全国网上家长学校logo

将“监护人同意”具体化、规则化

时间:2019-09-06     来源:中国妇女报

  未成年人是网络时代的“原住民”。网络环境下,如何更好地保护他们的个人信息?日前,国家网信办公布《儿童个人信息网络保护规定》(以下简称《规定》)。多位专家在接受中国妇女报·中国妇女网记者专访时表示,《规定》在儿童个人信息网络保护方面具有开创性意义,同时应尽快完善相关配套制度,使得征得儿童监护人同意这一保护方式能够真正发挥作用。

《规定》将使得儿童个人信息不再被任性利用

  当下,小学生拥有手机已并非个例。据中国互联网信息中心于2019年2月发布的《第43次中国互联网络发展状况统计报告》显示,截至2018年12月,我国网民规模达8.29亿,其中10岁以下网民占比4.1%,10~19岁网民占比17.5%。

  中国社会科学院大学互联网法治研究中心执行主任刘晓春认为,儿童个人信息泄露,不仅仅是暴露隐私,还会产生更严重的身心伤害。针对未成年人的犯罪,很多都是建立在未成年人个人信息泄露的基础上,比如对儿童的诱骗、网络诈骗、网络性侵、人肉搜索、网络欺凌等。

  “现在数据收集越来越智能,很多孩子上网时,压根不知道自己的个人信息被收集了。”中国传媒大学传播研究院副研究员张洁在调研中发现,儿童本来就社会经验不足,在上网被收集个人信息时,更不清楚哪些能填,哪些不能填。从“0”到“1”的角度看,《规定》的出台很好,填补了儿童个人信息网络保护的空白。

  上海政法学院副教授张善根认为,《规定》以儿童利益最大化为中心,最大程度保护儿童信息安全。着力于强化网络运营者的责任,详细、全面规定了网络运营者所承担的义务,对网络运营者进行有效规制;着力于强化监护人责任,确立了父母的知情权、同意权及监护权,对监护人提出了更高的期待;着力于强化国家监管职责,使得国家监管有了抓手。“《规定》将使得儿童个人信息不再被任性利用,必须合法、合规。”

界定“14岁”有利于在保护儿童个人信息和儿童自主权利之间寻找平衡

  刘晓春告诉记者,《规定》明确了儿童个人信息处理需要得到儿童监护人的同意,属于国际上的通用做法,充分考虑了未成年人对网络风险环境不熟悉、判断力不足的因素。

  在刘晓春看来,一般用户只要其同意,网络运营者收集个人信息是可以超过必要范围的。《规定》对儿童信息处理提出了特别要求,儿童信息不能超出必要范围,体现儿童个人信息最小必要原则,是对儿童个人信息的更强保护。

  《规定》第二条明确,本规定所称儿童,是指不满十四周岁的未成年人。将儿童的年龄确定在14周岁以下,而非18周岁以下,将对儿童保护产生什么影响?

  联合国儿童基金会驻华办儿童保护官员苏文颖分析,《规定》对儿童个人信息网络保护的制度设计是建立在儿童监护人同意之上的,这是目前国际的通行做法,监护人同意是个人信息保护的核心。这一保护方式背后的逻辑就是,处于一定年龄段的儿童因发展阶段和认知水平所限,网络运营者在儿童使用其服务过程中收集和使用其个人信息,必须经过监护人的同意。美国《儿童在线隐私保护法》把这一年龄定在了13岁以下,欧盟《通用数据保护条例》则将需要家长同意的年龄设置在了16岁以下,但是允许成员国自行设置更低的年龄门槛,这一门槛不得低于13岁。从这个意义上来讲,可以看出《规定》是借鉴了国际经验的,同时可能也考虑到了和中国刑法等制度的衔接。

  “如果将14周岁以上未成年人也纳入《规定》的调整范围,采取监护人前置同意的方式,可能与该年龄段未成年人身心发展阶段不相匹配。”苏文颖说。

  张善根认为,将年龄限制在14周岁以下,是《规定》的核心要点。14岁以下的儿童对自己的信息保护更缺乏自我意识和能力,更需要强化网络运行者的社会责任,提升监护人的保护能力。

  刘晓春告诉记者,从儿童权利的角度,一般认为,应使得儿童在具有自主判断力的范围内拥有更多权利决定自己的事项。如果年龄定得太高,把自主权收归监护人,不利于对儿童自主权利的保护。

  而对于14~18周岁的未成年人,苏文颖认为,他们虽然未必需要监护人同意,但仍然是未成年人,其个人信息保护在后续制度设计上仍需加以特殊考量。比如,隐私政策、社区规则需要采用未成年人能够理解的语言。希望即将出台的未成年人网络保护条例、将要修改的未成年人保护法能对此做出制度安排。

建议出台具体指导意见让网络更好地融入儿童生活

  张善根认为,《规定》在具体操作中可能面临一定的难度。比如,在对网络运营者的规制主要依赖于儿童监护人的同意机制,但无论是网络运营者,还是儿童监护人,其对接和执行的成本都相对比较高,有可能导致双向规避风险,从而使得《规定》无法落地。

  多位专家认为,在儿童个人信息网络保护中,网络运营者如何识别未成年人的身份,是全世界面临的难题。欧美国家都出现了未成年人用成年人账号上网的现象。

  “未成年人识别机制需要完善认定标准,界定企业做到什么程度,才算尽到义务。如果是远程,很难判断是否是监护人。”刘晓春告诉记者,我国需要完善相关配套机制,出台具体指导意见,将“监护人同意”具体化、规则化,否则企业很难搞清楚。同时,政府应提供儿童身份识别的公共工具,减少网络运营者的成本。

  刘晓春特别强调,预防大于事后惩罚。《规定》在实施过程中应特别注重预防引导教育,教育儿童要有保护个人信息的意识。网络运营者可以提供多种工具,帮助家长通过儿童账号方便快捷地管理和阻止数据上传,特别是遇到紧急情况时。

  此外,苏文颖还认为,儿童个人信息网络保护对家庭教育、家长的网络素养提出了很高的要求。

  “新媒体发展对各种年龄层的人都有挑战。”张洁说,个人信息保护是个新鲜领域。成年人也未必都知道,哪些个人信息需要保护,发出去会产生什么影响。监护人如果缺乏在网络社会生活的经验,很难起到监护责任。

  张洁认为,应做好社会宣传,提供相关案例,帮助父母了解儿童个人信息的潜在风险点,清楚出了问题怎么解决。技术发展是把双刃剑。父母切忌因噎废食,阻碍儿童接触网络,应看到政府积极采用科学规范手段解决现实问题的努力,加强学习,帮助孩子增强控制自己遵守规则的能力,让网络更好地融入儿童的日常生活。

儿童个人信息网络保护规定   网信办