付新华
我们都曾经是儿童。我们都希望孩子们幸福,这一直并将继续是人类最普遍珍视的愿望。
——《我们儿童:世界儿童问题首脑会议后续行动十年期终审查》
对儿童数据进行专门保护是大数据时代的一项世界性议题。儿童是当今时代一个非常庞大的网络用户群体,据国外研究显示,世界上约有三分之一的网络用户是儿童。我国儿童网络用户群体亦非常庞大,截至2017年6月我国的网民规模达到了7.51亿,其中儿童网民约为1.69亿,占网民总数的23.1%。据青少年蓝皮书《中国未成年人互联网运用和阅读实践报告(2017—2018)》显示,根据2017年底的调查数据,被调查未成年人互联网运用的总体普及率高达98.1%,10岁之前触网的比例高达72.0%,比2010年的55.9%显著增加,2017年底7岁(学龄前)触网比例达到27.9%。小学生群体有自己手机的占比达到了64.2%,初中生为71.3%,高中生为86.9%。可见我国儿童触网年龄呈低龄化趋势。大数据时代,越来越多的网络服务提供者开始收集、分析和使用儿童数据,引发了儿童的数字身份失控、隐私风险增加和潜在的歧视倾向等问题,可能对儿童造成比成人更严重和持久的不良影响。当前的网络治理规范存在以成人为中心(adult-centric)和不区分年龄层次的年龄通用(age-generic)问题,网络服务提供者也往往忽略儿童的特殊保护需求。如何将线下的传统道德标准适用于大数据时代的网络环境,国内外很少有明晰的理解和集中的研讨。在对大数据越来越依赖的今天,儿童和儿童权利辩护者的声音没有得到足够的重视。我国对大数据时代儿童数据法律保护的研究也基本处于缺位状态。2016年4月欧盟通过了《一般数据保护条例》(2016/679)(本文简称“GDPR”),序言第38条明确指出需要对儿童数据给予特殊保护,因为儿童可能较少意识到有关的风险、后果、保障措施及相关权利。GDPR自颁布以来,其法律适用的效力等问题受到了很多学者的关注,但在儿童数据保护方面,则很少被探讨和论争。有鉴于此,本文将从儿童的特殊性出发,探讨大数据时代保护儿童数据的现实必要性,围绕儿童数据法律保护的困境及其应对展开讨论,并对欧盟GDPR的相关规定进行评析,以期为我国《未成年人网络保护条例》的正式出台提供参考借鉴。
大数据为儿童带来许多益处的同时也带来了诸多负面效应。一方面数据科学的发展对儿童的发展保护、成长参与及获得服务等方面产生了积极影响。另一方面大数据也给儿童带来了数字身份失控、在线隐私风险增加及潜在歧视倾向等负面问题,由此产生了大数据时代收集、分析和处理儿童数据的合法性问题。儿童能否受益于大数据的发展,取决于我们对待潜在风险的态度和采取的保护措施。
1.数字身份失控和数据持久性
数字身份是“通过一系列社交媒体工具创建的跨多个在线平台的身份合并”。大数据时代构成儿童数字身份的参与者包括数据提供者和对数据进行收集、分析、使用的网络服务提供者。网络生活早已成为儿童日常生活的一部分,很多网络活动已经在一定程度上取代了传统的线下社交、娱乐与学习方式,儿童经常在网络社交媒体等平台上分享个人动态、照片和位置等信息,这样的网络活动几乎伴随着儿童的成长。这意味着网络服务提供者不仅可以获得儿童上网的实时数据,还可以获得儿童的成长历程数据。从儿童数据提供者的角度来看,儿童本人及其家人、同学、朋友等网络用户均可能上传有关儿童的个人数据(文字描述、照片、视频等)。其他网络用户提供的信息可能比儿童本人提供的信息对其产生的影响更大,例如许多父母经常在社交媒体等网站中“晒娃”。可以说,儿童及其父母对这些数据对儿童人格声誉、未来发展的不利影响尚缺乏足够认识。
大数据、云计算、物联网、人工智能等数据科学的发展使得数据的收集、保存和分析更为容易,越来越多的网络服务提供者出于商业目的收集、分析和处理儿童数据。网络服务提供者除了收集儿童数据供自身使用外,往往还会将其收集的儿童数据传输或出售给其他网络服务提供者。联合国儿童基金会研究中心伦理顾问加布里埃尔·伯曼(Gabrielle Berman)等儿童权利专家对此表示了担忧:“从儿童身上收集的网络数据可能在未来不确定的时刻,被网络服务提供者用不确定的算法用于不确定的客户端,以创建儿童所不知道的数字身份。”大数据时代,网络服务提供者是构建儿童数字身份的重要参与者,儿童数字身份极易被其扩散和传播,儿童及其父母正逐渐失去对儿童数字身份的控制。管理数字身份对成年人来讲即非易事,对于儿童则更加困难。
网络数据还具有持久性特点,一旦产生便很难彻底删除。对于人类的大脑记忆而言,遗忘是常态,记忆是例外;数字时代,记忆与遗忘发生了反转,记忆成为常态,遗忘成为例外。GDPR第17条规定了被遗忘权,旨在赋予大数据时代数据主体要求数据控制者删除不适当的个人数据的权利,被遗忘权被认为尤其有利于儿童。虽然数据的持久性特点对儿童和成人均会产生影响,但由于儿童的心智尚未成熟,风险意识和理解能力较差,这些数据对儿童的数字身份有着更为重要的意义。一面是失控的数字身份,一面是持久存在的网络数据,二者均为大数据时代儿童数据的收集、分析和处理等行为带来了合法性的伦理挑战。
2.隐私风险增加与潜在歧视倾向
随着物联网技术的快速发展,各种儿童智能联网设备层出不穷,如婴儿监视器、智能玩具、智能电话手表等,但其隐私安全设置却往往存在漏洞,黑客利用这些漏洞可以跟踪、监视儿童的行为,严重侵害儿童隐私,甚至威胁儿童的人身安全。目前,我国许多家庭都安装了婴儿监视器以随时了解孩子的行为和状态,确保孩子的安全。然而,研究人员发现婴儿监视器并不安全,其中存在大量的安全漏洞可能被不法人员利用,对儿童和家庭隐私造成严重威胁。智能玩具上的传感器、麦克风、摄像头、存储设备、语音识别技术、互联网连接和GPS等被用来记录儿童的声音和行为信息,并以此来调整与孩子的互动内容,成为不法分子窃取用户信息的新通道。近年来,香港伟易达集团、美国费雪集团、美国KGPS公司等智能玩具厂商均发生了大规模儿童信息泄露事件,例如,香港伟易达集团2015年曾致使全球600万儿童和400万家长的用户身份、账户密码、密保问题和答案在内的海量用户信息遭到泄露。2017年,德国联邦网络管理局宣布在德国境内下架一款美国生产的“凯拉”玩具,该玩具装有摄像头和麦克风,可以联网传输数据并在用户未察觉的情况下上传儿童数据,严重威胁儿童隐私和安全。儿童智能电话手表近年来深受我国家长的欢迎,然而儿童电话手表同样存在巨大的安全问题。通过儿童电话手表黑客可以很容易地监听儿童的通话、跟踪儿童的位置,因此,德国联邦网络管理局已在德国境内禁售电话手表。我国儿童智能联网设备的开发商大多是新兴创业团体,没有意识也没有能力构建稳健的儿童数据保护机制,经常以明文形式存储或传输儿童数据,为儿童隐私和数据安全埋下了巨大隐患。数据挖掘技术将智能联网设备收集和传输的儿童数据聚合起来加以分析,在网上创建儿童的身份信息和详细档案,使保护儿童在线隐私的形势更加严峻。
大数据分析还可能引发对儿童的潜在歧视和不公平待遇。美国少年司法系统已开始应用大数据和算法来预测“危险青年”以减少少年犯再犯的可能,算法的非透明性导致这种预测很可能存在歧视倾向,并且很难被发现和评估。美国普林斯顿大学信息技术政策研究中心研究员梭伦·巴罗卡(Solon Barocas)总结了大数据挖掘可能引起潜在歧视的三种情形:一是采用不透明的算法定义某些群组(如地理位置或健康概况)可能导致难以辨别的有意识歧视;二是采用缺乏代表性的数据导致结论不准确,如特定样本中边缘化群体的比例失实(不足或过多);三是由于过度依赖特定数据来源进行决策造成的歧视。因此,在信息不对称或数字鸿沟日益扩大的时代,采用不透明的算法、有偏见的分类及无代表性的数据均可能导致歧视或不公平待遇。
综上,大数据时代儿童数字身份失控、数据持久性、隐私风险增加和潜在歧视倾向等问题,带来了儿童数据收集、分析、使用的合法性挑战,亟须对儿童的个人数据进行法律保护。
由于儿童的特殊性,儿童数据的法律保护需综合考量儿童的成熟度和不同网络场景等因素来决定是否赋予其自我决策的权利。荷兰学者米尔达·马赛纳特(Milda Macenaite)指出大数据时代儿童数据的法律保护面临两大困境:“赋权与保护”困境和“个性化与平均年龄”困境。
虽然这两大困境在儿童权利法中早有体现,但大数据时代使其有了新的含义和语境。1.“赋权与保护”困境(Empowerment vs protection)
“赋权与保护”是大数据时代儿童数据法律保护面临的首要困境。《联合国儿童权利公约》(下文简称“UNCRC”)中的保护性条款与赋权性条款之间存在一定的紧张关系。保护性条款是针对儿童的脆弱性、依赖成年人和需要身心照顾等特点对其进行行为干预的保护性规定,如国家干预、父母干预等;赋权性规定是因为儿童处于不断成长和发展中,具有“不断发展的能力”(the involving capacity),理解力和成熟度会随着年龄的增长逐渐提高,因此需要赋予其自我决策与参与的权利,如自由表达思想和发表言论等接近成年人的权利。
保护性规定与赋权性规定之间的冲突表现在两方面:一方面,从儿童的最大利益出发,往往需要赋予儿童自我决策与参与的权利,但儿童作为“成人干预的受益者”和“自我决策的代理人”之间存在一定的矛盾。 换言之,如果赋权性规定过多,可能会导致对儿童的保护不力;如果保护性规定过多,则可能限制儿童的自我决策权等赋权性利益。另一方面,“赋权与保护”困境不能被彻底消除,只能在“赋权”与“保护”之间寻求一定的平衡。因此,如何平衡两者之间的关系,在给予儿童充分保护的同时避免过度保护是儿童权利法最大的难题。大数据时代,儿童数据法律保护面临的“赋权与保护”困境形势更加严峻。大数据时代给儿童带来的利益和风险同步增加,但由于其知识水平和认知能力的局限,对风险往往缺乏认识。网络生活已经成为儿童日常生活必不可少的一部分,他们通过网络获取各种各样的信息,不断学习成长,因此有必要赋予儿童上网和决策相关事务的权利;同时,大数据时代的儿童面临着数字身份失控、隐私风险增加和潜在歧视倾向等问题,亟须对儿童的数据权利进行保护。可以说,“赋权与保护”困境是大数据时代儿童数据法律保护面临的最大挑战。
2.“个性化与平均年龄”困境(Individual vs average age)
“个性化与平均年龄”困境部分来源于“赋权与保护”困境。儿童的成熟度评估可以帮助解决“赋权与保护”困境面临的部分问题,即对达到一定成熟度的儿童赋予其自我决策的权利,对未达到一定成熟度的儿童给予一定的保护。目前,对儿童进行成熟度评估主要有两种方法,一是划定一个明确的年龄界限作为所有儿童是否成熟的分界线,二是对每个儿童的成熟度进行个性化的评估。从法律适用的角度来看,采用明确的年龄界限可以限制司法者的自由裁量权且执行起来更为容易,但也容易造成“一刀切”,忽视儿童的个体差异。人类学家玛丽·道格拉斯也认为:“为了满足社会对清晰度和一致性的要求,人们经常努力划定一条年龄界限以确定孩子是否具有完全法律能力,然而这通常是人为的和武断的。”
事实上,即使是相同年龄的儿童,由于先天和后天环境等因素的影响,各方面能力的差异往往很大,因此,对每个儿童进行个性化评估可以更好地照顾到能力较强儿童从事相关活动的需求。然而,对每一个儿童的成熟度逐一进行个案评估,执行起来会非常困难,也会对网络服务提供者造成过度的负担。 因此,如何处理“个性化”和“平均年龄”之间的关系是大数据时代儿童数据法律保护面临的另一困境。欧盟《个人数据保护指令》(95/46/EC)(下文简称《95指令》)制定于1995年,当时的网络环境对个人数据的收集和利用没有如今这么普遍,因此《95指令》没有针对儿童数据保护的特殊规定。大数据时代,网络服务提供者为了商业目的,采用追踪儿童轨迹、对儿童进行数字画像、精准广告等方式挖掘和利用儿童的商业价值,使得儿童的数据和隐私保护问题变得更加突出。欧盟充分认识到大数据时代保护儿童数据权利的迫切性,2016年通过了GDPR,为解决大数据时代儿童数据法律保护的两大困境作出了努力,具有一定的进步意义,但仍存在一定的问题。
1. GDPR的赋权性规定
GDPR的赋权性规定主要包括数据透明权(第12条)、数据访问权(第15条)、数据更正权(第16条)、被遗忘权(第17条)、数据可携权(第20条)等。上述权利对儿童与成年人同样适用,其中,数据透明权、数据可携权和被遗忘权被认为特别与儿童相关。
(1)数据透明权(Right to data transparency)
GDPR第12条规定,数据透明权即数据控制者应采取适当措施以简洁、透明、易理解和易于访问的形式提供任何关于处理数据主体的信息,特别是与儿童相关的信息。数据透明权是数据主体行使其他数据权利的前提,对数据主体而言具有重要意义。GDPR序言第58条也特别指出,应“以儿童易理解的简洁语言”向儿童提供信息。实践中如何以儿童可以理解的方式实施透明条件是数据控制者面临的一个现实挑战。
(2)数据可携权(Right to data portability)
根据GDPR第20条,数据可携权是数据主体有权以结构化、常用和机器可读的格式将其个人数据从一个数据控制者转移到另一个数据控制者的权利。该权利不适用于数据控制者为履行公共利益或行使官方权力所进行的必要处理;该权利的行使不得对他人的权利和自由产生不利影响。数据可携权有助于增强大数据时代的个人数据控制权,促进数据控制者之间的自由竞争,并有助于实现儿童网络平台的多元化和儿童隐私保护方案的迭代升级。但数据可携权可能触及网络巨头公司的利益,执行起来会面临一定的现实挑战,更由于相关巨头公司在该领域的垄断地位,使该权利对儿童的现实意义也大打折扣。
(3)被遗忘权(Right to be forgotten)
被遗忘权是GDPR最突出的赋权性规定。GDPR第17条规定了被遗忘权的具体内容:当存在目的不再、撤回同意、期限届满、非法处理或违反父母同意等情况,数据主体有权要求数据控制者及时删除有关的个人数据;当数据控制者已经公开个人数据,则有责任根据数据主体的请求删除个人数据;数据控制者应当考虑可行技术与执行成本,采取包括技术措施在内的合理措施告知正在处理个人数据的其他数据控制者,要求其删除与个人数据相关的链接、备份或复制件。网上的数据自产生之日起,即可被所有人搜索和访问,却很难被彻底删除,被遗忘权就是为了解决数据的持久性与人类遗忘本性之间的矛盾而提出的。被遗忘权相关的法律理论研究已进行了数年,该权利自诞生之日起即在大西洋两岸引起广泛争论,被认为是“隐私与自由”之争。虽然被遗忘权对于成人与儿童同样适用,但该权利尤其旨在保护网络环境下的儿童,原因在于“儿童在同意个人数据收集时,并没有充分认识到数据被收集的后果危险性”。因此,被遗忘权对于儿童要求删除数据的请求给予重点保护,允许儿童删除可能损害他们声誉的个人数据,即使该儿童请求行使该权利时已经成年。但也有学者指出,儿童适用被遗忘权可能会面临“随着时间的推移,一个不知名的儿童可能成为一个公众人物,其个人数据可能由私人数据(值得删除)转变为公共数据(值得保留)”的问题。
对于这种情况应当如何处理,GDPR没有规定。2. GDPR的保护性规定
GDPR的保护性规定主要包括禁止数字画像、设计和默认的数据保护和父母同意三个方面。
(1)禁止数字画像(Prohibition of profiling)
GDPR第4条将数字画像(profiling)定义为与自然人相关的某些个人情况,特别是为了分析或预测该自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可信度、行为、位置或行踪,而对个人数据进行的任何形式的自动化处理和利用。正如有学者所言,数字画像这一概念被普遍认为能够覆盖目前大多数利用个人数据的大数据分析和营销活动,如对个人偏好的分析。GDPR允许对成人进行数字画像,前提是获得数据主体的同意或基于合同及法律的明确授权。这样的前提性规定将对企业造成巨大的合规负担,不利用企业的市场分析和营销活动。同时,GDPR禁止针对儿童的数字画像,序言第38条指出儿童值得特殊保护以避免营销和数字画像等数据处理活动;序言第71条则特别表明基于数字画像的自动决策不应包括儿童。为达到禁止针对儿童数字画像的目的,GDPR要求网络服务提供者通过技术手段对儿童和成人进行识别。虽然利用现代画像和数据挖掘技术可以推断用户是否是儿童,但要可靠地辨别在线用户是成人或是儿童仍然非常困难。假若严格落实禁止所有关于儿童的数字画像,网络服务提供者识别儿童的义务将非常繁重,并可能导致数据的过度收集,对儿童和成人的在线隐私造成更大威胁。
因此禁止所有关于儿童的数字画像存在一定的执行困难。(2)设计和默认的数据保护(Data protection by design and by default)
GDPR第25条规定,考虑到技术现状、执行成本、处理的性质、范围、目的以及处理给自然人权利和自由造成的风险,控制者在确定处理手段时或在处理过程中都应采取适当的技术和组织措施保护用户的个人数据,应确保在默认情况下不允许其他自然人访问个人数据。设计和默认的数据保护要求网络服务提供者将数据保护的理念融入产品和服务设计的最初阶段,
各种儿童智能联网设备如果能做到这一点,将极大降低儿童的在线隐私风险。但如何对网络服务提供者进行有效监管是实际应用中的难点,确保网络服务提供者采用隐私友好型的默认设置并在其违反该设置时实施相应的惩罚措施是监管部门需要努力解决的问题。(3)父母同意(Parental consent)
GDPR第8条规定,网络服务提供者在收集或处理不满16周岁儿童的个人数据之前,需要取得其父母的同意或授权,成员国可以设定更低的年龄界限,但不能低于13周岁。该规定“旨在保护儿童,防止其在没有充分意识到后果的情况下分享数据”。父母同意是GDPR关于儿童数据保护最重要的规定,也是争论最大的一项规定。首先,父母同意的适用范围非常广泛,所有类型的网络服务都需要得到家长的同意,过多的同意请求不仅会导致父母的“同意疲劳”,
也会限制儿童的网络活动和发展机会。其次,GDPR关于年龄界限的规定缺乏实证根据,没有建立在实证调研和影响评估的基础上,允许成员国设定更低的年龄界限具有明显的随意性,会增加网络运营商的合规负担,不利于数字化单一市场的发展。 最后,父母同意以年龄为分界线,没有考虑到儿童“不断发展的能力”和被倾听的权利,与UNCRC和欧盟《基本权利宪章》(下文简称《宪章》)中关于认真听取和对待儿童意见的规定相违背。生长在网络时代的儿童虽然可能比他们的父母更精通网络,但如果乐观地认为有能力使用网络工具的儿童也能明确地理解网络服务商的服务条款和后续使用的意义显然是不恰当的。儿童对网络服务提供商的服务条款和法律术语往往缺乏理解力,对网络数据的持久性和数据的收集、分析、使用、销售等行为缺乏认识,对网络上很难删掉的cookies等网络浏览器的追踪插件更缺乏足够的警惕。这些对于成年人难以做到的事情,对于儿童来说更加困难,因此,父母同意仍然是必要的。
GDPR的父母同意在实践中面临两个重要挑战:一是保证用户年龄的可验证性,正如有学者所言:“父母同意的规定能否成功实施取决于能否开发出低成本的年龄验证程序。”
二是如何提高父母的数字素养,数据和资料显示很多父母的数字素养不如自己的孩子,有的父母自身都不能理解专业化的服务条款和法律术语,让此类父母决定孩子是否可以上网意义不大。 而且,父母和孩子可能存在关于社交媒体作用和风险的分歧,成年人并不总能理解技术与年轻人之间积极和复杂的相互作用。 父母的“晒娃”等行为还可能侵犯孩子的隐私。表面来看,GDPR的赋权性规定很多,保护性规定很少,仔细研究却发现, GDPR中赋权性规定的所有条款普遍适用于所有年龄的自然人,只有保护性规定才专门适用于儿童。GDPR第8条严格的父母同意,既没有区分不同的网络场景,也没有明确父母决策时儿童意见的权重,可能演变为父母“保护霸权”,破坏了“赋权”与“保护”之间的平衡。
划定明确的年龄界限还是进行个性化评估,不仅是儿童数据保护法面临的挑战,也是传统法律领域共同面临的挑战。GDPR最终选择划定明确的年龄界限作为判断儿童是否有能力自我决策的标准:达到年龄界限的儿童被视为有能力同意处理他们的个人数据,低于年龄界限的儿童被视为缺乏同意处理其个人数据的能力,并由父母负责给予或拒绝同意。GDPR将需要父母同意的年龄门槛设定为16周岁,允许成员国设定更低的年龄界限,但不能低于13周岁。GDPR关于需要父母同意的年龄界限规定可谓一波三折,最初议案与UNCRC一致,将需要获得父母同意的年龄门槛设置为18周岁,遭到网络社交媒体等行业代表的极大反对。Facebook等行业代表认为将需要父母同意的年龄设置为18周岁明显过高,不利于数字市场的发展,而且违反了UNCRC关于儿童的参与权与自我决策权的相关规定,将严重限制青少年上网的权利。为此,欧盟委员会将需要父母同意的年龄界限修改为13周岁,与美国《儿童网络隐私保护法案》(本文简称“COPPA”)中关于需要父母同意的年龄界限一致。修改方案一出,受到互联网行业尤其是网络社交媒体行业的热烈欢迎,但批评者认为GDPR对年龄界限的设定过于随意,有效仿美国之嫌,没有建立在实证调查和研究的基础上。最终,欧盟出人意料地将需要父母同意的年龄界限修改为目前的16周岁,并赋予成员国设定更低年龄界限的权力。
GDPR设定明确年龄界限的做法,可能存在一定的问题。首先,设定年龄界限的做法忽略了儿童的个性化发展,限制了年龄较大青少年的参与权和自我决策权。不同年龄的儿童能力差异较大,即使相同年龄的儿童,因其生长环境不同,能力差异也非常大。因此个案评估能够区分儿童的能力层次,实现儿童利益的最大化。其次,由于潜在隐私风险的不同,儿童行使自我决策权也应该根据隐私风险等级区别对待。例如,儿童发送即时通信的邮件和消息等可能不需要父母同意,而创建社交媒体账户则需要父母同意。立法者应从社会科学和行为科学领域收集证据来验证给定的年龄限制,不同的数据收集实践和年龄跨度可能需要进行详细的测试和研究。
GDPR关于儿童数据保护的规定,在原则上与UNCRC和欧盟《宪章》是一致的,但仍有一些现实问题未得到解决。第一,允许各成员国设定更低的年龄门槛意味着跨越欧盟各国之间的网络协调和监管将不再统一和简化。第二,设定明确年龄界限的做法忽略了儿童的个性化发展,限制了年龄较大青少年的参与权和自我决策权。第三,父母同意和年龄界限的规定能否具体落实,取决于能否推出有效且低成本的在线年龄验证机制。第四,GDPR保护性规定的实施还依赖于家长的数字素养,虽然GDPR规定了提高父母和儿童数字素养的措施,但实践效果如何还有待观察。第五,制定政策时儿童自己的意见也应考虑进来。因此,可以说GDPR针对《95指令》的改进只是部分成功。
破解儿童数据法律保护的两大困境应以差异化的父母同意方式取代严格的父母同意,以平衡“赋权”与“保护”之间的冲突;以一定年龄界限基础上的个性化评估取代平均年龄的单一规定,以实现“个性化”与“平均年龄”的结合。此外,网络治理机构应加强数据周期内利益相关者的共同协作与对话,不断寻求更好的儿童数据保护方案。
GDPR未区分不同网络场景和风险等级的父母同意,会造成父母的“同意疲劳”和对儿童的过度保护,打破“赋权”与“保护”之间的平衡,不利于儿童最大利益的实现。因此,为实现儿童的最大利益,应根据不同场景对不同隐私风险等级的儿童数据采取不同程度的父母同意方式。
欧盟GDPR第35条对数据保护影响评估进行了规定,为可能引发高风险的数据处理行为设定了额外的附加义务,并豁免了低风险数据处理行为的部分义务。但该项规定只是“在传统的合法授权事由框架下提升了用户同意形式方面的要求,继续强化了传统知情同意框架”,并未从保护用户的角度,针对不同场景、不同隐私风险提出不同的保护标准。更为关键的是,GDPR并未将隐私风险等级评估适用于儿童数据保护的父母同意。相比较而言,美国的COPPA则认识到不是所有网络活动都需要严格的父母同意,通过对不同网络场景划分风险等级规定不同程度的父母同意方式:首先,最小风险的网络服务无须得到父母的同意,如没有互动或不共享儿童数据的网络服务;其次,中等风险的网络服务则采用较宽松的同意形式,如网络服务商仅在内部使用儿童数据且不向第三方披露或公开时,可以向父母发送电子邮件,并在收到父母同意的回复后方可确认使用;最后,最高风险等级的网络服务必须符合最严格的同意机制,如向第三方披露儿童数据、行为广告或儿童注册使用网络社交媒体时,网络服务提供者需要通过邮寄、传真或电子邮件等方式要求父母填写并返还同意书,提供信用卡号码、验证身份的证明文件、免费电话或视频会议等方式验证父母同意。
COPPA基于不同风险等级的差异化父母同意,在一定程度上解决了GDPR在应对“赋权与保护”困境中的父母“同意霸权”问题,有效避免了对儿童的“过度保护”,并有助于减轻父母的“同意疲劳”。关于GDPR的父母同意没有充分考虑儿童个人意见的问题,可以通过单独咨询儿童意见、取得儿童和父母共同同意和成熟儿童自主同意等方式,将儿童意见纳入到决策中来,适当避免对有能力儿童意见的忽略。
虽然欧盟GDPR的年龄界限规定饱受诟病,但若不划定年龄界限则需对所有儿童的全场景网络活动进行个性化评估,无疑会增加网络服务提供者的合规负担和网络治理机构的执行成本。美国COPPA亦划定了明确的年龄界限,要求收集、处理不满13周岁儿童的个人数据需先征得父母同意,因此明确的年龄界限仍然是必要的。欧洲非政府组织“儿童在线安全联盟”(“eNACSO”)认为虽然在目前的网络环境和技术条件下,对每个儿童进行个案评估是不可能的,但对不同年龄的儿童应采用不同的隐私标准或父母同意方式。因此,笔者认为,应以一定年龄界限为基础的个性化评估取代平均年龄的单一规定。对达到年龄界限的儿童,赋予其自我决策权;对未达年龄界限的儿童进行个性化评估,以决定父母同意的方式。
事实上,目前欧盟只有三个成员国(西班牙、匈牙利和荷兰)选择在国家数据保护法律中明确规定需要父母同意的年龄门槛。大多数成员国均要求数据控制者依据特定情境采取个性化的儿童能力测试,而不是统一的年龄标准。由于个性化的儿童能力测试容易造成过重的验证负担,大多数成员国通常要求数据控制者根据数据处理目的和使用的数据类型采用基于滑动比例法的风险验证方式。这一做法与美国COPPA的规定殊途同归。为了验证儿童是否有自我决策能力,数据控制者应从儿童的最大利益出发,综合评估儿童的心理发展水平及承担相应后果的能力等情况决定所需父母同意的等级或形式。
切实保障大数据时代儿童数据权利,不仅需要监管机构、网络服务提供者和父母等各方主体履行并承担相应的义务和责任,还需要加强数据周期内利益相关者的共同协作与对话。利益相关者主要包括数据的提供者、收集者、分析者和使用者。首先,儿童数据提供者需要提高隐私风险意识,学习必要的网络安全技术,使用隐私保护软件等方式提高防范能力。美国学者帕弗雷·约翰(Palfrey John)等提议,有关信息通信技术、网络安全和隐私等方面知识的学习应被纳入普通学校的信息技术教育中,提高数据提供者的数据素养和隐私风险防范意识。
其次,数据收集者在收集数据之前应首先征得儿童父母的同意,并采用易于理解的条款和方便访问的操作,如儿童友好型描述等,数据收集者还应将设计和默认的数据保护理念融入软件设计的最初阶段。加布里埃尔·伯曼(Gabrielle Berman)认为,对儿童数据的收集除了应有明确的政策和传播机制外,还需要独立的第三方对数据收集者及其数据收集活动进行公正和专业的定期审核。再次,数据分析者是儿童数据保护的关键参与者,其采用的算法决定着儿童数据的分类方式和传播形式。算法具有非透明性的特点,数据分析者在处理儿童数据时应保证采用的算法具有可解释性,并在分析处理儿童数据时反思该算法是否会对儿童产生不利影响。数据分析者应多与儿童权利倡导者对话和讨论,了解儿童的特殊需求,开发专门针对儿童的隐私友好型工具。为了使数据分析者了解算法的潜在限制和伦理含义,反思算法产生的数据结果,算法伦理学应成为算法和数据科学领域所有本科生和研究生课程的一部分。最后,数据使用者是数据周期中的最终利益相关者,需要提高对数据可靠性、算法局限性、技术安全性及对儿童潜在影响的认识,确保数据使用的安全合规。加强数据周期内各利益相关者之间的共同协作与对话,有利于真正从儿童的最大利益出发,不断寻求更好的隐私保护解决方案。而加强对数据科学及其应用的教育和反思对所有利益相关者都是非常重要的。目前,欧盟和美国在儿童数据法律保护方面走在世界前列。欧盟2016年通过了GDPR,旨在保护大数据时代自然人的数据权利,并针对儿童的数据保护问题进行了专门规范。美国2012年修订了《儿童在线隐私保护法案》(COPPA),完善了大数据时代儿童的数据隐私保护;2015年又出台了《学生数据隐私和家长权利法》(SDPPRA),为大数据时代学生数据隐私提供专门的法律保护。我国至今还没有关于儿童数据法律保护方面的立法。2017年1月,国务院法制办公室发布《未成年人网络保护条例(送审稿)》(以下简称《条例(送审稿)》)。《条例(送审稿)》以法治手段来加强对未成年人的网络保护,顺应了国际互联网治理的总体趋势和通行做法,也代表了我国网络监管体制的一次转变。但《条例(送审稿)》未能充分借鉴国外的相关立法经验,在有关儿童数据法律保护方面的某些规定仍有值得商榷的地方。本文在合理借鉴欧盟和美国相关立法经验的基础上,针对《条例(送审稿)》提出以下立法建议:
第一,《条例(送审稿)》对儿童被遗忘权进行了规定,但仍需进一步完善。《条例(送审稿)》第18条规定:“未成年人或其监护人要求网络信息服务提供者删除、屏蔽网络空间中与未成年人有关的个人信息时,网络信息服务提供者应采取必要措施予以删除、屏蔽。”该条款可视为对儿童被遗忘权的规定,但其没有对数据控制者已将儿童数据公开的情形进行规定。根据GDPR第17条,若数据控制者已将个人数据公开,则有责任根据数据主体的请求删除个人数据,并在考虑可行技术和执行成本的基础上,采取合理措施告知正在处理个人数据的控制者,要求其删除与个人数据相关的链接、备份或复制件。《条例(送审稿)》应对此部分内容做进一步完善。
第二,《条例(送审稿)》关于儿童数据透明权的规定不太明确。应明确要求网络服务提供者采取适当措施以简洁、透明、易理解和易于访问的形式提供任何关于处理儿童数据相关的信息。
第三,《条例(送审稿)》没有赋予儿童数据可携权。数据可携权有助于增强大数据时代儿童的个人数据控制权和自决权,鉴于数据可携权对于行业竞争的影响尚不明确,
《条例(送审稿)》可暂时将数据可携权作为一项倡议性的条款进行规定。第四,《条例(送审稿)》采取了选择性的父母同意条件,使父母同意失去了应有的意义,与UNCRC的原则性规定以及国际通行做法相违背。《条例(送审稿)》第16条要求网络服务提供者在收集、使用未成年人个人信息前,需首先征得“未成年人或监护人同意”。该规定意味着未成年人可以自行决定是否同意收集或处理个人数据,如此,父母同意便失去了保护儿童的应有之意。无论是欧盟GDPR还是美国COPPA,父母同意都是收集、处理、使用儿童数据的前置条件。因此,《条例(送审稿)》不应将父母同意作为收集、使用儿童数据的一个可选择的方案,而应作为收集、处理、使用儿童数据必要的前置条件。此外,鉴于欧盟GDPR第8条规定的父母同意没有区分不同网络场景和隐私风险等级,不利于儿童最大利益的实现,建议借鉴美国COPPA关于父母同意的相关规定,建立基于不同隐私风险等级的差异性的父母同意方式。
第五,《条例(送审稿)》没有规定需要父母同意的年龄界限。明确的年龄界限可以减轻网络服务提供者的合规负担和网络治理机构的执行成本,因此年龄界限的划定是十分必要的。欧盟GDPR将需要父母同意的年龄界限设为16周岁,美国COPPA将年龄界限设为13周岁,设定过高的年龄界限可能限制年龄较大儿童的网络活动,且会增加网络服务提供者的年龄验证负担,因此比较而言,美国的年龄设定更具合理性。我国最好在实证调研的基础上科学合理地划定年龄界限,可以借鉴美国设定年龄界限的相关做法。
第六,《条例(送审稿)》没有涉及设计和默认的数据保护问题。当今时代,各种软件APP层出不穷,在使用之前均需同意一定条件的数据收集和使用,对儿童隐私和数据权利造成了极大威胁。欧盟GDPR第25条要求网络服务提供者将设计和默认的数据保护原则纳入产品和服务设计的最初阶段,这相当于在使用软件之前,网络服务提供者已经对儿童隐私保护制作了“护甲”。建议《条例(送审稿)》对此加以考虑。
第七,《条例(送审稿)》没有明确禁止针对儿童的数字画像。商业性的网络服务提供者对儿童的数字画像严重威胁着儿童的隐私和数据权利,应当借鉴GDPR的做法,明确禁止针对儿童的数字画像,以消除或减轻对儿童数据的商业利用。
未成年人网络保护不仅是专项的未成年人保护事业,也是塑造良好的网络环境、维护核心价值观,乃至全体公民教育的一项非常重要的事业。大数据时代,为实现儿童利益的最大化,网络治理机构及社会各界应充分认识到对儿童数据进行特殊保护的现实必要性,并从儿童的最大利益出发,赋予儿童合理权利的同时给予其应有的保护。网络治理机构应当加强数据周期中各利益相关者之间的共同协作与对话,积极听取儿童权利倡议者的意见和建议,不断寻求更好的儿童数据保护方案。