首页> 图书频道> 政法> 法学

三、欧盟相关立法

2026年02月09日
版权

三、欧盟相关立法

欧盟是世界上最早对个人信息进行保护的地区,早在1995年,欧盟通过了《关于保护个人数据和此类数据的自由流动的指令,95/46/EC》(Directive 95/46/EC on the protection of individuals with regard to the processing of personal data (PII (US)) and on the free movement of such data,以下简称《数据保护指令》)。2018年欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)正式实施,GDPR也学习了COPPA中的“父母同意”原则,并在COPPA的基础上进一步发展了“父母同意”原则。

(一)《数据保护指令》的主要内容

《数据保护指令》指出了个人数据保护是立法的核心内容,确立了合法、终极、透明、合适、保密和安全及监控原则[1],目的旨在提供数据保护最低限度的制度基础上促成数据的自由流通[2],这些原则也成为世界其他国家在个人数据立法时所遵循的基本原则。但是《数据保护指令》并没有区分成年人与未成年人,对欧盟所有公民做出一视同仁的规定。虽然《数据保护指令》并没有明确提出对于未成年人信息的处理要求,但是其中的一些条款对于公民基本数据收集提出了要求,这些要求也在之后未成年人互联网信息保护中成为基本准则。

由于个人数据被处理的过程并不会公之于众,未成年人以及其他数据主体,并不知晓他们的个人数据被处理了。为了防止未成年人这种脆弱的数据主体受到伤害,欧盟法律保证儿童得到特殊的保护,比如被告知他们的个人数据被收集,允许他们接近存储的数据,了解数据将被怎样处理,反对不合法的数据处理的权利,以及修正、消除和禁止数据传播的权利。根据《数据保护指令》第10款和第11款的要求,数据控制者必须在处理数据时提供足够的信息,以一种儿童能够理解的语言,告知儿童他们的数据即将被处理。告知信息中必须包括处理目的以及数据控制者的身份和联系方式等细节。[3]《数据保护指令》要求数据主体同意,不论是否是敏感数据,数据控制者应当考虑到儿童的特殊性,首先要获得其父母一方的同意,才能对其数据进行处理。数据主体有权删除他的数据,即其可以提出从数据控制者的服务器中移除或者删除个人数据,以及反对处理数据的权利。

(二)《通用数据保护条例》的主要内容

随着技术的发展,《数据保护指令》的很多内容亟待更新,面对数字技术的不断挑战,欧盟在《数据保护指令》的基础上进行了大刀阔斧的改革,全面提升了对个人信息的保护,于2016年正式通过《通用数据保护条例》,GDPR于2018年5月正式生效,该法被称为“史上最严格的个人信息保护法”,GDPR对未成年人个人信息保护提出了诸多规定。前文提到,隐私和个人信息的区别和联系,个人信息并非全部是隐私,隐私涵盖的是个人信息中私密的部分,包括敏感信息。GDPR规定对儿童信息(16岁以下未成年人)给予特殊的保护。

GDPR保留和发展了《数据保护指令》为数据主体提供的权利和核心原则。GDPR还增加了新的内容。针对《数据保护指令》虽然公布了基本原则,但是对于未成年人数据没有专门保护的问题,GDPR提出了专门针对儿童数据保护的内容。绪论中解释了对儿童互联网数据特殊保护的原因,即儿童很少会意识到个人数据泄露的风险和结果。所以,以营销或者创建用户资料为目的收集儿童数据的,需要对儿童进行特殊的保护,即需要征得儿童父母一方的同意。但是有些特殊情况除外,即保护预防性和咨询辅导性的服务可以直接与儿童进行联系。并对儿童数据的处理提出了特殊要求,如在设置网络隐私条款的时候,一旦涉及儿童的数据,要以儿童能够听懂的、简洁的、清晰的语言解释来增加透明度,以及儿童有要求数据控制者删除自己数据的权利。

在正文部分第6条处理的合法性第1款(f),要求数据控制者在处理数据时,注重儿童权利的优先性和基本权利和自由。第8条的信息社会服务中适用儿童同意的条件,提出了儿童不满16周岁时,只有儿童父母的同意和授权,才能对儿童数据进行处理。成员国可以根据本国实际设定年龄,但不得小于13岁。第12条保证数据主体行使权力,第1款要求数据控制者应当以一种简洁(concise)、透明(transparent)、易懂(intelligible)和容易获取(easily accessible)的形式,以清晰(clear)和平白(plain)的语言提供,尤其针对儿童的所有信息。第40条行为准则第2款(g)要求提供给儿童和保护儿童的信息要提前获得儿童监护人的同意。第57条第1款(b)对于儿童的活动要保持高度重视。新增了“儿童数据被遗忘权”“监护人同意制度”等内容,“监护人同意原则”是自欧盟开始保护未成年人互联网数据以来,首次采用这种形式来保护未成年人网络数据。GDPR对儿童个人数据保护的规定更加翔实,体现了对儿童个人数据权利保护和个人表达自由双重价值的尊重,以及对“儿童利益最大化”原则和“儿童友好”原则的重视。

(三)《通用数据保护条例》中的“父母同意”原则

GDPR第8条规定,年龄低于16岁儿童的个人数据用于提供在线服务时,须首先获得其父母的同意。GDPR同样将“父母同意”原则作为基本原则来保护未成年人的隐私信息,但是与COPPA不同的有如下几点:

一是GDPR将年龄提升到了16岁,成员国可以在13—16岁之间选择年龄范围,“父母同意”的保护范围扩大。与COPPA一样,受保护的未成年人年龄问题引发了大量争议。欧盟在进行调查和评估中发现,将受保护的年龄定在13岁,既有利于商业网络发展,又能平衡儿童隐私保护,所以欧盟将基本年龄“门槛”定在13岁以上。在GDPR的最初版,保护的年龄为18岁以下,但是后来在商讨中,为了保证法律的正常实施,才将年龄定为16岁以下,成员国不得小于13岁。

二是除了父母,其他人也能同意。尽管COPPA以“父母同意”为基本原则,但是如果未成年人的父母去世,谁可以继续充当“防火墙”呢?GDPR采用的词为“监护权持有人”,在实际应用中,一些国家将范围扩大了。如爱尔兰的隐私权法中允许数据主体的祖父母、叔叔、阿姨、兄弟或者姐妹代为行使权利。[4]马耳他的数据保护法中允许除了父母之外的其他与孩子相关的亲属来代替孩子行使数据处理权利,只要这个数据处理符合儿童利益最大化原则。[5]实际上,在美国,也有相关案例,即在教育的环境下,学校可以代替家长,在学校范围内使用和收集学生的个人信息,而非为了商业目的。[6]

三是没有明确界定如何实现“父母同意”。 COPPA中对于父母同意的要求为“可验证的父母同意”(verifiable parental consent),即网络服务运营者必须在收集儿童数据之前,用包括但不限于邮寄、付费电话、信用卡号、视频会议等方式获得父母一方的同意。[7]在GDRP中针对儿童数据处理的在第8条第2款,如果要收集16岁以下儿童的数据,数据控制者必须要获得父母一方的同意。而“同意”在第4条(11)意为数据主体能够自由(freely)、具体地(specific)、充分知晓地(informed)、不含糊地(unambiguous)表达同意。GDPR并没有明确提出两点,即数据处理者如何获得16岁以下未成年人父母同意;没有对“父母同意”进行一个明确的解释。

四是GDPR没有对运营商类别进行界定。GDPR第8条中指出,直接针对儿童提供数据信息服务的网站(offer of information society services directly to a child)需要获得16岁以上未成年人的父母同意。但是没有对“针对儿童提供数据信息服务”进行界定。如此便会产生一个问题,即如Facebook、Instagram这种社交媒体网站,虽然宣称其受众不是儿童,但是仍然在儿童中非常流行,这种网站是否也应当遵守GDPR的儿童隐私保护内容?美国并非要求所有网站都遵守COPPA,只是要求“专门针对儿童”且盈利的网站遵守,主要有两个标准:一是网站的主要服务,视觉内容,卡通形象或者以儿童为主体的活动和刺激,音乐或者其他音频内容,模特的年龄,儿童明星或者专门针对儿童的名人,语言或者网站的形象或者广告促销服务是专门针对儿童的;二是运营商是否明确知晓自己的网站在收集、使用、泄露未成年人的数据。GDPR并非专门的保护未成年人隐私的法律,通过时间不久,这部分内容确实非常含糊,也受到了很多学者批评。

虽然与COPPA的“父母同意”原则有所不同,但是GDPR的确发展了“父母同意”原则,主要表现在三个方面:(https://www.daowen.com)

一是惩罚金额。在惩罚金额上,GDPR相较于COPPA要严格得多,根据GDPR第83条(4)(5)两款的规定,一般性的惩罚为不高于1000万欧元的罚款或者该公司上一财年全球营业额的2%,两者取其高者罚款。[8]如果严重违反了GDPR,则不高于2000万欧元的罚款或者该公司上一财年全球营业额的4%,两者取其高者罚款。就欧盟目前发布的案例来看,专门针对未成年人网络数据收集的相关案例几乎没有,但是,GDPR对于Facebook、Instagram、Google等互联网巨鳄就欧盟公民数据保护都开出了上亿欧元的罚单。[9]而COPPA则是按次罚款,违反COPPA一次,则罚款上限为42530美元,大部分公司都多次违反COPPA收集未成年人数据,所以这个数字会不断累积。法院会根据多个因素来判定罚款金额,如违反程度,之前运营商是否违反过COPPA,涉及的未成年人数量,个人数据收集的数量和类型,数据如何使用,是否被分享给第三方,以及公司的规模等。2019年COPPA给Google和YouTube开出了1.7亿美元的罚单,这已经是COPPA历史上最高的罚单了,但是仍有议员认为罚款金额太低,不能起到警示作用。在罚款金额上看,GDPR相较于COPPA更有力度,惩罚性更强。

二是由父母责任逐渐向数据控制者转移。前文提到由于个人信息掌握在网络平台及数据控制者的手中,致使“父母同意”的作用逐步减轻。父母没有能力掌控自己的未成年子女隐私信息如何被使用。GDPR考虑到这种情况,在父母“同意原则”的同时,GDPR第6.1(f)条还规定了数据控制者的正当利益作为合法处理个人数据的依据时受到儿童优先性利益的限制。当数据主体是儿童时,很有可能儿童的利益或权利自由超越了数据控制者的正当利益,尽管如此,数据控制者的正当利益仍然可以被其援引为处理儿童个人数据的合法依据,但是利益权衡的评估过程应当被记录在案。而且,即使得到了父母同意,GDPR也并不鼓励对儿童进行用户画像、定向广告推送、地理位置获取等服务,再次强调了数据控制主体作为保护未成年人互联网隐私的重要责任。

三是赋予儿童更多权利。GDPR和COPPA都赋予了未成年人知晓个人数据用途的权利,个人数据受到保护的权利,删除个人数据的权利等。GDPR还赋予了未成年人被遗忘的权利(right to be forgotten)。在某些欧盟成员国,如果数据是在未成年时被收集的,在成年后,仍然可以要求数据控制者删除该内容,延长了被遗忘权的时间。虽然COPPA中没有规定被遗忘权,但是美国加州的“橡皮擦”法案,是对欧盟被遗忘权的一种模仿,该法初衷也希望能够授予未成年人被遗忘的权利。但是该法至今没有在全美通过。

GDPR也没有解决COPPA面临的两个问题:一是如何确定年龄真假。前文提到了为了防止“同意疲劳”,父母帮助未成年人年龄造假问题;二是如何处理“超龄”未成年人的隐私数据?同样地,欧盟16岁以上的未成年人的数据如何保护?这个问题尚没有定论。由于GDPR通过时间短,所以还没有关于未成年人互联网隐私的司法判例。

“父母同意”原则作为未成年人互联网隐私保护的基本原则,为其他国家未成年人互联网隐私保护立法设立了基本框架。综合美国和欧盟的司法实践可以看到在立法时应当明确基本范围,如美国COPPA对于直接针对儿童的网站,和可验证的父母同意等明确的界定以及数据控制者与父母同样具有保护未成年人互联网隐私的责任和义务。

[1]郭瑜.个人数据保护法研究[M].北京:北京大学出版社,2012:250.

[2]周汉华.个人信息保护前沿问题研究[M].北京:法律出版社,2006:32.

[3]THE EUROPEAN PARLIAMENT AND OF THE COUNCIL.Directive 95/46/EC Of The European Paliament and the council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data[EB/OL].( 1995-11-23)[2020-01-12].https://eur-lex.europa.eu/legal content/EN/TXT/PDF/?uri=CELEX:31995L0046&from=EN.

[4]Data Protection Act 1988 (updated 14 October 2014) Article 2A states:(1) Personal data shall not be processed by a data controller unless[ ...] at least one of the following conditions is met:(a) the data subject has given his or her consent to the processing or, if the data subject, by reason of his or her physical or mental incapacity or age, is or is

likely to be unable to appreciate the nature and effect of such consent, it is given by a parent or guardian or a grandparent, uncle, aunt, brother or sister of the data subject and the giving of such consent is not prohibited by law.

[5]Subsidiary legislation 440.04 Processing of personal data (protection of minors)regulations, 12 March 2004. (the law states: 2.(1) Where any information is derived by any teacher, member of a school administration, or any other person acting in loco parentis or in a professional capacity in relation to a minor, such information may be processed by any of the aforesaid persons if such processing is in the best interest of the minor.( 2) Where personal data is being processed as aforesaid, the consent by the parents or other legal guardian of the minor shall not be required if this may be prejudicial to the best interest of the minor.( 3) In such a case, no parent or other legal guardian of the minor shall have access to any personal data held in relation to such minor.)

[6]FTC.A Guide for Business and Parents and Small Entity Compliance Guide[EB/ OL].( 2015-03-20)[2020-01-12].https://www.ftc.gov/tips-advice/business-center/ guidance/complying-coppa-frequently-asked-questions.

[7]COPPA 312.5(a)(1) Parental consent. An operator is required to obtain verifiable parental consent before any collection, use, or disclosure of personal information from children, including consent to any material change in the collection, use, or disclosure practices to which the parent has previously consented.

[8]GDPR. Fines/Penalties[EB/OL].( 2018-05-23)[2020-01-12].https://gdpr-info.eu/issues/fines-penalties/.

[9]KEANE S.GDPR: Google and Facebook face up to $9.3B in fines on first day of new privacy law [EB/OL].(2018-05-25)[2020-01-12].https://www.cnet.com/news/gdpr-google-and-facebook-face-up-to-9-3-billion-in-fines-on-first-day-of-new-privacylaw/.