总法嘉谈|写在六一:《未成年人保护法》新修订案施行,数字时代我们能为孩子做些什么?
来源:律商视点
儿童节的由来
如今孩子们向往的儿童节在设立之初其实缘起于一个悲伤的故事。二战期间的1942年6月10日,纳粹德国军队为报复利迪策村村民掩护杀害纳粹将领的游击队员,屠杀了全村15岁以下的173名男性,妇女被送进集中营,另有88名儿童在集中营被毒气杀害。此次屠杀共约340人遇难,史称“Lidice Massacre”。1949年11月国际民主妇女联合会在莫斯科理事会议上为悼念利迪策惨案死难的儿童,决定以每年的6月1日为国际儿童节,反对虐杀儿童,保障儿童的生存权、保健权和受教育权,改善儿童的生活。
六一儿童节临近,当我们谈论儿童的各项权益保护时,我回忆自己对儿童权益保护的关注缘起于2018年的那个冬天。那年圣诞节后,自己代表加州伯克利大学法学院前往美墨西北边境城市蒂华纳(Tijuana)参加了国际难民援助项目。当时有数十万来自洪都拉斯、海地的难民包括儿童为逃离本国的暴力、贫穷和腐败,一路逃难到墨西哥边境,希望入境美国。而当时特朗普政府为防止难民入境,在美墨边境筑起了一道延绵220公里的边境墙,当地墨西哥政府出动警力试图将他们驱逐出境,甚至使用催泪瓦斯。我们到达蒂华纳的前一周,就有三名儿童被黑帮袭击惨死于蒂华纳街头。在难民援助期间,我曾到当地教会组织的地下儿童难民营里探望那些来自洪都拉斯的孩子们。他们的父母都在逃难途中遇难了,他们无依无靠,每天过着心惊胆战的日子。当时难民营里一条重要规定就是,禁止与孩子合影。原因是之前曾发生过有人把与孩子的合影发到其facebook等社交网站,泄露了孩子的位置,让跨国黑帮发现了这些孩子的行踪,使他们遭到迫害。这次难民援助经历,越发促使我关注儿童的权益保护。
2019年回国后,恰逢国内正在修订《未成年人保护法》,我有幸参加了中国社会科学院大学互联网法治研究中心举办的社科大未成年人网络保护论坛关于未保法网络保护专章立法的学术研讨会,围绕未保法修订草案网络保护部分进行研究探讨。或许是有感于那次难民援助,亦或许是自己从事的法律行业与儿童相关,我对于网络环境下儿童个人信息保护尤为关注。
01
新修订的《未成年人保护法》
《未成年人保护法》修订案几经讨论易稿,终于在2020 年10 月17 日第十三届全国人大常委会上正式表决通过,而今年6月1日,它将伴着国际儿童节正式施行。
就我国未成年人保护法律法规体系而言,制定于1991 年的《未成年人保护法》是其最主要的核心法律规范。经2006 年、2012 年两次修订,《未成年人保护法》及其配套制度已逐步完善。而2020年的这次修改更是一次全面修改,无论在结构上还是在内容上都较以往有了重大变化。从结构上来讲,从过去“七章”增加到现在的“九章”,增加了“网络保护”与“政府保护”两章,结构体例更加合理。在内容设置上,新增的第五章“网络保护”专设了17 条内容,针对未成年人健康参与网络活动加以规范和引导,这是以前未保法版本所没有的,是我国未成年人网络保护法律法规体系的重大进步。
其实,一直以来,未成年人网络保护是政府、社会、学校及家庭密切关注的议题。第46次《中国互联网络发展状况统计报告》显示,截至2020年6月,我国网民规模为9.40亿,普及率达67.0%。其中,19岁以下网民占18.3%。另据《青少年蓝皮书:中国未成年人互联网运用报告(2020)》显示,未成年人首次接触互联网的年龄呈下降趋势,未满(含)十周岁开始触网的比例达到78%,首次触网的主要年龄段集中在6至10岁。
回顾未保法新修订前,我国已出台的涉及未成年人网络权益保护领域的规范性文件总计达50余部,其中有15部系专门的规范性文件,主要为行政法规和部门规章等;而非专门性规范性文件但含专门条款的法律法规也已达22部,包括法律、行政法规、司法解释、部门规章和行业规定等。例如:
(1)我国未成年人保护史上具有里程碑式意义的《未成年人保护法》1991年通过,在2006年12月29日第一次修订时,首次在第33条、34条、58条、64条分别对网络沉迷、不良网络信息、个人信息保护和法律责任方面对未成人网络权益保护进行了规定。
(2)《网络安全法》于2016年11月7日颁布,作为我国第一部规范网络安全的法律,它对不良信息监管以及网络信息保护等内容予以明确,在第13条对未成年人网络保护作了原则性的规定。
(3)2017年1月6日国务院法制办公布的《未成年人网络保护条例(送审稿)》向社会各界公开征求意见,拉开了我国未成年人网络保护专门立法的序幕。该送审稿在网络信息内容建设、未成年人权益保障、预防和干预、法律责任等多个方面作出详细规定,涉及网络游戏宵禁条款、网络欺凌举报和责任、网络个人信息收集使用限制等。但该条例至今尚未出台。
(4)2019年8月22日国家互联网信息办公室颁布了《儿童个人信息网络保护规定》,该规定共有29条,主要针对不满14周岁的未成年人个人信息安全问题作出了专门规定。
(5)2019年12月15日国家互联网信息办公室发布的《网络信息内容生态治理规定》专门强调,网络信息内容生产者和内容服务平台要采取措施防止未成年人获得违法和不良信息。
02
网络环境下未成年人个人信息保护
今年年初,一则全国首例未成年人网络保护民事公益诉讼案的报道引起公众的广泛关注。2021年3月11日,浙江省杭州市余杭区检察院诉国内知名短视频公司侵犯儿童个人信息民事公益诉讼案,经杭州互联网法院出具调解书后结案。该短视频公司在开发运营其APP过程中,未以显著、清晰的方式告知并征得儿童监护人有效明示同意的情况下,向具有相关浏览喜好的用户直接推送含有儿童个人信息的短视频,也没有采取技术手段对儿童信息进行专门保护。该短视频公司对检察机关提出的停止侵权、赔礼道歉、消除影响、赔偿损失等诉求均无异议,目前已针对所存在的问题开展全面内部整改。该案是民法典施行和《未成年人保护法》修订后,检察机关针对未成年人网络保护提起的民事公益诉讼全国第一案。
其实早在2020年7月,在工信部发布的《关于侵害用户权益行为的APP通报(2020年第二批)》中,数十款以未成年人为受众的教育类APP被点名通报,智慧树、乐学高考、洋葱学院、小盒学生、乐教乐学涉及私自收集个人信息、过度索取权限、私自共享给第三方等多种问题。所以,个人信息保护,尤其是在网络时代如何更好地保护未成年人权益,已经成为我们密切关注的社会问题。
在《未成年人保护法》第三次修订之前,2019年8月国家网信办出台了《儿童个人信息网络保护规定》,作为我国首部儿童个人信息保护的行政法规,明确了儿童个人信息的收集和处理应当遵循明示同意原则,网络运营者应当设置专门的儿童个人信息保护规则和用户协议,指定专人负责儿童个人信息保护工作,体现了从严保护的总体思路,建构了儿童个人信息保护的闭环。其中第七条规定“网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则”。2020 年 3 月,国家市场监管总局与国家标准化委员会发布的《个人信息安全规范》( GB /T 35273 - 2020) 将 14 岁以下( 含) 儿童的个人信息列入“敏感个人信息”。而2020 年 10 月修订后的《未成年人保护法》进一步强化了对未成年人个人信息的保护,扩大了个人信息安全保护的范围,并对个人信息处理环节的要求进行了完善。此外,新修订的《未成年人保护法》强化了未成年人信息的删除权,未成年人、父母或者其他监护人均有权要求信息处理者采取相应措施对其信息进行更正、删除,信息处理者在收到通知后应及时做出反应,并采取相应的措施。未保法遵循“最有利于未成年人”的保护原则,明确对“未成年人隐私权和个人信息”的保护,设立“网络保护”专章,其中第 72 条规定“信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要原则”。应该说,我国对于未成年人个人信息的法律保护水平明显提升,形成了未成年人个人信息保护的规范体系。
对于网络环境下未成年人个人信息保护,主要有两方面值得我们关注:
(一)监护人同意制度
在我国,新修订的《未成年人保护法》第 72 条规定,处理不满 14 周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意。《儿童个人信息网络保护规定》第 9 条规定,网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。我国《个人信息安全规范》第 5 条第 4 款规定,收集年满 14 周岁未成年人的个人信息前,应征得未成年人或监护人的明示同意; 不满 14 周岁,应征得其监护人的明示同意。
可见,我国的各项法律法规都已明确了监护人同意这一原则。但作者认为,监护人同意制度在实操中仍存在难点,其中包括(1)如何具体规定同意的方式;(2)如何实现“最有利于未成年人”的原则。
1. 对于如何具体规定同意的方式,这是一直以来困扰网络运营者的一个实操问题。如何确认监护人同意的真实性,如何防止同意制度在实操中被人为规避,如何避免同意制度对未成年人的过度保护反向侵害年轻人的用户体验,如何在保护未成年人个人信息权益与保护未成年人在网络活动中的自由以及考虑网络服务提供者收集同意的难度之间做更好的平衡,这些在目前的法律法规中尚未明确,需要我们进一步细化明确。
在美国,1998年10月通过的 《儿童在线隐私保护法案》( Children’s Online Privacy Protection Act,“COPPA”)率先创设了监护人同意制度,其提出的 “可验证的同意(verifiable consent)”是一个好的参考。COPPA 规定: 在收集、使用或披露儿童的个人信息前,网络服务提供商必须获得可验证的父母的同意。根据COPPA实施细则(COPPA Rule),在收集、使用或披露儿童的个人信息前,运营者必须在考虑现有技术的基础上,采取合理措施确保作出同意的人确实是儿童的父母。符合 COPPA 要求的验证方法,包括以下六种: (1)父母签署同意表格后,通过传真、邮递、电子扫描等方式寄回; (2)使用信用卡、借记卡或其他网络支付手段,当场完成交易并当场向父母发送通知; (3)父母电话同意,须提供经专业训练的客服负责接听的免费电话; (4)与经过专业训练的工作人员视频通话; (5)通过政府颁发的身份证件复印件用于验证; (6)运用面部识别技术进行验证等。更为重要的是,COPPA规定在运营者对儿童信息进行非披露性的内部使用时,可采用较为简单的“加强型电子邮件”(email plus)的验证方式,即通过电子邮件取得父母同意后,再以邮件、电话等形式发送第二次通知,并告知父母有随时撤回同意的权利。
以TikToK案为例,2019年2月27日,抖音海外版TikTok被美国联邦贸易委员会(FTC)指控违反COPPA,罚款 570万美元,成为COPPA 1998年通过以来的最大一笔罚单。该案中关于父母同意,TikTok并不是没有试图获得父母同意,只是其采取的验证手段仅是给儿童的“父母”发邮件验证,这种单次邮件验证的方式,连内部使用情况下的“加强型电子邮件”验证的要求都无法达到,所以FTC认为这显然不符合COPPA的验证标准。
作者认为,对于同意的方式,不能一刀切,应允许实操中存在各种不同的获取同意的方式,同时也应结合我国目前的国情,不同规模层级的网络服务提供者以及实际数据收集使用的目的、方式等具体场景,尽量在用户体验、企业的义务责任与未成年人的权益保护之间寻求一种相对合理的平衡模式,建议轻场景轻认证,重场景重认证的原则。
2. 对于如何实现“最有利于未成年人”的原则,则应考虑针对不同年龄未成年人不同的心智成熟程度,平衡监护人的控制权,防止滥用。
联合国《儿童权利公约》里第3条确立了“儿童最大利益”原则,规定“确保有主见能力的儿童有权对影响其本人的一切事务自由发表自己的意见,对儿童的意见应按照其年龄和成熟程度给以适当的看待。”
未成年人与父母利益的一致性是监护人同意制度设置之初的假设前提。但实际生活中,子女与父母之间亦存在不同的利益和价值冲突,特别是当子女随年龄的增长,自我意识不断强化,父母监护本身在某种程度上可能对子女权利反而造成约束甚至是损害。实践中也不乏父母为其自身的利益,未经子女同意,泄露孩子的肖像和其他个人隐私,侵犯其子女的权利。因此,监护人在对未成年人个人信息的介入和控制时需要有一定限制,应始终坚持“最有利于未成年人”的原则,尊重未成年人的自我决定权,在弥补未成年人在行为能力上不足的同时,帮助未成年人作出更符合其自身利益的选择,从而避免监护权的滥用。
(二)未成年人个人信息保护的年龄标准
我国目前似乎没有统一的未成年人个人信息保护年龄界限标准。《民法典》和新修订的《未成年人保护法》均采用“未成年人”的概念,即“不满18周岁”。不过在《未成年人保护法》网络保护专章处理不满 14 周岁未成年人个人信息的,应征得监护人同意。《个人信息安全规范》和《儿童个人信息网络保护规定》仅规范了“儿童个人信息”,将年龄界限设定为 14 周岁。《信息安全技术公共及商用服务信息系统个人信息保护指南》规定,向 16 周岁以下未成年人收集敏感信息要监护人同意。
即便放眼国外,美国的COPPA适用于针对那些为 13 岁以下儿童提供在线服务的网站,以及实际知道他们可能收集了13岁以下儿童个人信息的其他在线服务运营商。2018年《儿童反追踪法案》( Do Not Track Kids Act of 2018) 对于 COPPA 中儿童年龄的限制进行了修订,将原先仅涉及13周岁以下儿童的保护制度扩大到了“12-16岁的青少年”。欧盟GDPR将儿童的年龄设定为 16岁,且成员国可以设定不低于13岁的年龄门槛。
由此,我们看到,对于13周岁以下的儿童,各国法律基本达成共识,这一阶段孩子的智力和成熟度尚不足以让他们对自身的权益保护作出独立的判断,因此需要其监护人的保护和代理同意。而关于未成年人个人信息保护的年龄标准的讨论重点集中于13-18周岁这一阶段,因为这阶段未成年人能够在一定程度上自主决定自己的个人信息,原先由监护人行使的监督和控制权逐步回归未成年人自己。在这一年龄区间,法律应根据其个人信息的具体应用场景再作进一步的细分,允许未成年人对其个人信息权进行一定的处分和决定。而对于 16-18 岁区间未成年人,如已通过自己劳动收入独立工作和生活,则等同于成年人,完全可以自主决定其个人信息的处理。而对于其他仍不能独立工作的未成年人,应仍处于受保护阶段。
从目前新修订的未保法看,实际上是放宽了未成年人决定其个人信息的年龄。即只有不满 14 周岁的未成年人,才需征得监护人同意,而对于 14 周岁以上的未成年人,则可自主决定其个人信息。上述规定虽充分考虑了未成年人在14-18周岁阶段对其个人信息的独立处分权,但可能也存在该年龄段未成年人信息保护不足的潜在问题。
此外,网络经营者的责任和义务也是未成年人个人信息保护重要的一部分。新修订的《未成年人保护法》明确了网络经营者对未成年人个人信息的保护义务。例如,根据第72条,未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除; 根据第73条,网络服务提供者发现未成年人通过网络发布私密信息的,应当及时提示,并采取必要的保护措施; 第77条,遭受网络欺凌的未成年人及其父母或者其他监护人有权通知网络服务提供者采取删除、屏蔽、断开链接等措施。网络服务提供者接到通知后,应当及时采取必要的措施制止网络欺凌行为,防止信息扩散。根据第80条,网络服务提供者发现用户发布、传播含有危害未成年人身心健康内容的信息的,应当立即停止传输相关信息,采取删除、屏蔽、断开链接等处置措施,保存有关记录,并向网信、公安等部门报告。
当然,我们也发现,新修订的未保法的网络保护专章17条共设置了12条义务性条款,但却缺少对应的法律责任设置。未保法第8章专设法律责任,但除了第129条原则性规定侵害未成年人合法权益要承担民事责任和刑事责任外,直接规定未成年人网络保护的法律责任的条款仅有第127条,这样较为笼统的法律责任设置,在实践中可能影响法律的可操作性。我们期待今后有更为具体的法律责任条款能帮助落实这些法律义务的实行。
结语
孩子是我们的未来。这一代的儿童,他们出生和成长于数字时代,他们作为互联网原住民,大数据和网络已与他们的生活学习密不可分。在2021年六一儿童节来临之际,我们回想节日设立之初心:保障儿童各项权益,保护儿童的健康安全成长;在《未成年保护法》新修正案即将生效之际,我们期待孩子们的隐私和个人信息在数字时代中得到更好的保护。
亲爱的孩子们,保护你们健康、安全的成长,或许是我们法律人在这个节日里能为你们做的最重要的事情。
作
者
介
绍
江瑛
某北欧知名公司
中国区法务总监
中国区管理层成员
江瑛目前担任某北欧知名公司中国区法务总监,中国区管理层成员。拥有十多年在律所执业以及世界500强美企和北欧公司法务工作经验。获中国和美国纽约州律师执业资格。华政法学硕士,美国加州伯克利大学LL.M.(获科技法和商法双证),国家二级心理咨询师。上海市律师协会特邀委员,公司和商事专业委员会委员,上海市企业法律顾问协会外资企业法务专委会办公室负责人,中国欧盟商会网络安全法、竞争法、法律与合规工作组成员,国际隐私认证协会(IAPP)会员并获CIPP/E和CIPM证书。
专栏·总法嘉谈
作为一名法律人来说,“总法律顾问”意味着时光与经验的沉淀,意味着资历同智慧的兼具!
他们就像是大海中的灯塔,天空中的明星,指引着法律人努力的方向。
其实——他们还实力与文采并存,有一颗笔耕不辍的心!
“总法嘉谈”专栏由此而生。
我们将收集总法律顾问们的笔墨佳作,感受他们字里行间流露出的专业素养和人生智慧。
站在他们的肩膀上,读法律、看人生、观世界。