数据安全④未成年人个人信息泄露风险重重,如何加强法律保护
一、未成年人个人信息泄露成非法侵害前置风险,保护迫在眉睫
二、未成年人个人信息保护存在问题
(一)未成年人信息自决年龄界限标准不明晰
如何判定是否为未成年人,即年龄标准问题,是适用未成年人信息保护的前提条件。从已有的规定看,中国目前没有统一的未成年人信息保护年龄界限标准。《个人信息安全规范》(第5.5条)和《儿童个人信息网络保护规定》(第2条)仅规范了“儿童个人信息”,将年龄界限设定为14周岁;《信息安全技术公共及商用服务信息系统个人信息保护指南》(第5.2.7条)则规定,向16周岁以下未成年人收集敏感信息要监护人同意;而《中华人民共和国民法典》第17条及《中华人民共和国未成年人保护法》第2条均采用“未成年人”的概念,即“不满18周岁”。
(二)未成年人身份识别机制有漏洞
有效识别未成年人是未成年人信息保护最重要的起点,也是企业落地的难点。目前网络游戏行业有强制实名认证的要求,但是其他行业暂强制用户实名认证的要求。比如在网络音视频行业,除主播、特殊账号等要求强实名认证外,其余用户均可通过使用浏览模式在线观看视频、听音乐等,且使用简单的信息发布(如弹幕、短视频等)功能时,业内通常也是采取移动手机号进行实名认证。但这一方式很难准确筛选与识别出未成年人用户。另外,我们惯常了解到的强实名认证方式,如人脸识别、公民身份号码验证等方式,目前不太具有可行性,并且可能存在与隐私保护最小必要原则相冲突的问题。
(三)监护人同意机制形式化
三、如何未成年人个人信息保护落到实处
(一)建议结合个人信息类型和具体应用场景,设立未成年人分年龄个人信息保护行业规范
(二)建议根据平台类型及用户群体,采取隐私友好化方式识别未成年人用户
企业可根据自身产品类型以及主要面向的用户群体,秉承最小化收集信息的基本原则,采取隐私友好化方式识别未成年人用户。在识别未成年人身份时,平台应尽量采用收集年龄段信息、回答“是/否”等方式;尽量采用亲子/家庭账号模式,由监护人建立账号,并为未成年人创建虚拟子账号,尽可能不收集未成年人的个人身份信息;能在本地化实现的功能,尽可能不上传云端。总之,在保证产品与服务正常提供的前提下,减少未成年人个人信息的收集使用,尤其是个人敏感信息。
(三)建议围绕充分告知、明确同意两个环节,完善监护人同意机制
首先,在充分告知环节,要求信息处理者将涉及当事人权益的重要事项充分披露,包括拟收集和处理的个人信息内容、范围、用途、方法、当事人权利和救济方式,以及个人信息保护的重要性等内容,充分保障未成年人及监护人的知情权和救济权,避免因信息不对称导致权益损害。
[魏昕玥来自复旦-炜衡数据安全联合报告课题组。本文选自江天骄、姚旭主编的《复旦-炜衡数据安全联合报告》,课题组其他成员还有:王蕾、陆滨、金代文、赵越等。该报告由复旦发展研究院开设的咨政实践类课程研究成果转化而来,调研过程中得到北京炜衡(上海)律师事务所的大力支持。复旦大学网络空间国际治理研究基地主任、发展研究院教授沈逸与北京炜衡(上海)律师事务所高级合伙人顾靖担任课题研究顾问。]