未成年人网络保护作为国内外广受关注的热点问题,其制度构建和治理方案对理论和实践都具有重要价值,对于智慧社会、数字经济以及人工智能大数据等核心产业发展,都是意义十分重大的命题。近年来关于未成年人网络保护各层级立法的频繁动向引起了研究者们对于未成年人网络保护体系化推进的思考,2019年5月31日国家互联网信息办公室发布《儿童个人信息网络保护规定(征求意见稿)》(以下简称征求意见稿)公开征求意见使得儿童隐私保护问题和实人认证问题成为目前的热点话题。中国社会科学院大学互联网法治研究中心于2019年6月30日举办社科大未成年人网络保护论坛(第二期):未成年人网络保护:理论体系、儿童数据与实人认证。该论坛一共分为三个单元,就未成年人网络保护的理论与实践体系和儿童个人信息保护与实人认证两方面议题进行深入探讨。
第一单元:未成年人网络保护的理论与实践体系第一个单元由中国社会科学院大学互联网法治研究中心执行主任刘晓春主持。首先,由中国社会科学院大学副校长、互联网法治研究中心主任林维以“未成年人网络保护的体系建构”为题作主题发言。林维对当前未成年人网络保护领域的基本情况主要问题进行介绍,指出要整体地推进规范体系建立,注意未成年人网络保护的法律规范之间以及与其他法律规范之间的融合。要将实人识别制度作为未成年人网络保护立法的前提,将业界的技术措施与法律规范的制定进行合理分工并且完善配套措施。在权利义务的调整以及由此导致的利益分配问题的层面上,互联网法律规范和其他法律规范相同,要同时考虑到未成年人保护、产业的利益、国家治理和企业合规治理的平衡性问题。未成年人保护的基本原则就是未成年人保护优先,在考虑平衡的问题时应当体现出未成年人保护的优先性、特殊性、敏感性。当前要优先关注的是未成年人个人隐私和信息保护问题、网络欺凌问题、网络防沉迷问题、未成人支付能力和风险问题、未成年人不良信息内容管理问题和未成年人网络犯罪防范与治理问题等六个方面。我国未来的立法和修法上注重法律的可操作性问题,建构起一个完整的、互动的、实操性强的规范体系。目前我国关于未成年人的互联网立法,总体分散且层级较低,相信通过这次网信办的立法工作,能够实现对既有立法的梳理和系统集成,对立法层次提升和规范可操作性的增强。
接下来,由中国审判理论研究会专职秘书长、《中国应用法学》执行副主编牛凯以“加强未成年人网络保护与治理需要多措并举”为题作主题发言,牛凯介绍了当前我国网络发展与未成年人网民现状,指出我国未成年人已经成为一个独特的网民群体以及网络使用的生力军,但由于身心发展不成熟,使其成为深受网络不良信息最大的群体,并针对加强未成年人保护提出六点建议:第一,将未成年人网络保护纳入国家网络安全和信息化发展战略;第二,加强未成年人网络保护专项立法,尽快出台一部专门保护未成年人网络健康的法律法规;第三,加强未成年人网络素养教育;第四,构建未成年人网络保护多元社会治理机制;第五,组建青年网络文明志愿者队伍,这对于引导广大青少年争当中国好网民、发出青年好声音具有重要意义。第六,开展未成年人网络保护的国际交流与合作。
第三位由《环球法律评论》编审王雪梅以“未成年人权利体系与网络保护”为题发言,她首先介绍了未成年人基本权利在现实空间与网络空间的差异,并指出家庭是儿童权利的第一责任者,但网络空间的特殊要求不能只依靠家庭保护,国家和社会必须介入其中。要对儿童个人信息概念做明确界定,注意关于儿童个人信息与成年人个人信息之间的区别。建议征求意见稿中至少把儿童年龄标准限定到16岁,与《民法》、《刑法》的相应规定配套。借鉴国际社会的一些动向和共识,在儿童隐私保护、儿童信息的使用、分享、保留和存储等重点领域规定最低的保护标准。加强对网吧的监管力度,明确平台服务者的责任,在行业规范上要形成统一、规范的伦理要求和技术要求,企业的合规计划应把儿童保护的内容纳入其中要。建设未成年人网络保护的专业化、职业化的队伍,为需要帮助的儿童及其家庭提供更加方便的服务。
最后,由抖音青少年网络健康成长研究中心研究员何子章以“短视频时代的儿童权利”为题作主题发言,他对抖音公司的未成年人保护工作进行了介绍,重点说明了抖音青少年网络健康成长研究中心的向日葵计划在内容管理、产品功能、产品运营、合作研究等方面开展的未成年人保护工作。他认为儿童的四项基本权利中,除了生存权与网络平台相关性较小外,受保护权、儿童发展权、儿童的参与权,都与网络平台高度相关。抖音软件通过上线时间锁功能、推广知识类内容的“Dou知计划”和青少年产品体验官等项目积极保护儿童权利。
下面进入与谈环节,最高人民检察院第九检察厅厅长史卫忠介绍当前检察机关关于未成人网络保护从“惩”、“防”、“教”、“治”、“责”五个方面开展工作:一是“惩”,就是打击涉及到未成年人的网络犯罪活动,包括侵害未成年人隐私、网络色情等案件;二是“防”,让未成年人意识到在网络空间中需要遵守秩序并增强自我保护意识;三是“教”,重视家长、学校等主体对于未成年人进行网络保护教育的作用;四是“治”,包括对网络和现实空间的同步治理,五是“责”,督促有关的行政机关依法落实网络保护责任,彻底清除一些现实当中的问题。
最高人民法院中国应用法学研究所副所长李玉萍指出未成年人的网络保护问题要理念先行,要有理论支撑,实践也要给予有利的支持。应当思考原有的对于未成年保护的理念在网络空间的特殊场景下是否完全契合,如果不契合,应当怎样发展新理论来完善和加强对未成年人的网络保护。关于未成年人保护立法和规范体系的建设。未成年人网络保护体系层级之间应该是一个递进关系,越往下层规范的可操作性就应该越强。在制定未成年人保护方面的规则要注意与相关法律或规则之间的融合度,协调好不同立法之间的关系。
中国青少年研究中心少年儿童研究所所长孙宏艳认为,家庭是预防儿童网络沉迷的第一道防线,原生家庭是孩子成长的第一环境,要予以充分重视。目前的研究表明,亲子活动越多,亲子关系越民主的家庭,未成年人对网络游戏的认知和态度就越理性。要尊重儿童成长的规律,多学科多领域地研究未成年人网络保护的理论构建,要从儿童的视角和心理出发考虑未成年人保护问题。遵循儿童友好的理念,在数字社会的共治共建中,对儿童友好理念予以充分重视。
第一单元的讨论到此结束
第二单元:儿童个人信息保护与实人认证两方面主体进行深入探讨
论坛的第二单元由中国审判理论研究会专职副秘书长、《中国应用法学》执行副主编牛凯住持。首先由中国社会科学院大学互联网法治研究中心执行主任刘晓春以“儿童个人信息保护制度构建与支撑”为题作主题发言,她认为,对于儿童个人信息保护的权利保护原则,要求从预防侵害与促进发展两个方面同时考虑儿童的多方面权利。对儿童个人信息的特殊保护和强化保护源于儿童作为权利主体的特殊性和儿童个人信息更高的风险以及儿童数字人格塑造上更易受影响的特点,因此在同意模式、保护信息类型和保护方式上需作特殊保护考虑并加强保护力度。对于儿童个人信息保护制度的适用范围,可以根据网络服务商的主体特点和行为模式的差异要求采取不同程度措施的区分,一揽子的事先规制模式会导致过高的产业合规成本和不确定性,可以考虑部分引入事后判断和责任模式。对于征求意见稿中的强化的知情同意原则,有四点建议,一是要确立监护关系证明的认定标准,二是对于明示同意的具体同意方式要考虑企业的可操作性进行规则的确定,三是要平衡好监护人与未成年人之间的关系,与未成年人认知能力相匹配,四是关于知情同意的例外规定,在缺乏上位法的指引的情况下可能面临上下位法的协调问题。对于个性化推送可以根据内容不同进行不同程度的干预。商业广告中对于儿童数字人格的影响较低内容可以无需过多干预,但其中可能直接影响观念的内容应当有所限制。实人识别是儿童个人信息保护的基础,可以通过增加企业用户划分和行为验证的义务以提高其个案中的举证责任,提升企业强化实人识别能力的主动性。
其次,联合国儿童基金会驻华办儿童保护官员苏文颖以“儿童个人信息保护的国际视角”为题做主题发言,她认为在数字社会的建构中要强调以人为本,人的自主性和独特价值在儿童身上会有非常明确的体现。在儿童个人信息保护的制度设计上应该致力于实现儿童受保护权和儿童发展权的平衡,在保护儿童个人信息的同时,又不对其网络使用行为设置太多的门槛和限制。此外,还应保障儿童的参与权,应当根据孩子的年龄和认知水平,帮助他们在与自身权益相关的事项上发布观点、参与决策,并对其观点和意见予以适当考虑。关于征求意见稿中对保护规则和用户协议简单易懂的要求是必要的,即便是需要家长同意的低龄儿童,也需要并有权了解与隐私和个人信息相关的风险,以便其使用产品,这也是儿童培养数字公民意识,提高自身网络素养的必经之路。保障儿童上网安全,并不意味着要在网络世界中创设一个完全隔离的儿童温室,因为儿童在线下同样没有生活在温室中,让儿童在网络世界中学会判断、辨别、思考和选择,是数字时代儿童成长的一部分。
最后,北京韬安律师事务所高级顾问孙磊以“儿童隐私和实人认证的实践观察”为题作主题发言,他以三个案例为线索进行分析。第一个案例是目前网络游戏、电子竞技、网络直播管理当中存在的冲突问题。目前我国对游戏管理的规范中对于未成人的年龄限制与电子竞技领域职业选手的实际年龄需求存在矛盾,电子竞技黄金年龄是17-20岁,而多数网络网游管理规范以18岁为标准。网络直播中关于18岁以下的未成年人能否开通账号的问题目前存疑,如武汉规定16到18岁的未成人在家长陪同下可以开通账号。不同直播类型对未成年人的影响不同,建议据此制定某一年龄层次的未成年人能否开通直播的限制规范。第二个案例是韩国2013年出现了由游戏引起的校园凌霸事件,导致整个社会对游戏的反思,因此韩国出台《校园暴力应对政策》,其中对青少年的游戏时间、游戏消费、游戏道具交易等多方面进行限制。第三个案例是韩国2006年《天堂2》泄密事件,虽然游戏公司最终被法院判决认定不承担责任,但用户个人信息泄露的发生值得反思。人脸属于最高等级是生物识别信息,网络游戏与直播公司从安保等级与技术上无法实现该功能,该信息泄露对未成年人伤害更为巨大,对于要求网络游戏开通人脸识别验证的做法建议慎行。
下面进入与谈环节,最高人民法院研究室副巡视员蒋明指出四个方面的问题:一是儿童概念的合理性问题。儿童不是一个严谨的法律概念,国际国内立法对儿童年龄界定不统一。联合国《儿童权利公约》规定,十八周岁以下未成年人都是儿童,最高法院《关于审理拐卖妇女儿童犯罪案件具体应用法律若干问题的解释》规定,不满十四周岁的人为儿童,可见,在不同语境下,儿童的内涵不相同(与“少年”概念相似),建议使用未成年人概念,一则加强对所有未成年人个人信息保护(不仅仅是十四周岁以下未成年人才有保护的必要),二则与即将出台的《未成年人网络保护条例》相一致。二是儿童个人信息的外延问题。什么是个人信息,法律上并没有明确界定。最高法院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息相结合识别特定自然人身份或者反映特定自然人活动的各种信息,包括姓名、身份证号码、通信通讯方式、住址、行踪轨迹等等。这些内容当然适用于儿童,但对儿童的保护还远远不够,应当酌情把儿童父母等直系近亲属的个人隐私,比如父母犯罪、离婚等信息也纳入儿童个人信息保护范畴,以加强儿童保护。三是儿童个人信息保护的平衡问题。当前,儿童信息保护仍然存在较大的城乡差距,在大城市或法治文化发达地区,儿童个人信息保护意识和效果相对较好。但广大农村,特别是山区,儿童个人信息保护还有很多空白,尤其是对儿童被性侵,被治安或刑事处罚等信息,往往是坊间谈论的热点话题,既无保护的法律意识,也没有保护的实际行动,所以,应当将儿童信息保护的内容写入中小学教材,加强儿童信息保护的义务教育,提高农村公民的个人素养。三是儿童个人信息的立法规制问题。儿童个人信息除了网络保护,在网络保护之外的纸媒、影视节目、广播电台等也要一并保护,最好一揽子解决,不能头痛医头,脚痛医脚。
中国传媒大学文化经济研究所所长张洪生指出,我国目前面临公共上网场所逐渐减少的问题,网络领域的法律建设、管理层建设往往落后于技术发展,这方面需要有前瞻性的考虑。对于儿童年龄的界定以14岁为标准较为妥当,14岁以后许多未成年人行为已经接近于成年人行为,不能以儿童的标准衡量。需要加强对这些新问题、新现象的深层次研究。对于校园欺凌、网络暴力等问题需加大关注,除了对肉体伤害,还要重视精神上、心理上的侮辱欺凌问题,法律上如何定性和惩处需要进一步地梳理研究。当前我国对于未成年人问题的研究多流于表面,多对于个案的小群体的研究,以描述性为主,缺乏大数据支持,应当加强这一方面工作。
中国社科院大学互联网法治研究中心研究员李静认为,对未成年人网络支付风险问题,一方面要考虑未成年人网络支付有需求,不能全面地禁止,另一方面要考虑网络支付有风险,风险主要体现在支付行为效力的不确定性上,要对风险进行分析和防范。基于网络支付和未成年人主体这两个特点,要求各主体承担不同的责任。对于网络支付平台,要求其在技术上把关,把握好实名认证程序的准确性、严格性,支付的安全性,把控主体身份,界定用户权限,合理提示风险。对于提供商品和服务的网络商家,应该要求其管理好商品服务的内容、质量,针对未成年人屏蔽不适当信息和限定服务,防止未成年人用家长的身份登陆。对于监护人,其对8岁以下未成年人的支付行为要承担全责;对于8岁以上的未成年人,法律允许其独立实施与他的年龄智力相适应的网络支付行为,对于较大金额的支付则根据事先同意规则和代理规则进行处理;对于16岁以上以自己劳动收入为主要生活来源的未成年人,其被视为完全民事行为能力人,其网络支付有相应法律效力。
中国青少年研究中心助力研究员张晓冰认为,征求意见稿把民事同意权利赋予监护人,但未回答当个人信息的发布主体是监护人情形的问题,此处涉及儿童是否有塑造自己网络痕迹的权利、父母晒娃的界限等问题。2015年葡萄牙地方法院要求一对父母不得在社交网络上披露12岁女儿的照片,2017年意大利法院要求一对父母删除其发布的全部子女照片,日后未经子女同意禁止发布子女肖像及涉及隐私的信息,否则将罚款1万欧元。这些问题在国内尚未得到重视。另外,意见稿里面针对儿童个人信息要求设置保护专员,而数据安全管理办法意见稿要求设置安全人,网安法要求设置安全管理负责人,个人信息安全规范要求设置个人信息保护负责人,这四类身份可否为同一个人,还是应该分别有不同的主体,需要进一步讨论。
第三单元 自由讨论第三单元进入自由讨论环节,由来自阿里巴巴、蚂蚁金融、京东、百度等公司的企业代表发言。
阿里巴巴集团法规政策研究室总监李倩认为,未成年人保护相关法律中都将监护人的授权同意当作自动合法性的途径,而没有考虑其例外的问题,对于监护人利益与未成年人的利益产生冲突的情况,在涉及未成年人财产方面有相关规定,但在人身权利方面没有规定,建议设置一个对冲性的总则。对于征求意见稿中第18条与第19条,出于维护国家安全或者公共利益,或者保护儿童的目的,网络运营商可以不经监护人同意收集处理信息。这种情况下监护人得知以后又要求网络运营商删除,此处法律冲突应当如何解决?对于18条与19条存在冲突应当设置衔接的条款。网络运营者涵盖了行政机关、事业单位,但征求意见稿中对于公权力机构的制约比较少应当注意,徐玉玉案的隐私信息泄露是从山东潍坊教育局官网泄露的。关于网络游戏防沉迷问题,对主要用户为儿童的网络游戏(包括面向儿童开发、或者实质用户为儿童)可以通过大数据获知并进行分别,在整个内容链条上严格管控。如果对未成年人有益,可以稍稍放开管制,有利于使得行政资源实现均衡的配比。
蚂蚁金融服务集团法律研究中心副主任宋伟认为,网络游戏防沉迷制度的基础是实人认证。当前网游实人认证领域的问题可以参考借鉴金融领域的实人认证技术的发展加以解决。从五年前银行卡POS机,到NFC非接触支付技术、二维码支付,再到当下各商业及政务领域广泛使用的人脸支付实践,刷脸认证支付应用场景已涵盖快消、餐饮、商超等众多行业,给用户带来更适宜的便捷与安全相平衡的体验。刷脸认证是基于用户脸部特征信息及提供认证服务机构信息综合校验通过后完成的认证服务。网络游戏刷脸认证并不一定要求网络游戏运营商独立具备刷脸认证能力,完全可以通过集成具有刷脸认证服务能力和资质的第三方SDK(软件开发工具包)的方式完成刷脸认证,这也是目前行业中普遍采用的认证方式。从技术角度网络游戏运营商不需要保存用户认证照片,不涉及向游戏运营商传输用户的人脸图像信息和游戏运营商集中保存大量用户人脸图像信息的安全风险。随着人脸识别技术的日益成熟,特别是已经达到了金融级的安全性实践验证,刷脸认证运用在网络游戏实人认证中已经具备可行性条件,软硬件成本和行业部署没有实质性障碍,个人信息保护方面并没有较大的新增风险。网络游戏实人认证中采用刷脸认证方式并有效落实,将对网络游戏分级分类管理、未成年人游戏防沉迷制度建设,以及整个中国网络游戏行业规范化发展起到重要作用。
京东法律研究院高级研究院严少敏认为,儿童个人信息保护要比单纯个人信息保护复杂,儿童和成人的区别很大。电商环境下如何保护儿童隐私目前是个难题。未成年人利用他人代买代收,或藉此购买了一些不利于儿童身心发展的商品的情况,家长不好约束。面对此类情况电商应该有何作为需要探讨,或可考虑借助支付机构的实名认证识别出儿童以进行特殊保护。出于保护儿童的目的收集和使用更多的儿童信息,可能存在侵犯儿童隐私的风险。建议在用户识别的同时不保存或不去扩大使用儿童信息。将儿童年龄标准提高容易导致对儿童的过度保护,如何平衡对儿童的保护与发展也是一个困难的问题。对于未成年人网络保护,法律保护的作用将不断减小,技术保护越来越重要,建议法律保护可以稍微滞后,先由技术自行解决新出现的问题。
百度公司高级法律顾问王洁认为,我国《征求意见稿》在坚持《网络安全法》个人信息保护的原则要求下,认同推荐性标准《信息安全技术 个人信息安全规范》中儿童个人信息全部属于敏感个人信息,从个人信息全生命周期进行保护的思路,规定了收集、使用、转移、变更使用目的和范围、与第三方共同使用儿童个人信息时,均需获得监护人的明示同意。实践中,如何识别儿童是企业履行合规义务的难点。COPPA的做法有一定的借鉴意义,即区分了面向儿童提供服务和非面向儿童提供服务两类。当网络运营者并非面向儿童提供服务时,只要做到以下两点即可满足合规要求。1.在没有收集年龄信息的情况下,不会从任何用户那里收集个人信息。2.对于那些说自己未满13岁的用户,在获得可验证的家长同意之前,不要收集任何个人信息。COPPA的规定给了企业更具可操作性的指引,但是缺点在于容易被虚假填写的年龄信息而绕过。我国与美国实践的不同在于,美国网站为了满足COPPA要求,在用户注册时要求填写年龄信息进而判断是否需要获得可识别的父母同意,而我国的网络服务大多需要提供在运营商进行实名认证的手机号进行注册,可能儿童会使用父母注册的账号或者父母直接以自己认证的手机号为儿童注册一个单独的账号,这种情况下都宜认定网络运营者无法识别儿童而不需要获得监护人明示同意。
会议总结最后阶段由中国社会科学院大学副校长林维和中央网信办政策法规局副局长李长喜进行会议总结。中国社会科学院大学副校长林维教授总结了今天会议的主要内容,展望社科大未成年人网络保护论坛的未来,热情邀请各位来宾以及更多业界人士未来继续参加论坛,深入对未成年人网络保护问题的研究讨论。
中央网信办政策法规局副局长李长喜做最后总结,他指出,未成年人网络保护应当体系化地推进,要从政府管理、行业自律、企业规范、社会监督、个人参与五位一体地推进网络保护工作。要处理好四个方面的关系:第一是处理好不同立法项目之间的关系,处理好法律、行政法规、规章等不同层级立法的关系,各层级立法“各负其责”地解决好各层级的问题,由上而下地从原则到具体。第二是处理好相应法律制度之间的关系,对于同样的制度,不应简单地重复或交叉抵触,应该协同一致,在原则和制度规定上不冲突不矛盾。第三是处理好一般法和特别法的关系,一般性的问题应该交给一般法来解决,特殊要求放在特殊法里面。第四是处理好本土化和国际化的关系,不能要求不同国家、地区之间采取完全相同的保护政策,但是在共同性的规则上,尤其是技术性的规则上,其他国家的法律规则会给我们很好的借鉴和启示,可供我们认真研究。只有这四个关系处理好,才能构建科学的未成年人网络保护法律体系。
