儿童个人信息权的立法保障

国家网络信息办公室发布的《儿童个人信息网络保护条例》(以下简称《条例》)将于2019年10月1日起施行。这是我国第一部专门针对保护儿童个人信息的部门规章，丰富了儿童个人信息权利的法律基础。

解决儿童个人信息网络保护的现实需求首先，儿童个人信息受到严重威胁是客观的社会现实根据联合国儿童基金会2017年的一份报告，世界上三分之一的互联网用户是儿童，每天增加175，000多名儿童。2016年，我国10岁以下的网民数量已经超过1800万，超过56%的儿童在5岁前“接触过网络”。85.2%的受访者遭受个人信息泄露之苦《条例》第2条将儿童定义为14岁以下的未成年人。它主要是指刑法对刑事责任年龄的标准。14岁以下的人不应被追究刑事责任。在未成年人中，14岁以下的儿童在身心发展方面仍然不成熟。由于个人信息的认知能力、风险识别能力和自我保护能力相对较弱，一旦被犯罪分子利用，将会导致严重后果，需要立法予以特殊保护。

其次，虽然我国有保护未成年人和个人信息的立法，但关于保护儿童个人信息网络的规定过于原则性。《未成年人保护法》第39条规定，任何组织和个人不得泄露未成年人的个人隐私。然而，个人隐私不同于个人信息，非私人个人信息不受法律保护。《全国人民代表大会常务委员会关于加强网络信息保护的决定》规定了网络服务提供者和其他企事业单位收集和使用个人信息的基本原则。《民法通则》第111条规定，自然人的个人信息受法律保护《互联网安全法》规定了收集和使用个人信息的原则和规则。当然，上述规定也适用于儿童个人信息，但它们过于笼统，无法解决儿童个人信息的特殊保护问题。因此，在这种背景下，引入保护儿童个人信息网络的特别规则可以实施和完善现行上位法的规定，并明确保护儿童个人信息网络的特别规则

最后，协商一致立法符合国际社会的大趋势加强儿童权利立法是国际社会的普遍趋势。1959年《儿童权利宣言》承认保护儿童权利的“最大利益原则”是保护儿童权利的国际指导原则。对于儿童个人信息权的网络保护，最具代表性的模式是美国模式和欧盟模式。例如，美国于1998年颁布了《儿童在线隐私保护法》，这是世界上第一部保护儿童在线隐私的法律，具有标杆意义。COPPA适用于专门为13岁以下儿童服务的商业网站和在线服务的运营商，规定了网络运营商的义务和儿童父母的权利。此外，联邦贸易委员会(FTC)作为一个执法机构，也发布了详细的规则、问答清单、六步企业合规计划和安全港计划，以促进行业的实际着陆，从而指导儿童信息的保护。例如，欧洲联盟2018年实施的《一般数据保护条例》(GDPR)第8条明确引入了对儿童个人数据的保护，规定当儿童不满16岁时，只有在负有监护责任的父母同意或授权的情况下，数据处理才是合法的。数据控制人员应结合当前的技术可行性，做出合理努力，确保对子女负有监护责任的父母的同意或授权。当然，欧盟的法规是模糊的。什么是“合理努力”和“当前技术可行性”具有很大的灵活性，需要成员国结合本国国情加以完善。它没有美国清楚。

是互联网时代的国际发展趋势。无论是美国还是欧盟模式，对儿童个人信息网络权利的特殊保护都是通过专门的立法或立法中的特别规定来实现的。中国的监管符合国际发展趋势，更接近成熟的美国模式，具有积极意义。

严格保护、特殊保护与合作治理相结合

第一，《条例》延长了儿童个人信息保护期限《网络安全法》仅规定了网络运营商在收集和使用个人信息时应遵循的原则。《条例》第七条规定，网络运营商在收集、存储、使用、转移和披露儿童个人信息时，应遵循合法必要性、知情同意、目的明确、安全保障和合法使用的原则，体现保护个人信息整个生命周期的理念同时，条例还要求网络运营商从五个方面加大人力、物力和财力投入，体现对儿童个人信息权利的严格保护一是制定保护儿童个人信息的特殊规则和用户协议，指定专人负责保护儿童个人信息。二是严格设定信息获取权限，根据工作人员最低授权原则控制儿童个人信息知识的范围。三是采取加密等措施存储儿童个人信息，确保信息安全。第四，委托第三方处理儿童个人信息时，应进行安全评估，确定委托范围和相应的权利和责任。第五，如果发现儿童个人信息被泄露、损坏或丢失，应立即启动应急预案，向有关主管部门报告，并通知受影响的儿童及其监护人。

二、一方面，《条例》详细规定了监护人的知情同意制度监护人知情同意是儿童个人信息保护的关键尽管《网络安全法》原则上规定了透明度和知情同意，但其可操作性不强。在实践中，个人信息收集的透明度和“一揽子”协议已经成为个人信息保护中的突出问题。《条例》第9条、第10条和第14条规定，网络运营商在收集、使用、转移和披露儿童个人信息时，应当以明显、明确的方式告知儿童的监护人，征得儿童监护人的同意，并提供拒绝选择。如果通知有实质性变化，或者如果确实有必要超出商定的目的和范围使用通知，应再次征得儿童监护人的同意。因此，儿童监护人的明确同意是收集和使用儿童个人信息的整个过程的前提。应当指出，实施该制度的最大困难在于如何识别儿童、监护关系和监护人的知情同意。如果需要全面真实的监护人信息，可能需要收集身份证、户口簿、出生证明甚至人脸信息，这将耗费大量资金，面临更大的信息安全风险。如何判断网络运营商在现有技术条件下是否履行了知情同意义务，将成为今后执法中的一个难题

另一方面，《条例》扩大了儿童和监护人矫正和删除权的内涵第19条规定的更正权范围比《网络安全法》规定的更广。这项权利可以在数据的整个生命周期中行使，并不限于收集和存储链接。然而，第20条中的删除权为《网络安全法》增加了三种情况:第一，收集、存储、使用、转移和披露超出目的范围或在必要时限内的儿童个人信息；第二，儿童监护人撤回其同意；第三，儿童或其监护人通过取消来终止产品或服务的使用，体现了儿童应得到特殊保护的原则。

第三，合作治理是政府、社会、企业、公民和其他各方共同参与公共活动，共同实现公共利益的过程，这在网络时代尤为必要。条例设计了一套制度体系，充分发挥政府、儿童监护人、互联网行业组织、公民等的主要作用。政府应建立健全举报制度、约谈制度和信用档案公示制度报告是监管机构发现非法线索的重要来源。监管部门应完善举报反馈处理机制，并给予举报人一定的激励访谈对于及时纠正违法行为、加强网络运营商与监管机构之间的沟通具有积极意义。《条例》将“省级以上人民政府有关部门”的采访主题提升为“国家互联网信息办公室”，明确要求网络运营商根据需要“及时”采取整改措施，体现了国家对儿童个人信息安全的重视。我国注重信用监管，规范市场秩序，优化经营环境信用档案公示制度有利于全社会信用体系的建设，但在具体实施过程中，应注意手段和目的的比例，并给予对方应有的程序保障。儿童监护人应当积极履行监护职责，教育、引导和保护儿童。互联网行业组织应当引导和推动网络运营商制定保护儿童个人信息的行业标准，加强行业自律为了有效保护儿童的个人信息权，应该通过多方多管齐下的努力，形成一个严密的儿童个人信息保护网络。

(作者:中国传媒大学政法学院法律系)

来源:中国社会科学网-中国社会科学报作者:郑宁

欲了解更多学术信息，请关注官方微信公众号cssn_cn