收稿日期:2020-06-12作者简介:耿竞(1994-),男,重庆人,硕士研究生,
主要从事民商法研究。
耿 竞
(云南大学法学院,云南昆明650500)
摘要:未成年人心智不成熟,缺乏对风险的认知,容易导致其“数字身份”失控,遭受不平等待遇和歧视。当前社会对未成年人个人信息保护的关注度不高,加之立法不足,未成年人个人信息安全问题日益严峻。
欧美立法中规定的被遗忘权是一种有效的价值纠偏机制,对处在持续变动中的未成年人个人信息内容以及信息敏感性有着补救作用。《未成年人网络保护条例(送审稿)》第18条是我国“被遗忘权”立法的重要一步,但内容过于简单,需要从权利义务主体、权利客体、权利内容以及限制因素几个方面进行完善,构建我国的未成年人被遗忘权。关键词:被遗忘权;未成年人;个人信息;数字身份;价值纠偏
中图分类号:DF529 文献标识码:A 文章编号:1671-5365(2021)01-0050-08DOI:10.19504/j.cnki.issn1671-5365.20201230.003
2019年3月共青团中央维护青少年权益部联合中国互联网信息中心发布了《2018年全国未成年人互联网使用情况研究报告》,当前我国未成年网民1
.69亿,未成年人的互联网普及率达到93.7%,56%的儿童初次上网年龄低于5岁。未成年人对手机等数码产品的熟练程度甚至超过家长,是
名副其实的“互联网原住民”。而与未成年人熟练的上网能力形成鲜明对比的是未成年人心智及风险意识的不成熟,导致其对个人信息的处分缺乏理性基础。未成年人使用QQ、等社交软件时,经常被要求提供姓名、等信息;在朋友圈、微博表达情绪时,常常不自觉公布个人的学校、年级等信息;在网络购物时,还要提供个人住址、付款方式等信息。未成年人是否懂得这些网络行为背后的意义,
是否能做到个人信息的保护?
2009年英国牛津大学教授维克托在其著作《删除:大数据取舍之道》中指出“互联网让人类住进了数字圆形监狱……往事正像刺青一样在我们的数字皮肤上,遗忘已经变成了例外,而记忆却成了常态”[1],首次提出了数字时代“被遗忘权”这一概念。2018年“被遗忘权”得到了欧盟立法的肯定,在《一般数据保护条例》(GeneralDataProtec tionRegulation,简称GDPR)第17条予以规定。随后全球主要互联网国家都迅速展开了关于“被遗忘权”的研究。在我国学界,张里安教授就认为“欧盟被遗忘权的构建对我国具有启示,我国应抓住历史机遇尽快构建既能回应数据时代技术挑战又符合我国国情的个人信息保护制度”[2]。丁晓东教授认为我国被遗忘权应当建立在信息的合理流通以及具体场景的合理期待之上,根据不同的场景赋予当事人不同的请求删除的权利。[3]虽然“被遗忘权”尚未被我国立法所采纳,但是学界在关于未成年人网络数据信息特殊保护方面已达成共识。不过由于相关理论仍处于研究阶段,构建我国未成年人被遗忘权仍需要进一步探索。
一、 我国未成年人个人信息保护的现实困境
数据技术运用为当前未成年人的成长造就了无与伦比的优势,在未成年人的发展保护、在线教育、成长参与以及社会化服务等方面起到积极作用,但同时也产生了未成年人信息收集、分析和处理的合法性问题。
(一)我国未成年人个人信息数据泄露情况严峻
2016年“施某某、张某某、桂某某诉徐某某肖像权、名誉权、隐私权纠纷案”中[4],被告(发帖人)在其微博中发布了原告(未成年人)受其养父母虐待伤害的信息,包括简单面部模糊化处理的未成年人照片、未成年人家庭住址等相关内容。其中最为重要的是对未成年人的性格、行为进行了相当负面的描述。[4]该信息的发布是否能拯救未成年人免受虐待尚未确定,但能肯定的是对未成年人的负面描述经过网络和各种媒体多次报道后,已经对未成年人成长造成影响。虽然该微博发文后不久经被告删除,但由于其在当时引发了全国性的关注,至今在网上仍能到相关的信息内容。又如2016年9月,天津某中学高中女生,在周围同学不知情的情况下在国内某知名平台上直播同班同学课堂学习、课间休息、室外活动等开学第一天的场景。[5]另外,国内一些中小学在其网站上公布本校未按时缴纳学费的学生名单,或者某一场考试成绩的排名情况,这类信息在之后的数年内长期保存,会不会对未成年人未来择校产生不利影响?未成年人个人信息的保护是数据技术运用带来的尚未解决的挑战。这其中的原因首先是未成年人对自己权利的维护意识不强,并且处境被动,即使想维权也很难积极发声。其次是由于我国现实中成年人对未成年人缺乏足够尊重,社会对未成年人个人信息保护的关注不足。
(二)未成年人风险认知不足导致“数字身份”失控
未成年人宅在家里进行网络活动已成为取代传统线下社交、娱乐和学习的新生活方式。未成年人在
、微博上分享自己的照片、定位等个人信息,这些具有极强敏感属性个人数据的发布,使得数据平台掌握了未成年人的成长历程信息。不仅如此,未成年人的家人、朋友等其他网络用户也存在提供未成年人信息的风险。比如在、微博和其他各种短视频平台上都可以看到各式“晒娃”的照片、视频。毫不夸张地说,很多父母并未意识到这种行为会威胁未成年人的隐私,未成年人及其父母对数据可能产生的不利影响缺乏防范意识。特别是在当前,各类网络服务提供者为了更高效地提供对用户的精准服务,也为了攫取更大的商业利益,对用户数据的收集、保存和分析不遗余力,这其
宜宾学院学报 2021年1期(第21卷)
中就包含了未成年人的个人数据。联合国儿童基金会研究中心伦理顾问GabrielleBerman对此表示了担忧:“从儿童身上收集的网络数据可能在未来不确定的时刻,被网络服务提供者用不确定的算法用于不确定的客服端,以创建儿童所不知道的‘数字身份’①”[6]。由于未成年人的身心尚未发育成熟,缺乏对风险的认知能力,对网络行为的理解能力也较差,容易不经理性思考而留下大量未来影响不确定的数据;同时,其他主体也存在提供关于未成年人不真实的负面信息的危险,从而导致未成年人“数字身份”的失控。
个人敏感信息(三)“数字身份”失控使未成年人遭受歧视对待
传感器技术与嵌入式技术的运用,让婴儿监视器、智能电话手表等智能家电和玩具进入了家庭生活。2
017年德国联邦网络管理局宣布在德国境内下架一款由美国生产的智能玩具,“该玩具所配备的数码装置为用户提供服务的同时,会在用户未察觉的情况下,利用网络上传被摄像头和麦克风记录的个人数据”[6],对未成年人及其家庭成员的隐私造成严重威胁。在我国,智能联网设备的开发商大多数都是新兴的创业团体,对个人数据保护受经费的限制并不重视,许多企业甚至直接以“点击式许可”协议的形式获权而对相关数据进行收集、利用。智能设备的传感器、语音识别器、摄像头、GPS等装置均可被用来记录未成年人的声音和行为数据,一旦数据安全漏洞被不法分子利用,这些设备就会成为窃取用户数据的便捷通道。近年来,诸如美国KGPS公司、香港伟易达集团等智能玩具设备厂商都发生了大规模的未成年人数据信息泄露事件。[6]“童言无忌”被数据储存的永恒性所改变,未成年人数据的泄露和再次被利用,可能使未成年人在其成年后被“翻老账”,成为其一生不得不背负的“枷锁”,其中更严重的会造成歧视性倾向。如美国少年司法系统就通过搜集到的各项数据信息,利用大数据算法来预测“危险青年”,加强对该类人的管控,以减少少年犯再犯的可能[7]8。这种算法的不透明性将直接造成预测结果的歧视性倾向,那些被计算机选中的“危险青年”会遭受不公平的对待。此外,未成年人的不良记录也将影响其回归社会。由第三方发布未成年人在网络上的负面信息,将使那些数据主体在受教育机会、就业等社会生活方面受到各种歧视性对待。这对他们的再社会化将是致命打击,容易加剧未成年人的逆反心理,从而促使“危险青年”的产生。
二、 我国及欧美对未成年人个人信息保护的立法
风险的来临可能要在未来十年或者数十年后,我们很难对未来的事作出准确的判断。正因如此,未成年人个人信息保护已成为一个世界性问题,各国都在根据自身国情努力解决“数字身份”失控和歧视对待等问题,构建一个尽可能完善的未成年人个人数据保护体系。
(一)欧美未成年人个人信息保护立法简述
从目前来说,欧盟的GDPR对个人信息的保护是世界范围内最具体、清晰的立法例。GDPR对未成年人个人数据保护最为重要的贡献是规定了儿童“被遗忘权”,即数据主体有权选择自己相关的信息被遗忘,即使孩子不再是孩子,数据主体仍然有权要求删除或者更正其未成年时期的数据。由于儿童在同意个人数据收集时,并没有充分认识到数据被收集的后果危险性,“被遗忘权”的设立可以说是对网络环境中的未成年人个人信息给予了侧重保护。GDPR规定的被遗忘权赋予了权利主体请求删除的权利,行使被遗忘权删除那些“不当的、不相关的、过时的”个人数据。但也有欧美学者对此指出“儿童适用被遗忘权可能会面临随着时间的推移,一个不知名的儿童可能成为一个公众人
耿 竞:被遗忘权:我国未成年人个人信息保护新思路
物,其个人数据可能由私人数据(值得删除)转变为公共数据(值得保留)的问题”[8]。自GDPR颁布以来,即使在同为海洋法系的欧盟和美国之间,被遗忘权也引起学界和司法界的争论,被认为是人格尊严和言论自由之争。美国社会对被遗忘权虽然持抗拒态度②,但是被遗忘权对未成年人信息尊严的
保护作用日趋明显。2013年“橡皮擦法案”(加州参议院第568号法案)出台,要求Twitter、谷歌、Facebook等互联网公司允许未成年人清除自己的上网痕迹,以此避免因缺乏网络防范意识而不得不在今后面临“网络痕迹”所带来的诸多困扰。[9]法案赋予未成年人清除自己发布的数据痕迹的权利,被视为是美国区域性的准“被遗忘权”,是继《儿童网络隐私保护法》③之后美国社会在未成年人人格尊严与言论自由价值观博弈下,为应对网络数据对未成年人可能造成的不利影响而做出的巨大努力,进步意义不容小觑。
(二)我国未成年人个人信息保护立法现状
我国缺乏专门的个人信息保护法典,直接规范未成年人个人信息保护的法律较少。《民法总则》第111条对我国个人信息作出了宣示性保护;《未成年人保护法》第39条、第58条、第69条,规定了未成年人的隐私保护、未成年人罪犯信息的保护以及对侵犯未成年人隐私采取的行政处罚等内容。显见,这些分散、零星的规定反映了我国现阶段未成年人个人信息保护不足。由于直接涉及未成年人个人信息保护的法条近乎没有,导致未成年人个人信息滥用现象频发,“数字身份”失控的风险一直存在。
2017年1月,国务院法制办公室发布《未成年人网络保护条例(送审稿)》(简称《条例(送审稿)》),在学习借鉴国际未成年人个人信息保护先进经验的同时结合了我国的实际情况,对我国网络监管体制的转变有着重要意义。其中第18条④的规定带有“被遗忘权”的性质,关注到了当前我国互联
网数据痕迹遗留对未成年人造成的侵害,是我国未成年人个人信息保护的一次重大进步,但内容仍较模糊,针对性和实施性不强。
三、 被遗忘权能有效避免未成年人的“数字身份”失控
未成年人个人信息具有高度的敏感性,不法的收集、存储、利用这些信息,不仅会对未成年人脆弱的隐私权造成直接侵害,而且基于“数字身份”的失控会产生歧视和区别对待。网络环境下个人信息侵权主体分散,法律因果关系模糊,被侵权的未成年人举证困难,权利保障困境重重。未成年人社会行为方式多变,隐私观念的不完善导致其对个人信息的处分缺乏理性基础,并且由于身心快速发展,在一个年龄阶段依法经同意可被使用的个人信息,其敏感性在另一个年龄阶段可能显著增加,未成年人个人信息内容以及信息敏感性处在持续的变动中,彼时行为所产生的个人信息可能会与其成年后的人格价值相差巨大。未成年人“数字身份”还处于塑造阶段,其言论和行为模式存在太多的不确定性。此种情况下,欧盟GDPR所规定的“被遗忘权”和美国加州的“橡皮擦法案”是值得我们学习的经验。
正所谓“童言无忌”,本是一笑而过的言行,不应当被数据“铭刻”而导致“声名狼藉”,在这一点上,被遗忘权对于未成年人的健康成长有着不可忽视的作用,被遗忘权满足的正是未成年人获得社会谅解、并且重新树立个人形象的人格需要。古人曾言“人谁不过,过而能改,善莫大焉”[10](《左传·宣公二年》)。“个人身份可以为他人所树立、接受或者拒绝;也可以为他人所定性,并为本人所接受或拒绝”
[11]227。在网络中经反复流转的个人数据信息,会由于时间的“侵蚀”而变得与当时存在的场景不符合,从而变得不可信,由此可能诱导检索信息的公众对数据主体产生错误认识。相比成年人,未成年人的风险认知更差,发布与自身实际不
宜宾学院学报 2021年1期(第21卷)
相符的数据信息的可能性更大,被遗忘权能帮助未成年人调整那些与现实人格特质不相符的、已过时的信息,从而使未成年人在成年后重新确立自己的“数字身份”。“数字身份”的更新有助于避免未成年人遭受社会的歧视,更有利于未成年人再社会化,而不是被永恒地贴上“问题标签”。
自被遗忘权概念引入国内后,我国学者对被遗忘权性质存在争论,主要有隐私权能说、个人信息权能说和独立人格权说三类。首先,隐私权的保护范围是那些未被公开的、不希望为他人所知悉的具有相当人格属性的信息,这与被遗忘权有着根本区别,因为被遗忘权针对的是已经向外界所公开的,而不是未公开的数据信息,其行使不是隐藏这些信息痕迹而是删除它们。其次,被遗忘权具有强烈的人格尊严属性,不侧重于信息的价值属性;而在个人信息权的范畴,作为尊严性利益的信息主体可以排除或限制个人信息财产的转移[12]。个人信息权保护数据主体占有数据信息而享有的经济性利益的控制权,这一点不同于被遗忘权所体现的对信息主体人格尊严的保护。同时,如果将被遗忘权与个人信息权混为一谈,将打破德国法为限制“信息自决”概念而创设的“领域理论”,造成个人信息自决的无限扩张。所以,笔
者赞同独立人格权说,被遗忘权不是过往删除权和刑法中遗忘权的简单拼凑,其实质上是一项以“遗忘”得以重新开始为目的、以“删除”需遗忘的信息为手段、综合性回应大数据时代个人信息保护问题的人格权,是一项不同于隐私权、个人信息权的独立的具体人格权。虽然网络和大数据技术颠倒了传统社会中“记忆”与“遗忘”的位置,但是通过被遗忘权这种纠偏机制,法律可以拟制遗忘使信息得以正常新陈代谢,“调节人格价值与信息价值衰减之间的冲突,使信息发展周期的规律得以延续,避免人格利益因过时的、不准确的信息而遭受损害”[13]。现代网络数据技术的瞬息万变,让成年人都感到难于应对,那么从公共利益出发,给予未成年人更正“数字身份”的权利是当前社会一种必不可少的需要。
四、 构建我国未成年人被遗忘权
综上,被遗忘权对未成年人个人信息保护有着不可或缺的作用,《条例(送审稿)》第18条就是对“未成年人被遗忘权”的立法尝试。不过第18条的内容较为模糊,还需要加以完善。
(一)未成年人被遗忘权主体
1.权利主体。关于未成年人被遗忘权权利主体的范围,笔者认同《条例(送审稿)》第18条所描述的主体。权利主体应当限定为未成年人及其监护人。未成年人被遗忘权是给予特殊体的侧重保护,权利主体的范围不应过大。监护人作为未成年人的法定代理人,是最为了解未成年人并且为其利益最大化考虑的人,作为权利主体合法合理。需要分析的是未成年人本人所能够行使被遗忘权的年龄范围,即未
成年人本人在成年后是否还能继续行使被遗忘权删除自己未成年时期的数据信息?这一点上,GDPR给出了极为宽泛的规定,未成年人即使在成年后,也可以删除自己未成年期间所留下的个人信息数据。相比而言,美国加州的“橡皮擦法案”则规定的更为狭窄,仅允许加利福尼亚州境内的未成年人删除自行发布的信息。笔者认为,我国在构建未成年人被遗忘权时,数据主体行使权利的年龄范围不可过窄,也不宜无期限,未成年人被遗忘权的行使可以采取未成年期间加“宽限期”的规定。即原则上未成年人本人在成年之前,均可以行使被遗忘权要求删除、屏蔽关于自己的不适当数据信息,但在其成年后,仍赋予数据主体一个“宽限期”。因为此时数据主体已经成年,世界观和价值观更为完善,可以更理性的审视自己未成年期间的个人数据信息。但这个“宽限期”是对未成年人在未成年期间不能很好行使被遗忘权的一种补救,不可设定的过长。笔者认为,“宽限期”的时限设定可以参考我国《婚姻法》关于结婚年龄的规定。
耿 竞:被遗忘权:我国未成年人个人信息保护新思路
发布评论