下载文档原格式
人脸识别技术下隐私权保护的困境及策略目录一、内容描述 (2)1.1 研究背景 (3)1.2 研究意义 (3)1.3 文献综述 (4)二、人脸识别技术的发展与应用 (6)2.1 人脸识别技术的发展历程 (7)2.2 人脸识别技术的应用场景 (9)2.3 人脸识别技术的优势与局限性 (10)三、隐私权保护的重要性 (11)3.1 隐私权的定义与内涵 (12)3.2 隐私权保护的法律框架 (13)3.3 隐私权保护的社会意义 (14)四、人脸识别技术对隐私权的影响 (15)4.1 人脸识别技术中的隐私泄露风险 (16)4.2 人脸识别技术对个人隐私的影响 (17)4.3 人脸识别技术对社会隐私的影响 (18)五、困境分析 (19)5.1 技术漏洞与安全隐患 (20)5.2 法律规制滞后 (21)5.3 监管缺失与执行困难 (22)5.4 公众认知与信任危机 (23)六、隐私权保护的策略构建 (24)6.1 加强技术研发与创新 (26)6.2 完善法律法规体系 (27)6.3 强化监管与执法力度 (28)6.4 提升公众认知与信任 (29)6.5 国际合作与共同治理 (31)七、结论与展望 (32)7.1 研究结论 (33)7.2 研究展望 (34)一、内容描述随着科技的飞速发展,人脸识别技术已逐渐渗透到生活的各个角落,为人们带来便捷的同时,也引发了关于隐私权保护的深刻讨论。
人脸识别技术通过捕捉和分析个人的面部特征,实现了身份验证、安全监控等多种功能,但这一技术的广泛应用无疑对隐私权构成了严重威胁。
在当前的法律框架下,个人隐私权的保护尚存诸多不足。
相关法律法规的滞后性使得人脸识别技术的应用缺乏明确的法律指引。
由于人脸识别技术的复杂性和隐蔽性,受害者往往难以察觉自己的人脸信息被非法收集和使用,这使得隐私权的保护变得更加困难。
人脸识别技术的普及还加剧了数据泄露和滥用的风险,一些不法分子可能利用人脸识别技术窃取个人信息,进行诈骗、勒索等犯罪活动,给受害者造成严重的经济损失和精神伤害。
|雹^H EBEINONGJI摘要:网络科技的发展给人们带来了便捷高效服务的同时也导致了大量的个人信息的泄露。
完善网络个人信息权的民法保护已成为当务之急。
必须建立完善的民法体系,创造良好的网络环境。
网络环境下个人信息的民法保护体现了法的价值、体现了对公共秩序的考量。
明确网络个人信息的民法保护不仅有利于保护自然人的人身、财产利益,又有利于社会的进步、经济的发展。
必然成为今后个人信息立法的趋势之一。
关键词:网络隐科权;个人信息权;民法保护论网络环境下个人信息权的民法保护河北经贸大学李国庆1我国网络环境下个人信息权的民法保护现状我国目前对网络环境下个人信息权的法律规制主要集中在民法领域,21世纪以来,我国先后颁布有关网络环境下个人信息权的民事法律规范,并对网络数据的更新做出了修正和补充。
由于我国对网络环境下个人信息权问题的研究起点较低,发展也较缓慢,有关法律条文不规范,认定标准也各不相同,导致了法律进程的滞后叫《民法典人格权编》第1037条明确了自然人对其个人信息所享有的权利。
除《网络安全法》明确的更正权、删除权之外,《民法典人格权编》进一步规定了自然人可以依法查阅或者复制其个人信息的权利。
根据《信息安全技术个人信息安全规范》规定,个人信息主体可向个人信息控制者请求实现个人信息主体的权利,委托处理者、相关个人信息接收方协助个人信息控制者响应个人信息权利的请求。
移动互联网传输速度和数据流动的加快,个人信息权的数据化让人们对网络信息权的担忧转变为担心个人隐私安全。
网络的特点,即易发布性和传播性,加上互联网技术更新,传播速度更快,传播范围更广,加快了用户信息的泄漏,并且有可能给用户造成更多名誉和身心方面的伤害。
由此便会对用户的家庭、工作和日常生活带来诸多的麻烦。
网络行为利用复杂的数据链进行传播,加上每秒几十亿次的传播速度能够让我们突破地域、空间、时间的限制。
数字化信息和大数据时代的信息共享是当前网络的显著特征。
第22卷 第3期2020年6月 南京邮电大学学报(社会科学版)JournalofNanjingUniversityofPostsandTelecommunications(SocialScience) Vol.22No.3Jun 2020【特约来稿檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶檶殞殞殞殞】 编者按:《解读民法典“隐私权和个人信息保护”》是南京邮电大学王春晖教授和浙江大学程乐教授就《中华人民共和国民法典》的人格权编第六章“隐私权和个人信息保护”各条款的立法目的和意义进行的深度解读。
王春晖教授曾参与《民法典(草案)》中人格权编的“隐私权和个人信息保护”一章的咨询和修改,并于2019年10月在本刊发表《<民法典人格权编(草案)>有关“个人信息保护”的修改建议》一文,文中提出的修改建议多处被立法机关采纳。
解读民法典“隐私权和个人信息保护”王春晖1,程 乐21.南京邮电大学信息产业发展战略研究院,江苏南京 2100232.浙江大学外国语言文化与国际交流学院,浙江杭州() 310058 摘 要:围绕我国首部以“法典”命名的《中华人民共和国民法典》,深度分析与解读其人格权编第六章“隐私权和个人信息保护”各条款的立法目的与意义,内容包括自然人的隐私权、对侵害自然人隐私权行为的规制、个人信息定义的释义、处理个人信息的原则和条件、处理个人信息免责事由、个人信息主体的更正权与删除权、信息处理者的信息安全保障义务、国家机关以及承担行政职能的法定机构及其工作人员的保密义务等内容。
关键词:民法典;人格权;个人隐私;个人信息;保护机制中图分类号:D920.5 文章编号:1673 5420(2020)03 0001-14 收稿日期:2020 06 20 本刊网址:http:∥nysk.njupt.edu.cn作者简介:王春晖,教授,研究方向:网络与信息法学及信息通信战略与法律的交叉研究。
个人信息保护的行政监管及展开崔聪聪(北京邮电大学法律系ꎬ北京100876)摘㊀要:个人信息是铸造数字经济新优势的基础战略资源ꎮ以数据生产引发的社会风险为逻辑起点ꎬ厘清个人信息的工具属性及其背后的防御性利益ꎬ遵循安全和发展平衡治理理念ꎬ构建以市场准入管控高风险处理行为ꎬ以个人信息安全审查为基线防控国家安全风险ꎬ以个人信息监管沙箱实现保障个体安全和促进技术创新之平衡为监管路径的个人信息监管模式ꎮ行政监管和权利保护二者相互支撑并有效配合ꎬ形成防控个人信息处理风险的合力ꎮ关键词:个人信息保护ꎻ数据生产ꎻ安全审查ꎻ监管沙箱作者简介:崔聪聪ꎬ北京邮电大学法律系副教授ꎬ研究方向为个人信息保护法ꎮ基金项目:国家社会科学基金重大项目 网络空间政策法规的翻译㊁研究与数据库建设 (项目编号:20&ZD179)的阶段性成果ꎮ中图分类号:D922㊀㊀文献标识码:A㊀㊀文章编号:1001-4403(2022)05-0073-12DOI:10.19563/j.cnki.sdzs.2022.05.008一㊁问题的提出探索数字时代个人信息保护的有效治理模式ꎬ为«中华人民共和国个人信息保护法»实施提供支撑是一个极具时代紧迫性的研究命题ꎮ2021年8月20日ꎬ第十三届全国人民代表大会常务委员会第三十次会议通过的«中华人民共和国个人信息保护法»(下文简称«个人信息保护法»)确立了权利保护和行政监管双轮驱动的个人信息综合治理模式ꎮ①然而个人信息保护实践中ꎬ权利保护和行政监管的双轮如何协同运转实现保障个人信息安全的目的ꎬ个人信息保护法未予明确解答ꎮ«个人信息保护法»之立法目的是保护私权ꎬ还是保障公共安全和国家安全ꎻ«个人信息保护法»主要是以权利为中心来实现保护目的ꎬ还是通过监管督促个人信息处理者履行个人信息安全保护义务?这是决定个人信息保护立法和实践底层逻辑的两个基本问题ꎮ学界对此一直存在不同认识②:(1)权利保护模式ꎮ王成教授认为权利保护模式更适合中国的立法及司法现实ꎮ③(2)综合保护模式ꎮ张新宝教授提37 ㊀㊀①«中华人民共和国个人信息保护法»第1条开宗明义指出保护个人信息权益ꎬ并在第四章明确了个人在个人信息处理活动中的各项权利ꎬ但也在第六章规定了个人信息保护部门的具体职责以及监管措施ꎮ㊀㊀②个人信息保护模式一直是个人信息保护立法过程中学界争议的焦点问题ꎬ论争也未因个人信息保护法的通过实施而停止ꎮ㊀㊀③王成:«个人信息民法保护的模式选择»ꎬ«中国社会科学»2019年第6期ꎬ第124页ꎮ出应采取行政规制和民事保护多管齐下的治理模式ꎮ①程啸教授提出对个人信息应采取公法与私法并重的综合保护方法ꎮ②丁晓东博士提出基于风险防范的目的ꎬ应侧重消费者保护和公法保护路径ꎮ③(3)监管主导模式ꎮ王锡锌教授以个人信息受保护权为逻辑起点ꎬ提出以防控个体风险和社会风险为目标ꎬ以公共监管与执行机制为中心ꎬ形成防范各类风险㊁辐射信息处理全流程㊁公法和私法多元手段协同的个人信息保护机制ꎮ④王怀勇教授㊁常宇豪博士提出基于社会本位理念的«个人信息保护法»将以行为规制模式为主要立法模式ꎬ以公力㊁私力㊁社会救济并重作为主要救济模式ꎮ⑤现有研究着眼于回应现实问题ꎬ聚焦于微观制度和具体规则设计ꎬ从不同角度论证个人信息保护模式(路径)ꎬ为«个人信息保护法»落地实施提供了有益参考ꎮ然而ꎬ由于疏于个人信息保护深层机理之剖析ꎬ特别是脱胎于早期互联网思维和背景的 权利保护模式 理论ꎬ未全面关照和回应个人信息深度挖掘和利用的时代需求ꎮ本文以数据生产引发的社会风险为逻辑起点ꎬ通过追问个人信息本质属性ꎬ结合个人信息安全态势和保护对象的特殊性ꎬ尝试提出以行政监管主导的个人信息保护模式ꎮ二、数据生产及其外部性数据生产是以收集和使用大量个人信息为基础ꎬ对个人信息进行汇聚㊁比对㊁分析㊁提取等处理行为得出新认识(关联性)的生产方式ꎮ从数据生产的视角看ꎬ«个人信息保护法»不仅需要权利模式保护个人信息主体免受个人信息处理的损害ꎬ也需要行政监管解决个人信息处理的负外部性问题ꎮ(一)数据生产的基本原理数据生产的关键要素是信息ꎬ尤其是机器可读以数据形式存在的信息ꎬ可以将其转化为关键的生产资源ꎬ最终目的是提取和积累财富ꎮ大数据的相关性(或称关联性)是数据生产的核心ꎬ也是数据产生经济价值的主要因素ꎮ⑥企业根据用户交易记录㊁搜索记录㊁浏览记录以及其他行为信息分析判断相关群体特征进而预测或者改变他人的行为ꎬ此即数据的关系价值ꎮ数据的关系价值驱动了数据收集㊁访问㊁共享和使用的许多需求ꎮ单一个体的数据价值微乎其微ꎬ但收集个体数据的边际成本非常低ꎬ个人信息处理者可以较低的成本收集大量的个人信息ꎮ个人信息与其他类型的数据结合起来ꎬ数据的价值就会不断增长ꎬ此即数据的汇聚效应ꎮ算法模型训练数据的质量和数量是影响整体性能的最大因素ꎮ更多的数据意味着会出现更好的模型ꎬ这使得数字产品能够更好地预测数据主体以及其他与数据主体共同具有相关特征的个体ꎮ因此ꎬ大规模的数据收集和聚集成为数字经济中的关键竞争优势ꎮ数据生产中个人信息主体的法律定位ꎬ不再是独立的个体ꎬ而是被视为通过用户共同特征和相同行为模式进行分类的群体成员ꎮ个人信息处理者通过对特定群体成员进行分类和排序ꎬ在此基础上对个体进行分析并根据结果采取相应行动ꎬ如推荐符合个体爱好㊁倾向以及需求的商品或者服务信息ꎬ此即个体在数据生产中的价值ꎮ个人信息处理者处理个人信息的主要目的是分析和得到个体之间的关系ꎬ进而对群体行为模式有所了解ꎬ如电子商务平台经营者可以通过处理大量搜索记录预判一年四季服装的流行色ꎮ对群体的 认识 可称为 数据产品 ꎬ⑦数据产品可以应用于包括个人信息主体在内的所有具有这些47㊀哲学社会科学版㊀2022 5㊀㊀①张新宝:«从隐私到个人信息:利益再衡量的理论与制度安排»ꎬ«中国法学»2015年第3期ꎬ第38-59页ꎮ㊀㊀②程啸:«民法典编纂视野下的个人信息保护»ꎬ«中国法学»2019年第4期ꎬ第26页ꎮ㊀㊀③丁晓东:«个人信息私法保护的困境与出路»ꎬ«法学研究»2018年第6期ꎬ第194页ꎮ㊀㊀④王锡锌:«国家保护视野中的个人信息权利束»ꎬ«中国社会科学»2021年第11期ꎬ第115页ꎻ王锡锌:«个人信息权益的三层构造及保护机制»ꎬ«现代法学»2021年第5期ꎬ第105页ꎻ王锡锌:«个人信息国家保护义务及展开»ꎬ«中国法学»2021年第1期ꎬ第145页ꎮ㊀㊀⑤王怀勇㊁常宇豪:«个人信息保护的理念嬗变与制度变革»ꎬ«法制与社会发展»2020年第6期ꎬ第140页ꎮ㊀㊀⑥ViljoenSꎬARelationalTheoryofDataGovernanceꎬ131YALEL.J.ꎬ573(2021).㊀㊀⑦数据产品是基于个体行为信息产生但不同于原始个人信息ꎬ反映群体的偏好㊁需求等行为特征和行为规律的信息ꎮ群体特征的个人ꎮ数据生产的结果是根据特定群体的共同特征将人们彼此联系起来ꎬ这既是产生社会价值的基础ꎬ也是社会风险的来源ꎮ(二)数据生产影响个体自主性数字时代ꎬ个人信息主体不仅失去对个人信息的控制ꎬ更失去对自身的控制ꎮ来自外部的具有特殊能力的个人信息处理者经由代码技术极大地控制了我们的信息隐私及其承载的信息身份ꎮ①个人信息处理者在未经个人信息主体有效同意甚至是可能违反个人信息主体意愿的情况下ꎬ通过数据画像塑造个人数字身份ꎬ使用算法深度分析用户行为数据预判个体喜好㊁需求并对个人采取行动ꎮ②在此过程中ꎬ算法将个体呈现为以身份信息和行为信息为基础的行为模式ꎬ个人信息主体被识别为 男性 青年教师 等类别或者类型ꎬ通过贴标签的方式实现了利用自动化程序对个人信息主体进行筛选操作ꎬ对个人信息的处理转化为 处理 个人信息主体ꎮ因此ꎬ数据化在一定程度上有违个人作为自主存在的基本理念ꎮ数据化和个人信息处理代表了我们与内心深处自我享受关系的终结ꎮ③个人信息处理者利用算法将个体呈现为特定类别或者特定行为模式ꎬ利用持续监视和收集个人信息进行反馈和微调推送参数ꎬ通过算法对个体进行操作ꎮ这种循环将理解主体的算法方式重新写入主体本身ꎬ削弱了主体自我形成和实现自我意志的能力ꎮ④算法使个体成为一个固定㊁透明和可预测的人ꎬ侵蚀了个体独立思考㊁享受与内在欲望的特权关系㊁了解自己的思想并根据自主选择表达思想以及控制自己作为社会㊁政治和经济存在的能力ꎮ(三)数据生产危害社会公共利益和国家安全数据生产超越了以个人信息处理合同为基础的个人信息收集和使用关系ꎬ背后代表和体现的利益超越个体法益ꎮ数据生产将大量的个体 勾连 在一起进而产生群体利益ꎮ个人信息处理者可以使用算法通过共同偏好㊁社会阶层以及彼此相似的行为模式等判断群体身份ꎮ如利用网络约车的乘车位置信息ꎬ可以分析出特定网络约车用户为同事关系ꎮ上述数据生产构建了一个社会性过程ꎬ即对群体的共同信息(网络约车位置信息)进行分析可以预测并确定特定社会事实(同事关系)ꎬ并通过特定用户预留的单位信息可以确定其他成员的工作单位ꎮ这意味着ꎬ不经意预留或者分享工作单位信息的用户ꎬ其行为在数据生产语境下已关涉到其他与自己有类似特征的用户的利益ꎬ此即数据生产的群体利益ꎮ个人信息传递社会和关系意图的能力使得在数据生产过程中ꎬ其他人可因此受益或者受到损害ꎮ数据生产过程中的违法处理个人信息㊁数据滥用行为一方面影响众多用户ꎬ同时通过用户关系链将损害延及不特定的多数人ꎬ如网约车用户信息发生泄露ꎬ他人既可以利用单个用户的出行规律危及用户的人身安全ꎬ也可以利用用户的关系链进行诈骗ꎬ数据滥用危及不特定人的合法权益表明数据生产关涉社会公共利益ꎮ超级互联网平台掌握的 数据权力 不仅能够通过分析㊁使用和出售数据攫取经济价值ꎬ还可以利用定向推送等操控新闻舆论甚至影响政策走向ꎮ⑤剑桥分析公司通过27万名 这就是你的数字生活 应用程序用户的社交网络数据(用户的朋友和家人的信息)获取了约8700万用户(美国有7060万用户)的个人信息ꎮ这些信息被用来训练一个定向推送程序ꎬ该应用程序根据Facebook的1.9亿美国用户对于特定推送信息做出的反应ꎬ向其中一部分用户推送微目标政治广告用以影响选民倾向ꎬ最终影响了美国总统选举的走向ꎮ剑桥分析公司事件表明ꎬ«个人信息保护法»不仅要防范违法处理个人信息对个人合法权益的侵害ꎬ还要防控数据权力滥用威胁国家安全ꎮ⑥57 个人信息保护的行政监管及展开㊀㊀①郭旨龙:«从公民身份到信息身份:隐私功能的理论重述与制度安排»ꎬ«法制与社会发展»2020年第5期ꎬ第160页ꎮ㊀㊀②JulieE.CohenꎬBetweenTruthandPower:TheLegalConstructionsofInformationalCapitalismꎬOxfordUniversityPressꎬ67(2019).㊀㊀③ShoshanaZuboffꎬBigOther:SurveillanceCapitalismandtheProspectsofanInformationCivilizationꎬ30J.INFO.TECH.ꎬ75ꎬ76(2015).㊀㊀④JulieE.CohenꎬWhatPrivacyIsForꎬ126HARV.L.REV.ꎬ1904ꎬ1905(2013).㊀㊀⑤LynskeyOꎬGrapplingwith DataPower :NormativeNudgesfromDataProtectionandPrivacyꎬ20(1)TheoreticalInquiriesinLawꎬ189-220.㊀㊀⑥王锡锌:«国家保护视野中的个人信息权利束»ꎬ«中国社会科学»2021年第11期ꎬ第116页ꎮ三、个人信息行政监管的功能定位个人信息的工具属性决定了个人信息的利益属性为防御性利益ꎮ为防控数据生产对个体权益以及社会公共利益㊁国家安全的影响ꎬ个人信息保护要求国家综合运用权利保护和行政监管等手段对个人信息处理的广度和深度进行积极调控ꎬ保护个人人格和自由全面发展ꎬ应对数字时代人的生存困境ꎮ①(一)防御性利益需要多种保护手段实现1.刺破个人信息的面纱:个人信息本质属性再考察通说一般认为ꎬ个人信息的本质特征是识别性ꎬ但这一认识只表明个人信息的功能属性ꎬ并未回答个人信息是什么ꎮ有学者认为ꎬ个人信息兼具个体属性和公共流通属性ꎮ②有学者认为ꎬ个人信息兼具个人性和公共性(社会性)ꎬ个人信息的主要属性随时代变化而异:小数据时代的个人信息以个人性为主要属性ꎬ数字时代社会性取代个人性成为个人信息的主要属性ꎮ③信息哲学认为ꎬ信息是物质存在方式和状态的自身显示ꎬ其本质特征是对客观实在的反映和表达ꎮ信息是人类和物理现实之间的关系ꎬ它由符号构成ꎬ在一定语境下它告知人们现实中的事情ꎮ④个人信息是对权利主体客观存在的反映ꎬ个人信息是识别权利主体和确定权利主体特征㊁状态的客观存在或描述ꎮ万物源自比特ꎬ⑤信息是万物存在形式和状态的表达ꎮ信息总是以某种方式被建构出来ꎬ无法先于其 表达 或者 披露 存在ꎬ也无法脱离其表达的客观事实或者客观事物而独立存在ꎮ既然个人信息是对个体的客观描述或者表达ꎬ那么个人对与其有关的信息拥有某种 自然 原始权利在逻辑上很难成立ꎮ个人信息可以识别自然人的客观事实并不当然地让自然人拥有或者控制个人信息ꎮ⑥对特定自然人身份㊁状态㊁行为描述或者记录的结果使个人信息能够指向特定个人㊁区分他人ꎬ个人信息由此具备可识别性ꎮ但是ꎬ可识别性的本质是个人信息与特定自然人有联系㊁有关联ꎬ如同树荫并不当然归属于树(如果物能成为所有人)一样ꎬ个人信息并不当然地应该由个人拥有或控制ꎮ仅和特定个人有联系不足以使个人对该信息具有支配利益ꎬ因为这种关联㊁识别是由个人信息所表达的意义㊁内涵产生ꎬ而不在于个人信息本身ꎮ⑦个人信息的本质属性是个体的反映和映射ꎮ从功能看ꎬ个人信息是个人在社会中标识展示自己㊁与他人建立联系的工具ꎬ反映㊁表达自然人的身份以及需求㊁喜好等行为倾向和客观事实使社会能够识别㊁了解每个个体并成为开展活动的依据ꎮ⑧个人信息存在的首要价值便是帮助自然人实现社会交往ꎮ⑨在此意义上ꎬ服务于社会交往的工具属性是个人信息的本质属性ꎬ识别性仅是个人信息工具属性的基础ꎮ2.个人信息的防御性利益个人信息的识别性不足以成为法律要保护的利益ꎬ个人信息的工具属性特质既是个人信息保护的逻辑起点ꎬ也是理论落脚点ꎮ不同于信息隐私⑩ꎬ个人信息保护的主体维度是独立和理性的自我ꎬ个人信息保护的最终目的是防止外界对个人自主性㊁个人理性的不当影响ꎮ个人信息仅仅是功能性的ꎬ而非独立的被保护的客体存在ꎮ 法律不是为了保护个人信息而保护个人信息ꎬ而是保护个人信息上附着的其他需要法律保护的利益ꎬ即个人信息在处理过程中因负外部性可能损害的个人人身或者财产权益㊁公共利67㊀哲学社会科学版㊀2022 5㊀㊀①王锡锌:«个人信息权益的三层构造及保护机制»ꎬ«现代法学»2021年第5期ꎬ第111页ꎮ㊀㊀②丁晓东:«个人信息的双重属性与行为主义规制»ꎬ«法学家»2020年第1期ꎬ第73页ꎮ㊀㊀③王怀勇㊁常宇豪:«个人信息保护的理念嬗变与制度变革»ꎬ«法制与社会发展»2020年第6期ꎬ第145页ꎮ㊀㊀④马克 布尔金:«信息论:本质 多样性 统一»ꎬ王恒君㊁嵇立安㊁王宏勇译ꎬ知识产权出版社2015年版ꎬ第4页ꎮ㊀㊀⑤詹姆斯 格雷克:«信息简史»ꎬ高博译ꎬ楼伟珊㊁高学栋㊁李松峰审校ꎬ人民邮电出版社2013年版ꎬ第6页ꎮ㊀㊀⑥高富平:«个人信息处理:我国个人信息保护法的规范对象»ꎬ«法商研究»2021年第2期ꎬ第95页ꎮ㊀㊀⑦⑧高富平:«个人信息保护:从个人控制到社会控制»ꎬ«法学研究»2018年第3期ꎬ第94㊁84页ꎮ㊀㊀⑨任龙龙:«论同意不是个人信息处理的正当性基础»ꎬ«政治与法律»2016年第1期ꎬ第129页ꎮ㊀㊀⑩信息隐私是特定主体在特定空间占有特定隐私事物的三维意象ꎬ由此创造了一个在空间上隔离㊁在社会关系上孤立的原子化形象ꎮ㊀㊀ 余成峰:«信息隐私权的宪法时刻规范基础与体系重构»ꎬ«中外法学»2021年第1期ꎬ第35页ꎮ益㊁国家安全利益ꎮ①在此意义上ꎬ个人信息保护仅仅是保护相关权益的工具和抓手ꎮ②个人信息无法被个人直接控制的事实决定个人信息并非直接支配的利益ꎬ个人信息主体与个人信息处理者之间围绕个人信息收集使用的外部效应进行的博弈ꎬ决定了个人对其个人信息的自主利益是一种 防御性利益 ꎮ③这种防御性利益体现为三个层次:一是特定自然人需要采取措施防止遭受人身财产权益的危险或者避免损害的利益需求ꎻ二是不特定多数人防止数据滥用的社会公共利益诉求ꎻ三是国家防控政治安全㊁文化安全㊁信息安全等安全风险的利益需求ꎮ防御性利益无法采取直接控制的手段和方式实现ꎬ可以考虑通过法律明确个人信息收集使用的界限以及具体的处理规则ꎬ由监管机构监督㊁个人信息主体督促个人信息处理者严格依照法律规定处理个人信息而实现ꎮ(二)行政监管和权利保护的分工与衔接1.权利保护之功能40年前ꎬ个人信息保护法主要关注个人提供给各类组织的个人信息在长期存储下因重复或长期积累使用给个人带来的危害ꎬ由此构建以合法㊁正当和必要原则为核心的个人信息处理规则ꎬ特别是在约定或法定目的的必要范围内使用个人信息ꎬ以实现个人信息主体对其个人信息的利用进行控制的目的ꎮ④上述思路和理念在数字时代仍然是个人信息保护法律制度设计的起点ꎮ个人在第一线ꎬ是最先感知危险的存在ꎮ个人信息主体通过行使个人信息处理的知情权和决定权ꎬ避免个人信息处理者误导㊁欺诈㊁胁迫用户ꎬ制止个人信息处理者未经同意收集个人信息㊁秘密窃取㊁盗取ꎬ未经个人单独同意的对外提供等违法处理行为以及数据画像等高风险处理行为ꎬ防止个人信息主体被支配或者秘密监控以及算法缺陷引发的劳动机会㊁受教育机会被不当剥夺ꎮ权利保护的逻辑起点是强化个人信息主体对个人信息处理行为㊁过程的控制以及对自动化决策结果的异议ꎬ以此防控个人信息违法处理和滥用给个人带来的伤害ꎮ从权利适用场景和法律效果看ꎬ«个人信息保护法»规定的查询权㊁访问权㊁复制权㊁可携带权㊁更正权㊁删除权基本上是确保个人得以参与数据处理过程的程序性权利ꎮ⑤以程序和工具性权利规范非对称权力结构下的个人信息处理行为ꎬ确保个人信息处理活动公开㊁透明㊁准确㊁安全ꎬ从而对个人信息滥用行为进行纠偏ꎬ是个人信息赋权的目的ꎮ当个人行使上述权利无法制止个人信息违法处理或者滥用行为且遭受损害时ꎬ个人信息主体可以向人民法院提起侵权损害赔偿之诉ꎬ通过诉讼手段救济个人信息权益ꎮ2.行政监管的定位个人信息违法处理和侵权行为往往具有技术性㊁累积性㊁间接性和结构性特征ꎬ很多情况下个人缺乏足够能力识别㊁判断是否发生侵权行为ꎬ更难以防范侵权行为引发的损害ꎮ数字时代ꎬ个人信息保护的范式发生了戏剧性反转:源于对抗国家权力的个人信息控制权ꎬ在数字时代需要借助国家的力量规制和对抗个人信息处理者的数据权力ꎮ面对信息处理者大规模处理个人信息带来的风险ꎬ需要启动行政监管矫治个人与个人信息处理者之间的不对称权力结构ꎮ监管部门通过指导㊁监督个人信息处理者依照个人信息处理规则收集和使用个人信息ꎬ通过测评㊁责令改正违法行为以及行政处罚等措施使个人信息处理行为重回 正确轨道 ꎮ行政监管可以提高个人信息收集和利用过程的透明度ꎬ增强个人信息处理者的安全保障能力和个人信息主体的控制力ꎬ降低个人信息收集和处理过程中的风险ꎻ通过规定个人信息处理者忠诚义务㊁程序监督和行政处罚责任ꎬ消除个人信息主体和个人信息处理者能力不对称和不平衡ꎬ保障个人信息主体的知情权和选择权ꎬ建立个人信息主体㊁个人信息处理者以及个人信息处理者之间的信任ꎮ上述行政监管措施ꎬ既可以弥补个体能力失衡ꎬ77 个人信息保护的行政监管及展开㊀㊀①③程啸:«民法典编纂视野下的个人信息保护»ꎬ«中国法学»2019年第4期ꎬ第37㊁39页ꎮ㊀㊀②丁晓东:«个人信息的双重属性与行为主义规制»ꎬ«法学家»2020年第1期ꎬ第74页ꎮ㊀㊀④高富平:«个人信息处理:我国个人信息保护法的规范对象»ꎬ«法商研究»2021年第2期ꎬ第86页ꎮ㊀㊀⑤蔡培如:«欧盟法上的个人数据受保护权研究 兼议对我国个人信息权利构建的启示»ꎬ«法学家»2021年第5期ꎬ第19-22页ꎮ也能制约个人信息处理者滥用数据权力进而实现防范个人信息处理产生的社会风险以及对国家安全的威胁ꎬ后者是权利保护模式无法触达的ꎮ3.行政监管与权利保护的衔接从保护的理念与方式看ꎬ行政监管并不意味着国家权力渗入到个人信息处理的每一个环节和动作ꎬ而是通过赋权的方式调动个体的积极性ꎬ从而在公共监管的规制网络中形成国家保护与个人参与的协力ꎮ①依照«个人信息保护法»第50条的规定ꎬ个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制ꎮ当违法处理个人信息侵害个人信息权益而个人信息处理者拒绝个人行使权利的请求时ꎬ如果违法处理行为未侵害肖像权㊁名誉权㊁荣誉权㊁隐私权等具体人格权和财产权ꎬ个人可以向履行个人信息保护职责的部门投诉ꎬ由履行个人信息保护职责的部门依照«个人信息保护法»第66条进行处理ꎻ当违法处理行为侵害个人信息权益以外的具体人格权或者财产权时ꎬ个人可以依法向法院提起侵权之诉ꎮ②行政监管并非否定人的理性和自治在个人信息保护中的作用ꎬ而是要在合理分配不同主体的权利㊁义务和责任的基础上ꎬ帮助个人信息主体克服有限理性㊁提升自我保护能力ꎬ 助推 个人之自治㊁尊严和自由的实现ꎮ③在数据控制理由体系中ꎬ各种功能和目的可以同时存在甚至叠加ꎬ控制的手段之间并不完全冲突ꎬ只会相互强化ꎮ④个人提升安全意识ꎬ发现违法处理个人信息时及时向有关部门举报ꎬ个人行使权利与行政监管进行有效衔接ꎬ是个人信息综合治理体系的应有之义ꎮ如同数据可携带权防控垄断危害一样ꎬ个人制止侵权行为不仅是维护自身合法权益ꎬ也是维护社会公共利益和国家安全ꎮ行政监管和个人积极行使权利有效衔接ꎬ不仅不会产生叠床架屋的感觉ꎬ相反会通过二者相互支撑和有效配合ꎬ形成防控个人信息处理风险的合力ꎮ(三)通过行政监管防控社会风险个人信息处理方式变化直接导致个人面临人格尊严和自由的威胁发生变化ꎬ同时风险由个人延及社会乃至国家ꎮ⑤特定个人的数据可能会通过两个数据集的链接影响另一个人ꎬ数据的关系效应导致数据生产中的个体损害与集体损害是统一的ꎮ此外ꎬApp违法处理个人信息的行为往往会影响几千万甚至几亿用户ꎬ因为违法处理行为并非一对一的单一违法行为ꎬ而是因App的功能设置违法ꎬ如强制用户开启非必要的位置权限收集用户位置信息ꎬ致使该App所有的用户都是受害者ꎮ此外ꎬ基于算法的定向推送虽然以 千人千面 的形式出现ꎬ但最终的结果均体现为操控不特定用户的个体意志和自由ꎮ个人信息处理者通过信息比对㊁分析实现影响同类主体的目的ꎬ对群体起到支配㊁贬低甚至边缘化的作用ꎮ⑥«个人信息保护法»不仅要关注数据滥用对主体自我形成和自我实现等个人能力的影响ꎬ更要关注数据生产对社会公共利益和国家安全的威胁ꎮ保护个人信息ꎬ归根到底是应对元宇宙㊁物联网㊁大数据㊁云计算㊁人工智能等新技术新应用带来的挑战ꎬ通过驯化科技这种异化力量保护人的自由㊁尊严㊁安全和财产ꎬ防控科技异化对人的主体性㊁社会秩序和国家安全的威胁ꎮ⑦从群体利益视角看ꎬ数据治理的首要任务并非强调个人控制自己的数据或最大化个人利益ꎬ而是形成必要的组织机构来代表和保护数据生产中的相关群体利益ꎮ⑧如果不能创造数据有序生产的社会环境和条件ꎬ个人利益保护也就无从谈87㊀哲学社会科学版㊀2022 5㊀㊀①王锡锌:«个人信息国家保护义务及展开»ꎬ«中国法学»2021年第1期ꎬ第158-160页ꎮ㊀㊀②以违法处理行为是否侵害个人信息主体的其他具体人格权作为区分行政监管和诉讼救济的界限ꎬ理由是监管部门及时制止违法处理个人信息的行为ꎬ可以防止大量的诉讼涌入法院ꎬ节约有限的司法资源ꎬ同时发挥监管部门调查取证的技术优势ꎬ有利于提升制止违法行为㊁防控损害发生的效果和效率ꎮ㊀㊀③郭春镇㊁马磊:«大数据时代个人信息问题的回应型治理»ꎬ«法制与社会发展»2020年第2期ꎬ第187页ꎮ㊀㊀④梅夏英:«在分享和控制之间数据保护的私法局限和公共秩序构建»ꎬ«中外法学»2019年第4期ꎬ第868页ꎮ㊀㊀⑤高富平:«个人信息处理:我国个人信息保护法的规范对象»ꎬ«法商研究»2021年第2期ꎬ第84页ꎮ㊀㊀⑥DanM.KotliarꎬDataOrientalism:OntheAlgorithmicConstructionoftheNon-WesternOtherꎬ49THEORY&SOC Yꎬ919ꎬ922-25(2020).㊀㊀⑦王成:«个人信息民法保护的模式选择»ꎬ«中国社会科学»2019年第6期ꎬ第125页ꎮ㊀㊀⑧ViljoenSꎬARelationalTheoryofDataGovernanceꎬ131YALEL.J.ꎬ573(2021).。
信息时代背景下公民数据权利保护个案研究黄瑞(西南大学法学院,重庆,400715)摘要:互联网大数据时代,人们每天都会利用网络这个媒介传输各种个人数据。
但是受制于公民数据安全意识、网络服务提供者职业道德、社会法制建设等诸多因素,导致我国公民个人数据安全面临严重风险。
立足于案例,进一步分析我国公民个人数据的概念、个人数据权的定义、现状、最终有针对性的提出解决公民数据安全的对策措施。
关键词:信息时代;个人数据权;保护措施一、案例引出问题(一)案情简介2010 年年初,珠海市香洲区法院以被告周建平向诈骗团伙非法出售个人信息资料为由,以非法获取公民个人信息罪判处周建平有期徒刑一年六个月,并处罚金 2000 元。
周建平由此成为我国被法院以侵犯个人信息安全的新罪名追究刑事责任的第一人。
案中,周建平于 2008 年 11 月在广州市成立广州市华探调查有限公司,违反规定非法获取他人电话清单、手机清单和人员资料。
同年12月,周建平以每份 1200 元或 1500 元不等的价格先后向诈骗团伙出售了14 份电话清单,从中获利 1.6 万元。
根据周建平提供的电话清单,诈骗团伙在 2008 年 10 月至 2009 年 2 月 19 日期间,分别冒充珠海市霍副市长、恩平市委书记、深圳市宝安区消防中队队长、佛山市纪委书记等人以急需用钱为由对其亲友进行电话诈骗,共非法敛财近九十万元。
法院的判决可以说走出了对个人信息进行刑事保护的第一步,其积极意义自不言而喻。
2008 年北京市朝阳区人民法院对“人肉搜索第一案”。
该案案情为,原告发生“婚外情”,妻子痛不欲生,在互联网络上公布了原告和第三者的照片,并且自杀。
死者的同学将相关信息整理之后,陆续刊登在互联网上,并以知情者身份,继续披露原告的有关信息。
原将知情人、互联网站和转载有关信息的天涯网站告上法庭,要求承担民事赔偿责任。
法院审理后认为,原告确实发生了婚外情,被告作为知情人,在原告的妻子公开有关信息之后,不断补充有关信息,并且在互联网络刊登。
大数据时代个人信息利益冲突与平衡摘要:大数据时代,个人信息的财产价值与人格价值之间的矛盾日益突显,个人信息泄露导致的侵犯个人尊严和个人隐私,电信诈骗侵犯个人财产乃至人身权利等社会问题的频发,让人们不得思考两者之间的利益平衡和立法原则,本文试图从两个价值的理论渊源和现实意义的角度出发,分析我国在此问题的立法和现实困境,通过欧盟和美国的比较法研究,找寻我国在个人信息保护中的完善路径。
关键词:个人信息;人格利益;财产利益;利益平衡一、引言大数据时代,信息技术的发展和信息产业革命的悄然推进,使得个人信息的保护与利用之间产生矛盾逐渐凸显,个人信息的利用和处理带给我们经济利益和公共利益的同时,却伴随着个人信息泄漏,个人隐私,个人尊严乃至财产和人身的侵害。
但一味追求个人信息保护已经难以适应信息资源利用的需求和公共社会的发展,故如何调和个人人格保护与信息财产利用之间的矛盾,亟需做出价值取舍和立法选择。
二、个人信息双重价值分析(一)个人信息人格利益的价值分析1.理论渊源:自然权利学说是西方人格权立法的理论渊源,主张对于生命、尊严、自由等人格利益,需要民法、刑法等实在法加以保护。
由此,在资产阶级革命以后,各国受此思潮影响,在实在法中对个人的人格尊严等基本权利加以明确规定和立法保障,并由此反映出对人格权利保护的偏向。
20世纪以来,人格权逐渐显露出类型逐渐增多、内容逐步扩展的趋势。
进入信息时代,以信息为客体的新型人格利益出现并亟需规范调整,加之信息流通速度快侵害大且保护难等特征,使得个人信息的侵权行为大量涌现,个人信息安全受到极大威胁,于是,应运而生的个人信息安全立法基于个人信息人格利益保护的思想,侧重保护的是个人信息人格利益。
2.人格利益保护的立法参考:欧盟模式欧盟采用统一立法模式,对个人信息人格权采取相对严格的保护模式,对数据处理者和控制者进行严格规范。
以德国为例,为了践行个人信息人格利益的保护,在大陆法系国家率先制定了《联邦个人数据法》,并在20世纪中后期进一步加强了对个人信息人格利益的保护。
我国网络隐私权的法律保护研究目录一、内容概要 (2)1.1 研究背景与意义 (3)1.2 国内外研究现状综述 (4)1.3 研究内容与方法 (5)二、网络隐私权概述 (6)2.1 网络隐私权的定义 (7)2.2 网络隐私权的内容 (8)2.3 网络隐私权的法律属性 (9)三、我国网络隐私权法律保护的现状分析 (11)3.1 法律法规的完善程度 (12)3.2 相关部门职能的履行情况 (13)3.3 公民网络隐私权保护意识的分析 (15)四、我国网络隐私权法律保护存在的问题 (16)4.1 法律法规的滞后性 (17)4.2 执法力度不足 (19)4.3 网络服务提供商的责任不明确 (20)4.4 公民自我保护意识的薄弱 (21)五、我国网络隐私权法律保护的完善建议 (22)5.1 完善相关法律法规 (23)5.2 加大执法力度 (25)5.3 明确网络服务提供商的责任 (26)5.4 提高公民自我保护意识 (27)5.5 加强国际合作与交流 (28)六、结论 (29)6.1 研究成果总结 (30)6.2 对未来研究的展望 (31)一、内容概要随着信息技术的迅猛发展,网络隐私权已成为当下社会亟待关注的问题。
网络隐私权是指个人在网络环境中对其个人信息、行为习惯、网络活动等享有保护其不被他人侵犯的权利。
虽然相关法律法规逐步完善,但在实际操作中仍存在诸多问题。
本文将对我国网络隐私权的法律保护进行深入研究,分析现行法律体系的优势与不足,并提出相应的完善建议。
本文将概述网络隐私权的基本概念及其在法律中的地位,对我国现行网络隐私权保护的法律法规进行梳理,包括宪法、刑法、民法、行政法等多个层面。
在此基础上,分析我国网络隐私权保护法律的优点,如立法层次较高、覆盖面较广等;同时指出存在的问题,如法律规定不够明确具体、执法力度不足等。
针对现有法律体系的不足,本文将提出完善我国网络隐私权保护法律的建议。
包括:加强立法工作,提高立法层次,确保法律规定的明确性和可操作性;加大执法力度,提高执法效率,严厉打击侵犯网络隐私权的违法行为;强化网络安全教育,提高公众的网络隐私权保护意识;以及推动国际合作,共同应对跨境网络隐私权侵权问题。
«媒介批评»第九辑M E D I A C R I T I C I S M美国儿童网络隐私保护的二十年:经验与启示①汪㊀靖㊀㊀内容提要:2018年是美国«儿童网络隐私保护法»(C O P P A)通过的二十周年.回顾美国立法的历史和执法经验,可以为中国未成年人网络隐私保护制度的构建提供借鉴.本文分为三个部分.第一部分概述C O P P A发展的背景,包括社会背景和法律因素;第二部分考察了C O P P A确定儿童年龄的立法过程,探讨其合理性及有效性,包括对欧盟G D P R的影响;第三部分重新审视C O P P A关于父母同意机制的规定㊁执行情况与争议.最后基于上述分析,对我国未成年人隐私保护制度提出建议和设想.关键词:美国;儿童网络隐私;C O P P A;G D P R;未成年人保护2018年10月21日,是美国«儿童网络隐私保护法»(C h i l d r e n sO n l i n e P r i v a c y P r o t e c t i o nA c t,C O P P A)在国会通过二十周年的日子. 当年C O P P A①本文为教育部人文社科基金青年项目 新媒体规制视角下美国消费者隐私保护机制的形成与演变 (项目批准号:17Y J C860020)的阶段性成果.204㊀试图保护的儿童,如今大部分都已经为人父母. ①二十年的时间,互联网世界发生了天翻地覆的变化.1998年美国大约有近1000万儿童可以上网,②如今的调查则显示,全球大约1/3的网络用户是18岁以下的未成年人.③社交网站㊁移动应用程序㊁可穿戴智能设备等几乎无时无刻不在收集着个人数据,增加了网络隐私风险.而未成年人因为其独特的行为特征㊁情绪波动性和冲动性,被认为比成年人更容易在网络上受到伤害.④鉴于网络隐私风险的增长和公众的关注,各国决策者均推出对未成年人实施网络特别保护的法案.欧盟新通过并于2018年5月25日正式生效的«一般数据保护条例»(G D P R)首次明确规定,未成年人比成人需要更多特别保护,并在处理未成年人的在线个人数据方面引入了C O P P A的父母同意机制.⑤目前,中国相关立法部门正在制定«未成年人网络保护条例»,其中也涉及未成年人个人信息保护的问题.⑥作为新规定,不论是欧盟的G D P R还是中国的«未成年人网络保护条例»,必将面临实际实施的挑战.然而,美国的C O P P A已经为针对儿童的网络运营商提供了实施细则,并拥有二十年的执法经验.美国的经验可以为中国未成年人网络隐私保护法律制度的构建提供借鉴.本文分为三个部分.第一部分概述C O P P A发展的背景,包括社会背景和法律因素;第二部分考察了C O P P A确定儿童年龄的立法过程,探讨其合理性及有效性,包括对欧盟G D P R的影响;第三部分重新审视C O P P A关于父母①②③④⑤⑥F T C.H a p p y20t h b i r t h d a y,C O P P A(2018).h t t p s://w w w.f t c.g o v/n e w s-e v e n t s/b l o g s/b u s i n e s s-b l o g/2018/10/h a p p y-20t h-b i r t h d a y-c o p p a.a c c e s s e d8D e c e m b e r2018.胡元琼:«网络隐私权保护立法的能与不能 以美国‹儿童在线隐私保护法›评介为中心»,«网络法律评论»2004年第4期,第152 185页.S o n i aL i v i n g s t o n e,J o h nC a r ra n dJ a s m i n aB y r n e. O n e i n T h r e e:I n t e r n e tG o v e r n a n c ea n d C h i l d r e n sR i g h t s ,(2015)G l o b a l C o mm i s s i o no n I n t e r n e tG o v e r n a n c eP a p e r S e r i e sN o.22.J u d i t hB e s s a n t. H a r d W i r e df o rR i s k:N e u r o l o g i c a lS c i e n c e, t h e A d o l e s c e n tB r a i n a n d D e v e l o p m e n t a lT h e o r y ,J o u r n a l o f Y o u t hS t u d i e s:(2008)11(3)347,358.在G D P R之前,欧盟的信息隐私保护是为 一般个体(e v e r y o n e) 而设计的.从1995年起,未成年人是被95/46/E C指令规定的一般年龄数据保护条款所覆盖,并没有特别关注儿童数据的处理.2016年9月30日,国家互联网信息办公室发布«关于‹未成年人网络保护条例(草案征求意见稿)›公开征求意见的通知»;2017年1月6日,国务院法制办公室发布«关于公布‹未成年人网络保护条例(送审稿)›公开征求意见的通知».美国儿童网络隐私保护的二十年:经验与启示205㊀同意机制的规定㊁执行情况与争议.最后基于上述分析,对我国未成年人隐私保护制度提出建议和设想.一、C O P P A发展背景概述C O P P A是美国首部有关儿童网络隐私保护的联邦法律.它要求针对儿童的商业网站和在线服务者在收集或使用13岁以下儿童的个人信息之前必须取得其父母的同意,从而为13岁以下儿童的网络隐私提供专门的法律保护.总的来说,有几个驱动因素 包括社会背景和法律因素 在将儿童作为特殊数据主体专门立法保护方面起到了重要作用.(一)社会背景以下几个方面可以被视为C O P P A通过的社会背景:第一,在20世纪90年代初的美国,网站对儿童网络用户个人信息的大肆收集已带来极大风险,引发了新闻媒体的报道和公众的关注.当时互联网已日益成为推销产品和服务的主要渠道,而且儿童网络用户的数量越来越多.网络的互动性使营销人员可以通过聊天室和讨论板来收集儿童的注册个人信息,可以追踪儿童网络用户的行为并投放定向广告,也可以通过赠送礼物以换取儿童个人信息.此外,很多游戏网站或者网络书店在要求儿童填写的问卷中,内容甚至包括家长的收入㊁电子邮件地址㊁家庭地址或信用卡号码.因此,家长在不知情的情况下,其隐私权也有可能受到侵害.更有甚者,这些收集儿童及其家庭信息的营销人员还将这些信息汇编成册,并出于商业目的出售给第三方.这种收集和销售个人信息的行为极易为犯罪分子所滥用,给儿童的生命安全带来风险.美国有线电视新闻网(C N N)于1995年12月14日报道,查询服务(l o o ku p s e r v i c e s)可用于定位儿童: 没有任何法律可以阻止一个陌生人拨打900号码并获取有关您孩子的信息.事实上,直到几个星期以前, R.D o n n e l l e y的一家子公司就提供了这样的服务. 哥伦比亚广播公司(C B S)的一名电视记者能够轻易使用一个臭名昭著的杀手的名字购买一份儿童姓名的清单.«旧金山观察家报»于1996年5月12日报道: 为了证明恋童癖者获取儿童邮件列表是多么容易,洛杉矶一家电视台报道了它是如何获得一份居住206㊀在帕萨迪纳地区的5500名儿童的年龄和地址的详细清单.它只需向芝加哥一家数据库公司支付277美元即可. ①第二,一些民间组织开展的研究收集了有关儿童互联网使用和相关网络风险的经验数据,这些数据为政策制定者提供了依据.1996年媒体教育中心(t h eC e n t e r o fM e d i aE d u c a t i o n)进行的研究表明,幼儿无法理解揭露其个人信息的潜在影响;他们也不能区分网站上的事实性材料和围绕四周的广告.虽然有些家长试图监控孩子上网的情况,但其中许多人因缺乏时间㊁计算机技能不足或缺少风险意识而无法提供恰当的保护.②1995年新闻媒体报道后不久,电子隐私信息中心(E l e c t r o n i cP r i v a c y I n f o r m a t i o nC e n t e r,E P I C)致函当时的联邦贸易委员会(F e d e r a lT r a d eC o mm i s s i o n,F T C)委员克里斯汀 瓦尼(C h r i s t i n e V a r n e y),请求F T C对报道中正在销售儿童个人信息的R.D o n n e l l e y营销公司进行调查.③1996年9月,E P I C主任马克 罗滕贝格(M a r cR o t e n b e r g)在国会作证支持立法保护儿童隐私,认为市场营销行业存在足够的问题需要国会采取行动,行业自律不适合解决儿童隐私保护问题,不应该等到有儿童被杀害之后才开始立法.④第三,政府机构的实地调查使人们认识到在针对儿童使用的网站和在线服务方面仅靠行业自律远远不够,亟需立法保护.1998年,F T C对1400多家网站的隐私实践进行了调查,并在向国会的报告中汇报了调查结果,结果显示业界对最基本的公平信息实践原则(F I P s) 告知原则 的执行远未能达到保护消费者所需的程度,有效的行业自律尚未形成.F T C建议国会在儿童①②③④以上报道参见E P I C关于C O P P A历史的介绍h t t p s://e p i c.o r g/p r i v a c y/k i d s/d e f a u l t.h t m l,a c c e s s e d8D e c e mb e r2018.C e n t e r f o rM e d i aE d u c a t i o n,W e bo fD e c e p t i o n:T h r e a t s t oC h i l d r e n f r o m O n l i n eM a r k e t i n g,1996a v a i l a b l e a t h t t p://w w w.c m e.o r g/c h i l d r e n/m a r k e t i n g/d e c e p t i o n.p d f;s e e a l s o s u p r an o t e s1G2.参见E P I C给当时的联邦贸易委员会委员C h r i s t i n eV a r n e y的信.h t t p s://w w w.e p i c.o r g/ p r i v a c y/i n t e r n e t/f t c/f t c_l e t t e r.h t m l参见R o t e n b e r g在国会的证词.这句话意指1994年美国国会通过的«驾驶员隐私保护法案»(D r i v e r sP r i v a c y P r o t e c t i o nA c t)是在女演员丽贝卡 谢弗被疯狂的影迷杀害之后才出台的.这位影迷就是从加利福尼亚州机动车辆管理局获知她的地址的.h t t p s://w w w.e p i c.o r g/p r i v a c y/k i d s/E P I C_ T e s t i m o n y.h t m l.美国儿童网络隐私保护的二十年:经验与启示207㊀网络隐私领域专门立法,让父母可以控制从儿童那里收集和使用个人信息的行为.①(二)法律因素美国对于隐私保护问题,公私有别.20世纪70年代 水门事件 的曝光,触动了美国社会对于警察政府的敏感神经,催生了1974年«隐私法案»,该法案主要强调联邦政府对个人信息收集和利用的公平性和正当性.在私人领域,出于对市场调节的信奉和支持信息技术发展的考虑,美国采取 零售式 分散立法模式,针对特定行业或领域内的个人信息收集和利用问题单独立法.②C O P P A就是在这样的立法思路下制定的.其次,美国法律的制定都要面临是否合宪的考量.为了全方位地保障儿童网络权益,美国政府制定了一系列相关法案,内容包括儿童网络隐私保护㊁对不良网络信息的监管㊁禁止儿童色情制品的网络传播等.但是,对于网络内容的监管需要受到联邦宪法第一修正案的制约,因此国会为保护未成年人而制定的关于内容管制的法案也时常面临合宪性的争议.从1996至2000年,国会先后通过了五个关于未成年人网络保护的法案,其中三个被判违宪.1996年2月1日,美国国会通过了«传播净化法»(C o mm u n i c a t i o n sD e c e n c y A c t,C D A),法案规定:禁止互联网向未满18岁的未成年人发放或展示猥亵或明显令人不安的信息内容.该法案在1997年 雷诺诉自由联盟案 中被最高法院宣布部分违宪,原因是法院认为该法案损害了宪法«第一修正案»所保护的言论自由价值.同年通过的«儿童色情保护法»(C h i l d P o r n o g r a p h y P r e v e n t i o nA c t,C P P A)禁止传播以青少年性行为为描述对象的内容,于2002年被判违宪.1998年1月国会通过的«儿童在线保护法»(C h i l d O n l i n e P r o t e c t i o nA c t,C O P A)要求商业网站对未成年人屏蔽掉对他们有害的内容,是美国政府试图规制网络色情的再一次努力(该法案被称为C D A之子),但仍在2009年以失败告终.从上述法案的命运可知,试图对网络内容加以规制的①②F T C.P r i v a c y O n l i n e:A R e p o r t t oC o n g r e s s.J u n e1998.h t t p s://w w w.f t c.g o v/s i t e s/d e f a u l t/f i l e s/d o c u m e n t s/r e p o r t s/p r i v a c y-o n l i n e-r e p o r t-c o ng r e s s/p r i v-23a.p d f.a c c e s s e d8D e c e m b e r2018.张新宝:«从隐私到个人信息:利益再衡量的理论与制度安排»,«中国法学»2015第3期,第38 59页.208㊀立法尝试最终几乎都在与宪法第一修正案所保护的言论自由价值的较量中落败.然而,这 并不能说明互联网不需要规制,而是折射出了人们对政府过度规制互联网的担心 ①.对于宪法第四修正案所捍卫的另一种法律价值 隐私权的保护,却在C O P P A的顺利实施中得以确认.对于网络运营商大肆收集㊁出售个人信息的行为,政府规制的合法性毋庸置疑.C O P P A的成功除了个人信息泄露问题已带来极大风险之外,还在于它将规制的重点从网络内容转向网络运营商的信息收集行为,这种转向一方面回避了与言论自由价值的冲突,另一方面与保护个体隐私权的基本价值相符.二、C O P P A确定的儿童年龄及其影响各国对于确定未成年人同意数据处理的年龄标准并不一致,欧洲数据保护专家甚至讽刺地称之为 百万欧元问题 ,即 儿童在什么年龄才有权同意处理他们的个人数据 的问题.②C O P P A规定在收集13岁以下儿童的个人信息之前必须取得其父母的同意;欧盟«95指令»并未明确规定同意的年龄限制;欧盟G D P R规定16周岁以下的用户,其同意应当由父母或监护人作出,成员国可以根据各国情况将年龄限制下调,但不得低于13周岁.以下我们将探讨为什么确定儿童年龄是一个困难的问题,以及C O P P A在这个问题上的立法过程及其合理性和有效性.(一)儿童的概念及其法律能力确定未成年人同意数据处理的法律能力是一项复杂的任务.这种复杂性源于对童年的概念,包括关于儿童的需要和能力以及它们如何随着成长而变化的观念,③以及特定国家的历史㊁文化和社会遗产.联合国«儿童权利公约»①②③戴元光:«美国关于新媒体规制的争论»,«当代传播»2014年第6期,第51 62页.G i o v a n n i B u t t a r e l l i. T h e C h i l d r e n F a c e d w i t ht h eI n f o r m a t i o n S o c i e t y ,1s t E u r oI b e r oA m e r i c a nS e m i n a rO nD a t aP r o t e c t i o n: C h i l d r e n s P r o t e c t i o n C a r t a g e n a d e I n d i a s(2009)<h t t p s:// s e c u r e.e d p s.e u r o p a.e u/E D P S W E B/w e b d a v/s h a r e d/D o c u m e n t s/E D P S/P u b l i c a t i o n s/S p e e c h e s/2009/09-05-26_C a r t a g e n a_c h i l d r e n_p r o t e c t i o n_E N.p d f>a c c e s s e d8D e c e m b e r2018.A r l e n eS k o l n i c k. T h e L i m i t so fC h i l d h o o d:C o n c e p t i o n so fC h i l d D e v e l o p m e n ta n dS o c i a l C o n t e x t ,(1975)39L a wa n dC o n t e m p o r a r y P r o b l e m s,38.美国儿童网络隐私保护的二十年:经验与启示209㊀(C o n v e n t i o no n t h eR i g h t so f t h eC h i l d,C R C)将儿童定义为18岁以下的个人,美国C O P P A草案和欧盟G D P R草案也遵循了这一立场,但却因种种原因并未纳入最终版本(将在下文讨论).然而,考虑到数据保护权属于儿童而不是他们的监护人(他们只是被指定行使这些权利),直到18岁为止的法律行为能力很容易被看成是过度保护的.根据联合国儿童权利委员会的要求,应越来越多地就有关儿童的事项征求儿童的意见,包括与儿童协商㊁儿童与父母的共同同意甚至成熟儿童的自主同意.①随着年龄的增长,未成年人的逐渐发展和更加独立的需求应该得到认可,尤其是他们接触互联网的权利.因此,在规定未成年人作为数据主体是否有权给予有效同意时,世界各国可能会引入不同的年龄门槛,这一门槛很少高达18岁.(二)C O P P A设定的儿童年龄C O P P A是首批专门保护13岁以下未成年人网络隐私的立法之一.自从1998年C O P P A在在国会通过以来,13岁的年龄限制就变成了一个事实上的父母同意标准,不仅被每个美国公司使用 包括儿童中最流行的社交网站,如F a c e b o o k㊁S n a p c h a t㊁I n s t a g r a m,而且被许多欧洲服务提供商复制.然而,从C O P P A的立法过程可知,以13岁作为年龄门槛的合理性和有效性也是值得探讨的.首先,C O P P A确定的年龄门槛与其说是一个合理的选择,还不如说是政治妥协的结果.在其最初的草案中,儿童被限定为18岁以下的个人.当立法被引入时又修改为16岁以下的个人.而在最终版本中,年龄门槛被降低到13岁,这是为了确保该法案的顺利通过.②在2010年C O P P A进行修订时,对于是否提高C O P P A覆盖年龄又再次出现同样的争议.作为支持者,E P I C建议国会将C O P P A的年龄要求提高到18岁,因为 社交网络的出现和强大的商业力量正在设法提取所有用户的个人数据,特别是对儿童提出了新的挑战,这①②A r t i c l e29W o r k i n g P a r t y(A29W P), O p i n i o n2/2009o n t h e P r o t e c t i o n o f C h i l d r e n sP e r s o n a lD a t a(G e n e r a lG u i d e l i n e s a n d t h eS p e c i a l C a s e o f S c h o o l s)W P160 ,11F e b r u a r y2009.E P I C,T e s t i m o n y o fM a r cR o t e n b e r g b e f o r e t h eS e n a t eC o mm e r c eC o mm i t t e e,28A p r i l2010<h t t p s://e p i c.o r g/p r i v a c y/k i d s/E P I C_C O P P A_T e s t i m o n y_042910.p d f>a c c e s s e d8D e c e m b e r2018.210㊀是当年制定C O P P A时始料未及的 ①.反对者则认为,将C O P P A扩展到青少年将减少隐私和匿名性,因为这样一来就需要对大量成年人进行年龄验证和数据收集,并对言论自由产生深远影响.②最终,因提升成本门槛将阻止小型㊁初创运营商进入竞争市场,这项扩大儿童定义的提议并未被采纳.其次,C O P P A的最初意图是保护儿童的个人信息免受商业开发与滥用.但时至今日,正如E P I C所言,C O P P A选定的13岁对于许多最具侵入性和最复杂的数据收集实践 例如在社交网站上进行的广泛的行为跟踪 来说都显得保护不够.无处不在的计算和数据分析,例如用户画像(p r o f i l i n g)㊁行为定向广告(b e h a v i o r a l a d v e r t i s i n g)㊁数据挖掘等技术可能导致未成年人隐私泄露㊁限制其未来发展㊁诱使其冲动消费以及社会分选(s o c i a l s o r t i n g)和歧视的后果.例如有研究者认为,作为通过可穿戴设备㊁移动设备㊁社交媒体平台和教育软件进行数据监控的结果, 儿童被视为算法组合 ,可能会限制其复杂性㊁潜力和发展机会 .③再如,未成年人的特定发展特征很容易被网络营销人员所利用,他们收集个人数据并采用特殊技术,如 实时定价(r e a lGt i m eb i d d i n g)㊁地理位置定位(特别是当用户接近购买点)㊁动态创意(d y n a m i cc r e a t i v e) 等,根据儿童的用户档案和行为模式发送量身定制的广告.④儿童将很难抵制这种诱惑并且容易被误导,而这无异于是一种消费操纵.最后,儿童(实际上大多数成年人)不太可能意识到,从他们的日常自我披露中可以作出推断 例如F a c e b o o k上的 喜欢 可以表明高智商,或者 喜欢 可以用来①②③④E P I C,T e s t i m o n y o fM a r cR o t e n b e r g b e f o r e t h eS e n a t eC o mm e r c eC o mm i t t e e,28A p r i l2010<h t t p s://e p i c.o r g/p r i v a c y/k i d s/E P I C_C O P P A_T e s t i m o n y_042910.p d f>a c c e s s e d8D e c e m b e r2018.B e r i n M i c h a e l S z o k a a n dA d a m DT h i e r e r.C O P P A2.0:T h eN e wB a t t l eO v e rP r i v a c y,A g e V e r i f i c a t i o n,O n l i n eS a f e t y&F r e eS p e e c h ,P r o g r e s s&F r e e d o mF o u n d a t i o nP r o g r e s s o nP o i n t P a p e r N o.16.11,M a y21,2009;C o mm e n t st ot h eF T Cf r o m t h eC e n t e rf o rD e m o c r a c y&T e c h n o l o g y ( C d t ),T h eP r o g r e s s&F r e e d o mF o u n d a t i o n&E l e c t r o n i cF r o n t i e r F o u n d a t i o n( E F F )<h t t p s:// w w w.e f f.o r g/f i l e s/c o p p a c o mm e n t s.p d f>a c c e s s e d8D e c e m b e r2018.D e b o r a hL u p t o na n dB e n W i l l i a m s o n. T h eD a t a f i e dC h i l d:T h eD a t a v e i l l a n c e o f C h i l d r e n a n d I m p l i c a t i o n s f o rT h e i rR i g h t s ,(2017)19(5)N e w M e d i a&S o c i e t y780,787.K a t h r y nC M o n t g o m e r y. Y o u t ha n d S u r v e i l l a n c ei nt h e F a c e b o o k E r a ,(2015)39(9) T e l e c o mm u n i c a t i o n sP o l i c y771;K a t h r y nC M o n t g o m e r y a n d J e f fC h e s t e r. D a t aP r o t e c t i o n f o rY o u t h i n t h eD i g i t a l A g e:D e v e l o p i n g a R i g h t sGB a s e d G l o b a lF r a m e w o r k ,(2015)1(4)E u r o p e a n D a t a P r o t e c t i o nL a w R e v i e w291.美国儿童网络隐私保护的二十年:经验与启示211㊀预测种族或性取向,其准确程度相当高.①(三)对欧盟G D P R的影响C O P P A设定的13岁年龄门槛对GD P R产生了重要影响.在G D P R最初的提案中,儿童同样被限定为18岁以下的个人.在提案发布之前,却意外地引入了未经父母同意不能处理13岁以下儿童个人数据的条款(第8条第1款).在后来的草案中,欧盟委员会起初将父母同意的年龄限制为13岁,但最后一刻又提高到16岁.这一变化引发了公众 尤其是儿童权利活动家㊁公司以及社交媒体上的年轻人的愤怒.最后G D P R草案选择了一种折衷办法:将需父母同意的儿童年龄定为16岁,但允许成员国将年龄限制下调到不得低于13周岁,才得以通过.②毫无疑问,G D P R对同意年龄的选择是来自C O P P A的灵感.关于G D P R的一份影响评估指出: 关于13岁以下儿童在网络环境中同意的具体规则 需要父母授权 是从现行的1998年C O P P A中得到的启发. ③此外,欧盟委员会承认,遵循美国的立法选择,13岁将有利于网上交易.欧盟委员会明确承认把13岁作为现有标准④的理由,因为保持现状并不需要太多的改变或者给数据控制者带来新的负担.然而,有批评者认为,欧盟立法者不应在缺乏新的经验证据的情况下照搬美国标准,而是应该重新评估13岁的年龄限制是否能够适应今天w e b2.0的网络环境并有效地减少隐私风险;是否能够适应欧洲文化和法律传统;是否符①②③④K a r e n M cC u l l a g h. T h eG e n e r a lD a t aP r o t e c t i o nR e g u l a t i o n:A P a r t i a l S u c c e s s f o rC h i l d r e no nS o c i a l N e t w o r k S i t e s ,i n T o b i a s B räu t i g a m a n d S a m u l i M i e t t i n e n.(e d s.)D a t a P r o t e c t i o n, P r i v a c y A n dE u r o p e a nR e g u l a t i o n i n t h eD i g i t a lA g e(U n i g r a f i a,H e l s i n k i,2016).M i l d aM a c e n a i t e&E l e n i K o s t a.(2017).C o n s e n t f o r p r o c e s s i n g c h i l d r e n s p e r s o n a l d a t a i n t h e E U:f o l l o w i n g i nU S f o o t s t e p s?I n f o r m a t i o n&C o mm u n i c a t i o n sT e c h n o l o g y L a w,26:2,146-197.C o mm i s s i o nS t a f f W o r k i n g P a p e r,I m p a c t A s s e s s m e n t,S E C(2012)72f i n a l.<h t t p://e c.e u r o p a.e u/j u s t i c e/d a t a-p r o t e c t i o n/d o c u m e n t/r e v i e w2012/s e c_2012_72_e n.p d f>,68.a c c e s s e d8D e c e m b e r2018.P r o p o s a l f o r a r e g u l a t i o no f t h eE u r o p e a nP a r l i a m e n t a n do f t h eC o u n c i l o nt h e p r o t e c t i o no f i n d i v i d u a l sw i t hr e g a r dt ot h e p r o c e s s i n g o f p e r s o n a ld a t aa n do nt h ef r e e m o v e m e n to fs u c hd a t a (G e n e r a lD a t aP r o t e c t i o nR e g u l a t i o n),16D e c e m b e r2013<h t t p://r e g i s t e r.c o n s i l i u m.e u r o p a.e u/d o c/ s r v l=E N&t=P D F&g c=t r u e&s c=f a l s e&f=S T%2017831%202013%20I N I T>,77.212㊀合儿童互联网使用的实证研究的结论.①三㊁父母同意机制的规定㊁执行与争议(一)C O P P A设定的父母同意机制与执行情况C O P P A保护儿童网络隐私的解决方案是让家长控制商业网站从儿童那里收集个人信息.它的主要执法者F T C认为,这是一项保护儿童而不会过度加重网络运营商负担的有效法案.②但是,由于其保护范围有限(仅限13岁以下儿童)㊁父母同意机制给网络运营商带来的高成本㊁对网络匿名性带来的潜在影响以及父母和运营商之间的责任平衡而备受争议.③作为一般规则,C O P P A要求针对儿童的商业网站或在线服务者㊁或者明知对方是儿童的一般性网站在收集或使用13岁以下儿童的个人信息之前必须取得其父母的 可验证的同意 .F T C规定了获得 可验证的同意 的几种可能方法,包括以下几种:父母可以打印㊁填写㊁签署和邮寄㊁传真或扫描并回发电子邮件;要求父母使用信用卡或类似的支付方式(如P a y P a l);提供一个由训练有素的人员接听的免费电话号码,让父母通过电话确认同意;允许父母通过视频会议与受过培训的人员联系;根据政府颁发的身份证件验证父母的身份,条件是身份证件在核实完成后立即删除;如果信息不被公开,则允许使用称为 e m a i l+ 的附加方法.这种方法包①②③C f.E U K i d s O n l i n e P r o j e c t R e p o r t s<h t t p://w w w.l s e.a c.u k/m e d i a@l s e/r e s e a r c h/E U K i d s O n l i n e/E U%20K i d s%20O n l i n e%20r e p o r t s.a s p x>,G l o b a lK i d s O n l i n er e s e a r c hr e s u l t s<h t t p://b l o g s.l s e.a c.u k/g k o/r e s u l t s/>.S e ea l s oA m a n d aT h i r da n do t h e r s, C h i l d r e n sR i g h t s i nt h e D i g i t a lA g e:A D o w n l o a df r o m C h i l d r e n A r o u n dt h e W o r l d (Y o u n g a n d W e l lC o o p e r a t i v eR e s e a r c h C e n t r e,M e l b o u r n e,2014).a c c e s s e d8D e c e m b e r2018.F T C, I m p l e m e n t i n g t h eC h i l d r e n sO n l i n eP r i v a c y P r o t e c t i o nA c t:A R e p o r t t oC o n g r e s s , F e b r u a r y2007<h t t p://w w w.f t c.g o v/r e p o r t s/c o p p a/07C O P P A_R e p o r t_t o_C o n g r e s s.p d f>a c c e s s e d3M a r c h2017.C h r i s J.H o o f n a g l e.F e d e r a lT r a d eC o mm i s s i o nP r i v a c y L a wa n dP o l i c y(C U P,2016),208.括服务运营商通过接收来自父母的电子邮件获得同意,再加上一个进一步的步骤:服务提供者可以使用邮政地址㊁电话或传真直接与父母联系,或者向父母发送另一封电子邮件来确认他们的同意.C O P P A还提供了一些例外情况,在这些例外情况下不必获得家长的可验证同意:(1)如果只是对孩子的一次性请求作出响应,那么只要在作出响应之后删除孩子的个人信息,则不需要得到可验证同意;(2)为了向孩子发送定期资料的情况下可以收集个人信息,条件是给予父母 选择退出 的机会;(3)在必要时保护所提供服务的儿童的安全;(4)在必要时保护服务的安全/完整性,对司法请求或其他公共调查作出响应.但实际上,大多数以儿童为导向的在线服务似乎都选择了在某种例外情况下操作,例如一次性使用㊁多次在线联系并简单通知父母(提供选择退出的机会),或者 e m a i l+ 的方式①这种对C O P P A法律条款的有限使用可以证明业界并不愿意在其服务中完全接受C O P P A.与针对儿童的服务相反,针对一般受众的网站和服务不需要获得家长的同意,除非他们实际知道用户是儿童.这意味着许多一般性服务只有在收集年龄或出生日期时才受C O P P A约束.因此,对于他们来说,为了避免违反C O P P A,只需要避免收集用户的年龄或出生日期就足够了.另一些服务提供商则采取了预防措施,明确禁止13岁以下的用户使用该服务,并要求所有用户在使用服务之前输入其出生日期.例如F a c e b o o k就禁止13岁以下的儿童注册账户.根据F T C的建议,网站应该以中立的方式询问年龄,也就是说,在不提示用户必须至少13岁的情况下允许用户输入任何出生日期,如果给定的日期证明用户年龄在13岁以下,就阻止该用户继续使用该网站.此外,网站可以设置c o o k i e以防止用户重新输入虚假的年龄.(二)父母同意机制的缺陷关于父母同意机制的争议主要从以下几个方面展开:首先是从经济性角度批评取得父母同意的方法.批评者声称,F T C指出①A d v e r t i s i n g E d u c a t i o n F o r u m, C h i l d r e n s D a t a P r o t e c t i o na n d P a r e n t a lC o n s e n t:A B e s t P r a c t i c eA n a l y s i s t o I n f o r mt h eE U D a t aP r o t e c t i o nR e f o r m ,O c t o b e r2013<h t t p://w w w.a e f o r u m.o r g/g a l l e r y/5248813.p d f>a c c e s s e d8D e c e m b e r2018.的用于验证父母同意的方法 邮寄或传真纸质版的签名同意书,要求父母使用信用卡号码验证,让父母拨打免费电话或通过数字签名的电子邮件验证 费用过高㊁繁琐且不足以保护个人信息.即使正在开发新技术,当前的验证方法也太慢而且不切实际.例如邮寄㊁电子邮件和信用卡号码的验证过程可能需要一天的时间.此外,使用信用卡号码验证将使父母在保护孩子的同时又陷于信用卡信息泄露的风险之中.因此,C O P P A产生的一些意外结果就是,儿童可能会通过删除c o o k i e㊁虚报年龄的方式来继续访问这些网站,父母可能会面临身份信息泄露的风险,而从长期效果来看,在线企业可能会拒绝为儿童提供服务或者关闭以儿童为中心的网站以减少合规成本.①进而,由于最受儿童欢迎的几个网站,如Y o u T u b e和F a c e b o o k均在其使用条款中声称它们的服务不向13岁以下儿童开放,许多父母甚至会帮助他们的孩子撒谎.②其次是从宪法角度质疑C O P P A伤害了宪法第一修正案所保护的基本价值.即使网站能够开发出更容易符合验证要求的新技术,一个重要的宪法问题仍未得到解决 任何要求互联网用户在访问网络内容之前必须先进行个人身份识别的行为都会产生寒蝉效应从而伤害言论自由,同时还侵犯了第一修正案的匿名通信权.美国民权同盟(A m e r i c a n C i v i lL i b e r t i e s U n i o n, A C L U)的法律顾问加布 罗特曼(G a b eR o t t m a n)指出,C O P P A的修订扩大了其适用范围,使得那些 可能吸引13岁以下儿童 的网站也被纳入C O P P A 的监管范围.这样做的后果是:一方面像Y o u T u b e这样的通用网站有可能使其内容更加成熟(通过删除芝麻街频道)以避免吸引年幼的孩子,因此政府实际上间接地影响了网络内容,并且引发了适合儿童观看的网络内容数量急剧减少的危险;另一方面如果网站要合乎C O P P A的新规,就必须对用户进行年龄筛查,而在A C L U之前就«儿童在线保护法»(C O P A)提起的一系列案件中,最高法院曾解释说,要求成年人在获取受保护的信息之前确认自己的身份可①②s e eC r i t i c i s mo fC O P P A.C o n s t i t u t i o n a l a n dE c o n o m i cD r a w b a c k s o f t h eV e r i f i c a t i o nS y s t e m s.h t t p s://e p i c.o r g/p r i v a c y/k i d s/d e f a u l t.h t m l#C r i t i c i s m,a c c e s s e d8D e c e m b e r2018.d a n a hb o y da n do t he r s, W h y P a r e n t s H e l p T h e i rC h i l d r e n L i et o F a c eGb o o ka b o u t A g e: U n i n t e n d e dC o n s e q u e n c e so ft h e C h i l d r e n s O n l i n eP r i v a c y P r o t e c t i o n A c t (2011)16(11)F i r s t M o n d a y。
2024年第2期总第216期治理研究GovernanceStudiesNo.2,2024GeneralNo.216个人信息出境的国内法规制路径及体系化完善收稿日期:2023-09-12作者简介:赵骏,法律博士,浙江大学光华法学院教授、博士生导师;姚若楠,浙江大学光华法学院博士研究生。
基金项目:教育部哲学社会科学研究重大课题攻关项目“坚持统筹推进国内法治和涉外法治重大问题研究”(编号:21JZD031)。
① 个人信息与个人数据联系紧密且难以区分,前者强调内容,后者强调数据化,个人信息跨境流动的内容多被纳入数据立法之中,本文根据需要交替使用。
程啸:《个人信息保护法理解与适用》,中国法制出版社2021年版,第74-75页。
□ 赵 骏 姚若楠 摘要:数字化个人信息的大规模跨境传输使得个人权益、公共利益和国家安全利益受损的风险加剧,国际社会尚未达成统一法律规范予以应对。
为维护国家数据主权、促进数据产业发展与保障个人信息安全,各国选择以国内法规制的方式对个人信息出境予以监管,具体表现为国家专门立法、联盟统一立法与国家分散立法。
我国通过专门立法规制个人信息出境,形成了“硬性”与“软性”两轨监管机制,但存在分轨监管内容交叉、公私共治监管尚未形成的问题,阻碍个人信息的安全出境。
在统筹推进国内法治和涉外法治的背景下,我国应以系统观念加强个人信息出境监管建设,从主体上发挥公私体系的协同性,从规范上强化攻防体系的均衡性,从空间上增进内外体系的互动性,为促成个人信息跨境规制的多边共识贡献中国智慧。
关键词:涉外法治;国家规制;数据跨境流动;个人信息出境;系统观念中图分类号:D99 文献标志码:A 文章编号:1007-9092(2024)02-0123-018 随着数字经济全球化进程的持续推进,各国之间的经济联系愈发紧密,数据跨境流动成为数字经济发展的必然规律。
目前,全球个人信息(数据)保护标准不同且尚未达成国际共识。
①随着个人信息出境需求的增加,为促成个人信息跨境的安全自由流动和境内外一致保护,国家纷纷选择通过国内法规制个人信息出境以维护国家主权、安全和发展利益。
