兒童個(gè)人信息保護(hù)研究

暨南大學(xué)，廣東 廣州 510632

一、我國立法現(xiàn)狀

（一）《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》頒布

2019 年5 月31 日，國家互聯(lián)網(wǎng)信息辦公室為保護(hù)兒童個(gè)人信息權(quán)益，發(fā)布了《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定（征求意見稿）》（以下簡稱《征求意見稿》），向全社會(huì)征求意見后進(jìn)行修改，并于2019 年8 月23 日頒布《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》（以下簡稱《規(guī)定》），這是第一部保護(hù)個(gè)人信息的部門規(guī)章，更是我國第一部關(guān)于兒童個(gè)人信息保護(hù)的立法。伴隨著新的智力成果和附隨的商業(yè)模式的不斷出現(xiàn)，必然要增加保護(hù)種類、加大保護(hù)力度①

《規(guī)定》屬于部門規(guī)章，是依據(jù)《立法法》第八十條而制定。因此《規(guī)定》是以《網(wǎng)絡(luò)安全法》和《民法總則》為上位法依據(jù)，調(diào)整網(wǎng)絡(luò)運(yùn)營者和消費(fèi)者個(gè)人信息的關(guān)系，以保護(hù)兒童和未成年人個(gè)人信息為目的而制定，以解決我國兒童個(gè)人信息保護(hù)制度不健全、立法空白的問題，數(shù)字和網(wǎng)絡(luò)技術(shù)的發(fā)展已經(jīng)改變了作品的創(chuàng)作和傳播方式，兒童個(gè)人信息亟待保護(hù)②。

（二）《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》創(chuàng)新與發(fā)展

1.從選擇性監(jiān)護(hù)人同意機(jī)制到監(jiān)護(hù)人機(jī)制的完善?！段闯赡耆司W(wǎng)絡(luò)保護(hù)條例（送審稿）》第16條規(guī)定，在征求意見前應(yīng)征得未成年或監(jiān)護(hù)人同意③，相當(dāng)于未成年人可以自行決定是否同意收集數(shù)據(jù)，兒童個(gè)人信息保護(hù)在此之前適用該規(guī)定，使得監(jiān)護(hù)人對(duì)兒童篩選信息的保護(hù)失去應(yīng)有之義。

2.明確年齡界限。規(guī)定兒童的年齡界限為14歲，與我國法律自洽，與民法契合。1991 年我國批準(zhǔn)加入《聯(lián)合國兒童權(quán)利公約》，其中規(guī)定兒童是指18 歲以下的任何人。歐盟規(guī)定允許成員國設(shè)定不低于13 歲的年齡界限，美國把年齡設(shè)置在13 歲以下。我國把年齡設(shè)置在14 歲，與民法的限制民事行為能力人的行為效力相契合，適合我國實(shí)際情況。

3.數(shù)據(jù)更正權(quán)?！毒W(wǎng)絡(luò)安全法》第43 條規(guī)定，權(quán)利人有權(quán)要求網(wǎng)絡(luò)運(yùn)營者更正或者刪除錯(cuò)誤的信息，且運(yùn)營者有義務(wù)刪除。但是《未成年人網(wǎng)絡(luò)保護(hù)條例（送審稿）》中沒有對(duì)數(shù)據(jù)更正權(quán)作出規(guī)定。后來在《規(guī)定》中第19 條規(guī)定了兒童或者監(jiān)護(hù)人有權(quán)要求刪除或要求更正。

（三）《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》待完善之處

《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》刪除了《征求意見稿》第五條數(shù)據(jù)透明權(quán)的規(guī)定；被遺忘權(quán)應(yīng)當(dāng)進(jìn)一步完善，被遺忘權(quán)中沒有針對(duì)已經(jīng)公開的信息如何處理，不利于維護(hù)兒童權(quán)益；應(yīng)當(dāng)規(guī)定禁止對(duì)兒童進(jìn)行數(shù)據(jù)畫像；對(duì)于監(jiān)護(hù)人同意機(jī)制缺乏具體可以操作的指引，不利于企業(yè)風(fēng)險(xiǎn)的規(guī)避，同時(shí)也使得監(jiān)護(hù)人同意機(jī)制形同虛設(shè)，增加企業(yè)的不穩(wěn)定性及風(fēng)險(xiǎn)。因此在比較歐盟和美國的相關(guān)立法，為我國的兒童個(gè)人信息保護(hù)提出建議。

二、國外立法借鑒

（一）美國立法及實(shí)踐

美國關(guān)于兒童個(gè)人信息安全的代表法案有三個(gè)：1998 年的《兒童在線保護(hù)法案》（COPA），2000 年的《兒童在線隱私保護(hù)法案》（Children’s Online Privacy Protection Act以下簡稱COPPA》和2001 年《兒童互聯(lián)網(wǎng)保護(hù)法案》（CIPA）。其中，最具有借鑒意義的是在2000 年實(shí)施的COPPA，2013 年國會(huì)對(duì)該法案進(jìn)行修訂完善，2013 年7 月1 日，新修訂的COPPA 正式生效。同時(shí)為了配套落實(shí)COPPA，美國聯(lián)邦貿(mào)易委員會(huì)（Federal Trade Commission，F(xiàn)TC）出臺(tái)細(xì)則、問答清單以及《六步驟合規(guī)計(jì)劃》等具體操作指南。美國這一系列的法案和指南，不僅為父母同意可驗(yàn)證機(jī)制提供指引、規(guī)定需要父母同意的例外情況、同時(shí)也為運(yùn)營商規(guī)定行業(yè)自律和安全港規(guī)則等一系列規(guī)定，值得我國在保護(hù)兒童個(gè)人信息時(shí)進(jìn)行借鑒：

分散立法和行業(yè)自律相結(jié)合。美國針對(duì)個(gè)人信息的保護(hù)沒有統(tǒng)一立法，都是采用分散的立法模式，對(duì)不同的保護(hù)對(duì)象制定單行法進(jìn)行保護(hù)，例如保護(hù)兒童個(gè)人信息制定COPPA；同時(shí)針對(duì)兒童個(gè)人信息的保護(hù)，美國采用行業(yè)自律的做法，由行業(yè)制定行為規(guī)則來規(guī)范對(duì)兒童個(gè)人信息的處理，例如Twitter 為了保護(hù)兒童的個(gè)人信息，在其隱私政策中這樣規(guī)定：Twitter 服務(wù)的對(duì)象不包括13 歲以下的兒童，如果父母發(fā)現(xiàn)孩子未經(jīng)其同意向Twitter提供兒童個(gè)人信息，則可以向Twitter發(fā)送郵件要求刪除相關(guān)的兒童個(gè)人信息。

通過安全港規(guī)則、監(jiān)護(hù)人同意例外等規(guī)定，達(dá)到法律規(guī)制和網(wǎng)絡(luò)企業(yè)運(yùn)營效率之間的平衡。COPPA 的第十部分“安全港待遇”，是全球第一次以法律的形式確認(rèn)行業(yè)自律的效力，聯(lián)邦貿(mào)易委員會(huì)批準(zhǔn)特定的行業(yè)可以制定適合自身實(shí)際的自律規(guī)范，美國COPPA 設(shè)置了一個(gè)相對(duì)安全領(lǐng)域，只要遵循該規(guī)則的行為就進(jìn)入“安全港”。因此行業(yè)可以在COPPA 的第十部分“安全港待遇”的模式下，自律運(yùn)轉(zhuǎn)。

（二）歐盟立法及借鑒

2000 年頒布的《歐盟基本權(quán)利憲章》中第24條規(guī)定兒童應(yīng)當(dāng)享有的權(quán)利，2016年歐盟出臺(tái)《一般數(shù)據(jù)保護(hù)條例》（以下簡稱GDPR），在序言中用了5 條，正文中用了7 條內(nèi)容全面對(duì)兒童個(gè)人信息進(jìn)行保護(hù)，有以下的創(chuàng)新之處值得我國借鑒：

最低年齡門檻和個(gè)性化驗(yàn)證機(jī)制相結(jié)合。歐盟GDPR 關(guān)于兒童年齡界限經(jīng)歷了從18 歲、13歲到16 歲的三個(gè)改變，最后，歐盟將兒童年齡界限設(shè)定為16 周歲的同時(shí)，允許成員國設(shè)定不低于13 歲的年齡界限。例如愛爾蘭、葡萄牙規(guī)定門檻為13 歲，西班牙規(guī)定為14 歲、德國規(guī)定為16 歲等等。但是絕大對(duì)數(shù)成員國采用個(gè)性化兒童可驗(yàn)證方式。例如采用滑動(dòng)比例等方法，來驗(yàn)證兒童是否由自主決策能力以及賦予兒童自主決定權(quán)④。年齡門檻和個(gè)性化驗(yàn)證機(jī)制相結(jié)合，不僅為各個(gè)成員國規(guī)定兒童年齡預(yù)留空間，而且個(gè)性化可驗(yàn)證機(jī)制更加契合《聯(lián)合國兒童權(quán)利》中關(guān)于兒童參與權(quán)和兒童決策權(quán)。

兒童個(gè)人信息透明權(quán)更有利于保護(hù)兒童權(quán)益。GDPR 在序言58 條和第12 條中均規(guī)定應(yīng)當(dāng)用兒童容易理解的語言來表達(dá)。當(dāng)網(wǎng)絡(luò)用戶協(xié)議面對(duì)對(duì)象是用戶時(shí)，應(yīng)當(dāng)采用兒童容易理解的語言吸引不同年齡階段的兒童，考慮到兒童特殊群體需要特殊保護(hù)，當(dāng)兒童無法理解用戶協(xié)議或者網(wǎng)站信息時(shí)，難以做出判斷和取舍。例如可以通過設(shè)定兒童專門網(wǎng)站或者在不區(qū)分兒童網(wǎng)站的情況下設(shè)定兒童專門協(xié)議等方式，為信息透明權(quán)提供保護(hù)。

禁止自動(dòng)化處理兒童個(gè)人信息，即禁止對(duì)兒童進(jìn)行數(shù)據(jù)畫像。數(shù)據(jù)畫像是指分析或者預(yù)測和自然人有關(guān)情況，并且根據(jù)其個(gè)人偏好、興趣、可行度、行為等方式，對(duì)個(gè)人數(shù)據(jù)進(jìn)行任何形式的自動(dòng)化處理。GDPR 在第4 條規(guī)定數(shù)據(jù)畫像的定義，同時(shí)在序言第38 條和序言第71 條規(guī)定禁止對(duì)兒童進(jìn)行數(shù)據(jù)畫像。在現(xiàn)實(shí)生活中，兒童手表、兒童智能手機(jī)等應(yīng)用對(duì)兒童的個(gè)人信息進(jìn)行收集，若不禁止企業(yè)對(duì)兒童個(gè)人信息進(jìn)行數(shù)據(jù)畫像，將會(huì)導(dǎo)致兒童個(gè)人信息以及隱私的泄露。

處理數(shù)據(jù)特別保護(hù)兒童利益。GDPR 不僅禁止對(duì)兒童收集的數(shù)據(jù)進(jìn)行自動(dòng)化處理，同時(shí)在處理數(shù)據(jù)時(shí)應(yīng)當(dāng)特別保護(hù)兒童利益。GDPR 第25 條規(guī)定，網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)將設(shè)計(jì)和默認(rèn)的數(shù)據(jù)保護(hù)原則納入到產(chǎn)品的最初階段，相當(dāng)于在設(shè)計(jì)兒童產(chǎn)品。

三、我國立法完善

增設(shè)數(shù)據(jù)透明權(quán)，恢復(fù)《征求意見稿》第五條關(guān)于兒童個(gè)人用戶協(xié)議簡潔易懂的規(guī)定；處理數(shù)據(jù)特別保護(hù)兒童利益，在設(shè)計(jì)兒童產(chǎn)品時(shí)應(yīng)當(dāng)將數(shù)據(jù)保護(hù)原則納入；禁止對(duì)兒童進(jìn)行數(shù)據(jù)畫像。企業(yè)方面：加強(qiáng)對(duì)企業(yè)違規(guī)收集利用兒童個(gè)人信息的處罰力度，未經(jīng)父母同意的情況下不得收集和利用兒童個(gè)人信息；同時(shí)為運(yùn)營商規(guī)定行業(yè)自律和安全港規(guī)則，我國《信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例》規(guī)定的“通知—?jiǎng)h除規(guī)則”以及“避風(fēng)港規(guī)則”⑤，在規(guī)定安全港規(guī)則可以參照適用。

注釋：

①劉穎.TRIPS 時(shí)代國際知識(shí)產(chǎn)權(quán)法律制度的“碎片化”［J］.學(xué)術(shù)研究，2019（07）.

②丁婧文.我國〈著作權(quán)法（修訂草案送審稿）〉中技術(shù)措施條款之評(píng)述［J］.法制與經(jīng)濟(jì)，2019（03）.

③《未成年網(wǎng)絡(luò)保護(hù)條例（送審稿）》第16 條.

④付新華.大數(shù)據(jù)時(shí)代兒童數(shù)據(jù)法律保護(hù)的困境及其應(yīng)對(duì)—兼評(píng)〈一般數(shù)據(jù)保護(hù)條例〉的相關(guān)規(guī)定［J］.暨南學(xué)報(bào)，2018.12.

⑤郭鵬.云計(jì)算Saa S 模式下的著作權(quán)侵權(quán)分析.知識(shí)產(chǎn)權(quán)，2018（11）.