周一7点|研究分享:朋友圈”晒娃“,娃同意了吗?
(点击查看大图,长按可保存图片)
作者 | 付新华(吉林大学法学院理论法学研究中心)
原文标题 | 《大数据时代儿童数据法律保护的困境及其应对》
基金项目 | 《国家“2011计划”司法文明协同创新中心研究成果》
本文略有删减
原文提要
大数据时代儿童数据的法律保护面临着“赋权与保护”和“个性化与平均年龄”两大困境。欧盟《一般数据保护条例》为解决以上困境做出了努力,但仍存在一定问题:严格的父母同意可能导致对儿童的过度保护,平均年龄的简单二分法可能限制有能力儿童的网络活动。应以差异化的父母同意方式取代严格的父母同意,以一定年龄界限基础上的个性化评估取代平均年龄的单一规定。网络治理机构应加强数据周期内利益相关者的共同协作与对话,不断寻求更好的儿童数据保护方案。我国《未成年人网络保护条例》的制定应合理借鉴欧盟《一般数据保护条例》和美国的相关立法经验。
我们都曾经是儿童。我们都希望孩子们幸福,这一直并将继续是人类最普遍珍视的愿望。
———《我们儿童:世界儿童问题首脑会议后续行动十年期终审查》
对儿童数据进行专门保护是大数据时代的一项世界性议题。儿童是当今时代一个非常庞大的网络用户群体,据国外研究显示,世界上约有三分之一的网络用户是儿童。 我国儿童网络用户群体亦非常庞大,截至 2017年6月我国的网民规模达到了7.51亿,其中儿童网民约为1.69亿,占网民总数的23.1%。据青少年蓝皮书《中国未成年人互联网运用和阅读实践报告(2017—2018)》显示,根据2017年底的调查数据,被调查未成年人互联网运用的总体普及率高达 98.1%,10岁之前触网的比例高 72.0%,比2010年的55.9%显著增加,2017年底7岁(学龄前)触网比例达到27.9%。小学生群体有自己手机的占比达到了64.2%,初中生为71.3%,高中生为 86.9%。可见我国儿童触网年龄呈低龄化趋势。
图片来源于视觉中国
大数据时代,越来越多的网络服务提供者开始收集、分析和使用儿童数据,引发了儿童的数字身份失控、隐私风险增加和潜在的歧视倾向等问题,可能对儿童造成比成人更严重和持久的不良影响。当前的网络治理规范存在以成人为中心和不区分年龄层次的年龄通用问题,网络服务提供者也往往忽略儿童的特殊保护需求。如何将线下的传统道德标准适用于大数据时代的网络环境,国内外很少有明晰的理解和集中的研讨。
在对大数据越来越依赖的今天,儿童和儿童权利辩护者的声音没有得到足够的重视。 我国对大数据时代儿童数据法律保护的研究也基本处于缺位状态。
2016年4月欧盟通过了《一般数据保护条例》(简称“GDPR”),序言第 38条明确指出需要对儿童数据给予特殊保护,因为儿童可能较少意识到有关的风险、后果、保障措施及相关权利。GDPR自颁布以来,其法律适用的效力等问题受到了很多学者的关注,但在儿童数据保护方面,则很少被探讨和论争。
有鉴于此,文章从儿童的特殊性出发,探讨大数据时代保护儿童数据的现实必要性,围绕儿童数据法律保护的困境及其应对展开讨论,并对欧盟 GDPR的相关规定进行评析,以期为我国《未成年人网络保护条例》的正式出台提供参考借鉴。
图片来源于视觉中国
儿童数据法律保护的两大困境
由于儿童的特殊性,儿童数据的法律保护需综合考量儿童的成熟度和不同网络场景等因素来决定是否赋予其自我决策的权利。荷兰学者米尔达·马赛纳特指出大数据时代儿童数据的法律保护面临两大困境:“赋权与保护”困境和“个性化与平均年龄”困境。 虽然这两大困境在儿童权利法中早有体现,但大数据时代使其有了新的含义和语境。
1.“赋权与保护”困境
“赋权与保护”是大数据时代儿童数据法律保护面临的首要困境。《联合国儿童权利公约》(UNCRC)中的保护性条款与赋权性条款之间存在一定的紧张关系。保护性条款是针对儿童的脆弱性、依赖成年人和需要身心照顾等特点对其进行行为干预的保护性规定,如国家干预、父母干预等;赋权性规定是因为儿童处于不断成长和发展中,具有“不断发展的能力”,理解力和成熟度会随着年龄的增长逐渐提高,因此需要赋予其自我决策与参与的权利,如自由表达思想和发表言论等接近成年人的权利。
保护性规定与赋权性规定之间的冲突表现在两方面:一方面,从儿童的最大利益出发,往往需要赋予儿童自我决策与参与的权利,但儿童作为“成人干预的受益者”和“自我决策的代理人”之间存在一定的矛盾。换言之,如果赋权性规定过多,可能会导致对儿童的保护不力;如果保护性规定过多,则可能限制儿童的自我决策权等赋权性利益。另一方面,“赋权与保护”困境不能被彻底消除,只能在“赋权”与“保护”之间寻求一定的平衡。因此,如何平衡两者之间的关系,在给予儿童充分保护的同时避免过度保护是儿童权利法最大的难题。
图片来源于视觉中国
大数据时代,儿童数据法律保护面临的“赋权与保护”困境形势更加严峻。大数据时代给儿童带来的利益和风险同步增加,但由于其知识水平和认知能力的局限,对风险往往缺乏认识。网络生活已经成为儿童日常生活必不可少的一部分,他们通过网络获取各种各样的信息,不断学习成长,因此有必要赋予儿童上网和决策相关事务的权利;同时,大数据时代的儿童面临着数字身份失控、隐私风险增加和潜在歧视倾向等问题,亟须对儿童的数据权利进行保护。可以说,“赋权与保护”困境是大数据时代儿童数据法律保护面临的最大挑战。
2.“个性化与平均年龄”困境
“个性化与平均年龄”困境部分来源于“赋权与保护”困境。儿童的成熟度评估可以帮助解决“赋权与保护”困境面临的部分问题,即对达到一定成熟度的儿童赋予其自我决策的权利,对未达到一定成熟度的儿童给予一定的保护。目前,对儿童进行成熟度评估主要有两种方法,一是划定一个明确的年龄界限作为所有儿童是否成熟的分界线,二是对每个儿童的成熟度进行个性化的评估。从法律适用的角度来看,采用明确的年龄界限可以限制司法者的自由裁量权且执行起来更为容易,但也容易造成“一刀切”,忽视儿童的个体差异。
事实上,即使是相同年龄的儿童,由于先天和后天环境等因素的影响,各方面能力的差异往往很大,因此,对每个儿童进行个性化评估可以更好地照顾到能力较强儿童从事相关活动的需求。然而,对每一个儿童的成熟度逐一进行个案评估,执行起来会非常困难,也会对网络服务提供者造成过度的负担。因此,如何处理“个性化”和“平均年龄”之间的关系是大数据时代儿童数据法律保护面临的另一困境。
图片来源于视觉中国
破解之道:儿童数据法律保护
两大困境的解决思路
破解儿童数据法律保护的两大困境应以差异化的父母同意方式取代严格的父母同意,以平衡“赋权”与“保护”之间的冲突;以一定年龄界限基础上的个性化评估取代平均年龄的单一规定,以实现“个性化”与“平均年龄”的结合。此外,网络治理机构应加强数据周期内利益相关者的共同协作与对话,不断寻求更好的儿童数据保护方案。
(一)“赋权”与“保护”的平衡:基于不同风险等级的差异化父母同意方式
欧盟《一般数据保护条例》GDPR未区分不同网络场景和风险等级的父母同意,会造成父母的“同意疲劳”和对儿童的过度保护,打破“赋权”与“保护”之间的平衡,不利于儿童最大利益的实现。因此,为实现儿童的最大利益,应根据不同场景对不同隐私风险等级的儿童数据采取不同程度的父母同意方式。
欧盟 GDPR第35条对数据保护影响评估进行了规定,为可能引发高风险的数据处理行为设定了额外的附加义务,并豁免了低风险数据处理行为的部分义务。但该项规定只是“在传统的合法授权事由框架下提升了用户同意形式方面的要求,继续强化了传统知情同意框架”,并未从保护用户的角度,针对不同场景、不同隐私风险提出不同的保护标准。更为关键的是,GDPR并未将隐私风险等级评估适用于儿童数据保护的父母同意。相比较而言,美国《儿童网络隐私保护法案》 COPPA则认识到不是所有网络活动都需要严格的父母同意,通过对不同网络场景划分风险等级规定不同程度的父母同意方式:
图片来源于视觉中国
首先,最小风险的网络服务无须得到父母的同意,如没有互动或不共享儿童数据的网络服务;其次,中等风险的网络服务则采用较宽松的同意形式,如网络服务商仅在内部使用儿童数据且不向第三方披露或公开时,可以向父母发送电子邮件,并在收到父母同意的回复后方可确认使用;最后,最高风险等级的网络服务必须符合最严格的同意机制,如向第三方披露儿童数据、行为广告或儿童注册使用网络社交媒体时,网络服务提供者需要通过邮寄、传真或电子邮件等方式要求父母填写并返还同意书,提供信用卡号码、验证身份的证明文件、免费电话或视频会议等方式验证父母同意。
COPPA基于不同风险等级的差异化父母同意,在一定程度上解决了 GDPR在应对“赋权与保护”困境中的父母“同意霸权”问题,有效避免了对儿童的“过度保护”,并有助于减轻父母的“同意疲劳”。关于 GDPR的父母同意没有充分考虑儿童个人意见的问题,可以通过单独咨询儿童意见、取得儿童和父母共同同意和成熟儿童自主同意等方式,将儿童意见纳入到决策中来,适当避免对有能力儿童意见的忽略。
(二)“个性化”与“平均年龄”的抉择:以一定年龄界限为基础的个性化评估
虽然欧盟 GDPR的年龄界限规定饱受诟病,但若不划定年龄界限则需对所有儿童的全场景网络活动进行个性化评估,无疑会增加网络服务提供者的合规负担和网络治理机构的执行成本。美国 COPPA亦划定了明确的年龄界限,要求收集、处理不满 13周岁儿童的个人数据需先征得父母同意,因此明确的年龄界限仍然是必要的。欧洲非政府组织“儿童在线安全联盟”(“eNACSO”)认为虽然在目前的网络环境和技术条件下,对每个儿童进行个案评估是不可能的,但对不同年龄的儿童应采用不同的隐私标准或父母同意方式。
图片来源于视觉中国
因此,作者认为,应以一定年龄界限为基础的个性化评估取代平均年龄的单一规定。对达到年龄界限的儿童,赋予其自我决策权;对未达年龄界限的儿童进行个性化评估,以决定父母同意的方式。
事实上,目前欧盟只有三个成员国(西班牙、匈牙利和荷兰)选择在国家数据保护法律中明确规定需要父母同意的年龄门槛。大多数成员国均要求数据控制者依据特定情境采取个性化的儿童能力测试,而不是统一的年龄标准。由于个性化的儿童能力测试容易造成过重的验证负担,大多数成员国通常要求数据控制者根据数据处理目的和使用的数据类型采用基于滑动比例法的风险验证方式。
这一做法与美国 COPPA的规定殊途同归。为了验证儿童是否有自我决策能力,数据控制者应从儿童的最大利益出发,综合评估儿童的心理发展水平及承担相应后果的能力等情况决定所需父母同意的等级或形式。
(三)加强数据链中利益相关者的共同协作与对话
切实保障大数据时代儿童数据权利,不仅需要监管机构、网络服务提供者和父母等各方主体履行并承担相应的义务和责任,还需要加强数据周期内利益相关者的共同协作与对话。利益相关者主要包括数据的提供者、收集者、分析者和使用者。首先,儿童数据提供者需要提高隐私风险意识,学习必要的网络安全技术,使用隐私保护软件等方式提高防范能力。美国学者帕弗雷·约翰等提议,有关信息通信技术、网络安全和隐私等方面知识的学习应被纳入普通学校的信息技术教育中,提高数据提供者的数据素养和隐私风险防范意识。
图片来源于视觉中国
其次,数据收集者在收集数据之前应首先征得儿童父母的同意,并采用易于理解的条款和方便访问的操作,如儿童友好型描述等,数据收集者还应将设计和默认的数据保护理念融入软件设计的最初阶段。加布里埃尔·伯曼认为,对儿童数据的收集除了应有明确的政策和传播机制外,还需要独立的第三方对数据收集者及其数据收集活动进行公正和专业的定期审核。
再次,数据分析者是儿童数据保护的关键参与者,其采用的算法决定着儿童数据的分类方式和传播形式。法具有非透明性的特点,数据分析者在处理儿童数据时应保证采用的算法具有可解释性,并在分析处理儿童数据时反思该算法是否会对儿童产生不利影响。数据分析者应多与儿童权利倡导者对话和讨论,了解儿童的特殊需求,开发专门针对儿童的隐私友好型工具。为了使数据分析者了解算法的潜在限制和伦理含义,反思算法产生的数据结果,算法伦理学应成为算法和数据科学领域所有本科生和研究生课程的一部分。最后,数据使用者是数据周期中的最终利益相关者,需要提高对数据可靠性、算法局限性、技术安全性及对儿童潜在影响的认识,确保数据使用的安全合规。加强数据周期内各利益相关者之间的共同协作与对话,有利于真正从儿童的最大利益出发,不断寻求更好的隐私保护解决方案。而加强对数据科学及其应用的教育和反思对所有利益相关者都是非常重要的。
图片来源于视觉中国
原文首发于暨南学报(哲学社会科学版)2018年第12期。
长按扫描二维码可快速查看全文
延伸阅读
主编 | 孙升云
副主编 | 闫月珍
执行编辑 | 池雷鸣
责任编辑 | 李晶晶
图文编辑 | 邹雅嘉
音频 | 邝安琪
点击阅读原文可下载原文