司法案例课题 | 肖芄:大型互联网平台侵害儿童个人信息权益的认定——兼评某短视频平台侵害未成年人个人信息民事公益诉讼案
The following article is from 法律适用 Author 肖芄
作者简介
肖芄,杭州互联网法院一级法官,法学硕士
本文系最高人民法院2021年度司法案例研究课题“网络个人信息保护典型案例研究”(2021SFAL016)的阶段性研究成果。
摘 要
向儿童用户提供网络服务的互联网平台在缺乏单独未成年个人信息处理规则、未采取合理措施通知监护人、征得监护人有效明示同意的情况下,处理儿童用户个人信息的,应认定为违法处理用户个人信息。儿童个人信息属敏感个人信息。信息处理者未对儿童个人信息建立专门保护池和采取加密存储措施,应认定为违规存储儿童个人信息。信息处理者在未获得儿童监护人单独授权同意的情况下,基于算法的自动化决策将含有儿童用户个人信息的短视频向其他用户进行推送,应认定为违法处理儿童个人信息。信息处理者对儿童用户进行画像,未获监护人同意默认开启个性化推荐,运用算法进行内容推送,应认定为违法处理儿童个人信息。
关键词
信息处理者 儿童个人信息 知情同意 算法推荐 隐私主动保护
《中华人民共和国个人信息保护法》第24条、第28条、第31条及《中华人民共和国未成年人保护法》第5章,对未成年人特别是儿童的个人信息、网络安全保护做出了明确规定。其中新修订的未成年人保护法增设未成人网络保护专章,对互联网企业如何合法、合规处理儿童个人信息做出了原则性规定。在司法实践中囿于案件量极少,司法机关对此类案件审理还处于起步探索阶段,面临诸多疑难问题,例如:平台对儿童用户的识别责任、平台如何获得监护人有效明示同意、平台能否对儿童用户基于画像进行个性化推荐、平台能否对儿童用户进行自动化决策,以及平台如何对儿童隐私信息进行主动安全保护等等,亟待司法裁判在个案中进行探索、积累。该案系全国首例儿童个人信息、网络安全保护民事公益诉讼。案件涉及对大型移动互联网(APP)平台处理儿童用户个人信息是否侵害儿童用户主体权益以及平台是否尽到对儿童用户网络安全保障义务的司法认定,属于社会关注度高且新型、疑难复杂的案件。笔者拟对该案进行一定探索,以期利于理论与实践。
一、案情:基本案情及案件处理情况
某短视频APP是由某短视频平台公司开发、运营的一款互联网移动端应用程序。某短视频APP具有帮助用户在移动设备上制作、上传、观看短视频及进行直播等功能,平台能够通过大数据的分析和人工智能的算法等技术手段实现为用户推送精装的短视频内容等服务,是国内知名的短视频社交平台、直播平台及直播电商平台。据该短视频后台数据显示,截止2020年底平台14周岁以下实名注册用户8万余,14周岁至18周岁实名注册用户数量60余万。以头像、简介、背景、用户名、过往作品、地理位置等基础维度模型叠加“内容”“语音”“体态”“帐号”模型测算,18周岁以下未实名未成年人注册数量约为300余万;仅以头像、简介、背景、用户名、过往作品、地理位置等基础维度模型测算,18周岁以下未实名未成年人注册数量约为1000余万。某市人民检察院在审查办理被告人徐某某猥亵儿童(未满14周岁)刑事案件时发现,该短视频平台在收集、存储、使用儿童个人信息过程中,未遵循正当必要、知情同意、目的明确、安全保障、依法利用原则,遂对该短视频平台涉嫌侵害众多不特定儿童个人信息权益和隐私权的行为展开调查,在履行法定诉前程序后,向杭州互联网法院提起民事公益诉讼。
杭州互联网法院经审理认定,某短视频APP历史版本在收集、存储、使用、共享、披露儿童个人信息等多个环节中,未切实贯彻儿童利益最大化原则,存在危及社会众多不特定儿童个人信息权益和隐私权的行为,不利于儿童网络保护,已对儿童人身安全以及生活安宁造成隐患,具体包括:
第一,在儿童用户注册环节:某短视频App缺乏单独的《儿童个人信息/隐私保护政策》《儿童个人用户协议》;对平台内实名注册的儿童用户,缺乏通知监护人、采取合理措施征求监护人是否同意的流程;对平台内未实名注册的高疑似度儿童用户缺乏技术识别手段,未采取特殊的儿童网络安全保护机制。
第二,在儿童个人信息收集环节:在未采取合理措施以显著、清晰的方式告知并征得儿童监护人明示同意情况下,存在违规收集、管理儿童网络帐号、位置、联系人以及儿童面部、肢体、声音等儿童信息的行为。
第三,在儿童个人信息存储环节:某短视频App缺乏专门的儿童信息保护池,在“内容”“用户”两个维度对平台中涉及儿童的个人信息未能采取加密等措施予以存储。
第四,在儿童个人信息使用、共享、披露环节:某短视频App在未采取合理措施征得儿童监护人有效明示同意的情况下,运用大数据算法,向具有浏览儿童视频喜好的用户大量推送含有儿童信息的内容,并提供下载共享功能;推送涉及未成年人内容的算法机制不够完善,仅依照用户兴趣喜好等算法方式,随意、无序地推送儿童用户个人信息,未建立一套有别于成年人的算法推送规则;缺乏向儿童用户推送内容的独立算法,向儿童用户推送内容的安全性、合规性和针对性存在欠缺,未体现对儿童群体的特殊保护。
第五,在涉儿童网络安全主动保护领域:某短视频App对用户发布的涉未成年人内容的审核标准不够严格,缺乏分级管控,存在进一步改善的空间;某短视频App缺乏对儿童用户的隐私保护机制,对儿童用户未强制开启陌生人关注限制功能,未强制隐藏儿童用户位置,未强制开启儿童用户私信限制,未强制关闭儿童用户通讯录推荐,未强制关闭通过手机号搜索儿童用户功能,未强制关闭儿童“熟人圈”功能,未强制关闭儿童动态展示功能,未强制关闭推荐儿童给可能感兴趣的人的功能,未强制开启儿童作品在同城不显示功能等。
案件双方当事人经法院组织调解,达成了调解协议。法院对调解协议是否有损社会公共利益等进行了审查并依法登报予以公示。法院经审查调解协议内容不损害社会公共利益且符合法律规定后,出具了民事调解书。民事调解书主要内容为:(一)被告停止对儿童个人信息的侵权行为,按照相关法律法规对儿童个人信息保护的要求,对某短视频平台进行整改。针对案涉问题,被告承诺,按调解协议确定的合规整改方案、时间推进表进行落实整改。(二)被告完成整改后,应对整改完成情况及效果进行评估,并向公益诉讼起诉人、人民法院出具详细的整改完成情况报告书。(三)被告应根据相关监管法规要求,将整改措施方案及整改完成情况报告书报送网信部门,自觉接受合规审查。若网信部门认为短视频平台未落实整改方案措施,或存在其他涉儿童网络保护的违规行为,被告应立即停止相关违规行为并按要求进行整改。不能如期有效整改的,被告应立即停止某短视频平台一切涉儿童经营业务的开展。(四)被告就涉案侵权行为,在《法治日报》及某短视频APP官方帐号首页显著位置公开赔礼道歉。(五)被告承诺在今后的运营过程中严格遵守儿童个人信息保护的法律、法规,并自觉接受网信等行政监管部门的监督检查。(六)被告赔偿因侵权行为造成的社会公共利益损失人民币150万元,款项交相关儿童公益保护组织,专门用于儿童个人信息安全保护等公益事项。
二、平衡:未成年人涉网权益维护应秉持发展和保护并重的司法理念
在移动互联网高速发展的时代背景下,未成年人已经成为互联网运用的重要群体,手机、电脑等智能终端设备已成为他们重要的学习、沟通和娱乐的工具。根据《第46次中国互联网络发展状况统计报告》显示,截至2020年6月份,我国网民规模达9.4亿,其中19周岁以下的网民群体占比18.3%。可以说,这一代未成年人已成为移动互联网部落的原住民,但真正适宜未成年人网络需求、保障他们上网安全的网络生态环境仍面临诸多风险、挑战。在制度层面,自1989年联合国公布《儿童权利公约》以来,欧盟与美国不断探索与完善儿童个人信息的法律保护制度。目前欧美已经形成了以欧盟的《一般数据保护条例》(General Data Protection Regulation,以下简称GDPR)和美国的《儿童在线隐私保护法》(Children’s Online Privacy Protection Act,以下简称COPPA)为基础的比较完善的制度框架。我国关于儿童个人信息等网络保护的制度建设尚处于起步阶段,体系化研究成果与保护制度的搭建还不成熟,司法实践中对于此类案件的审理经验较为匮乏。需要通过实践总结一些经验、沉淀一些理论思考,以供后来者在审理同类案件时参考、借鉴。
随着如同“电子器官”的移动智能终端和“如影随行”的社交网络的大规模普及,如今的未成年人一出生就是网络原住民,首次触网年龄越来越小,对网络的接受和融合意愿越来越强。在司法理念上,我们应该深刻地认识到,为了促进网络技术对未成年人的发展,我们需要一个安全和可靠的网络环境,相关方需要保护他们免受不当内容和危险行为影响,同时也需要尊重儿童的数字权利,包括获取信息和自由表达的权利。互联网和技术的运用确实增加了未成年人的风险,然而,只关注风险的做法会抑制互联网增强他们能力的潜质,司法需要在未成年人的数字权利和他们的保护需求之间进行更谨慎的平衡,既要为未成年人提供最大的拥抱数字世界的机会,同时也要为他们提供最全面的保护使得他们免受风险。在审理未成年人网络保护类案件时,司法机关应秉持的基本态度是,充分认识未成年人对网络信息技术的发展需求,充分保障未成年人享受信息科技发展福利的数字权利,同时要加强对未成年人使用网络信息技术可能遭受风险的预防、保障。司法对未成年人进行网络保护,并不是为了抑制其正当的发展需求,毋宁是为了更好地保障其拥抱数字世界的权利。
基于此,我们认为,对未成年人的网络保护应基于年龄分层采取有侧重的区别措施,以平衡未成年人信息素质养成与个人信息网络保护:针对8周岁以下儿童,重点强调保障监护人权利;针对8至14周岁的儿童,引导其树立正确的价值观,普及网络安全知识,提高未成年人的信息甄别、搜集与应用的能力;针对14至18周岁未成年人,保障其在认识能力范围内运用互联网,鼓励其参与网络空间治理,为构建清朗网络空间作贡献。案件就是依据《儿童个人信息网络保护规定》的相关规定,对14周岁以下的儿童网络权益所进行的特殊保护,也是对网络平台合法、合规处理儿童个人信息提出的特别要求。需要明确的是,儿童个人信息保护中的年龄标准与民事行为能力年龄具有相关性但规范属性不同,前者主要规范的是儿童、家长及网络运营者的处理信息的行为,即达到某一年龄时儿童 (信息权人) 得以拥有独立处理其信息的能力, 家长则无权限制其行使处理信息的权利,网络运营者对儿童的特别注意义务也相应免除。
三、两难:落实“可验证的监护人知情同意”与数据收集“必要性”的冲突
在儿童个人信息保护中,以获取监护人的明示同意作为处理儿童信息的起点已成为理论和实践的共识。之所以将获取监护人同意作为个人信息处理的出发点主要是由于儿童民事行为能力不足,导致儿童处理自我信息的能力受到限制。因此,监护人代替子女行使知情权和同意权成为儿童个人信息保护的关键所在。《儿童个人信息网络保护规定》第8条、第9条规定,网络运营者应当设置专门的儿童个人信息保护规则和用户协议;收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。前述规定在解释和执行过程中至少面临以下三个方面的难题:第一,如何在秉承最小化收集个人信息基本原则的情况下,有效识别儿童用户;第二,是否所有网络服务提供平台均需制定单独的儿童用户协议、隐私保护政策,采取特殊的儿童保护措施;第三,如何获得监护人的明示同意。前两个问题涉及到的核心是,个人信息收集“最小化”原则与对儿童用户进行有效识别的冲突,有效甄别用户年龄势必获取更多信息,过度收集信息又可能将用户置于风险境地。借鉴美国COPPA对此提出的解决方案,我们认为,应考虑针对网络服务平台提供产品的类型,采取隐私友好化方式,对信息处理者区别提出不同的识别义务和特殊的儿童保护政策:对直接面向儿童提供服务的信息处理者,宜默认用户为儿童,要求采取特殊的儿童保护政策;对面向大众的综合类产品,但知道或应当知道平台内有大量儿童用户的,可基于用户注册时自主填写的年龄信息及其他行为信息等进行筛选,分层有针对性地采取特殊的儿童保护政策;对网络直播、网络游戏等强监管类产品,则应根据监管要求强制采取用户身份实名制,通过实名信息进行识别后分类采取保护措施。对于前述第三个问题,关键在于信息处理者是否在现有技术可行、成本可控的前提下,采取了合理、可靠措施获取监护人的同意。美国COPPA提到了几种具体的获取监护人同意的方式可以加以借鉴:一是由监护人签署同意书并通过邮寄或电子传真方式传回给运营商;二是要求监护人提供支付渠道的证明,比如信用卡或者借记卡等身份验证信息;三是提供官方身份证件,比如身份证或者驾照等;四是发送电子邮件或者录制视频验证等方式。
基于以上考量,案件中某短视频平台公司提供的短视频产品虽然为面向大众的综合类服务,但其知道平台内有数量众多的儿童用户,为切实落实儿童用户监护人的知情、同意并对识别出的儿童用户采取特殊保护措施,司法机关提出了以下可行的整改措施方案:以易于儿童及其监护人理解的图文等语言制定单独的“儿童个人信息保护规则”“儿童用户协议”,在用户注册及14周岁以下实名认证流程中以独立、显著设置方式,向儿童及监护人明示,保障监护人知情、同意和拒绝的权利。开发14周岁以下用户实名认证流程并增加通知监护人功能,在实名认证环节对用户年龄进行判断,如实名用户小于14周岁,则要求其填入监护人信息,平台将采取站内信或者短信的方式联系监护人,征求监护人是否同意其子女进行实名认证操作。对平台内未实名认证,但经过以头像、注册填写的年龄、用户名、过往作品、地理位置等基础维度模型叠加“内容”“语音”“体态”“账号”模型测算出的高疑似度儿童用户,在未获监护人明示同意前,纳入青少年模式实施主动保护。在流程设计当中,严格遵循儿童信息处理的“合法、正当和必要”原则,比如放弃收集儿童人脸信息、监护人拒绝授权则将删除已收集的儿童认证信息等。
四、限制:基于算法对儿童用户的自动化决策和个性化推荐应予严格控制
自动化决策是指建立在算法基础上的决策,具体指通过数据算法自动化处理手段所做出的决策行为。它建立在收集、整理大量人们的个人数据基础之上,同时研究人的决策行为,能够适应不同阶层、不同行为方式的决策者需要。在日常生活中,自动化决策大多数不会对个人产生过多不利影响,更多时候是给个人提供了定制化服务,让生活变得方便快捷,但算法决策经常出现的偏差,导致歧视或不公平等现象时有发生,有必要对自动化决策予以规制。欧盟GDPR第22条赋予个人反自动化决策的权利。该条例规定:“数据主体有权不受仅基于自动化决定得出的决定制约,以避免对个人产生法律影响或与之相类似的显著影响”。我国《个人信息保护法》第24条第3款规定,通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。该条款实际赋予了信息主体在特定场景下反对自动化决策的权利。我国《互联网信息服务算法推荐管理规定》第8条、第9条对此也做出了更为细致的规定,算法推荐服务提供者应当定期审核、评估、验证算法机制机理、模型、数据和应用结果等,不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型。同时,该规定进一步明确,网络平台要强化责任意识,对算法应用产生的结果承担起算法安全的主体责任。我们认为,鉴于当前人工智能算法的“黑箱”机制,对信息主体权益可能造成重大的影响以及部分敏感场景下的算法决策,在使用前应考虑特殊场景进行充分的风险评估、测试,并赋予信息主体知情和反对的权利。儿童属于应受到特别保护的群体。自动化决策的算法若未充分考虑儿童的特殊属性,极易对儿童造成算法歧视或算法伤害,故对儿童进行自动化决策应纳入《个人信息保护法》第24条第3款规定的对个人权益有重大影响的自动化决定范畴。因此,基于儿童个人信息进行的算法决策,应进行充分风险评估,建立独立算法机制,充分落实监护人的单独知情同意权,并赋予信息处理者说明义务和信息主体随时拒绝的权利。
在该案中,法院要求某短视频平台公司对儿童用户的个人信息的算法推荐予以严格控制,在儿童信息推送的算法决策方面提出了以下可行的整改措施方案:平台对含有儿童用户个人信息的短视频,利用算法在平台内进行推送,需在处理前采用显著方式告知监护人并获得单独授权同意,监护人有权随时撤回同意,拒绝自动化决策推送。平台创建并逐步完善针对涉未成年人内容信息推送的专门算法,通过算法自动化决策推送含儿童用户个人信息的短视频时,包括但不限于削减对未成年人喜好用户群体的推送频次,合理控制在同城、标签、频道等各个场景推送涉未成年人内容的曝光次数和范围,强化对未成年人喜好用户行为的诊断策略等,逐步形成一套有别于一般用户的独立推送算法和分发逻辑。
个性化推荐是指信息处理者通过收集个人的浏览记录等信息,依据这些信息分析用户行为,对用户进行画像、精准营销或信息推送。互联网带来了海量数据,用户难以全面浏览所有信息,算法推荐根据用户的喜好、阅读习惯等,向用户推荐其可能感兴趣的内容,提高了信息检索的效率,但也带来了“信息茧房”等现实问题。欧盟GDPR第21条规定,信息处理者收集个人信息进行直接营销相关的用户画像,信息主体有反对的权利。对个性化推荐的规制,我国国家网信办在《App违法违规收集使用个人信息行为认定方法》中做出了规定,“利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项”,应认定为“未经用户同意收集使用个人信息”。同时,《互联网信息服务算法推荐管理规定》第18条更是明确规定,算法推荐服务提供者向未成年人提供服务的,应当依法履行未成年人网络保护义务,并通过开发适合未成年人使用的模式、提供适合未成年人特点的服务等方式,便利未成年人获取有益身心健康的信息。算法推荐服务提供者不得向未成年人推送可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等可能影响未成年人身心健康的信息,不得利用算法推荐服务诱导未成年人沉迷网络。儿童在互联网上的每一次点击,在社交媒体中的每次点赞、每个表情包、每次“拉黑”或“解封”都毫无保留地暴露了他们的真实偏好。这些访问轨迹数据被网络运营者存储并经数据分析之后所形成的多元数据关联,无法通过“事前告知”的方式让监护人知情。基于大数据分析的算法推荐、用户画像和精准营销,已经远远超越了监护人知情同意的极限。监护人同意在某种程度上让渡了双方(包括可能参与利益分享的第三方)均不可预知的儿童隐私。儿童在消费网络服务的过程中,其偏好和信息已经成为其“信赖”的互联网平台的要素投入,浑然不知其中所隐藏的潜在风险。此外,相较于成年人较强的鉴别能力,未成年人正处在身心发育阶段,需要社会为其树立健康向上的价值观念。显然,未成年人对网络游戏、娱乐明星等内容充满兴趣。如果算法推荐按照阅读习惯和喜好,对未成年人大量推送游戏广告、明星绯闻或性感照片,则会让未成年人在游戏、八卦等内容中“沉沦”。我们认为,个性化推荐的算法设计价值导向必须以人为本,并与核心主流社会价值观相契合。儿童属于特殊群体,其权利应受到特殊的保护,特别是儿童心智并不成熟,对世界的认知和自身的发展均处于待定的转态,对儿童而言未来一切皆有可能,而个性化推荐具有锁定、固化的功能,不利于儿童获得更多可能的发展。更为关键的是,不做区分的算法推荐简单“投其所好”,对儿童的健康成长将产生极大负面影响。因此,在儿童个人信息保护领域应有一套独立的个性化算法推荐机制,以及有别于成年人的反个性化推荐措施,即互联网企业对儿童用户应默认开启自动化推荐关闭功能,在获得监护人明示同意的情况下方可开启个性化推荐功能,但其个性化推荐所采用的算法必须保障儿童用户的权益,有别于成年人的推荐算法。
在该案中,法院要求某短视频平台公司对儿童用户的自动化决策和个性化推荐予以严格控制,在儿童用户的算法推荐方面提出了以下可行的整改措施方案:平台默认关闭面向儿童用户的个性化推荐,确有需要开启的须经监护人同意。同时,平台创建向儿童用户个性化推荐的独立算法,为进一步强化向儿童用户推送内容的安全性、合规性和针对性,建立平台内容分级分类管理制度,创建向儿童用户推送内容的独立算法,对已有儿童用户群体和基本判断确认的儿童用户群体,适用独立推送算法并不断完善,既保证用户的基本体验,更关注儿童用户特殊群体的全面保护。
五、保障:儿童个人信息属于敏感个人信息,平台应采取隐私主动保护措施
随着经济发展和互联网的普及,网络对于儿童来说变得非常易于触及。然而同时,网络也成为了侵犯儿童隐私、损害儿童身心健康发展的一大潜在危险聚集地。因此,针对儿童的网络隐私主动保护是一个不可忽视的问题。在美国COPPA的“儿童信息收集六步合规规则”中明确规定,收集儿童的姓名、地址、电子邮箱地址、社会安全号码、电话、兴趣爱好等等,除获得儿童监护人的有效授权外,还应实施主动、合理的程序来保护儿童个人信息的安全。在我国,对儿童个人信息及隐私主动保护,相关法规和国标均做出了相应的要求。《儿童个人信息网络保护规定》第8条、第13条明确规定,网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护;网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。此外,《信息安全技术个人信息安全规范》(GB/T 35273-2020)将14周岁以下儿童个人信息界定为个人敏感信息,并规定传输和存储个人敏感信息时,应采用加密等安全措施;共享、转让个人敏感信息前,除通常的告知内容外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意。基于儿童自身保护能力薄弱的特点,我们认为,专注于儿童内容和产品的互联网平台,需要依照法律规定落实相较成年人用户更为积极、主动的个人信息隐私保护措施,相关措施应体现出以下基本要求:第一,相关措施应当在隐私风险发生之前预先设计,而不是在隐私侵权行为发生之后进行事后补救;第二,互联网平台应在产品设计、开发、交付、运营的每一个环节都嵌入儿童信息隐私主动保护功能;第三,平台应从完整的数据生命周期对儿童信息进行隐私主动保护,即从数据生成到销毁的整个生命周期贯彻强有力的隐私主动保护安全措施。
在该案中,法院要求某短视频平台公司对儿童个人信息采取更为积极、主动、有效的隐私保护措施,提出了以下可行的整改措施方案:第一,制定未成年人数据分级分类管理机制,建立涉及未成年人数据全周期保护和管理措施。第二,建立专门的儿童信息保护池。对平台内存储的涉儿童的个人信息建立专门的信息保护池,采取加密等措施存储儿童个人信息,确保信息安全。第三,强化对儿童用户隐私保护模式。采取的措施应包括:强制开启陌生人关注限制功能、强制隐藏未成年人位置、强制开启未成年人私信限制等七大功能的未成年人隐私保护模式。
随着社会经济与计算机技术的发展,儿童信息的安全问题日益凸显,已成为现代社会无法回避的治理难点,世界各国纷纷从立法、行政及司法等各个制度层面探索建立行之有效的儿童个人信息网络保护体系。我国司法机关参与对儿童信息安全问题的治理起步较晚,但我国互联网产业发展形势迅猛,这为司法实践的探索提供了巨大的空间。该案只是我国司法参与儿童信息安全治理的开始,希望通过个案的有益探索,未来我国司法可以为全世界提供儿童网络信息保护的中国样本。
排版:德 吉
审核:刘 畅
觉得内容还不错的话,给我点个“赞”和“在看”呗