王子翰|智能传播中未成年人个人信息网络保护的法律规制问题探析
华东政法大学硕士研究生
要目
一、引言二、域外法律对未成年人个人网络信息保护的法律规定三、我国法律对未成年人个人信息网络保护的新变化四、智能传播中完善未成年人个人信息网络保护的基本要求
网络时代,未成年人网络个人隐私泄露会对未成年人产生不可预估的伤害。国内外针对个人信息的相关法案在不断调整,但涉及未成年人网络隐私问题仍需要特别关注。在智能传播中,媒介在针对未成年人网络保护的问题上需要加强媒介伦理伤害最小化原则,防范隐私泄露对未成年人的侵害、强化未成年利益最大化原则,最大限度地保护未成年人个人信息安全、规范层级管理,重视媒介传播未成年人网络信息的隐私要求、明确未成年人网络个人信息保护的责任主体,提高未成年人网络个人信息保护意识和能力。
一、引言
随着互联网技术、人工智能技术等技术的不断发展,人们接触网络的渠道越来越多,特别是未成年人更加容易接触到网络。2021年7月中国互联网络信息中心颁布了《2020年全国未成年人互联网使用情况报告》。该报告显示2020年我国未成年网民规模达到了1.83亿,未成年人的互联网普及率达到了 94.7%。本次报告新增加了对未成年人及其家长的网络保护意识方面的调查,报告显示表示“自己曾在过去半年内遭遇过网络安全事件”的为27.2%,虽然相对比于2019年有所下降,但依旧存在侵害未成年人网络安全的事件,有25.9%的未成年人是不清楚如何维护自己的网络权益同时只有一半的家长认为对于未成年人网络使用情况的监管最需要作为的主体是不是家长,而是政府、学校等其它主体。我国未成年网民的规模在不断地扩大,未成年人的自我保护意识没有得到全面的发展及其家长对未成年网络使用情况监督的效力不够,未成年人通过运用网络使其合法权益受到侵害的概率依旧存在。2020年4月媒体发现针对低龄人群的国产游戏《迷你世界》存在大量的不良信息以及出现了引导未成年人玩家分享裸照等隐私信息的现象,同时在该游戏的微信小程序“迷你世界助手“中发现教导未成年人如何破除防沉迷系统的帖子。未成年玩家通过游戏参与到相关的群聊中,在其过程中不断增加了隐私泄露的风险。大部分的未成年人都拥有自己的上网设备例如手机、平板、智能电话等智能上网设备,这些设备会对于未成年人的个人信息等隐私进行收集、储存等活动,在一定程度上会对未成年人的隐私造成伤害。在2016年央视报道过,儿童电话手表存在着不少的安全漏洞,黑客可以通过查询智能手表链接的服务器,看到未成年人的地理位置及其活动的轨迹等隐私。
不仅国内出现对未成年人网络隐私侵害的现象,域外有着相同事件的发生。2018年Facebook网站被指出泄露用户数据,2020年Facebook旗下的社交软件Instagram被指控泄露未成年人的个人信息,对未成年人的合法权益造成一定的侵害。哈伯(Haber)指出玩具lotoys引发了社会上许多的担忧,Iotoys玩具可能被黑客攻击或会未经信息主体同意收集、使用其个人信息。玩具企业集团、各种利益相关主体甚至是未成年人的父母会将未成年人个人信息数据化,严重威胁未成年人的隐私权,使未成年人处于无所不在的监视中。面对未成年人隐私在网络中不断遭受到侵害的情况,无论是国内还是域外都对未成年的隐私保护方面加强立法。
二、域外法律对未成年人个人网络信息保护的法律规定
网络的发展给未成年隐私保护带来一定的冲击,域外的网络发展相比于国内发展较早,对于未成年人隐私保护相关的立法研究也较早,形成了相对较为完善的法律体系。其中,美国、德国等国家对于未成年人隐私保护的相关的立法有着较早的研究,对我国未成年人个人信息网络保护具有一定的借鉴意义。
美国网络发展速度特别快,未成年人使用网络也非常普遍。从个人信息保护的问题上看,美国未成年人在网络中的隐私泄露和身份盗窃问题也非常严重。曾经有段时间,美国每年有130万未成年的个人信息被盗用,是成年人的51倍。为此,美国在1988年颁布实施《儿童在线隐私保护法案》(以下简称COPPA),并于2012年对《儿童在线隐私保护法案》(以下简称COPPA)进行进一步修订,以及2014年批准儿童安全港计划,希望能够加强未成年人的个人信息的保护。
法案的目的在于商业市场环境下保护未成年人的网络隐私安全。该法案首先对未成年人的个人信息进行了明确的规定,未成年人的个人信息主要包括:名字和姓氏、电话号码等信息。其次规定了该法案保护未成年人群体主要是指年龄为13岁以下的群体。合理的划定未成年人的年龄能够有效地对未成年人的个人信息等隐私进行分层管理。国内学者认为COPPA将未成年人群体划分为13岁以下,是因为13岁以上的未成年人不会轻易地泄露自己的个人信息,对于网络上的信息具有一定的判断力和识别能力,家长及其学校等主体可以对13岁以上未成年人进行相关的教育。最后,法案的重点为父母同意制度,父母同意制度指的是网络运营者在关于未成年人的个人信息收集、使用和披露时必须确保未成年人的父母收到网络运营者的通知,并授权使其能够进行收集、使用和披露等行为。如果在合理时间后未获得父母同意,网络运营者不能够收集、使用、披露未成年人的个人信息以及不能以任何形式保存此类信息。
首先是扩充了个人信息范围,增加了未成年人图像或语音的照片、视频和音频文件等内容。其次增加了征求父母同意的方式,主要是作为COOPA的监管机构美国联邦贸易委员会(Federal Trade Commission,简称FTC)为COPPA制定了《企业六步合规计划》(A Six-Step Compliance Plan for Your Business)。对于网络运营者征求父母同意可以采纳做法包括,签署同意书、通过视频会议与专业人员联系、回答一系列只有父母知情的问题、验证父母提交的照片后使用面部识别技术将该照片与家长提交的第二张照片进行比较等一系列做法。对于1988年的法案进行一定的修改和补充,使其能够更加符合保护未成年人网络隐私的需要。
安全港计划指的是在遵循COPPA的情况下可制定符合自己行业运行的利于保护未成年人隐私的规范,经过联邦委员会的批准,网络运行者遵守了该规范则可以免责。这样既维护了网络运营者的商业利益又有效地保护了未成年人权益,同时提了COPPA实施运行的效率。2011年联邦贸易委员会对《儿童在线隐私保护法案》修正案中提出对于五个方面需要进行修改,其中一个方面就是对自我监管的"安全港"方案的修改,建议加强"安全港计划"的自我监督,要求网络运营者每年定期向委员会进行汇报。
德国对个人信息保护格外的重视,是世界上最早提出对个人信息进行立法的国家。德国黑森州于1970年颁布实施了世界上第一部数据保护法,之后德国颁布了多部相关的法律,其中包括了联邦数据保护法、电信媒体法等相关的法律,其中不断地对未成年人保护的相关内容进行完善。
法案的目的是限制相关主体对个人信息的处理从而保护个人信息安全。该法案规定了信息主体的数据在被收集、处理、运用的过程中,信息主体享有知情权、对数据的修改权利、拒绝等权利以及对这些权利进行了详细的规定,为个人信息安全提供法律保障。同时该法案设立了联邦数据保护官,联邦数据保护官的职责主要是对于权力机构使用数据情况精心查询核实。德国联邦数据保护官的任务是促进公众对个人数据处理的风险、规则、保障措施和权利的认识及其理解,同时特别重视专门针对儿童的措施。该法案为执行欧盟1995年《欧盟个人数据保护指令》而制定,同时也为欧盟GDPR的制定奠定了基础。
该法律遵循同意原则,网络运营者只有在法律规定允许或者用户同意的情况下收集使用个人数据以及用于其它目的。在第五章数据保护中提出,如果网络运营商对未成年人个人数据进行收集或以其他方式从未成年人处获取,或者以其他方式获取未成年人个人数据,例如通过年龄验证或其他技术措施,则不得以出于商业目的处理未成年人个人数据。强调了对未成年人个人数据的保护。
作为一项条例,GDPR直接适用于所有会员国,GDPR允许在某些领域减损的条款以及允许会员国将GDPR的内容纳入其国内法律法规中。德国的数据保护法律框架由直接适用的GDPR和补充GDPR的德国联邦数据保护法组成。德国于2017年7月颁布联邦数据保护法修正案,该修正案目的在于确保电子通信部门在数据处理方面给予一定程度的保护。新的联邦数据保护法的范围也比 GDPR更广,它适用于联邦和州公共机构以及私人机构。GDPR对个人数据的处理必须遵守合法、公平和透明的原则、目的限制原则以及数据最小化等原则,德国在本国内维护未成年人数据安全时同样遵循相关的原则。GDPR包含在直接向未成年人提供“信息社会服务”时同意数据处理的具体规则,指的是若未成年人不满16岁,网络运营者必须得到父母的同意,德国同样遵守该规则以及没有降低欧盟设立的关于未成年人的年龄。德国没有公布如何执行这一 GDPR要求的官方指导,但德国联邦法院2007年关于涉及访问色情网站的年龄验证系统的案子具有借鉴意义,联邦法院列出了青年媒体保护委员会(KJM)建议例如过技术手段进行识别,如网络摄像头或识别生物特征。
该修正案将于2021年5月1日生效。法案草案指出,法案需要修正的必要性在于儿童和青少年对媒体使用的变化,同时进一步涵盖了未成年人运用网络相关的风险。该修正案要求媒体保护未成年人的目的是保护未成年人免受损害的内容的影响,保护他们完整的人格,促进媒体素养的提高。青少年保护法(修正案)针对儿童或儿童使用的互联网服务提供商有义务制定预防措施,使儿童和青少年能够“无忧无虑地在线参与。”这些措施是年龄的默认设置、年龄验证系统以及完善目标受众的投诉机制等措施。
韩国自2003年第一个“儿童安全年”后,非常重视儿童保护问题,建立了一个以儿童福利法为基本法律的儿童保护法律体系。但2020年韩国“N号房案件”震惊世界,更让韩国修订法律。2020年4月29日,韩国国会法制司法委员会(法司委)召开全体会议,通过了《Telegram“N号房”事件防治法》,其中包括《关于性暴力犯罪处罚的特例法修订案》《刑法修正案》《关于限制犯罪收益隐匿的规定及处罚的法律修订案》等。委员会通过的法案将提交到国会全体会议进行表决。此次在《刑法修正案》中将未成年性自主决定权从13周岁提高到16周岁,扩大了保护范围。即与16岁以下的未成年人发生性关系均视为强奸。对于新增的扩大范围,即强奸受害未成年人年龄在13岁以上16岁以下的情况,只对年龄在19岁以上强奸者进行处罚。2020年5月7日,韩国科学技术信息放送通信委员会在国会召开会议,一致通过信息通信网法修订案。该修订案明确规定信息通信服务提供者中符合总统令标准的企业负责人为防止非法拍摄视频流通的责任人,同时加强在儿童法律保护体系中针对未成年人个人信息的网络保护。
其修正案的主要目的在于尽量减少重叠的数据隐私法规和多个监督机构导致的监管人员的冗余监管。通过引入"假名数据"的概念,使得数据得以灵活的方式使用。修正案将区分"个人数据"、"假数据"和"匿名数据",将"匿名数据"排除在个人数据范围之外,假名数据在未经同意的情况下可以对其经行处理。法案规定关于个人信息的披露、更正错误、删除等方面的经行规定。网络运营者必须解释他们收集哪些数据以及如何处理这些数据,必须说明他们将使用和保留数据多长时间,并且告知个人相关的权利。网络运行者必须维护个人信息的准确性以及个人用于删去个人信息的权利,同时必须遵守保护个人信息安全的规则,并在数据泄露时及时通知。网络运行者可以任命一名数据隐私官员,数据隐私官不需要在政府登记,但在发生违规行为时必须与政府联系报备。该法案规定未满14岁的未成年人的个人信息运用需要征求未成年人法定父母的同意。对于没有经过法定代表人同意收集未满14周岁未成年人个人信息,处5年以下有期徒刑或者以下罚金,罚金超过5000万韩元。同时该法案加强个人数据保护委员会的权威,由于保护个人数据有关的执法权力分散在各政府机构,法案规定更集中于个人数据保护委员会。
该法案的目的在于通过促进信息和通信网络的利用、保护使用信息和人信息以及发展健康的网络环境。该法案规定韩国通信委员会应采取措施保护未成年人权益,其中包括开发对传播内容进行筛选的软件、加强保护青少年的教育活动等。同时提出信息通信服务提供者需指定一名负责保护青少年的人,以防止青少年在信息和通信网络中向青少年提供不健康的信息及其泄露个人信息等。
三、我国法律对未成年人个人信息网络保护的新变化
国内对未成年人个人信息网络保护的研究较晚,但是对于未成年人的个人信息网络保护却有着高度的重视。我国在民法典第六章对隐私权和个人信息保护进行了规定,这些规定中就包含对于未成年人的规定。2019年出台了《儿童个人信息网络保护规定》对不满十四周岁的未成年人个人信息的收集、存储、使用、转移、披露等活动进行相应的规定,是我国对针对未成年个人信息隐私保护的专门的规定。2020年新修订的未保法增加了相关内容,对于未成年人个人信息网络保护不断优化相关的法律以及相关措施。
无论是成年人还是未成年人个人信息泄露的现象都较为严重,特别是未成年人对其自身信息的保护能力较弱。在对未成年人网络信息保护方面,家长及其监护者、网络服务者对于未成年人信息的保护监管等方面进行了具体的规定。新修法案中第五章网络保护章节中设定了信息处理者应当遵循合法、正当和必要的原则处理未成年人网络上的个人信息。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时处理。同时网络运营者有义务对未成年发布在网络上的信息进行提醒以及采取保护措施。在网络保护这章的修改中可以看出当下对未成年人的侵害不仅仅在现实社会,同时也在网络虚拟环境。网络虚拟环境下对未成年人侵害,发现取证等方面更加的困难。加强相关的法律法规的调整顺应现实社会中对未成年人网络个人信息保护的需求。
这是我国内专门一部关于未成年人的个人信息保护的按律法规。主要目的在于保护未成年人的个人信息安全促进未成年人健康成长,法规主要使用于不满十四周岁的未成年人。法规首先明确规定了网络运营者需要制定专门的规则和用户协议以及需要专门的人对儿童的个人信息进行保护。其次对于父母同意制定,相对于域外法律增加了当事项发生变化时,需要再次征询父母同意的内容。最后对最小伤害儿童个人信息方面进行规定,提出最小范围内对儿童个人信息进行获取、使用、储存等。对于《儿童个人信息网络保护规定》的颁布虽然对维护未成年人的网络隐私有力的保障,但依旧有着不足的地方。廖家琦通过对《儿童个人信息网络规定》的梳理以及对网络平台的调研指出,各平台对个人信息的政策的制定应该考虑到现实的情况,不应只制定宣传性的政策,增强政策的可实施性,同时对于未成年人个人信息的保护应建立多方位的保护体系。对于未成年人网络隐私方面的保护在立法方面需要进一步的加强,不断地完善立法体系,增强法律的可实施性。
四、智能传播中完善未成年人个人信息网络保护的基本要求
未成年人个人信息保护是一个非常重要的问题,又是一个非常大的难题。相较于成年人的个人信息保护,未成年人个人信息保护还涉及权利主体与权利行使主体的分离,未成年人与监护人对权利认知和知情同意的难题。特别是在智能传播的环境下,对于未成年人网络保护提出新的要求与挑战,例如在国内 APP中推行青少年模式。青少年模式有效的保护未成年人的网络隐私,但媒介运行中青少年模式存在着内容较为单一、为其商业利益为未成年人提供破解青少年模式的方式、无法有效的识别未成年人等问题。媒介在运行中泄露未成年人网络隐私不仅会对未成年人上的身心带来危害同时也为其它类型的犯罪埋下伏笔,例如为一些恋童癖、强奸犯提供了信息。因此需要不断地完善相关的法律法规以及提高媒介、父母、未成年人自身的保护意识和能力。
在新时代下,媒介不再是被动地受到政府管控的,媒介越来越成为一个半独立机构。媒介在运行时有着自己的运行逻辑,并对社会的各个环节产生影响。当今文化与社会的媒介化使得在理解社会的运行过程中时越来越依赖媒介及其媒介运行的逻辑。媒介的运行在当今社会的发展产生重要的作用与影响,媒介有着自行的运行逻辑,追求商业价值同时有着对未成年的个人信息进行保护的义务。董玮指出媒介在运行中应当追求真善美,强调善优于媒介的自身的权利,让未成年人的网络隐私得到更好的保护。同时提出对于未成年人的网络隐私应当遵循保障未成年人自主性原则、对未成年人的数据隐私中立原则、对未成年人数据保护公正原则。媒介在运行需要保障未成年人对网络信息的运用及其对自身的个人信息等隐私拥有自主权,不因特殊的目的运用未成年人的个人信息,进而对未成年人合法权益造成伤害。媒介在运行中对其保护更应该遵行伤害最小化原则。媒介伤害最小化原则的内涵实则包含了其它原则,对于未成年人伤害最小化的同时也保证未成年人运用网络以及对自身信息的支配权。同时我国《儿童个人信息网络保护规定》中第十二条规定,规定网络运行者不得超过收集使用目的所需的期限,体现了对于未成年人的信息收集应当遵循最小化原则。在对媒介运行伤害最小化的规定可以借鉴美国联邦贸易委员会制定的《企业六步合规计划》,对如何获取父母同意的方式进行了详细的规定,对获取未成年人信息进行严格的把控,最低程度的收集未成年人的个人信息,对未成年人的个人信息的泄露程度逐渐最小化,对未成年人的伤害程度降低到最低。
最有利于未成年人原则呼应着关于未成年人法律一个核心“儿童最大利益原则”。儿童利益最大化原则最早提出是在《儿童权利公约》,同时域外其它国家在制定关于未成年人相关法律时所遵循的一大原则。例如英国的《儿童法》明确显现这一原则,同时这一原则进行了细化,提出了利益最大化的评判标准。《儿童权利公约》第三条规定:关于儿童的一切行动,不论是公私社会福利机构、法院、行政当局或者是立法机构执行,均以儿童的最大利益为一种首要考虑。在我国的2020年新修定的未成年保护中也明确的强调未成年人利益最大化原则,这是我国首次在法律法规中明确未成年人利益最大化原则,是我国对于未成年人保护上的一大进步。未成年人虽然作为一类弱势的群体,但作为个体拥有和成人一样的权利,未成年人拥有对自己个人信息处理的权利,父母及其网络运营商不能够对其合法的权益进行伤害。为进一步维护未成年人的权力需要对未成年人隐私权利保护的标准以及不断完善父母同意制度。夏梦颖指出对于未成年人个人信息的认定标准是随着大数据环境不断变动而变动的,对于未成年人网络隐私的保护需要结合具体的场景。同时对于未成年人的个人信息经行一定的区分,明确底线标准,对未成年人的网络隐私进行区分化管理。在对监护人同意的法律制度完善中提出,明确网络运营商的职责,加强对监护人同意核实的有效性,以及对监护人同意进行一定的限制。对于未成年人的网络个人信息保护需要根据实际情况来进行保护,以及对未成年人的网络隐私保护划分一定的标准。对未成年人的网络隐私进行区分化保护,有利于未成年人既有拥有平等的运用网络的权利同时也对未成年的合法权益进行了保护。在很多国家对于父母同意制度达成了一定的认同,包括我国的相关法律法规也有对父母同意制度的规定。但是都没有对父母同意制度中父母获取使用未成年人网络信息进行限定,在现实很多的案例中对于未成年人的个人信息隐私泄露事件是通过父母的行为不当行为产生的。因此需要加强对未成年人父母获取使用未成年人个人信息进行详细的界定与约束。
媒介需要不断的加强对未成年人个人信息网络保护重视度,不断规范行为加强管理。对未成年人网络隐私进行分层管理,加强建设完整的监督体系。侯浩翔指出对于未成年人的隐私需要建立可行性的保护规制,设置事前、事中、事后监督体系,确保制度的实施的效力。通过建立相关的委员会或者像德国设立的联邦数据保护官对未成年人隐私进行一定的划分,进行分层管理,对于未成年人网络隐私根据实际情况采取保护措施。事前媒介运行应当遵行维护未成年人网络隐私的规章制度,遵守未成年人利益最大化原则。政府可以借鉴美国儿童安全港计划对相关的媒介赋予一定的自主权,即维护了未成年人的网络隐私的安全又促进媒介自身正常的运行。事中建立对于未成年人网络隐私遭受危害的风险评估机制,对未成年人网络隐私遭受侵害的程度进行及时有效的评估等。事后加强奖惩制度的落实、对于相关主体行为的监督以及相关主体对未成年人网络隐私的意识教育等措施。
我国多部法律法规明确指出,在网络运营者在收集、存储、使用等未成年人个人信息时需要征求未成年人父母及其监护者的同意,父母对未成年人的网络保护具有相关的义务与责任。例如在2019年海外版TikTok因没有获得未成年人父母的同意,泄露未成年人个人信息违法了COPPA相关规定,面临着570万美元罚款。父母需要重视和提高对未成年人网络隐私的保护意识以及防御措施,及时的为未成年人提供保护。儿童权利公约中第十七条规定,缔约国确认大众传播媒介的重要作用,并应确保儿童能够从多种国家和国际来源中获得信息和资料,尤其是旨在促进其社会、精神和道德福祉和身心健康的信息和资料,同时明确了未成年人拥有发展参与权,未成年人是拥有运用网络的权利。对与未成年人运用网络不能是简单的禁止,而是“疏”与“堵”相结合。成年人并不能时刻对未成年人上网情况进行监督,对于未成年人的自身的保护需要有他者保护转换到自我保护和他者保护相结合。增强未成年人自我保护意识及其强化未成年人保护自身的行为。卡斯特指出互联网的使用者会基于某种共同的兴趣和价值加入到线上的某些团体,最后都会成为提供个人实质上和情感上的支撑。未成年人上网会选择自己感兴趣以及符合自己价值观的活动,因此对于未成年人需要事前培育其正确积极的价值观,增强其判别能力,使其认识自身也是维护自己网络隐私安全的主体,对自身有着保护义务。同时网上的团体能够给未成年人提供实质和情感上的支撑,在培育未成年人形成正确的价值观念,使未成年人可以一开始选择符合自身价值能够促进未成年人进一步发展的线上团体,能够促进未成年人保护自身网络隐私安全的意识的增强,规范未成年人的行为。
无论是国内还是域外,未成年网民不断地在扩大,对于其网络隐私的保护不仅仅是单个主体的职责。国家不断地完善优化相关的法律法规、父母及其未成年人自身不断加强保护不断地提高不断的提高自律性等,为未成年人的网络个人信息保护提供完整的保护网络,促进未成年人在智能传播环境下能够获取更多的知识以及免受外界的侵害。
往期精彩回顾
王迪|数字平台市场大型科技企业并购初创企业的违法性判定及规制路径
上海市法学会官网
http://www.sls.org.cn