中国青年社会科学2021年第2期
青少年与法治第40卷(总第213期)
未成年人个人信息保护的困境与制度应对—
—以“替代决定”的监护人同意机制完善为视角
■蔡一博吴涛
(华东政送大学法律学院,上海201620;上海司法智库学会,上海200031)
【摘要】数字经济时代,未成年人个人信息保护在实践中面临协调性和实效性的难题,加强未成年人个人信息保护迫在眉睫。需要认识到未成年人个人
信息承载的双重利益,即未成年人的个人利益和成年父母的亲权利益;需要科
学确定年龄界限,并在制度供给中平衡各方利益。未成年人个人信息法律治理
体系的核心是监护人同意机制,民法监护理论的“替代决定”模式是其规则设
计的底层逻辑,在实践中有待进一步完善。应当从身份识别规则、效力认定规
则、撤回同意规则等方面,进一步细化“替代决定”模式的监护人同意机制,从
而破解未成年人个人信息保护的现实困境。
【关键词】未成年人个人信息替代决定监护人同意
在科技发展与数据洪流面前,对未成年人①个人信息进行专门保护是数字经济时代的一项世界性议题⑷,更是承载了成年父母对未成年子女关爱的普遍愿望。有鉴于此,本文将立足于实证研究,从未成年人个人信息的特殊属性出发,围绕我国未成年人个人信息法律保护的实践困境展开讨论,补强理论基础,并结合《中华人民共和国未成年人保护法》(以下简称《未成年人保护法》)最新立法精神,通过明确《中华人民共和国民法典》(以下简称《民法典》)第1035条“监护人同意”对未成年人个人信息保护的适用方式,有针对性地强化未成年人个人信息保护的制度建设。
一、问题提出
我国在未成年人个人信息保护的理论基础、制度实践方面没有脱离以欧美为代表的国际通行做法図,但制度建设刚刚起步,规则设计过于笼统,体系性和可操作性并不理想。目前,我国
收稿日期:2021-01-18
作者简介:蔡一博,华东政法大学法律学皖民商法学博士研究生,上海市高级人民法院研究室干部,主要研究财产法、数据法;
吴涛,上海司法智库学会研究员,主要研究金融法、数据法。
基金项目:本文系2018年度国家社科基金重大项目"大数据时代个人数据保护与数据权利体系研究”(课题编号:18ZDA145),2018年度国家重点研发计划项目"热点案件和民生案件审判智能辅助技术研究”(课题编号:2018YFC0831900)的阶段性研究成果。
①联合国《儿童权利公约》第1条规定:“本公约之目的,儿童系指18岁以下的任何人,除非对其适用之法律规定的成年年龄
低于18岁。”我国《未成年人保护法》规定:“本送所称未成年人是指未满18周岁的公民。”鉴于年龄界定范围具有一致性,只是表述习惯不同,并且本文将专门对年龄界限进行阐述,因此本文所指“未成年人”与“儿童”同义。
•126•
关于未成年人个人信息保护采取的是分散立法模式,存在法律规范碎片化、尚未体系化建构等问题。从微观上看,现行立法主要从隐私的角度在特定法律领域对未成年人进行专门保护。例如,刑事司法领域
的多部规范对司法活动中未成年人个人资料、案卷材料等信息载体的保护做出了严格规定。请求权基础涉及多部法律,相互之间可能存在竞合关系,且专门领域的法律规范较多,缺乏统合性立法,正是这些原因造成了准确适用法律的困难。《民法典》《未成年人保护法》《儿童个人信息网络保护规定》均对监护人同意和告知说明义务进行了规定,但未明确取得监护人同意的可验证方式,为实践中确定监护人知情同意的标准及行为效力带来了困境,而这一问题关乎未成年人个人信息保护的力度与效果。因此,细化知情同意机制的法律适用,避免其在法律上和技术上欠缺实操性是有效保护未成年人合法权益的关键。当前,我国在未成年人个人信息保护方面主要存在以下问题。
第一,身份识别机制缺乏实效性。为了识别未成年人,实践中产生了额外的信息收集需要,但滥用身份识别规定可能造成未成年人个人信息的过度收集。如何妥善有效地识别未成年用户的真实年龄成为实践中的关键问题。目前,国家层面的规范逐步要求信息业者识别用户身份,各类涉网机构的规范性文件也陆续要求运营商采取用户画像、生物识别等新技术落实账户实名制,但各个行业规范标准、尺度要求不同。自2007年游戏行业协会确立“网络游戏防沉迷”机制,要求网游运营商验证用户年龄信息,通过防沉迷系统识别并限制未成年人用户后,游戏、金融等特定领域也相继确立了严格的未成年人实名认证和识别标准,但是社交媒体、交友平台、活动平台、资讯和学习平台等领域的标准则相对宽松。受商业利益的驱动,一般情况下由于缺乏主动识别未成年人的制度性激励,即使隐私政策等文件规定了未成年人保护的内容,但网络运营者往往被动依赖于用户主动提供的注册信息来识别其年龄,后续使用过程中也不会采取其他手段来验证用户的真实年龄,使得针对未成年人的身份识别机制形同虚设。
第二,同意的效力界定不清。未成年人个人信息保护的规范性条款、政策性规定散落在民事立法、行政法规、部门规章及行业规定之中,制度设计交叉重叠,内容过于原则且缺乏具体的操作规范,特别是知情同意的界定等需要予以完善。目前对于人格权的理解已经从被动的“事后救济”发展到主动的“自主决定”,但缺乏保障未成年人及其监护人有效实现其权益的具体规范。此外,目前我国欠缺司法的重要案例,监护人同意规则的应用方式不明确,相关司法判例仍然停留在隐私权的司法保护范式。
第三,缺乏统一的技术标准。国家标准GB/T35273-2020《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)对未成年人个人信息的收集做出了技术性标准的限定,为网络运营者制定隐私政策及完善内控提供了指引。但是该规范并无强制效力,而且对于不同行业背景下的商业行为没有进行具体区分,实际应用效果欠佳。
二、未成年人个人信息保护的法益分析
未成年人个人信息保护遵从个人信息保护的一般性原理,将权利人同意作为信息处理的正当性基础之一。同意可能构成契约关系以及交易行为的给付内容(积极控制),并在一定程度内实现对民事不法性的排除(消极控制)。解决未成年人个人信息保护难的症结,应先就保护的客体属性进行认知识别,再针对特殊客体适用特别保护规范,明确相关主体的特殊保护义务。同时在规则设计时,应根据网络时代下的利益衡量原理,就信息共享制度进行体系性思考。
个人敏感信息
(一)监护人同意制度的源头与正当性基础
未成年人个人信息同时承载着子女本身利益和父母利益,监护人制度与亲权制度下的同意
•127•
机制既有联系又有区别。现实生活中,未成年人受制于认知能力和自我保护意识,面对具有多发性、隐蔽性、因果关系模糊性等特征的信息侵权行为,势必需要监护人或父母的代位保护和帮助。一方面,监护人基于监护关系,对未成年人个人信息具有知情权,并在对外行为方面具有代理权。监护人的知情权和代理权在目的和行使方式上存在一定限制,服务于未成年人权益保护,通过弥补未成年人认知能力、行为能力等方面的缺陷,为其做出更符合自身利益的选择和创造更有利的成长环境⑶。另一方面,对父母而言,子女的个人信息在泄露后可能导致子女处于危险状态的结果,使其陷入不安和痛苦。父母基于血缘关系对子女享有抚养权利,即享有作为身份权的亲权⑷。亲权制度更多体现的是伦理秩序,即使国家对父母的这项人权和基本权利进行干预,也必须适用“比例原则”,避免对亲子关系造成损害①。“亲权”作为“亲属权”的关键内容,“权”存在的基础为“亲”的身份,其含义经历了从“权力”到“权利”再到“义务性的权利”的历史变迁。而监护作为一项“监督、照护”的义务,不与身份紧密连接,以责任内容进行限定,内容逊于亲权⑸o未成年人个人信息保护不仅关涉未成年人的切身利益,也关乎父母的亲权利益。
监护人同意制度具备坚实的法律理论和规范基础。《民法典》第1035条规定,处理未成年人个人信息,
应当遵循合法、正当、必要原则,不得过度处理,并应征得其监护人同意。该款条文有三个重要的理论基础。(1)《民法典》确立了未成年人最大利益原则。未成年人个人信息保护面临着复杂的社会环境,为了在实践中更好地贯彻最大利益的保护要求,需要完善监护人同意制度的具体规则。(2)未成年人的理性瑕疵问题较为明显,年龄限制了其认知和行为能力,故法律保护未成年人的主要方式就是限制其自主性,由监护人或家长替代未成年人做出控制行为同。(3)实现个人信息自决的核心是实现知情和同意两项积极权能。未成年人民事行为能力不足,对网络隐私条款的理解不及成年体,知情同意的责任主体、适用对象、个人信息的可识别性和敏感性等问题又具有相当的特殊性。因此,父母替代子女行使知情和同意权成为未成年人个人信息保护的关键所在。未成年人个人信息保护是根植于信息自决基础上的权利保护,并是由父母替代决定行使知情和同意权能的一种法律范式。
(二)法益保护的年龄界分
在确定特殊保护的制度规范时,需要采用成本收益分析的方法,综合考虑经济社会的各类价值,选择最高效、最可行的制度范式。“什么年龄的孩子可以同意处理其自身的数据”,这个问题被欧洲的数据法专家戏称为“百万欧元问题”o有专家指出:“为了确定获得权利或失去保护的年龄,需要在未成年人作为权利主体的信息自决利益与国家特别保护的公共利益之间取得平衡,必须尊重未成年人不断发展的能力。”切目前,如何确定未成年人个人信息特殊保护的年龄分界线尚无定论。例如,美国《儿童网路隐私保护法》(Children's Online Privacy Protection Act,以下简称COPPA)认定为13岁;欧盟《通用数据保护
条例}(General Data Protection Regula-tion,以下简称GDPR)授权各成员国自行确定需要特别保护的未成年人年龄,各国设置为13-16岁不等。
具体到实践中,年龄界限设置的意义在于确定特殊保护的范围。特殊保护的具体体现形式为限制性保护,故保护对象的信息自决权受限于监护人同意制度等特殊规制。确定未成年人个人信息特殊保护的年龄界限应当综合考虑立法设计的体系性、民事行为能力的规定、敏感信息的区分难度、未成年人个人信息保护的实践困境等多方面因素。我国《个人信息安全规范》中将14周岁以下的未成年人个人信息列为“个人敏感信息”,虽然《个人信息安全规范》属于推荐
①Gnahord v.France and Johansen v.Norway,Reports of Judgments and Decisions1996-III,p.100&
・128・
性国家标准,但具备较强的市场影响力,同时也是执法部门重点参考的规范性文件之一。在我国未成年人保护的立法和司法实践中,14周岁成为目前零散的法律规范中逐步明确起来的一条年龄线。例如,《中华人民共和国刑法》中儿童相关罪名以14周岁为认定标准,14周岁是综合了实践中的案件特点和未成年人心智发展特征,进行反复斟酌后设定的标准。这一点也得到了2020年10月公布的《中华人民共和国个人信息保护法(草案)》的回应,该草案第15条明确规定未满14周岁的未成年人个人信息处理应当取得监护人同意,与《儿童个人信息网络保护规定》形成体系化衔接。
一是对于14周岁以下的未成年人个人信息,应当认定为个人敏感信息,采取“替代决定”的监护人同意规则。目前基于个人信息分级分类保护的原则,对个人信息保护的程度和方式难有定论,但对个人敏感信息的严格保护已成为共识。为了充分尊重未成年人的人格尊严以及信息权益,应当将14周岁以下的未成年人个人信息作为个人敏感信息予以保护,并设置一定的例外情形。例如,教育工作者、社会媒体等主体在遵守行为准则的前提下,做出的符合促进未成年人成长、提高社会效益标准的信息收集利用行为,可作为例外情形。
“替代决定”模式一般适用于监护、保佐等行为,采取同意权、撤销权、财产管理权以及代理权等方式,代替未成年人进行事务行为,并代受意思表示,履行保护未成年人利益的职责。“替代决定”模式的基本特征是:(1)否定未成年人的行为能力,这种否定可以是局限于就某一具体事项做出决定的行为能力;(2)替代决定的做出源自于未成年人以外的其他人,这种决定有可能违背本人意愿;(3)替代决定做出的依据是未成年人的最大利益,而不是本人的意愿和选择⑷。对14周岁以下的未成年人个人信息,考虑到未成年人无法正确理解和行使信息权益,出于前文已述信息时代的风险隐忧,应当在个人信息领域否定其行为能力,采取严格的监护人同意规则进行约束和限制。“替代决定”的监护人同意规则应当以监护人代受、做出意思表示为核心,从14周岁以下未成年人“利益最大化”的角度进行利益平衡。
二是对于14-18周岁之间的未成年人个人信息,基于监护制度、亲权制度的一般原理进行保护,采取“协助决定”的监护人保护模式。“协助决定”模式主要特征是由本人自主做出决定,而不是由监护人替代本人
决定。“协助决定”的监护人保护模式应当是以未成年人直接做出、受领意思表示为核心,从14周岁以上未成年人“意志自由化”的角度进行利益平衡。更进一步地,结合民事行为能力的相关规定,16周岁以上且以自己劳动收入为主要来源的未成年人,可以行使完全独立的信息自决权,以降低其直接参与社会生活的信息成本,同时也避免限制其社会参与权和劳动权。
新修订的《未成年人保护法》增设网络保护专章,在传统的家庭保护、学校保护、社会保护、政府保护、司法保护体系基础上,进一步完善了未成年人个人信息保护的场景(网络空间),形成集强制性行政手段与教育引导等非强制性手段于一体的综合治理模式。下一步应继续围绕未成年人个人信息“替代决定”模式的监护人同意制度,不断完善各个场景下的协同保护和冲突规则,避免前文所述保护失当、保护错位等现象的发生。
三、破解困境:“替代决定”模式的监护人同意机制
针对未成年人个人信息自我决定能力的不足,完善监护人知情同意规则的适用是重要的实践补充。由于未成年人的成长是不断获得民事行为能力的过程,其信息主体意识的增强会引发自我决定和未成年人最大利益之间的冲突。“知情同意”原则在未成年人个人信息保护领域的有效性关乎其根本性的制度路径设计,在遵循既有立法逻辑和司法保护方式基础上,本文结合
•129•
国内外司法实践,试图进一步探讨如何通过规则设计,解决14周岁以下未成年人个人信息自决能力不足、监护人同意法律地位不明确、制度规则可操作性不高等实践难题。
同意的法律性质是意思表示,对同意规则的规范构造也应当遵从意思表示的基本分析思路,回归传统民法分析框架并通过规则设计落实私益保护。同意作为意思表示的实质要求,需要衡量弱者保护、意思自治、知情同意三个方面的标准切o相对应地,需要从三个层面完善监护人同意制度的规则设计。
(_)健全身份识别规则,引入“弱者保护”标准
实践中未成年人个人信息特别保护的前提条件,是能够识别和确认未成年主体,从而通过弱者保护的制度标准,进行特殊规范的设计。参考欧美立法例,应当对网络服务运营者的目标体是否包括未成年人做出判断,结合其主观意愿和客观元素进行综合分析,包括网络服务的具体主题、内容、语言、广告和实际浏览人等元素。在认定网络服务目标体包括未成年人时,要求运营者收集用户的年龄信息,从而区分未成年用户和成年用户。为了尽可能减少运营者接触个人信息的环节,降低社会成本,在实际执法中应综合对服务内容、推广方式、经营策略等多方面关联因素的审查,从而确定服务是否面向未成年人,进而判断是否适用违反监护人同意规则的相应罚则。由于纯粹依赖未成年人主动申报在实践中很难奏效,为了周延保护其权益,应当通过制度设计激励运营者主动作为。
一是确立未成年人个人信息保护的认证机制。欧盟GDPR首次将个人数据认证机制纳入法律规范中。根
据欧盟数据保护理事会指定的《认证和认证标准指南》,认证机制指的是“数据处理规程的第三方证明”,作为一种商事外观,证明信息业者在个人信息保护能力上达到了一定标准,包括合规标准、风控标准和技术标准。将认证机制应用于未成年人个人信息保护领域,可以有效降低信任成本,提高交易效率。参考大陆法系国家,法国和德国采用了公权认证模式,由信息保护方面的国家机构作为认证主体。例如,法国护国家信息与自由委员会”制定认证规则,并且具有评估权,负责授予认证证书。认证相当于一项认可和荣誉,为企业带来商誉、社会认可、公共部门嘉奖等多方面激励,从而激发企业自发保护个人信息的动九现阶段涉未成年人个人信息的行业具有较大的合规压力,法律规则的模糊性和执法的难以预测性成为市场主体的痛点,而信息保护认证机制则另辟蹊径,通过企业的实践形成更高标准,以此来调动企业的主观能动性,并贡献大量可行、可操作的范例,这些范例经过实践检验后可以成为法律规则设计的重要参照。
二是采取集约化验证的方式。公共部门应致力于提供便于操作的合规方式。例如,欧洲数据保护委员会(European Data Protection Board,简称EDPB)认为,可以引入可信赖的第三方验证机制,从而控制运营者自身需要处理的个人信息量。在解决身份认证难题时,为了既实现对未成年人身份的准确识别,又避免对未成年人个人信息的过度收集,可以采取公共部门介入的手段,建立统一的识别平台。建议由国家网信部门主导建立“一站式”未成年人身份识别管理平台,并配套建立制度规范。通过人工智能等现代科技应用识别用户身份,但不进行存储和分析。当识别出未成年人,并且未成年人认可了对其信息的收
集和使用时,应当即时告知监护人并进行显著提示。监护人可以事先在一站式平台进行备案和信息登记,从而及时有效地知晓未成年人的授权行为,也便利了运营者以可验证的方式获取监护人同意,例如,当场语音电话、邮件、短信等。同时,一站式平台还可以赋予未成年人及监护人负面清单管理权限。由于个人信息的收集行为纷繁复杂,未成年人及监护人可以提前设置禁止收集的未成年人个人信息类型和范围,并在身份认证的前端环节予以排除,从而尽可能地避免敏感信息被商业化利用。
(二)明确同意效力规则,落实“意思自治”标准
取得同意不代表后续数据处理行为当然合法有效,取得监护人同意是信息业者应尽的未成
•130•