被忽视的儿童网络隐私保护

2019-06-03 18:04:58

 

一个未成年的孩子,在家长并不知情的情况下,便可自行将手机号码、电子邮箱等信息提交给各类网络平台,完成注册。未成年人对平台将如何存储和使用自己的个人信息也往往是一知半解。

上述场景时有发生。这是因为在并不明晰的法律规则下,多数网络平台在收集、使用用户个人信息时并未建立起未成年用户年龄验证制度,以及事实上取得监护人同意的规则,未成年人网络隐私保护因而存在很大的风险。

根据共青团中央维护青少年权益部、中国互联网络信息中心(CNNIC)于3月26日共同发布的《2018年全国未成年人互联网使用情况报告》,中国的未成年人互联网普及率达93.7%,未成年网民规模达1.69亿人。

未成年人“触网”数量日益庞大,但针对未成年人个人信息网络保护的立法仍处于空白状态。好消息是,近期已有相关法律法规涉及前述议题:4月20日,民法典人格权编草案提请十三届全国人大常委会第十次会议审议。草案新增规定,收集使用未成年人个人信息的,应征得其监护人同意。此外,《未成年人保护法》也将于今年迎来大修。

然而,无论是新法出台,还是旧法修订,均需时日。当下的困境是,中国尚没有针对未成年人个人信息网络保护的位阶较高、效力较高的法律规定,遑论与其相适配的落地细则。与之互为因果的是,全社会在法治和观念层面,都未能形成应当对未成年人网络隐私进行特殊保护的意识。

“青少年模式”的启示与争议

36岁的张珊(化名)发现,最近打开抖音时,会看到是否进入“青少年模式”的提醒。作为两个孩子的母亲,张珊对《财经》记者表示,8岁的大儿子和6岁的小儿子每天都会吵着要看抖音,她期待看到平台方有更多针对未成年人的保护举措。

事实上,抖音早在2018年7月就推出了“青少年模式”。抖音相关负责人声称,用户开通“青少年模式”后,将只能浏览由抖音青少年内容团队所精选出、适宜未成年人健康成长的短视频内容,且无法使用包括打赏、充值、提现、直播等在内的相关功能。抖音之外,包括快手在内的其他短视频平台也推出了类似模式。

不过,青少年指的是哪个年龄阶段的未成年人?这个概念并未出现在已有的法律文件中。事实上,在针对个人信息的网络收集、使用行为的规制中,尚无专门性法律明确将未成年人与成年人区别开来。仅推荐性国家标准《信息安全技术个人信息安全规范》(下称《个人信息安全规范》)中有所提及。

面对网络社会中无处不在的信息收集和使用,未成年人该如何甄别其正当性和合法性?中国青少年研究中心青少年法律研究所所长郭开元表示,仅靠未成年人个人,是不可能实现的。未成年人心智发展尚未成熟,欠缺社会经验,判断能力不足,没有完全的行为能力,属于应当给予特殊保护的群体。

而根据《个人信息安全规范》的规定,收集年满14周岁的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。

北京德和衡律师事务所律师周杨指出,可以认为14岁-18岁是《个人信息安全规范》划定的青少年标准,而14岁以下的认知能力较弱的人群则应该视为儿童予以特别保护。

未成年人处于成长发展过程中,人格独立和权利意识也逐渐趋于健全。郭开元就曾遇到过这样的案例:年轻的父母自觉有趣,将孩子小时候的搞怪照片、视频发布至公共平台。孩子逐渐长大后,部分人对父母的前述行为的适当性表达了质疑。“在我所接触到的案例中,一般12岁左右的孩子就会逐渐开始有这种自主思考与判断。”郭开元称。

周杨也赞成细分青少年和儿童两个群体。“这也是减轻企业商业压力的可能方式。对儿童,企业毫无疑问应该投入成本落实家长同意的形式;而对已有一定自主意识和处理能力的青少年,则可由未成年人用户直接授权。”

北京航空航天大学法学院教授周学峰则表示,确定了年龄划分,才有可能开启整个未成年人网上个人信息保护机制的第一步,即进行实质上的年龄申报与验证。

但在目前多数企业设置的规则中,并未将年龄申报与验证作为前置步骤。以上述“青少年模式”为例,即便未成年人不选择“青少年模式”,仍可能正常使用。

早于前述短视频平台发展壮大的游戏企业在未成年人保护问题上最先承压,也因此作出了更多探索。目前已有头部平台通过与公安部门合作强化实名校验、人脸识别验证等方式来实现未成年人的年龄和身份认证。

“虚设”的家长同意?

张珊注意到,一些平台针对未成年人的隐私保护条款中,会有“监护人同意”的相关表述,但她作为两个孩子的母亲,却表示并不完全掌握“决定权”。

《财经》记者查阅了市场上较受欢迎的两家短视频平台的用户服务协议与隐私政策中的未成年人保护条款,其内容意旨都很类似,关于“监护人同意”的相关规定表述也很相似。

以其中一家平台的具体条款为例,其载明,“我们根据国家相关法律法规的规定保护未成年人的个人信息,只会在法律允许、父母或其他监护人明确同意或保护未成年人所必要的情况下收集、使用、共享或披露未成年人的个人信息。”

此外,在隐私政策的开篇,该平台即作出如下提示,“若你是未满18周岁的未成年人,在使用本软件及相关服务前,应在你的父母或其他监护人监护、指导下共同阅读并同意本隐私政策。”

这意味着,未成年人用户自己在注册该产品前,需要阅读上述协议与政策,征得家长的同意。但因没有任何年龄申报和验证机制,这实质上成为针对未成年人的自律机制。

周学峰认为,此种条款设计可以起到提醒的作用,但是,其在保护儿童网络隐私方面能够发挥多大的实际作用尚有待检验。更有专家直言,“这相当于让未成年人用户自己确保自己的行为获得了监护人的同意和授权。在中国法律体系下,不能说不合规,却极可能没有什么实质作用。”

在周杨看来,采用类似的“家长同意”条款违背了相关立法的本意,“从未成年人保护的角度来说,立法的本意在于保护意识尚未健全的孩子,但这么去做,相当于要求未成年人自己作出一个行为合规性的判断。”

个人信息收集、使用的知情同意在国内外的法律规制中都已成为共识。知情同意原则是指平台方应当明确告知用户其收集信息的范围、方式、目的,并获得用户同意。具体到条款,《网络安全法》规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

周学峰认为,“同意”其实是一种意思表示,其主体应该具有相应的民事行为能力。根据中国《民法总则》的规定,不满八周岁的未成年人为无民事行为能力人,所谓“同意”应当由其监护人做出,而八周岁以上的未成年人为限制民事行为能力人,其做出“同意”的事项应当仅限于其能够理解的、与其年龄及智力相适应的事项,而对于其他事项,则仍应获得其监护人的同意。

鉴于中国现行法律法规对收集和使用未成年人信息时需经监护人同意的规则未作出强制性规定,仅在前述《个人信息安全规范》中有所提及,但因其为推荐性国家标准,不具有强制性,市场和企业实质上作出了另一番选择。周杨表示,前述平台的协议模式比较常见,企业出于运营成本考量,往往会采用这种方式试图说明自己已经履行了未成年人保护义务。

而头部互联网企业目前针对未成年人网络保护的探索多集中在游戏领域,且多与防沉迷相关。周杨建议,应当从个人信息的角度而不仅仅是防沉迷、网络内容净化等角度予以规制,由把控未成年人使用时长等“环境控制”类的措施推至对儿童、青少年个人信息的特殊保护,从未成年人进入网络环境开始,即应当区分其身份,并针对性地提供服务。

可供对比的是,国外不少互联网头部企业在针对未成年人隐私保护方面作出了很多技术上的努力和创新。从合规角度来看,执行相对严格者当属苹果公司。业内人士认为,该公司的具体规则基本与《儿童网络隐私保护法》(Children’s Online Privacy Protection Rule,下称COPPA)一致。比如,苹果公司有“家人共享”计划。其隐私政策载明,13周岁以下的儿童无法自行创建 Apple ID,如需创建,家庭组织者需要提供经验证的家长同意书,并代表儿童在家庭群组中创建Apple ID。

COPPA于1998年由美国国会制定、总统签署通过,并在2000年正式生效。它作为国际上较早颁布的关于儿童网络隐私保护的法律,影响深远。美国联邦贸易调查委员会(Federal Trade Commission,下称FTC)已据此对违规企业作出过多例处罚。

当地时间2月28日,美国短视频社交应用Musical.ly(于2017年被字节跳动收购)因违规收集儿童个人信息,被FTC处以570万美元巨额罚款,这是FTC迄今为止因儿童隐私案而作出的最高额的民事罚款。

虽然上述案件调查发生在字节跳动收购Musical.ly之前,但因Tik Tok为其现运营者,Tik Tok又多被视为抖音国际版,“抖音国际版”被罚的说法一度甚嚣尘上。抖音母公司字节跳动副总裁李亮就此公开回应,“FTC的调查及此次和解都是(针对)Musical.ly,与抖音、Tik Tok没有关系。”

FTC官网的公开资料显示,支付570万美元的和解费用之外,Tik Tok还必须删除Musical.ly平台上13岁以下儿童制作的所有视频,并采取多项措施以遵守COPPA规则。

据南方都市报报道,曾参与起草COPPA的参议员Ed Markey指出,“FTC的处罚强调了一个我们早已知晓的事实:企业不会额外考虑儿童的个人信息,也许这个罚款金额是所有案例中最高的,但相较对涉事儿童造成的伤害,以及对未来企业违法形成震慑,还是远远不够高。”

立法尚存空白

一个值得注意的现象是,越是在对未成年人个人信息有系统法律保护的国家和地区,如美国与欧盟,越是有众多儿童网络隐私泄露事件的披露。反观中国,鲜见类似事件曝光。有法律界人士表示,这并不意味着中国相关领域安全保护工作的完备,更可能归咎于立法的空白和整体保护意识的淡薄。

上述法律界人士就曾遇到过未成年人信息被泄露的事件。因黑客侵入,中国一家为教育系统提供网络服务的互联网企业泄露了大量未成年学生的个人信息。但在当地教育局和公安、网警介入之前,该公司上下并未感到紧张。

“他们缺乏这样的意识——未成年人的个人信息是特别的,应当得到特别的保护。”该人士如是描述对方咨询此事时的态度。

所幸,在行政和公安力量的介入下,泄露信息被追回,黑客也落网。事件也并未进行公开披露。但是否所有曾经历过类似危险处境的未成年人网络数据都有此种“幸运”,外界不得而知。

值得期待的是,最近中国与个人信息保护相关的法律法规修订的细节接连公布,部分内容也言及对未成年人网络隐私的保护。在周学峰看来,多部法律的(可能)条款都注意到了这个问题,说明大家存在共识,这个问题是很重要、很迫切的。

4月20日上午,民法典人格权编草案提请十三届全国人大常委会第十次会议审议。二审稿新增规定,对于收集使用未成年人等无民事行为能力人或者限制民事行为能力人的个人信息的,应征得其监护人同意,但是法律、行政法规另有规定的除外。

4月21日,《个人信息告知同意指南(草案)》(下称《指南(草案)》)对收集未成年人个人信息征得监护人同意的具体方式作出了修订。周杨告诉《财经》记者,《指南(草案)》将《个人信息安全规范》关于如何获取监护人同意的规定具体化,让其落地有了进一步实施的可能。

此外,据央广网报道,《未成年人保护法》修订草案今年有望提交全国人大常委会审议。北京市青少年法律援助与研究中心主任佟丽华作为专家代表,给全国人大相关机构起草了专家建议书,其所提建议包括,顺应网络发展现状,在法律中增加网络保护一章。

更早之前,2017年2月,国务院法制办公布《未成年人网络保护条例(送审稿)》,向社会公开征求意见。2018年10月份,司法部办公厅就前述条例送审稿的修改版本向各部委征求了意见。

这意味着,中国针对未成年人网络信息保护的立法空白的填补方向逐渐清晰。民法典人格权编的位阶较高,将未成年人个人信息保护充分提到其应有的高度。结合包括《未成年人保护法》《未成年人网络保护条例》等专门性法律法规,有望覆盖民事、行政和刑事责任的规制。

周学峰告诉《财经》记者,监护人同意制度的立法中有两点需要注意:

第一,其关键在于落实和执行,这需要后续明确的责任规制。若处罚力度跟不上,再严格的条款也可能形同虚设。

第二,监护人同意的实施需要整套机制的建立和配合。这套机制应当明确收集、使用信息者的注意义务的合理边界,并应当具有技术上的可行性,建议由主管部门或行业协会制定一套行为指引,供互联网企业进行业务合规审查时参考。

周杨认为,以美国COPPA为鉴,法律法规在制定之初就应当考虑为企业的自主实践和技术创新“开口”。据悉,FTC还出台了包括《六步合规计划》《常见问题解答》《消费者指南》等指导性文件。其中《六步合规计划》详细载明了企业如何一步步获得儿童监护人的同意,并对这些已经获得的同意承担证明责任。

“立法不可能穷尽问题细节,技术的探索是很重要的。在网络社会的法律规制问题上,技术也是法律规范的一部分,技术发展到一定程度就可能变成规则。”郭开元对《财经》记者表示。

(本刊实习生秦紫函对此文亦有贡献)

黄姝静/文
隐私保护 儿童 网络