联合国儿童基金会驻华办苏文颖:未成年人数据和隐私的特殊保护
2018-07-10中国信息安全网GoldenBee
5月25日开始正式实施的《欧盟一般数据保护条例》(General Data Protection Regulation,GDPR)引发了各利益相关方不同视角的讨论。然而,在大量针对个人数据保护的研究中,专门关注未成年人数据保护的文章凤毛麟角,这在很大程度上反映出国内业界和学界对这一问题的重要性尚认识不足。因此,本文从儿童权利视角出发,简要阐述对未成年人数据和隐私进行特殊保护的必要性,并梳理国际上现有的一些政策实践,为在国内进行相应探索提供借鉴。
一、数字时代儿童个人隐私和数据保护的特殊性
联合国《儿童权利公约》(UN Convention on the Rights of the Child)第16条规定,“儿童的隐私、家庭、住宅或通信不受任意或非法干涉,其荣誉和名誉不受非法攻击。儿童有权享受法律保护,以免受这类干涉或攻击。”这一条款确立了对儿童隐私权的国际法保护。《儿童权利公约》作为获得最普遍批准的国际人权公约,明确了缔约国政府是首要的义务承担者,必须在国内政策立法、预算分配、服务提供等各个方面致力于实现其对儿童权利的承诺,包括政府相关部门各司其职;支持并督促家庭和父母切实承担起对儿童的责任;创设有利于儿童权利实现的良好社会环境和社会支持体系等。需要指出,公约所指的“儿童”(children),均指18岁以下的人,与我国法律上的“未成年人”同义。后文除非特别说明,在使用“儿童”一词时亦取此意,并与“未成年人”通用。
数字时代儿童个人隐私和数据的保护具有极大的特殊性。一方面,未成年人与成年人一样,享有其作为数据主体的各项权利,与此同时,未成年人基于其身心发展阶段,往往需要政府和企业设计特殊的保护措施,以帮助实现其权利。这也是为什么GDPR在序言第38节会明确提出,“儿童的个人数据应该受到特殊保护,因为儿童对与其个人数据处理有关的风险、后果、保障措施和相关权利不尽了解。”
随着物联网技术的发展,很多企业都在开发专门面向幼儿市场的智能玩具,这些玩具内置话筒、摄像头、GPS和语音识别等技术,能让孩子们快乐地玩耍,促进语言发展和社会情感学习,但是这些智能玩具在联网时也会引发严重的隐私和安全问题。欧美有案例表明,有人曾经通过联机玩具取得过数百万名父母及儿童的个人资料,包括孩子的照片和语音记录。大一些的孩子往往开始自己使用社交网络,可能会在网上发布照片、显示定位、搜索网页,产生大量数字足迹,有心的犯罪分子甚至可以据此勾勒出某个孩子的大致生活图景。国际隐私保护执法促进网络(Global Privacy Enforcement Network)2015年的调查表明,在其调查的1494个服务儿童的网站和APP中,有三分之二没有任何保护性措施帮助儿童及其家长限制分享儿童的个人数据。
另外,很多家长在社交网络上过度分享自己孩子照片和其他信息的行为,也为未成年人的数据保护提出了挑战。2010 年的一项调查发现,10 个高收入国家中(澳大利亚、加拿大、法国、德国、意大利、日本、新西兰、西班牙、英国和美国),有高达81%的2岁以下儿童留下了数字足迹,也就是说,在网上可以找到他们的个人资料或照片。家长分享孩子成长轨迹的心情可以理解,但是过度分享的私密信息可能会被犯罪分子滥用,从长远来看,家长的过度分享也可能会干扰孩子自我身份意识的建立和自我实现。
此外,除了这些显而易见的风险之外,未成年人在网上的个人数据,可能还会对其成人后的就学、就业、婚恋等产生影响,也就是有专家提出的“数字纹身”,它们不像个人私密影像等隐私泄露那么极端,却也可能会在某一时刻影响到数据主体的公众形象和个人声誉,比如,年少时一条在网上留下的愚蠢评论可能会导致其遭受持续的网络欺凌 ,甚至会在多年后就业时被雇主审查。
不管愿不愿意承认,企业获得的未成年人相关数据尤为宝贵。一方面,孩子在很大程度上能够影响其家庭的消费决定;另一方面,孩子自己也是消费者,不仅是当下,更是未来的消费者,培养他们的品牌忠诚度和消费习惯具有长远意义。然而,收集未成年人个人数据并进行画像(profiling),进而对其进行定向的网络营销,是目前许多企业通行的做法,但却有将童年过度商业化的风险。更需警惕的是,当企业开始对儿童的网络行为产生兴趣时,儿童的整个世界都暴露在网络这台巨大的营销机器面前。这台机器不仅会观察和记录儿童在网上的一举一动,还不断重新建构和操控儿童所在的网络环境,这种无孔不入的影响,不但会给儿童带来许多潜藏的网络风险,而且可能会影响到儿童的认知发展、价值观塑造和自主性。世界卫生组织2016年在一份关于网上食品营销定向儿童群体的报告中就曾指出,家长并不清楚这些针对儿童的数字画像和定向营销技术,也不了解其可能带来的风险。
二、儿童个人隐私和数据保护的政策实践
实际上,对儿童的个人信息和隐私保护,在互联网出现前就有一些政策实践。1974年,美国出台了《家庭教育权与隐私权法案》(Family Educational Rights and Privacy Act)联邦法律,禁止那些接受了联邦政府资金的教育机构向未经授权的任何人提供学生的教育档案,包括学生的姓名、家庭住址以及其他可以合理确定其身份的信息。值得注意的是,对于未满18岁的未成年学生,学校如需发布其信息,必须征得其家长的同意。这一原则被后续很多法律所沿用。
进入互联网时代,一些国家开始制定专门针对网上儿童信息和隐私保护的政策法律。美国著名的《儿童在线隐私保护法案》(Children's Online Privacy Protection Act)及其配套的《儿童在线隐私保护规则》(Children's Online Privacy Protection Rule),沿用了“家长同意”这一核心原则,保护对象是未满13岁的儿童。按照法案和规则的要求,互联网服务提供商必须“在任何收集、使用和/或披露儿童个人信息之前,获得可被验证核实的家长同意”。南非和西班牙也有类似的法律条款,要求在获取和处理特定年龄以下儿童的数据之前获得家长同意,但是对年龄的门槛规定与美国的13岁有所不同——南非的规定是18岁,而西班牙则是14岁。
当然,这种立法思路也招致一些批评,包括这有可能不利于未成年人充分获取信息、发展数字素养、参与网络生活。未成年人往往并不乐意与父母分享其网络经历,要求父母同意孩子所有的数据分享行为实际上削弱了他们的网络自主权,特别是对于很多已经初步具备网络安全意识和数字素养的青少年来说,尤其如此。这些批评有其合理之处。如何更好地在保护儿童网络安全和尊重儿童成长过程中的独立性这二者之间达到动态平衡,确实是政策制定者、教育者特别是家长都亟待思考的一个问题。不过,在现有的互联网服务模式和政策框架下,“家长同意”不失为一条可继续探索的路径。
因此,刚刚生效的GDPR第6条规定的处理个人数据必须要有合法理由,其中第一种理由即为“数据主体同意”。第7条进一步阐明了“同意”的构成。第8条专门针对儿童用户,规定在处理低于特定年龄的儿童个人数据时,必须获得其父母或者其他监护人的同意,并且该举证责任在于数据控制者,数据控制者必须能够证明其从监护人那里获得“同意”。GDPR将需要家长同意的儿童年龄设置在了16岁以下,但是允许成员国自行设置更低的年龄门槛,这一门槛不得低于13岁。值得注意的是,这样的规定可能会促使儿童对网络服务提供商谎报年龄,而国外一些研究表明这种现象已经相当普遍,而谎报年龄却可能会成为专门针对儿童下手的潜在网络犯罪者脱罪的借口。
此外,需要强调的是,GDPR在序言中明确规定,在直接向儿童提供保护性预防和辅导服务(preventive or counselling services)的情况下,“家长同意”不再是必须的前提。这是出于儿童保护和儿童利益优先的考量,因为很多儿童受到的伤害可能就来自家长。
对于年龄在门槛之上的那部分未成年人来说,自己做出的“同意”决定可以成为个人数据被处理的依据之一。但是,他们毕竟不是成年人,这就需要那些以未成年人为重要用户群体的网络服务和产品,在设计之初就有充分的伦理考量,比如根据具体情况设置特殊的年龄限制和默认隐私设置,并保障数据主体的知情权。GDPR序言第58节和正文第12条都强调了透明度要求,数据控制者必须以清楚、简单、明了的方式向公众和数据主体说明个人数据的收集处理,并特别指出在处理儿童数据时,必须使用儿童能够理解的语言加以说明。这一点非常重要,即使是成年人也没有耐心读完各大网站和APP上冗长晦涩、充满法律术语的规则和条款(terms and conditions)。因此,出台“儿童友好”的用户规则和条款是网络服务提供商在儿童保护方面应该承担的责任。
数据主体的“被遗忘权”和随之而来的“删除权” 是 GDPR中被广泛讨论的另一个概念。正如前面讨论过的“数字纹身”所展示的,“被遗忘权”对于未成年人来说格外相关,因为当未成年人做出在网上分享信息发布内容的决定时,往往还不具备能力充分理解对这些数据进行处理可能给自己带来的长期风险。因此,GDPR也将这种情况作为用户有权要求删除数据的情形之一。然而,那些经家长同意处理的儿童个人数据,在儿童长大成人后或者当其有足够能力行使删除权的情况下,数据控制者通常应该按照其要求删除该数据。另外,第21条的“拒绝权”也同样适用于儿童,也就是说,儿童有权利拒绝在任何时间因为直接营销(direct marketing)的商业目的对其个人数据进行处理。
另一项特别受到关注的议题,是数字画像和自动化处理的决策(automated decisions)用于儿童的问题。GDPR正文中特别针对该问题的第22条并未特别区分成年人和儿童,而是笼统地规定了数据主体有权不受制于那些完全依靠自动化处理(包括画像)而做出的,可能会对其产生法律后果或其他类似重大后果的决定,除非满足一些特定条件。有趣的是,GDPR的序言第71节在谈及该问题时,却提出“这一措施不应适用于儿童”。虽然序言和正文中的措辞不同,说明GDPR并未绝对禁止将数字画像和自动化处理决策运用于儿童,却仍然反映出这种做法不应被鼓励,更不应该被广泛使用。
遗憾的是,虽然欧盟和非盟都制定了区域性的政策法律框架来治理数字时代儿童的个人数据和隐私保护,并且针对儿童确立特殊保护的原则和措施,国际层面却迟迟没有动静。除了联合国《儿童权利公约》中对儿童隐私权保护的一般性规定之外,近年来联合国大会关于网络用户隐私权保护的决议以及联合国隐私权问题特别报告员呈交的首份报告,都没有专门涉及广受关注的儿童网络隐私保护问题。
三、联合国报告建议数字领域建立坚实的伦理框架
2017 年年初,联合国人权理事会通过一项决议,表示在数字时代,对隐私权的侵犯可能对特定群体产生“特定影响”,并明确指出儿童就是此类群体之一。2017年底,联合国儿童基金会发布了其重磅年度旗舰报告《2017年世界儿童状况:数字时代的儿童》,全面梳理了儿童在数字时代面临的机遇和挑战,并号召各国政府、数字技术行业、教育者和儿童自身对儿童个人信息和隐私保护等问题给予更多关注。
该报告指出,如果数据治理缺乏更广泛、统一的伦理框架,儿童可能会遭受比成人更为严重和深远的影响。除了日常使用场景中潜藏的风险之外,这一影响还特别突出地体现在人道主义工作中。因为如今的数字技术有一个备受关注的应用——利用生物识别技术为难民进行身份登记,便于难民日后获得所需的服务。生物识别能根据人的面部相貌、虹膜或指纹等身体特征创建独一无二的身份记录。虹膜扫描已被用于阿富汗难民的遣返工作以及约旦境内叙利亚难民的现金转移救助工作。对于难民和移民来说,数据泄露的后果可能关乎生死。如果落入怀有恶意的人手中,后果不堪设想。
因此,报告中特别建议,在数字领域建立坚实的伦理框架的起点,是在以下三大重点领域制定最低标准:第一,权利、隐私和许可:为数据使用、隐私保护的治理建立共同的伦理标准。第二,数据分享和保留:关于谁应分享数据、何时分享数据,应当建立明确的指引;还应就何种数据应当被储存、其来源应当是什么、其储存时长及用途等达成具体的技术协议。第三,保护弱势群体:分享和使用特定类型的数据会增加特定人群的风险,国际社会应对此达成共识。
综上所述,大数据时代未成年人的个人数据和隐私保护,事关未成年人的健康成长大计和社会可持续发展,也是近年来国际网络空间治理中能够最大程度凝聚共识的议题之一,如何更好地发挥政府、国际组织、互联网企业、技术社群、民间机构、公民个人的作用,推动完善相关法律政策并促进有效的国际合作,仍需要各利益相关方更深入地研究和探索,特别是政府和互联网企业应做出更强有力的承诺,促使儿童网络数据收集和使用的国际标准尽快达成。
(责任编辑:GoldenBee)