首页> 图书频道> 政法> 法学

二、法律层面

2026年02月09日
版权

二、法律层面

(一)构建“自上而下”的“强保护”法律体系

前文提到美国和欧盟在未成年人互联网隐私保护中相关立法所采用的主要原则虽然相似,但是也体现出它们针对隐私权的不同的立法模式。美国采用的是“自下而上”的“弱保护”模式,从“父母同意”原则来看,美国要求收集13岁以下的未成年人隐私需要经过父母同意。在价值取向上,美国将表达自由置于隐私权保护之上,将14—18岁的未成年人交给市场行业自律来保护,同时保证他们的表达自由,当父母威权与未成年人隐私权出现冲突的时候,美国则采用相对缓和的方式来平衡。而欧盟采用的是“自下而上”的“强保护”模式,欧盟要求对16岁以下的未成年人个人信息进行严格保护(成员国可以自行选择保护年龄,但不能低于13岁),欧洲大陆国家将隐私权视为人格尊严的一部分,尊重人的价值,相较于表达自由,更加重视隐私权的保护,也体现在当父母威权与未成年人隐私权发生冲突时,部分成员国会采用司法手段来平衡,相对激烈。

就我国而言,2020年我国实施的民法典将人格权独立成篇,明确了隐私权定义及内涵。由此可以看到我国开始重视公民人格权,尤其是隐私权的立法保护。再从未成年人隐私权保护来看,2019年我国网信办发布了《儿童个人信息网络保护规定》,可以看到我国在努力建构“自上而下的强保护”的法律体系,来保证未成年人互联网隐私安全。2020年我国修订了《未成年人保护法》,专门增设了网络保护一章,来保护未成年人隐私和信息安全。2021年我国《个人信息保护法》正式实施,进一步加强了未成年人互联网隐私及个人信息保护,完善了未成年人网络保护体系。

但是仍有几个问题需要注意:一是可以借鉴美国和欧盟的经验,对未成年人互联网隐私分年龄保护。美国和欧盟在父母保护原则上选择的年龄不一样,也体现出不同年龄段的未成年人价值需求不同。13岁以下的未成年人尚不足以对网络世界做出正确判断,仍然需要政府和父母予以更多的关照。14—16岁的未成年人可能更多开始有了自我意识,尝试自我表达,可以适当减少父母的不必要的保护;16岁以上的未成年人可能更希望自我表达,可以给予未成年人更多的自由,而不是囿于父母威权。二是明确相应的法律概念范围。将美国和欧盟的立法原则对比,可以发现,虽然欧盟在GDPR中也规定了“父母同意”的核心原则,但是并没有规定监管的网站类别,执法范围进一步扩大,同时还没有规定父母可验证的同意方法,也为实践操作带来了问题。在“被遗忘”为核心的立法原则中,虽然美国加州也发布了类似欧盟“被遗忘权”的“橡皮擦”法案来保证未成年人隐私权,但是没有明确规定第三方网站如何处理需要擦除的未成年人隐私,也为该法实际应用带来了困难,最终该法没有在全美国通过。中国应当在立足本国基本实际的基础之上,有选择性地学习借鉴欧美地区的优秀法律成果,但要坚持“以我为主、为我所用、合理借鉴、认真辨别”,有选择性地吸纳精华部分,摒弃糟粕内容。

(二)加快、加强立法弥补法律空白

中国互联网信息技术发展速度非常快,处于世界前列,由此引发的问题也逐渐为人所关注,近年来个人隐私和信息保护越来越受到重视,我国立法也观照了公众需求。笔者认为一是应加强以“被遗忘”为核心的未成年人隐私保护立法,虽然“被遗忘”立法在实践中有很多值得商榷的地方,如责任及法律界定等。从长远来看,随着信息技术的发展,个人隐私的需求会不断增加,“被遗忘”的权利势必会成为网络公民的基本权利。即便一直以“表达自由”为理由而拒绝全国吸纳“被遗忘权”的美国,也为未成年人开辟了这样一个独特的权利。中国也可以尝试专门针对未成年人的“被遗忘”的权利。当然,中国网民数量远远多于欧美国家,且网络活跃程度极高,施行儿童“被遗忘”相关立法,会面临更加错综复杂的问题,难以监管。对于未成年人的“被遗忘权”的设立仍然需要更多的考量。

二是父母威权与未成年子女隐私保护之间的平衡。从中国的立法来看,中国与欧美国家一样,选择了“父母同意”原则来保证未成年人的互联网隐私安全,前提是默认父母与未成年子女的隐私利益一致。但是,父母对于子女其实有双重属性,一方面父母是未成年子女的保护者,代为行使相应权利的监护人;另一方面父母又会在某种程度上侵犯未成年子女的隐私,甚至违背子女意愿,滥用其信息。是否可以如欧盟一些成员国家一样,对其父母进行起诉,或者寻求法律保护?在中国的法律实践中,子女可以“告”父母遗弃罪,大部分情况下,一般法律很少参与到家庭事务中,但是,如果未成年人真的因父母泄露其个人隐私信息而受到了伤害,无论是精神上的,抑或身体上的,法律是否可以提供一个解决的办法?(https://www.daowen.com)

(三)批判性地吸收美国和欧盟的经验教训

通过批判性地吸收美国和欧盟未成年人互联网隐私保护中的经验教训,可以找到适宜我国未成年人互联网隐私保护的最佳路径。

以“父母保护”原则为例,中国《儿童个人信息网络保护规定》(简称《规定》)第9条“监护人同意”,在征求意见稿中规定,“网络运营者……应征得监护人明示同意,明示同意应当具体、清楚、明确,基于自愿。”而在最后发布的《规定》中,去掉了“明示”二字,这就让“父母同意原则”的效力大打折扣,但是如果学习美国法律规定的明示方式,又会让中国网络服务运营商承担巨大的审核成本。根据美国COPPA的经验,对于一个中等网站来说,与每个孩子互动的话,每年最高需要10万美元花销。根据CNNIC最新的报告显示,截止到2021年12月,中国19岁以下的网民有1.65亿,如果每一个14岁以下的未成年人,网络运营商都按照COPPA的标准施行的话,会带来沉重的负担。但是,如果不明示父母的话,父母又如何知道哪些网站收集了未成年人信息,如何保护未成年人?所以,国外立法的经验可以学习,又要根据我国的具体情况来借鉴。

同时,也要避免国外法律存在的一些问题。同样以《规定》为例。《规定》与美国和欧盟对于未成年人在立法中面临同样的问题。一是“超龄”未成年人怎么办?中国对于未成年人年龄的界定是18周岁,而《规定》中保护的是14岁以下的未成年人,那么14岁以上的未成年人网络隐私及个人信息应当如何保护呢?行业自律也在不断发展,是否可以相对扩大保护年龄,来更好地保护未成年人互联网隐私保护。

(四)将新的保护理论运用到中国未成年人互联网隐私保护中

首先,中国可以运用“隐私设计”理论,对于未成年人互联网隐私不仅仅进行事后救济,而是在事前、事中就开始进行被保护。“隐私设计”理论强调的就是将“用户隐私利益最大化”,与“儿童利益最大化”理论不谋而合。可以将系统开发人员纳入未成年人信息保护责任主体范围中。激励网络服务提供者,对其服务进行规制,并最大限度地保护未成年人互联网隐私,让网络产品实现“儿童利益最大化原则”,让隐私保护不再是事后的法律救济,而是贯穿产品的始终,让产品来实践隐私保护。如英国的《年龄适宜设计:网络在线服务行为守则》一样,要求相关网站出厂设计即为隐私保护级别最高,地理位置默认关闭,默认关闭资料归类等,使未成年人受到保护的同时,感受到足够的尊重和爱护。

其次,可以尝试将情境脉络完整性理论和隐私设计理论(Privacy by design in a contextual approach)同时运用到未成年人互联网隐私保护中,情境脉络完整性理论强调的是情境和信息的流动。强调不同的情境下,对于隐私期待有着不同的内涵,设立不同的“把关标准”,保证信息的有效流通。之所以运用在未成年人互联网隐私保护上,是因为未成年人的生活情境相较于成年人更为简单,主要是家庭和学校以及网络娱乐活动。如果在学校情境环境下,可以针对第三方学习应用软件,必须符合教育部或者其他部门的隐私规定,隐私设置为最高级别,禁止广告推送或者信息收集等,学校可以作为审查主体进行监督,一旦发现不符合规范就进行上报或者投诉。如果在家庭情境下,社交类软件的使用,可以要求软件对地理位置信息默认关闭,默认个人信息只对部分人开放等,由父母作为审查主体,对于不合格的软件进行投诉等。

将隐私设计与情境脉络完整性两种理论结合在一起,将保护未成年人互联网隐私的责任同时加之于网络服务运营商(主)与监护人(辅),能够带给未成年人更好的保护,更好地调动未成年人保护主体之间的积极性,形成全面、联动式的保护。随着技术的发展,人脸识别、大数据、5G越来越成为未成年人生活中随处可见的技术手段,生活越来越便捷的同时,个人信息的收集也越来越隐匿,个人隐私的暴露越来越容易。尤其对于未成年人来说,传统的截断成年人与未成年人信息环境的方法越来越受到各方的冲击,可以换一种思路,通过推动信息的持续流动,来保护未成年人互联网隐私和个人信息。