中国未成年人隐私保护相关立法
一、中国未成年人隐私保护相关立法
中国于1982年施行的《中华人民共和国民事诉讼法(试行)》首次提出了“隐私”的概念。该法第58条和第103条[1]都提出了“隐私”的概念,此时的“隐私”概念为现代法律概念,并非中国传统的“阴私”概念。有学者认为,该法的出现“在中国隐私保护史上是里程碑般的存在”。1986年《中华人民共和国民法通则》通过,将人身权作为独立的民事权利,与其他基本民事权利并列,此举显示了中国对“人身权”的高度重视,但并没有提到隐私权的保护。直到1988年最高人民法院颁布了《最高人民法院关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》(简称《民通意见》),《民通意见》首次涉及了司法意义上的隐私保护问题,被视为中国隐私权保护制度的重要发展。[2]但在一段时间内,在中国民事法律中将“隐私”归于“名誉权”中进行保护,并不作为独立的人格权进行单独保护,直到2009年的《侵权责任法》才将隐私权从名誉权中独立出来。
虽然中国隐私和个人信息保护立法起步相对较晚,近年来立法进程的不断加速,隐私和个人信息保护立法基本框架已经形成。据统计,目前中国有近40部法律、30余部法规以及近200部规章涉及隐私和个人信息保护。[3]早在2009年,刑法修正案(七)第七条就对非法窃取、出售、泄露个人信息的行为作出规定。2014年的刑法修正案(九)还规定了侵犯公民信息罪。2012年全国人大通过了《关于加强网络信息保护的决定》,首次以法律的形式明确规定保护公民个人电子信息。[4]2013年,针对层出不穷的电信诈骗,工业和信息化部出台了《电信和互联网用户个人信息保护规定》。
2016年出台的《网络安全法》不仅将个人信息保护纳入网络安全保护的范畴,还明确了个人信息保护相关主体的法律责任。2017年,中国最高人民法院和最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》开始施行,界定了公民个人信息范围,明确了“情节严重”的标准,促使司法标准更为统一。2016年最新通过的《民法总则》中,赋予隐私权独立的人格权地位,2018年,《个人信息保护法》被列入十三届全国人大常委会立法规划。同年,公安部发布《互联网个人信息安全保护指引(征求意见稿)》,指导互联网企业建立健全公民个人信息安全保护管理制度和技术措施,有效防范侵犯公民个人信息违法行为,保障网络信息安全和公民合法权益。2020年,《中华人民共和国民法典》正式通过,在人格权编中将个人信息和隐私区别保护,对个人信息和隐私的概念进一步明晰,形成了“个人信息—隐私”的二元保护体系。2021年,我国的《个人信息保护法》正式通过,该法是我国首部专门关于个人信息保护的法律条款,以应对当前智能传播环境下大数据杀熟、个人信息过度收集、人脸识别等问题,具有划时代的重要意义。
在未成年人互联网隐私保护方面,2015年,中华人民共和国国家互联网信息办公室发布的《关于进一步加强对网上未成年人犯罪和欺凌事件报道管理的通知》对网上涉及未成年人犯罪和欺凌事件报道作出严格要求。如网站不得在首页及新闻频道要闻位置登载未成年人犯罪和欺凌事件报道,不得在博客、微博、论坛、贴吧、弹窗、导航、搜索引擎等位置推荐相关报道,不得制作专题或集纳相关报道。不得披露未成年人的姓名、住所、照片及可能推断出该未成年人的资料。不得披露未成年人的个人信息,避免对未成年人造成二次伤害。
2019年8月22日,由中华人民共和国国家互联网信息办公室发布的《儿童个人信息网络保护规定》通过,并于10月1日起正式实施,针对中国境内不满十四岁儿童的个人信息收集、存储、使用、转移、披露等进行规范。这是中国首部专门针对未成年人网络隐私的保护立法,具有重要的实践意义,为中国以后未成年人互联网保护提供了样本。
2019年12月20日,中华人民共和国国家互联网信息办公室颁布了《网络信息内容生态治理规定》,该规定第7条、第11条、第13条[5]都提到了未成年人的互联网保护,要求网络信息服务提供者防范未成年人不良行为,并鼓励网络信息服务提供者开发适合未成年人使用的模式、网络产品和服务,以保证未成年人身心健康。
2020年,《中华人民共和国民法典》正式通过,其中第六章明确提出了对公民隐私和个人信息的保护。同年,我国《未成年人保护法》进行修订,增加了第五章网络保护,明确提出了对未成年人隐私和个人信息的保护。
2021年,我国《个人信息保护法》正式通过,其中,第28条规定,不满十四岁的未成年人个人信息属于敏感个人信息;第31条规定,处理十四岁以下未成年人个人信息的,必须取得其父母或者其他监护人的同意,且处理者应当制定专门的个人信息处理规则。
2022年,中华人民共和国国家互联网信息办公室发布了《未成年人网络保护条例(征求意见稿)》,对于未成年人个人信息保护进行了更为严格、详尽、具体的规定,征求意见稿专门设立了一章对未成年人个人信息保护的基本原则和措施进行规定,并对网络服务提供者、个人信息处理者等提出了更为具体的要求,如建立网络投诉、举报渠道,接受公众监督,面对个人信息泄露的应急预案,补救措施等。(https://www.daowen.com)
在此之前,中国对于未成年人隐私保护的法律散见于多个法律法规中。例如《民法总则》《网络安全法》《未成年人保护法》《预防未成年人犯罪法》等法律法规。2019年5月31日,中华人民共和国国家互联网信息办公室最新推出的《儿童个人信息网络保护规定(征求意见稿)》,要求网络服务提供商收集、使用儿童信息需要征得儿童父母的同意。平台要设立信息保护专员或者指定专人负责儿童个人信息保护。适用于儿童的用户协议应当简洁、易懂等。除了立法外,中国行政机关也设立了很多保护未成年人健康成长,免受网络不良信息侵扰的政策,如2018年八部委联合印发的《综合防控儿童青少年近视实施方案》,则要求对网络游戏数量进行控制,控制上网时间等。
《儿童个人信息网络保护规定》(简称《规定》)是中国首部未成年人互联网隐私和信息保护法规,具有重要的划时代的意义,填补了中国多年来在未成年人互联网隐私保护方面的立法空白,是中国第一部专门保护未成年人互联网隐私及数据的法律法规,是《网络安全法》的补充和延伸,为之后保护未成年人互联网隐私和个人信息提供了经验。
《规定》是“儿童权利最大化原则”在中国的一次重要实践,从法律层面强调了儿童信息保护的重要性,授予了14岁以下儿童对个人信息的知情权、删除权及其监护人的同意权等权利,对使用期限和第三方使用提出了详细要求。《规定》明确了网络服务运营商的责任,对网络运营者的权利进行了规范和限制。《规定》对于网络服务运营商的界定非常清晰,其第3条规定“在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,适用本规定。”美国COPPA对于网络服务运营商的界定为以营利为目的,专门针对未成年人的网站、App、网络服务等。有一些网站如YouTube,并不专门针对未成年人,但是仍然在未成年人中有着重大影响,这样的网站会狡辩其不需要遵守COPPA。《规定》直接抓住了网络服务运营商的本质,避免了产生歧义。《规定》要求网络服务运营商在信息收集前要设立专门的儿童信息管理专员和用户协议,要获得儿童监护人的同意,实行“最小存储”“最小访问”原则,必须达到安全存储,第三方使用要进行评估等。《规定》对儿童信息保护有明确要求,有落实办法,有投诉,有举报,有监督,有明晰的救济途径,形成了一套完整的、系统的儿童信息保护流程。
《规定》强调了监护人的责任,强调了监护人抚养、教育、引导儿童提升个人信息保护的意识和能力。将儿童信息保护的各方主体重新连接起来,让网络运营商(担负责任)、父母(监护职责)、社会个人或者组织(监督),都参与到儿童互联网信息保护中,各司其职,来保护未成年人互联网隐私。
[1]该法第58 条规定:“人民法院对于涉及国家机密或者个人隐私的证据应当保密。需要向当事人出示的,不得在公开开庭时进行。”第103 条规定:“人民法院审理民事案件,除涉及国家机密,个人隐私或者法律另有规定的以外,一律公开进行。”
[2]该法第140 条规定:“以书面、口头等形式宣扬他人的隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。”
[3]周宵鹏. 个人信息保护立法可期[J]. 浙江人大,2019(1):63.
[4]郭少青,陈家喜.中国互联网立法发展二十年:回顾、成就与反思[J].社会科学战线,2017(6):217.
[5]中华人民共和国国家互联网信息办公室.网络信息内容生态治理规定[EB/OL].(2019-12-20)[2020-02-07]. http://www.cac.gov.cn/2019-12/20/c_1578375159509309.htm.