随着未成年人互联网普及率不断攀升,未成年人个人信息保护问题逐渐凸显。从营销电话骚扰、垃圾短信到电信诈骗甚至网友性侵,未成年人个人信息泄露问题逐渐成为非法侵害的前置风险,未成年人个人信息保护迫在眉睫。近年来,中国对未成年人个人信息保护的关注与保护力度明显提升,出台了一系列法律法规,但大多为原则性、框架性规定,在未成年人信息自觉年龄界限、未成年人身份识别机制、监护人同意机制等具体规则方面仍存在不足。建议采取法律法规强要求与行业自律相结合的方式完善相关机制,将未成年人个人信息保护落到实处。
一、未成年人个人信息泄露成非法侵害前置风险,保护迫在眉睫
2020年发布的《中国未成年人互联网运用报告》显示,未成年人的互联网普及率已达99.2%。未成年人首次触网年龄不断降低,10岁及以下开始接触互联网的人数比例达到78%,首次触网的主要年龄段集中在6~10岁。未成年人在发布社交媒体动态、注册游戏账号、上网课等网络活动中,会留下相关的个人信息,如家庭住址、喜爱偏好、教育经历等,此类信息极易被网络运营者收集和利用。由于未成年人尚处于成长阶段,其辨识能力和自控能力较成人更弱,在自我控制和自我保护方面更显稚嫩,无法辨识来自外界的风险,更易遭受来自数字空间的不法侵害。
未成年人个人信息一旦遭到泄露和非法利用,会引发无穷的后果,轻则因营销电话骚扰、垃圾短信和广告邮件的轰炸而导致个人生活安宁被破坏,重则被不法分子利用,未成年人及其父母的财产安全和人身安全都将受到威胁。据福建省漳州市反诈骗中心消息,仅2020年5月份,就接到了14起“虚构绑架型诈骗”。在这类诈骗案件中,骗子往往利用从不法渠道获取的未成年个人信息,向其父母打电话,虚构孩子被绑架的事实,以此要挟父母支付巨额赎金。除此之外,还可能发生不法分子利用未成年个人信息诱骗其发送裸照、裸体视频,进行裸聊、做猥亵动作等侵犯未成年人身权利的犯罪行为。据《“女童保护”2018年性侵儿童案例统计及儿童防性侵教育调查报告》显示,2018年全年媒体公开报道的317起性侵未成年的案例中,网友作案39起,其中有16起是在网络聊天平台、社交视频平台中。由此可见,未成年人个人信息泄露逐渐成为诈骗、性侵等非法侵害的前置风险,未成年人个人信息保护迫在眉睫。
二、未成年人个人信息保护存在问题
近年来,中国对未成年人个人信息保护的关注与保护力度明显提升:公布了《未成年人网络保护条例(送审稿)》、出台了《儿童个人信息网络保护规定》、发布了《个人信息安全规范》(GB/T 35273-2020),此外,修订后的《未成年人保护法》设立“网络保护”专章。然而,从内容上看,上述法律规范仍然相对零散且大多为原则性、框架性规定,在具体规则方面仍存在不足。
(一)未成年人信息自决年龄界限标准不明晰
如何判定是否为未成年人,即年龄标准问题,是适用未成年人信息保护的前提条件。从已有的规定看,中国目前没有统一的未成年人信息保护年龄界限标准。《个人信息安全规范》(第5.5条)和《儿童个人信息网络保护规定》(第2条)仅规范了“儿童个人信息”,将年龄界限设定为14周岁;《信息安全技术公共及商用服务信息系统个人信息保护指南》(第5.2.7条)则规定,向16周岁以下未成年人收集敏感信息要监护人同意;而《民法典》第17条及《未成年人保护法》第2条均采用“未成年人”的概念,即“不满18周岁”。
(二)未成年人身份识别机制有漏洞
有效识别未成年人是未成年人信息保护最重要的起点,也是企业落地的难点。目前网络游戏行业有强制实名认证的要求,但是其他行业暂强制用户实名认证的要求。比如在网络音视频行业,除主播、特殊账号等要求强实名认证外,其余用户均可通过使用浏览模式在线观看视频、听音乐等,且使用简单的信息发布(如弹幕、短视频等)功能时,业内通常也是采取移动手机号进行实名认证。但这一方式很难准确筛选与识别出未成年人用户。另外,我们惯常了解到的强实名认证方式,如人脸识别、公民身份号码验证等方式,目前不太具有可行性,并且可能存在与隐私保护最小必要原则相冲突的问题。
(三)监护人同意机制形式化
获取监护人的同意,即监护人同意机制,是收集未成年人个人信息的开始。从已有法律法规来看,中国《个人信息安全规范》、《儿童个人信息网络保护规定》、《未成年人保护法》虽然都规定需要经监护人同意,但对于同意的方式却没有作出进一步的具体规定。从网络平台现有的隐私政策来看,大部分网站虽规定了只有在取得监护人同意的情况下,未成年人方可提供其个人信息,但对于如何获得监护人的授权并没有作出更具操作性的规定。如抖音“儿童/青少年使用须知”专设了未成年人特殊保护条款,并制定了“抖音亲子平台服务协议”,但对于儿童个人信息的收集也未明确通过何种途径向监护人获取授权的相关内容,而仅为笼统性概括。事实上,很多未成年人往往因某些原因在披露个人信息时谎报年龄冒充父母的同意,这使得监护人同意机制逐渐流于形式,难以将监护人对未成年人个人信息的监管落到实处。
三、如何未成年人个人信息保护落到实处
(一)建议结合个人信息类型和具体应用场景,设立未成年人分年龄个人信息保护行业规范
就年龄分段而言,应在18周岁以内普遍予以特殊保护的同时,对低龄未成年人严格保护,对高龄未成年人则在最大限度给予其自主决定权,具体可采用“0-8岁”、“8-14岁”、“14-16岁”、“16-18岁”的年龄四分法。就个人信息类型而言,对私密性相对较弱的个人信息,比如在社交网站、在线教育等注册虚拟账号而需要授权收集但不进行披露的个人信息(如性别、昵称、手机号码等),年龄界限可适当放宽,可自主决定其个人信息的处理,从而使该年龄段的未成年人可以正常进行社交及学习活动,更有利于其独立人格的成长。对私密性较强的个人信息,如抖音等可能公开未成年人的肖像、形体及其他信息的视频资料,则应该设定严格的年龄界限,需经过监护人同意,从而使未成年人的个人信息得到有效保护。就具体应用场景而言(如网络游戏、网络直播、在线教育等),可由各品类头部app平台牵头,组织行业内企业代表座谈会,共同讨论并制定本行业未成年人分年龄信息保护规范与标准(如2007年游戏行业协会确立“网络游戏防沉迷”机制),逐步形成行业自律的良好氛围。
(二)建议根据平台类型及用户群体,采取隐私友好化方式识别未成年人用户
企业可根据自身产品类型以及主要面向的用户群体,秉承最小化收集信息的基本原则,采取隐私友好化方式识别未成年人用户。在识别未成年人身份时,平台应尽量采用收集年龄段信息、回答“是/否”等方式;尽量采用亲子/家庭账号模式,由监护人建立账号,并为未成年人创建虚拟子账号,尽可能不收集未成年人的个人身份信息;能在本地化实现的功能,尽可能不上传云端。总之,在保证产品与服务正常提供的前提下,减少未成年人个人信息的收集使用,尤其是个人敏感信息。
(三)建议围绕充分告知、明确同意两个环节,完善监护人同意机制
首先,在充分告知环节,要求信息处理者将涉及当事人权益的重要事项充分披露,包括拟收集和处理的个人信息内容、范围、用途、方法、当事人权利和救济方式,以及个人信息保护的重要性等内容,充分保障未成年人及监护人的知情权和救济权,避免因信息不对称导致权益损害。
其次,在明确同意环节,要求信息处理者必须依托身份识别机制,准确识别出未成年人后履行充分告知义务,同时向监护人及未成年人发出收集和处理个人信息的请求,由监护人做出明示同意,如通过电子邮箱等方式向运营商提供父母签署的同意书,或者采取父母电话同意告知、视频通话等方式,使未成年人难以伪造或刻意规避,切实发挥监护人同意机制的监督作用。此外,对于0-8岁未成年人,平台在设计产品时可采取漫画、提示音等友好形式告知儿童一些个人信息保护知识,比如:“打开摄像头时记得要问问妈妈哦”;对于8-14岁未成年人,平台可采取亲子账号或家庭账号模式,即在监护人账户体系下关联儿童账号,由监护人进行同意的授权管理、使用功能以及时间的管理等;对于14-16岁未成年人,可建立未成年人独立的账号体系,但需由监护人做出明示同意;对于16-18岁的未成年人,一般个人信息的收集取得未成年人同意即可,但在收集个人敏感信息时(如生物识别信息、银行账号信息、家庭住址等一旦泄露会对未成年人权益造成重大损害的信息),还是需要由监护人做出明示同意。
[魏昕玥来自复旦-炜衡数据安全联合报告课题组。本文选自江天骄、姚旭主编的《复旦-炜衡数据安全联合报告》,课题组其他成员还有:王蕾、陆滨、金代文、 赵越等。该报告由复旦发展研究院开设的咨政实践类课程研究成果转化而来,调研过程中得到北京炜衡(上海)律师事务所的大力支持。复旦大学网络空间国际治理研究基地主任、发展研究院教授沈逸与北京炜衡(上海)律师事务所高级合伙人顾靖担任课题研究顾问。]
