儿童在线保护事实上包含两个维度的问题,一是儿童作为个人信息所有者、在接触网络时候基于上网行为引发的“个人信息保护”,二是儿童作为信息接收者、同样是基于上网行为而被动接受网络世界中的信息,由此引发的“内容安全”问题。值此六一国际儿童节之际,特写此文对于世界主要司法辖区基于上述两个问题的法律法规与治理现状做一梳理,与诸位探讨。
目前世界主要司法辖区有关“儿童在线保护”的法律规定,并没有明确区分“儿童隐私保护”与“儿童上网安全”两类数据,而是基本混同一起来进行治理,而且关于如何平衡儿童“信息自决权”以及儿童“言论自由、认知自由”的规定也较少涉及,英国的《适龄儿童准则》算是其中不多数讨论到要保护儿童的“探求世界自由”的法律。
早在1989年的《联合国儿童权利公约Convention on the Rights of the Child》中就已提到:“儿童享有自由发表言论的权利;思想、信仰和宗教自由的权利;结社自由及和平集会自由的权利(第13~15条)。儿童的隐私家庭、住宅或通信不受任意或非法干涉(第16条)。各国应保护儿童免受身心摧残、伤害或凌辱,忽视、虐待或剥削,包括性侵犯(第19条)。”
一、中国
中国目前有关儿童在线保护的法律法规如下图所示(截至2022年5月26日):
还有图中未纳入的2022年5月9日由四部委联合发布的《关于规范网络直播打赏 加强未成年人保护的意见》(中央文明办、文化和旅游部、国家广播电视总局、国家互联网信息办公室联合发布)。
其中由个人信息领域的“基本法”《个人信息保护法》、《数据安全法》、《网络安全法》提供一般保护,将“儿童”定义为“十四岁以下未成年人”,并规定“个人信息处理者处理十四岁以下未成年人的信息需要监护人同意”;再由《未成年人保护法》(2021修订)、《未成年人网络保护条例(征求意见稿)》(网信办2022)、《儿童个人信息网络保护规定》(网信办2019)、《关于规范网络直播打赏 加强未成年人保护的意见》(中央文明办、文化和旅游部、国家广播电视总局、国家互联网信息办公室)提供相关领域的特殊保护。涉及到的主要内容为:
1.个人信息的收集与处理:十四岁以下未成年人需要监护人同意;
2.《未成年人保护法》中增设“网络保护专章”:处理未成年人信息,需“遵循合法、正当和必要的原则”;“处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意”;“应监护人要求及时对未成年人信息采取措施予以更正、删除;”“投诉、举报危害未成年人信息;”“任何组织或者个人发现网络产品、服务含有危害未成年人身心健康的信息,有权向网络产品和服务提供者或者网信、公安等部门投诉、举报。”
3.要求网络服务提供者行为规范:网络服务提供者发现用户发布、传播可能影响未成年人身心健康的信息且未作显著提示的,应当作出提示或者通知用户予以提示;未作出提示的,不得传输相关信息。网络服务提供者发现用户发布、传播含有危害未成年人身心健康内容的信息的,应当立即停止传输相关信息,采取删除、屏蔽、断开链接等处置措施,保存有关记录,并向网信、公安等部门报告。网络服务提供者发现用户利用其网络服务对未成年人实施违法犯罪行为的,应当立即停止向该用户提供网络服务,保存有关记录,并向公安机关报告。
4.对于重要互联网平台附加更严格的责任义务机制:根据《互联网平台分类分级指南(征求意见稿)》以及《互联网平台落实主体责任指南(征求意见稿)》,对于重要互联网平台课以更严格的保障未成年人数字权益义务。
5.单项规定:《关于规范网络直播打赏 加强未成年人保护的意见》中强调:
禁止未成年人参与直播打赏:严格落实实名制要求,禁止为未成年人提供现金充值、“礼物”购买、在线支付等各类打赏服务;
严控未成年人从事主播:网站平台应加强主播账号注册审核管理,不得为未满16周岁的未成年人提供网络主播服务,为16至18周岁的未成年人提供网络主播服务的,应当征得监护人同意。
优化升级“青少年模式”:优化模式功能配置,在首页显著位置呈现,便于青少年查找和家长监督,严禁提供或变相提供各类“追星”服务及充值打赏功能。
建立专门服务团队:优先受理、及时处置相关投诉和纠纷。
规范重点功能应用:榜单、“礼物”等。
加强高峰时段管理:平台应在每日22时后,对“青少年模式”下的各项服务强制下线。
加强网络素养教育
可以看到我国关于此领域的治理,已有相对健全的立法体系,但是过于原则、粗放,缺乏更具体的条文指引,也有企业先行的实际操作模式(比如业界通行的“青少年模式”),但是缺乏统一的实操标准。并且对于如何保障儿童知情权、言论自由等问题并没有涉及。
二、美国
美国主要是借助其隐私保护的规则进行调整。在联邦法律层面,早期即有《儿童互联网保护法》(CHIPA ),将儿童同意采集信息的年龄定为14岁;之后的《儿童在线隐私法》(Children"s Online Privacy Protection Act)又降为了13岁。同时借助其1974年的《隐私权法》(Privacy Act)提供一般保护,针对联邦行政部门收集、利用和保护个人数据等方面做出规定。以及1914年的《联邦贸易委员会法》(Federal Trade Commission Act),依据此法判定公司是否在消费者数据隐私保护方面存在不公平或欺骗行为,并采取执法行动。从“不正当或欺骗性行为角度”对个人信息的“兜底式”保护,并对商业领域数据、数据安全、网络广告、行动跟踪和其他数据密集型商业行为进行监管。
此后美国陆续在各州推行隐私保护单行立法,目前已有五部州级的隐私立法,即:《加州消费者隐私法》(CCPA,2018年6月28日签署,2020年1月1日生效);《弗吉尼亚州消费者数据保护法》(VCDPA,2021年3月2日签署,2023年1月1日生效);《科罗拉多隐私法》(CPA,2021年7月4日签署,2023年7月1日生效);《犹他州消费者隐私法案》(UCPA,2022年3月24日签署,2023年12月31日生效)以及《康涅狄格州数据隐私法》(CTDPA,4月28日通过,23年7月1日生效)。
2022年2月,加州立法机关计划提出一项保护儿童在线数据的新法案,加州的适龄设计守则法案以英国的适龄设计规范为蓝本,如法案通过,将成为全球对大科技公司进行更加严格监管的又一重要举措(关于此项立法可参考本公众号前序文章:【数据治理】美国加州拟借鉴英国《儿童适龄设计准则》出台更严格的儿童数据保护方案)。
2022年2月,美国还提出了《儿童网络安全法案(Kids Online Safety Act)》提案,规定更严格的平台义务:要求各个处理未成年人信息的平台在法律上负责保护未成年人免受骚扰、性剥削和宣传药物滥用、饮食失调、自我伤害和自杀。
从技术层面,美国即有“影视内容分级制度”(从内容角度分为:TV-Y,2-6;TV-Y7;TV-Y7-FV,含有相较于TV-Y7级别来说更多的虚构暴力画面时;TV-G;TV-PG,“建议家长提供指引”,包括S-含少量成人情节,V-含部分暴力画面;TV-14;TV-MA,17+)等,同时还有更细致的电子游戏领域的ESRB游戏等级分级制度。内容分级制度的存在也为其引入英国的“适龄准则”提供了制度基础,
三、欧盟
在欧盟层面,欧洲议会并没有制定专门的针对儿童在线保护的法案或指令,而是通过《通用数据保护条例》(即GDPR,General Data Protection Regulation)进行一般保护。作为统一立法的典范,GDPR以信息自决权和一般人格权为权利基础,倡导“谁的信息谁做主”的保护原则,采取对各领域(包括政府部门、私营领域各行业)所有个人信息统一的保护标准和信息处理原则,采用一揽子保护的立法模式。同时与其他数据治理相关法案:《数字市场法案》(DMA, Digital Market Act)、《数字服务法案》(DSA, Digital Service Act)、《数据法案》(DA, Data Act)《数据治理法案》(DGA, Data Governance Act)一起提供原则性的指导,并将细化与执行GDPR的权限交由各成员国制定更细致的规则。
在德国,1977年的《联邦数据保护法》有一定涉及的内容,之后全部采纳了欧盟GDPR的相关规定,并在其《青少年媒体保护州际协议》规定:“组建青少年媒体保护委员会,旨在保护青少年免受电子媒体中的不良信息带来的伤害“。同时,辅之以“教育”手段,如 巴登-符腾堡州自2015年起将媒体教育纳入小学五年级课程,其中包括网上自我保护及信息甄别等内容。
在法国,既有GDPR的一般调整,本国也有《数字经济机密法》做特别规定,如“对运营商提出要求,要求运营商有责任向用户提供屏蔽不良信息的拦截软件”。并以技术手段打辅助,通过向法国所有学校提供免费的不良信息拦截软件外,近年更提请欧盟国家共同关注这一领域。法国提议,各民族与国家应当联合起来,将软件语言系统连成整体,以防漏网之鱼。同时在教育领域,部分学校推出了“上网执照”,主要通过课程等方式教学生应对网上陌生人的骚扰,引导学生文明上网。
四、英国
脱欧之后,英国依然将“英国版”的GDPR作为其数据治理领域的通行规则。2020年,英国即开始推行《儿童适龄设计准则》(the Age appropriate design code)(又称:儿童守则),旨在为儿童提供一个安全的网络环境。该守则是第一部关注到要在保护儿童上网信息和儿童信息自决权中寻求平衡的法案。该法案提出了涉及儿童上网服务的十五项标准,并对儿童“知情同意”的年龄做出了符合“教育程度与心智发展水平”的分级标准,同时对于儿童信息处理领域的算法决策做出了非常严格的规定:在进行未成年人算法画像时,处理确保依赖特征分析的功能在默认情况下被关闭(除非有令人信服的理由不这样做)。
同时,英国也非常重视在线信息的内容安全。2022年3月17日,英国议会接受了其《在线安全法案》的提交。这是截至目前世界上第一部有关在线内容安全规定的法案。《在线安全法案》中规定了一系列与互联网信息内容本身有关的安全规则,并赋予英国议会权力来由此批准哪些类型的信息属于“合法但有害”的内容而需要平台立即处理。《在线安全法案》是英国政府努力建立一个对用户更安全的新数字时代的里程碑,它要求科技巨头在合规的情况下承担内容审查责任,将保护儿童免受色情等有害内容的影响,它会限制人们接触那些有害的内容、同时保护言论自由。其中与“儿童在线数据保护”相关的主要内容有:
“合法但有害的信息”由议会决定;确保所有发布或承载色情内容的网站,包括商业网站,都进行严格的检查,以确保用户年满18岁或以上;
有关“儿童性虐待信息的报告义务”:一项新的要求将意味着公司必须向国家犯罪署报告他们在其平台上发现的儿童性剥削和虐待内容。CSEA的报告要求将取代英国现有的自愿报告制度,向国家犯罪署提交的报告将需要满足一套明确的标准,以确保执法部门收到所需的高质量信息,以保护儿童,追捕罪犯,并通过防止非法内容的持续再流通来限制终身受害。
五、其他国家
(一)日本
日本主要通过其2003年的《个人信息保护法》(APPI)来提供一般保护。该法是亚洲最早的个人信息保护法律之一。后分别于2015年与2020年进行了两次修订,2020年修订案已于2022年4月1日生效。2008年,日本还通过了《完善青少年网络利用环境法》,对中央政府、地方政府、电信运营商、内容生产商、监护人等都给出了明确的责任要求和处罚办法,并规定“未成年人”在此领域的定义是“13岁以下”。
同时,在技术层面,日本营业商自主积极保护青少年上网安全。有公司曾推出面向小学生的手机,仅可与已保存在电话本内的人通话,不具备短信和网络浏览功能。部分学校还推出“校园手机”,对通话和上网的时间、内容都进行了限制。在教育领域,则面向全国学生推出了名为“网络安全”的网站,该网站根据用户的年龄,提供不同的网上自我保护信息。
(二)韩国
韩国主要也是通过其《个人信息保护法》提供一般保护。韩国于2011年3月29日公布了《个人信息保护法》。其中对个人信息保护的基本原则、个人信息保护的基准、信息主体的权利保障、个人信息自决权的救济等问题作出了全面的规定,并于2021年对其个人信息保护法做出了全面修订。
遗憾的是,本来自“N号房”事件后,期待韩国可以就此展开儿童隐私保护、儿童上网保护的新一轮立法高峰,毕竟其时任总统韩国文在寅当时表示,警方要对“N号房”全部会员进行调查,除警察厅网络安全组之外,还希望建立特别调查组,把这一事件视为重大犯罪彻查,严惩加害者,特别是对儿童、青少年实施的数码犯罪应予以更加严厉的处罚。没想到的是,2021年9月,韩国却公布新的法案,宣布取消儿童游戏宵禁。在此之前,韩国《青少年保护法》(修订案)规定,为了儿童的睡眠和健康,禁止16岁以下的儿童在凌晨12点至早上6点玩网络游戏,违者将会被处以两年以下有期徒刑和1000万韩元(约5.6万元人民币)以上的罚款。该修订案又称灰姑娘法案,已经实施长达十年的时间。此次修法,不能说不是一项明显倒退,显然是为了繁荣游戏经济而做出的牺牲。不过韩国政府对此回应:现在已经是手机游戏占据主导地位,而非电脑游戏。同时,由于现在游戏平台的多样化,目前许多手机游戏已不受宵禁法规的限制。此外,很多儿童上网是为了观看影片或是社交媒体,而非玩游戏。这些让这项法规基本上是形同虚设,不如废除。
作者|裴轶
排版|强心语
审核|裴轶
声明:本文来自数据治理与竞争法研究,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。