我国儿童个人信息保护的立法变迁
□ 彭肃华
我国儿童个人信息,是指十四周岁以下自然人的个人信息。大数据时代,儿童个人信息保护正在成为各国重视的专门领域。我国儿童个人信息保护法律体系的构建,呈现出各个层级,包括法律、部门规章、国家标准等交错进行,螺旋式上升、日臻完善的特点。
从吸收保护到独立保护
2017年之前,儿童在内的自然人主体个人信息的独立价值未被认可,个人信息内化为隐私加以保护,法院也经常采取隐私权保护为个人信息权利人提供救济。随着民法总则(已随民法典施行而废止)和网络安全法的实施,隐私权和个人信息的二元化体系得以确立,个人信息独立于隐私权获得保护。民法典在人格权编专章规定了“隐私权和个人信息保护”,对隐私权和个人信息的定义及其保护方式予以界定,隐私和个人信息的界分,有了明确的法律依据。因此,民法典虽然并未对儿童的个人信息单独进行规定,但是儿童个人信息独立于儿童隐私权获得保护。
在未成年人保护领域,2020年之前的未成年人保护法没有对儿童个人信息这一领域作出规定,而采取通过保护未成年人隐私利益保护未成年人个人信息的路径。1991年未成年人保护法第三十条规定,任何组织和个人不得披露未成年人的个人隐私。2006年、2012年修订的未成年人保护法延续了这一规定,2020年修订的未成年人保护法第四条则规定处理涉及未成年人事项,应当符合保护未成年人隐私权和个人信息,重申了民法典规定的个人信息保护不再依附于隐私权保护的模式。2021年施行的预防未成年人犯罪法第三条提出了保护未成年人的个人信息,第五十九条规定,除法定情形外,未成年人的犯罪记录依法被封存的,公安机关、人民检察院、人民法院和司法行政部门不得向任何单位或者个人提供。在未成年人保护领域,儿童个人信息独立于儿童隐私权获得保护。
从一般保护到特殊保护
网络安全法作为网络运行安全、网络信息安全领域的基础性立法,对个人信息的保护涵盖收集、使用、传输、共享等各个环节。根据网络安全法的规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。对于涉及未成年人的网络产品、服务,网络安全法第十三条提出了概括性的基本要求,但是没有规定具体的规则。因此,网络安全法对儿童个人信息的保护,适用一般主体的规则。
2019年施行的《儿童个人信息网络保护规定》,是我国专门针对儿童个人信息保护的部门规章,虽未规定儿童个人信息属于个人敏感信息,但对儿童个人信息网络保护的原则和具体处理规则提出了一系列专门性要求:一是要求制定专门的儿童个人信息保护规则和用户协议,并需要网络运营者指定专人来负责儿童个人信息保护工作;二是明确网络运营者处理儿童个人信息,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的明示同意。征求同意过程中,应当同时提供拒绝选项(拒绝同意影响使用);三是要求存储儿童个人信息时,应当采用加密等措施;四是规定网络运营者应当把控内部管理流程、严格设定内部信息访问权限和儿童个人信息知悉范围;五是要求委托第三方处理儿童个人信息时,应当进行安全评估,确定委托范围和相应权利责任;六是对删除权、数据泄露通知等制度作了细致要求。
民法典虽然并未对儿童个人信息单独进行规定,但是通过第一千零三十四条、第一千零三十五条、第一千零三十六条、第一千零三十七条等条文,在基本法的层面从未成年人信息权益独立保护的角度作出了原则性规定。新修订的未成年人保护法对处理、发布未成年人个人信息作出了规定。直至2021年我国个人信息保护法在法律层面将儿童的个人信息纳入敏感个人信息,突出了对儿童主体的特别对待,提升了保护强度。一方面,儿童个人信息的处理应当遵守敏感个人信息处理的一般规则;另一方面,对儿童个人信息的特殊保护规则主要体现在个人信息处理者设置专人负责儿童个人信息的保护,同时要制定专门的个人信息处理规则,区别于对一般主体的敏感个人信息的处理规则。
从粗放保护到细化保护
法律保护儿童个人信息的主要方式之一是限制儿童的自主性,由监护人替代儿童行使知情权和同意权,是儿童个人信息保护的关键所在。我国相关法律法规均对监护人同意进行了规定。民法典规定了处理儿童个人信息要取得监护人同意,但是该“同意”不必然是明示同意和单独同意,而可以是默示同意和概括同意。未成年人保护法虽然提及了处理儿童信息时需监护人同意,但并没有具体明确的同意规则。个人信息保护法规定了明确同意和单独同意。明确同意包含两方面要求:一是明示同意,即同意是监护人经充分告知,以明示的方式作出;二是可被确认,即采用合理方式并利用现有技术,可以确认监护人所作出的同意决定。既然儿童个人信息处理者的法定义务是必须取得未成年人父母或者其他监护人的明示同意,那么处理者就具有双重确认义务:第一,必须验证个人信息被处理的自然人是十四周岁以下的未成年人;第二,必须验证十四周岁以下未成年人的个人信息处理真正经过了其父母或者监护人的同意。然而,我国民法典、个人信息保护法等均未规定验证方式,导致了实践中父母的知情同意权被“虚化”。
虽然我国法律未规定监护人同意的可验证方式,但是我国立法政策在未成年人身份识别上提出了很多具体要求。我国从2007年开始逐步推行网络游戏实名认证,强调网络游戏运营商应将收集的用户身份信息提交公安部门进行验证用户年龄信息,用以识别未成年人用户。2021年,国家新闻出版署、教育部等部门相继发文,进一步严格管理措施。金融等特定领域也相继确立了严格的未成年人实名认证和识别标准。
自2024年1月1日起施行的《未成年人网络保护条例》,除了规定网络游戏服务提供者应当通过统一的未成年人网络游戏电子身份认证系统等必要手段验证未成年人用户真实身份信息,还规定了网络服务提供者为未成年人提供信息发布、即时通讯等服务的,应当依法要求未成年人或者其监护人提供未成年人真实身份信息。未成年人或者其监护人不提供未成年人真实身份信息的,网络服务提供者不得为未成年人提供相关服务。网络直播服务提供者应当建立网络直播发布者真实身份信息动态核验机制,扩展了身份验证的监管范围。
作者:网络