文 | 辽宁大学法学院博士研究生 李沅恒
数字时代,以非法方式获取和公开他人个人信息的“开盒”行为屡禁不绝,不仅侵犯了无辜公民的合法权利,还对网络空间的健康生态造成了严重破坏。所谓“开盒”,本质是一种“数字暴力”行为。“开盒者”通过非法搜索、挖掘他人隐私信息并在网上公布,引导网民对“被开盒者”谩骂攻击,侵害公民的人格权益,甚至损害其人身与财产安全。网络作为未成年人的重要社交场域,其匿名性与虚拟性更易在“开盒”乱象中滋生个人信息保护问题,危害未成年人网络空间合法权益。随着《未成年人网络保护条例》的施行,加之网信部门相继出台的《儿童个人信息网络保护规定》《移动互联网未成年人模式建设指南》等配套规章和规范性文件,以及“清朗”专项行动特别是“暑期未成年人网络环境整治”的持续推进,针对“开盒”及网络暴力的治理工作已取得显著成效。鉴于未成年人身心发展尚未成熟,以及智能时代网络环境的日趋复杂,保护未成年人个人信息安全,切实维护其网络空间合法权益,仍任重道远。
一、未成年人在“开盒”乱象中面临的双重困境
未成年人是在数字化环境中成长并掌握了一定数字应用技巧的群体,他们既是网络空间“原住民”和网络文化的重要生产者,又具有隐私保护意识不强、网络安全意识薄弱、有时意识不到自身行为后果的特点。
(一)未成年人既是“施害者”也是“受害者”
“开盒”乱象中,未成年人既可能成为侵害他人个人信息的施害者,又极易沦为被“开盒”的受害者。作为施害者,部分未成年人在网络环境下滥用信息技术手段,通过搜索、爆料、转发等方式主动披露他人的真实身份、联系方式、地址及生活轨迹等敏感信息,直接侵害他人个人信息权益。其行为大多基于模仿、情绪驱动或“网络正义”误导,缺乏对法律责任边界的清晰认知,主观恶意与行为后果之间常常出现失衡,导致治理手段在惩戒与保护之间陷入两难。
“开盒”造成未成年人个人信息泄露的特殊侵害是长期的且后果是较难挽回的。一是相较于成年人,未成年人因心智发育不成熟,对个人隐私曝光的心理承受能力与社会抵御能力更弱,受害后极易引发心理创伤、校园排斥甚至自残等严重后果。尤其是在网络社交与校园生活高度交叉的现实语境中,“线上暴露”往往会迅速演化为“线下伤害”,加剧法律保护的复杂性。二是无论作为受害者还是施害者,都扭曲了未成年人社会化关键期的心理建构,阻碍未成年人人格价值观的良性发展。三是“施害变受害”双重身份的互换。今天“开盒”别人的未成年人,明天可能因“报复”成为受害者,这种角色流动互换会形成恶性闭环,比单向侵害更值得关注。
(二)未成年人对敏感信息认知不足,自身权益防护意识薄弱
未成年人之所以频繁参与或被卷入“开盒”乱象中,其根源在于法律意识与数字素养的双重缺失。未成年人尚处于价值观与法治观念塑造的关键阶段,缺乏对个人信息权益法律概念的准确理解。他们往往无法辨别日常社交行为与侵权行为之间的法律界限,享受着技术赋予的“无所不能”的错觉,将“开盒”误认为是一种“揭露真相”的网络行为,忽视了由此带来的对他人合法权益的侵害后果,使其在施害行为中缺乏应有的规范意识和自我约束。
未成年人在面对自身信息权益受到侵犯时,往往缺乏足够的防护意识与应对能力。一方面,他们对何为“敏感信息”认知不足,习惯于在社交平台上过度分享个人动态、身份信息、校园生活等内容,未能建立起基本的个人信息保护意识。另一方面,现有的法律投诉渠道、平台举报机制对于未成年人来说往往门槛过高,操作复杂且缺乏专门引导。这使得未成年人即便意识到自身权益受到侵害,也难以实现有效维权。
二、未成年人个人信息保护机制面临的现实挑战
未成年人个人信息保护机制具有系统性与综合性,既依赖明确完备的法律制度支撑,也依赖于平台履责与社会家庭教育的有效配合。然而在实际运行中,面对“开盒”等乱象频现的情况,反映出上述各环节之间的协同效应尚未充分发挥,致使保护效能受到一定影响。
(一)法律规范衔接互动不足,未成年人个人信息权益保护缺乏协调性
我国始终将依法保护未成年人个人信息作为互联网治理和网络空间法治建设的重要内容。立法机关通过制定相关法律法规,逐步建立起以《中华人民共和国未成年人保护法》和《未成年人网络保护条例》为核心,包括法律、行政法规、部门规章等多个法律层级的未成年人个人信息保护框架,为我国未成年人个人信息权益保护工作提供了坚实的法治保障。从法律规范之间的衔接来看,法律、行政法规等上位法基本定型,对制度落地也做了统筹布局,但部分领域下位法的落实细化还存在不足,诸多规定散落于各类规范性文件中,未能发挥其应有的效果。例如,在当前实践中,《未成年人保护法》和《未成年人网络保护条例》关于“可能影响未成年人身心健康的信息”的界定范围、具体类型划分及提示方式要求,尚缺乏明确的实施细则。再如,当前未成年人个人信息保护以十四周岁为分界点的保护梯度尚不够细致充分。在未成年人个人信息处理的同意能力方面,《未成年人保护法》和《个人信息保护法》整体上保持了一致,即以十四周岁为划分标准确立了监护人同意的制度,然而该规定与《民法典》的相关条款尚存在差异。《儿童个人信息网络保护规定》要求对儿童个人信息保护的年龄限于不满十四周岁,一定程度上忽视了高年龄段未成年人的个人信息保护的特殊诉求。此外,惩戒体系还不够健全,“开盒”作为数字暴力行为涉及行政、刑事、民事等多领域的法律责任交叉重合,需要结合刑罚、治安行政处罚和教育监管提供治理方案,现有的法律规范对其中的衔接和责任划分不够明确。
(二)平台义务履行不足,技术保护机制缺乏强制约束
平台在未成年人个人信息保护中的法律义务已有明确规定,但在现实运营中仍存在一定落差,尤其在技术防护与内容治理方面存在“重形式、轻实质”问题。如《未成年人网络保护条例》第二十条规定:“未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者,应当提供未成年人模式或者未成年人专区等,便利未成年人获取有益身心健康的平台内产品或者服务;每年发布专门的未成年人网络保护社会责任报告,并接受社会监督。”在实践中,部分平台仍通过“默认公开”“隐私复杂设置”“诱导点击”等方式获取未成年人信息,缺乏实质性的青少年友好设计。对于“开盒”等侵权行为的识别与响应,多数平台大多依赖用户举报,关键词屏蔽、账户限流等技术手段,没有履行相应的披露义务,未形成有效的闭环防控机制。
此外,根据《未成年人网络保护条例》第三十七条规定:“个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。”该项要求对未成年人个人信息处理者赋予了更高的合规义务,但是由于缺少监管机构对于未成年人个人信息处理活动合规审计的监督管理,以及相关审计重点与报告流程尚不明确,网络平台企业仍未有效落实这一合规义务。部分平台出于利益驱动,对未成年人个人信息的收集与分析行为仍暗中存在“算法歧视”“兴趣追踪”等现象,且在侵权行为发生后多采取“免责式回应”。现行法律规范对平台的违法成本设计偏低,亦缺乏跨平台联动的监督,使得平台难以形成系统化、持续化的保护机制。
(三)家庭与学校保护机制薄弱,权利教育与风险防范滞后
法律对家庭与学校在未成年人网络保护中的角色有明确定位,但在实践中,对未成年人个人信息保护的功能发挥有限。在家庭层面,《未成年人网络保护条例》第四十一条要求:“未成年人的监护人应当指导未成年人安全合理使用网络。”引导未成年人增强安全意识,养成良好的行为习惯,保障其免受不良信息侵害。然而,在智能化社会,部分家长对网络技术认知有限,对平台设置、隐私规则乃至个人信息泄露风险缺乏规范了解,常在无意中公开子女学习及生活细节,反而成为未成年人信息暴露的源头。在学校层面,《未成年人网络保护条例》第十六条规定:“学校应当将提高学生网络素养等内容纳入教育教学活动,并合理使用网络开展教学活动。”但在现实中,课程设置散见于思政、计算机或道德教育中。对于“开盒”等新型侵权模式,部分教师缺乏有效引导和危机干预能力,大多采用“训诫+回避”的传统处理方式,难以有效构建未成年人个人信息保护意识与维权能力。家校之间缺乏稳定的信息沟通机制,导致未成年人面对个人信息权益侵害时处置迟滞。
三、构建未成年人个人信息安全的协同保护机制
鉴于当前未成年人个人信息保护面临的困境,未成年人个人信息权益的安全保障难以依靠单一主体实现,需从法治引领、平台落实与教育干预三个方面协同发力,构建具有适应性与可持续性的保护机制。
(一)风险预防性法治是重要引领
数字时代信息传播的瞬时性要求法治监管以风险预防为导向,未成年人个人信息安全需构建风险预防性法治监管体系,积极推进下位立法,细化法律规定,保障技术应用始终符合未成年人最佳利益。
一是强调对未成年人个人信息权益的实质性保护。继续细化具有强制力的法律规则,以弥补现行法律制度中原则性强,操作性弱的短板。应当要求平台构建有效的网络暴力防护功能,完善私信规则,便利“开盒”行为与暴力信息的快捷投诉举报,为用户提供一键取证等功能;对于网络暴力信息侵害未成年人合法权益的情况,加强防护指导和保护救助服务;以强实名制改进未成年人网络身份认证。近期,公安部、国家网信办等六部门联合发布的《国家网络身份认证公共服务管理办法》要求以网号、网证、网络身份应用标识为呈现方式,极大降低了未成年人网络参与中个人身份信息泄露的风险。
二是建立未成年人个人信息处理的风险分级机制与标准化操作流程,优先处理涉及未成年人网络暴力信息的投诉和举报。对指纹、声纹、外观等不可更改的生物识别信息特征,采用“禁止处理原则”。对位置轨迹、社交关系等行为数据信息,要求平台部署“预测性屏蔽系统”,当算法检测到异常信息聚合(如多人同时下载某未成年人数据),可以采取自动冻结访问权限并报警的举措。
三是确立侵权行为的责任差异规则。针对未成年人“施害—受害”身份重合的情形,构建教育性、修复性为导向的责任承担机制,但并不意味着未成年人身份就是“挡箭牌”。对于未成年人的“开盒”行为,倘若构成犯罪,已满十六周岁的应负刑事责任;若构成违反治安管理处罚法的侮辱、诽谤、威胁人身安全、散布隐私等,已满十四周岁即可予以治安处罚。对于不满十四周岁的未成年人,应责令其监护人严加管教,造成损害的,监护人要承担民事责任。而当受害者是未成年人时,最高法、最高检、公安部联合发布的《关于依法惩治网络暴力违法犯罪的指导意见》明确指出:对施暴者要“依法从重处罚”。
(二)压实平台主体责任是关键支撑
网站平台无论大小,只要涉及对未成年人个人信息安全保护都必须依法合规经营、压实平台的主体责任。
一是全力阻断传播渠道。做好网络信息内容生态治理和个人信息保护的结合,禁止平台推送“开盒”等煽动性信息给未成年人。平台必须对涉及未成年人舆论引导、心理健康等方面内容践行算法透明化,清理教授、买卖或者提供“开盒”方法、教程和服务等信息内容,对于组织煽动“开盒”、提供“开盒”服务等账号、群组,一律予以关闭或者解散。
二是平台升级完善保护措施。指导平台在前期治理网络暴力的基础上,应加大“开盒”风险提示力度,对涉及隐私信息尤其是涉及未成年人信息的数据应采取更严格的保护策略。比如,设置相应的审核介入阈值,敏感内容的数据达到阈值后介入进行审查,强化监测预警机制,及时发现,及时响应,及时处置。不断完善“未成年人模式”,“未成年人模式”是通过限制软件使用功能、时间和内容等方式来保障未成年人用网安全的重要举措,但目前“未成年人模式”内容供给有待丰富、使用体验比较单一。平台应根据账号的真实实名信息实现内容推送的合法性和正确引导性,让未成年人愿用、爱用“未成年人模式”,最大限度防范和处置“开盒”风险。
三是建立健全平台监督机制。在内部监督上,需限制平台企业员工对用户的数据使用权限,建立严格的操作、审计日志存档机制。对非法使用、泄露用户数据的员工严肃追责,涉嫌犯罪的及时移送司法机关。在外部监督上,网信部门需联合其他相关部门定期对相关平台进行内容合规性检查,从是否及时有效识别未成年人、是否有涉及未成年人“开盒”敏感信息流动、是否有相应的识别和举报机制等方面进行监管考核。
(三)未成年人数字法治素养教育是基础工程
未成年人数字法治素养教育是根治“开盒”乱象的制度基石。通过规则认知与防御能力培塑,扭转未成年人作为“技术被动承受者”的弱势地位。
一是破除未成年人数字素养认知脆弱性。数字素养教育需下沉至中小学信息技术课程,促使未成年人明确责任边界。通过学校组织模拟法庭、案例展示等形式,在虚拟场景中训练其对“好友申请”“位置共享”等行为的法律风险评估能力,直观呈现个人信息的经济价值与人格尊严属性,促使其从被动受害转向权利主动。
二是加强未成年人技术防御教育。政府与公益机构可联合开展青少年网络安全专题活动,提升全社会对未成年人个人信息权益的认知水平。技术防御教育必须超越“不泄露密码”的浅层告诫,直指“开盒”技术链条的关键反制节点,如防止聊天记录被截取、生物识别信息遮蔽技巧等。通过一定“趣味性”来解析推荐系统的运作逻辑,使未成年人意识到,如“发布校园照片可能关联住址信息推送”等,避免无意识助长信息拼图。
三是强化家庭网络素养教育。父母作为未成年子女用网安全教育的“第一责任人”,“开盒”行为的有效遏制依赖家庭对未成年人群体的网络素养教育。无论是现行《民法典》《未成年人保护法》,还是《未成年人网络保护条例》都对未成年人父母的监护教育义务予以明确要求。父母作为家庭监护人必须高度且持续关注未成年子女的网络素养,通过言传身教以及关爱陪护和使用网络行为的教育、示范、引导和监督,及时纠正其互联网错误认知,时刻保持警惕的态度,真正引导未成年子女具备正确的互联网使用能力。
四、结 语
治理“开盒”乱象是维护网络空间秩序的关键一环,不仅关系到未成年人个人信息的安全,更关乎数字社会的法治基础与公共信任。只有在正确的价值引导和法治规制下,互联网在未成年人成长过程中才能发挥正向功效、最佳功效,需以《未成年人网络保护条例》为遵循,构建多方协同的治理格局,引导未成年人树立正确的网络行为准则,筑牢数字时代的“法治防线”。
(本文刊登于《中国信息安全》杂志2025年第6期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
