截至2018年7月31日,我国未成年网民数量已达1.69亿,未成年人的互联网普及率超93%。据《青少年蓝皮书:中国未成年人互联网运用报告(2019)》显示,上述近两亿未成年网民在上网过程中面临违法侵害、不良信息影响、个人隐私泄露、网络沉迷成瘾等四大网络风险。

其中,个人信息和隐私的泄露不仅侵害儿童的信息安全,还会因为信息和隐私的泄露致使未成年人财产和人身安全受到进一步的威胁和侵害。比如,未成年人及家长因“定制化”推送广告导致过度消费的情况;个人身份信息被泄露使未成年人遭遇网络暴力、网络辱骂;儿童物理位置信息泄露,遭到有猥亵、性侵企图的不法分子跟踪、尾随,甚至伤害。因此,未成年人个人网络信息安全保护刻不容缓。除提高未成年人及其监护人的保护意识以外,很重要的就是通过相关的法律法规政策,以赋予当事人维权手段,并为政府的监管提供依据。

供图/视觉中国

在此背景下,为规范收集使用儿童个人信息等行为,保护儿童合法权益,国家互联网信息办公室于2019年5月31日发布《儿童个人信息网络保护规定(征求意见稿)》(以下简称《征求意见稿》),向社会公开征求意见。《征求意见稿》主要是通过规范网络运营者在中华人民共和国境内收集、存储、使用、转移、披露儿童个人信息的行为,给网络运营者添加义务,明确责任。具体而言,《征求意见稿》共二十八条,主要规定了网络运营者收集使用儿童个人信息的指导原则、基本要求、具体措施、禁止事项和违法责任。

三大政策亮点保护儿童安全上网

事实上,目前我国已有上位法对公民个人信息的收集使用作出规定。《中华人民共和国刑法》中规制网络运营者非法收集和不当保护用户信息的法条有二。一是在《刑法》第二百五十三条中,规定非法向他人出售或者提供公民个人信息的刑事责任,提供网络服务的单位也可以犯上述罪行。二是在《刑法》第二百八十六条中,规定了网络服务提供者不履行信息网络安全管理义务,拒不改正……致使用户信息泄露,造成严重后果的,应受刑事处罚。单位同样可以犯此罪行。同时,在《网络安全法》第四章“网络信息安全”中,也非常全面地规定了网络运营者收集、使用个人信息的原则、要求以及不得从事的行为,并在第六十四条规定了违反相关条文的罚则。该处罚规则被《征求意见稿》第二十五条吸收。

但是,无论是《刑法》还是《网络安全法》都没有区分成年人个人信息保护与儿童个人信息保护。因此,为更好地保护儿童合法权益,为儿童健康成长创造健康安全的网络环境,有必要制定专门的法规加强对儿童个人信息的网络保护。

考虑到儿童的特殊性,《征求意见稿》有几处亮点值得注意。

第一大亮点是规定了监护人的明示同意原则。网络运营者收集、使用儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的明示同意。明示同意应当具体、清楚、明确,基于自愿。且征得同意时,应当同时提供拒绝选项,并明确告知收集、存储、使用、转移或者披露儿童个人信息的目的、范围、方式和期限等。

第二大亮点在于堵住了通过第三方收集使用的办法规避监管的漏洞。《美国儿童网络隐私保护法》1998年通过之时,并没有考虑到网络服务商纷纷通过第三方公司来规避收集使用儿童信息的限制,致使2012年该法修订时,专门制定了相关立法以消除该漏洞。《征求意见稿》正是借鉴了外国的相关立法经验和教训,在第十三、十四、十五条详细规定了网络运营者委托第三方处理儿童个人信息,共同使用以及转移个人信息的要求,全方位围堵网络运营者逃避义务和责任的可能。

第三大亮点在于确认了儿童个人信息的被遗忘权。《欧盟数据保护通用条例》第17条规定了“被遗忘权”。尽管2012年《全国人大常委员会关于加强网络信息保护的决定》第8条和《网络安全法》第43条都规定,公民有权要求网络服务提供者删除有关个人信息,但均有条件限制。比如个人身份和隐私被散布在互联网或者受到商业性侵扰,又或者网络运营者违反法律、行政法规和双方约定收集使用个人信息的。而《征求意见稿》则规定了多种情形,儿童及其监护人都可以要求网络运营者删除其收集、存储的儿童个人信息,比如第十八条(三)规定的儿童监护人撤回同意的,以及第十八条(四)规定的儿童或者其监护人通过注销等方式终止使用产品或者服务的。换言之,只要儿童及其监护人不愿意再让网络运营者收集和存储其个人信息,可以无条件通过撤回同意或注销服务等方式来要求删除。可见,《征求意见稿》赋予儿童信息的被遗忘权是较《网络安全法》所规定的一般性被遗忘权更完整、更充分的。

技术支撑和措施延伸有待加强

相关政策出台有利于儿童信息的网络保护,后续在技术支撑和措施延伸方面还有待加强。

第一,监护人的证明问题。网络运营者是否有义务查明儿童用户所提交的监护人同意是否出自其真正的监护人,即是否出自监护人的真实表达。1998年《美国儿童网络隐私保护法》出台,同样规定了家长同意原则。但如何获取家长的同意,也是困扰美国网络运营商的一大难题。当时,主要采取的认证办法有邮箱确认和提供信用卡信息等。不过,邮箱确认很容易被儿童盗用家长邮箱点击通过,因为很多家长在家庭环境中疏于保护自己的邮箱安全和私密。而提供信用卡信息的方式,也因为向网络运营商提供了更多额外的、有价值的信息而被诟病。

我们当前面临类似情况。首先,如果网络运营者想确认“李四是张三的妈妈”,可能需要向相关政府部门的数据库提交验证申请,得到肯定确证时才可以确信监护人身份的真实性,如此一来,是否会增加政府数据库端口的暴露机会,是否会造成政府信息网站更容易被黑客攻击,因此需要谨慎对待。其次,确认“明示”的技术手段,究竟是邮箱确认、信用卡信息还是当前更先进的人脸识别、指纹认证等生物识别技术?尽管生物识别技术极大程度可以证实监护人的真实本意,但很多监护人并不愿意网络运营者获取自己的重要信息。所以,这里面似乎存在一个悖论,就是为了确保儿童个人信息的网络安全,可能儿童和家长要提供更多的个人信息才能实现,这种两难情况如何突破,也是需要思考的。

第二,监护人同意通常仅仅发生在网络运营者向儿童用户提供协议之时,获得较宽泛的一揽子同意。需要考量的是,网络运营者在取得用户协议后,在用户黏性增长后,进一步收集和使用的儿童个人信息,是否还需要重新就新收集信息征得监护人的同意。此外,监护人如何实时动态地了解网络运营者收集使用了哪些儿童个人信息也是重要的方面。是否有足够的技术手段来确保监护人的实时知情权,需要互联网行业制定相应的行业规范,以较高的标准来保障监护人同意权的全程有效,以及儿童个人信息的完整安全。这里需要注意的是,儿童用户和监护人在面对网络运营者时处于技术劣势,在信息泄露或者信息转卖没有成为公众事件被曝光之前,儿童和家长很难举证自己的信息被网络运营者非法收集、存储、使用、转移、披露。因此,主管部门的定期监督和突击检查就显得非常重要。

第三,儿童信息的范围界定。对儿童信息的范围界定可以借鉴上位法作为参考。比如《网络安全法》第76条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”但美国20年来的相关实践暴露出,上述信息仍然不足以保护儿童,类似儿童的实时地址信息、照片、音频、视频等是否也应当作为保护对象?

这还涉及上述信息,可能更容易归为“隐私”而非“信息”,毕竟这两者尽管交叉但也存在区别,同时还要考虑到法律与法律之间的协调问题。因此,其他相关上位法比如《个人信息保护法》的起草、制定、生效,也会深刻影响儿童信息网络保护问题。

综上所述,作为第一份专门针对儿童个人信息保护的政府部门规章,《征求意见稿》通过明确网络运营者主体责任,要求网络运营者担负起其更高的社会责任,从而更好地保护儿童权益,是具有里程碑意义的。同时监护人应当切实履行监护义务,重视培养儿童的个人信息保护意识。政府加强监管的同时提供必要的支持。只有政府、企业和家庭共同合力,才能实现“净网”的愿景。(郭晶,上海社会科学院法学研究所副研究员)

参考文献

1. Tianna Gadbaw:《1998年儿童网络隐私保护法的立法进展》(LegislativeUpdate: Children’s Online PrivacyProtection Act of 1998), 《儿童法律权利期刊》(Children’s Legal RightsJournal),2016年第36期。

2. Danielle J. Garber:《儿童网络隐私保护法与儿童个人网络信息保护》(COPPA: Protecting Children’sPersonal Information on the Internet),《法律与政策》(Journal of Law andPolicy),2001年第10期。