武警警官学院 庄兮
网民在享受互联网带来的便捷与高效的同时,也遭遇了大量个人信息收集、窃取甚至骚扰,现阶段人们已经开始重点关注商业App 对个人信息的收集和管理,关注个人信息的网络保护。而随着经济发展以及教学手段的改革创新,儿童在日常的生活中普遍使用互联网已成为社会生活的基本现状。主要包括普通的商业App(例如社交类、游戏类、购物类)以及针对儿童设计的儿童App(例如儿童教育App、教辅App,,商业App 为获得更为精准的用户数据,会利用技术手段在使用过程中收集、处理大量个人信息。而儿童身心尚处于发育过程中,其行为能力、风险识别能力在生理阶段处于弱势地位,并且缺乏自我保护能力,同时大部分商业App 的《用户协议》《隐私政策》都较为冗长、繁杂,包含较多专业词汇,大部分儿童在阅读时较为困难,可能难以理解。而儿童的个人信息数据一旦泄露或被窃取,必将会威胁儿童的数据安全,就可能对儿童的日常生活造成安全影响。
2019年8月22日,国家互联网信息办公室发布《儿童个人信息网络保护规定》(以下简称《规定》),2019年10月1日起施行。《规定》针对儿童个人信息的网络保护出台了具体措施和要求,这是我国首次针对儿童出台的专门性的个人信息保护相关的法规,各企业,尤其是涉及互联网服务、互联网App 的企业,需要根据《规定》要求相应调整关于儿童个人信息保护的合规实践。《规定》出台距今已三年,各类商业App 都已针对儿童个人信息网络保护进行了修改,儿童个人信息的网络保护环境已有了较大改善。
2021年7月20日,共青团中央维护青少年权益部、中国互联网络信息中心(CNNIC)联合发布了《2020年全国未成年人互联网使用情况研究报告》(以下简称“报告”)。报告显示,2020年,我国未成年网民规模达到1.83 亿,未成年人的互联网普及率为94.9%,比2019年提升1.8个百分点,高于全国互联网普及率(70.4%)[1]。
由于经济发展,智能化生活和智慧教学也随之带来了网民的低龄化,我国未成年人很早就开始接触互联网。而在线教育、智慧教育的普及以及智慧课堂的建设,网络成了未成年人重要的学习阵地。除了平时上课使用智慧设备外,课后老师会利用教学软件给学生及家长布置作业、记录课堂表现,另外新冠肺炎疫情发生后,互联网也成为“停课不停学”的重要保障,网课开始出现在中小学生的课堂。作为新兴的娱乐方式,短视频也开始占据未成年人(包括但不限于中小学生)的课余生活。
而未成年人多数为限制民事行为能力人或无民事行为能力人,还处于身心都未完全成熟的状态,在阅读商业App 冗长繁杂的《用户协议》《隐私政策》时会感到非常吃力,且难以理解收集信息的内容,容易被“钻空子”。同时,未成年人的个人信息一旦泄露,可能会对其身心都造成较大影响,因此,对年纪较小的未成年人个人信息加强网络保护是趋势,更是要求。
我国《民法典》在“人格权”编中,设了“隐私权和个人信息保护”一章,规定了自然人享有隐私权和信息安全,未成年人也包括在内。除此之外,《中华人民共和国未成年人保护法》(下称《未成年人保护法》)《中华人民共和国网络安全法》(下称《网络安全法》)《中华人民共和国个人信息保护法》(下称《个人信息保护法》)也对未成年人个人信息保护作出了相应规定,《个人信息保护法》将不满十四周岁未成年人的个人信息列为敏感个人信息,规定“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”
2019年10月1日起生效的《儿童个人信息网络保护规定》是专门针对儿童信息的法律规范,对于儿童信息保护起到了里程碑式的作用。
我国对儿童个人信息网络保护的立法规定,主要有以下措施:
(一)确定了个人信息保护语境下的“儿童”的范围
《规定》第2 条明确:“本规定所称儿童,是指不满十四周岁的未成年人。”这与《未成年人保护法》所规定的十八岁以下为未成年人以及《民法典》限制民事行为能力人和无民事行为能力人的范围有所区分。
儿童个人信息在互联网需要得到特殊保护,是国际社会的共识,各国在对“儿童”年龄的具体界定上存在差异。例如,美国《儿童在线隐私保护法》(COPPA)中的儿童年龄为十三岁以下,欧盟《一般数据保护条例》(GDPR)中则将儿童年龄最高限界定在十六岁,同时允许成员国自行在十三至十六岁之间依据实际情况设置自己的标准。我国《规定》在网络保护中考虑儿童年龄时,参考了国际经验,同时也结合我国的实际情况以及兼顾了与国内刑事法律制度等的衔接。
(二)明确“非必要不处理”
《个人信息保护法》规定不满十四周岁的未成年人的个人信息属于敏感个人信息。对于敏感个人信息,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下才可处理。
(三)针对儿童用户制定专门规则
针对App《用户协议》和《隐私政策》冗长复杂、儿童难以理解的情况,《规定》要求,处理儿童个人信息,需要制定专门的儿童个人信息处理规则和用户协议,并指定专人负责儿童个人信息保护。这要求内容不仅要贴近儿童个人信息处理,在阅读方式上也要针对儿童作出特殊处理。
(四)明确了告知监护人同意的 “监护同意”规则
《规定》第5 条、第9 条、第10 条、第14 条、第19 条、第20 条等规定,监护人对于网络运营商意图收集、处理、使用未成年人个人信息具有事前同意、事中及事后对产生错误的儿童个人信息删除、更正的控制权。
(五)明确了网络运营者的运营责任
《规定》第7 条、第9 条、第10 条等条款规定,网络运营者在收集、处理儿童个人信息时需要监护人同意,并且网络运营商应当针对儿童制定符合其生理、心理特征的保护规则和用户协议,强调了监护人的事前监督权和平台承担的事前责任。
(六)明确了网络运营者的问责制度
《规定》第25 条、第26 条、27 条规定了网络运营者的问责制度。若网络运营者落实儿童个人信息安全管理责任不到位,存在较大安全风险或者发生安全事件的,将由网信部门依据职责进行约谈。强调了网络运营者若不落实安全管理,将进行责任追究,问责制度对部分不规范的企业敲响了“警钟”,防止部分企业抱有“侥幸心理”,觉得自己开发的商业App 流量小、受众少就可以逃脱,成为“漏网之鱼”。
随着《规定》及《个人信息保护法》等法律法规的出台、修订,网络运营者均对旗下的App进行产品合规设计及相关协议政策的修订,但受制于App 用户体验、技术操作以及成本等现实因素,对儿童个人信息的保护实践中仍存在部分难点。
(一)监护人同意机制的落地受技术与成本制约
在规范设计商业App 中,难点在于怎样识别儿童、监护关系和监护人的知情同意。需要提供何种资料?需要谁来提供?需要设计一系列复杂的操作和繁多的要求,意味着商业App 的开发者和运营者会在“用户体验”与“合法合规”中获取平衡点,甚至进行抉择。
由于互联网是线上环境,在App 设置中,需要监护人的知情和同意,意味着首先需要证明监护人身份,其次需要证明监护人有“知情”和“同意”的行为。通常在线下环境中,证明儿童及其监护人需要提供一系列身份类证件,例如身份证、户口本等,由工作人员进行现场核验。且线下环境可以直接面对面接触,相对方能够通过外形特征识别年龄、精神状况。但即使是线下,需要携带证件及本人办理在实践中仍然属于用户较为“抵触”的行为,很多时候是出于不得不办理的情况下才会进行。在商业App 中,若同样设置证明监护人身份、监护人知情和同意的操作环境,首先会加大技术难度,给网络运营者增加成本;
其次,若该App 并非“不得不用”,复杂的操作和过多的材料要求也会造成用户减少,许多用户会因为“嫌麻烦”而直接放弃操作。同时,收集监护人证明材料、监护人的知情同意等信息,又属于二次信息收集,会造成数据过量收集,也增加社会成本。
(二)未针对不同使用场景区分
许多互联网服务或App 提供的服务较为简单,不涉及个人信息的收集,但使用用户包括了成年人和未成年人。例如网络搜索引擎或互联网词典,功能简单,网络运营者没有必要去收集、鉴别用户的年龄、甚至监护人的相关信息,并获取监护人同意[2]。App 用户在使用该类服务时的特征是快速、便利,此种情况下用户不愿意有太多的操作。而另一些功能操作复杂、涉及个人信息较多的商业App,例如购物类、支付类,需要人脸识别的人脸生物信息、身份证号信息等敏感程度较高的信息,此类App 本身就需要严格的操作,网络开发者在设计时相对而言成本尚可控制。同时,对监护人而言,就此类App 严格执行“监护同意”机制,会更容易接受。
(一)细分不同功能下儿童个人信息保护规则
1.针对不同功能App 进行区分
例如搜索功能或记录功能的App,本身的功能较为简单,收集个人信息少,儿童使用所涉及的个人信息收集少,此种情形下可以根据功能的不同进行进一步细分。例如此类功能简单、收集个人信息少的App 可成为“监护同意”的例外情形。
2.针对不同信息进行区分
例如,因受新冠肺炎疫情影响,众多中小学生改为线上授课,需要使用智能设备登录相应教育App/网站或在线课堂App,通过网络进行学习。学生需要注册,处于教育目的,必然将个人信息披露给学习网站,对于性别、昵称、头像等低敏感度信息可以成为“监护同意”的例外情形,在特殊场景交由儿童有限处分。若确实需要进行更多操作,例如实名认证(例如身份证号、人脸识别等)等涉及收集敏感度较高信息时,再设置相应的流程。
(二)“监护同意”制度完善
监护人知情同意制度是儿童个人信息网络保护中的重要制度,知情同意权是儿童个人信息权的核心权利[3]。目前,《规定》只有“监护同意”的原则性规定,缺乏具体的操作指引。
在实践中,由于需要证明“监护同意”的资料和程序较为复杂,大部分商业App 目前采用的都是设置“青少年模式”或弹窗同意。但此种情形下,不论是网络运营商抑或是监管单位对“监护同意”的真实性都难以完全辨明。无法确认真实性的“监护同意”对网络运营商而言极为不利,运营商可能需要为无意间违反《规定》而承担不利后果。
故笔者认为,“监护同意”的真实性判断可采取“推定真实”模式,且需要区分不同场景。具体而言:使用数据保护影响评估(DPIA)和隐私影响评估(PIA)规则判断儿童的网络行为处于何种风险之中,若处于低风险状况,例如儿童使用搜索引擎,或注册QQ、微信、微博等社交软件App,具有形式上可以查证的监护人信息即可对“监护同意”的效力“推定真实”;
若处于高风险状况,如儿童进行“人脸识别”、网络购物、办理银行卡需要人脸生物信息等需要收录敏感信息的场景,采取严格“监护同意”并且增加“监护同意”的同意次数,在“监护同意”完成后进行二次回访,且要求网络运营商承担过错推定责任。
综上,我国《规定》可以借鉴GDPR 规定,要求网络运营商向有关监管部门提供手机应用、网站等网络产品划分应用场景的数据影响评估风险等级,以此作为“监护同意”有限适用的指引规则,再配合细分儿童年龄和“监护同意”的真实性判断,成体系地完善“监护同意”制度。
(三)明确行业儿童个人信息安全信誉评价机制
互联网行业目前处于蓬勃发展的状态,开发者、运营者正处在追求利益的“奔跑”阶段,部分App开发者会因此舍弃“合规”,带着侥幸心理继续收集儿童个人信息,在此种背景下,笔者建议可以建立行业儿童个人信息安全信誉评价机制,由行业的企业牵头设置评判标准,将企业真正与其旗下开发App 的儿童个人信息安全信誉等级进行绑定,让行业自律真正发挥应有的效用。
对此,相关部门可以以儿童个人信息收集的数量、必要性程度、使用的安全化程度等因素为考核量,组织行业企业共同建立公开的、便于查询的儿童个人信息安全信誉评价体系,其中表现优秀的企业可以进入下一轮规则的制定,鼓励企业重视、发展儿童个人信息保护。
排名机制的具体规则,可以参考目前手机商城对App 的排名,例如用户评价、是否因非法收集个人信息受过相关部门的下架、查出或行政处罚等“红牌”警告,加入网信办等部门认证后的合法合规(“绿灯”),每个分类统计“红牌”数量和“绿灯”数量,制定出一个行业认可的、合法合理的、真实公开的评价机制。一个科学的、公开的信誉评价外部约束机制的存在,会敦促企业更加注重个人信息安全问题,使其将维护儿童个人信息安全作为企业生存发展、提升同行业竞争力以及自身吸引力的必要条件[4]。
少年儿童是祖国的希望,民族的未来。2022年“六一”前夕,习近平总书记致信祝贺中国儿童中心成立40 周年,强调:“希望你们发扬光荣传统,团结广大儿童工作者,做儿童成长的引路人、儿童权益的守护人、儿童未来的筑梦人,用心用情促进儿童健康成长、全面发展。”儿童个人信息作为网络时代儿童的一项重要权益,应该得到法律的特殊保护和重点保护。网络运营者应当按照相关法律规范的要求,设计、完善商业App 及其相关用户协议、隐私政策,谨慎收集儿童个人信息;
同时,有关部门可通过调研等方式了解目前制度落地实施难度,避免有用的制度规范因实施成本过高而难以具体落地,从而“本末倒置”失去本意,沦为束之高阁的无用条框,甚至带来更多负面问题。