短视频应用中未成年人个人信息保护的挑战及其应对

刘向宁

(中国青少年研究中心 学术期刊部， 北京 100089)

生动丰富的题材内容、简单易行的创作方式和便捷快速的传播途径，加上人工智能的算法推送，使短视频应用诞生后深受包括未成年人在内的广大用户青睐，迅速成为人们的一种日常娱乐及社交方式。2021年7月共青团中央维护青少年权益部和中国互联网络信息中心(CNNIC)发布的《2020年全国未成年人互联网使用情况研究报告》显示，作为新兴网上娱乐方式，短视频的未成年受众持续递增，经常看短视频的比例在过去3年明显增长，2020 年达到49.3%，较2018 年增长8.8个百分点，成为仅次于网络音乐和网络游戏的未成年网民的第三大网络娱乐活动。

短视频应用满足了人们碎片化时间的娱乐需求，使用户获得了娱乐价值、社会价值、互动价值和内容价值等，但是其蕴藏的风险和引发的问题亦日益突出。当前对于短视频应用，国家的规制、社会的批评和企业的应对主要集中在不良信息危害、易沉迷依恋及内容质量不高等方面，有关个人信息保护的问题似乎没有引起足够重视。实际上短视频应用的特征使其可能带来的个人信息安全问题不仅不可小觑，而且与其他网络应用相比更加突出。在发挥短视频应用对于未成年人的正向功能、促进网络产业发展的同时，探讨如何充分保护个人信息、减少未成年人在短视频应用中面临的风险与可能遭遇的侵害，是一项重要且紧迫的课题。

一、短视频应用中未成年人个人信息保护的主要挑战

(一)个人信息处理风险及其成因

个人信息处理包括收集、存储、加工、使用、传输、提供、公开、删除等活动。未成年人在短视频应用中个人信息的处理风险主要源自三个方面：第一，短视频的发布与传播。短视频应用中个人信息的泄露或公开首先来自于视频发布行为。一方面，未成年人在短视频平台的活动主要是浏览、发布和传播短视频等，他们发布的视频内容以记录日常学习生活和展示才艺为主，影像展现度非常高，包含大量的个人信息。另一方面，不少父母也热衷于“晒娃”，在平台发布展现孩子可爱形象的视频①，如用户“小二月”发布的大量视频呈现了孩子的家庭生活，将未成年人的个人信息完全暴露在公众面前。甚至一些监护人在短视频平台上想利用孩子来博取眼球和变现流量，如“小Geo Geo”拍摄的视频以儿童为主角，其中暗含不少软广告。此外，近年来短视频平台的社交功能日益丰富、社交属性不断增强，其社交化带来的个人信息泄露风险亦值得警惕。第二，平台泄露和非法获取。未成年人在短视频平台注册和登录时留下的姓名、身份证号、住址、电话号码、学校名称等个人信息以及在使用时平台识别的用户手机终端信息等，可能由于短视频平台的管理不当、黑客的攻击而泄露。在信息互联互通、网络平台和市场主体加速融合的网络时代，也可能因短视频平台出于商业目的而提供给第三方或与第三方共享。此外，出于改善服务或产品的功能等动机，平台常常需要获取一些个人信息，但信息的收集可能超出必要限度甚至非法。2019年某法学博士起诉抖音、多闪侵犯隐私权正是因为平台未经用户同意过度读取通讯录和擅自使用个人信息。第三，大数据挖掘。为优化用户的使用体验和保持其使用兴趣，通常短视频平台都会采用基于大数据挖掘和分析的智能算法推荐机制：根据用户的浏览记录、好友名单等数据，有针对性地向用户推送相关视频。而大数据应用的前提在于对用户信息的收集与分析，在这个过程中，用户个人信息泄露的风险和保护的难度也在加大。[1]实际上，移动应用程序几乎无时不刻地收集着个人数据，未成年人的数据可以覆盖自然人的全生命周期而具有更大的价值，因此比成年人更容易在网络上受到伤害。[2]

分析个人信息的处理行为和过程，可以看到，短视频应用中未成年人个人信息处理风险的产生主要由于以下三个原因。第一，从信息源来看，未成年人个人信息的泄露在主观上主要是由于个体自我保护意识淡薄。由于相关教育与经验的缺失，加上心智发育不成熟和自制力不足等因素，未成年人往往对网络平台和自身的行为风险缺少足够认知，甚至在某些情况下主动公开一些个人信息来获得某种利益，比如为了追求高体验、高回报的网络服务，或者为了达到深入交流、展示自我、获得关注和点赞的目的。由于社会观念的变化、权利无意识或将孩子作为“吸金工具”，许多监护人也在有意无意地暴露着未成年人的个人信息。第二，从个人信息处理引起的法律关系变化来看，风险产生的根源在于法律规制的不完善。完善的法律应当能够增强人们的法律意识、有效约束各种行为和切实维护合法权益，但我国当前立法对于未成年人个人信息的保护不够充分，加上政府监管的缺位，我国短视频平台的用户隐私②政策“普遍或部分地有待完善”。除了剥夺用户选择权的霸王条款外，常见的还有涉及应用内第三方的情况规则缺失或采用一揽子形式，疑似过度收集用户个人信息，未明确对用户个人信息的存储时限、取消授权或明示删除后的处理方式，部分条款表述存在模糊、泛化或倾向性用词等。[3]相关法律条款不完善和监管乏力造成短视频平台在运营中的审核不严、责任缺失。第三，从个人信息处理的技术过程来看，风险的产生在客观上是由于网络技术的局限性。未成年人在观看和发布短视频时只需简单的操作，而短视频应用的后台需要复杂的高新技术和网络系统的支持，其中可能暗藏着诸多技术漏洞。总之，除了深度学习与智能算法及信息的自动处理之外，个体在自我决策中的个性选择、公私组织对个人信息的合法使用以及平台社会责任的缺失等，都会导致隐私的主动或被动让渡。[4]

(二)未成年人个人信息遭受侵害的特征与后果

与其他网络隐私侵权行为相比，短视频应用中未成年人个人信息权益遭受侵害具有以下特征：第一，侵害主体更加广泛。在短视频应用中，未成年人个人信息权益的侵害主体十分广泛，不仅包括在其他网络隐私侵权中常见的网络服务提供者、商业公司等公私组织和黑客等，而且由于短视频平台用户规模庞大，短视频可以公开获取、免费观看、随意转发，导致包括未成年人在内的所有人都可能成为侵权者。例如，未经14岁以下未成年人父母或其他监护人同意，上传发布和转发传播暴露未成年人个人信息的视频的，都可能侵害未成年人的权益。第二，泄露的信息更加丰富。短视频虽然播放的时长不长，但与文字、图片和音频等相比，其内容丰富、表现力强，能够呈现更多的信息，因此与以文字或图片为主要内容的网络应用相比，短视频应用泄露信息的可能性更高，可能泄露的信息也更多；与非社交性网络应用相比，短视频应用中用户的匿名度较低、参与性更强，因此个人信息泄露的风险也更大。第三，被害人因素比较突出。在网络时代，不仅“用隐私换便利”似乎已成为用户与平台之间的一种共识，更为重要的是，在短视频应用中用户更多考虑的是如何最大限度地吸引关注、提升内容热度，因此短视频应用中未成年人及其父母常常有意或无意主动暴露个人信息。未成年人及其父母的这些行为大大增加了侵害未成年人个人信息权益现象的发生机率。第四，侵害后果更加严重。互联网的传播速度和范围远远超过了传统媒介，短视频的发布和传播渠道多样化，转发和分享非常便捷，具有传播力度大、范围广、碎片化、交互性强等特征，而未成年人本身属于弱势群体，因此在权益受到侵犯时其遭受的伤害往往更加严重。例如，2018年浙江一名10岁女孩在抖音发布跳舞的自拍视频后，一名陌生男子通过短视频私信与之交流并获得微信号，女孩在与男子的聊天中受到具有性暗示含义的言语骚扰。[5]

未成年人个人信息的泄露将直接使其个人的生活安宁遭到破坏，日常的学习等活动受到侵扰，同时可能使其名誉权受到侵犯，并且增加其遭受网络诈骗、网络欺凌和网络性侵等网络侵害的风险，甚至使其人身安全面临威胁。现实中已有大量的案例证实，未成年人较之成年人更容易成为网络犯罪的侵害对象。短视频应用等网络平台的信息泄露还可能影响未成年人未来的教育和就业，对其个人发展产生不利后果。此外，未成年人的网络使用行为可能影响其未来的社会信用评级，如果发布的视频涉及社会信用体系中规定的不当内容或者触犯法律，将会影响其在社会信用体系中的得分，进而影响其在其他领域的机会和权益。[6]

二、我国未成年人个人信息保护的有关立法与政策及其不足

随着网络时代的到来和个人信息安全问题的日益突出，我国越来越重视通过法律手段加强对个人信息的保护，陆续出台了一系列相关立法和政策。2012年全国人大常委会通过《关于加强网络信息保护的决定》，开启了我国个人信息法律保护的新篇章。2012年和2013年工信部先后制定《信息安全技术公共及商用服务信息系统个人信息保护指南》和《电信和互联网用户个人信息保护规定》，对个人信息保护的基本原则和收集、使用、存储等做出细致规定。2016年《网络安全法》颁布，其中第4章专门规定了网络信息安全制度。2019年国家互联网信息办公室发布《儿童个人信息网络保护规定》，对不满14周岁未成年人的个人信息处理进行专门、全面规范，在我国未成年人个人信息保护发展历程中具有里程碑的意义。[7]2017年国务院法制办公室公布《未成年人网络保护条例(送审稿)》，第16-18条涉及未成年人个人信息的收集、使用、搜索、删除、屏蔽等。2020年全国人大通过《民法典》，确立了个人信息的定义与范围、个人信息处理的原则与要求等基本规则；同年修订的《未成年人保护法》新增“网络保护”专章，第72条、第73条和第76条对未成年人个人信息保护和参加网络直播做出了规定；此外2020年修订的《信息安全技术个人信息安全规范》对未成年人个人信息的处理提出了具体的操作规范。2021年全国人大常委会通过《个人信息保护法》，系统规定了我国个人信息处理的原则和规则，明确了信息主体的权利和信息处理者的义务，并把不满14周岁未成年人的个人信息作为敏感个人信息给予特别保护。2021年11月，文化和旅游部出台《关于加强网络文化市场未成年人保护工作的意见》，对未成年人参与网络表演实施严管严控。除了立法机关和行政机关之外，我国司法机关也出台了相关政策如《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，加强对个人信息的司法保护。此外，作为行业组织，中国网络视听节目服务协会发布了《网络短视频平台管理规范》和《网络短视频内容审核标准细则》，对强化短视频平台管理提出了自律要求。

上述立法与政策构建了比较完整的个人信息法律保护体系，并针对未成年人保护确立了以下主要制度：第一， 年龄界限制度。年龄界限决定了未成年人个人信息保护制度的适用对象。例如，《个人信息保护法》《儿童个人信息网络保护规定》等将年龄界限设定为14周岁；《信息安全技术个人信息安全规范》设立了14周岁和18周岁两个界限；《信息安全技术公共及商用服务信息系统个人信息保护指南》的年龄界限是16周岁；《未成年人保护法》第72条和第73条设定的年龄界限分别为14周岁和18周岁，第76条包括16周岁和18周岁两个界限。第二，监护人同意制度。监护人同意制度是知情同意原则在未成年人群体中的具体适用。例如，《未成年人保护法》第72条规定，处理不满14周岁未成年人个人信息必须获得其监护人的同意；第76条规定，为年满16周岁未成年人提供网络直播发布者账号注册时需征得监护人同意；《儿童个人信息网络保护规定》第9条规定，处理不满14周岁未成年人个人信息的应以显著、清晰方式告知监护人并征得其同意；《信息安全技术个人信息安全规范》规定，收集年满14周岁未成年人个人信息前应征得未成年人或监护人的明示同意。第三，平台责任制度。为了保护未成年人个人信息，我国不仅规定了未成年人及其监护人的权利，同时对信息处理者科以相应的义务和责任。例如，《未成年人保护法》第72条和《儿童个人信息网络保护规定》第20条规定了未成年人及其监护人的更正、删除请求权；《个人信息保护法》第30条和第31条规定信息处理者处理不满14周岁未成年人个人信息的，应当告知处理的必要性和对个人权益的影响，并制定专门的处理规则；《儿童发展纲要(2021—2030年)》要求短视频平台针对未成年人设立“青少年模式”，设置时间、权限和消费管理等功能；《关于加强网络文化市场未成年人保护工作的意见》要求强化未成年人用户识别，建立健全未成年人个人信息保护机制，严禁借“网红儿童”牟利，建立和优化“青少年模式”；《网络短视频平台管理规范》要求建立未成年人保护机制、设立未成年人家长监护系统等。此外，相关立法还规定了平台违反规定应当承担的法律责任。

上述制度为未成年人个人信息保护提供了法律依据和保障，但在实践中仍然存在以下问题：第一，赋予年满14周岁的未成年人对个人信息处理的决定权造成对高年龄段的未成年人保护不足。14-18周岁的未成年人虽然能够在一定程度上决定自己的个人信息处理，但毕竟他们尚未成年，法律仍应给予特殊保护，目前近乎一刀切式地以14周岁为年龄界限导致对14周岁以上的未成年人“赋权”有余而“保护”不够。[8]第二，监护人同意制度面临实施困境。例如，除《信息安全技术个人信息安全规范》，其他立法和政策没有明确监护人同意的具体方式和操作细则；监护人在同意授权之前需阅读平台的隐私协议，但这些协议普遍冗长繁杂不易理解，而且监护人缺乏选择的余地，常常被迫让渡隐私；一些未成年人谎报年龄或冒充监护人，导致无法保证平台获得的同意授权真正来自监护人。第三，平台责任难以完全落实。一方面，现有规定原则性较强、实操性较弱，例如，对于数据泄露通知的对象、内容和补救措施等具体要件的规定不具体，有关网络隐私泄露造成的经济损失的界定和赔偿标准比较模糊，导致制度的执行效果大打折扣；又如，依一般侵权行为构成的4个要件，现实中由受害人证明短视频平台的主观过错难度较大，难以有效保护未成年受害人的合法权益。另一方面，受立法和政策的驱使，大多短视频平台虽然为保护未成年人采取了一些措施，但侧重于网络沉迷和不良信息接触的防治，而对于个人信息保护并无多少动力，制定并披露隐私政策只是为了避免被下架的风险。[9]例如，在2020年检察机关提起的未成年人网络保护民事公益诉讼全国第一案中，杭州某知名短视频公司在开发运营该公司app的过程中未以显著、清晰的方式告知并征得监护人有效明示同意即允许儿童注册账户，并收集、存储儿童个人信息；在未再次征得监护人有效明示同意的情况下即向用户直接推送含有儿童个人信息的短视频，同时也未采取技术手段对儿童信息进行专门保护。[10]

三、短视频应用中未成年人个人信息保护的完善对策

(一)完善制度设计

首先在法律原则上，除了遵循《个人信息保护法》确立的合法、正当、必要、诚信、公开、透明等原则之外，基于未成年人的特殊性，还应确立最有利于未成年人、全方位保护、赋权与保护兼顾等原则。尽管我国个人信息保护在司法实践中体现出更有利于产业发展的倾向，而且应当与产业的健康发展共同推进，[11]但在未成年人保护领域宜采取更加严格的措施，尤其是短视频应用对于未成年人拥有巨大的吸引力，丰富的信息量和社交化的趋势要求法律对短视频应用中的未成年人个人信息保护实施更多的规制。

其次在制度内容上，一方面，应当基于应用场景来平衡未成年人充分保护和避免过度保护即“保护”与“赋权”之间的关系，在对所有未成年人普遍予以特殊保护的前提下细化年龄区段并针对不同类型的个人信息，区别设置不同的保护措施。未成年人在短视频应用中可能公开自己的肖像、形体等私密性较强的个人信息，应当以18周岁作为独立发布内容的年龄界限[12]。另一方面，可借鉴美国《儿童在线隐私保护法》(简称COPPA)中“可验证的父母同意”制度，采用通过电子邮件提交父母签署的同意书或者电话同意告知、视频通话等方式，避免未成年人逃避父母的监管和落实短视频平台的责任。另外，应当更加明确信息控制者的义务和责任，将更多的义务和责任从监护人转移至信息控制者。法律应主要通过限制信息控制者的行为而非依赖监护人的同意来避免未成年人受到侵害，对信息控制者应施加严格管理、科以承担未成年人保护的特别义务，并严惩因安全漏洞导致的数据泄漏等问题。[13]

(二)强化制度落实

首先，制度的有效执行以规范的内容明确、权利义务的边界清晰为前提。因此应完善未成年人个人信息保护的实施细则，健全操作规范，提升规则的针对性与可操作性，使未成年人个人信息保护具有明确、具体的标准与要求。例如，按照《儿童个人信息网络保护规定》第9条关于“网络运营者收集、使用儿童个人信息的，应当以显著、清晰的方式告知儿童监护人“的规定，应当要求短视频平台的隐私政策文本必须易于获得并简洁易懂，以保证监护人在充分阅读和理解的基础上做出有效的同意表示。同时，徒法不足以自行，应当设立专门统一的监管机构以确保法律和政策得到切实遵守与执行。我国目前对个人信息的保护及其监管采用网信部门统筹协调、其他有关部门在各自职责范围内分工负责的模式，造成实践中权责不清、执法效果不彰。从域外经验来看，当前世界上超过90个国家和地区设立了专门的网络隐私保护机构，如美国联邦贸易委员会作为执法和监管机构，对COPPA的落实发挥了关键性作用；根据《通用数据保护条例》(General Data Protection Regulation)的要求，欧盟、成员国和企业各层面均设置了独立、专职的信息保护监管机构。因此建议以国家互联网信息办公室为专门监管部门，统一负责对个人信息处理的监督管理和综合执法工作，以加强对平台行为的外部监管和对未成年人个人信息的保护。

其次，制度的落实和未成年人保护的实现有赖于技术的发展与可及。必须更加重视建立和健全“青少年模式”，持续优化功能设置；同时加快和鼓励技术研发，充分运用技术手段，不断寻求更好的隐私保护解决方案，包括开发专门针对未成年人的隐私友好型工具，规范和推广匿名化技术、加密技术，由国家主导建立未成年人身份识别“一站式”管理平台等。从现实中发生的案例来看，运营商若能意识到并主动承担未成年人个人信息保护的责任，大多数个人信息泄露事件都可以避免。按照目前已经成为全球共识的“隐私设计理论”，短视频平台在软件设计之初应当充分考虑未成年人的使用场景和个人信息保护需求，以提供最有利于未成年人健康成长的产品和服务。

(三)提升个人信息安全素养

个人信息保护意识是影响未成年人个人信息处理行为的重要因素，对个人信息的关注能增加其自身对个人信息的保护性管理行为，同时父母对未成年人个人信息的关注和管理行为也具有正向影响作用。如前所述，在短视频应用中未成年人个人信息的处理风险大量源于未成年人及其监护人在权利无意识下的被动甚至主动的隐私让渡，而网络时代的到来使网络知识和技能领域的理性人标准高于前网络时代，因此随着网络服务和数字技术不断更新迭代，面对近几年刚兴起的短视频应用，除了政府、社会和企业必须承担其应有的责任外，包括未成年人在内的所有用户都需要加强自我教育，与时俱进地掌握新的知识和技能。[14]

首先，未成年人及其监护人应提高个人信息风险意识，主动学习必要的网络安全技术，学会使用互联网的隐私保护功能。虽然在未成年人个人信息保护上政府和企业应当发挥更大的作用，但这不意味着能够减轻监护人的责任，监护人应规范自身的网络使用行为，切实承担起监护职责。其次，教育部门需加强个人信息安全素养教育，把有关网络安全和隐私保护的知识内容纳入教学计划，将个人信息安全素养作为网络媒介素养的重要组成部分，通过宣传、教育、培训等方式提升未成年人及其监护人的网络风险意识和自我保护能力，引导学生从小树立个人信息保护意识。再次，短视频平台以及其他个人信息处理者应当采用更加有效的方法帮助未成年人及其监护人理解个人信息处理可能产生的风险、个人信息将于何时和以何种方式被收集与使用以及上述行为的含义，从而确保未成年人及其监护人对于自身行为的性质和后果拥有必要且足够的认知。最后，国家和媒体需要进一步加强有关个人信息保护的宣传教育，扩大社会投诉举报侵害个人信息权益行为的渠道，加大对侵害个人信息权益行为的打击力度和曝光力度，司法部门应及时发布相关典型案例、对未依法履责的企业提起未成年人网络保护公益诉讼，引导和促进全民重视个人信息保护。

(四)加强行业自律

尽管未成年人需要得到特殊和严格的保护，但由于法律的局限性，完全的法律规制可能扼杀包括短视频应用在内的技术创新行业的活力。基于我国国情和实践，针对未成年人个人信息保护应采取“立法规制为主，行业自律为辅”的模式，引导行业制定具备可操作性的执行标准和评价标准，激发企业自觉遵守的内在动力，以实现行业自我管理。在未成年人网络保护的行业自律方面，美国的做法值得借鉴。美国对普通网络隐私的保护侧重于行业自律的方式，但对于未成年人网络隐私的保护颁布了更加细致、针对性更强的专门立法——COPPA，不过该法案第10条确立了“安全港”机制：相关行业自行设立的自律规范提交给美国联邦贸易委员会公开征求意见并批准后，运营商只要遵守该规范就被认为遵守了COPPA。该机制能够激发运营商的能动性，鼓励其自主开发灵活高效的隐私保护途径。因此可以借鉴美国的避风港制度，鼓励开发与时俱进的、有效的、能为业界接受且便于未成年人或监护人使用的方案，在未成年人保护和行业发展之间找到恰当的平衡点；互联网协会或网络视听节目服务协会应及时更新合规指南，邀请专家、平台及家长举办主题研讨，共同讨论解决方案。

注释：

①也有一些未成年人本人和监护人以外的第三者拍摄和发布的视频包含有未成年人的影像，从而可能泄露后者的个人信息，如一些记录校园欺凌的视频。

②隐私与个人信息并不等同，整体而言后者远远超出前者的范畴(参见王利明. 论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J]. 现代法学, 2013(4):62-72)；我国《民法典》第4编第6章也对隐私权和个人信息保护做出了分别的规定。但在网络视域下，“隐私”一词常常涵盖传统隐私和个人信息，如各网络平台的“隐私政策”都以有关个人信息的收集、使用、保护等为主要内容，而且我国现有大多学术文献在概念使用时也没有对二者做严格界分。