未成年人个人信息保护的法律问题探析——以“未成年人网络保护”民事公益诉讼全国第一案为例

来源:辅德律师事务所

文章摘要
前言 随着移动互联网时代的到来,特别是智能手机的普及,未成年人接触网络的频率也在不断增高。

前言
随着移动互联网时代的到来,特别是智能手机的普及,未成年人接触网络的频率也在不断增高。但低龄化触网使未成年人网络权益保护缺失问题凸显:一方面,未成年人的心智尚处在发育阶段,自我保护意识的薄弱和风险认识能力的缺失使其在互联网中更易于泄露个人信息;另一方面,未成年人缺少风险承担能力,难以应对个人信息泄露带来的不良后果。尽管我国已经初步建构了未成年人个人信息保护的立法规则,但实践表明,当下非授权的恶意收集、适用未成年人个人信息的行为较为普遍。未来应当将“最有利于未成年人”原则予以细化落实,针对未成年人不同的个人信息类型设置强度不同的监管规则,畅通被侵犯主体的权利救济路径,以实现多层次、精细化保障未成年人个人信息安全的目的。笔者将以杭州市余杭区人民检察院诉某短视频平台未成年人保护民事公益诉讼案为切入点,就未成年人个人信息保护的相关法律问题进行简要分析。
案情简介
公益诉讼起诉人在办理徐某某猥亵儿童刑事案件时发现,某科技公司运营的某短视频App存在侵害众多不特定儿童个人信息的侵权行为,具体包括:1.未以显著、清晰的方式告知并征得儿童监护人有效明示同意的情况下,允许注册儿童账户,并收集、存储儿童网络账号、位置、联系方式,以及儿童面部识别特征、声音识别特征等个人敏感信息;2.在未再次征得儿童监护人有效明示同意的情况下,运用后台算法,向具有浏览儿童内容视频喜好的用户直接推送含有儿童个人信息的短视频;3.某短视频App未对儿童用户采取区分管理措施,默认用户点击“关注”后即可与儿童账户私信联系,并能获取其地理位置、面部特征等个人信息。公益诉讼起诉人认为,某科技公司前述行为侵害了社会公共利益,遂提起民事公益诉讼。
在法院调解下,公益诉讼起诉人与被告某科技公司达成调解协议:1.被告某科技公司停止对儿童个人信息的侵权行为,按照儿童个人信息保护的要求,对某短视频APP网络平台进行整改;2.被告某科技公司完成整改后,应对整改完成情况及效果进行评估,并向公益诉讼起诉人、人民法院出具详细的整改完成情况报告书;3.被告某科技公司应根据相关监管法规要求,将整改措施方案及整改完成情况报告书报送网信部门,自觉接受合规审查;4.被告某科技公司就涉案侵权行为,在《法治日报》及某短视频App官方帐号首页显著位置公开赔礼道歉;5.被告某公司承诺在今后的运营过程中严格遵守儿童个人信息保护的法律、法规,并自觉接受网信等行政监管部门的监督检查;6.被告某公司于调解协议生效后七个工作日内,赔偿因侵权行为造成的社会公共利益损失人民币150万元,款项交相关儿童公益保护组织,专门用于儿童个人信息安全保护等公益事项。某科技公司对调解事项已经履行完毕。
裁判要旨
1.面向儿童用户提供网络服务的互联网平台(信息处理者)在缺乏单独《儿童个人信息/隐私保护政策》和《儿童个人用户协议》,未采取合理措施通知监护人并征得监护人有效明示同意的情况下,处理儿童用户地理定位、联系方式、面部、肢体、声音等个人信息的,应认定为违法处理用户个人信息。
2.儿童个人信息属敏感个人信息,信息处理者未对儿童个人信息建立专门保护池,采取加密存储措施,应认定为违规存储儿童个人信息。
3.信息处理者在未获得儿童监护人单独授权同意的情况下,基于算法的自动化决策将含有儿童用户个人信息的短视频向其他用户进行推送,应认定为违法处理儿童个人信息。
4.信息处理者对儿童用户进行画像,未获监护人同意默认开启个性化推荐,运用算法进行内容推送,应认定为违法处理儿童个人信息。
5.信息处理者在征得监护人同意前,对儿童用户未强制开启陌生人关注限制功能、未强制隐藏儿童用户位置、未强制开启儿童用户私信限制、未强制关闭儿童用户通讯录推荐、未强制关闭通过手机号搜索儿童用户功能、未强制关闭儿童“熟人圈”功能、未强制关闭儿童动态展示功能、未强制关闭推荐儿童给可能感兴趣的人、未强制开启儿童作品在同城不显示等功能,应认定为未履行对儿童用户的隐私安全保护义务。
6.信息处理者侵害平台内不特定儿童用户个人信息权益,应认定为侵害社会不特定未成年人群体的社会公共利益。
法律分析
一、未成年人个人信息的定义
根据未成年人开始接触外界的年龄段,可以将未成年人的成长分为学前年龄段与接受义务教育年龄段。未成年人学前年龄段其个人信息是相对稳定的,包括其姓名、出生日期、民族、生物识别信息等自身的客观信息;未成年人与外界接触,从进入学校接受义务教育那一刻起,其个人信息不再仅限于自身的信息,而是与其相关的个人的、他人的信息,包括其通讯方式、活动信息、受教育程度、家庭成员的工作单位等。未成年人的个人信息的范围会随着其接触外界的范围的扩大而扩大。
参照《民法典》以及国家出台的相关法律法规中对个人信息的定义,未成年人个人信息是未成年人线上网络活动、线下学习生活中不断变化发展的具有关联性、可识别性的个人信息。
二、未成年人个人信息受到特殊保护的年龄范围
我国对需要个人信息特殊保护的未成年人设定的年龄界限为14周岁。《个人信息保护法》第二十八条第一款规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”
但事实上,无论将年龄界限设定为多少,始终存在一定的局限性。首先,我国《个人信息保护法》《未成年人保护法》没有针对14至18周岁之间未成年人个人信息保护的规定;而对于这一年龄段的未成年人,其生活与网络使用和信息处理紧密结合,这部分未成年人也对网络环境十分熟悉,具备基本的风险判断能力,笔者认为可以赋予其同意能力。其次,个人信息立法中对未成年人个人信息保护的年龄界限设定缺乏例外性规定。对于限制民事行为能力人,民法上有例外适用,即限制民事行为能力人可以独立实施纯获利益或者与其年龄、智力相适应的民事法律行为,此类弹性规定符合未成年人利益最大化原则。而我国有关未成年人个人信息保护的法律规定只设定了一个统一的年龄标准,没有承认未成年人个体的现实差异,损害了一部分心智较为成熟的未成年人的信息自决权。
三、未成年人个人信息保护的监护人同意制度
由于未成年人的特殊性,未成年人个人信息法治保护已成为一项世界议题。知情和同意两项权能的实现是个人信息保护法律体系构建的关键,因而父母替代子女行使其知情权和同意权,实行监护人同意制度就成为了未成年人个人信息保护的关键。
《民法典》第一千零三十五条,明确了信息处理者处理自然人个人信息应当遵循的基本原则和条件。基本原则包括:合法性、正当性、必要性。前提条件则包括:(1)信息处理者在处理个人信息时应当遵循自然人或者其监护人同意,其中监护人包括无民事行为能力人与限制民事行为能力人的监护人。(2)公开处理自然人的个人信息规则。(3)处理目的、方式和范围要明示。信息处理者在处理个人信息时必须基于其正当目的、有效处理方式和符合法定与约定的范围之上予以明示。(4)不违反法律法规和不违反双方当事人的约定。《民法典》对隐私权与个人信息保护的相关规定为《个人信息保护法》在私法角度上提供了立法依据。
《个人信息保护法》第三十一条规定,个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。《未成年人保护法》第七十二条规定,处理不满14周岁未成年人个人信息必须获得其监护人的同意;第七十六条规定,为年满16周岁未成年人提供网络直播发布者账号注册时需征得监护人同意;《儿童个人信息网络保护规定》第九条规定,处理不满14周岁未成年人个人信息的应以显著、清晰方式告知监护人并征得其同意;《信息安全技术个人信息安全规范》规定,收集年满14周岁未成年人个人信息前应征得未成年人或监护人的明示同意。
笔者认为,监护人同意制度易被虚置化。处在数字时代的人们在面对海量信息时,常常会感疲惫。尤其是互联网企业为规避法律风险会将告知内容设计得足够详尽,用户熟读告知内容会占用大量时间。信息过载导致的结果将会是用户对信息置之不理,同意制度陷入形式化。处理自己的信息尚且出现精力不足的情况,监护人在代替未成年人作出决定的场景中,监护人同意机制往往形同虚设。甚至有些监护人会有意或无意间让未成年人绕过年龄的限制。
因此,对于未成年人个人信息保护还应当同时满足以下几种原则:(1)未成年最大利益化原则。任何涉及未成年人权益的决策,应当以未成年人最大利益为基准,要求对未成年人的个人信息采取最佳的保护方式。(2)数据最小化原则。基于未成年人自身的特殊性,对未成年人的个人信息应当将其一般个人信息列为敏感个人信息,在对未成年人个人信息予以匿名化后以及保证本人或者其监护人知情的前提之下可以基于公共利益、科学研究等具有正当目的而予以利用,其他基于商业目的则予以禁止。(3)目的限制原则。对于未成年人个人信息流通与使用的目的应当是具有正当性的,在具有正当性的前提下,对利用未成年人个人信息的目的也应当受到限制。(4)透明原则。对未成年人的个人信息的利用应当保证未成年人或者其监护人的知情权,对未成年人应当以最为简单易懂的文字配合形象明了的图片以告知,对监护人则以确切清楚未成年人个人信息安全得到保障的前提下予以同意或者拒绝。(5)安全保护原则。不管是未成年人的监护人还是信息处理者,对涉及到的未成年人的个人信息都承担着保密和保护的义务与责任。
四、信息处理者在处理未成年人个人信息时的合规要求
作为信息处理者的企业,在处理未成年人个人信息的过程中,应始终秉承有利于未成年人成长的态度,遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。
(一)必须单独设置未成年人的个人信息保护规则和用户协议,并指定专人负责儿童个人信息网络保护。对于仅面向未成年人提供的产品及服务,还应当采取一定的有害内容预防措施进行内容过滤,同时采取网络使用时长控制等网络沉迷防控手段。
(二)在收集和处理未成年人的个人信息时,必须严格遵守特定的目的和充分的必要性原则,真正实现“采取最少类别、最小范围、最少数量、最短周期、最低频次的处理方式”,以确保实现对未成年人的权益影响最小。
(三)遵守未成年人保护的法律法规,处理未成年人个人信息应当取得个人同意的,必须取得未成年人的监护人的事先同意,并须保留取得监护人事先同意的相关证据。
(四)在内部的数据分类中将未成年人个人信息设置为级别较高的重要数据,对未成年人个人信息采取强加密等措施存储,设立单独的信息管理账户和管理权限体系,严格设定内部信息访问权限,控制未成年人个人信息知悉范围,并采取更加严格的保护措施和设置更为严谨的安全应急处置机制,记录数据访问情况。
(五)遵守《个人信息保护法》《儿童个人信息网络保护规定》以及各部门规章、国家和行业标准等法律法规中有关未成年人个人信息保护的特别规定,进行未成年人个人信息的共享、交易、委托处理、向境外提供未成年人个人信息、删除、匿名化等重要的处理行为时,必须保存评估记录、审批记录和日志记录至少五年。
(六)当发生未成年人的个人信息泄露、损毁、丢失等信息安全事件的,必须及时启动应急预案,立即向主管部门报告,并以任何可能方式向受影响的未成年人及其监护人进行告知,以便有效预防对未成年人的权益造成损害。
结语
未成年人个人信息保护是我国研究个人信息保护的重要课题。这是一个信息时代,需要对个人信息进行流通与利用,对未成年人个人信息的采集在所难免。对未成年人个人信息的保护需要我们通过对域外各国未成年人个人信息保护经验的借鉴并结合我国实际,在政府主导多方参与之下进行,构建以政府为主导的未成年人个人信息保护平台,利用未成年人个人信息保护平台培养和提高监护人、未成年人、信息处理者的数字素养,为未成年人提供安全、健康的网络环境。

技术驱动法律,专业成就未来