论互联网时代儿童个人信息法律保护的完善
2022-12-31郑晨峰
郑晨峰
(湖北大学 法学院,湖北 武汉 430062)
一、问题的提出
随着网络技术的快速发展和广泛运用,互联网不断向低龄化人群渗透,儿童网络用户群体数量不断增长。共青团中央维护青少年权益部、中国互联网络信息中心2021年7月发布的《全国未成年人互联网使用情况研究报告》显示,2020年我国未成年网民规模达到1.83亿人,未成年人的互联网普及率达到94.9%①《2020年全国未成年人互联网使用情况研究报告》,发布于中国互联网络信息中心(CNNIC)门户网站,http://www.cnnic.cn/hlwfzyj/hlwxzbg/qsnbg/202107/t20210720_71505.htm.,未成年人尤其是儿童已经成为互联网空间不可忽视的重要群体。然而,相较于成年人,儿童心智发育不成熟、自我保护意识缺乏,在参与网络活动时个人信息更易被网络运营者不当收集和利用,产生信息泄露和被滥用的风险,导致个人信息权益遭受非法侵害。
实践中,侵害儿童个人信息的违法犯罪事件屡见不鲜。最高人民检察院发布的第三十五批指导性案例中,某短视频APP在未告知并征得监护人同意的情况下,允许儿童注册账号,收集、存储儿童个人敏感信息,并利用后台算法进行视频推送,从而为不法分子提供了可乘之机,多名儿童因信息泄露遭受猥亵侵害②最高人民检察院第三十五批指导性案例之《浙江省杭州市余杭区人民检察院对北京某公司侵犯儿童个人信息权益提起民事公益诉讼北京市人民检察院督促保护儿童个人信息权益行政公益诉讼案(检例第141号)》,发布于中华人民共和国最高人民检察院门户网站“指导性案例”专栏,https://www.spp.gov.cn/jczdal/202203/t20220307_547759.shtml.。最高人民检察院发布的侵犯公民个人信息犯罪典型案例中,上海市疾控中心工作人员韩某利用工作便利,窃取新生婴儿信息出售谋利,随后这些信息经过多次转售,给无数家庭带来严重困扰③最高人民检察院侵犯公民个人信息犯罪典型案例之《韩某等侵犯公民个人信息案国家工作人员利用职务便利非法获取公民个人信息并出售,构成侵犯公民个人信息罪的,应当从重处罚》,发布于中华人民共和国最高人民检察院门户网站“典型案例”专栏,https://www.spp.gov.cn/zdgz/201705/t20170517_190812.shtml.。2017年,浙江杭州一公司利用权限便利、系统漏洞等,从疾控部门网站下载接种疫苗儿童及其家长个人信息后贩卖获利,非法获取信息370万余条。2021年,江苏徐州一科技网络公司为教育机构招揽生源获利,在网上低价购买学龄儿童信息200余万条。现实中此类恶性事件时有发生,虽然违法分子都被绳之以法,但儿童遭受的身心伤害却很难抹去。
儿童个人信息关系到儿童切身利益和健康成长,而互联网时代的儿童个人信息常处于风险之中,加强儿童个人信息的全面保护迫在眉睫。法律是儿童个人信息保护的重要基础,必须积极回应社会关切和现实需求,在实践中不断予以加强和完善。基于此,针对儿童个人信息的法律保护展开研究正当其时、实属必要,本文通过对我国儿童个人信息保护法律法规的梳理和分析,探究儿童个人信息法律保护存在的问题,进而提出完善性建议,以期为互联网时代的儿童个人信息保护提供些许启示和思路。
二、我国儿童个人信息法律保护的立法现状
全面梳理现行法律法规中关于儿童个人信息保护的规定是展开研究的前提和基础。由于儿童个人信息是个人信息的下位概念,故个人信息保护的一般性规定当然适用于儿童,源于儿童个人信息的高度敏感性、成长发展性等特征,又决定了立法对其个人信息予以保护的特殊性。在进行立法现状分析时,笔者将视角置于个人信息保护立法全局,重点聚焦涉及儿童个人信息保护的法律规范——不同位阶个人信息保护法律规范中关于儿童的部分和专门为儿童个人信息保护设立的法律规范。①张琨:《论儿童个人信息权的法律保护》,重庆:西南大学论文集,2020年,第13页。
纵观世界各国及地区,儿童个人信息保护的立法模式主要有统一立法模式和分散立法模式。我国采取的是分散立法模式,相关条文散见于《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)《中华人民共和国网络安全法》(以下简称《网络安全法》)《中华人民共和国未成年人保护法》(以下简称《未成年人保护法》)《中华人民共和国预防未成年人犯罪法》(以下简称《预防未成年人犯罪法》)《儿童个人信息网络保护规定》等规范之中。
具体来看,我国《宪法》第三十八条规定,中华人民共和国公民的人格尊严不受侵犯,儿童作为国家公民,其个人信息具备人格和财产的双重价值,决定了其当然受到宪法的保护。《中华人民共和国刑法》在第二百五十三条规定了侵犯公民个人信息罪,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对“情节严重”作出了列举式规定,进一步明确了入罪标准,但未针对儿童单独列举专门的情节规定,实践中易因入罪门槛较高而影响保护范围和效果。《中华人民共和国刑事诉讼法》以未成年人刑事犯罪不公开审理原则和犯罪记录封存制度突出对儿童个人信息的保护。《中华人民共和国民法典》明确规定自然人的个人信息受法律保护,处理个人信息应当遵循合法、正当、必要原则,该规定显得较为抽象笼统,且适用主体范围较广,实际可操作性较差。《网络安全法》仅在总则第十三条提及国家在支持产品服务研发、依法惩治危害活动、创设优良网络环境方面的要求,没有直接涉及儿童个人信息保护的规定。2021年新修订的《未成年人保护法》在第四条、第六十三条、第七十二条对未成年人个人信息保护、信息处理原则、监护人同意等进行了规定,但普遍仍停留在原则层面,缺乏细化的具体规则。《预防未成年人犯罪法》在第五十九条对依法被封存的未成年人犯罪记录保护进行了规定。
《儿童个人信息网络保护规定》是我国首部儿童个人信息网络保护专门立法,针对儿童规定了更为严格的信息保护义务,赋予儿童及其监护人更为全面有力的权能②《〈儿童个人信息网络保护规定〉亮点解读》,发布于中华人民共和国国家互联网办公室门户网站,http://www.cac.gov.cn/2019-09/05/c_1569218559599019.htm.,对收集、存储、利用、传输、披露等各环节作了较为全面的规定,虽然较之前更为具体化,但是仍然不够细化,面对现实中各种复杂情形时依然会陷入疲软状态。《个人信息保护法》明确将不满十四周岁的未成年人个人信息列为敏感个人信息范畴进行保护,对信息处理者提出了特定目的性和充分必要性的要求,要求在处理此类信息时应当取得其父母或其他监护人的同意,制定专门的个人信息处理规则。国家互联网信息办公室2022年3月14日发布的《未成年人网络保护条例(征求意见稿)》设立了未成年个人信息保护专章,对网络服务提供者、个人信息处理者、监护人职责等作出了更为细致的要求,进一步与《个人信息保护法》形成了呼应和合力。值得一提的是,国务院2021年9月8日颁布的《中国儿童发展纲要(2021-2030年)》提出要以“预防和干预儿童沉迷网络,有效治理不良信息、泄露隐私等问题③《中国儿童发展纲要(2021—2030年)》,发布于中华人民共和国中央人民政府门户网站,http://www.gov.cn/zhengce/content/2021-09/27/content_5639412.htm.”为目标,从落实多方保护责任、加强网络监管和治理、规范网络游戏身份认证、加强个人信息和隐私保护等方面采取策略措施,加强未成年人网络保护。国务院新闻办公室2021年9月9日发布的《国家人权行动计划(2021-2025年)》在“特定群体权益保障”之“儿童权益”章节中提到,“保护未成年人隐私权和个人信息,新闻媒体采访报道涉及未成年人事件应当客观、审慎和适度,不得侵犯未成年人的名誉、隐私和其他合法权益①《国家人权行动计划(2021-2025年)》,发布于中华人民共和国中央人民政府门户网站,http://www.gov.cn/xinwen/2021-09/09/content_5636384.htm.”。这两份官方文件均特别提到了关于儿童个人信息保护的内容,虽然不属于狭义上的法律法规,但作为政策性回应客观反映了该领域存在的现实问题,对立法目标及方向的确立具有重要指导价值。
通过以上列举及分析可见,虽然我国儿童个人信息保护的法律建构已经初具雏形,并经过不断发展完善取得了显著成就,但仍然未形成较为完整的法律规范体系,具体规定普遍停留在原则性层面,部分规定存在同义重述的情况,许多规范中针对儿童的特殊性规定过于简单甚至处于空白状态。无论是未成年人保护还是个人信息保护立法,针对儿童的特殊优先保护都明显不足,较多规定有待进一步细化和补充,无法较好地满足社会主义法治实践的现实需要。
三、我国儿童个人信息法律保护存在的问题
通过立法现状的分析可以发现,虽然近年来我国高度关注和重视儿童个人信息保护立法,不断对法律进行改进和完善,但仍然存在着较多问题。基于对社会现实和立法状况的思考,笔者认为我国儿童个人信息的法律保护主要存在以下几方面的问题。
(一)法律法规体系尚不健全,缺乏系统完备的法治保障
我国的互联网治理采取以立法为主,行业自律和技术手段为辅的模式②张化冰:《中国互联网治理的困局与逻辑重构》,《学术研究》2017年第12期。。立法在互联网时代个人信息保护治理中居于基础性地位,发挥着重要作用。互联网时代的数据风险给个人信息保护带来了挑战,尽管我国不断多措并举解决现实问题,但个人信息保护立法实践总体处于起步发展阶段,法律规范呈现数量不多、条文零散,原则性较强、可操作性差,系统性和协调性不足等主要特点,具体规范的整体化和精细化程度都有待进一步提升,对成人个人信息的全面保护尚不甚充分,儿童个人信息的特殊保护更无从谈起。这也是当前我国儿童个人信息法律保护面临的最关键问题。
1.法律规范表述原则笼统,规范之间缺乏有机联系
从规范的具体内容来看,较多规定以原则性或宣誓性话语一笔带过,表述较为笼统抽象,缺乏配套性规定加以具体化,增加了实践中执行的难度。在部分义务性规范条款中,仅规定了对儿童个人信息保护的义务,而没有规定违反义务所需承担的后果,仅能发挥评价指引作用,难以实现惩治处罚效果。在分散式立法的框架下,规范之间缺乏协调性,系统性也不如人意,整体逻辑感和体系感不强,如不同规范在保护对象上存在“未成年人”和“儿童”的表述差异,但“儿童”的外延窄于“未成年人”,出现了保护对象范围不一致的情况③根据《中华人民共和国未成年人保护法》第二条的规定,未成年人是指未满十八周岁的公民;根据《儿童个人信息网络保护规定》第二条的规定,儿童是指不满十四周岁的未成年人。。
2.法律规范相互衔接不畅,整体保护合力难以形成
从规范的相互关系来看,各部门法普遍更加侧重规制自身调整范围之内的行为,忽视与其他部门法相呼应配合,具体规范之间缺乏有机联系,有衔接不畅甚至冲突的情况,统一的法律责任体系尚未形成,难以凝聚形成保护合力,如刑法中关于侵犯公民个人信息罪的司法解释和《个人信息保护法》在对“敏感个人信息”的规定方式、信息分级及具体保护上存在规定不一致的情况。在综合性立法缺位的情况下,规定本身较为分散,具体适用更加复杂,如果彼此“各自为政”而不能“环环相扣”,必将进一步加剧适用难度,影响实施效果。
3.专门立法效力位阶较低,实践面临适域过窄困境
从规范的具体适用来看,现行法律法规中与互联网时代儿童个人信息保护关联最为紧密的是国家互联网信息办公室颁布的《儿童个人信息网络保护规定》,该规定进一步明确了儿童及其监护人享有的权能和网络运营者的专门性、特设性义务,在专门性制度规定、全方位周期保护、监护人责任明确等方面都更进了一步,具有里程碑意义。但由于该规定属于部门规章,与全国人大常委会审议通过的《未成人保护法》《网络安全法》《个人信息保护法》等相比处于较低的法律位阶,故在实践适用时将面临适用范围过窄的困境①王勇旗:《〈儿童个人信息网络保护规定〉的意义及不足》,《青年记者》2020年第4期。,而效力位阶较高的规范普遍原则性较强,依赖其他规范的阐释补充,在法律适用时将发生因被援引法律的精准性、专门性不足而导致儿童个人信息无法获得有效保护的情况。综上所述,我国现行法律法规体系存在规范表述原则笼统、规范相互衔接不畅、专门立法位阶较低等问题,宏观制度构建的体系化和微观规则设计的精细化都有待加强。只有针对这些问题进行优化改进,建构系统协调、逻辑严密的法律法规体系,才能为儿童个人信息保护提供坚实的制度支撑和有力的法治保障。
(二)行政执法监管力度不足,缺乏明确有效的合规指引
法律以明晰的条文规定儿童个人信息权益,厘定监管部门的职责范围,明确违法人员的法律责任。在互联网时代背景下,网络运营商对收集到的个人信息负有当然的保护义务和责任,但由于利益至上理念的驱使和行业自律机制的缺失,实践中网络产品和服务提供者往往难以抵挡高额经济利益的诱惑,为了逐利而突破道德底线和法律红线,滥用收集到的儿童个人信息,谋取不正当的非法利益。法律的生命力在于实施,执法监管在规范个人信息收集活动和处罚制裁违法行为中的作用不言而喻,执法监管的好坏直接影响儿童个人信息保护程度。然而,实践中个人信息保护领域的执法监管存在较多问题,严重制约了监管的实施效果,具体表现在监管主体、监管方式、监管措施方面。
1.缺乏专门的监管机构,影响监管的效率和质量
从监管主体来看,《个人信息保护法》规定了国家网信部门、国务院有关部门、县级以上地方人民政府有关部门三类主体的个人信息保护和监督管理职责,《儿童个人信息网络保护规定》也要求网络运营者应当对网信部门和其他有关部门依法开展的监督检查予以配合。由此可见,国家网信部门等多个部门承担着儿童个人信息保护的监管职责,目前尚未真正建立统揽全局、协调各方的专门监管机构,实践中易因缺乏统一领导、监管主体较多而产生监管职能交叉、监督效率低下、协调性机制不畅、专业化程度不足等问题。
2.缺乏完善的监管体系,未能提供明确规范指引
从监管方式来看,受互联网治理初期“先发展,后治理”思路的影响,始终未能形成完备的覆盖全过程的监管体系,过度依赖事后的行政处罚,事中督查的跟进落实也不够,忽视源头治理和事前审核,缺乏预防性保护和治理机制的引入,忽视对儿童个人信息收集行为本身合法性的关注。相对宽松的监管模式导致某些领域“普遍违法”成为常态,监管尺度和执法边界处于模糊不清的状态,不能提供明确有效的行为示范和合规指引,难以发挥对互联网企业行为的规范约束作用。
3.缺乏严厉的监管措施,无法发挥威慑惩治功能
从监管措施来看,实践中监管部门倾向使用“约谈”“曝光”等柔性措施②林琳:《儿童个人信息网络保护的司法路径——以公益诉讼为视角》,《法律适用》2022年第4期。,缺乏严厉的刚性处罚,执法刚性明显不足,执法力度明显不够。从比较法视野来看,美国和欧盟的个人信息保护立法都对侵害儿童个人信息的违法行为施以重罚以强化网络运营商的主体责任,若网络运营商因未良好履行义务而使儿童个人信息遭受泄露和侵害,将面临巨额的“天价罚单”。在我国,虽然《儿童个人信息网络保护规定》《网络安全法》《个人信息保护法》等都对违法情形、法律后果及处罚方式作出了系列规定,但就其规定来看,在惩罚手段、惩治范围、惩处力度上都还远远不够,并没有让行为人付出无可复加的惨重代价,相对不高的违法成本导致法律的威慑力和约束力较弱,违法分子极有可能为了利益铤而走险,这也是现实中侵害事件频发的原因之一。
总而言之,我国儿童个人信息保护执法监管在监管主体、监管方式和监管措施上存在缺乏专门的监管机构、缺乏完善的监管体系,缺乏严厉的监管措施等问题。只有切实解决好这些问题,才能充分发挥监管的警示教育和惩治震慑作用,进一步推动法律规范的实施,更好地实现对儿童个人信息的保护。
(三)监护人同意机制失效,背离其制度初衷目标
监护人同意机制是儿童个人信息法律保护的核心制度。儿童受制于自身自我保护意识和认识判断能力,面对互联网时代个人信息侵权的技术性和隐蔽性,势必需要其父母或其他监护人代替行使知情同意权①蔡一博、吴涛:《未成年人个人信息保护的困境与制度应对——以“替代决定”的监护人同意机制完善为视角》,《中国青年社会科学》2021年第40卷第2期。。《民法典》《个人信息保护法》《未成年人保护法》《儿童个人信息网络保护规定》均对监护人的告知说明和知情同意作出了明确规定。该制度旨在通过监护权的介入弥补儿童认识能力和行为能力的不足,以“征得同意”“替代决定”等手段促进其作出更符合自身利益的选择和决策。从立法规定来看,尽管多部法律对监护人同意作出了规定,但并未针对告知的具体手段、同意的验证方式制定具体实施细则,无疑给知情同意的认定和行为效力的判定带来了一定困难。从实践情况来看,该机制也存在并面临着诸多问题,在适用时经常陷入失效状态,不仅难以达到预期效果,甚至与初衷目标背道相驰。
1.监护人“同意疲劳”的现实困局
现有法律规定对十四周岁以下儿童的个人信息采取严格的监护人同意机制,“一刀切”的同意要求将保护责任过度置于监护人身上,导致在面对信息收集者所提供的各式各样冗长晦涩的保护规则和隐私政策时,监护人容易产生“同意疲劳”②安琳:《儿童个人信息网络保护的困境与制度应对——基于对“监护人同意”模式的反思》,《图书馆研究》2022年第52卷第1期。,通常不加以仔细审阅就直接进行勾选,缺乏对信息收集处理行为的准确理解和判断,难以起到帮助儿童识别和规避风险的保护作用,此时监护人的“理性人”设定不复存在,监护人同意机制的实施效果受到严重影响。
2.监护权和自主权冲突的现实可能
监护人同意机制将儿童与监护人的利益一致性和统一性作为默认的预设前提③张继红、尹菡:《数字时代未成年人个人信息的法律保护》,《青少年犯罪问题》2021年第2期。,但随着儿童年龄增长,自我意识不断强化,被监护人与监护人之间极易发生价值冲突,监护人的监督约束将一定程度限制儿童的自主权,甚至发生权利滥用而给儿童带来风险和伤害的现实可能,比如有父母在社交平台花式“晒娃”,分享子女生活日常,该行为本身是监护权的“无意识”滥用,不仅未能提供有效的保护,反而构成对儿童隐私的侵犯,若被不法分子非法收集和滥用,将给儿童人身安全带来很大威胁,这与制度的初衷目标明显相悖。
3.监护人告知和同意验证的现实难题
《儿童个人信息网络保护规定》对网络运营者提出了“以显著、清晰的方式”的告知要求,并明确了应予明确告知的事项。实践中,网络运营者通常采用事先拟定好、包含告知事项的格式条款进行告知,监护人只需在阅读后作出“同意”或“拒绝”选择。在此场景下,网络运营者在告知义务的履行上往往倾向追求形式合规,忽视实际效果,在同意判断的验证上通常采取推定同意模式,忽视身份验证的技术开发。如何判断和认定网络运营者进行了显著清晰的告知并获取了真实有效的同意,成为实践中不可忽视也无法回避的难题。由此可见,监护人同意机制面临着监护人“同意疲劳”、监护权与自主权相冲突、监护人告知和同意验证困难的现实困境,难以充分发挥其保护功效,长期以来饱受质疑和诟病,亟需根据其弊端对具体规则加以改进。
四、完善我国儿童个人信息法律保护的建议
针对前文所述的问题,必须基于全面保护的视角,聚焦具体保护的不足,以问题为导向,提出相应的建议。立足基本理念和现存问题,笔者建议从以下三个方面加以改进和完善。
(一)健全儿童个人信息保护法律法规体系
健全法律规范体系是一项长期工程,必须加快推进法律法规修订,完善专门保护制度,确保有章可循、有法可依。由于我国个人信息保护专门立法处于起步阶段,很多规定都还有待于实践中进一步探索和研究,对于儿童特殊保护的设计也缺乏足够的理论支撑,所以现阶段制定综合性法律的时机和条件还不成熟,分散式立法模式或将在较长一个时期内维持。因此,应当考虑在现有法律规范的基础框架下想办法、下功夫,根据现实情况在法统一秩序的视角下进行逐步完善。
1.整合优化现有法律规范,促进规范之间的衔接协调
整合法律法规中儿童个人信息保护的相关规定,根据儿童在成长发育期间(包括新生儿期、婴儿期、幼儿期、学龄前期、学龄期、青春期)不同阶段的特征及需求,对现有法律规定进行查漏补缺,重点加强针对儿童的优先特殊保护,根据社会经济发展形势针对教育培训、幼儿医疗、育儿托管等与儿童个人信息关联程度大、侵权风险高的重点行业领域作出专门性规定,鼓励地方结合当地实际积极创新立法并开展专项行动,增强保护儿童个人信息和打击违法犯罪行为的专门性和精准性。在法律规定补全和完善的进程中,探寻发掘不同法律规范具体规定在话语表述和理念表达上的内在联系和共通之处,逐步建立形成统一的立法理念和价值取向,增强法律规范之间的协调性和系统性,提升法律部门之间的关联度和衔接度,逐步构建统一完整的儿童个人信息侵权法律责任体系,优化上位法和下位法、前置法和后置法、特别法和一般法之间的衔接和适配。
2.制定配套性细则及解释,增强规范的具体可操作性
针对法律规定原则性强、抽象度高的问题,立法、司法机关及相关部门应当根据法律适用的需要,制定更为具体细致的实施细则,在权利行使、责任认定、惩罚措施等方面作出细化规定,提升规定的可操作性和可执行性。同时,根据司法实践的具体情况,出台精确全面的司法解释,适应社会现实的变迁发展,不断弥补法律法规的空白,赋予概括、原则的规定以具体内容,提升规范的适应性和可适用度。
3.增设立法专章保护规定,实现更高效力的法律保护
目前《未成年网络保护条例》已列入国务院2022年度立法工作计划,公布实施指日可待。这将在一定程度上缓解儿童个人信息保护专门立法效力位阶较低的问题,但从保护层次和力度来看,这个补充仍显不够。从法律条文外观来看,《个人信息保护法》规定了不满十四周岁未成年人的个人信息作为敏感个人信息的处理规则,这与《儿童个人信息网络保护规定》中儿童年龄的界定相一致,二者关于儿童个人信息处理规则的规定也高度相契合,这显然为儿童个人信息保护纳入个人信息保护专门立法提供了可能,作出了铺垫。建议可以考虑随着立法发展、待到时机成熟,在《个人信息保护法》中设立儿童个人信息保护的专章规定,将儿童个人信息保护的规定融入个人信息保护基本法的规则体系之中,提供和给予更高效力、更加精细的法律保护。
(二)加强儿童个人信息保护行政执法监管
在致力于构建健全完善的法律法规体系的同时,行政执法监管也必须跟进落实,才能进一步确保法律法规全面有效贯彻实施。
1.建立权威有效的专门监管机构
建立权威、有效的儿童个人信息保护专门监管机构,并在此基础上构筑统一、协作的监管和执法威慑体系①王锡锌:《个人信息国家保护义务及展开》,《中国法学》2021年第1期。。我国法律法规在对儿童个人信息保护的监管组织和职权配置上,涉及网信、工信、公安、教育、市场监管、新闻出版、广播电视等多个部门和单位,虽然《个人信息保护法》明确了国家网信部门的统筹协调地位,但源于职权的分散性和现实的复杂性,实践中容易出现互相推诿、监管回避、监管交叉的情况,当不同领域的监管机关之间发生冲突时,运作协调本已困难重重,协助共管更是难上加难,无疑会使监管效率和监管效果大打折扣。因此,必须基于执法监管统一化趋势要求,建立统一、权威、有效的专门监管机构,在监管实践中统筹全局、协调多方,推动齐抓共管,促进协作共治,建构形成稳定、高效的监管治理机制。
2.建设科学高效的执法监管体系
建设事前审核、事中检查、事后处罚的全程监管体系②史晓晓:《论个人信息权的国家保护义务》,武汉:中南财经政法大学论文集,2019年。,转变监管理念,创新监管方式,将规范严格公正文明贯穿执法全过程,并确立清晰的执法边界,提供明确的合规指引。遵循预防性保护的理念,建立风险识别和风险警示机制①张旭、朱笑延:《“全民触网”时代儿童个人信息安全的保护路径》,《青少年犯罪问题》2020年第1期。,依托现有技术手段对风险来源进行识别和分类,及时对儿童及其监护人进行风险提醒,通过风险预警将侵权事件扼杀在摇篮里,从源头上提供给予强有力的保护。此外,建议监管部门引导互联网行业的企业或组织自主制定行业规范和行为指南,经提交相关部门审核、被认定为切实可行后生效,对互联网行业参与者产生普遍约束力,从行业自律层面对网络运营者进行规制,促使网络运营商参与到儿童个人信息保护,建构形成以法律监管为主、行业自律为辅的监管机制。
3.建构统一完备的法律责任体系
建构民事、行政和刑事责任一体化的法律责任体系,以最大化维护儿童个人信息权益为出发点,坚决打击侵权行为,依法惩治违法犯罪,增强行政执法刚性,提升行政执法水平。在选择惩处方式和幅度时充分考虑具体场景和情节,综合评估社会危害性,在遵循比例原则的要求下进一步优化民事责任、行政责任及刑事责任的配置。建议适度提升《网络安全法》《个人信息保护法》中对违反相关规定人员的惩处力度,突出对儿童个人信息违法的重点打击;适度降低儿童个人信息犯罪的入罪门槛,彰显刑法对儿童个人信息保护的特殊关怀。以《儿童个人信息网络保护规定》的规定为基础,对网络运营者的法律责任予以进一步明确和细化,增强其严肃性和威慑性,加大惩处力度、增加违法成本,从而提升预防效果、强化法律规制。
(三)完善监护人同意制度具体规则设计
实现对监护人同意机制的完善,必须从制度本身的立意出发,探寻其在具体适用和现实运转中因不适应而产生的脱节和紊乱,对受阻之因进行客观分析,对失效之困寻求破解之道。
1.融入“场景风险差异化同意”,缓解监护人“同意疲劳”
以海伦·尼森鲍姆提出的“场景完整性理论”为基础,根据不同场景的风险差异对儿童个人信息进行分类,根据类型设置差异化监护人同意方式。该规则设计的基本思路是,基于场景化的信息风险等级划分,依据风险类型配置相应的同意模式,低风险场景的信息不需要取得监护人同意,中风险场景的信息采用较为简捷的验证方式,高风险场景的信息实行严格的监护人同意。此外,建议在现有法律规范中明确监护人同意的例外情形,即明确《未成年人保护法》第七十二条“法律、行政法规另有规定的除外”的具体范围,如基于国家、社会公共利益等事由在合理范围内依法使用儿童个人信息的豁免情形。相较传统“一刀切”的同意模式,该规则不仅能减轻网络运营者的负担,还能有效缓解监护人的“同意疲劳”,促使监护人同意机制的功效获得修复而重新回归。
2.坚持“儿童利益最大化原则”,约束监护人“过度监护”
针对监护权和自主权的冲突,建议在实施细则中增加合理可行的具体规定,对监护权的行使在目标、手段等方面作出一定的限制,促进监护权的规范行使,避免过度监督,杜绝权利滥用,确保监护人在行使权利符合“儿童利益最大化原则②儿童利益最大化原则,联合国《儿童权利公约》中确立的最大限度保护和实现儿童权益的一项基本原则,“涉及儿童的一切行为,必须首先考虑儿童的最大利益,尊重儿童的基本权利,并应最大限度地确保儿童的生存和发展”。”,充分切实保障儿童基于个人信息的正当权利。同时,国家、社会和学校要积极发挥教育引导作用,多渠道、多途径加强网络宣传教育,引导帮助父母和子女增进相互理解,缓和冲突矛盾,寻求赋权和保护的最佳平衡点。
3.实行“法律+技术”双管齐下,优化监护人告知同意认证模式
在监护人告知同意的验证问题上,应当考虑从法律规范和技术研发两方面进行探索解决。对于监护人告知的方式,建议结合互联网行业现实情况,在原有规定的基础上列出告知的具体方式,要求网络运营商履行充分告知的义务,以确保监护人能充分理解为目标,将应予告知的事项及时进行准确传达,既注重形式合规性,也确保实质有效性,鼓励支持网络运营者进行新型告知方式的技术研发。对于监护人同意的验证,建议参考借鉴美国《儿童在线隐私保护法》关于“可验证的父母同意”的规定,对同意模式作出明确规定,建立全方位、多途径的验证模式③殷峻:《网络时代儿童个人信息的法律保护——基于美国和欧盟立法的比较研究》,《学术研究》2018年第11期。,如通过电子邮箱提供父母签署的同意书,通过视频、电话进行同意告知、通过面部识别进行同意确认等,并根据科技水平的发展不断进行调适和改良。国家加强互联网行业监护人同意技术创新研究,鼓励支持互联网企业自主研发可验证监护同意机制,征集采纳儿童监护人互联网活动实践建议意见,广泛汇聚多方的智慧和力量,推动验证化技术发展,建构适用性强、可行性高的本土化可验证监护人同意制度,打造互联网时代共建共治共享的发展格局。
五、结语
联合国儿童基金会全球官网在《儿童权利公约》的引导语中如是写道,“我们这一代人应当担起责任,并呼吁各国政府、企业和社区的领导者履行承诺,为现在及将来所有儿童的权利而行动起来。他们必须致力于实现每个孩子的每项权利①联合国儿童权利基金会全球官网,《儿童权利公约——保护每个儿童的每项权利》,https://www.unicef.org/zh/.”。个人信息权是一项重要的基本权利,加强对儿童个人信息的保护本质上是强化对儿童个人信息权的保障,是践行新时代“以人民为中心”人权发展理念的应有之义和必然要求。互联网时代新兴技术的发展给个人信息保护带来了极大的挑战,需要根据儿童身心的特殊性及其个人信息的敏感性,在一般性保护的基础上强化对该特定群体的特殊保护②汪习根:《习近平法治思想的人权价值》,《东方法学》2021年第1期。,在法律中作出专门设计、给予优先保护。针对我国儿童个人信息的法律保护存在的问题,建议从健全完善法律法规体系、加强行政执法监管力度、完善监护人同意制度方面加以改进和完善,在立法、行政、司法方面为儿童个人信息权益提供更好的法治保障,引导国家、社会、企业、学校、家庭共同努力,肩负起保护儿童个人信息的职责和使命,为儿童个人信息安全提供更加全面的保护,保护儿童个人信息权益免受侵害,为儿童的健康茁壮成长保驾护航。
