构建面向国际和未来的儿童个人信息保护制度
8月22日国家互联网信息办公室发布《儿童个人信息网络保护规定》(以下简称《规定》),是我国个人信息保护制度完善的重要一步,也是继2013年《电信和互联网用户个人信息保护规定》之后又一部个人信息保护领域的专门规定。尤其考虑到这样一种密集的规范体系的制作背景,即《网络安全法》于2017年6月施行,《个人信息保护法》纳入十三届全国人大常委会的立法规划,《数据安全管理办法》《个人信息出境安全评估办法》已经完成公开征求意见,《未成年人保护法》今年将提交全国人大常委会审议而进行继2006年、2012年之后的第三次修订,可以看到中国的个人信息保护制度和未成年人保护制度的系统性立法所受到的高度重视和日趋完善,相信《规定》的出台对于上述两个领域的制度建构将起到积极的促进作用,并为我国构建面向国际和未来的儿童个人信息保护制度打下坚实的基础。
长期以来,尽管国际社会对儿童个人信息都给予了格外的重视,但是在相关立法上呈现不均衡的特点。例如美国在1998年即制定了《儿童在线隐私保护法》,但是欧盟1995年的数据保护指令并没有规定儿童个人信息保护,即使在2016年的《通用数据保护条例》中也只有围绕儿童数据保护的原则性条款。《规定》的出台是在国内和国际上都高度重视儿童个人信息保护的背景下,对于国内外共同关注问题的重要回应,在制定过程中也借鉴并发展了国际相关制度和规则,对于儿童个人信息这一个人信息保护的特殊领域,《规定》全面体现了强化保护、特殊保护的制度共识和国际理念,充分体现出国际视野和立法的先进性。
儿童个人信息保护制度需要考虑到儿童作为特殊主体,在认知和判断能力上的不足,在涉及个人信息相关的决定和风险判断时,需要监护人帮助或者代为作出判断。因此,在儿童个人信息被收集、存储、使用、转移、披露时,仅有儿童自身的同意是不足以保护其利益的,而需要征得监护人的同意。不过,儿童对其享有的个人信息相关权益处分也具有一定的独立性,立法必须充分理解、尊重不同类型儿童在不同阶段的特点和能力,对此应当作出动态的发展的、符合儿童成长规律的考量。因此,参考国际标准并根据我国现状,将儿童的年龄定在14周岁,从而在保护、尊重未成年人自主权利以及互联网产业发展之间实现一个初步平衡,同时以儿童监护人同意机制为基础,也授予儿童在行使更正权和删除权时可以独立行使权利,从而为监护人同意基础上的儿童自主权保障提供了基础。
同时,《规定》对于儿童个人信息提供了明显强于个人信息一般规定的保护。在对于儿童个人信息保护的最小必要原则上,《规定》贯彻得比较彻底,规定网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。较之与成人个人信息保护制度中,只要明确提示并取得主体同意,网络经营者就可以收集超过其服务范围的个人信息这一原则,上述规定更为强制和明确。在删除权的行使上,《规定》明确规定了权利行使的情形和途径,在《网络安全法》基础上提供了更加周全和切实的保护。针对儿童个人信息泄露的事故和风险,要求建立专门的预警和报告机制,这也是在《网络安全法》基础上一个重要完善和发展。
在目前个人信息保护相关的基础立法尚未体系化和细化的情况下,《规定》在儿童个人信息保护制度构建上,进行了细化设计,为产业提供了更加明确的指引,并且通过具体化的机制设计,系统性强化了对儿童个人信息的保护。例如,《规定》要求网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护;针对征得监护人同意这一重要义务,明确规定应当同时提供拒绝选项,并规定了应当明确告知的具体事项范围;针对网络运营者信息访问权限设定和内部管理制度,以及委托第三方处理、向第三方转让、披露儿童个人信息等涉及儿童个人信息处理全链条的相关行为,也作出了全面而细致的义务性规定。这些规定都具有很强的针对性,对产业提出了具体明确而切实有效的行为指引。通过目前乃至将来尽可能详细、全面的规范指引,尤其鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则,将有可能实现依法规范和行业自律的结合,避免互联网产业因权利保护而收到过度影响,实现法益保护和产业发展的全面均衡。
因此,《规定》在注重保护儿童权益的同时,也秉持了开放和发展的立法思路,在安全和发展之间力求取得动态的平衡。例如,对于监护人同意没有拘泥于“明示同意”的形式,而是强调“以显著、清晰的方式告知”这一前提,在人工智能、物联网以及其他新技术创新层出不穷的数字社会,的确没有必要限于特定的同意形式,只要保证监护人能够在充分知情的情况下便捷地作出同意,灵活而开放的同意形式恰恰是能够在保护权益的前提下促进产业发展的。从保护儿童个人信息这一基本立场出发的《规定》,严格遵循《网络安全法》等上位法的规定,紧紧围绕保护的需要来展开,没有给产业带来额外的规制和负担,也充分考虑到例外的情形,例如,通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的情况,可以作为适用《规定》的例外。
《规定》作为我国首个保护儿童个人信息的法律文件,具有宽阔的国际视野,同时秉持了多元共治、面向未来的立法态度,在确立保护儿童个人信息的基本框架的同时,也贯彻了创新的立法理念,强调监护人作为履行保护职责的最重要主体,鼓励行业规范制定和行业自律的加强,为互联网上儿童权益的保护提供了重要的基础性制度。不过,必须明确的是,《规定》的出台和执行,有望为更多儿童保护的配套制度奠定基础,但是儿童的个人信息保护事业决不可能一蹴而就,相反,这一制度更需要在实践中不断完善。尤其是诸如儿童身份识别、监护人身份识别与获取同意的具体标准等规范,都需要在实践中逐渐总结经验,系统发展出一整套可以切实落地的操作标准与规则,从而形成具有中国特色的未成年人网络保护规范体系,并且能够使这一保护规范体系高效良性运行,真正实现儿童个人信息的完美保护,并为完整的个人信息保护制度提供极为重要的立法和执法经验。