中国互联网络信息中心发布的《第5次全国未成年人互联网使用情况调查报告》显示,我国未成年网民已突破1.93亿,未成年人用网低龄化趋势明显,未成年人几乎“无人不网”。同时,大数据时代未成年人面临着数据“围剿”和算法“监护”,网络平台过度收集个人信息等现象将未成年人个人信息置于危险境地。未成年人保护法、个人信息保护法等法律确立了对未成年人个人信息的特殊保护原则,但尚缺乏具体细则实施落地。有鉴于此,2023年10月,国务院发布《未成年人网络保护条例》(以下简称《条例》),进一步细化了未成年人个人信息特殊保护制度,完善了未成年人个人信息法律保护体系。
一、建立未成年人线上个人信息适龄保护模式
目前,我国对于低龄未成年人的网上个人信息处理权限采取监护人同意模式,即处理不满14周岁未成年人个人信息,需要取得父母或其他监护人同意。国家互联网信息办公室发布的《儿童个人信息网络保护规定》要求,网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。个人信息保护法明确将不满14周岁未成年人的个人信息归入“敏感个人信息”加以严格保护。对于“敏感个人信息”,只有在具有特定的目的和充分的必要性,并采取严格保护措施后方可处理。这里的同意原则,法律并未明确区分是否为双重同意原则,但根据文义解释的原理,应为双重同意,即未成年人本人同意加监护人同意。同时,基于个人同意处理的个人信息,未成年人及其监护人有撤回同意权,信息处理者应根据权利人要求及时变更个人信息处理方式。《条例》则规定了个人信息处理者遵守“必要”个人信息范围的义务,不得强制要求未成年人或者其监护人同意非必要的个人信息处理行为,不得因为未成年人或者其监护人不同意处理未成年人非必要个人信息或者撤回同意,拒绝未成年人使用其基本功能服务。
对于14周岁以上的未成年人,个人信息保护法没有专门对处理其个人信息权限作出明确限制,法律认为其具备完全同意能力,可以直接同意或拒绝对其个人信息处理行为。在数字化时代,这是为了保障高年龄阶段未成年人所应享有的参与权、发展权等权利。然而,鉴于未成年人面临着对抗算法处理的脆弱性,如此规定不能满足14周岁以上未成年人算法保护的需求。为此,《条例》规定,网络产品和服务提供者不得通过自动化决策方式向未成年人进行商业营销,用以对抗算法对未成年人的个性化推送,防止侵害其合法权益。
虽然如此,当前未成年人个人信息保护以14周岁为分界点的保护梯度尚不够细致充分。例如,对于14周岁以下的未成年人,应区分幼童(0至6周岁)和儿童(7至14周岁),对于幼童的个人信息保护,由于幼童没有民事行为能力和意思能力,应强调监护人同意权的独立性和排他性;而对于7至14周岁的未成年人,应坚持双重同意原则,监护人同意采补强原则,以照顾和保护7至14周岁未成年人的选择权和同意权;对于14周岁以上的未成年人,也应综合考虑不同年龄阶段未成年人的特点和网络需求。有研究显示,14至16周岁与17至18周岁的未成年人心智状况也不同,可以以此为区分,针对不同类型的个人信息,设计不同的同意处理权限和模式。
二、确立法律规制和企业自律相结合的监管模式
我国法律建立了未成年人个人信息专项保护制度。专项保护制度体现了法律对未成年人隐私权和个人信息发展权益的特殊优先保护。个人信息保护法规定,处理不满14周岁未成年人个人信息的,应当制定专门的个人信息处理规则,这为进一步构建具体化的专项保护制度提供了法律依据。目前我国的专项保护制度仍偏向原则性和框架性,应根据个人信息的类型、平台类型、数据泄露风险评价等指标出台更具有可操作性的实施细则,推动专项保护制度真正落地。
企业应自觉加强儿童在线隐私保护合规义务。网络运营者对未成年人个人信息的专项保护义务是企业合规义务的重要组成部分。随着“未成年人模式”的普及,互联网企业应积极开发更为科学实用的“未成年人模式”或“青少年专区”,自觉建立未成年人保护企业专项制度。首先,应设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。其次,严格限制儿童个人信息访问权限。网络运营者对其工作人员应以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。最后,建立年度审计制度,个人信息处理者通过自行或者委托专业机构对处理未成年人个人信息合规情况进行年度审计,并将审计情况及时报告网信等部门,接受社会监督。
网络平台责任经历了避风港原则到守门人规则的转变。在平台经济时代,网络平台已然获得了远超常规企业的社会权利,在平台责任认定上,民法典对于网络侵权的认定回归一般过错侵权判断,避风港原则式微,强化了网络服务提供者的义务。个人信息保护法进一步强化平台义务,在第五十八条规定了“守门人规则”,要求超大型网络服务平台承担更为积极的信息安全义务。《条例》延续守门人规则,不但对平台处理个人信息权限进行限缩,还要求其承担更为积极的作为义务。
三、对未成年人私密信息的强化保护和强制报告义务
为了阻却利用未成年人个人信息从事违法犯罪行为,未成年人保护法专门强化了对未成年人私密信息的保护,规定网络服务提供者发现未成年人通过网络发布私密信息的,应当及时提示,并采取必要的保护措施。对于何为未成年人私密信息,法律没有明确规定。参考个人信息保护法中有关“敏感个人信息”的描述性界定,未成年人私密信息应当包括但不限于一旦泄露或者被非法使用,容易导致未成年人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、联系方式、学校信息、家庭信息(住址和家庭人员信息)、医疗健康、金融账户、行踪轨迹等信息。
强制报告是发现侵权案件及时保护未成年人网络权益的有效途径,在此方面,平台具有先天技术优势。《条例》要求网络服务提供者对于发现的未成年人私密信息,以及未成年人通过网络发布的个人信息中涉及的私密信息,应当及时提示,并采取停止传输等必要保护措施,防止信息扩散。通过处理未成年人私密信息发现疑似侵害未成年人案件时,网络服务提供者负有强制报告义务,应当立即采取必要措施保存有关记录,并向公安机关报告。
(作者单位:中国青少年研究中心)