权网络运营商自我管理,提倡行业成员创造符合法律精神的“软法”,以此防范法律“以偏概全”的失灵状况。所谓“软法”是指,不依靠国家强制力保证实施的法律规范,它是一种由多元主体经或非经正式的国家立法程序制定或形成,并由各制定主体自身所隐涵的约束力予以保障实施的行为规范[5]。例如行业协会公约、公司内部规章、互联网运营商的隐私政策均是“软法”,能够起到弥补法律空白抑制公权力膨胀的效用。COPPA法案将自律监管与法律规定相结合,意图使用“软法”弥补法律失灵时存在的监管空白问题。
三、儿童个人信息保护的立法缺憾
(一)儿童年龄范围界定问题
儿童是需要被特殊保护的法律主体,但其年龄的范围存在一定争议。在《规定》中儿童的年龄为14周岁以下。《民法典》以8周岁为限,8周岁以下为无民事行为能力人,8周岁以上18周岁以下是限制民事行为能力人。《未成年人保护法》规定未成年人是指18周岁以下的公民。《个人信息保护法》规定不满14周岁未成年人的个人信息处理需要监护人同意。《个人信息安全规范》规定收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意。可见在国内没有统一的儿童信息保护年龄界限标准,“儿童”与“未成年人”之间的年龄界限亦处于模糊状态。放眼域外,年龄标准同样存在争议。美国COPPA法案2000年通过之时保护的对象是13周岁以下的儿童,2018美国国会对COPPA法案进行修订,将保护对象的年龄扩大到了12~16岁的未成年人,在修订审查稿中保护对象的年龄曾被建议提升至18岁以下。
儿童在个人信息保护领域年龄范围界定问题的本质是对儿童参与数字生活的行为能力、同意能力、认知能力等能力的界分。统一年龄标准虽然满足了法律的确定性要求,但这种“一刀切”的处理模式忽略了儿童生理年龄与心理年龄的差异,忽略了不同年龄段未成年人对“个人信息自决权”的管理、支配与处分的需求,限制了部分儿童自我决策的权利。以统一年龄作为判断标准符合一部分儿童的需求,但会对另一部分儿童产生不当限制,从而导致两个不利结果,要么抑制某些早熟儿童获取新的信息和知识,要么会使某些晚熟的儿童接触到与其智力水平不相适应的信息[6]。在法律适用中,统一年龄的界分方式将会导致监护人与儿童之间的权利冲突。一方面,儿童随着自身成长,自主决策权的需求不断提升,对成年人的依赖不断降低,监护人对儿童干预的权利理应被缩限;另一方面,儿童的表达自由、个人隐私处分自由等“自决权”应当被逐渐强化,这种关系被一些学者称为赋权和保护冲突[7]。换言之,不科学的年龄界分将造成儿童“赋权”和“保护”之间的冲突,如果赋权性规定过多,会导致对儿童的保护不力;如果保护性规定过多,则可能限制儿童的自我决策权等赋权性利益[8]。所以立法者需要重新审视以统一年龄标准对儿童个人信息保护的合理性,构建更为合理的年龄界分标准以指引儿童及监护人的网络行为。
(二)监护人“监护同意”制度问题
我国《规定》明确:网络运营商意图收集、处理儿童个人信息必须告知其监护人,在监护人同意之后方可使用。美国COPPA法案存在同样的“监护同意”条款,但较之我国《规定》,美国COPPA具有更强的可操作性,其中列举式的监护人同意措施是我国《规定》所欠缺的。除此之外,监护同意制度本身在实际运行中暴露出诸多问题。
1.监护人的同意疲劳
法律规定要求监护人介入儿童处分个人信息决定的本意是为儿童制造信息屏障,希望监护人帮助儿童屏蔽有害信息并协助儿童管理个人数据。然而,美国COPPA法案实施后十年,产生了一种监护人的同意困境,即监护人的“同意疲劳”。监护人同意规则赋予监护人较强的查阅权,然而监护人受“监护同意”约束被迫面对数量庞大的互联网运营商以及种类繁多的门户网站,并且互联网运营商的隐私政策冗长且复杂,这对监护人的识别与控制能力造成较大挑战[9]。如果允许监护人使用“集中授权”模式,那么监护人同意制度就容易被滥用而失去保护作用,但单一监护同意制度将监护人推入信息的泥潭,使得监护人陷入疲于同意的困境。
2.监护人同意的真实性
众创空间的价值创造以服务创客团队为基本逻辑,能够为创客提供从创意设计、模具设计到产品制造、市场营销等各环节的全链条式服务。众创空间拥有丰富的服务接口以及立体化全要素的创业平台,能够提供便捷的创业运营一站式服务,促进创业者和创业资源之间的对接。在产品价值创造方面,众创空间聚集了创客、企业以及供应链上的各种创新资源,形成了完善的产品创新服务体系。产品价值创造包括新利益点的确定、消费行为的引导和用户体验的设计。
互联网中每个人的身份都具有匿名性,用户个人信息可以随意填写,儿童可能会虚报年龄以避免征得其监护人同意,或者冒充其监护人同意,甚至是在监护人教唆下谎称年龄。例如,对美国家长进行的一项调查显示,家长明知Facebook不接受13周岁以下儿童注册账号的规定,依然帮助孩子隐瞒年龄注册,成为孩子“共犯”[10]。我国《规定》以及美国COPPA法案都未就如何核实监护人同意的真实性做出规定,亦均不存在豁免同意的例外规定。为追求商业利益,网络运营商更倾向采取消极的态度对待“监护同意”制度,即使法律强调了网络运营商对监护人同意真实性的审核义务,网络运营者在接收用户主动提供的信息后,并不会采取其他手段来验证用户的真实年龄。例如,最早采用“监护同意”制度的网络游戏防沉迷系统,在实践中几乎是被动接受注册用户提供的身份信息,即便是儿童提供虚假身份信息,网络运营商也从不主动审核,这种现象直到近期“史上最严”防沉迷规定③出台才有所改变。监护人以及网络运营商的消极态度使得“监护同意”的真实性遭到质疑,“监护同意”的真实性是监护同意制度的基础,无法核实监护同意的真实性将使该制度形同虚设,如何确定监护人同意的真实性、避免儿童自己假借监护人同意或使用虚假身份同意是监护人同意机制的现实难题。
(三)自律管理指引缺失问题
保护儿童个人信息免受侵害是全社会的责任,对儿童个人信息的保护需要社会各界的支持和配合。比较国内外儿童个人信息保护规定,较为通行的治理模式是法律规范指导、行业自律监督、家庭教育引导相结合的多层次综合治理模式。我国《规定》第六条以及美国COPPA法案均鼓励行业制定“软法”参与儿童个人信息保护的社会治理中。但我国《规定》对行业自律管理只有原则指引却无具体规定,相较之下,美国COPPA“避风港计划”条款中包含了行业自律条款的标准。例如:(1)自律规定需要大于或等于COPPA法案对儿童个人信息保护的范围;(2)自律规定需要经过有效的、有强制性的独立评估;(3)有阶段性的管理计划报告、合规认证,定期交主管部门评估等[11]。从细节来看,我国《规定》需要进一步补充完善,简单、笼统的实施细则和粗糙保护措施凸显了法律指引在内容上的单薄。行业自律监督是社会治理中发挥保障作用的重要一极,法律规定需要为行业监督增添详细、明确的指引规范。
三、儿童个人信息保护完善之建议
(一)细分不同场景年龄区间
不同年龄儿童的身心发育及认识能力均有所不同,以统一标准简单区分年龄区间不利于合理保护不同年龄阶段的儿童个人信息。联合国《儿童权利公约》第12条规定,“缔约国应确保有主见能力的儿童有权对影响到其本人的一切事项自由发表自己的意见,对儿童的意见应按照其年龄和成熟程度给予适当的看待”④。故采取细化儿童个人信息保护的年龄区间、在不同场景中界分儿童个人信息敏感度的方式保护儿童个人信息是更理性的做法。
1.扩大保护年龄区间
如前所述,我国各类规范对儿童个人信息保护的年龄区间界定并不统一,且“儿童”与“未成年人”之间的保护规定多有交叉重叠,这不利于网络运营商制定隐私政策。应当将儿童个人信息保护的年龄区间扩大至18岁以下,涵盖未成年人、青少年、儿童等群体。即将儿童个人信息保护年龄标准分为三个档次:14岁以下低龄儿童、14~16岁中低龄儿童和16岁以上儿童,采取多层次年龄保护模式较统一年龄模式更为合理。
2.不同年龄区间儿童敏感信息保护程度不同
个人信息分为一般个人信息与敏感个人信息,根据《信息安全技术个人信息安全规范》规定,敏感个人信息指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或非歧视性待遇等的个人信息,包括但不限于个人身份证号、个人生物识别信息、银行账户、通信记录、住宿信息、地理位置信息、交易信息等等⑤。而一般个人信息是指泄露对个人影响比较轻微、具有可识别的个人信息。
法律对敏感信息着重保护,敏感信息针对不同年龄阶段的儿童可以区分为弱敏感信息以及强敏感信息。
(1)14岁以下低龄儿童认识能力薄弱,但在特殊场景可以放宽“监护同意”限制,允许儿童对弱敏感信自主决策。新冠肺炎疫情期间,诸多中小学生改为线上授课,存在不同类别课程在不同网站上教学的情形,学生需要在网上注册,必然将个人信息披露给学习网站,对于性别、昵称、手机号码等低敏感度信息可以成为“监护同意”的例外情形,在特殊场景交由14岁以下儿童有限处分。
(2)14~16岁的中低龄儿童已进入初高中学习,其认识能力、风险感知能力已有较大提升,但自我控制能力较弱,可以区分适用场景解除性别、年龄等低敏感信息的“监护同意”限制。如教育网站、社交网站、视频网站等可以交由14~16岁儿童自行决定,但对于14~16岁儿童参与互联网直播这类有可能暴露生物信息等高敏感信息的行为时,仍需严格保护。
(3)16岁以上的儿童基本具备社会生活能力,基本可以解除“监护同意”限制,但对于生物识别信息、通信记录、住宿信息等强隐私信息仍需保留限制。例如在抖音、快手等应用程序的隐私条款中规定,网络直播服务提供者需年满16周岁,若是未成年人需要由父母同意并验证其身份,此种限制值得借鉴。
(二)“监护同意”制度完善
我国《规定》只有“监护同意”的原则性规定而无具体的操作指引,使我国“监护同意”的制度效力大打折扣,但这亦是我国“监护同意”制度的后发优势,可以借鉴域外成熟的经验完善我国“监护同意”制度。
1.不同场景下“监护同意”的有限适用
美国COPPA法案适用后产生了监护人的“同意疲劳”,该状况在十年后的COPPA修正案落地后才有所改观。其原因是“监护同意”制度不对网络行为以及行为的适用场景做区分,将所有的行为与场景均纳入规制的范围中,导致了监护人疲于同意。
美国COPPA规定的“浮动比例尺(sliding scale)”⑥规则根据不同场景下网络运营商收集、处理儿童个人信息的目的,浮动调整“监护同意”制度是否需要适用[12]。例如,网络运营商收集、处理儿童信息仅做内部使用或作为研究数据参考等情形,即可认为儿童将数据交由该网络运营商的处分行为风险较低,可以取得“监护同意”豁免或以简易方式获得“监护同意”;反之在网络运营商收集、处理儿童信息的目的具有商业性质等高风险场景,对儿童数据的收集、处理必须以“监护同意”为前提,且必须采取严格方式获得“监护同意”。
2.场景风险的判断方式
数据保护影响评估以及隐私影响评估(DPIA)⑦是欧盟通用数据保护条例(GDPR)规定企业的数据合规义务,指网络运营商收集和处理数据时需要考虑数据的性质、范围、背景、目的,设想在处理此项个人数据时可能对该自然人的权利造成何种风险,并对风险可能的影响做出评估。其中DPIA条款第五项着重强调了对儿童数据处理的风险评估义务。完成DPIA规定后,网络运营商需要根据GDPR规定,将数据划分为低中高三种不同的风险程度,以此作为收集、处理数据的场景的风险标准。
3.完善“监护同意”的真实性判断
“监护同意”的真实性判断是儿童个人信息保护机制中最难解决的病灶,因为虚假的“监护同意”可能是儿童伪造身份的结果,例如未经同意使用监护人身份信息注册虚拟账户;可能是家长配合儿童共同规避网络运营商的隐私政策,如前述父母协助儿童注册Facebook;也可能是网络运营商消极对待注册信息,即便发现是虚假身份注册也不采取措施。
所以在实践中,不论是网络运营商亦或是监管单位对“监护同意”的真实性都无法完全辨明。无法确认真实性的“监护同意”对网络运营商而言极为不利,运营商可能需要为无意间违反《规定》而承担不利后果。故“监护同意”的真实性判断应采取“推定真实”模式,且需要区分不同场景。具体而言:使用DPIA规则判断儿童的网络行为处于何种风险之中,若处于低风险状况例如儿童注册QQ、微信、微博等社交程序,具有形式上可以查证的监护人信息即可对“监护同意”的效力“推定真实”;若处于高风险状况,如儿童进行网络购物、办理信用卡需要人脸生物信息等需要收录敏感信息的场景,采取严格“监护同意”并且增加“监护同意”的同意次数,在“监护同意”完成后进行二次回访,且要求网络运营商承担过错推定责任。
综上,我国《规定》可以借鉴DPIA规定,要求网络运营商向有关监管部门提供手机应用、网站等网络产品划分应用场景的数据影响评估风险等级,以此作为“监护同意”有限适用的指引规则,再配合细分儿童年龄和“监护同意”的真实性判断,成体系地完善“监护同意”制度。
(三)补充自律监管的指引规范
行业自律监管是社会治理中重要一极,行业制定的“软法”可以根据不同行业的实际情况制定符合现状的规范。“软法”较之于法律法规等“硬法”更具有可操作性,且“软法”规制效力能够填补“硬法”的留空,故在国际上“硬法”与“软法”协同防范社会风险的治理模式是行业主流。
经上述比较法研究,在我国儿童个人信息保护领域,亦应当采取以法律法规为主、行业自律规定为辅的保护模式。行业自律监管对法律规定的补充具有重要意义,例如“抖音”为落实儿童数据保护设置了青少年守护工具,在其《亲子守护协议》中细化了“监护同意”真实性的确认方式⑧,以及监护人发现虚假确认后选择限制使用账户的具体方式⑨,在儿童个人信息保护尚不完善的情形下发挥了良好的补充作用。然而,“软法”需要“硬法”的指引才不会背离法治精神,我国《规定》缺乏如COPPA“避风港计划”的规则指引和有关监督单位对“软法”核查规定,有可能增加网络运营商的合规风险。故增补自律监管的指引规范有助于企业协同监护人共同保护儿童个人信息安全。
注释:
①见Children’s Online PrivacyProtection Act(“COPPA”)Act§ 6502,访问地址 https://www.law.cornell.edu/uscode/text/15/6502,访问时间2021-09。
②见COPPA Safe Harbor Program,访问地址https://www.ftc.gov/safe-harbor-program,访问时间2021-09。
③见国家新闻出版署《关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》。
④见《儿童权利公约》(Convention on the Rights ofthe Child)第 12条。
⑤见《信息安全技术个人信息安全规范》(GB/T 25069—2010)注 1、2、3。
⑥ 见 Children’s Online Privacy Protection Rule(“COPPA”)Act§312,访问地址https://www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-rule.,访问时间2021-09。
⑦见Data Protection Impact Assessment(DPIA)Article 35 of the General Data Protection Regulation(GDPR),访问地址https://gdpr.eu/data-protection-impact-assessmenttemplate/,访问时间2021-09。
⑧参见抖音程序《亲子守护服务协议》2.5。
⑨参见抖音程序《亲子守护服务协议》3.1。