对在线收集未成年人个人信息行为的法律规制

("龙源期刊网http://www.qikan.com.cn对在线收集未成年人个人信息行为的法律规制作者：崔耀来源：《法制博览》2013年第09期作者简介：崔耀（1989-），男，山西天镇人，法学硕士，北京邮电大学人文学院民商法专业研究生。【摘要】未成年人的个人信息保护属于特殊领域的个人信息保护，由于其主体的特殊性，不能简单套用一般的保护原则及方法，需要进行特别的研究。本文立足于我国目前对在线收集未成年人个人信息行为的规制现状，借鉴美国《儿童在线隐私保护法》的主要规定及安全港规则，提出对在线收集未成年人个人信息行为的若干法律规制建议。【关键词】个人信息保护；未成年人；法律规制一、引言2011年的《中国未成年人互联网运用及社交网络运用状况调查报告》显示，我国未成年人互联网使用普及率达到91.4%，家庭互联网普及率达82.0%。就抽样情况来看，这些被调查学生的情况，可能代表了我国城市（县级市以上）在校学生的普遍情况。这表明互联网已经成为未成年人的必需品，我们必须正视未成年人的上网安全问题，尤其是未成年人个人信息安全问题。①对未成年人个人信息的在线收集行为，是未成年人个人信息面临危险的根源，特别是商业网站在线收集未成年人个人信息的行为。故本文主要讨论对商业网站在线收集未成年人个人信息行为的法律规制。二、未成年人个人信息面临的危险“根据儿童网络国际（ChildnetInternational”）的观点，未成年人网络危险主要来自三个方面：联系性危险（ContactDanger）、内容性危险（ContentDanger）和商业性危险（CommercialismDanger）。联系性危险是未成年人通过网络与他人联系后，在现实空间里进一步同他人进行接触所带来的危险，其典型就通过社交网络而带来的危险；内容性危险是指网络内容的暴力性和色情性等；商业性危险是商业机构（主要是商业网站）在商业利益的驱动下，收集未成年人个人信息而给未成年人带来的危险。②儿童网络国际提到的三种未成年人网络危险源中，第三种危险源与未成年人的个人信息保——护息息相关。针对于此，美国制定了专门的法律《儿童在线隐私保护法》（TheChildren'sOnlinePrivacyProtectionAct）来保护未成年人的个人信息不被商业网站随意收集，法律实践中也积累了很多相关的案例。如，2008年，美国联邦贸易委员会向曼哈顿联邦法院提起民事诉讼，指控SonyBMG音“乐娱乐公司触犯《儿童在线隐私保护法》。起诉方表示：SonyBMG音乐娱乐公司收集并利龙源期刊网http://www.qikan.com.cn”用了儿童的个人信息，但是没有向这些儿童的父母通知索尼的这一举动。SonyBMG音乐娱乐公司自2004年以来收集了3万名13岁以下儿童的个人信息，而索尼在网站上注明了儿童不得注册。索尼音乐的网站所收集的信息包含了注册人的姓名、地址、手机号码、电子邮箱地址、出生日期、邮政编码、用户名和性别等信息。最终，SonyBMG音乐娱乐公司和联邦贸易委员会达成和解，SonyBMG音乐娱乐公司同意支付100万美元的罚金，并聘请一位法律专员来避免此类现象的发生。③相比美国，我国未成年人的个人信息同样面临着商业性危险。不同的是，这一危险并没有引起足够的重视，而现有的法律也没能发挥应有的作用来保障未成年人的个人信息安全。三、我国对商业网站在线收集未成年人个人信息行为的规制现状（一）现行法律法规及其存在的问题目前我国逐步制定了一些对公民个人信息保护的法律法规，但是它们一方面很少对商业网站在线收集未成年人个人信息行为进行专门的规定；另一方面立法层级普遍较低且不成体系，执行上也存在很大问题。1.现行法律法规我国现行涉及商业网站在线收集未成年人个人信息的法律法规主要有三类：一是对此有直接规定的；二是规定了一般的个人信息保护的同时也涵盖了商业网站在线收集未成年人个人信息行为的；三是通过规定隐私权、人格尊严等与个人信息相关的范畴来保护未成年人的个人信息。第一类中没有狭义的法律，只有一些低层级的法律法规，如2003年修正的《北京市未成年人保护条例》第49“……条：任何组织和个人未经未成年人的监护人同意，不得在互联网上”收集、使用、公布未成年人的个人信息。第二类中有全国人大常委会的决定和一些部门规章等，如2012年12月28日十一届全国人大常委会第三十次会议表决通过的《关于加强网络信息保护的决定》（以下简称《决定》）。该《决定》的第1-3条、第8条规定了公民的个人信息保护。其中第2“条规定：网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民”个人电子信息，应当公开其收集、使用规则。该条规定明确了收集了公民个人信息所应遵循的规则，同时也是对商业网站在线收集未成年人个人信息行为的规制。再如部门规章中的《互联网安全保护技术措施规定》第4“条规定：互联网服务提供者、联网使用单位应当建立相应的管理制度。未经用户同意不得公开、泄露用户注册信息，但法律、”法规另有规定的除外。《互联网电子邮件服务管理办法》第9“条规定：互联网电子邮件服务”提供者对用户的个人注册信息和互联网电子邮件地址，负有保密的义务。龙源期刊网http://www.qikan.com.cn第三类的法律中比较典型的有《中华人民共和国未成年人保护法》第39“条：任何组织或”者个人不得披露未成年人的个人隐私。《中华人民共和国侵权责任法》第2条则确定了公民的隐私权，一些侵犯未成年人个人信息的行为同时也侵犯了未成年人的隐私权。2.现行法律法规存在的问题针对商业网站在线收集未成年人个人信息行为的立法主要存在以下问题：（1）立法层级较低且缺乏体系性。目前，涉及到商业网站在线收集未成年人个人信息的法律法规很多都停留在部门规章、地方性法规的阶段，较低的立法层级使得其法律效力、适用范围大受限制。而且这些法律法规非常分散，相互之间也缺乏联系，没有一个体系化的结构。（2）缺乏对未成年人个人信息的特别保护。现有的多数个人信息保护法律缺乏对未成年人的特别保护。未成年人的个人信息保护属于特殊领域的个人信息保护，由于其主体的特殊性，不能简单套用一般的保护原则及方法，需要特别的保护。（3）多数法律法规缺乏对收集未成年人个人信息行为的规制。类似于《未成年人保护法》等法律，更强调商业网站等收集未成年人个人信息后的安全保障义务而缺乏对收集未成年人信息行为的规制。（4）法律规定过于模糊，缺乏可操作性。目前，针对商业网站在线收集未成年人个人信“……息行为的规制，多是类似于任何组织和个人未经未成年人的监护人同意，不得在互联网”上收集、使用、公布未成年人的个人信息。这样的规定。然而这样轻描淡写原则化的规定实在难以应对纷繁的现实世界，执行起来也不知从何着手。抽象的法律必须指标化才能在实践中得以良好的执行。而现行法律规定缺乏起码的保护未成年人个人信息的基本原则；未成年人对其个人信息的基本权利；商业网站收集、利用、传递未成年个人信息的规则；执行机制；监督机制以及责任后果的承担等基本内容。（二）行业规范及其存在的问题1.国家的技术标准——我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称《指南》）于2013年2月1日实施。《指南》最显著的特点是将个人信息分为个人一般信息和个人敏感信息，并提出了默许同意和明示同意的概念。对于个人一般信息的处理可以建立在默许同意的基础上，只要个人信息主体没有明确表示反对，便可收集和利用。但对于个人敏感信息，则需要建立在明示同意的基础上，在收集和利用之前，必须首先获得个人信息主体明确的授权。这项标准还正式提出了处理个人信息时应当遵循的八项基本原则，即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。同时，《指南》还规定了未成年人个人信息收集的特别规则，5.2.7“条规定：不直接向未满16周岁的未成年人等限制民事行为能力或无行为能力人收集个人敏感信息，确需收集其个”人敏感信息的，要征得其法定监护人的明示同意。龙源期刊网http://www.qikan.com.cn“”该《指南》的出台意味着我国个人信息保护已经进入了有标可依的阶段。但是在对商业网站在线收集未成年人个人信息行为的规制方面还存在不足。《指南》提到收集未满16周岁未成年人个人敏感信息要征得其法定监护人的明示同意。问题是如何去界定未成年人的个人信息？《指南》3.7“条规定：各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿”和各自业务特点定。然而，未成年人本身作为限制民事行为能力人或者无民事行为能力人其对个人信息是否是敏感信息的判断能力是不充足的。在未成年人本身无法充分辨认什么是敏感信息的情况下，只对其敏感信息进行特别保护是不周延的。2.中国互联网协会制定的行业自律规范中国互联网协会作为中国互联网行业的全国性组织，由其牵头制定的一些行业规范在个人信息保护领域起到了一定行业自律的作用。比如2012年11月1日发布的《互联网搜索引擎服务自律公约》第10“条规定：搜索引擎服务提供者有义务协助保护用户隐私和个人信息安全，”收到权利人符合法律规定的通知后，应及时删除、断开侵权内容链接。④再比如2011年8月1日发布的《互联网终端软件服务行业自律公约》第9条第1“款规定尊重用户知情权和选择权（一）收集、使用和保存用户个人信息时应当明确告知用户，包括告知用户收集、使用和保存的目的及范围；未经用户同意，不得擅自收集、使用和保存用户个人信息，不得超越目的和范围收集、使用和保存用户个人信息；除用户明确同意或者法律另有规定外，不得以任何理由向”第三方提供用户个人信息。⑤然而上述行业自律规范在未成年人个人信息保护方面存在不足，一方面没有对未成年人个人信息保护做出特别规定；另一方面规范往往只强强调不要做什么，对违反后的惩罚措施却没有规定，这就使得规范的执行存在很大缺陷。四、对美国《儿童在线隐私保护法》的借鉴《儿童在线隐私保护法》在规制商业网站在线收集未成年人个人信息方面为我们提供了一些有益的立法经验，因此我们十分有必要了解这部法律以资借鉴。（一）《儿童在线隐私保护法》简介美国非常重视对未成年人个人信息的保护，认为未成年人的个人信息保护应该是最为优先的，其重要性要高于一般的个人信息保护。他们专门制定了《儿童在线隐私保护法》来保护未成年人的个人信息安全。《儿童在线隐私保护法》的主要规定是：要求商业网站以及那些面向13岁以下儿童收集信息的网站和在线服务者，在收集儿童个人信息前要向其监护人发出有关信息收集的通知，并得到其监护人可验证的同意；除此之外还要求网站保证其监护人有可能修改和更正这些信息。《儿童在线隐私保护法》保护儿童个人信息的同时还保证儿童在言论、信息搜索和发表等方面的权利不受到负面影响。《儿童在线隐私保护法》管理儿童个人信息的收集，但并不包括儿童相互之间收集信息。保留了儿童在线交流的权利，如允许面向儿童的网站即使没有父母的同意，“”也可以提供聊天和其它服务，只要在交流公开化之前，隐藏所有的个人信息。这些规定保护了网站继续为儿童提供交流的机会，同时也保护了他们的个人信息安全。龙源期刊网http://www.qikan.com.cn《儿童在线隐私保护法》的突出特点是其在法律执行层面上的创新，它是业界自律模式吸收积极立法主义的典型。《儿童在线隐私保护法》并不是一味地通过限制商业网站的行为来保护儿童的个人信息，它还考虑到了网络业界发展的需要，所以该法鼓励业界在保护儿童个人信息方面设立行业规范，即业界可依其需要及属性制定保护儿童个人信息的自律规范，该规范经联邦贸易委员会批准后即成为安全港，有关的商业网站只要遵守该规范就被认为遵守了相关要求，可以免责，⑥这就是所谓的安全港规则。安全港规则是《儿童在线隐私保护法》所创设的制度，它的实质是把行业自律与法律规制衔接起来了，既克服了法律的僵化，同时也克服了行业自律执行力差的缺陷。（二）《儿童在线隐私保护法》的借鉴《儿童在线隐私保护法》带给我们一点启示：规制商业网站在线收集未成年人个人信息行为的核心在于，如何在不影响未成年人正常利用网站及网站正常发展运营的前提下，保护未成年人的个人信息安全。我们寻求的是保护未成年人个人信息安全与避免加重商业网站负担间的“”“”平衡。同时，在借鉴《儿童在线隐私保护法》的主要规定和安全港规则的过程中，我们还要考虑到法律本土化的改良问题。五、法律规制建议对商业网站在线收集未成年人个人信息行为的法律规制，一方面需要高层级、体系化的个人信息保护立法及未成年人个人信息的特别保护；另一方面需要确立（主要是商业网站）在线收集未成年人个人信息行为的具体规则。（一）高层级、体系化的立法目前，涉及到商业网站在线收集未成年人个人信息的法律法规很多都停留在行政法规、地方性法规的阶段，较低的立法层级使得其法律效力、适用范围大受限制。应设立针对所有未成年人的高层级、体系化的立法。体系化的法律结构一是可以加强法律内部条文的联系；二是可以利用法律体系内的法律原则弥补法律漏洞；三是可以维持法律内部的一贯性。⑦针对商业网站在线收集未成年人个人信息行为的立法应属于特殊领域的个人信息保护立法。但是我们不光要进行针对性的立法还要兼顾个人信息保护的一般性立法。这就是立法的体系化的考量。首先，我们要完善一般个人信息保护立法，确立个人信息保护的一般原则；收集、利用公民个人信息的一般规则；公民对其个人信息享有的权利；侵犯公民个人信息的责任承担等基本内容，这样才能使特殊领域的个人信息保护不是没有足够基础规范的空中楼阁。其次，针对商业网站在线收集未成年人个人信息行为的特殊领域立法还要有其特别法的特别规定，如：未成年人个人信息保护的特别原则及商业网站在线收集未成年人个人信息的具体规则等等。（二）未成年人个人信息保护的特别原则未成年人不仅仅是社会中的弱势群体，而且关乎社会未来的发展，所以世界范围内都特别重视对未成年人的保护。1989年11月20日第44届联合国大会第25“号决议通过的儿童权利公约（ConventionontheRightsofChild”“”）确立了未成年人保护的儿童最大利益原则，阐明了未成年人保护的重要性。龙源期刊网http://www.qikan.com.cn我国也是该公约的签署国，所以针对商业网站在线收集未成年人个人信息行为的特殊领域立法也要遵循这一原则。公约第3条第1“”款最为典型地反映了儿童最大利益原则，它明确规“定：关于儿童的一切行动，不论是由公私社会福利机构、法院、行政当局或立法机构执行，”均应以儿童的最大利益为一种首要考虑。公约的这一规定为未成年人信息保护的特殊领域立法开释了精神方向；明确了价值追求。“”然而，我们在借鉴《儿童在线隐私保护法》过程中，我们也得到了平衡原则的启示：在保护未成年人个人信息安全与避免加重商业网站的负担之间寻找平衡。“”“”在此，儿童最大利益原则和平衡原则似乎是矛盾的，但是，法律原则的矛盾是不可避免的，因为它们体现了不同的价值追求。这就好像是公平和效率的矛盾一样，每一个都很重要，但又不能完全兼得。所以我们要在两个原则间进行具体的考量，在不同的情况下做出权衡。毫“”无疑问，儿童最大利益原则应当是未成年人个人信息保护中的首要原则。但是具体的法律环境中我们也要考虑到其他主体的利益，如本文主要讨论的商业网站在线收集未成年人个人信息的问题上，我们还要考虑商业网站的利益，如果为了保护未成年人的个人信息而给商业网站施加过多负担以至于阻碍它的发展，那么就会导致商业网站无法为未成年人提供优质服务的后果，这对未成年人的发展也是不利的。“”综上所述，儿童最大利益原则应当是未成年人个人信息保护中的基本原则，由此确立未成年人个人信息更高的保护标准，而在商业网站在线收集未成年人个人信息行为的法律规制中，“”还应考虑平衡原则，以尽量减轻商业网站的负担。（三）未成年人的个人信息权利我国现有的个人信息保护法律及相应的技术标准，已经明确了公民的个人信息权利，但是“”还不足以保障未成年人的个人信息安全。在儿童最大利益原则的指引下，对未成年人的个人信息保护的范围及力度理应加大。首先，对未成年人的个人信息不应有一般信息和敏感信息之分，对未成年人的所有个人信息的收集都必须要征得其监护人的可验证的同意。其次，针对未成年人这一群体的特殊性，他们作为无行为能力人或者限制行为能力人，存在认识能力、行为能力的不足，对自己的个人信息的保护意识和能力不强。所以，对未成年人个人信息的保护还需要确立其监护人对未成年人的个人信息的某些权利。1.商业网站收集未成年人个人信息应得到被收集个人信息的未成年人的监护人的可验证的同意。2.保证监护人的知情权，即商业用户需告知未成年人的监护人其收集未成年人个人信息的方式、收集的内容及信息的利用情况等。3.应赋予监护人修改、更正、要求删除这些信息的权利，同时收集未成年人个人信息的商“”业网站需要证明自己有能力在必要的时间内保护这些未成年人的个人信息，并在其后进行安全删除。龙源期刊网http://www.qikan.com.cn（四）商业网站在线收集未成年人个人信息的具体规则“”对商业网站在线收集未成年人个人信息行为进行法律规制的关键在于可验证的同意的执行及安全港规则的本土化。1.“”可验证的同意的执行“”商业网站收集未成年人个人信息应得到其监护人的可验证的同意是《儿童在线隐私保护“”法》规定的主要内容，也是它备受争议的一条。很多人认为所谓的可验证的同意在实际中很难操作，一方面会增加商业网站的运作成本，另一方面也难以达到预想的效果，比如通过父母的电子邮件进行验证，但在实际生活中未成年人很容易就能得到其父母的电子邮箱，如果利用父母的社保账号等内容则又容易造成新的个人信息泄露。其实，说到这一条的执行问题，我们不妨先想想设立这一条时，立法者的初衷：首先，未成年人的个人信息要保护；其次，不能给商业网站施加太多负担阻碍行业发展。这两点确定后，我们就会发现其实这两者之间并非有着多么难以逾越的矛盾。商业网站的业务开展并非必须收集未成年人个人信息不可。如果抬高合法收集未成年人个人信息的门槛，那么商业网站对未成年人个人信息的收集行为及相关业务固然难以开展，但是还不会导致商业网站有生存的压力。而另一方面，我们保护未成年人个人信息的目的却也一定程度上达成了。所以，关于这一条的执行难的问题其实并不是那么突出。我们可以把门槛设的高一点，要求商业网站需要获得未成年人监护人的签字授权书。当然随着电子签名等技术的发展，监护人的签名、授权书的形式也可以多样化。必须要特别提出的一点就是对商业网站在线收集未成年人个人信息行为进行法律规制，主要是针对专门收集未成年人个人信息的商业网站，而对于无针对性的个人信息收集的网站则适用一般的个人信息保护规则。因为商业网站无力一一识别其用户的年龄，如果把识别用户的责任强加给商业网站的话，则大大超过了保护未成年人个人信息的限度，不利于社会的发展。这“”也是平衡原则的体现。2.安全港规则的本土化规制商业网站在线收集未成年人个人信息行为的价值取向在于寻求保护未成年人个人信息安全与避免加重商业网站负担间的平衡。通过立法的手段可以给予未成年人个人信息安全的基本保障，但是这里面有一个矛盾的地方在于法律也有其固有的缺陷如滞后性、僵化性等，使得法律难以跟上技术、行业发展的脚步。那么所谓保护未成年人个人信息安全与避免加重商业网站负担间的平衡就难以找到。所以我们要鼓励商业网站去制定自己的行业规范，一方面能贴合商业网站自身的情况；另一方面也有利于商业网站的长远发展。最重要的是商业网站所制定的行业规范不能与法律相冲突且要报政府机关备案、确认。然而，安全港规则毕竟是美国的制度，我们必须要考虑其本土化的改良问题。我们不能把我们的行业自律规范和法律进行简单结合就认为形成了我们的安全港规则。安全港规则的有效施行不光要靠法律和行业规范形式上的结合，还需要保证法律和相应的行业规范本身是良法、良规。同时还要有相应地法律制度的支撑。龙源期刊网http://www.qikan.com.cn具体而言，要建立我国相应的安全港规则，首要任务在于先建立起商业网站违法在线收集未成年人个人信息的责任承担机制：（1）明确责任承担的主体即专门收集未成年人个人信息的商业网站；（2）明确相应地举证责任，商业网站应证明自己已经得到被收集个人信息的未成年人的监护人的可验证同意，否则即承担侵权责任；（3）明确责任承担的范围；（4）由于商业网站收集行为的隐蔽性及对未成年人特别保护的需要还应强调报备机关（接受商业网站行业自律规范备案的政府机关）的主动监督义务。只有使商业网站的违法成本显著提高，他们才会有动力去制定有效的行业规范进而形成安全港。所以，安全港规则的本土化，关键在于建立起使之能良好运行的制度土壤。注释：①中国少先队事业发展中心.2011中国未成年人互联网运用及社交网络运用状况调查报告[EB/OL].www.china61.org.cn，2012-12-5.②儿童网络国际.儿童网络危险来源[EB/OL].http：//www.childnet-int.org，2013-1-31.③腾讯科技.索尼音乐触犯儿童网上隐私法规被罚百万美元[EB/OL].http：//tech.qq.com/a/20081211/000320.htm，2013-3-31.④中国互联网协会.《互联网搜索引擎服务自律公约》[EB/OL].http：//www.isc.org.cn/hyzl/hyzl/listinfo-25501.html，2013-5-4.⑤中国互联网协会.《互联网终端软件服务行业自律公约》正式发布[EB/OL].http：//www.isc.org.cn/hyzl/hyzl/listinfo-14324.html，2013-5-4.⑥蒋玲.美国儿童网络隐私保护概况及其启示[J].四川图书馆学报，2009（5）：77-80.⑦黄茂荣.法学方法与现代民法[M].北京：法律出版社，2007：630-642.",)