作者简介
林琳,北京科技大学文法学院讲师,法学博士。
摘 要
尽管我国不断完善立法,规制网络时代个人信息安全与保护,但法律与技术博弈下的制度存在执行风险与困境,在儿童个人信息保护方面更为严峻,立法和司法保护层面都存在问题。儿童个人信息滥用主要表现在网络平台收集和管理儿童个人信息没有充分贯彻监护人同意制度,并超出约定目的再次推送,置儿童用户于危险境地。规制儿童个人信息滥用行为,公益诉讼制度具有理论基础和现实可行性,可以通过民事公益诉讼,对网络平台提出相应诉讼请求,同时通过行政公益诉讼,要求行政主管部门加强监督管理,促进行业整改,形成社会合力,实现网络时代儿童个人信息的整体式、综合性、全局化保护。关键词
儿童个人信息 网络保护 司法路径 公益诉讼
儿童是一个国家和民族发展壮大的希望,在同全国各族少年儿童代表共庆“六一”国际儿童节的讲话中强调,“孩子们成长得更好,是我们最大的心愿。党和政府要始终关心各族少年儿童,努力为他们学习成长创造更好的条件”。加强儿童个人信息网络保护,是儿童权益保护的重要内容,是全社会的共同责任。2019年中国互联网络信息中心调查数据显示,我国网络用户高达8.54亿,其中10岁以下和10-19岁用户数量分别占用户总数的4.1%和17.5%。由于儿童年龄小,阅历浅,自我保护意识较弱,更容易在网络平台中遭遇非法互动、线上营销、网络诈骗和骚扰等问题,成为网络平台违法侵害的对象。但我国对儿童个人信息没有成立专门的监管机构,也没有形成独立的监管模式,当前以成年人为主要保护对象的制度设计不能完全适应儿童个人信息保护的需要,亟需完善儿童个人信息司法保护路径。
一、儿童个人信息网络保护的现状及问题
(一)儿童个人信息网络保护的界定
1.儿童个人信息
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。关于个人信息的法律界定,《民法典》及《个人信息保护法》均有规定。个人信息作为公民个人权利,其私权属性最早由《刑法》的侵犯公民个人信息罪确认。在民法领域,《消费者权益保护法》和《民法典》的“隐私权和个人信息保护”专章,也都明确了公民个人信息权利。近年来,我国先后制定了一系列网络信息安全的法律、法规和司法解释,逐步确立了公民个人信息保护的合法、正当、必要等基本原则,《民法典》也明确要求最低限度处理个人信息,不得过度,且必须征得权利人同意。2021年《数据安全法》和《个人信息保护法》相继出台,进一步从不同视角规制我国数据网络安全和个人信息保护。
2019年出台的《儿童个人信息网络保护规定》 (以下简称《规定》) 首次在立法层面明确儿童个人信息的界定,规定不满十四周岁的未成年人为儿童。儿童个人信息在网络空间需要特殊保护,是国际社会的共识,但各国在年龄设定上不尽相同,美国《儿童网络隐私保护法》中的儿童年龄为十三岁以下,欧盟《通用数据保护条例》中则将儿童年龄最高限界定在十六岁,同时允许成员国自行在十三至十六岁之间依据实际情况设置自己的标准。我国《规定》在网络保护中考虑儿童年龄时,参考了美国和欧盟等国的经验,同时作为行政法规兼顾了与国内刑事法律制度等的衔接。2021年《个人信息保护法》未使用儿童个人信息的表述,但规定不满十四周岁的未成年人个人信息是敏感个人信息,其保护和处理要遵循更严格要求。《信息安全技术个人信息安全规范》也将个人信息特殊保护的年龄线划定在十四周岁。
2.儿童个人信息网络保护的权利
基于上述法律规定,保护公民个人信息,主要对信息处理者处理个人信息的行为予以规制,《民法典》规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等处理方式,《个人信息保护法》在《民法典》基础上增加了删除的处理方式。《儿童个人信息网络保护规定》将适用范围规定为:在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,以及制作、发布、传播侵害儿童个人信息安全的信息。可见,尽管不同法律对处理行为的具体列举和表述稍有不同,收集、存储和使用个人信息,是信息处理者的基础行为,也是其他一切侵权行为的源起,从个人信息权利主体的角度,个人对其信息至少应享有知情同意权、获取权、异议更正权、拒绝权、删除权等权利,在儿童个人信息保护领域,应格外关注监护人的知情同意权。鉴于篇幅和重点,本文将研究重点集中于信息处理者对儿童个人信息的收集、使用和提供方面存在违法不当情形、侵犯信息主体知情同意权、拒绝权等权利的案件。
(二)儿童个人信息网络保护立法现状及问题
我国立法中,基本法位阶没有明确儿童个人信息的概念,也没有将其作为专门保护对象。2019年《规定》虽然是行政法规,但作为我国首部专门立法,是儿童个人信息保护的重要依据,《规定》围绕儿童个人信息安全和保护问题,进一步细化了《网络安全法》的相关规定,提出了网络运营商责任、监护人义务等规则,为儿童这一特殊主体的个人信息网络保护提供了专门明确的依据。2021年新修订的《未成年人保护法》专章设立了网络保护,也体现了全社会对未成年人网络空间保护达成的共识。2021年《个人信息保护法》对敏感信息的处理,规定了特定目的性和充分必要性要求,其中包含十四岁以下未成年人信息。同时,《个人信息保护法》在第七章“法律责任”部分,对侵犯个人信息行为的行政监管和公益诉讼,作出了相应规定。
尽管近年来我国加大力度保护个人信息,并开始重视儿童个人信息的特殊性,但在立法层面仍存在较多问题:首先,除了《规定》这一行政法规外,没有专门的《儿童个人信息保护法》,也没有在《个人信息保护法》中专章设立儿童个人信息特殊保护,上述关于个人信息保护的重要法律中,有关儿童个人信息的规定比较原则和笼统,不够细化,执行难度大;第二,《规定》与其他相关法律的衔接不畅通,如《刑法》对儿童个人信息保护力度较低,相当一部分侵犯和危及儿童个人信息安全案件的处理适用“侵犯公民个人信息罪”,没有体现儿童这一受害主体的特殊性,且民事、行政和刑事法律之间没有形成完整的儿童个人信息侵权法律责任体系;第三,关于儿童个人信息侵权标准、法律后果,以及侵犯儿童个人信息权案件中的举证责任和维权路径等,相关法律仍付之阙如,需要进一步完善;第四,在互联网治理领域,制度完善的进度远远滞后于技术创新的速度,法律规定与技术运用存在现实博弈的困境,增加了《规定》的执行难度。
(三)儿童个人信息保护司法现状及问题
互联网发展给人类社会行为规范带来深刻变化,在为人类生活提供快捷和便利的同时,网络存在着大量安全风险,其虚拟性、间接性和隐蔽性中蕴含和滋生着犯罪诱因。儿童年龄轻、阅历浅,辨别是非能力薄弱、身心不能保持平衡,强烈的好奇心极易受到社会环境特别是技术环境的影响,网络技术搭建的虚拟环境,因其新鲜刺激和高互动性,对儿童极具诱惑力。儿童用户个人信息如果被运营者秘密收集、超限使用、违规利用,转化为其他犯罪的工具或对象,次生危害后果又会不断蔓延和放大。
近年来我国曝光的相关案例,表明相关网络平台处理儿童个人信息包括私密信息面大量广,侵犯不特定儿童个人信息和隐私并产生了实害后果。如在柏某涉黑案中,案犯能通过网络平台“同城搜索”等功能搜索未成年女性账户,多名未成年女性在平台交友后被案犯拐卖到卖淫场所,导致被侵害;还有的网络平台对儿童用户注册不加限制,默认关注即可聊天,使相关案犯因在平台交友而收到陌生人发送的滋扰信息,发展为线下约架造成寻衅滋事。这些涉及未成年人的违法犯罪案件,均由网络平台监管不严引发,不但在网络环境中造成恶劣影响,还被不法分子利用形成线下真实案件,后果无法挽回。
案件背后体现了我国对儿童个人信息的司法保护存在的问题:第一,执法刚性不足,行业规范尚未形成,亟需司法监督。目前对儿童个人信息安全的监管思路,基本是放在大数据行业监管的框架下作价值考量的。也就是说,监管机构在行业发展初期,对其中的问题多采取宽容态度,促进数据运用发挥正面作用,而缺少对收集和运用数据行为合法性的关注。“先发展、后治理”的监管思路,无法给予被监管对象有效的合规指引,如对威胁儿童个人信息安全的问题,网信部门等基本采用“约谈、曝光”的柔性措施,不对违法行为进行刚性处罚,无法起到警示作用,法律法规约束力和公信力较弱;第二,个人维权司法成本过高,难以实现。在司法保护途径中,除了刑罚作为最后屏障,在造成难以挽回的严重后果后,对侵犯公民个人信息的犯罪人予以惩戒外,儿童个人信息的综合全程保护尚未实现。特别是对儿童及其监护人而言,在信息生命周期的较早阶段开展保护的难度较大,成本过高。即使监护人下定维权决心,开展维权的进程也异常艰难。2016年我国《个人信息安全和隐私保护报告》的调查表明,在一百多万的调查对象中,六成人对如何维权表示茫然,近一半的人因为程序复杂和成本太高而放弃维权。救济渠道不完善导致儿童及其监护人在主张权利时极其被动,惩罚力度不足导致法律的威慑作用较弱,违法成本低成为网络儿童个人信息持续被滥用的重要原因。
二、网络侵犯儿童个人信息的具体表现与法律适用分析
如前所述,我国《儿童个人信息网络保护规定》作为儿童个人信息保护最直接的法律依据,明确规定了网络平台收集和管理儿童个人信息的一系列原则,《个人信息保护法》也对敏感信息的处理作出更严格限制,但实践中制度的执行在技术操作层面受到诸多挑战。
(一)儿童个人信息在网络平台被大量收集和管理
当前我国移动终端智能应用软件市场中的很多软件平台,均存在收集和管理儿童个人信息情况。儿童登录网络平台的账号、位置、联系人,以及儿童面部识别特征、声音识别特征等信息被网络平台收集管理,可依法认定为儿童个人信息和隐私。以某软件注册账户流程为例,平台要求用户使用真实身份信息注册账号,提供手机号码、电子邮箱地址等信息才可确保正常使用服务。在应用权限列表中,存在确定本机号码和ID、拍摄照片和录制视频、录制音频、读取日历、读取联系人、访问大致位置信息等用户敏感隐私信息的权限,而这些敏感隐私权限中的部分内容在用户注册过程中点击“同意”后,一键均授权应用软件使用;用户登录后,默认被使用并被公开ID账号、所在城市位置信息等,在关注栏目中“你可能感兴趣的人中”推送有“通讯录好友”,在个人资料栏目“ 好友”栏目中,存有手机通讯录中使用该软件的人员列表。此外,有的应用软件会在后续使用中提示用户资料完善,内容包括性别、生日/星座、所在地和个人介绍,资料完善之后均为公开可见。在这些流程中,尽管用户服务协议中有关于未成年人隐私提示内容,但有时用户未经阅读同意也可完成注册登录成为平台用户。值得注意的是,尽管软件平台对儿童用户注册采取放任态度,但软件平台采取标签关联机制,对用户的肖像、性别、浏览内容、时长等,设定数以千记的标签作人员特征识别,一般能精准识别用户年龄段。即软件平台无须儿童注册时清晰标明,通过大数据算法即可识别儿童个人信息,存在明知用户是儿童身份而放任其个人信息被收集的不合法情况。
根据法律规定和司法解释,公民(包括儿童)个人信息的核心特点是“可识别性”,包括身份识别和特征识别两部分,即该主体“是谁”和 “是什么样的人”。其中除了人的自然情况信息,还包括其社会活动信息。隐私的核心特点是“私密性”,即自然人享有私人空间、活动、生活不受干扰的权利。可见,大量网络平台从儿童注册账户开始,就收集管理了儿童个人信息和隐私:首先,网络平台收集的儿童信息可识别个体身份。网络平台在儿童用户注册过程中收集了儿童网络账号、位置、联系人等信息,包括用户在微信、QQ等第三方账户转入的昵称、头像,注册形成的平台账号(识别用户的识别码),以及手机通讯录联系人、用户位置等,都属于法律法规列举的个人信息内容,都能指向识别出特定自然人;其次,网络平台管理的儿童信息可识别个体特征。儿童用户上传到网络平台的视频信息,多数包括了儿童用户本人的面部识别特征和声音识别特征,与用户主体身份具有强对应关系,综合部分视频信息能反映出用户日常生活习惯、偏好等,体现出儿童社会特征,且相关信息与识别儿童个人身份的信息结合后,更能明确指向特定的儿童;第三,网络平台收集管理的部分儿童信息涉及隐私。根据《个人信息保护法》,十四周岁以下的儿童个人信息属敏感信息,个人敏感信息与私密信息存在交叉。网络平台中部分儿童视频内容,反映出家庭住宅、就读学校、活动轨迹等,存在监护人不愿为他人知晓的私密空间、私密信息和私密活动等情形。这些信息如不作有效管理,可能会侵扰儿童生活安宁,甚至会给儿童身心健康带来风险,可视为私密信息。
(二)显著清晰告知并征得监护人同意原则未得到有效落实
监护人知情同意制度是儿童个人信息网络保护中的重要制度,知情同意权是儿童个人信息权的核心权利。该制度的落实以“征得同意”为必要条件,从国际惯例看,信息生命周期的各个环节中均应贯彻落实监护人知情同意制度。
首先,网络运营者具有显著清晰告知义务,对此《网络安全法》第41条、《儿童个人信息网络保护规定》第9条以及《民法典》第1035条均予以明确规定。根据法律法规,网络运营者收集、使用、披露儿童信息需显著清晰告知监护人,是强制性义务。以现有生物识别技术,通过身份证结合人脸识别认证等识别儿童身份,进而由平台自身实现对监护人显著清晰告知,是可行的。若网络平台出于商业利益考量,未设置识别儿童用户前置程序,未采取显著清晰方式有效告知监护人,则明显违反法定义务。同时,依据我国《合同法》第40条的规定,如果网络平台推定用户注册时为完全民事行为能力人,将通知监护人的责任转归于儿童,加重用户责任,也属于违法行为。
其次,根据法律法规,处理儿童信息必须取得监护人明示同意,以强化对儿童监管和保护。《规定》第7条和第9条明确提出了网络运营者处理儿童个人信息的原则和义务,《信息安全技术个人信息安全规范》也有相同规定。但实践中有的网络平台在用户协议中仍然以格式合同推定用户具有相应民事行为能力,针对儿童注册为用户的情形,推定监护人在场,将告知监护人义务直接归属于儿童,儿童注册即默认经过监护人同意,并将因此可能产生的不利后果归责于用户。采取儿童注册“默认获得监护人同意”方式获取儿童信息,无法确保监护人有效参与,剥夺监护人行使知情权和选择权,明显违反法律规定。同时,儿童作为无行为能力或者限制行为能力人,用户协议作为复杂专业合同文本,儿童甚至无法准确阅读和理解,其签署的协议是无效或可撤销的。
(三)未经再次同意超出约定的目的、范围进行推送
《规定》第14条明确了网络平台再次征得同意的义务,实践中网络平台特别是短视频平台为了吸引用户使用,其核心算法逻辑一般是:在采取标签关联机制精准识别用户信息后,采取决策机制将相关人员与推送内容进行匹配,在网络平台的隐私权保护政策中也会显示这种算法推送逻辑。这种算法推送在未明确区分儿童注册用户的前提下,无疑会产生两个风险:一是向儿童用户推送不适宜观看的内容和定向投放广告,二是向有犯罪倾向的人群推送儿童账户信息。双向不当利用儿童个人信息谋取利益、引发违法犯罪行为的情况在实践中均有发生。如果说上述第一种风险是以牟取经济利益为驱动,存在会对儿童用户产生不良影响的风险,那么第二种风险则社会危害性更大,有可能直接引发针对儿童的犯罪行为。在未再次征得儿童监护人有效明示同意的情况下,超出约定的目的、范围,运用大数据算法,向具有浏览儿童视频喜好用户直接推送儿童账户,极易侵害不特定儿童的个人信息权和隐私权,如果平台还默认加关注即可交流,使其他用户可与儿童直接接触,则会导致儿童用户处于危险境地。
(四)知情同意规则下监护人责任的实际履行困境
监护人与网络运营者在儿童个人信息的保护中,均负有义务和责任,但二者在能力上存在不平衡,在信息掌握上存在不对称。监护人为了能在儿童上网过程中予以正确引导,确实需要不断提高网络安全意识,增强风险识别能力,甚至学习一定的专业知识。但是不可否认,如果网络平台不能严格依法有效地履行告知同意义务,即使监护人具备安全意识,了解信息安全的重要性,也只能停留在主观认知层面,无法落实到各种形式多样的网络应用环境和具体场景中,无法主动识别出影响儿童用户信息安全的具体风险点,无法有效引导儿童的上网行为。
一方面,监护人对儿童注册平台是否有效告知难以判断。告知只是形式要求,有效才是结果判定。网络平台有形式上的告知条款和隐私政策,但机械将一份为了规避法律风险而提前拟好的格式条款提供给用户,一般监护人无法阅读其中技术性较强的规则,难以判断是否有效告知;另一方面,监护人对平台使用儿童个人信息是否正当必要难以判断。平台推送儿童个人信息、关注即可聊天等侵权行为,对监护人而言属于技术盲区,如果平台有意仅完成“告知”动作而不对有效的结果负责,监护人面对隐蔽复杂的技术软件和程序纷繁的上网流程,无法切实承担起监督、识别、判断风险的责任,更遑论对儿童进行有价值有意义的安全引导。
三、完善儿童个人信息网络保护公益诉讼路径
(一)公益诉讼司法保护路径的可行性
利用公益诉讼制度保护儿童个人信息,是现有法律框架下既有充分法律依据、又有较成熟实践经验的最优选择,通过公益诉讼途径确立儿童个人信息保护的司法认定标准,并向全行业释放法治信号,有利于解决目前实践中的紧迫问题。
首先,儿童个人信息网络保护属于公益诉讼范围。未成年人最佳利益原则已被《未成年人保护法》明确,也符合国际公约中的儿童利益最大化理念。《民法典》及未成年人专门立法中明确了未成年人特殊保护、优先保护制度,在儿童权益受到侵害时,国家承担最终监护责任,因此儿童权益是社会公益的应有之义。《民事诉讼法》第55条赋予了检察机关公益诉讼主体地位,并规定了公益诉讼范围,“损害社会公共利益”是其核心要旨。近年来,公益诉讼案件的范围的适度拓展,一直是理论研究和实践共同关注的重点和亮点,其中与儿童个人信息网络保护相关的网络公益侵权、个人信息保护、未成年人权益保护、大数据安全均是高频内容。2021年《个人信息保护法》第70条首次立法确立了公益诉讼可以作为个人信息保护的法定方式,并将违法处理个人信息“侵犯众多个人的权益”作为前提条件。可见,侵害不特定众多儿童个人信息和隐私权,造成儿童合法权益遭到侵害,给千万家庭带来伤害,必然属于社会公共利益受损的范围,可以依法提起公益诉讼。在管辖权方面,最高法《关于互联网法院审理案件若干问题的规定 》也给出了相应的法律依据。
其次,除了民事公益诉讼,依据我国《行政诉讼法》第25条一并提起行政公益诉讼,更有利于促进行业源头性治理并形成长效机制。监管作为儿童个人信息保护的重要方式,其效力直接影响保护成效,一方面要通过监管活动规制网络平台处理信息的行为,更重要的是通过行政执法手段的运用,保障法律的有效实施。从推动网络平台行业治理、促进网络平台依法加强对儿童个人信息和隐私权保护的长远目标来看,采取同时提起行政公益诉讼方式进行监督,可以激活行政监管职能,促进行政机关联合执法,发挥优势、形成合力,实现行业源头治理和形成长效机制。
第三,公益诉讼有利于促进互联网企业合规化进程和行业健康发展。2019年美国联邦贸易调查委员会指控抖音公司国际版TikTok,非法收集13岁以下儿童的姓名、电子邮件、地理位置等个人信息,抖音最终被处罚570万美元,为我国互联网企业敲响警钟,互联网行业健康发展必须规范个人信息保护,否则企业即使有暂时发展,走出去也会遭受损失。规范个人信息处理的公益诉讼不但不会制约行业发展,还可以促进企业个人信息保护制度、机制和技术的不断创新。抖音公司在美国被处罚后也加强了技术改进,实现迅猛发展。实践证明,选择儿童群体保护、监护人告知同意原则的切入口提起公益诉讼,能够实现兼顾保护未成年人和促进行业发展的社会效果。
(二)公益诉讼在儿童个人信息网络保护领域的具体适用
1.民事公益诉讼促进儿童个人信息网络保护技术整改
(1)诉讼主体
《民事诉讼法》第55条规定,行政机关和法定组织是排在检察机关之前提起公益诉讼的法定中主体,两高《关于检察公益诉讼案件适用法律若干问题的解释》第13条规定,经过诉前公告,没有法定机关和有关组织主张权利时,可由检察机关代为提起民事公益诉讼。《人民检察院公益诉讼试点工作办法》第13条也明确了,检察机关在提起民事公益诉讼前应督促法定机关或有关组织提起,作为检察机关提起民事公益诉讼的诉前程序。对此,《个人信息保护法》第70条将提起公益诉讼的权利赋予了人民检察院、法律规定的消费者组织和由国家网信部门确定的组织,对三者的提起顺位和程序没有做详细规定。鉴于儿童个人信息侵权的隐蔽性、技术性、规模性等特点,以及国家网信部门的监管职责以及消费者组织收到举报线索的时效性优势,对于侵犯儿童个人信息案件,理应按照相关法律规定,遵守提起诉讼的顺位要求,这样也能督促负有监管职能的行政机关和有关组织切实履行职责,在儿童个人信息保护工作中发挥应有作用。
(2)举证责任
民事诉讼证明责任遵循“谁主张,谁举证”原则,但在网络儿童个人信息侵权案件中,存在举证成本与技术的难题,网络平台极易拥有“数据特权”,制造收集提取侵权证据的困难,为自己逃避法律责任、隐匿侵权事实提供便利。为此,《个人信息保护法》第69条确定了举证责任倒置原则,明确规定个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。这种过错责任推定的举证规则,有利于解决原被告双方在个人信息侵权案件中的证明能力悬殊问题。
(3)诉讼请求
综合考量法律法规的担责方式和规范网络治理的诉讼目的,可以通过停止侵害、消除危险、赔偿损失、赔礼道歉的民事公益诉讼请求,针对网络平台收集、管理、推送儿童个人信息的违法问题进行整改:
第一,停止侵害,规范网络平台收集和管理儿童个人信息。网络平台应秉持企业社会责任,用正确的价值观指导算法,停止对儿童用户个人信息和隐私的侵害,传播正能量。如要求网络平台在第三方技术机构见证下,运用算法技术筛选已经收集、使用的儿童个人信息和隐私信息,对相关儿童账户进行加密保护,并默认禁止“关注即可聊天”功能。设定合理期限,要求平台采取身份证、人脸识别等验证方式,征求儿童用户监护人意见,对监护人明示同意儿童注册帐户的,该帐户可在公共空间继续使用;对监护人明示不同意注册的,对相关儿童帐户及信息予以删除。此外,如在规定期限内未能联系到监护人的,要求平台对不满八周岁的儿童帐户及信息予以删除,并将已满八周岁的儿童帐户及信息,纳入青少年保护模式严格管理。
第二,消除危险,完善显著清晰告知并经监护人同意条款。为推进侵权平台网络治理的建章堵漏,应当要求网络平台完善用户审核管理机制,全面建立儿童个人信息网络保护体系,预防新的侵害行为发生。要求平台对儿童监护人默认同意授权的行为进行整改,增加显著清晰告知儿童监护人并经明示同意授权的条款;在用户服务协议、隐私权保护政策条款中,充分告知监护人儿童信息使用目的、范围;禁止向其他用户再次推送儿童个人信息;在技术层面,通过身份证识别、人脸识别等验证技术,主动加强识别后的告知义务执行和检查;在管理层面,专门设立儿童个人信息保护部门,专人审查和检查儿童个人信息收集、管理、推送情况,以有效落实儿童监护人告知同意规则。
第三,损害赔偿与道歉,敦促企业平衡获取经济效益与承担社会责任。儿童个人信息和隐私的采集利用能够为网络平台带来商业利益,这也是网络平台不惜利用儿童个人信息侵犯未成年人合法权益的动机所在,通过赔偿和处罚方式,可以提高企业违法成本,倒逼其重视企业效益之外的公共利益。《民法典》规定了侵权赔偿责任的数额标准,《个人信息保护法》第69条对个人信息侵权案件的侵权赔偿数额给予了更明确法律依据。据此,原则上可按照网络侵权平台获利情况,提出较高赔偿金额,以此警示和督促网络平台在经济效益之外承担社会责任。此外,能否在公益诉讼中提出惩罚性赔偿金,一直是学界争议的问题。《民法典》没有专门针对个人信息侵权案件作出赔偿规定,《个人信息保护法》的规定的赔偿责任以补偿性赔偿为主。但从《民法典》关于惩罚性赔偿制度的立法本意看,对于行为人主观恶性大且行为造成严重后果的,以公共利益维护为出发点,可以提出惩罚性赔偿。司法实践中,检察机关也有针对侵犯消费者个人信息提起公益诉讼惩罚性赔偿金的个案尝试。而侵犯儿童个人信息案件,从对象特殊性看,无疑是侵犯个人信息案件中恶性大、获利高、后果严重的案件,给社会和家庭带来严重危害,未来可以通过惩罚性赔偿加强对儿童个人信息的保护力度。
除损害赔偿外,作为互联网企业责任,侵权平台在案件发生后,应当在全国性媒体上公开赔礼道歉,发挥司法威慑作用,警示公众关注儿童个人信息和隐私安全问题,促进行业整改。
2.行政公益诉讼加强儿童个人信息网络保护行业规范
根据《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》第21条,在出现网络平台侵犯儿童个人信息和隐私权案件,而相关行政责任主体没有履行监管职责时,可以考虑一并提出行政公益诉讼。根据《个人信息保护法》《网络安全法》《网络信息内容生态治理规定》《互联网信息内容管理行政执法程序规定》等相关规定,国家网信部门负有网络安全的统筹监管职能,是保护儿童个人信息安全的主责部门。《个人信息保护法》第66条赋予了监管部门对侵犯个人信息的应用程序、主管人员和其他责任人员等责任主体的行政处罚权,包括要求责令改正,给予警告,没收违法所得,,责令暂停或者终止提供服务,停业整顿、通报有关主管部门吊销相关业务许可或者营业执照,罚款和执业禁止等。
实践中如果因主管部门监督管理不到位,使网络平台在利益驱动下违反法律规定,造成不特定多数儿童利益受损的损害后果,则监管失职与侵权后果发生存在因果关系。证明责任方面,根据《人民检察院公益诉讼试点工作办法》第44条,在个人信息保护行政公益诉讼案件中,检察机关承担证明行政机关“违法使用职权或者不作为,致使国家利益或者公共利益收到侵害”的初步证明责任,没有消极或不当履行职责的证明责任由行政机关承担。
综上,司法机关可以建议网信部门等行政执法机关,综合运用行政处罚权,采取多种处罚措施,包括但不限于责令改正、给予警告、没收违法所得、罚款、暂停业务、停业整顿、关闭网站、吊销相关业务许可证或营业执照等,由轻到重,逐步推进,促进侵权网络平台秉持企业社会责任,用正确的价值观指导算法,停止对儿童用户个人信息和隐私的侵害,同时推进网络平台网络治理的堵漏,以有效增强民事公益诉讼效果。此外,对于达到合规标准的网络运营者,可以考虑给予优惠措施、行业奖励、荣誉称号等方式,激励其更好地保护儿童个人信息,履行社会责任。
四、结语
儿童个人信息网络保护是全社会共同的责任,“全社会都要了解少年儿童、尊重少年儿童、关心少年儿童、服务少年儿童,为少年儿童提供良好社会环境”。保护儿童个人信息,应将刑法治理、公益诉讼和其他方式有机结合,形成法律规范的协调统一,共同构筑相关侵权行为的法律责任和制裁体系,实现对数据滥用的有效治理。《个人信息保护法》赋予了个人信息保护公益诉讼制度法定地位,为儿童个人信息司法保护提供了法律依据,但仍存在对儿童个人信息侵权特殊性回应不足的问题,应在制度设计和实施过程中进一步完善相关配套机制,丰富诉讼请求内容,增强诉讼效率效果,切实发挥公益诉讼作用,打造行业自律、行政监管、司法救济的全面系统保护网络,实现儿童个人信息网络保护的全局性和有效性。
●
重磅!“两高两部”发布《关于未成年人犯罪记录封存的实施办法》(附答记者问)●
《个人信息保护法》具体适用中的若干问题探讨——基于《民法典》与《个人信息保护法》关联的视角●
未成年人保护:最高人民法院发布典型案例(附答记者问)
声明:本文转载自“法律适用”微信公众号,在此致谢!
编辑:潘园园
排版:熊媛媛
德 吉
审核:刘 畅
,
