您所在位置:主页 > 专家观点
未成年人数据和隐私的特殊保
 
        前一段时间Facebook“数据门”事件引发全球热议,让个人信息和数据保护迅速成为最吸睛的公共议题。5月25日开始正式实施的《欧盟数据保护通用条例》(General Data Protection Regulation,GDPR)更是引发了各利益相关方不同视角的专业讨论。
 
        然而,笔者非常遗憾地发现,在大量针对个人数据保护的中文研究当中,专门关注未成年人的凤毛麟角,很大程度上反映出国内业界和学界对这一问题的重要性尚认识不足。因此,笔者尝试从儿童权利视角出发,简要阐述对未成年人数据和隐私进行特殊保护的必要性,并梳理国际上现有的一些政策实践,为在国内进行相应探索提供借鉴。

        联合国《儿童权利公约》第16条规定,“儿童的隐私、家庭、住宅或通信不受任意或非法干涉,其荣誉和名誉不受非法攻击。儿童有权享受法律保护,以免受这类干涉或攻击。”这一条款确立了对儿童隐私权的国际法保护。《儿童权利公约》作为获得最普遍批准的国际人权公约,明确了缔约国政府是首要的义务承担者,必须在国内政策立法、预算分配、服务提供等各个方面致力于实现其对儿童权利的承诺,包括政府相关部门各司其职;支持并督促家庭和父母切实承担起对儿童的责任;创设有利于儿童权利实现的良好社会环境和社会支持体系等。需要指出,公约所指的“儿童”(children),均指18岁以下的人,与我国法律上的“未成年人”同义。后文除非特别说明,在使用“儿童”一词时亦取此意,并与“未成年人”通用。

        数字时代儿童个人隐私和数据的保护具有极大的特殊性。一方面,未成年人与成年人一样,享有其作为数据主体的各项权利,但与此同时,未成年人基于其身心发展阶段,往往需要政府和企业设计特殊的保护措施以帮助其权利的实现。这也是为什么GDPR在序言第38节会明确提出,“儿童的个人数据应该受到特殊保护,因为儿童对与其个人数据处理有关的风险、后果、保障措施和相关权利不尽了解。”

        让我们随意选取几个日常生活中非常熟悉的场景,就能够使大家意识到这个问题的重要性。如今,随着“物联网”的发展,很多企业都在开发专门面向幼儿市场的智能玩具,这些玩具内置话筒、摄像头、GPS和语音识别等技术,能让孩子们快乐地玩耍,促进语言发展和社会情感学习,但它们在联网时也会引发严重的隐私和安全问题。欧美有案例表明,有人曾经通过联机玩具取得过数百万名父母及儿童的个人资料,包括孩子的照片和语音记录。大一些的孩子往往开始自己使用社交网络,他们可能会在网上发布照片、显示定位、搜索网页,产生大量数字足迹,有心的犯罪分子甚至可以以此勾勒出某个孩子的大致生活图景。国际隐私保护执法促进网络(Global Privacy Enforcement Network)2015年的调查表明,在其调查的1494个服务儿童的网站和APP中,有三分之二没有任何保护性措施可以帮助儿童及其家长限制分享儿童的个人数据。

        另外,很多家长在社交网络上过度分享自己孩子照片和其他信息的行为,也为未成年人的数据保护提出了挑战。2010 年的一项调查发现,10 个高收入国家中(澳大利亚、加拿大、法国、德国、 意大利、日本、新西兰、西班牙、英国和美国),有高达81% 的2岁以下儿童留下了数字足迹,也就是说在网上可以找到他们的个人资料或照片。家长们分享孩子成长轨迹的心情可以理解,但过度分享的一些私密信息可能会被犯罪分子滥用,从长远来看,家长的过度分享也可能会干扰孩子自我身份意识的建立和自我实现。

        此外,除了这些显而易见的风险之外,未成年人在网上的个人数据,可能还会对其成人后的就学、就业、婚恋等产生影响,也就是有专家提出的“数字纹身”,它们不像个人私密影像等隐私泄露这么极端,却也可能会在某一时刻影响到数据主体的公众形象和个人声誉,比如,年少时一条在网上留下的愚蠢评论可能会导致其遭受持续的网络欺凌 ,甚至会在多年后就业时被雇主审查。

        如今的大数据时代,数据已经成为了比石油更宝贵的资源。不管愿不愿意承认,企业获得的未成年人相关数据尤为宝贵。一方面,孩子如今在很大程度上能够影响其家庭的消费决定;另一方面,孩子自己也是消费者,不仅是当下,更是未来的消费者,培养他们的品牌忠诚度和消费习惯具有长远意义。然而,收集未成年人个人数据并进行画像(profiling),进而对其进行定向的网络营销,虽是目前许多企业通行的做法,但却有着将童年过度商业化的风险。而更需要警惕的是,当企业开始对儿童的网络行为产生兴趣时,儿童的整个世界都暴露在了网络这台巨大的营销机器面前。这台机器不仅会观察和记录儿童在网上的一举一动,还不断重新建构和操控着儿童所在的网络环境,这种无孔不入的影响,不但会给儿童带来许多潜藏的网络风险,而且可能会影响到儿童的认知发展、价值观塑造和自主性。世界卫生组织2016年在一份关于网上食品营销定向儿童群体的报告中就曾指出,家长并不清楚这些针对儿童的数字画像和定向营销技术,也不了解其可能带来的风险。

        对于儿童的个人信息和隐私保护,其实在互联网出现前就有了一些政策实践。1974年美国就出台了《家庭教育权与隐私权法案》这一联邦法律,禁止那些接受了联邦政府资金的教育机构向未经授权的任何人提供学生的教育档案,包括学生的姓名、家庭住址以及其他可以合理确定其身份的信息。值得注意的是,对于未满18岁的未成年学生,学校如需发布其信息,必须征得其家长的同意。 这一原则被后续很多法律所沿用。

进入互联网时代,一些国家开始制定专门针对网上儿童信息和隐私保护的政策法律。美国著名的《儿童在线隐私保护法案》及其配套的《儿童在线隐私保护规则》,沿用了家长同意这一核心原则,保护对象是未满13岁的儿童。按照法案和规则的要求,互联网服务提供商必须“在任何收集、使用和/或披露儿童个人信息之前,获得可被验证核实的家长同意”。南非和西班牙也有类似的法律条款,要求在获取和处理特定年龄以下儿童的数据之前获得家长同意,但对年龄的门槛规定与美国的13岁有所不同——南非规定了18岁,而西班牙则是14岁。

        当然,这种立法的思路也招致了一些批评,包括这有可能不利于未成年人充分获取信息、发展数字素养、参与网络生活。未成年人往往并不乐意与父母分享其网络经历,要求父母同意孩子所有的数据分享行为实际上削弱了他们的网络自主权,特别是对于很多已经初步具备了网络安全意识和数字素养的青少年来说尤其如此。这些批评有其合理之处。如何更好地在保护儿童网络安全和尊重儿童成长过程中的独立性这二者之间达到动态平衡,确实是政策制定者、教育者特别是家长都亟待思考的一个问题。不过,在现有的互联网服务模式和政策框架下,“家长同意”不失为一条可继续探索的路径。

        因此,刚刚生效的GDPR第6条规定的处理个人数据必须要有合法理由,其中第一种理由即为数据主体的同意。第7条进一步阐明了“同意”的构成。第8条专门针对儿童用户,规定在处理低于特定年龄的儿童个人数据时,必须获得其父母或者其他监护人的同意。并且该举证责任在于数据控制者,数据控制者必须能够证明其从监护人那里获得了“同意”。GDPR将需要家长同意的儿童年龄设置在了16岁以下,但允许成员国自行设置更低的年龄门槛,但这一门槛不得低于13岁。值得注意的一点是,这样的规定可能会促使儿童对网络服务提供商谎报年龄,而国外一些研究表明这种现象已经相当普遍,而谎报年龄却可能会成为专门针对儿童下手的潜在网络性犯罪者脱罪的借口。