加强数字时代未成年人个人信息保护

11月1日施行的《中华人民共和国个人信息保护法》强调未成年人在互联网络中的个人信息保护,以法律手段为未成年人在数字时代的健康发展保驾护航。

互联网的普及和信息技术的快速发展,导致未成年人上网频率增加。但低龄化触网使未成年人网络权益保护缺失问题凸显:一方面,未成年人的心智尚处在发育阶段,自我保护意识的薄弱和风险认识能力的缺失使其在互联网中更易于泄露个人信息;另一方面,未成年人缺少风险承担能力,难以应对个人信息泄露带来的不良后果。《个人信息保护法》第二十八条将不满十四周岁未成年人的个人信息列入敏感个人信息范围,体现了法律对未成年人个人信息的特殊关注。所谓敏感个人信息,指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。个人信息处理者只有在具有特定的目的和充分的必要性的前提下,才可以处理敏感个人信息,且必须采取严格保护措施。

除了将未成年人的个人信息归为敏感个人信息外,《个人信息保护法》亦结合未成年人的监护制度,要求个人信息处理者在处理不满十四周岁未成年人个人信息时,必须取得未成年人的父母或者其他监护人的同意。未成年人不能理性且成熟地做出自己的决定,因此法律需要通过限制他们的自主性达到保护他们的目的,而监护人就是能够代替他们作出决定的主体。实际上,监护人同意作为未成年人个人信息收集、处理的前置程序早在1974年就被美国的《家庭教育权与隐私权法》所包含,2018年5月25日生效的欧盟《统一数据保护条例》也将获得未成年人监护人的同意前置作为对未成年人个人信息处理的原则性规定。《个人信息保护法》顺应世界对数字时代未成年人个人信息保护的潮流,既丰富了监护权的内容,也对监护人提出新要求。

《个人信息保护法》要求个人信息处理者制定专门个人信息处理规则,用于处理不满十四周岁未成年人的个人信息。个人信息一旦处理不当,有可能被不法分子用于骚扰、欺诈、威胁等途径,未成年人缺少辨别能力,在复杂的互联网世界中更容易陷入圈套。个人信息处理者作为信息的所有人,必须更加审慎地处理未成年人的个人信息,用专门的处理规则为未成年人个人信息保护再筑一道“防火墙”。自《个人信息保护法》出台以后,可以看到,市面上较有影响力的社交软件QQ、微信、微博等都为十四周岁以下未成年人制定了专门的隐私保护政策。

目前,未成年人信息保护仍面临挑战。

不满十四周岁未成年人范围过窄。《个人信息保护法》将未成年人个人信息保护的范围限制在未满十四周岁的未成年人,而十四周岁以上的未成年人个人信息则不被列入敏感个人信息的范围。此种做法可能是考虑到法律配套有监护人同意前置的情况下,未成年人个人信息的特殊保护是以牺牲未成年人自主权为代价的。若将年龄定得过高,可能会不当损害未成年人的合理自主权。但是,尽管十四周岁以上的未成年人对互联网上的各种信息已经有了基本的辨别能力,但正处于青春期的他们常常无法认清自己行为的后果,容易在社交媒体上暴露过多的个人信息。若缺少监护人的正确引导以及个人信息处理者对其信息的严格保护,极易成为个人信息泄露的重灾地。将年龄划在十四周岁的立法模式,能否在尊重未成年人自主权与个人信息保护之间达到巧妙的平衡,尚待实践的检验。

监护人同意机制易被虚置化。同意作为个人信息处理的唯一合法性事由,已在全球大多数国家得以实践,但同意机制并不是一劳永逸的。处在数字时代的人们在面对海量信息时,常常会感觉疲惫。尤其是互联网企业为规避法律风险会将告知内容设计得足够详尽,用户熟读告知内容会占用大量时间。信息过载导致的结果将会是用户对信息置之不理,同意机制陷入形式化。处理自己的信息尚且出现精力不足的情况,监护人在代替未成年人作出决定的场景中,监护人同意机制往往形同虚设。甚至有些监护人会有意或无意间让未成年人绕过年龄的限制。近期,互联网络上一则新闻就引发了“他人代过人脸”的猜测,未成年人可借他人身份注册账号,避开软件对年龄的强制要求。一方面,监护人疲于应对海量的未成年人个人信息授权确认,再加上心理上的边际递减效应,监护人对“同意”的谨慎程度只会越来越低;另一方面,个人信息处理者通过邮件、人工电话、人脸识别等验证监护人身份,需要耗费大量的人力和物力成本,很多小型互联网企业无法承受。在这种情况下,监护人同意机制容易被虚置化,无法真正保障未成年人的个人信息安全。

值得关注的是,个人信息处理者和监护人如何回应立法的要求,立法又能否应对互联网络发展对未成年人个人信息保护提出的各种挑战,还有待实践给出最终答案。国家、个人信息处理者以及监护人三方应当如何配合,以提高未成年人个人信息保护水平,仍将是未来很长时间内的一个持续性课题。