朱巍:《儿童个人信息网络保护规定》解读
今年十月一号开始,国家网信办起草颁布的《儿童个人信息网络保护规定》(以下简称规定)正式开始实施。这部旨在保护网络时代儿童“网络原住民”个人信息,落实《网络安全法》在未成年人群保护适用,划清儿童个人信息合理使用界限的法律性文件,是我国第一部未成年人数据保护专门法,必将深刻影响我国互联网产业发展方式,是网络法治化进程的重要组成方面。
一、规定出台的立法背景和比较法环境
规定出台前,涉及到未成年人权益和数据安全的法律渊源主要分为两大部分。一是以《未成年人权益保护法》为核心的基本权益保护法体系,还包括正在征求意见的《未成年人网络保护条例》、未成年人“防沉迷”自律系列规范、游戏分级制度讨论等;二是以《网络安全法》和《关于加强网络个人信息保护的决定》为核心的“一法一决定”,以及正在制定讨论的《个人信息保护法》等信息保护基本法。
从立法必要性角度看,一方面,关于未成年权益基本立法对儿童个人信息和权益做了基本规定,但缺乏在网络和个人信息方面的专门性规定;另一方面,“一法一决定”是针对所有数据安全与个人信息保护的基本法,没有对儿童信息数据安全作出特别规定。从这个角度说,对儿童数据的保护立法存在过于抽象,无法落实的情况。
网络实践中,涉及到儿童个人信息的产业发展很快,特别是网络课程、儿童应用、远程教学、移动应用等技术应用的兴起,一再降低孩子“触网”年龄段。同时,针对孩子的儿童色情、电信诈骗、不良信息推荐、游戏沉迷等违法行为也日益增多,客观上需要加强对未成年人网络权益的全面立法保护。在此其中,儿童的个人信息保护是网络权益的基础,也是大数据精准营销、数据合理使用、防沉迷系统、家长监护体系、网络实名制的核心,因此,对孩子专门的个人信息保护就成为重中之重。
从比较法角度看,对儿童个人信息保护有美国和欧盟两大立法模式。美国通过专门制定法典的方式加强了对孩子网络权益的保护。美国早在1998年就通过实施了《儿童在线隐私保护法》,对13岁以下的孩子个人信息保护做出了非常有意义的法律保护。美国式立法更多的是从保护指导的角度做出的,与其说是一部法律,倒不如说更像是儿童信息保护的“使用说明书”。该法从平台资质审核,到隐私政策内容,从隐私信息搜集告知义务,到家长的同意权,从确保家长对儿童信息的全面控制权,到保护儿童信息的合法程序,等等。这种立法模式属于指导性立法,立法的背景是1998年,那时候互联网普及和影响力较弱,远不及当今网络产业发展规模。因此,美国式立法更突出的是“指导”和“原则”,并非是“划线”和惩罚。
欧盟的相关立法背景与美国截然不同。首先,欧盟GDPR出台之前已经存在实施了二十多年的隐私保护“指令”,成员国自己也有大量相关法律性前置条款。其次,GDPR正式实施前,也相应提供了一定窗口期,给予网络平台相应的缓冲时间。再次,GDPR出台时网络产业发展已经成为第四次工业革命核心,新技术新应用层出不穷,技术速度发展超过了立法速度。最后,欧盟立法之时,整个欧洲互联网产业市场基本被美国等占据,产业基础不在自己立法规划区之内。所以,欧盟GDPR对数据保护更注重“划红线”和“巨额赔偿”处罚。
GDPR对儿童个人信息保护没有专门章节,而是将其纳入到一般主体之中,也就是说,该条例所有关于数据信息的规定都适用于儿童个人信息保护。GDPR对孩子信息的特殊性规定,主要集中在平台充分告知和家长授权的基础上。从法律实施的角度看,GDRP没有过多涉及到技术层面的标准的规定,多处以“合理的努力”在进行标准抽象性规定,主要原因有两个。第一,抽象的泛化了标准,更能适应技术发展的脚步,避免立法滞后。第二,巨额处罚作为后盾,让网络平台通过更高标准达到“合理的努力”,避免承担法律责任。
从比较法讨论的角度看,美国专门的特殊性立法更具体,可操作性更强,平台义务和法律责任更加明确。欧盟看似抽象的立法,背后有巨大的违法成本,这就会让合理使用边界更为模糊,不利于平衡技术发展与儿童权益保护之间的关系。我国规定的出台,更像是美国式的立法,具有较强的指导性和操作性,不仅能够更好的让网安法适用于儿童信息保护,而且对平台平衡技术发展与权益保护,也有更大空间。
二、规定确立的基本权利与原则
第一,正当必要原则
规定第11条、第12条明确了平台收集、提供、存储和使用儿童个人信息的原因和期限。在收集儿童个人信息范围中,规定明确了三个基本原则——是否与提供服务相关、是否违反法律法规的规定、是否遵守了网民协议的约定。我们可以看到,后两个原则是可以更好地做出判断,但第一个原则就比较困难。我们理解平台收集信息正当性和必要性,至少要结合三个标准进行综合判断:业务类型、行业习惯、技术迭代。特别要强调的是“技术迭代”,实践中很多业务类型超范围收集个人信息,他们的抗辩多为“技术迭代”之后,原先的业务类别已经变化,但收集儿童信息的范围却没有随之变化,这就是典型违法行为。举例说明,比如一个原本做智能定位的平台,需要事先采集儿童的位置信息,后来经过迭代之后,该平台放弃了定位服务,改做母婴产品了,但所收集的信息范围还包括儿童的位置信息,这就不符合正当必要性原则了,属于是违法行为。
第二,监护人全面控制原则
纵观美国和欧盟关于儿童个人信息保护法律,监护人全面控制原则是共同的基本原则。我国的这个规定的第9条、第10条、第14条、第19条、第20条等,都将监护人对被监护人信息收集、处分、删除、拒绝、更正等权利落实到位。儿童个人信息权利保护的根本在于家长的监护权,只有在家长监护权全面落实的基础上,才有可能做到充分保障。规定从三个方面落实了家长的全面控制权。首先,是平台的技术和制度上的配合;其次,是赋予家长全程、全面和实时的监护权利;最后,行业自律和社会责任的落实。
儿童个人信息保护中监护人全面控制原则,是儿童网络权益保护系列法规的基础。针对孩子的网络防沉迷系统中,家长能够监管孩子的前提,就是真实身份信息认证制度。但实践中,仅靠身份注册时的识别是远远不够的,还需要在孩子每一次玩游戏、登录视频、消费产品时,平台会进行诸如人脸识别、信息提示和手机短信告知等动态认证模式,这势必需要获取儿童的相关信息。可见,儿童个人信息的收集使用,很多情形下是保障孩子权益和确保家长监护权行使的基础。网络时代的家长监护权全面履行,必须有法律制度和技术支持的配合,二者缺一不可。
第三,充分告知权
知情权既是用户权利的基础,也是家长监护权的基础,缺乏充分告知的前提,平台既有可能构成违约责任,也有可能构成侵害监护权和儿童个人信息权的侵权责任,更有可能构成违反网安法等法律责任。
规定第7条、第9条、第10条、第14条等都将平台对用户及家长的告知权进行了详细说明。规定第10条,用列举的方式把平台需要告知的内容进行了类型化,基本涵盖了儿童个人信息保护的各个环节。值得注意的是,该条规定关于“更正、删除”个人信息的权利,随后在第20条中,又以单条的篇幅列举了平台应予以删除的类别。实际上,这两条的规定是立法者结合互联网产业发展实践和比较法借鉴,将“注销权”与“被遗忘权”灵活确立在新规之中的体现。
注销权并非是传统民事权利,甚至在近年互联网系列专门立法中也没有出现过的字样。注销权实际是在“一法一决定”实施之后,全国人大常委会在调研过程中,结合互联网实践总结出来的一种新型网络人格权,是发展中的人格权在网络的延伸。新规中的注销权实际控制在家长手中,家长作为儿童监护人,可以按照网安法和网民协议等相关规定,对终止网络服务或注销服务,一旦注销,后续的法律效果就展现出来——平台应“及时”对儿童个人信息予以删除。注销权在规定中特殊强调,主要目的就在于将注销行为与删除所有相关信息建立关联关系,删除儿童个人信息应该是家长行使注销权的法律后果,也是平台的法定义务。
被遗忘权本身争议已久,即便欧盟GDPR将其写到了条例里,但在全世界范围看,被遗忘权的真正确立还有待时日。不过,关于儿童个人信息保护这块,立法宜紧不宜松,应考虑从严立法。新规第19条将被遗忘权的范围限定在“信息有误”的情形,这样的规定略显保守,缩小了被遗忘权在儿童个人信息保护中应有的重要地位。被遗忘权的相关立法,可以参考2014年最高人民法院网络侵害人身权益司法解释第12条的相关规定,将权利人的重大利益与信息之间做出利益平衡,来最终判断是否该信息属于被遗忘权的范围之内更为宜。
第四,最小授权原则
最小授权原则是网络个人信息收集使用的基本原则之一,在我国一般存在于学理之中,写到法律性文件中这是尚属首次。新规将最小授权原则规定在第15条,仅限于平台对其工作人员访问程序、内容等方面的限制,这主要是针对防止平台内部“内鬼”侵害儿童信息的情况。
最小授权原则本意要远远超过规定第19条的内容,主要是针对用户对平台的个人信息授权范围、期限和告知范围等约定原则。规定之所以将仅其限定在对其工作人员行为限制之内,主要原因还在于,最小授权原则与“一法一决定”中“正当性和必要性”原则有所重合,必要性原则在很大程度上可以吸收涵盖最小授权原则。所以,规定仅单独将其应用在对自身平台工作人员的限制上。
三、平台主体责任
网络儿童个人信息保护需要包括政府、社会、家长和平台的共同努力,但其中有两个重要抓手,一是监护人责任,二是平台主体责任。平台主体责任不能仅停留在原则上,必须落实到具体行为中。规定通篇都将平台责任类型和义务种类进行了非常明确的类型化规定,主要包括三大类。
第一,制度责任
新规明确规定,网民协议必须要有儿童个人信息保护的专门条款,并有专人负责儿童个人信息保护。这里讲的专人,很多人会理解为普通法务人员,其实不然,按照境外等互联网公司的一般做法,都会设立“首席隐私官”这样的位置,儿童个人信息是其重要负责的环节。新规将最小授权原则也纳入到平台内部风控制度体系,以减少信息泄露可能。
评估安全是制度责任的关键,规定将平台委托第三方处理信息,或依法转移儿童个人信息时,明确要自行或委托第三方进行安全评估,评估目的是为了确保安全,这就说明,儿童个人信息的安全是在效率之上的,不能为了效率牺牲安全。以往对儿童个人信息保护多集中在事后处理,新规将风险评估前置,做到了未雨绸缪。
告知义务的“二次告知”制度确立。个人信息使用的“二次告知”原则确立于“新浪诉脉脉”案,主要是针对开放平台中个人信息保护的问题。新规将其基本原则吸纳,首次将二次告知写到第14条规定,以制度确立规则,以立法指引实践,这种做法是非常值得称道的。
第二,社会责任
平台主体责任是由法律责任、社会责任和道德责任三部分构成的。新规将社会责任明确规定在第6条之中,主要是针对自律,行业协会和行为准则而言的。表面上看,社会责任没有类型化,可能缺乏一定的执行力。其实不然,社会责任是根据平台影响力大小,受众多少和市场份额不断变化的,越大的企业就要承担越多的责任。因此,社会责任在立法上可能无法细化,只能以抽象的方式表现出来。规定以“鼓励”的方式要求行业组织制定自律规范,法律是最低等级的道德,自律规范的制度一定比规定要高,这实际上就是通过立法的方式促进企业履行社会责任的重要方式。
第三,技术责任
技术责任是法律责任最重要的落脚点之一,没有了技术的支持,法律责任也就成了空中楼阁。新规将对儿童个人信息保存的技术“加密”、安全信息保护、安全管理责任等方面都夯实到了法律层面。技术责任已经不单纯是企业发展层面问题,技术达不到条件,平台也就不能从事这方面的业务。技术的瓶颈从产业角度,扩展到了安全角度,成为平台主体责任的主要组成方面。
(文章来源:《中国信息安全杂志》2019年第10期)
注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。