数字时代未成年人的信息权益保护*
——基于父母知情同意的保护维度
2022-10-22孟晓丽
孟晓丽
(阜阳师范大学 法学院,安徽 阜阳 236000)
信息经济时代的到来,使得信息流量已成为信息经济的核心部分,儿童信息占数据流量较大比重。根据第十次中国未成年人互联网运用调查结果显示,未成年人互联网普及率达到99.2%,基本趋于饱和;在上网场所和设备方面,超过85%的未成年人选择在家上网,超过80%的未成年人主要用手机上网;同时,电脑、平板电脑、智能手表等设备的使用比例也较高,上网设备多元化和智能化程度不断提高[1]。在儿童①上网途径如此便捷之下,可以说,互联网已全方位嵌入儿童的生活和学业。“在线世界”成为儿童活动的主要场域,使得儿童生活越来越数据化,但随之也带来网络风险泛化、侵犯儿童人身财产安全等负面问题。例如2020年,我国工业和信息化部(以下简称“工信部”)通报了多款擅自收集和超范围收集儿童个人信息、过度索取权限等侵害用户权益的App,如智慧树、ClassIN、乐学高考等20款教育类App被点名通报[2]。大量个人信息处理者的违法违规行为,经常见诸官方媒体报道之中。“在线世界”是儿童信息保护的主阵地,互联网产品应符合社会主义核心价值观,为未成年人信息提供全周期保护,助力未成年人的健康成长。
《中国儿童发展纲要(2021—2030年)》(国发〔2021〕16号)在第二部分“儿童与安全”策略措施中指出,要加强未成年人网络保护、信息保护[3]。当前的网络治理规范存在以成人为中心和不区分年龄层次的“一刀切”问题,网络服务提供者也往往忽略未成年人的特殊保护需求。而未成年人认知、风险意识、自我保护等能力欠缺,父母或其他监护人对未成年人信息进行保护是保护未成年人合法权益的重要内容。如何将线下的儿童利益最大化原则适用于线上的儿童信息权益保护,既能有效保护儿童个人信息权益,又能实现信息安全流通,助力数字经济的繁荣发展,是理论界和实务界共同关注的问题。
一、父母对未成年子女信息权益法律保护
(一)父母对未成年子女信息权益法律保护的主要内容
从1991年开始,我国先后制定并实施了一系列涉及未成年人信息保护的法律法规、司法解释及行业规范,逐步形成了未成年人个人信息保护法律体系(见表1),尤其以父母对未成年子女信息权益的保护为主要途径。
表1 我国关于未成年人信息保护相关法律规定
(二)父母对未成年子女信息权益法律保护的主要模式
《中华人民共和国未成年人保护法》将不满14周岁未成年人的个人信息纳入敏感个人信息的范畴,采取了敏感个人信息的制度模式。一方面,将未成年人的个人信息一概视为敏感个人信息的制度模式强化了对未成年人信息的保护[4],体现了我国高度重视未成年人的信息保护工作。另一方面,根据该模式,处理未满14周岁的未成年人个人信息需要取得父母同意,这种“一刀切”地采取14周岁的年龄标准,容易使父母陷入同意疲劳。虽然父母有义务保护未成年人的信息权益,但是亦有义务确保他们参与关键决策,对自我和他人负责,法律如果对未成年人信息权益设置了过高的保护年龄,显然不利于适龄儿童自主决定权、参与权的真正实现,也不利于父母义务的顺利履行。
(三)我国未成年人个人信息保护法律的规范价值
回顾我国未成年人信息保护法律的历史可发现,在未成年人隐私权的基础上,不断扩容其他价值。20世纪90年代以来,我国未成年人信息保护法律规范价值可以划分为以下三个阶段:首先是1991年至2012年的隐私权价值阶段。该阶段,未成年人信息被视为个人隐私,通过《未成年人保护法》对隐私权进行独立保护来保护未成年人的个人信息。但该阶段主要问题是没有意识到个人信息的独立价值。通过隐私权保护未成年人个人信息,在该特定的历史阶段发挥着保护未成年人个人信息的双重作用,然而很多未成年人个人信息并不能归为隐私,导致存在保护范围狭窄、不周延等问题。其次是2013年至2020年的个人信息独立保护阶段。该阶段以个人信息和隐私权并行保护为主要模式,开始对儿童信息进行独立保护。由此,我国基本形成了儿童权利保护框架,儿童信息价值也进入了颇受重视的独立保护阶段,确立了对儿童信息法律保护的基本宗旨,保护规范规则逐渐完善,但出现了保护工作不细致、保护规则可操作性不强等问题。最后,自2021年开始,走向保护未成年人信息权益的专业化阶段。随着2021年《个人信息保护法》颁布实施、《中国儿童发展纲要(2021—2030年)》明确了加快推进制订《未成年人网络保护条例》充分认可儿童个人信息的独立价值,迈上了儿童信息保护的新阶段。总体而言,儿童个人信息保护规范价值不断变迁,经历了通过隐私权进行兼容保护、对儿童个人信息进行独立保护以及迈向专门化、特殊化立法保护这三个阶段。
二、父母对未成年子女信息权益法律保护存在的问题
现阶段我国未成年人信息权益保护规范表现出如下几个方面的问题,无法应对未成年人信息保护的现实需求。
(一)保护对象法律属性不明
与个人信息的保护属性争议类似,儿童信息保护的内容是儿童信息权利还是儿童信息法益也未达成一致。有学者认为,对儿童个人信息的法律保护本质上是对儿童个人信息权的保护[5]。清晰界定父母对未成年子女信息保护的法律属性,先要从个人信息的属性界定开始分析。一方面,在互联网和大数据背景下,数据收集和处理技术的快速创新正在重新定义个人信息的性质和范围。个人信息权益作为民事权益中的人格权益,是自然人就其个人信息而享有的受到法律保护的利益[6]20。国内学者关于个人信息的权益属性主要有“权利说”和“法益说”两种,前者侧重于为个人信息主体提供全面的法律保护,后者则力图权衡个人信息保护及利用之间的紧张关系[7]。个人信息所蕴含的保护法益内容逐渐呈现出复合性、多元化特征,从个体的人格权扩展至公共利益、社会秩序和国家安全,法律将面临如何在权利保护和价值利用、信息自由与信息安全方面进行利益平衡和价值选择的问题。上述相关法益从对立关系变成融合关系,是一种可期待的价值选择。即从法律上明确规定对个人信息的基本人格权益加以保护的同时,积极鼓励对个人信息的经济价值进行有效利用,并实现两者之间的平衡[8]。不过,即使将个人信息视为一项具体权利的学者中,又有新型权利说、个人信息权、个人隐私权、独立人格权等观点[9]。《民法典》第四编第六章将隐私权与个人信息保护并列规定,对个人信息并未赋权,这意味着,个人信息保护的法律定位仍然没有被明确[10]。
另一方面,虽然《民法典》对个人信息并未赋权,但明确了个人信息受法律保护。首先,体现在《民法典》《个人信息保护法》等基本法律中。在《民法典》总则编第五章、第六章第111条、第1034条以及《个人信息保护法》第2条均规定,自然人的个人信息受法律保护。其次,从以上条文的表述来看,只规定了“个人信息受法律保护”,并非规定为“个人信息权受法律保护”。虽然只是一字之差,但是并不能想当然地理解为法律已对个人信息赋予了权利性质,再结合《个人信息保护法》第1条“保护个人信息权益”的规定,将个人信息保护的法律定位理解为保护个人信息权益更为合适。
儿童信息权益是传统人格权在数字时代的升级迭代,是随着社会发展、信息技术的进步而衍生的一项具体法益,目前还未发展成为一项独立的人格权利,现阶段仍是儿童个人信息的权益保护。
(二)保护对象范围不清
现代技术将使儿童个人信息保护相关法律变得滞后,若儿童个人信息的定义过于狭窄,它将无法周延保护儿童信息权益。同时,若儿童个人信息的定义过于宽泛,那么它可能包含太多信息,使儿童个人信息保护相关法律无法起到监管作用。因此,儿童个人信息保护法律必须有一致的边界,才能准确保护儿童信息权益,同时还需要具备开放性、包容性的弹性空间,方能充分保护儿童信息权益。2017年施行的《网络安全法》第76条、2021年实施的《民法典》第1034条和《个人信息保护法》第4条分别界定了个人信息的基本概念②。它们没有用相同的方式定义个人信息,而是从两个视角给出了定义,前两部是“识别+不完全列举方式”,后者是“识别+排除方式”,前两部属于示例特定类型,是闭合的规则,可以准确地判断哪些是个人信息;后者属于开放的类型,无法直接定义个人信息。这两种视角的重点都是个人信息可以识别自然人主体,通过这些信息可以匹配具体个人,但是对于识别概念未做定义。除了上述相关法律规定,理论界也集中探讨了个人信息中的可识别性。鉴于数据处理技术的进步和可用于分析的数据量,大数据分析使可识别和不可识别信息之间的区别变得毫无意义,越来越多的技术专家可以将表面上不可识别的信息转化为可识别的数据,甚至有学者提出,当数据驱动的超链接在线世界到来时,应该放弃个人和非个人数据之间的区别[11]。现行立法未明确儿童个人信息的内涵和外延,采取“识别性”的判断路径存在局限。因为技术本身是不断发展的,这意味着可识别和不可识别之间的界限不是固定的。在数据高度互联互通背景下,这种模式只保护识别、可识别的数据,从而导致暂时未被识别的儿童个人信息得不到法律保护。因而,跳脱传统架构中“可识别”“不可识别”二元式划分,采取儿童信息风险等级的界定将是一种保护趋势。
(三)父母所具有的保护权限过窄
《民法典》第1037条规定了信息主体对个人信息享有查阅、复制、异议、更正与删除等权利,《个人信息保护法》在第四章“个人在个人信息处理活动中的权利”又增设知情权、决定权以及可携带权等权利。未成年子女作为信息主体,从民事权利能力角度来看,当然享有上述信息主体的权利。但从民事行为能力角度分析,其民事行为能力不足,无法自主行使上述权利。虽然《民法典》规定,父母是未成年子女的法定监护人,但是信息权益是事关个体人格尊严的人格权之一,具有人身专属性,父母是否可以当然替代未成年子女本人进行替代决定或替代行使,《民法典》《个人信息保护法》《未成年人保护法》并未进行详细规定,只在《未成年人保护法》第72条第2款中提及父母有更正、删除权,对其他权利并未设置。就法律规范严谨性、权威性而言,不能想当然认为父母对未成年子女个人信息享有除了更正、删除权以外的其他权利。如此一来,父母在司法实践中处理未成年子女信息所需要各项权限时,可能面临合法性、正当性的困境。未来立法需要增加父母对未成年子女信息保护的各项具体权利,并就保护目的、内涵、场景等内容进行解释。
(四)对父母的信息素养预期设置过高
未成年人信息权益原是儿童本人对其自身信息的支配、自主决定,由于儿童民事行为能力的限制,对信息处理、收集事宜儿童无法全然自主同意和支配,相关信息权益需要父母协助乃至替代行使,当然儿童也可以实施与其年龄、智力相适应的行为来配合父母行使权益。父母的信息素养决定了对未成年子女信息权益保护的实效,父母知情同意是行使信息保护的主要进路,即是否同意提供儿童信息、如何使用儿童信息是实现保护儿童信息权益的具体措施,也是他人利用儿童信息合法与否的重要标准。《民法典》第1035条规定,处理个人信息,要征得监护人同意,《个人信息保护法》在第二章与第三章对告知同意规则予以了详细规定:告知同意规则是个人信息处理中最基本的规则,依据这一规则,除非法律、行政法规另有规定,否则个人信息处理者在处理个人信息前必须向个人信息被处理的个人告知相应的事项并取得个人的同意,否则该处理活动就是非法的[12]22。上述法律规范的默认前提是每一位父母都是理性的监护人,均具有较高的信息媒介素养,而现实情况却是为人父母者的信息素养参差不齐。隐私声明是机构履行告知义务与提升透明度的重要方式,现已逐渐沦为机构合规义务的“形式”要件,用户通常既不阅读亦不理解其内涵。然而,为了顺利使用相关产品和服务,大多数缺乏专业信息素养的父母不认真阅读隐私政策就直接勾选同意隐私声明,所以如何弥补用户技术欠缺的客观局限和未加以理性判断的主观疏漏,从而真正进行有意义的知情同意,是达到立法目的所亟待解决的问题。
在信息不对称差序格局中,儿童及其父母实际上在高频率、规模化的个人信息处理活动中处于弱势地位。例如访问轨迹数据被网络运营者存储并经数据分析之后所形成的多元数据关联,无法通过“事前告知”的方式让父母知情。基于大数据分析的算法推荐、用户画像和精准营销已经远远超越了父母知情同意的权限。父母知情同意在某种程度上意味着让渡儿童隐私[13]78。信息处理者所存储的这些数据最终流向何处以及是否将其用于其他违法目的等,已经超过了父母对儿童信息的知情控制范围。因此,降低对父母信息素养过高的理想化预期,基于社会公众的一般认知,建立父母和信息处理者双方一致认可的儿童信息处理目的、范围、方式、儿童信息风险等级和同意规则等,可以减轻企业合规成本,从而在儿童的信息保护和社会信息流通之间取得良性互动。
儿童个人信息对其健康成长以及成年后都可能产生持续性影响,一旦儿童个人信息被非法披露,网络世界无时空限制,侵权成本低,容易演变成集体侵权事件,伤害后果也往往不可逆转。在信息技术的不断发展中,父母或其他监护人如何有效保护儿童个人信息权益,是我国和国际社会面临的共同问题。
三、国外对儿童信息保护的经验分析
国外对儿童信息的法律保护由来已久。就相关国际宣言而言,早在1948年,联合国就通过了《世界人权宣言》,宣布包括儿童在内任何人的隐私、通信不得受到任意干涉。《日内瓦宣言》中承诺信息技术的发展应当尊重和保护儿童权利,《突尼斯承诺》亦明确信息科技的高速发展应以儿童最大利益原则为首要基准,儿童在网络社会同样享有《儿童权利公约》规定的权利[14]。包括我国在内的各国法律普遍认为儿童个人信息应该得到保护,可以说这一点已在国际社会达成共识,其中尤数美国和欧盟涉儿童信息相关立法最具代表性。通过立法比较可知,欧盟及美国对儿童在网络环境下个人信息保护十分重视,如欧盟《通用数据保护条例》对16周岁以下儿童个人数据加以特殊保护,美国《儿童在线隐私保护法》对13周岁以下的儿童网络个人信息加以保护[15]82。
(一)欧美儿童信息保护模式考察
针对儿童信息的特别保护,欧盟在《一般数据保护条例》(General Data Protection Regulation,以下简称为“GDPR”)中进一步强化了父母知情同意模式,美国则在这种传统保护模式之外,试图另辟“场景+风险导向”的新模式。
1.欧盟父母知情同意保护模式
GDPR制度的基础权利可以溯源到《欧盟基本权利宪章》第8条“个人数据受保护权”[16]。欧盟法的脉络中,立法已经为数据主体提供了对于他们自身数据使用的一种控制权。当然,这种控制并非是一种请求权意义上的控制,而更多的是一种“信息自决”理念的体现[17]。虽然GDPR并不是专门针对儿童信息保护的专门立法,但也基于儿童可能不太了解相关风险、后果以及他们在处理个人数据方面的权利这些特别原因,在引言第38条、第8条明确儿童的个人数据应得到具体保护,并为儿童引入了额外的权利和保障措施,要求需要父母同意才能处理16周岁以下儿童的个人数据,不过适用年龄因国家而异,欧盟成员国可以将需要父母同意的年龄设置在13周岁至16周岁之间,但不能低于13周岁[18]。
具体而言,GDPR第8条适用条件指出,如果直接向儿童提供信息社会服务,则在儿童年满16周岁时处理儿童的个人数据应是合法的;若儿童未满16周岁,则只有在父母或者对儿童负有责任的人给予或授权同意的情况下,这种处理才是合法的[19]。同时,欧盟会员国可依法规定较低的年龄,但不得低于13周岁。简言之,当直接向儿童提供信息社会服务时,在处理儿童的个人数据之前,必须事先征得父母可验证的同意或授权,学界一般称之为“父母知情同意原则”。这一原则是收集、处理儿童个人信息的特别要求,是父母实现保护儿童信息权益的主要依据,这也是最具争议和最重要的保护条款。
2.美国“场景+风险导向”保护模式
美国立法模式以专门统一的儿童信息保护法为特征,限制网站或在线服务企业收集儿童信息最著名的立法是1998年《儿童在线隐私保护法》(Children’s Online Privacy Protection Act,以下简称为“COPPA”)。这是一项联邦法规,对13周岁以下的儿童信息提供超强保护,从实用主义出发对收集儿童信息提供限制,覆盖任何网站操作和在线服务,授权美国联邦贸易委员会(Federal Trade Commission ,以下简称“FTC”)执行其任务、监督此类行为。具体而言,COPPA要求网站或在线服务收集、使用和披露儿童信息之前,必须发布隐私政策并通知父母或监护人,获得他们的同意(称为“屏障保护”)。它还禁止收集超出合理必要范围的个人信息[20]。然而,就连FTC也承认,孩子们可以通过谎报年龄或伪造父母的电子邮件账户来绕过这一相当简单的障碍[21]。除此之外,COPPA有下列不足:首先,它只适用于13周岁以下的儿童;其次,COPPA只扩展到网站或在线服务,不规范新的数字平台;再次,可识别信息的概念含义不明。COPPA虽然列出部分可识别信息(如名字和姓氏、社会保险号码、电子邮件地址),它还授权FTC向该列表添加其他因素,但是并未根本性解决基础概念问题[22]。
鉴于自2000年该规则生效以来在线技术的变化,FTC根据COPPA的要求修订了《儿童在线隐私保护规则》(以下简称为“COPPA规则”),以明确该规则的范围并通过场景和风险导向模式加强对儿童信息的保护,这一场景理论(又称“情境脉络完整性”理论),最初由美国学者尼森鲍姆提出,指个人信息原始收集时的具体语境应得到尊重,其后续传播及利用不得超出原初的情境脉络[23]。2013年7月1日,COPPA规则修正案生效,强化了场景使用限制和风险控制要求,包括对运营商、个人信息和面向儿童的网站或在线服务的定义的修改,还更新了通知、家长同意、保密和安全以及安全港条款中规定的要求等具体规则[24]。这些修改有助于确保COPPA继续实现其最初规定的目标,以最大限度地减少收集儿童个人信息的风险,为他们创造更安全的在线体验。
(二)欧美儿童信息保护的差异
从欧盟、美国两部立法的名称都可知悉其保护儿童信息的态度,但在保护立场、保护模式方面存在差异。
1.保护立场不同
美国将个人信息视为个人问题,注重个人价值与行业自律;欧洲将个人信息视为社会问题,注重社会价值与社会立法[25]。因此,对儿童信息保护,美国采取主动赋权立场,而欧盟是家长式的严格保护主义立场。以儿童用户画像为例,GDPR在序言第38条和第71条规定,禁止针对儿童的数字画像。序言第38条指出,儿童值得特殊保护以避免数字画像处理活动;序言第71条则特别强调基于数字画像的自动决策不应包括儿童③。为禁止针对儿童的数字画像,实现儿童信息保护的社会价值,欧盟采取了严格禁止立场。
2.保护模式不同
美国司法实务部门根据场景理论,具体研究在不同的场域中家长对儿童信息的风险期待,这不是简单的禁止风险发生的理念,而是依据具体场景将风险控制在家长的预期之内,并匹配不同风险中父母同意机制的新方法。根据COPPA,基于风险的父母同意要求如下:非互动或不共享儿童个人数据的商业服务无须征得父母同意;如果服务将儿童数据用于内部目的,则必须采用较轻的同意机制,例如向家长发送电子邮件,并在收到家长的回复后采取额外的确认步骤(“电子邮件加确认”方法);风险最高的是那些向第三方披露个人数据、使用行为广告以及使儿童能够公开发布信息的服务。这些服务必须遵守最严格的同意机制,例如父母通过邮件、传真或扫描形式填写并返回同意书,提供信用卡号码,通过免费电话或视频会议联系服务提供商,以及核实官方身份证件[25]。
欧盟则进一步强化父母知情同意的传统模式,GDPR第8条制定的严格同意要求将儿童置于其父母的严格保护之下,对作为权利持有人的儿童产生了限制,忽视了儿童的参与权[26]。因此,第8条没有赋予儿童表达意见的权利,也没有承认儿童意见与其最佳利益之间的相互关系。通过同意机制进行广泛的家长监督也引起了一个问题,即在没有家长参与的情况下,儿童是否以及在多大程度上能够享有被赋予的权利。总之,高度保护性的同意条款似乎破坏了对儿童的授权和保护之间的平衡。
(三)对欧盟、美国儿童信息保护模式的评析与借鉴
欧盟、美国对儿童信息的保护是不断更迭发展的过程,该发展过程实际上是法律规范不断调整以适应突飞猛进的信息处理技术更新的过程,虽然都采用了父母知情同意模式,但是却走向了不同的发展道路。欧盟强调父母主导地位,将GDPR中需要征求父母同意设定得十分广泛,不仅包括社交媒体、娱乐网站、即时消息和电子邮件服务,还包括在线游戏,其中一些服务与在线披露个人数据或行为跟踪无关。过多、持续的同意请求会导致父母的“同意疲劳”,会使整个父母同意条款变得虚无,导致难以从父母那里获得有意义的同意。由此带来另一负面影响,即没有尊重儿童,未让他们参与与其信息数据使用有关的决策。该同意规则将父母定位为对儿童恒久有利的仲裁者,决策权集中在父母手中而不允许孩子影响他们的决定。然而,父母不一定总是能够作出最有利于儿童的决策。此外,父母和孩子之间可能存在关于社交媒体的效用和风险认知的分歧等问题。这些担忧并未反映在条例规定中,父母同意机制可能成为限制儿童在线自由的父母控制系统[27]。但是欧盟在GDPR中增设数据外泄通知、隐私影响评估、第三方认证等新机制,突出了场景导向、风险评估等新理念[28],列举了信息的可识别程度、自然人易受伤害程度、信息处理规模等多项评判风险的标准,这与美国的基于风险的父母同意机制要求逐渐趋于一致。在场景和风险理论影响下,目前欧盟大多数成员国均要求数据控制者依据特定情境采取个性化的儿童能力测试,而不是统一的年龄标准。大多数成员国通常要求数据控制者根据数据处理目的和使用类型采用滑动比例法的风险验证方式[29]。
四、我国对儿童信息权益保护的法律应对
目前我国未成年人个人信息保护综合性立法缺位,未成年人相关立法没有按照统一的原则和标准保护未成年人信息,造成了法律适用的空白和矛盾,对未成年人个人信息保护构成了制度性障碍,该问题亟待解决[16]83。从父母对未成年子女信息的私法保护视角出发,未来儿童信息保护相关立法,应以统一的原则和标准践履保护儿童权益。
(一)平衡儿童信息权益与企业利益、社会公共利益
儿童信息特别保护和合理利用是我国数字经济发展的重要议题。社会作为有机联系的整体,在保护儿童信息权益时,既要考虑儿童利益最大化原则,同时也应始终将儿童个人信息权益保护置于与企业利益、社会公共利益的平衡之中,这样儿童信息权益才能真正得到保护。
1.寻求儿童最大利益与社会公共利益之间的平衡
我国目前没有专门保护儿童信息的法律,仅在未成年人权益保护的综合性法律中简单提及信息保护,虽然有专题性的地方性法规和行业自律规范,但是层级不高、效力有限,无法作为儿童信息保护的法律依据。司法实践中,随着我国数字经济的发展,儿童信息权益遭受侵害案件越来越多。在儿童信息权益保护中,如何在公共利益和儿童最大利益原则之间进行平衡,需要国家在立法层面予以考量。
民法理论中,社会公共利益为了维护法律制度或社会中整体利益,其作用不是排除个体利益,而是阻止对社会整体安全与秩序产生不利的影响。社会公共利益的内涵并非一成不变,而是随着时空转变而变化。结合国情现实和《民法典》第999条规定,现阶段影响社会公共利益的因素是可识别的,具体有:履行法定职责或者法定义务所必需;应对公共卫生安全(如疫情防控);紧急情况下保护群体生命健康和财产安全;维护国家利益、社会稳定的新闻报道、舆论监督。在解决儿童信息权益纠纷问题时,通过对公共利益的辨别,防止对公共利益例外的滥用。对于儿童信息权益纠纷裁判,以儿童为中心的方法将儿童利益最大化原则作为基本出发点,秉持最小化处理原则,坚持全面化覆盖原则[30]。只有出于公共利益需要,才能适当限制儿童利益。
2.寻求儿童最大利益与企业发展利益之间的平衡
父母知情同意构成企业(信息处理者)合法使用儿童信息的基础。对企业而言,判断儿童信息的风险维度并非最终目的,是否遵守父母同意规则以及同意程度方为衡量企业责任的关键指标。例如,当经过父母严格同意后,即便处理儿童信息会导致高度风险,企业也只需负担少许义务。这有助于减轻信息处理者合规成本,促进儿童信息的合理利用。进言之,在差异化同意规则中,法律规范不再拘泥于动态变化的儿童信息内涵和外延,将关注重点转向儿童不同风险信息的对应同意规则,判断其在不同同意规则下的潜在风险。同时,需要注意的是,低风险信息的默认同意规则不等于免除了企业的保护义务,其收集、使用儿童信息的过程中仍然担负一定的合理注意义务。因为该类信息与特定儿童关联,故而不能完全放任使用、收集或披露。
(二)完善保护儿童信息权益的法律规范
面对频发的非法收集、滥用儿童信息的现象,相关层级较低的规章条例难以发挥威慑作用,因此,需要不断完善保护儿童信息权益的基本法。父母对儿童信息的保护贯穿于儿童成年前的漫长时期,存在于信息处理、救济的全过程,只有从立法路径上确认父母对儿童信息的综合保护权、尊重适龄儿童意见的实质同意,私力救济与公力救济合作发力,才能最大程度地避免儿童信息被窃取、泄露、违法处理等乱象,确保儿童信息权益得到保障。
首先,从风险控制角度,尽可能准确地界定父母保护对象的范围是首先要解决的问题。司法对未成年人进行网络保护,并不是为了抑制其正当的发展需求,而是为了更好地保障其数字权利,包括获取信息和自由表达的权利。部分司法实务工作者基于未成年人信息素养,依据《儿童个人信息网络保护规定》的相关规定,提出了8周岁(不含)以下、8~14周岁(不含)、14~18周岁的年龄分层区别保护建议[12]78。借鉴美国和欧盟关于儿童信息保护年龄划分的立法经验,在我国《民法典》第18条至第20条民事行为能力的界分的指导下,建议以8周岁、16周岁作为划分标准。在《个人信息保护法》已构建的源头数据规制和个人赋权制衡的框架下,可以根据儿童信息风险维度来匹配父母知情同意规则,为儿童提供定制性保护。认定个人生物识别信息、短信验证码、密码、身份证号码等信息属于高风险信息,16周岁以下儿童均遵循严格同意规则;交互式网页、客户端软件等生成的信息属于中风险共识信息,8周岁以下仍是严格同意规则,8~16周岁儿童采取协商同意规则;将姓名、年龄、性别等信息看作低风险信息,16周岁以下儿童均遵循默认同意规则,但其使用应受到适度限制。
其次,增设父母对儿童信息的综合保护权。这是一项概括的权能束,包括知情同意权、信息查询异议权、信息修改权、信息可携权、信息被遗忘权(删除权)、信息管理权、拒绝处理权、信息撤回权、信息收益权等。理论上父母知情同意是父母对未成年子女信息权益进行保护的前提和基础,父母基于对未成年子女信息权益保护而享有的查阅、复制、异议、更正与删除等一系列权利实际上是父母对未成年子女信息综合保护权的具体措施。为平衡儿童信息保护与社会信息流通的法益冲突,《未成年人保护法》第72条所规定的父母仅具有简单的更正、删除这两种消极保护权是远远不够的。虽然法律规范和行业规则总是落后于新技术的出现速度,但是有学者提出家长和孩子自行管理在线风险可以弥补这一点。即儿童在迈向成年的过程中,父母肩负着教育、引导儿童的重大责任。这种新自由主义逻辑假定个人对自己的数据保护负责。就儿童而言,只需将其加入解决儿童在线安全的父母责任清单中即可[31]。应该承认,大数据时代,儿童与信息处理者之间这种结构性力量失衡问题没有简单的解决办法,除了信息处理者自觉遵守信息保护要求外,赋予父母对未成年子女信息的综合保护权,主动保护儿童信息数据,则是一种可行性的解决方案。在大多数情况下,与保护儿童信息相关的成本都转移到了父母身上,因此,需要完善《未成年人保护法》相关条款,不限于更正、删除,要赋予父母对儿童的信息综合保护权,方能保护儿童信息所具有的人格利益和财产利益。
再次,降低对父母的信息素养预期,同时强化信息处理者的安全责任。一方面,立法需要降低对父母的信息素养期待。大众毕竟不是信息处理专家,大多数儿童及其父母可能不完全了解或理解数据持久性、第三方数据销售、数据分析和应用以及浏览器跟踪等问题,更不用说与各种网站数据收集相关的法律术语。即使是信息处理专家亦无法自如应对算法运用、大数据技术中的信息收集比对及挖掘分析,无法控制信息的后续传播及利用,因此要求普通公众充分阅读并理解晦涩而又冗长的隐私政策,并在相应场景中具体地评估数据处理行为的风险,再根据风险等级采取对应措施,显然过于严苛,无法实现。由此,对父母或其他监护人而言,降低对其信息素养预期,建立风险差异化的便捷父母知情同意操作机制,更具有可行性。另一方面,在信息处理具体场景中进行动态风险控制、管理是企业合规和数据开发的必由之路,立法应强化信息处理者的安全责任,使企业在隐私风险评估时,坚持个案分析的立场[32]。详言之,信息处理者要控制、管理风险,设置便捷的操作程序。针对儿童信息保护问题,许多学者和决策者似乎只是简单地建议如何让在线同意对提供者来说更加知情、更具强制性。然而,在信息不对称的关系中,不应对儿童及其父母苛以过高的法律义务,而应要求信息处理者提高履行责任的意识,根据信息风险等级而设定差异化同意规则。信息处理者不仅需要设置便捷的同意流程,以显著的方式向家长披露信息风险等级,提供便于操作的严格同意和协商同意手段,而且要强化自身安全责任。结合儿童个人信息高、中、低风险,可以通过在线程序中设置“红、黄、绿”风险提示按钮来直接对应告知父母高、中、低风险等级。对于高风险信息,信息收集者有弹窗提示义务,以特别明显的图像和色彩引起家长的注意,提示家长注意高风险,使家长对儿童信息的使用目的和范围充分知情。同时,需要进行父母指纹或动态人脸识别来验证父母是否明示同意。中风险信息,用户可以先勾选同意选项后,再点击最终确认按钮。低风险信息均遵循默认同意规则,无须用户额外的操作流程。在后续使用中,如果超出了初次收集的使用目的或适用范围,实际上相当于一次新的收集,须参照“高—中—低”风险再次匹配家长同意规则。对于不同等级的风险控制,强化信息处理者的安全责任,要求其建立强制性风险管理机制,并上报国家工信部门审核。
最后,建立私力救济与公力救济相结合的多维救济措施。《未成年人保护法》《个人信息保护法》对信息处理者侵害儿童信息权益的救济程序不明。从救济措施上要对“不知情、未同意、无选择权的同意或被迫同意”等违法行为进行惩治,通常私立救济较为及时,赋予儿童及其父母追究信息处理者的民事责任的权利。信息处理者若违法收集、使用儿童信息,儿童及其父母有权依法采取相应救济措施,要求其停止侵害、赔偿损失等。此外,信息个体权益被侵犯后往往难以索赔,相较于私力救济的单薄,结合我国司法实践,如全国首例未成年人网络保护民事公益诉讼案的相关经验[33],对于注册、收集、存储、使用儿童信息等环节中,未切实贯彻儿童利益最大化原则,存在危及社会众多不特定儿童个人信息权益和隐私权的行为,不利于儿童网络保护,已对儿童人身安全以及生活安宁造成隐患的④,可以引入检察机关民事公益诉讼。
注释:
①本文所说儿童采取联合国《儿童权利公约》定义,是指18周岁以下的未成年人,与未成年人同义。
②《网络安全法》第76条规定:“个人信息以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《民法典》第1034条规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、地址、电话号码、电子邮件、健康信息和行踪信息等。”《个人信息保护法》第4条第1款规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
③国家标准GB/T 35273-2020《信息安全技术—个人信息安全规范》3.8规定:“用户画像是指通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。”
④参见杭州互联网法院(2020)浙 0192 民初 10993 号民事调解书。该案涉及未成年人权益保护,并未在网上公开。