2019年7月5日,对外经贸大学数字经济与法律创新研究中心在宁远楼232会议室举办了第三期得理(DE&LI)工作坊。本工作坊由数字经济与法律创新研究中心主办,数字经济与社会研究会协办。
本次工作坊的主题为《<儿童个人信息网络保护规定>:国际比较与基础法理》。本次会议以国家网信办5月31日发布的《儿童个人信息网络保护规定(征求意见稿)》(以下简称“《规定》”)为讨论背景,对儿童个人信息保护的国际经验和法学基础理论问题展开了探讨。来自理论界的学者,北京师范大学互联网发展研究院院长助理吴沈括、中国人民大学法学院博士后申晨和曹思婕、清华大学智能法治研究院院长助理刘云、中央民族大学法学院副教授朱芸阳、对外经济贸易大学数字经济与法律创新研究中心执行主任许可和研究员孔祥稳老师以及来自实务届的学者,亚马逊 AWS 公共政策总监李国俊、科文顿·柏灵律师事务所高级顾问罗嫣、普华永道高级法律顾问宋雅菲及京东法律研究院秘书长严少敏齐聚于此,纷纷贡献真知灼见。
首先由申晨进行了以《儿童最大利益原则视角下的儿童个人信息保护》为题的发言。他介绍了《联合国儿童权利公约》中的儿童最大利益原则,该原则目标在于儿童利益最大化,但其实施性不强;父母监护权和儿童利益可能会出现紧张关系,父母不一定会代表儿童最大利益。随后他介绍了儿童利益在我国法律体系中的现状,其存在着倾向于否认儿童意志的法律效力、“保护利益”而非“实现利益”、重财产利益轻精神利益的特点。家长、行业和社会应形成不同层次的儿童信息保护专业体制进行风险过滤,不应过度依赖家长同意,家长应负责管理直接涉及儿童敏感性的事项。
罗嫣律师介绍了欧美的儿童信息保护的立法和实践。美国FTC的美国儿童网路隐私保护法(Children's Online Privacy Protection Act,以下简称“COPPA”)执法主要关注网络运营商有没有保护儿童人身安全的能力,特别是网络色情。其目标在于使父母享有对于其孩子的个人信息被收集、使用和披露的知情选择权及监督权。相关商业实体在COPPA下的义务涉及隐私政策通知、父母同意、收集信息范围限制、父母的删除权以及建立保护儿童数据安全的机制程序。随后罗嫣律师简要分析了FTC具体执法案例Unixiz (i-Dressup.com)、TIK-TOK以及PRIME SITES案。
许可老师以《<儿童个人信息网络保护规定(征求意见稿)>反思与建议》为题分享了对《规定》的心得和建议。儿童个人信息理应获得更强保护,但关键在于如何实现这种保护。法律不强人所难,如果设定的保护标准过高,可能过犹不及,导致激励企业合规的目标无法实现。对此,他对《规定》提出了几点意见,(1)建议设置分层规则,对于专门为儿童为服务的网络产品和服务从严规制,对于服务对象可能是儿童的网络产品和服务,其保护义务以明知用户是儿童的为前提;(2)在现有框架下,同意的主体是监护人,其规则设定以监护人为对象;(3)《规定》中的同意不应限于明示同意,包括默示同意;(4)在我国只有在违约和违法才能主张删除的情况下,撤回同意的法律定位和效果如何,值得反思,特别是能否产生删除儿童个人信息的法律后果,还缺乏法理上的论证;(5)一般只有在发生大范围数据泄露后,才存在对数据主体的一对一告知,《规定》中要求在网络运营者停止运营产品或者服务时,应及时告知儿童监护人,没有必要,改为“一对多通知”即可。
在圆桌讨论环节,各与会人就个人信息保护专员设置、没有监护人时的“监护人同意”规则适用、执法机构和权限、集团公司在全国范围内有多个子公司或实体的情况下如何各地保证适用相同执法标准以及儿童个人信息删除权问题展开了讨论。
在没有监护人情况下数据如何流动的问题上,吴沈括以美国为例指出了此情况下“父母同意”的难题——孤儿、父母失踪以及父母在海外情况下警方执法和取证难度大。执法机构获取数据涉及数据跨境传输,在刑事司法领域可以仅仅传输数据分析结果而不传输数据本身;同时可以增加设定同意的例外情形,以及赋予监管机关对特殊情形下对数据处理批量化同意方式(监管机构的客观保护),从而解决“监护人同意”困境。对于难以判断用户是否是儿童的难题,吴老师认为儿童个人信息保护属于权利保护的强化,故应按反向思维,由相对方提出要求时运营商才承担义务。在针对《规定》的建议方面,吴老师认为,监护人同意应符合儿童利益,应在监护人同意前加“不明显违反儿童利益”的措辞;第10条加密规定中可加 “根据有关密码的法律规范”采取加密等措施。
刘云提出《规定》中缺乏升格规定,在父母同意之外,应引入第三方进入儿童个人信息保护领域。在没有父母时如何依第7条征得监护人同意而收集使用儿童个人信息,应考虑哪些情形不需要同意,以使规则更有针对性。同时,他还指出第23条“任何组织和个人发现有违反本规定行为的,可以向国家互联网信息办公室和其他有关部门举报。国家互联网信息办公室和其他有关部门收到举报的,应当依据职责进行处理”,该条对“其他有关部门”的规定,缺乏可行性,因为《规定》对其他部门不具法律效力。
针对“撤回同意问题”,参会方进行了深入讨论。罗嫣律师认为,此撤回同意的对象不明确,并且第18条中撤回同意不应有删除的效果,第18条规定的情形实际是删除的条件。吴沈括认为撤回同意的效果应细化,撤回同意应该单独规定一条。此外,立法语言上,“包括但不限于”措辞不应该出现。同时,欧洲GDPR是有弹性的,可与其他政策组合使用,而我国《规定》过于硬性,实际实施可能会对我国不利。朱芸阳教授指出民法上撤销与撤回不同,该条文规定的其实是撤销不是撤回(因为针对的是已经生效的同意)。其他与会人指出,撤回面向将来,不能溯及既往,而该条文的撤回是面向过去的,不利于保护在线交易合同和在线服务稳定性。删除权应规定例外,例如其他法律法规或规章对于数据存储的规定。
曹思捷从亲属法视角就儿童利益保护提出了见解。在肯定《规定》是对儿童利益保护的迈进前提下,她提出了以下建议和意见:第3条原则中加入保护儿童利益;第8条1项加入“用途”和“期限”;第9条加“范围”和“期限”;第12条加“等”;第16条 “或者”后加“当不损害儿童利益时”;第19条第3项前加监护人损害儿童除外。另外她认为应遵循充分保护儿童利益最大化以及对监护人行为进行法律规制(不能滥权)的总原则。在立法中,不应当个案普通化立法,而是应在一般立法基础上对典型个案进行特别立法从而补充。
朱芸阳教授从民法角度分析称,撤销作为单方法律行为使原行为归于无效,网络环境下这种自始无效将会带来现实问题。她进一步提出了疑问:第 17 、18条的表述未来是否会在现行制度下构成新的请求权基础?毕竟《规定》关注的是行政责任而非民事,立法应更规范。她进一步指出:有时网络环境下的新问题可以由传统民法解决,而不需特别指定网络立法。我们要考虑制定《规定》的目的是什么,因为目的决定了该如何规定。
孔祥稳老师从行政法角度分析了《规定》和上位法的关系,认为第25条规定的罚则有超越上位法《网络安全法》授权空间的嫌疑,且过于笼统。在立法技术上,“国家互联网信息办公室”的表述应当和《网络安全法》中的“网信部门”统一;第8条第(二)项和第11条内容重复,可以合并。最后他提出两个疑问,即儿童匿名化信息和针对儿童的定推是否应当设定特殊的规则。
严少敏认为《规定》的打击面过大。由于儿童不是所有网络商的目标群体,儿童利益保护是家庭社会要解决的问题而不是非面向儿童的网络运营商应承担的义务。要思考我们要保护儿童什么权利及其有何特殊,一方面要保护儿童免于色情信息侵害,另一方面可赋予儿童被遗忘权。
对于《规定》义务主体方面,宋雅菲指出《规定》中没有区分监管对象,希望对于目标用户不是儿童的企业免除儿童个人信息保护的义务。
本次会议针对“监护人同意”规则、儿童个人信息删除规则及其实践影响等进行了深入探讨。《规定》本身体现了监管者对儿童个人信息保护的重视,但实践远复杂于纸面,如果规则不能落地,则最终不但无法达到监管目的,还会有损政府权威,建议在后续修改中,应当进一步增强《规定》的操作性和可行性。