作者 | 王融 騰訊研究院資深專家
引言:兒童個人信息保護,難點在哪裡?
尊重和保障兒童權利是被廣泛認可的基本通識,各國個人信息保護法律中也逐步引入兒童個人信息保護。並且,基於傳統的知情同意原則,在涉及兒童個人信息的場景,考慮到兒童心智不成熟,其很難對個人信息被收集利用的後果和風險做出理性判斷,因此建立了需要徵得其父母(監護人)[1]同意的法律機制。
儘管從兒童權利視角,包括聯合國《兒童權利公約》[2]在內的官方和民間研究都已開始關注探討:兒童對其享有的隱私、個人信息相關權益處分的獨立性,以及基於兒童動態發展的考量,是否應當「充分理解、尊重不同類型兒童在不同階段的特點與能力」[3],從而質疑法律一刀切的按照兒童年齡劃分的信息處分權利差異化的合理性。但在更為合理的法律機制形成之前,我們仍主要依賴監護人同意機制來實現兒童個人信息保護。
但正如個人信息保護是個人權利、信息自由流動、公共利益等諸多正當利益之間的平衡取捨一樣,兒童個人信息保護,由於涉及權利主體與權利行使主體相分離,其在制度落地中註定遇到更多實踐問題。
兒童個人信息保護的關鍵難點,在於如何識別兒童、監護關係和監護人的知情同意。如果要求所有的實踐生活場景,都貫徹監護人知情同意原則,則意味著社會整體要為此付出相應的法律執行成本。
即使在線下環境中,鑑別兒童及其監護人也需要配套支持,包括身份證、戶口本等資料加以印證。同時,因為具有面對面接觸的條件,這種以識別用戶年齡為前提的,法律上的監護人同意要求,理論上仍可以推行,儘管這意味著巨大的社會成本付出。如我國已推行多年的電話實名制,雖然在大部分場景下具有在營業廳現場識別的便利條件,但在推進中,仍需克服許多實踐難題;
當進一步延伸至線上網絡世界中,由於物理位置的隔絕,實施監護人同意機制,更需要相關的技術手段、數據資源予以協同配合。如果不加區分地,要求所有的網絡在線服務實施監護人同意機制,將難以避免數據過量收集的問題,也顯著增加了不合理的社會成本。況且,許多線上服務對於此類數據的收集處理本身就沒有必要,例如網絡搜索服務,運營者沒有必要去收集、鑑別用戶的年齡、甚至監護人的相關信息,並獲取監護人同意。用戶在使用搜索服務時,不消說年齡驗證,即使是帳戶註冊都難以接受。因此,兒童個人信息保護(特別是網絡保護)初心雖好,但要將這美好的制度付諸實踐,則無法迴避一個核心矛盾——即如何實現合理有效的兒童保護,同時防止過量的和不必要的信息收集。
兒童個人信息保護,從哪裡借鑑經驗?
解決問題不是為了產生更多問題。有關兒童個人信息保護的討論,更多並不是純粹的法律議題,而是符合實踐場景的制度探索,經驗積累更凸顯其價值。
遺憾的是,到目前為止,作為數據保護引領者的歐盟,在這一領域的經驗乏善可陳。在美國於1998年制定《兒童在線隱私保護法》(Children’s Online Privacy Protection, 以下簡稱COPPA)時,同時代的歐盟1995年《數據保護指令》並沒有寫入兒童個人信息保護,在近20年之後,2016年出臺的《通用數據保護條例》(Genearl Data Protection Regulation, 以下簡稱GDPR)中才明確引入兒童個人數據保護,但也僅有一條主要圍繞兒童數據保護的原則性條款(第八條)[4]。
按照歐盟數據保護委員會(European Data Protection Board,以下簡稱EDPB)的慣常做法,為了澄清GDPR中的原則性條文,EDPB會出臺更為詳盡的指南來指導法規落地,截止目前,EDPB已出臺了10餘部指南回應具體執行問題,包括數據保護官,數據保護影響評估,識別主導監管機構等等[5],但遲遲未就兒童個人信息保護規定出臺更具體的指南。
GDPR將兒童的年齡設定交給了各成員國,可以在13~16周歲之間進行設定,這就造成了重大差異(比如葡萄牙設定為13歲,西班牙,14歲;法國,15歲;德國,16歲等等)[6]。更何況兒童個人信息保護在實踐中的確還存在許多懸而未決的爭議。
當然,歐盟立法者在制定GDPR時就已注意到:網絡世界中數據處理活動的多樣性,會對兒童監護人同意原則的實際落地帶來極大複雜性,因此其在有關兒童個人數據保護的核心條款——第八條中也採取了相當彈性的表述,為未來的實施預留制度空間。第八條第三款規定:數據控制者應當採取合理的努力,結合技術可行性,確保此類情形中對兒童具有父母監護責任的主體已經授權或同意。但什麼是「合理努力」,什麼是「技術可行」,一時難以給出權威答案。
相反,隱私保護執法一直以務實為顯著特徵的美國,在全球範圍內最早形成了專門的兒童在線個人信息保護法律——COPPA,在兒童個人信息保護領域已積累了20多年的制度建設與執法經驗,除了專門立法,作為執法機構的聯邦貿易委員會(Federal Trade Commission, FTC)還出臺了細則(COPPA rules)[7]、問答清單( COPPA FAQs )[8]、六步驟合規計劃(A Six-Step Compliance Plan for Your Business)[9]以及推進行業實際落地的安全港計劃(COPPA Safe Harbor Program)[10],來指導踐行兒童信息保護,這對於包括歐盟、中國等在內的,正在探索兒童個人信息保護具體機制的國家和地區,都具有重要的參考價值。
兒童個人信息保護的核心制度設計
兒童作為特殊群體,其個人信息要受到嚴格保護,其合理性和必要性毋庸置疑。但如上所述,依賴於「監護人知情同意」的保護機制在實踐中將遭遇巨大挑戰,包括如何識別兒童、監護關係和監護人的有效同意。
因此,統觀美國隱私執法機構FTC關於兒童個人信息保護的執行落地,以及其所發布的詳細規則,都始終圍繞著合理必要這一核心原則,如何在真正的社會生活實踐中,通過法律制度的設計和具體規範,來實現兒童個人信息保護目標,同時避免產生過量的負面問題。為實現這一目標,這些細則圍繞以下核心問題而展開:哪些情形需要適用COPPA?如何認定網絡服務運營者對用戶的年齡有「實際認知」?如何取得監護人的同意,包括監護人識別,有效同意的驗證?
(一)哪些情形適用?
首先需明確的是:COPPA並不適用於所有的在線服務。它所規定的監護人同意等要求僅指向以下三類情形:
1)直接面向13歲以下兒童(「Directed to children under 13」)收集兒童個人信息的網站、在線服務的運營者(即服務對象專門針對兒童);
2)適用於那些雖面向一般受眾(general audience),但對收集13歲以下兒童個人信息有實際認知(actual knowledge)的網站和在線服務運營者;
3)面向第1)類運營者提供廣告網絡或插件等服務,從而也明知收集兒童個人信息的第三方服務提供者[11]。
FTC不要求面向一般受眾的網站或服務提供者對其用戶的年齡進行調查[12]。因為,如果不對適用範圍加以限制,會導致大量面向大眾服務的網絡運營者,在本不需要去收集用戶年齡、監護人信息、監護人同意的情況下,超出業務的需要範圍開展此類數據處理活動,增加實際執行難度,也無益於數據保護,滋生新的數據安全問題。正如對COPPA的批評意見:驗證措施對隱私帶來了更大風險,運營者因此而收集、處理著大量的兒童及其監護人的敏感信息。因此FTC也著眼於實際,通過謹慎設計適用範圍,避免滋生此類問題。
(二)如何判斷運營者對用戶的年齡有「實際認知」?
網絡服務直接面向兒童(以兒童為目標群體)有著較為客觀的參考標準,例如是否具有以兒童用戶為導向的內容、服務等(如兒童動畫網站,兒童電話手錶)等等。相比較,對於面向一般受眾的在線服務,其對用戶的年齡有「實際認知」這一適用標準仍有進一步澄清的空間
對此,FTC表示:如果運營者要求並接收用戶的個人信息,使其能夠判斷用戶的年齡,運營者即對此有實際認知。例如,運營者在其網站註冊頁面要求用戶提供其年齡,用戶反饋的結果是小於13周歲的,該運營者即具有COPPA定義的實際認知。又如:運營者接到了監護人的明確投訴,也可以證明運營者對特定用戶有實際認知。今年2月,在FTC針對抖音國際版(TikTok,原稱Musical.ly),依據COPPA作出的最大一筆罰金案件中,FTC的主要證據之一是該應用收到了大量來自父母的投訴,表明對其特定的兒童用戶有明確認知[13]。
那麼,如果用戶在年齡問題上說謊,以便註冊一般受眾網站或參與運營者禁止兒童參與的網絡服務時,該如何判斷運營者的責任?對此,FTC再次強調了COPPA並不要求一般受眾網站詢問訪問者的年齡。如果此類運營者選擇以中性方式(比如客觀問詢用戶的出生日期)篩選其用戶的年齡,判斷是否屬於兒童,就取決於用戶輸入的出生信息,即使用戶提供的年齡信息是不準確的。因此,在一些情況下,這可能意味著兒童能夠在違反運營者服務條款情況下註冊網站或服務,此時運營者並不承擔相應責任。除非有其他證據表明,運營者能夠確定用戶是13歲以下的兒童。
因此,在實踐中,對於一般受眾網站,大部分會在隱私政策中明確要求:如果沒有監護人的同意,未成年人不得創建個人帳戶。用戶是未成年人的,應當請監護人仔細閱讀隱私政策,並在徵得監護人同意的前提下使用服務。這在FTC執法實踐中被予以認可,也是全球網際網路企業普遍採用的做法。例如:Google、Facebook、Twitter的隱私政策和用戶協議都包含有此類條款。
(三)哪些情形有例外?
FTC在細則中詳盡羅列了不需要獲得可識別的監護人同意的例外情形,例如:為了取得監護人的同意,運營者可能需要收集兒童及其監護人的姓名,以及監護人的網上聯繫方式,通過該聯繫方式向監護人告知其收集兒童個人信息的目的、方式,以徵求其同意。對於這種合理的數據收集,FTC認為運營者有其合法基礎,前提是如果監護人在合理期間內沒有做出同意的回覆,運營者應當及時刪除兒童及其監護人的個人數據。
類似的合理例外還有很多,例如:出於保護兒童安全的目的,出於響應兒童需求的目的(前提是符合一次聯繫原則,後續不再主動聯繫兒童);出於在線服務提供者內部運營管理的需要,對兒童網絡識別信息(如IP位址)的處理等等,此類都可以豁免監護人同意要求。
同時,為了保證兒童參與網絡活動的權利,COPPA還對「父母同意」原則設計了一些例外:
即使沒有父母同意,允許兒童通過電子郵件提問;當兒童從網上獲得時事信息時,可以沒有父母同意,只要父母被通知並有權取消這些信息;當兒童從事聯邦貿易委員會認為必要的活動時。這一制度經驗在歐盟GDPR也有所借鑑,GDPR的背景引言(Recital38)也做出了類似的排除:在直接向兒童提供預防或諮詢服務時,不必取得兒童監護人的同意。
(四)在適用COPPA後,應履行哪些合規義務?
首先,應發布符合COPPA規定的隱私政策
隱私政策必須清晰且全面描述13歲以下兒童信息是如何被收集及處理的。對於直接面向兒童的網絡服務,應當在其網站首頁連結隱私政策,如果網站或服務面向的是一般公眾,但是有一個單獨部分面向兒童,則應當在該網頁的首頁連結隱私政策。
其次,應告知監護人並獲得同意
COPPA要求在收集兒童信息時應當向監護人告知,並獲得監護人可識別的同意。什麼才是可識別的父母同意,COPPA沒有對此進行限定,僅要求運營者要採取合理努力,並結合了能夠利用的技術手段,能夠合理推斷出作出同意的是孩子的父母。這種立法表述顯然也被GDPR所參考效仿。
最後,監護人的其他持續性權利
在獲取監護人的同意,收集處理兒童個人信息後,運營者應當保證監護人能夠繼續行使其合法權利,包括訪問、刪除兒童個人信息的權利。同時也應當採取合理措施保證信息安全。特別是出於安全考慮,如果運營者已刪除了相關個人信息,從而並不能支持監護人行使訪問權,這本身並不違法。
兒童個人信息保護,仍有許多細節性的實務問題
關於兒童個人信息的保護不止於法律層面的討論,相反,充斥這一議題的,更多是實務話題。這也是為什麼FTC就COPPA的合規落地發布了大量指南的主要原因,包括面向運營者的合規指南(其中還包括專門針對中小企業的合規指南),以及家長、學校的權利指南。除了細則指南外,FTC還發布了詳盡的Q&A,通過問答清單來回應實踐困惑。篇幅所限,我們僅截取問答清單中的典型問題,來說明兒童個人信息保護在實踐落地時需要直面及回應的多樣疑問。
Q1:如果孩子們在我的一般受眾網站上的註冊過程中撒謊, 我會負責嗎?
A:COPPA並不要要求一般受眾網站對註冊用戶進行甄別,但是一旦知道用戶是兒童,就受到規制。
Q2:我是否可以阻止13歲以下兒童使用我的一般受眾網站?
A:可以。如果您選擇在一般受眾網站或服務中阻止13歲以下的兒童, 您應該設計您的頁面,頁面設計的方式不鼓勵孩子偽造他們的年齡來訪問您的網站或服務。
Q3:如果我運營一般受眾網站,用戶可以建立自己的博客頁和在線論壇,如果兒童用戶發布了個人信息,但是此前並無可顯示其年齡的信息,我是否違反COPPA?
A:這種情況COPPA並不規制。但是如果你收到了其他用戶的舉報,或通過其他方式了解到該用戶為兒童,就應啟動COPPA的合規程序。
Q4:使用信用卡或者政府籤發的身份驗證信息作為父母同意的方式,我是否還需要收集其他信息以驗證作出同意的是父母?
A:不需要。這兩種方式足夠證明運營者履行了COPPA義務。
Q5:我是針對兒童的應用程式的開發者,我是否可以通過第三方,例如應用商店,來代表我獲得父母同意呢?
A:可以的,只要你能確保其符合COPPA的要求。
Q6:如果我的兒童網站上有個「諮詢作者」部分,兒童可以發送電子郵件諮詢問題,我是否需要提供通知並徵得父母的同意?
A:如果你只是回答兒童的問題然後刪除兒童的郵件地址,那麼你就符合「一次聯繫」例外情形,並不需要獲得父母同意。
Q7: 教育機構可否向網站或者應用收集和披露兒童數據做出同意?
A:可以。很多學校與第三方網站運營者籤署合同,為兒童利益提供在線服務。運營者必須向學校做出告知,並取得學校的同意。
Q8:COPPA是否禁止成人,例如父母,祖父母,教師或者教練上傳包括兒童照片在內的個人信息?
A: COPPA僅僅適用於從兒童處收集的信息。它並不適用於從成人處收集的包含有兒童個人信息的情形。
Q9:我運營了一個面向兒童的APP。兒童用戶可以上傳照片,並採取各種方式裝飾照片,但是APP不會將包括照片在內的任何信息從兒童的設備上傳輸到其他地方。這種情形屬於COPPA所界定的信息收集麼?
A:不屬於。因為你的APP所交互的信息存儲在用戶的終端上,從未傳輸,這種情況性不屬於「收集」個人信息。
上述問答清單,對於指導企業實現合規,推動兒童個人信息保護的實際落地發揮了積極作用。此外,FTC還通過市場化的手段,推進發展COPPA安全港項目。通過FTC安全港認可的行業組織,可以保證組織內部的成員符合COPPA要求,這使得兒童個人信息保護能夠通過行業自律方式得到廣泛實施[14],截止目前,FTC批准的機構有七家,這些公司或行業機構也可以作為第三方向市場上的在線服務企業提供兒童個人信息保護諮詢和解決方案。
結語:兒童個人信息保護,仍應在生活場景中探尋方案
尊重和保障兒童權利,是保護兒童個人信息的本源。映射在當下的數字生活中,它不應當僅僅是權利宣誓的烏託邦,而應真正走入生活,走入家庭,走入兒童。它要求我們的制度設計應回歸實踐,實事求是,通過設計真正有效合理的制度規範,來幫助監護人在兒童信息的收集處理中發揮控制力;同時,這種制度規範的實施成本又不至於太過高昂,與社會生活相脫節,而淪為束之高閣的無用條框,甚至帶來更多負面問題。
本文所展示的美國立法與監管機構在這一領域的制度經驗,正是在權利與實踐這兩個維度的務實探索,儘管並不完美,但其探索模式是值得借鑑的——即應回歸到社會生活的場景,特別是當下的數字生活場景,合理分配各方義務,實現「社會——平臺——家庭——學校——兒童自身」多方一體的保護體系,並使其得到真正有效運轉。
兒童個人信息保護是兒童網絡保護的組成部分,與最大程度的保護兒童免受包括網絡有害內容、網絡沉迷、網絡欺凌等負面影響一樣,需要在實踐中探尋多種解決方案,且彼此的保護體系應相互銜接。比如,在有害內容預防方面,從內容過濾軟體,到應用、設備服務商提供的兒童模式,都可以成為兒童個人信息保護的有效落地方式;現有的預防網絡沉迷制度,包括網絡使用時長控制,也遠比兒童個人信息保護制度的監護人同意規則幹預程度更加深入,平臺向監護人提供的監護便利也更加全面。這些,都應當成為兒童個人信息保護中需要考慮的現實基礎。
我們期待,各方參與共同探討,終究會形成更加務實和科學的優化方案,實現兒童網絡權利保護的初心,為兒童提供一個更加安全、可靠、健康的數字成長環境。
[7]COPPA rules制定於2000年,並於2013年修訂更新。
https://www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-rule
[8]http://www.business.ftc.gov/documents/0493-Complying-with-COPPA-Frequently-Asked-Questions
[9]https://www.ftc.gov/tips-advice/business-center/guidance/childrens-online-privacy-protection-rule-six-step-compliance
[10]https://www.ftc.gov/safe-harbor-program
[11]這裡需進一步澄清:儘管COPPA明確了商業性網站是其規制的對象,但依據聯邦法律要求,COPPA同樣也適用美國政府部門收集處理兒童個人信息的活動。
[12]https://www.ftc.gov/tips-advice/business-center/privacy-and-security/children's-privacy
[13]https://www.ftc.gov/enforcement/cases-proceedings/172-3004/musically-inc
[14]包括:Aristotle International Inc;Children’s Advertising Review Unit (CARU);Entertainment Software Rating Board (ESRB),IKeepSafe;kidSAFE;Privacy Vaults Online, Inc. (d/b/a PRIVO),TRUSTe。