如何在未成年人个人信息保护中坚持系统性思维与社会化治理_风闻
夙兴夜寐刘沫沫-2小时前
来源:上海法治报
《未成年人网络保护条例》将于2024年1月1日起施行。随着这部专门性的未成年人网络保护综合立法的实施,我国关于未成年人个人信息保护的法律体系将进一步完善。
从2024年起,我国涉未成年人个人信息的规范性法律文件将主要包括:《民法典》《个人信息保护法》《未成年人保护法》《未成年人网络保护条例》《儿童个人信息网络保护规定》等。
未成年人个人信息治理的实践背景
就未成年人个人信息保护工作的管辖来说,直接涉及的部门包括网信部门、文旅部门、市监部门、公安部门、人民检察院、人民法院等有关国家机关,以及共青团、妇联等群团组织。基于未成年人个人信息保护的业务形态,由于相关工作的技术性、复杂性较强,牵涉的履责部门和个人信息处理者量多面广,且与全社会千万个家庭的关系极为密切,决定了这项工作无法仅仅依靠政府、企业、家庭、社会的任何一方就能完成,决定了这项工作必须统筹推进、综合治理,应当坚持系统性思维和社会化治理。
未成年人个人信息治理的主要难题
1.场景、环节复杂,但规范相对原则
无论是美国《儿童网络隐私保护法》,还是欧盟的《一般数据保护条例》,抑或我国的《个人信息保护法》《儿童个人信息网络保护规定》,在规范层面上都力求凸显法律规则涵摄范围广,并强化对未成年人个人信息的特殊保护。而相关法律规范的适用意味着规范的、抽象的条文需要在灵活的、具体的场景和环节中体现生命力。
立足当前已经出现的新技术、新应用、新业态、新场景,不难发现,以消费领域为代表的的个人信息权益受到的侵害尤其明显。个人信息的收集、存储、使用、加工、传输、删除等各个环节,公民的个人信息权益均有受到侵害的现实可能。而从全球个人信息保护总体形势来看,未成年人正逐步成为个人信息泄露和身份盗窃的高危人群。
2.共治主体多元,单一主体“力有不逮”
《未成年人网络保护条例》规定了政府部门、群团组织、学校、家庭、网络产品和服务提供者、个人信息处理者、智能终端产品制造者和销售者、网络相关行业组织等在协同共治上承担的义务。实现未成年人个人信息保护是多方参与、齐抓共管的过程,但这其中的“关键一子”仍然是政府部门。政府部门的监管节奏、执法动向、社会动员、信息发布、议题设置等直接关乎未成年人个人信息保护各方责任担当的进度和效果,关乎企业履责、社会监督、行业自律、家庭监护等各方面的质量和水平。
在互联网技术深度嵌入社会生活的当下,不断涌现的新问题——如个人信息治理,是对国家权力条块分割的新挑战,“有能力的,没权限”“有权限的,没队伍”“有队伍的,没技术”等问题是无法回避的实务痛点。因此,协同必须从文本走向实践,从法内延伸至法外。而对具体的未成年人个人信息保护问题,应当基于协同治理的基本理念,有关部门在充分研判、商讨基础上开展综合治理。
3.合规指引和技术标准仍有大量空白
在互联网和数据领域,法律规范的抽象性和原则性与实践场景的丰富性和多变性形成了巨大张力,而有关部门、行业协会制定的合规指引就是弥合这一鸿沟的粘合剂。合规指引一头连着国家,另一头连着企业,是法律规范在特定场景下的投射,是企业可以完善内部管理制度和操作规程的重要依据,也是企业接受行政处罚时可用于减轻责任、与监管部门达成谅解的缓冲地带。未成年人个人信息保护的关键问题之一是“标准的制定和执行”。标准作为一种技术制度,兼备技术和制度属性。标准在功能上的支撑性和内容上的规范性决定了其在理解法律术语、将法律规范转化为技术性要求上发挥了不可替代的作用,便于企业从技术角度加强自我规制,降低违法可能性。
目前,尽管基于相应场景的合规指引和技术标准已在陆续出台,但从调查、访谈和查阅资料情况来看,相应的供给仍然不足。尽管作为法律的《个人信息保护法》已经实施两年,作为部门规章的《儿童个人信息网络保护规定》已经实施三年,但个人信息处理者落实相应规定的意愿和行动都难称理想。
4.全社会未成年人个人信息保护意识还未形成
从舆论场上近年来关于未成年人网络保护的呼吁来看,国内家长们对未成年人沉迷网络游戏、网络游戏未落实实名制、打赏主播(财产处分行为未经监护人追认),以及网络上存在淫秽色情、猥亵诱导、暴力犯罪信息等问题长期关注,近年来才开始基于一些个案关注未成年人个人信息问题,如新生儿家长收到推销婴幼儿用品的信息、未成年人家长收到教培类推销信息等。
《个人信息保护法》实施两周年以来,官方组织的各类宣传层出不穷,但其中涉及未成年人个人信息保护的宣传还需持续深入人心,以案说法、让公众产生共鸣的信息供给还显不足,这就导致了大部分遭遇骚扰电话和短信的人选择忍气吞声而非及时举报,也导致了大部分公众对有关部门处理未成年人个人信息安全问题的信心不足,不利于全社会形成共同监督。
未成年人个人信息治理的破解之道
1.抓住重点场景和关键环节
从法律适用和监管的角度出发,随着《未成年人网络保护条例》的出台,未成年人个人信息保护到了亟待突破的关口,需要在整合法律资源的同时,牢牢抓住关涉未成年人个人信息的重点场景和关键环节,以点带面地提升全社会未成年人个人信息保护水平。
以少儿培训场景为例,少儿培训企业的培训对象大量集中在2-14周岁的未成年人,这就意味着,在落实“知情同意”规则,制定专门个人信息处理规则,开展个人信息保护影响评估,保障未成年人行使其在个人信息处理活动中的查阅、复制、更正、补充、删除等权利,对未成年人个人信息加强分级分类管理,控制未成年人个人信息知悉范围,开展处理未成年人个人信息情况的合规审计等等环节,企业都要严格落实相应法定义务。又以网络游戏场景为例,账号注册、人脸识别、装备购买等前台环节,以及信息存储、使用、传输、删除等后台环节,都涉及到游戏平台(个人信息处理者)能否主动履行个人信息保护义务的问题。
2.强化协同治理和分类施策
尽管“处理未成年人个人信息”的乱象大体可归纳为“过度采、强制要、诱导取、违规用”,但在不同的个人信息处理场景、不同的企业特点影响之下,出现的问题和应对策略仍然有较大的区别。以少儿培训场景为例,通过线下门店咨询、浏览培训机构网站(包括App小程序)等是否需要收集学员信息?首次使用培训机构App、小程序时,App是否要主动提示消费者阅读隐私政策,尤其是否要提示阅读针对“不满14周岁未成年人”的专门隐私政策?消费者在使用培训机构App、小程序时,App、小程序能否频繁索取设备信息、精准位置信息等权限?未成年人报名培训课程时,培训机构除收集学员姓名、学员出生年月、家长姓名、联系方式等个人信息外,索取其他个人信息是否属于“最小必要”?培训机构通过微信、短信、电话等方式频繁推销课程,是否合法合理?企业后台,不满14周岁未成年人个人信息是否应设定权限、限制知悉和使用范围?消费者注销App、小程序账号功能时,培训机构能否提供简单便捷的操作流程,不设置不合理的限制条件?对这些问题进行书面回答并不难,难在法律法规的真正落地,难在监管部门的全链条“注视”、全生命周期“在场”,难在及时有效的事前规范、事中监管、事后处置处罚。
不难看出,因场景各异而导致的个人信息保护问题具有相当的复杂性,网信部门应充分发挥统筹协调作用,与其他履责部门一道,在执法实践中打通“场景(环节)——履责部门——协同协作(综合发力)——靶向施策”的动脉,让服务型监管、伴随式执法成为全社会未成年人个人信息保护的有效保障。
3.推动合规指引和标准制定
根据《未成年人网络保护条例》,未成年人个人信息保护是政府部门、群团组织、学校、家庭、网络产品和服务提供者、个人信息处理者、智能终端产品制造者和销售者、网络相关行业组织在这一新兴领域的碰撞与互动,但政府部门、行业组织、企业在其中发挥的作用至为重要。具体到未成年人个人信息保护领域,尤其需要有关部门、行业组织针对诸如餐饮(扫码点餐)、人脸和指纹识别(商超支付、门禁等)、少儿学习培训、网络游戏、智慧生活等场景形成合规指引,在各个环节保障未成年人个人信息处理行为的安全可信。
从技术标准侧来看,解决不满14周岁的未成年人个人信息的告知和同意、去标识化、分级分类管理、最小必要个人信息、风险评估、安全测评、第三方收集管理等问题,亟待结合不同场景制定相应标准,尽可能为法律解释、法律适用、法律遵守消除理解偏差。
4.聚焦普法宣传和社会监督
相比于传统治理问题,个人信息保护是技术深度嵌入经济社会发展带来的不可避免的难题,政府部门无法通过单打独斗根本性祛除沉疴,亟需政府、社会、公众、企业各方凝聚共识、寻求共治。达成合意、形成合力需要商谈与对话,也需要社会和公众持续性地对政府和企业进行压力传导和监督鞭策。
(作者盛夏系复旦大学新闻学博士研究生,长期从事互联网领域实务工作)