美国与欧盟互联网行业自律的主要措施
二、美国与欧盟互联网行业自律的主要措施
(一)签订自律文件并建立自律联盟
相较于美国,欧盟的行业自律虽然不多,但是欧盟也很早开始对未成年人互联网隐私行业自律,建立了自律联盟,签订了自律文件。
2011年欧盟组建“保护未成年人在线安全”CEO联盟,该联盟是一个解决和应对欧洲未成年人上网时遇到问题的自律组织。联盟帮助未成年人拥有一个更为安全的网络环境。签署本联盟的公司要在五个方面做出积极行动,其中一项为设置适合年龄的隐私保护方式。在Facebook和Hyves(荷兰社交网站)的牵头下,联盟采取有效措施,来探讨怎样整合不同文化背景下的未成年人隐私年龄设置问题,将父母和孩子的想法都考虑进去。联盟同意在内部分享当前实践措施,并根据不同的隐私设置选项给出明确的信息和可能存在的警告。
2009年,欧盟21家社交媒体网络公司签订了自律性协议《欧盟安全社交网络规范》(the Safer Social Networking Principles,简称《规范》),鼓励企业采用足够的安全保护工具和规范来保护未成年人信息,包括在网站上设置“举报”按钮,将隐私保护设为默认,控制18岁以下未成年人的个人信息页以及防止一定年龄以下的未成年人注册该网站,尤其是鼓励网络公司开发有效的方式方法来保护未成年人互联网隐私,并加强合作。第6条指出,鼓励并允许用户选择一种安全的方式来获取个人隐私。网络服务提供者为用户提供一系列隐私设置选项,鼓励用户对在线发布内容作出明智选择。这些选择必须永远在线可视,允许用户随时变更等,从保护用户隐私的角度对网络服务提供商提出了具体要求。《规范》是与欧盟委员会合作制定的,在签订之后,欧盟委员会通过第三方独立机构检测,来评定《规范》是否起到作用。
欧盟数据与市场联合会(The Federation of European Data and Marketing)签订了《行为自律规范法令及其在线市场附件》(European Code of Practice for the Use of Personal Data in Direct Marketing Electronic Communications Annex)。该自律性规范文件第6条提出了对于儿童的保护,要求信息控制者在收集信息之前,设立有效的措施来认证未成年人的年龄以及父母同意。但是,当时并没有广泛遵循的可接受的年龄确认系统。该文件要求信息控制者提供儿童适宜的信息包括信息处理,禁止收集儿童的家庭信息,限制敏感信息的收集,禁止刺激消费为目的的奖励,包括游戏或者乐透等形式。[1]
(二)安全港协议(safe harbor)
安全港协议是美国互联网行业最早施行的保护措施。Safe Harbor(安全港)是指COPPA的312条中提到的,COPPA允许互联网企业申请安全港状态(Safe Harbor status),允许互联网企业建立自律条款来适应COPPA的要求,自律条款要与COPPA一致,甚至比COPPA还要严格。当前FTC批准了七个安全港项目。建立安全港的目的是鼓励互联网行业自律,FTC认为通过这些安全港项目[2],可以让互联网企业比传统的监管模式更迅速、灵活地回馈客户需要、行业需求,并建立一个蓬勃发展的互联网市场。
在安全港原则提出之初,确实获得了很多赞誉,很多学者认为安全港确实会平衡FTC监管与互联网企业发展,但是在后期,批评也不断涌现,大部分批评集中在安全港建立的目的以及安全港项目的有效性上。一方面,真正加入安全港项目的儿童网站数量极少,而实际上有大量的儿童网站仍然没有加入甚至根本不知道安全港项目,无法进行行业自律。另一方面,通过对七个安全港项目的详细规章制度研究发现,安全港项目与COPPA的要求基本一致甚至高于COPPA的要求,并不能起到FTC所希望的“机动灵活”的政策监管,那么设立安全港的意义何在?不仅如此,FTC要求针对儿童(directed at children)的网站申请安全港项目,由于互联网企业的变换多样,有的网站可能申请了安全港项目,但是其内容不断变化;有的声称自己是针对儿童的网站,但是其提供的内容又不仅限于儿童内容,所以在这种情况下,如何甄选和剔除不适当的网站,仍然需要一个标准,现在来看,虽然有变化,但是仍不够明确。
尽管有很大的争议,“安全港”的出现仍然是一个进步,是从self regulation(自律)走向co-regulation(共律)的一个尝试,安全港模式在最开始出现的时候,其目的是让业界可以根据自身需要及企业属性来自主制定儿童隐私保护的自律规范,经FTC审核之后可以进行使用,是专门针对儿童的隐私保护方式。由行业来制定规则,突出行业的宽松度和自由度高的优势,同时行业与政府联合规制,保障行业健康有序发展,其出发点是非常好的,但仍然需要更多的实践与尝试。(https://www.daowen.com)
(三)“隐私戳”及加强行业内部监管
隐私认证是美国互联网行业自律的重要手段之一,专门针对未成年人。业界隐私自律组织会根据COPPA而设立特殊的保护政策。例如网络隐私认证组织TRUSTE就会对儿童隐私保护设立专门的认证标志。在通过了TRUSTE的评估和认证之后,网站可以将“隐私戳”放在官网展示,以供用户查询和访问,“隐私戳”标志着该网站达到了TRUSTE儿童隐私保护项目的要求。而TRUSTE的认证标准要比COPPA严格,来保证网站一定不会违反COPPA的要求。
美国有大量的行业自律组织,除了知名的Online Privacy Alliance、IAPP之外,还有诸如CARU(children’s advertising review unit)等专门针对儿童隐私保护的组织。CARU也是COPPA认证的组织之一,他们不仅审查儿童广告,而且还会对儿童隐私进行特别的关注。他们有一套自己的隐私保护内容,也在业内起到监察的作用,一旦有公司涉嫌侵犯儿童隐私,他们会向监管机构举报。如CARU在2018年向FTC举报musical.ly侵犯儿童隐私。
(四)开发软件和适宜内容
互联网行业努力打造适宜未成年人的信息环境,可以分为两个方面。第一个方面是软件的开发,来保证未成年人互联网隐私不被泄露,软件要包括两类。一类方便父母监控未成年子女上网内容的软件,父母可以知晓子女在什么时间浏览了哪些网页,子女的具体位置,同时过滤不适宜的内容,以及禁止特殊网页的登录,并可以向父母预警,跟中国的成长守护平台有异曲同工之处。美国最典型的软件是Net Nanny,包括手机、电脑多个版本。第二类是防止未成年人在公共论坛上发布关于个人信息的软件,一旦未成年人发出关于个人信息例如住址的内容,则屏幕显示可以变为***。第二个方面是从内容上,开发更多更好适宜未成年人的内容。例如YouTube、Spodify(音乐软件)等娱乐软件都有专门的未成年人应用程序,便于未成年人在合适的内容下最大限度地观看最新的娱乐内容。
欧盟的互联网行业也善于开发多种软件,包括父母控制软件(parental tools)、在线分级软件(content classification)以及举报工具(reporting tools)等,但是要求要以一种让未成年人感到尊重的方式进行使用。互联网公司要及时追踪、反馈消息。不仅如此,欧盟要求互联网行业间要加强合作并分享最适宜未成年人互联网隐私保护的实践方法,从NGC、社会组织、欧盟及其成员国以及其他国际组织之间获取有益的实践经验。
(五)从行业自律走向“共律”
除了技术手段、建立网络联盟等方式方法之外,欧盟还有一个突出特点是在行业自律与政府监管之间选择了中间道路,即共律(co-regulation)。共律是指一系列规范性文件。其是由该领域的专家以及经营者、社会团体、非政府组织或者联合会所认可,同时该法律或政策性文件允许政府在一定程度上干预或检查法律目标是否得到实现。可以看到,共律的两个特点,一是政府的角色的转变,既非行业自律时的“大撒把”,也不是全然的参与,只是在威慑强制,或者执法时参与进来。二是行业组织及其领域的专家成为主体,不再是政府要求行业做什么,而是行业根据自身特点来主动制定政策,行业组织被赋予了更大的自主性,主动性和积极性有所增强。这样制定下的法律或者政策,被称为“软性法律”(soft law)。例如欧盟的引导(guidelines)、同意(agreements)、声明(declarations)、建议(recommendation)、行为准则(codes of conduct)等都是软性法律。“软性法律”强制力不大,支持自愿加入和提倡,鼓励企业之间的合作和行业设立自己的准则。共律是“一种公共利益与私人利益的联合来获取一个共同公共的目标”。政府与互联网行业不再是一方从属于另一方的关系,而是一种合作关系,与美国的安全港原则有相似之处。
[1]MACENAITE M. Regulation of children’s online privacy[EB/OL].(2012-08-01)[2020-01-12]. http://arno.uvt.nl/show.cgi?fid=129564.
[2]分别为(1) the kidSAFE Seal Program, (2) Aristotle International Inc., (3) the Children’s Advertising Review Unit (CARU), (4) the Entertainment Software Rating Board (ESRB), (5) Privacy Vaults Online, Inc. (PRIVO), (6) TRUSTe, and (7) iKeepSafe.