未成年人数据权利保护与被害预防研究
——以美国《儿童在线隐私保护法》为例
单 勇
(南京大学 法学院,江苏 南京 210023)
摘 要: 随着信息技术对社会生活的全方位影响和系统性塑造,未成年人群体的“数字生活”日臻成型,但未成年人涉网被害也随之加剧。无论是群体层面的信息泄露和被滥用,还是个体层面的涉网被害,均呈现趋重态势。以线下治理为特征的传统被害预防应对乏力,实现未成年人被害预防的线上保护迫在眉睫。对此,从数据权利保护出发实现被害预防成为新思路,美国《儿童在线隐私保护法》对未成年人数据权利的法律保护模式值得借鉴。这一立法模式在夯实互联网企业平台责任、完善政府监管、加强侵权救济及刑法控制等领域对数据权利的保护具有重要启示,并对信息社会未成年人被害预防的实现颇具借鉴价值。
关键词: 未成年人涉网被害;数据权利;《儿童在线隐私保护法》;平台责任;被害预防
一、问题:传统预防模式应对未成年人涉网被害乏力
未成年人被害预防和犯罪预防是犯罪治理一体两面的重要组成部分。本文主要讨论被害预防,即预防未成年人沦为潜在被害人,避免被害发生①。当前,被害预防机制主要是基于《未成年人保护法》《预防未成年人犯罪法》的“家庭—学校—社会—司法一体化保护模式”,立足于线下保护,将未成年人与不法分子、不良信息进行物理空间隔离。根据情境预防理论,通过优化环境,减少环境中存在的犯罪机会和促成条件以影响行为人的选择,可达到预防犯罪的目的②。结合我国社会发展进程,在农业社会,人们依附土地生存,人口流动性小,处在熟人社会之中,侵害未成年人的犯罪主要是拐卖儿童罪及熟人间发生的性犯罪;在工业社会,虽然人口流动加剧,但仍未脱离地域的限制,犯罪的实施地大多数为犯罪分子居住地(包括暂住地),被害未成年人与犯罪分子处在同一时空场域中。对此,通过加强对中小学校及周边的监控、娱乐场所的排查、家庭监护等空间防卫方式以营造良好环境的方式在相当程度上能够避免未成年人被害。随着人类步入大数据时代和智能社会,针对现实空间的传统被害预防对涉网络被害应对乏力。
伴随“互联网+大数据+人工智能”的三浪叠加,人类生活从物理、现实空间扩展到虚拟、网络空间。截至2018 年12 月,我国网民人数达8.29 亿,19 岁以下网民占21.6%③。在网络社会,人类突破地域限制,在网络空间内自由流动,不法分子有多种渠道可直接接触世界各地的涉网未成年人。网络蕴含的社会价值、经济价值极大刺激了犯罪的发生,不法分子借助网络灰黑产业的蔓延以非法手段获取及滥用未成年人信息,直接或间接实施电信网络诈骗、性犯罪等行为。因此,当下未成年人涉网被害问题突出。
随着电网的迅速发展,配套通信网络在高速建设,新设备大量投产,预示着通信设备巡检的工作量也必将大幅度增加[1]。电力通信设备巡检是保证电力通信设备安全稳定运行的基础工作。定期巡检可以及时发现通信设备的损耗、故障和缺陷问题。
从个体被害视角看,针对未成年人的财产诈骗、性犯罪屡禁不止。据笔者调研了解,2017 年上半年,就读于某省会城市某公立小学六年级的女性未成年人在接触某直播视频APP 后,在该平台发布有关自己的小视频。犯罪嫌疑人沈某以帮助“涨粉”为借口,私信被害人并互加社交账号。之后沈某使用多个QQ号,冒充多个身份,以“涨粉”为由骗取被害人裸照、裸聊视频,以此要挟被害人与其发生性关系,甚至多次以发布裸照为由胁迫被害人在网上与成年异性裸聊、外出卖淫,以此牟利。案发后,沈某手机还原的信息显示,沈某欺骗的女孩大多在12岁左右,最小的甚至未满10 岁,涉案被害未成年人达百人以上。由于部分家长担心报案会泄露孩子隐私,最终只有两名被害人选择报警。本案虽是个案,但反映出互联网时代侵害未成年人行为的新形态,即不法分子通过网络平台与未成年人进行差异交往,获取未成年人信息,借助社交软件骗取未成年人钱财甚至色情视频、照片,进而通过威胁未成年人实施其他违法犯罪活动。
从群体被害视角看,未成年人信息被窃取、贩卖及非法滥用成为数据侵权的新形态。据报道,“暗网”将未成年人的社会安全号码、姓名、地址、账户账单、银行卡数据、安全问题的答案等进行非法售卖,这些信息可用来进行税务欺诈,在提交纳税申报表时利用儿童抵免税款,也可以儿童数据创建所谓的“合成身份”,从而实施金融诈骗④。相关数据显示,国内教育类APP 窃取用户隐私的行为极为猖獗,追踪用户位置更是对未成年人的人身安全构成严重威胁。随着儿童智能手表、智能玩具、智能教育产品等包含大量个人数据的智能设备融入未成年人生活,未成年人数据泄露可能将日益加剧。
如今社会,为求发展,更多的企业盲目的提升生产力,不计成本的加大投入,将更多的人力物力放到日常生产中,导致财会部门出现人手不足的现象以及管理者对财会工作监管不到位等问题,甚至还会导致正常财会流程的缺失,这些现象造成很多企业财务基础工作薄弱,账簿、各种原始凭证的严重缺失会对后期财会工作造成很大的影响,这些重要票据的丢失,会导致管理者对资金的掌控不到位,他们不能准确的了解当前资金使用情况,这会对企业接下来的规划造成影响,如果在公司日常发展中偶遇突发状况,还很有可能导致资金链的断裂,最后导致公司破产等严重后果。
从犯罪学视角看,未成年人涉网被害高发与未成年人生活、学习、娱乐方式存在强相关性。犯罪学家科恩和菲尔逊提出的日常活动理论对此具有较强解释力。该理论认为,现实社会存在大量的潜在犯罪人,被害人的日常活动方式将会影响犯罪人的选择,在缺乏监管及监管有限的情况下,犯罪极易发生⑤。基于日常活动理论,潜在犯罪人、潜在被害人及缺乏有效监管三个因素的时空汇聚将催生犯罪⑥。该理论同样可用于解释网络社会未成年人被害的发生。在网络空间中,不法分子、未成年人及法律监管薄弱等因素汇聚,这加剧了不法分子对未成年人及其数据权利的侵害。当前,我国对未成年人网络活动及其数据权利的法律保障相对滞后,主要体现在以下三方面:
(1)分选设备都具有一定的分选下限,而细煤泥随机分配进入精煤或尾煤中,会造成精煤污染或浪费。只有将高效分级设备的研发以及对细粒级产品处理方式的考虑,纳入粗煤泥分选系统的发展中才能更好地改善分选效果,提高经济效益。
第一,未成年人网络保护立法滞后。有关未成年人网络保护的法律、法规散见于各个部门法中,线下保护模式单纯禁止未成年人接触网络不良信息的策略落后于时代发展步伐,对网络犯罪、网络欺凌、不良信息传播等问题尚缺乏系统性的应对策略。新出炉的《儿童个人信息网络保护规定》对个人信息保护、网络欺凌、网络防沉迷、相关主体义务等进行了系统规定,试图构建未成年人的网络安全保护体系。该规定在未来能否真正贯彻落实,能否有效预防未成年人涉网被害,值得进一步关注。
第一,非法获取、出售、窃取个人信息的行为可能涉及侵犯公民个人信息罪。《刑法修正案(九)》规定,出售、提供、非法获取、窃取个人信息的,情节严重的,构成侵犯公民个人信息罪。2017 年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息、刑事案件适用法律若干问题的解释》第五条对《刑法》第二百五十三条之一规定的“情节严重”作出了详细规定,如“(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的”“(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的”,这为刑法介入提供了极为明确的入罪标准。
第三,国家对互联网企业的法律监管仍有较大提升空间。无论是专门性法律依据和行政监管机制创新,还是企业平台责任落实及典型案件司法处遇,均未将未成年人的特殊性保护从成年人的一般性保护中分隔和凸显出来。工信部门、公安机关、互联网平台企业的职责划分不清,特殊性保护的衔接机制不明。此外,囿于监管信息技术的门槛较高,法律监管的有效落实亦存在较大难度。
实际上,马铃薯种植密度会受到多种因素的影响,不管是土地环境还是马铃薯品种都会影响马铃薯的产量,因此在种植马铃薯的时候一定要明确当地的土壤情况,选择适合当地的马铃薯品种,随后根据土壤条件控制马铃薯种植密度。
综上,致力于空间分隔的未成年人被害预防模式仅能应对来自现实社会的不法侵害,但在网络社会则亟待适应性调整。在大数据时代,个人数据的采集、运用、交易、公开等关系到多方主体的利益,个人数据权利成为网络生活及数据法的基石。由此,以未成年人数据权利的法律保护实现被害预防成为防范未成年人涉网被害的新思路。
二、思路:以数据权利保护助力未成年人被害预防
(一)未成年人数据权利的性质及内涵
大数据的兴起使个人数据权利保护问题变得异常重要。对于个体来说,海量个人数据被收集、分析之后极易对个人数据权利造成潜在威胁。对于数据控制者来说,大数据分析能够产生巨大的经济效益和社会效益,数据量和数据规模的增长使个人数据所蕴含的价值和作用愈发凸显。对此,必须对数据控制者、使用者获取、使用、存储数据的正当性及合法性以及个人的数据权利进行法律授权和约定,尤其是明晰未成年人数据权利的性质及内涵。未成年人数据权利与个人数据权利是特殊和一般的关系,未成年人数据权利既具有数据权利的共性特质,也具有针对未成年人优先保护的特殊性问题。
关于个人数据权利的性质,主要有人格权说和财产权说相关观点。人格权说认为,对个人数据赋权旨在保护隐私权等人格尊严与人格自由⑦。如果个人无法自主决定其信息被收集、使用,则侵犯了人格尊严及人格自由。在欧洲,数据权利被视为一项基本人权,个人数据保护具有宪法意义⑧。财产权说以王利明教授为代表,认为数据具有财产利益,强调个人优先享有,因此也需要对企业的数据行为进行制约。张宝新教授认为,解决数据经济的难题,必须承认数据主体对个人数据的财产权利,以此来约束数据企业的行为。还有学者认为,数据权利兼具两种属性。我们认为,数据权利兼具人格和财产属性,数据权利的人格权属性主要涉及个人隐私,旨在保障大数据时代个人信息不被非法获取、使用、处理;财产权属性旨在保障个人数据的流通,从而产生更多的经济效益。
适建区主要分布于荣成经济开发区、港西镇、成山镇、港湾街道、斥山街道、桃园街道、王连街道、东山街道、宁津街道。根据资源禀赋和区域特点,港西镇、成山镇和港湾、斥山、桃园、王连、东山、宁津有丰富的旅游资源,可优先发展旅游建设,尽量减少旅游设施对生态环境的影响和破坏,构筑水系和绿带等生态廊道,保障生态系统的完整性;荣成经济开发区,要发挥资源环境承载力较强的优势,在城市建设中起带动作用,促进战略性新兴产业、先进制造业、现代服务业以及高效生态农业的联动发展,建设现代产业集群,增强产业竞争力,完善人口集聚和产业发展的联动机制,提高城市的集聚和辐射能力,积极承接限制区的人口和产业转移。
上述观点代表数据权利的不同保护路径。从财产利益角度看,保护个人数据具有一定弊端。对于个人而言,普通人难以靠出售自己的数据赚钱,普通个体的个人数据很难产生价值,在被收集、分析后,才产生商业价值⑨。个体每天产生大量数据,有些甚至是无意识行为,如果数据企业获取数据都要支付对价,无疑会增加企业运营成本。如果允许个体以自身数据盈利必将限制数据的流通、阻却大数据应用的发展。正是海量数据的存在,才使得个人数据的价值得以凸显。如果以对价交换来保护数据,反而会本末倒置。可见,对于个体尤其是未成年人,数据权利的保护主要侧重于保护人格尊严及人格自由。
2019 年3 月30 日,扎克伯格在《华盛顿邮报》发表观点,呼吁政府和监管机构在互联网监管领域发挥更为积极的作用,对在线隐私加强保护[21]。当前,政府监管网络活动的主要形式就是引导、支持互联网企业履行平台责任,通过平台企业以业务合规为主渠道发挥行业自律功能,而政府相关部门负责指导和监督互联网企业履行平台责任。未成年人的数据权利保护,同样需要平台企业发挥作用。对此,可借鉴COPPA的相关经验,通过完善未成年人信息保护立法和平台责任立法的方式,加强未成年人涉网被害预防。
需要予以保护的未成年人数据权利,主要包含以下权利:第一,知情同意权,即对信息的收集、使用、转让应当告知未成年人及其监护人,未成年人及其监护人具有同意或拒绝的权利。第二,更正权,未成年人及其监护人发现被收集、存储的个人信息有错误,有权要求数据控制者予以更正。第三,被遗忘权,未成年人及其监护人有权要求数据控制者删除过时的、产生不良影响的个人信息。对上述三类权利进行重点保护,有利于防范未成年人信息被不法分子非法获取和滥用,减少信息泄露的风险,减少未成年人被害案件的发生。
(二)基于未成年人数据权利保护的被害预防新思路
作为一种新型权利,数据权利旨在保护数据安全,避免个人数据被不当收集、泄露,从而侵犯人身权、财产权。未成年人的数据权利保护是未成年人涉网被害的关键点。
从原因上看,未成年人涉网被害系数据应用迅猛发展的负效应表现。当前,企业数据收集、使用行为大幅增加,数据侵权、数据泄露现象屡禁不止。2018年,Facebook、顺丰等企业均发生了用户数据泄露事件。数据被泄露、被滥用、被非法交易构成了针对未成年人实施的上游违法犯罪行为,未成年人的数据和信息成为不法分子得以实施犯罪的关键环节。正如徐玉玉案,如果没有信息被黑客窃取,徐玉玉被诈骗的事件可能就不会发生。
除行政监管、公益诉讼救济外,也应发挥刑法对互联网企业违法行为的惩罚作用。在数据保护方面,互联网企业违反相关法律规定,可能构成以下三种犯罪:
基于原因和实质层面的分析,未成年人数据权利保护有助于被害预防目标的实现。若能规范互联网企业信息收集、利用、存储、处理程序,引导、规范未成年人涉网行为,将能有效预防未成年人涉网被害的发生。具体来说,应依循法治之道保障未成年人的数据权利。目前,《刑法》《网络安全法》《关于加强网络信息保护的决定》等法律法规对个人信息保护提供了法律依据。《民法典人格权编草案(二审稿)》增加对个人信息的保护,规定收集未成年人信息需要监护人同意,对违反规定收集的信息可要求信息持有者删除,必须采用技术措施确保信息安全,对职务行为获取的个人隐私应当保密等。相关立法表明个人信息保护的重要性,体现出保护未成年人个人信息的必要性。遗憾的是,我国对数据权利的规定散见于各单项法律法规之中,且没有明确未成年人具体拥有哪些数据权利。关于个人信息收集、使用的规定,难以挣脱传统知情、同意的框架,既有法律散见规定的可操作性低。对此,回顾和反思美国《儿童在线隐私保护法》对未成年人数据权利的保护框架,有助于我国未成年人数据权利保护的有效改善。
单作某一种品种对资源环境会造成破坏和过度汲取,几年后产量下降,病害增多,效益下降,农民种养风险较大。通过稻渔综合种养,即使在苗种价格高、饲料价格逐年上升、单产水平低等不利因素的影响下,仍可获得较好的经济效益。
三、借鉴:美国《儿童在线隐私保护法》的权利保护模式
2019年2月28日,抖音海外版TikTok因非法收集13岁以下儿童信息被美国联邦贸易委员会(简称FTC)处以570万美元的罚款[11]。对此,TikTok团队声明接受处罚,并将推出适用于13岁以下儿童的特殊版本。TikTok团队违反了美国1998年颁布的《儿童在线隐私保护法》[Childrend’s Online Privacy Protection Act(COPPA)]的相关规定,因此有必要系统梳理该法案的相关内容并深入理解该法案所蕴含的数据保护策略。
(一)《儿童在线隐私保护法》的网络运营商义务
1990 年以后,美国儿童在线访问网站的人数激增。联邦贸易委员会调查显示,85%的网站从用户那里收集了个人信息,大部分的儿童网站收集儿童信息,只有极少数网站具有隐私政策[12]。有评论员认为,13 岁以下的儿童没有能力了解网站性质,无能力应对网站信息收集的要求,存在泄露隐私的风险[13]。儿童不仅会面临互联网色情内容的风险,还可能遭遇因可识别信息泄露带来的离线性诱惑和身份盗窃。因此,在1998年10月21日,时任美国总统克林顿签署了《儿童在线隐私保护法》。
COPPA主要规制了两类在线危险:一是防止网站要求儿童回答相关的和侵入性的问题,以收集信息用于直接营销目的,甚至出售给第三方[14]。二是避免恋童癖者伪装成儿童在线与儿童互动,在获得儿童信任之后,与儿童见面从而产生悲剧后果[15]。社交工具的危险之处在于,儿童会自主提供个人信息,即便网站没有要求或者提示他们不要随便公开个人信息。于是,网络中潜藏的不法分子就有机会在线甚至离线接触未成年人。由于儿童缺乏足够的认知和辨别能力,也易轻信他人,较容易受到这两类危险的侵害。COPPA 通过规定网络运营商的义务来保障儿童远离这两类危险。
COPPA 规定网络运营商具有以下义务:第一,收集13周岁以下儿童信息时,需获得其可验证的父母的同意。在COPPA 框架下,数据收集的范围包括:儿童通过填写网站提供的数据表格等数据;网站通过cookie和其他方式自动收集技术进行的“被动”数据收集;收集儿童在线公开的数据[16]。第二,儿童主动向网站提交信息时,网站需通知其父母,告知其父母有哪些权利,在获得同意后,需按照规定获取、保存、使用信息。第三,向儿童父母发出征询的通知需包括隐私政策、数据使用的范围等,并确保收到的同意来自儿童父母。第四,运营商仅在合理必要的时间内保留儿童个人信息,一旦他们处理了这些信息,就必须“采取合理措施防止未经授权的访问”。第五,运营商需采取合理措施,只向能够维护此类信息的机密性、安全性和完整性的服务提供商和第三方发布个人信息。
作者简介:林斌,男,福建省南靖县山城镇文化技术学校,一级教师,南靖县山城镇优秀教师,本科学历,研究方向:小学数学教育。
(二)对网络运营商的监管策略
⑩于靓:《大数据时代未成年人被遗忘权的法律保护》,《江海学刊》2018年第2期。
以诉讼方式监管指主要通过公益诉讼起诉运营商。如果州检察官认为当地居民的利益已经遭受或者正在遭受威胁,可向有管辖权的地方法院提起民事公益诉讼,儿童或其监护人无权提起诉讼。个人数据的侵权通常不仅发生在个体身上,也兼具群体性特征,通过公益诉讼维权,能最大限度地保障当事人权益。但公益诉讼时间过于冗长,诉讼方式缺乏处置数据滥用的灵活性和便捷性。此外,FTC 根据检察官的通知参与诉讼,并有权对诉讼中的情况进行陈述,对结果不满时还有权提起上诉。
在公益诉讼以外,COPPA 还规定由FTC 对运营商进行行政监管。作为执法机构,FTC 建立于1914年,最初的执法业务仅限于商业不公平竞争。美国国会于1938 年授权FTC 对“不公平或欺骗行为、做法”采取行动。FTC 是执行多种反托拉斯和保护消费者法律的联邦机构,其通过消除不合理的和欺骗性的条例或规章来确保和促进市场运营的顺畅,阻止给消费者带来危害的行为发生。即使在未对消费者造成损害的情形下,FTC 也能采取行动。在消费者把消费从实体世界转移到了网络世界后,FTC 也紧随其后成为在线平台的监管者。随着时间的推移,FTC致力于关注平台的信息隐私和安全实践,在保障消费者的个人数据被合理收集、使用及平台尊重消费者选择方面发挥重要作用[17]。
FTC 还可对运营商进行调查,对违规企业进行处罚。FTC对TikTok的巨额罚款正是在对运营商调查之后做出的。FTC 制定了安全港原则,这是对保护儿童权益的运营商的激励措施,符合规定的运营商可通过解释向FTC 申请安全港待遇,允许经批准通过的行业成员创建自己的COPPA监督项目,并提供自己的合规指南。2012 年的修正案要求安全港项目对其成员的信息实践进行年度全面审查,并向FTC提交年度审查结果报告。FTC对许多在线平台采取了强制措施,包括谷歌、推特、Facebook 等。除对在线平台采取强制措施外,FTC 也通过通知的方式告知用户如何保障自己的数据安全,采取积极措施警告消费者不要使用未经适当通知和同意就收集信息的技术。FTC还监管数据产品被用于欺诈行为的情况。可见,FTC 在消费者数据安全与隐私保护等方面具有重要作用。
(三)《儿童在线隐私保护法》的社会影响
在COPPA通过之前,美国对网络行业的监管一直采取行业自律的模式;但随着网络对人们生活影响的深入,行业自律模式的弊端愈发凸显。没有强制执行力保证,运营商为了商业利益会肆无忌惮地侵犯儿童利益。自律模式下的第三方监管机构往往出自行业内部,中立性和公正性难以保证。用户们面对格式隐私保护条款,往往没有选择的余地。COPPA 的出台起到对互联网运营商的有效监管作用。通过立法明确规定运营商应承担的义务及救济途径,弥补了自律模式的不足,保障了儿童及其监护人对在线隐私处分的权利。如父母有权不同意儿童使用特定社交娱乐工具,儿童个人信息泄露的风险由此减少。COPPA 体现了美国行业自律与积极法律监管相结合的特点,对网络治理有较强的指导价值。
自COPPA实施以来,美国各界对该法也存在一定争议。如有观点认为COPPA 侵犯了儿童言论自由的权利[18]。由于COPPA的规定适用于13岁以下儿童的数据收集,网站通常只是禁止12岁及以下的用户使用,而不是试图遵守COPPA 的规定。同时,允许12 岁以下儿童访问网站往往对这些儿童的互动设置严格限制,以防他们泄露个人信息。因此,有人认为COPPA 的实际效果是阻止13 岁以下的孩子在大多数社交媒体平台上自由表达自己的思想。在父母同意制度到位之前,许多在线企业可能会选择谨慎和过度合规,也有企业为降低成本会直接删除13岁以下儿童的信息,这都会对言论自由造成侵害。再如,实施父母通知、同意制度成本高昂,小型互联网公司难以承受巨大的成本压力,实施该措施可能会阻碍中小型网络运营商的发展。父母同意方式强加的经济和技术负担最终将减少网站用户数量,可能会迫使网站运营商参与不当的自我审查[19]。
综上,美国对未成年人数据权利的法律保护有如下特点:第一,对未成年人在线隐私进行专门保护,区分成年人与未成年人,根据未成年人的特性,单独立法予以保护。第二,在立法内容上,COPPA立法明确在线运营商的义务并规定严厉的处罚措施,同时明确监管机构的职责,赋予监管机构相应权力。第三,儿童在线隐私遭受侵犯时,由检察官提起公益诉讼,更易保障儿童的权利。第四,从有观点质疑COPPA侵犯儿童言论自由可以看出,美国更倾向于保护言论自由。由于《美国宪法第一修正案》关于言论自由的规定,美国法律不能要求网络运营商对网络上传播的信息进行事先审查及过滤[20]。未成年人对个人信息保护的意识不足,很容易自主泄露个人信息,故有必要通过外界强有力的保护来保障其身心安全。我国在借鉴美国经验时,应取其精华,并注重贴合我国国情和经济社会发展需要。
四、启示:落实企业平台责任,改善未成年人涉网被害预防状况
未成年人与成年人的区别在于心理认知水平及成熟度不同,未成年人对世界的认知能力明显低于成年人,这是未成年人更易被侵害的生理、心理原因。从国际法到国内法都规定对未成年人群体进行特殊保护,《儿童权利公约》规定成员国应将儿童的最大利益作为首要考量。我国《宪法》规定了对儿童的国家保护,即由法律、行政法规、地方条例组成的一体化保护模式。由此可见,未成年人数据权利保护具有这三个特殊性:第一,坚持优先保护原则。当未成年人与成年人、企业的利益产生冲突时应优先保护未成年人的利益,始终将未成年人的权益放在首位考虑。第二,未成年人数据权利的内涵更为广泛。以被遗忘权为例,成年人的被遗忘权范围包括过时、不相关的个人信息,而未成年人被遗忘权的内容还包括可能对未成年人造成不良影响的个人信息⑩,这主要是防止这些信息受侵害对未成年人就业、受教育等产生影响。第三,未成年人数据权利的保护力度更大。作为弱势群体,未成年人权利受侵害的危害性更大,自主维权难度着实不低。因此,需要从源头上对未成年人权利给予强有力的保护,预防未成年人被害。
(一)互联网企业平台的法定义务
互联网企业平台作为网络运营商,具有保障网络安全的法律义务[22]。在大数据时代,网络平台在收集个人数据信息时,理应承担数据安全保障义务。随着未来数据法的不断完善,企业对未成年人数据保护的具体义务将获得系统性界定。未成年人涉网被害的重要诱因在于,互联网企业未对未成年人使用社交娱乐软件进行特别的程序设置,致使未成年人个人数据泄露或被盗用、滥用,引起不法分子的注意。因此,预防未成年人的涉网被害,有必要明确互联网企业在未成年人数据保护方面的相关义务:未成年人注册社交娱乐软件时,需要取得其父母的同意;对未成年人信息的收集、使用、公开,需要取得其父母的授权;根据未成年人父母的要求,及时更改、删除未成年人的信息,且不得进一步保存可识别的信息;采取必要的技术手段,保护其收集的信息安全;针对在互联网平台上传播的未成年人色情、暴力信息,互联网企业应及时删除并对传播用户采取措施;社交、娱乐软件应进行特别的程序设置,例如限玩时间段、部分内容不可见等。如英国《泰晤士报》报道,为防止未成年人使用社交网络成瘾,英国独立监管机构拟规定未满18 周岁未成年人禁止在社交媒体上点赞[23];德国新社交媒体根据用户年龄设置网络分级制度;美国TikTok经FTC处罚之后,也将会推出针对13周岁以下儿童的特殊版本。
与此同时,互联网企业需采取技术手段,通知未成年人父母并获得他们的同意。面对父母的询问及要求,建立有效的沟通途径。在设计产品、服务、系统时,事先采取技术管理措施,充分考虑个人数据保护因素,保障数据安全[24]。互联网平台可联合行业企业建立行业自律机制,在企业内部和行业内设立相应的监管职位或第三方监督机构,如阿里巴巴集团就设立了专门的数据分析和监管职位——首席数据官,负责企业与数据相关的业务。
(二)互联网企业平台的政府监管
据新华社报道,德国执法机构2019 年5 月3 日宣布已摧毁全球第二大暗网交易平台,该平台涉及毒品交易、窃取数据、伪造证件和恶意软件等交易项目6.3万个[25]。在网络治理中,政府监管是核心。国家网信办透露,我国将加快制定个人信息保护法,加强对网络企业的监管,加大对个人信息的保护力度[26]。2019年年初,有关部门开始对大数据行业的乱象进行专项治理,如在微信上开通“APP 个人信息举报”公众号、对30多款应用软件提出整改要求。除一般性的政府监管外,还应从以下几方面落实:
第一,通过法律明确未成年人数据保护的主管部门。在监管部门内划分出监管互联网企业数据安全的团队,并配置网络技术人员。赋予相关部门相应的职权,对信息密集的互联网企业进行主动调查,对不符合要求的企业作出处罚。互联网企业需向主管部门提交未成年人数据安全保障报告,包括如何获得同意、隐私政策、信息公开范围等。
第二,对于达到合规标准的互联网企业,给予政策上的扶持。企业履行未成年人数据收集、使用、公开的通知义务,需耗费巨大的成本,可能对中小互联网企业运营造成影响。如果企业能够尽责履行规定,应在税收、项目申报等方面给予其相应优惠,以此激励互联网企业。
第三,提升对企业的罚款额度,增加数据滥用行为的违法成本。如美国FTC对TikTok作出570万美元的巨额罚款;在英国,严重违规的企业将面临营业收入4%的巨额罚款。相对英美对违规企业的处罚力度,我国的处罚力度明显不足,难以对企业起到应有的威慑作用。
(三)互联网企业侵权行为的救济方式
互联网企业违反法定的数据保护义务,对用户的权利造成侵犯,个人可通过民事诉讼方式救济其权利。在“用户-网络服务商”的关系结构中,用户具有天然的弱势地位,在网络用户权益受侵害时,势单力薄的个人难以诉诸法院;即使起诉,由于数据侵权举证难、维权周期长,原告也难以达到预期的目的。可见,单纯依靠民事诉讼方式对数据权利进行救济具有局限性。
美国COPPA赋予执法机构和公职人员以诉权,降低被侵权人的维权成本,加强了对运营商的威慑力。对在线隐私侵权提起公益诉讼主要是为了保护扩散性利益,即特定事实的发生使原本没有关系的当事人共同拥有同一种利益[27]。这种利益可能属于社会上的每一个人,而不属于特定的人。地方检察官只要认为运营商对州居民的利益造成损害,即可提起诉讼,而不必明确有哪些被害人。数据权利代表未成年人的群体性利益,当互联网企业实施侵权行为时,往往侵犯了集体或群体的权益。对此,我国可扩大公益诉讼的适用范围,将数据侵权纳入其中,由检察院对侵犯未成年人数据权利的行为提起诉讼。
美国儿童保护组织也可向FTC 提交起诉书,要求对侵犯儿童权益的公司进行调查。据《华尔街日报》报道,2019年5月10日,美国隐私和儿童权益保护团体联盟向FTC 提交起诉书,称亚马逊公司正通过其Echo Dot Kids 设备不恰当地记录和保存未成年用户的对话,在父母积极尝试删除数据后仍将数据存储在云端,要求FTC 对此进行调查。我国的未成年人保护组织也应发挥类似的积极监督作用,对违反规定收集未成年人信息的公司进行举报、投诉,要求相关部门进行调查。
(四)数据滥用行为的刑法规制
从实质上看,未成年人涉网被害可归结为未成年人数据权利保护乏力的问题。未成年人对涉网犯罪的认知程度低,对在线社交缺乏戒备心,容易轻信他人。因此,网络平台更应依法采集、利用及谨慎保管未成年人数据,互联网企业平台责任的核心要素就是认真对待个人数据权利。未成年人的数据被非法收集、泄露、滥用,侵害未成年人及其监护人对个人数据自主控制、处分的权利,侵犯未成年人的人身、财产权,影响网络社会的安全秩序。各种数据滥用和违法利用行为是未成年人涉网被害的上游违法犯罪行为。因此,未成年人涉网被害的重要原因在于未成年人数据权利保护乏力。
激素和维生素搭配应用虽然好处多多,但也不能盲目应用。比如醋酸可的松等就不宜与维生素A搭配,否则,激素的抗炎作用将受到遏制。因为维生素A能使细胞中溶酶体脂蛋白的通透性增强,溶酶体膜稳定性下降,溶酶体中的蛋白水解酶释出增加,致使炎性物质产生的过程加速,促进炎症加重、发展,故两者不能搭配应用。
(5)根据(1)~(4)的数据生成多种报表台账,以反映企业内各个设备的运行情况、人员出勤情况,为相关系统提供基础数据。
第二,互联网企业的法律责任模糊。互联网企业在商业创新过程中,不能忽视对未成年人网络保护的社会责任;但遗憾的是不法分子利用网络平台侵害未成年人的案件数量居高不下。该领域的法律规定有待进一步细化,尤其是应将未成年人与成年人区别对待,对未成年人设置特殊的使用规则,明确未成年人的数据权利及其法律保障机制。
第二,平台企业未履行安全保障义务导致第三方侵害未成年人的数据安全,可能构成拒不履行信息网络安全管理义务罪。该罪是一种不作为犯罪,只有在违反法律规定的信息安全管理义务,且拒不整改导致发生严重后果时,才能纳入刑法的评价范畴。
第三,未经授权或者超越授权通过技术手段进入计算机信息系统获取数据,可能构成非法获取计算机信息系统数据罪。该罪主要针对非法的数据获取行为。非法侵入计算机信息系统或者采取其他技术手段(如模拟客户端、突破反爬措施的行为)骗取服务器提供数据,将可能构成该罪。
面对网络社会新型犯罪风险的挑战,预防性刑法观念大行其道,对于数据滥用行为的犯罪圈扩张就遵循了该种刑法观念。徒法不足以自行,刑事立法的扩张只是为数据滥用行为提供了惩罚依据,但不等同于数据滥用违法行为能够获得有效治理。例如,因存在前置性的行政处罚程序,拒不履行信息网络安全管理义务罪的入罪门槛实际极高,目前适用该罪名追究企业平台刑事责任的情况极为罕见。又如,全国各级法院每年审理侵犯公民个人信息案件近千起,但并未有效遏制网络灰黑产业中非法获取、滥用个人信息的整体态势。当前,亟须打破刑罚万能主义的怪圈,也许最好的网络社会治理政策就是最好的刑事政策,应将刑法治理与其他治理方式有机结合起来,尤其是注重发挥政府相关部门的行政监管、个人侵权救济等多元治理机制的作用,实现未成年人数据权利的整体式、综合性、全局化保护,并最终减少未成年人涉网被害案件的发生。
注释:
①肖姗姗:《我国未成年人被害救助机制的合理构建》,《时代法学》2019年第2期。
②Derek B. Cornish,Ronald V. Clare,“Opportunities,Precipitators and Crimonal Decisions:A Peply to Wortley’s Critique of Situational Crime Prevention”,Crime Prevention Studies,2003(16),pp.79-80.
FTC COPPR Commentary,64 Fed.Reg.At 59,890(commenting chatroom participation is included under COPPA to protect children from risk predators).
④https://thenextweb.com/contributors/2019/02/23/children-data-sold-the-dark-web/,2019 年5 月14 日访问。
⑤Lawrence E. Cohen,Marcus Felson,“Social Change and Crime Rate Trends:A Routine Ac tivity Approach”, American Sociological Review,1979(44),pp.588-608.
⑥Donald J. Shoemaker,“Theories of Delinquency”,Fourth Edition,Oxford University Press,2000,p.268.
⑦James Q. Whitman:“The Two Western Cultures of Privacy:Dignity Versus Liberty”,The Yale Law School Faculty Scholarship Series,Vol.113,2004,p.1165.
⑧丁晓东:《什么是数据权利?——从欧洲〈一般数据保护条例〉看数据隐私的保护》,《华东政法大学学报》2018年第4期。
⑨Joseph W. Jerome,“Buying and Selling Privacy Big Date’s Different Burdens and Benefils”,Stanford Law Review,vol.66,no.74,p.52.
在规定网络运营商义务的基础上,COPPA对网络运营商规定了以诉讼方式监管和行政监管两种监管方式。
1http://tech.hexun.com/2019-02-28/196339071.html,2019年4月20日访问。
菲式下午茶是西班牙统治时期遗传下来的习惯。菲律宾人除了午餐和晚餐外,非常重视下午茶。一如英式下午茶,各式饮品、三文治及饼食都是菲律宾人的下午茶食品。
Charlene Simmons,Protecting Children While Silencing Them:The Children’s Online Privacy Protection Act and Children’s Free Speech Rights,12 COMM. L. & Pot’y REV. 119,n. 8 at 3(2007).
Children’s Online Privacy Protection Rule,64Fed.Reg.59, 888, 59, 900 (noting American Psychological Association study).
FTC COPPR Commentary,64 Fed. Reg. At 59,888 (discussing that purpose of statute is to prevent abuse of personal information disclosed by children on Internet).
③http ://www.cac.gov.cn/2019-02/28/c_1124175677.htm,2019年4月27日访问。
Nancy L. Savitt,“A Synposis of the Children’s Online Privacy Protection Act”,St. John’s Journal of Legal Commentary,Vol. 16,no. 3(Fall 2002):pp. 631-640.
McSweeny,Terrell,“FTC 2.0:Keeping Pace with Online Platforms”,Berkeley Technology Law Journal,Vol. 32,No. 3(2017):pp. 1027-1050.
Grandison,Sasha.:“The Child Online Privacy Protection Act: The Relationship between Constitutional Rights and the Protection of Children”,University of the District of Columbia David A. Clarke School of Law Law Review,Vol.14,No. 1(Spring 2011):pp. 209-224.
通过添加生成调度模型,矩阵K修改为Kamend,矩阵L也修改为Lamend=HKamend,可以得到电力系统的线性模型:
Charlene Simmons,“Protecting Children While Silencing Them:The Children’s Online Privacy Protection Act and Children’s Free Speech Rights”,12 COMM. L. & POL’Y REv. 119,123(2007).
周学峰:《未成年人网络保护制度的域外经验与启示》,《北京航空航天大学学报(社会科学版)》2018年第4期。
Mark Zuckerberg,“The Internet Needs New Rules Lets Start in These Four Areas”,https://www.washingtonpost.com,2019年4月23日访问。
2孙道萃:《网络平台犯罪的刑事制裁思维与路径》,《东方法学》2017年第3期。
https://mp.weixin.qq.com/s/eZmVVfHeQ4gJSesF3iJoyg,2019年5月11日访问。
邓刚宏:《大数据权利属性的法律逻辑分析——兼论个人数据权的保护路径》,《江海学刊》2018 年第6期。
https://tech.sina.com.cn/i/2019-05-04/doc-ihvhiew r9732474.shtml?cref=cj,2019年5月5日访问。
在进行环境影响评价之前,对虚拟水战略带来的环境影响因子识别是关键的一步。在众多的影响中,通过筛选主要影响因子,才能正确评价虚拟水战略的环境影响。根据新疆种植业“十三五”规划中关于农作物单产、种植面积、节水灌溉面积等的发展总目标和总原则,战略行为主要从增加进口、提高单产、提高灌溉技术、调整种植结构四个方面进行,其带来的环境影响主要分为生态环境影响、水资源消费影响及社会环境影响。具体如表1。
https://www.pkulaw.com/news/5639c730c80f58efbdf b.html?keyword=个人信息保护法,2019年5月5日访问。
保护文化遗产而采取的措施被认定为征收行为之后,赔偿标准的确定却没有统一的适用标准,在目前的主导模式下,与文化遗产有关的投资争议大都由ICSID裁决,本质上是在国际投资法的领域里解决文化遗产法的问题,并没有充分考虑到文化遗产的特殊性,因此仲裁结果有可能会加重东道国的经济负担,不利于东道国对文化遗产进行全面充分的保护。
Mauro Cappelletti ,Vindicating the Public Interest Through the Courts : A Comparativist’ s Contribution ,in Access to J ustice :Emerging Issues and Perspectives 513 ( Vol1 Ⅲ of the Florence Access - to - J ustice Project Series,M1 Cappelletti & B1Garth eds1 ,1979).
Study on the Origin and Rights Protection of Data Rights
收稿日期: 2019-07-05
基金项目: 2018年国家哲学社会科学基金重大项目“大数据时代个人数据保护与数据权利体系研究”(18ZDA145)之子课题“数据权利保护与技术治理扩张的平衡研究”;“国家重点研发计划资助”项目“假释、暂予监外执行、刑释人员犯罪预防支撑技术与装备研究”(2018YFC0831100);南京大学人文社科“双一流”建设第三批“百层次”科研项目“犯罪的技术治理实现善治之道:从数据控制到数据权利”
作者简介: 单勇,男,法学博士,南京大学法学院教授,上海玛娜数据科技发展基金会特约研究员,主要从事犯罪学研究。
编辑 王小利
Editor's note: With the advent of the Internet era, people have been living in the two-dimensional era where traditional society and network society coexist. The use of data and information has become the core content of the digital economy and one of the most important resources for human beings. The use of data not only involves the conflict of interest and coordination between the information using subject (mainly enterprises)and the information providing subject (mainly physical person), but also involves the information security of individuals and countries. The lack of traditional legislation causes the protection of personal data and information to fall behind the urgent needs of real life. The most critical problems are mainly reflected in the lack of clarification and definition of basic concepts such as“data”,“information”, and“privacy”, as well as the lack or in-comprehensiveness of specific systems for a large number of infringements on personal information, and the problems existing in the cross-border data. Against this background, this issue has organized three articles that attempt to study some specific legal problems of data and information protection.
The article“Definition on Information and Data under Private Law”attempts to clarify“data”,“information”and“privacy”to a certain extent in combination with relevant provisions of“General Rules of the Civil Law”, and expects this understanding to be applicable to the future“Civil Code”and relevant legislation on personal information.“On the Origin and Development of Personal Data Protection System”aims to provide useful enlightenment for China’s legislation by combing through the representative national legislation on personal data protection and the development process of international rules.“Protection and Prevention of Minors'Data Rights”takes the protection mode of COPPA in American law as a reference, and provides administrative supervision, tort relief, criminal law control and other legal protection means as well as some corresponding preventive measures for the victims of minors involved in the Internet.
The views of the above paper may not be enough in-depth and mature, and materials may not be enough comprehensive and meticulous. The proposed path of system creation and reference may not be able to respond to the needs of China’s legislative and judicial practice, however, intellectual activities themselves are of great significance, because they involve the efforts of several authors to actively participate in and contribute their academic wisdom. If any of these ideas and materials can be of some benefit to those who are interested, it is enough to realize the value of these articles.With the in-depth study of more scholars, people will eventually form a basic theory with relative consensus on data and information protection, and have relatively operable protection means, thus rising to the corresponding domestic laws, or even international rules.
标签:未成年人涉网被害论文; 数据权利论文; 《儿童在线隐私保护法》论文; 平台责任论文; 被害预防论文; 南京大学法学院论文;