©️香客

文 / 北京航空航天大学法学院教授 周学峰

2017年国家法制办公布了由国家网信办起草的《未成年人网络保护条例》,其中有三个条款提到了对于未成年人个人信息的保护,我今天只谈其中一个条款,其核心含义为:通过网络收集、使用未成年人个人信息的,应该经未成年人或其监护人同意。类似的条款在许多国家的个人数据保护法中也都有规定,其表述可能会稍有差异。例如欧盟《一般数据保护条例》第八条规定,对于直接向未满十六周岁的儿童提供信息社会服务的,只有在获得儿童的父母或者监护人的同意或授权的条件下,对其个人数据的处理才是合法的。美国早在1998年就通过了《儿童网络隐私保护法》,对于儿童网络隐私保护规定了非常详尽的规则。我们可以就其中的一些问题进行探讨。

第一,法律保护对象到底是“儿童”还是“未成年人”,中国的《未成年人网络保护条例(草案)》中规定的未成年人。美国的《儿童网络隐私保护法》明确规定保护的对象是儿童,该法案最初是由联邦贸易委员会负责起草的,其草案一开始是设定的也是未满18周岁的未成年人,然而到国会审议时,先是被削减到16岁,最后减至13岁。为什么会有年龄缩减呢?该立法的核心条款就是收集未成年人(儿童)个人信息需要其父母或者监护人同意,这实际上等于给予父母或者监护人对于未成年人网络活动进行控制的权利,但是,很多人认为未成年人在13周岁之后就开始进入了青春期,自我意识逐渐增强,其中一个表现就是希望能够摆脱父母的约束,甚至是叛逆,如果在13岁到18岁这个期间仍然给予父母一个非常强的控制权,那么实践中会很难做到,而且效果也不好,所以,他美国的立法者最终将年龄往下进行了调整。欧盟GDPR规定的对象是不满16周岁,但是各个成员国还可以把年龄往下降,最低可降到13周岁,其立法用语也是“儿童”,没有用“未成年人”这一表述。由此,给我们的启示是,在我们未来颁布的《未成年人网络保护条例》中是对未成年人作统一规定,还是依其年龄进行规则上的细分,这是需要考虑的。在该条例草案中,其用语是应该经未成年人或其监护人同意,而不是像欧美法那样只提到应当经监护人同意,这说明我国的立法者也已经注意到了对于未成年人应当区分对待,对于有些未成年人可以由其自主决定而不是必须由监护人决定。

第二,我们到底是要保护未成年人的隐私还是其个人信息?欧盟法的表述是个人数据,中国的未保条例草案使用的表述是个人信息,美国法使用的表述是儿童隐私。其实,如果你去看仔细阅读美国《儿童网络隐私保护法》的各项条款,特别是其对个人隐私的界定,实际上就是我们通常所讲的个人信息。在中文语境中,隐私通常是指个人不愿公开的信息,对于未成年人而言,特别是无民事行为能力人而言,其通常是缺乏足够的理性来做出判断或自我保护的,很难说那些是儿童愿意或不愿意公开的。

第三,我们需要探讨儿童个人信息保护与成年人个人信息保护有何差异,以致于我们需要以单独立法或专门条款来进行规制,它又会产生哪些问题。收集个人信息的一般规则是知情同意,而儿童在民法上没有同意的能力,因此需要由其父母或监护人代其表示是否同意,这是欧盟、美国和中国相关立法的核心之所在。这个条款看似非常简单但实施起来却非常复杂和困难。

首先,何种网络服务提供商负有征得父母同意的法定义务。中国和欧盟的相关法律并没有做出特别的区分规定。美国法则进行了界定,其将适用对象分为了两类:一类是以儿童为服务对象的网络服务提供者,其当然受到儿童网络隐私保护法的约束;另一类是普通的网络服务提供者,如果其明知某个用户是儿童,那么,其收集该用户的信息就需要受到《儿童网络隐私保护法》的约束。对于如何来判断某个网站是否专门为儿童提供服务的,或者,如何判断某个网络服务提供者是否明知用户是儿童,在实践中,美国联邦贸易委员会(FTC)通常会综合各种因素来做出判断,比如页面设计、色彩、是否使用儿童偶像、卡通人物等,这种方法在理论上是具有合理性的,但是,在实践中会导致法律规则的不确定性,从而会增加互联网企业的守法成本。例如,有些互联网企业可能原本无意以儿童作为服务对象,但有可能因网站页面设计过多使用了卡通人物或鲜艳的色彩而被FTC认定为属于为儿童提供服务的网络服务提供者。

其次,对于普通网络服务提供者而言,如何来识别某一网络用户是儿童,这是所有未成年网络保护规则都需要解决的问题,因为,只有能够识别出某一用户是儿童,才能适用相关的一系列规则。网络服务提供者,特别是那些不愿意向儿童提供网络服务以避免承担相关义务的网络服务提供者,可以要求用户进行注册,并要求其申报年龄,从而阻止儿童进入。但是,如果儿童用户虚报年龄怎么办,这是实践中难以解决的问题。保护儿童网络安全有两个主要目的,一个是防止对儿童进行广告营销,另一个是防止陌生人接近儿童并进行线下伤害。如果某一用户在网络发言内容中表明其实为儿童,或者其具有儿童的行为特征,网络服务提供者可以通过技术手段来识别,那么,在这种情况下,网络服务提供者就不能说自己不知道。

最后一个难点是如何获得监护人的同意。美国法的表述是:应获得“可验证的”监护人同意,网络服务提供者要做出合理的努力并且要考虑当前的技术确保监护人能够收到请求通知并给与同意或拒绝的机会。欧盟GDPR规定,要综合考虑当前技术的可行性,采取合理的努力来保证获得儿童监护人的同意。法案都要求网络服务提供者要采取措施告知父母或监护人其正在收集儿童用户的信息,收集什么样的个人信息,并询问父母或监护人同意还是不同意,并且,需要验证表达同意的人是不是真实的父母或监护人,因而需要设计一个监护人身份验证程序。如果将身份验证程序推行到极端,就么就会暴露了监护人和其子女的许多个人信息,这就出现了一个悖论,那就是保护儿童的个人信息是要以牺牲父母的个人信息为代价的,恐怕这不是立法者的初衷。因此,美国和欧盟的立法条文中都明确规定网络服务提供者应当尽“合理的努力”,并以当前技术的可行性为限度,而没有将其义务或要求绝对化。由此,给我们的启示是,我国有许多关于个人信息保护的规定,单纯从法律文本来看,其表述得非常严格,几乎没有明确的例外,但是,如此严格的法律文本在实践中很难得到真正实施的。一项法律规则在制定的时候必须要充分考虑到其在商业上的技术可行性,我们应当追求合理的而不是绝对的目标。

“合理”、“综合判断”等法律用语的含义都是非常模糊的、不确定的,而违法所导致的法律责任又非常严重的时候,对于网络服务提供者而言,就产生了合规的困难。为了解决这一难题,美国的《儿童网络隐私保护法》特意规定了安全港规则,即将当网络服务提供者达到了某些合规指南所确立的具体标准时,就视为其遵守了《儿童网络隐私保护法》的要求。值得一提的是,按照《儿童网络隐私保护法》的规定,这些指南并不是由政府监管机构(FTC)来制定的,而是属于自律规则,由行业协会、民间组织来制定的,其一旦得到FTC的认可,便可获得安全港规则的法律地位。立法者之所以做出此种制度设计,其原因在于:严格执行儿童网络隐私保护的执法成本和守法成本都很高,并且,规则的实施会受制于商业可行性和当前技术可行性。然而,对于有哪些可供选择措施,以及其是否具有商业可行性或技术可行性,监管机构往往并不清楚,而身处第一线的互联网行业自己最清楚,因此,在这种情况下,构建政府监管下的行业自律模式要比政府直接监管有可能更有效率,其一方面可以达到法律要求、使法律规则落到实处,另一方面,也有助于减轻法律的不确定性,降低守法成本,提高守法的激励。

时下一谈及互联网立法,无论政府、行业,还是学者们,都会一致呼吁“规范与发展并重”几乎无人反对。我们都同意既要保障用户利益又要不能阻碍互联网产业的发展,但关键是如何落到实处。众所周知,美国《儿童网络隐私保护法》规定得非常严格,但是,如果没有安全港规则的设计,那么,该部法律是很难实施的。因此,安全港规则背后的制度理念是与我们今天所倡导的规范与发展并重的理念是相一致的。

在许多制度背景的细节问题上,中国与美国、欧盟存在较大的差异,例如,中国有网络实名制的法律要求,而美国和欧盟并没有,因此,在验证儿童父母身份的时候,我们所采取的技术规则和具体要求可能会与欧盟、美国都有所不同,因此,没必要完全照搬美国和欧盟的制度细节,但是,其立法的经验得失和设计思路是可供我们借鉴的。

感谢作者授权,本文仅作学习交流之用

声明:本文来自大数据和人工智能法律研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。