未成年人网络信息安全的三重保护规制
时间:2023-02-02 19:55:05 来源:柠檬阅读网 本文已影响 人 
梁 芸
(中国人民公安大学 法学院, 北京 100038)
联合国在《儿童权利公约》第16条规定儿童的隐私、家庭、住宅或通信不受任意或非法干涉,其荣誉和名誉不受非法攻击。未成年人在身心发育上不够成熟,与成年人相比,其辨别能力较弱,更易受到与成年人同质损害的侵扰,基于该特殊性,在立法中对其网络信息安全做出特殊保护是必然的。2021年《中国儿童发展纲要(2021—2030年)》以及中央文明办等4部门的联合意见,均要求加强未成年人网络保护力度,加强科普和宣教,落实政府、家庭、社会等的保护责任,为未成年人营造良好网络氛围。未成年人网络信息安全主要分为“输入安全”与“输出安全”,在输入过程中,若未对信息进行筛选、截留而任意将其向未成年人渗透,则不利于未成年人健康成长;
在输出过程中,若未对未成年人的信息做出授权上的限制,随意收集未成年人个人信息并任由这些信息被加工处理并流转于大数据中,也不利于保护未成年人及其监护人的人格尊严、财产安全等权益。2017年,《中华人民共和国网络安全法》在第十三条中规定了未成年人的保护专款;
《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)明确规定收集年满14岁的未成年人的个人信息前应征得本人或其监护人的明示同意;
不满14周岁的,要获得监护人的明示同意。2019年《儿童个人信息网络保护规定》第九条要求网络运营者收集、使用儿童个人信息的,应以清晰显著的方式告知其监护人,并征得监护人同意。《中华人民共和国未成年人保护法(2020年修订)》(以下简称《未保法》)增设了“网络保护”专章,对处理未成年人的个人信息做了严格规定。2021年《中华人民共和国个人信息保护法》(以下简称《个信法》)第二十八条、第三十一条将未成年人的个人信息列为敏感个人信息,规定信息处理者处理不满14周岁未成年人个人信息时应取得未成年人父母或者其他监护人的同意,对未成年人信息安全整体提升了保护等级。2022年,国家互联网信息办公室发布《未成年人网络保护条例(征求意见稿)》,着力解决新形势下对未成年人网络安全的保护。2022年7月,公安部网安局在坚持总体国家安全观、以人民为中心的思想指导下,严厉打击网络犯罪,治理网络乱象。
立法与政策发展至今,我国对未成年人网络信息安全逐渐形成家庭、网络和公权力三重保护,但三重保护的规则制定主要以欧美框架为模板,各保护均有其自身弊端,单一的监护人同意、行业主体自律的松散、权益的事后保护缺失等使得三重保护在衔接和落实中出现断层,成为未成年人网络信息安全保护的难题。
(一)家庭保护的现状与不足
在《未保法》中,家庭保护分为未成年人接受家庭教育、监护人行使监护权、监护人尊重和保护未成年人意愿三方面内容。从未成年人的网络信息安全上看,家庭保护是第一道屏障,监护人通过抚养和教育未成年人,帮助未成年人树立网络信息安全意识,同时通过监护代理未成年人授权,确保其网络环境的安全。
监护人同意规则在家庭保护中起到重要作用,但该规则在国内外的实践中已发现很多不合适之处。首先,知情同意规则在未成年人监护人同意的适用上存在矛盾;
有关未成年人信息保护的规范、政策等散落在各法律、法规、规章及行业规定中,制度设计交叉重叠,内容规定偏于原则化,且具体操作规范缺失。其次,在完全民事行为能力人中适用“知情同意”规则尚存在“同意真实”“撤回同意”等问题;
未成年人包含无民事行为能力人和限制民事行为能力人,此类主体能够真正进行“自决和控制”的极少,需要其监护人才能作出实质上的决定,如此,知情同意中代表实质性的“意思自治”将更难实现,监护人同意规则的适用是否应覆盖未成年人的“自主决定权”?
(二)监护人同意规则的适用
1.监护人同意规则的法理基础
监护人同意虽存在一定弊端,但在目前尚不能完全摒弃,而需要通过明晰其法理后进行修正。监护人同意的基础之一是亲权理论,亲权是亲属权的重要内容,其作为“亲”的身份奠定了“权”存在的基础,体现在监护上则是履行“监督照护”义务,因此未成年人的网络信息安全具备未成年人与监护人亲权的双重利益属性,也存在缺陷。首先,基于监护关系,监护人对未成年人的信息接收与反馈情况具有知情权,在未成年人对外行为上具有代理权;
但其知情和代理的权利均是为了弥补未成年人在认知和行为能力上的不足,由监护人代位保护,故监护人在行使的目的和方式上必然存在一定限制[1]。其次,作为监护人之一的父母对其子女享有作为身份权的亲权[2],当未成年人的信息安全遭到侵害时很可能导致其处于不安与痛苦状态,而亲权制度中着重体现的伦理秩序,即便是进行国家干预,也会受到“比例原则”的限制,以避免对亲子关系造成损害。
《中华人民共和国民法典》(以下简称《民法典》)第一千零三十五条在明确未成年人最大利益的原则下,对更好落实未成年人个人信息利益需要完善监护人同意制度的具体内容进行了回应。该条也表明未成年人在行为能力上的确存在瑕疵,需要在保护未成年人信息权益时限制其“自主决定权”,将未成年人个人信息处理的同意由其父母或监护人做出[3]。另外,知情和同意是实现“个人信息自决权”的主要方式,但未成年人在民事行为能力上表现不足,对各类隐私协议的理解存在偏差,其在知情同意的责任主体、个人风险预期等问题上存在特殊性。因此,由监护人替代未成年人行使上述权利是保护未成年人网络信息安全的关键。
2.替代决定下的监护人同意
替代决定下的监护人同意是为了弥补前述规则的不足,主要方式是通过对未成年人年龄划分、替代决定下所需要的技术标准以及明确同意规则来调整。
(1)年龄划分之争
年龄作为监护人同意的划分标准之一在国内外争论不休,其矛盾在于若将年龄标准设置得较低,则13或14周岁以上的未成年人个人信息便缺乏保护;
若将年龄标准设置得较高,则又存在限制未成年人网络自主权之嫌。美国的《家庭教育权与隐私权法》和《儿童网络隐私保护法》(COPPA)等关于保护未成年人隐私的法案对年龄标准的质疑从未中断,多位学者均认为13至18岁的青少年信息网络安全同样需要家长保护[4]。COPPA中对于儿童年龄的限制于2018年的《儿童反追踪法案》中被修订,扩大保护范围至“青少年”,而非仅13周岁以下,同时为确保青少年的独立主体地位,还需获得其本人可验证的同意。欧盟《通用数据保护条例》(以下简称GDPR)将获得未成年人监护人同意作为信息处理者处理信息的前提,这与COPPA的基于年龄获得家长同意有异曲同工之妙,但并未解决部分未成年人自主决定权利的问题,甚至可能成为限制未成年人上网自由的工具[5]。
我国关于年龄上的立法较晚,早先的立法在年龄的划分界限上有13、14、16周岁不等,但随着立法的完善,基本形成以14周岁作为划分的界限,《个信法》第三十一条规定了14周岁是年龄界限,其他与未成年人信息安全的相关立法也大都认可14周岁的年龄界限。实践中,微信、QQ等主要网络应用程序,会根据相关法律修改其隐私协议,如微信中就有关于未成年人保护的规定(1)如果你未满18周岁,请在法定监护人的陪同下阅读本协议及上述其他协议,并特别注意未成年人使用条款。特别地,如果你是未满14周岁的儿童,则在完成账号注册前,还应请你的监护人仔细阅读腾讯公司专门制定的《儿童隐私保护声明》。只有在取得监护人对《儿童隐私保护声明》的同意后,未满14周岁的儿童方可使用微信服务。。可见我国对于14周岁以下未成年人信息安全保护更加严格,而14到18周岁则相对宽松。总之,以年龄作为监护人同意的条件之一,相关争论可能会一直持续,但我国现有的年龄标准是通过多方协商而产生的,是适合我国国情的。
(2)替代决定模式的规则前提
替代决定除了需要年龄标准外,还需要建立健全身份识别规则,精准识别未成年人身份,引入“弱者保护”方案。首先,确立未成年人个人信息保护认证机制,是信息处理者在合规、风控和技术标准等已具备相应能力的前提下被赋予的一种商事外观作为第三方证明。GDPR采纳了个人数据认证机制,如法国采用的公权认证模式,即由国家设立“国家信息与自由委员会”作为认证主体,制定认证规则,进行评估并授予证书。在未成年人个人信息领域内,合规压力大、执法难,但认证机制独辟蹊径,通过声誉评价形成行业标准,调动企业主观能动性,促进行业合法合规经营,激发其保护未成年人信息的活力,增强用户对数字产业的信任[6]。如微信、小红书等APP都在隐私协议的制定中作出了不菲的贡献,弥补了对未成年人个人信息保护的不足,并通过实践检验或成为今后法律规则制订的参考。其次,采取系统化的验证方式主要分为两种,一种是“中心化”模式,即由我国网信等部门主导,建立一站式未成年人身份识别平台,但不进行存储和分析,并提前设置好未成年人个人信息的负面清单,在识别出未成年人后,若其认可对个人信息的收集,平台应立即告知监护人,使监护人知悉,并在自我衡量后作出决定。一种是“去中心化”模式,即以区块链技术为基础,设计收集未成年人个人信息的算法,将限制条件作为算法基础输入,之后进行收集、使用、删除等,增强监管和安全系统的壁垒,以避免敏感信息被商业化利用,确保未成年人个人信息安全。但“去中心化”模式无论在政策还是技术上当前均有阻力,相较于第一种操作模式更困难。综上,通过建立健全未成年人身份识别规则,再由第三方帮助或替代监护人作出同意决定,能最大限度降低对未成年人个人信息的损害。
替代决定模式还需要明确同意规则,落实意思自治。首先,信息处理者获取监护人同意是合法收集未成年人个人信息的基础,但基于同意进行后续处理行为仍有违法的可能,因此允许监护人同意存在无效的情形。如西班牙《数据保护法》中要求数据管理员制定核实程序,以确保未成年人的年龄及其监护人同意的真实性。我国企业参照《个人信息安全规范》,在提供的隐私服务协议中细化了收集、存储、共享、未成年人保护等信息内容,为用户提供指引。其次,替代决定下必须允许撤回同意和删除的权利行使。由于未成年人并非完全民事行为能力人,监护人的同意也并非能完全代表未成年人的意思,因此无论未成年人还是监护人意识到先前的授权可能会侵犯未成年人权益时,均有权撤回授权或要求相关处理者删除该信息。《个信法》明确规定自然人具有撤回同意的权利,信息处理者还应为个人提供便捷的撤回同意方式,第四十七条对个人信息的删除权作出了细化规定,要求撤回同意后的信息处理者及时有效删除存储的相关信息[7]。《儿童个人信息网络保护规定》中的删除权明确监护人撤回同意或终止使用产品服务时,运营者要及时删除未成年人的个人信息。同意规则的实质是实现意思自治,而撤回同意、删除等恰恰提供意思自治达成的途径,这样的权利设置对未成年人信息保护尤为重要,甚至赋予公民直接决定特定信息的生命周期权利,避免未成年人个人信息的收集和处理有始无终。
(一)网络保护的必要性
网络保护是基于未成年人入网规模大、触网低龄化而被纳入保护规制范围的,是对网络不良信息侵蚀未成年人成长、随意收集未成年人个人信息、扰乱未成年人网络空间安宁等问题的回应。日前,公安部重拳严打涉未成年人网络淫秽色情、窃取买卖公民个人信息等违法犯罪行为,净化网络生态。可见,网络保护是未成年人网络信息安全保护的主要内容,也是家庭保护的补充(2)2022年中国互联网络信息中心(CNNIC)发布的第49次《中国互联网络发展状况统计报告》显示,截至2021年12月,中国网民规模达到10.32亿,我国城镇未成年人互联网普及率达到95.0%,农村为94.7%。。网络空间作为未成年人获取信息、对外交流的主要阵地,如何抵挡对网络信息安全的攻击成为网络保护规制的关键。网络平台组织是网络信息保护问题产生的根源[8],由于网络平台与用户地位的不平等,用户基于信任平台而进入,网络平台要肩负起用户的信任,不平等的地位势差使平台承担更高标准的信任义务[9]。从网络内容的生产、处理及终端审核上看,保护未成年人网络信息安全贯穿每个环节。网络社交、游戏、搜索引擎等均是对未成年人网络保护的具体规制对象,责任主体多,利益盘根错节,各方主体协作才是治理的关键。但现有法律中的网络保护规定较少,并且仅起到原则性的指导作用,2017年中共中央宣传部等八部委针对网络游戏印发了《关于严格规范网络游戏市场管理的意见》,2022年国家互联网信息办公室发布《未成年人网络保护条例(征求意见稿)》,都以保障未成年人的网络空间安全和权益为目标。与欧美相比,我国未成年人网络立法起步较晚,相对薄弱,因此,网络服务提供者、个人信息处理者等作为网络平台的主力军,在实现其经济目标的同时,也要肩负起责任和义务。
(二)网络服务提供者的安全保障义务
网络服务提供者的安全保障义务一般分为事前审查义务、事中警示提醒义务和事后通知删除义务。
在事前审查义务中,当网络服务提供者与用户订立合同时要对其资格进行审查,排除可能发生的风险。网络平台审查资格的义务是双向的,不仅审查网络用户,即要求其提供基本信息筛查其是否为未成年人,进而对该特殊主体负有更严格的注意义务,而且要审查具体服务的提供者,尤其是针对其向特殊主体发布或自动化推荐内容的适当性进行严格审查,对未成年人访问主体开启防沉迷和“纯净版”的浏览模式[10]。
在警示提醒义务上,网络平台要主动向未成年人及时提示安全评估系数较低的网站、链接等,防止可能产生的侵害;
同时对未成年人的操作权限做出相应限制,当其要突破授权时,必须向监护人发出风险提示,取得监护人同意,以保障未成年人的信息安全。此时需要网络保护与家庭保护进行联合,才能为未成年人的网络信息安全创造良好的环境。
在通知删除义务中,由于网络空间的特殊性,其逐渐成为新型犯罪滋生的温床。根据《民法典》第一千一百九十五条确立的“红旗规则”,要求网络服务提供者履行通知删除义务,弥补其事前未能审查到的侵权行为,在事后采取及时的补救措施,以免对未成年人及其监护人造成更严重的后果。此外,网络平台本身要具备应对外来风险的能力,通过互联网来回输送的关键信息搭建大数据平台,快速处理信息,并为数据提取、分析、追踪、保护、预测等提供技术支持,预测潜在的攻击者,为客户端或服务提供者提供针对性的防御能力,提高防范和化解风险的能力,确保网络安全[11]。
(三)个人信息处理者的安保义务
1.信息披露义务
信息处理者在处理未成年人信息时的责任义务标准高于一般信息主体。信息处理者处理未成年人信息时需积极向信息主体报告和披露,及时向未成年人及其监护人披露其所处理的个人信息范围与用途等,保障未成年人及其监护人的知情同意权、撤回权与删除权等。当未成年人个人信息由私人空间向公共空间过渡时,为确保信息的及时性,信息处理者应肩负起审查义务,对可能或应当知道会涉及未成年人个人信息的情况主动给予信息主体提示,使其对可能的信息风险有所防范。这是对《未保法》中社会保护、网络保护原则的落实,是信息处理者担负企业、社会责任的体现。另外,未成年人通过网络发布私密信息可能导致未成年人遭受侵害,也应当及时提示监护人,对部分重要信息直接采取保护措施,之后再处理程序问题。
2.技术处理中的保护义务
个人信息已被广泛利用,信息已转变为“个人+社会”控制的局面,这时要加强未成年人信息的保护力度,需要在立法与技术上建立有效的技术治理机制。未成年人个人信息流转的风险贯穿于整个处理过程,加之信息主体与信息处理者的地位失衡,潜在风险可想而知。为此,欧盟GDPR及美国隐私保护通过立法综合运用反追踪、加密、匿名化等技术来应对敏感类个人信息处理中可能面临的风险[12]。我国为平衡信息主体与信息处理者间的地位差,使信息处理者承担起信息安全保护的责任,也需要在立法与技术上建立有效的技术治理机制。
通过横向对比,我国在个人信息保护立法中的技术治理仅原则性地规定信息处理者要采取一定的安全保障措施。例如《个信法》第五十一条对一般个人信息保护要求采取加密、去标识化等安全技术措施,要求进行风险评估和应对信息泄露采取措施,但并未在技术治理上进行规范。现在,这种情况开始有了改变,比如除发布《个人信息安全规范》,全国信息安全标准化技术委员会还在制定其他个人信息安全技术的规范,以应对个人信息技术处理中的不足。另外,在网络信息空间,未成年人信息处理的场景多样,在技术治理上应围绕个人信息的特定场景转化进行动态调整,建立降低未成年人信息敏感属性和披露信息风险过程的相应规范[13]。因此,信息处理者在技术方面需要承担起更多责任,技术设计者在处理系统的设计上,如代码架构、值设定,主动对可能产生的风险进行预防,在技术设计和系统运行中形成对未成年人信息保护的默认规则,从技术源头处降低对未成年人信息侵害的风险。
在技术操作上建立能够覆盖未成年人信息处理全流程的治理机制,但由于信息处理者大多为网络平台,要想在技术上实现突破,网络平台的力量不容小觑,《民法典》第一千一百九十八条规定了网络平台的安保义务,而网络平台作为处理各类信息的重要场所,实际上创设了一个由信息、算法驱动的“场景”,网络平台存储的大量信息数据已然成为现实经营活动中的素材。网络平台处理个人信息本身所带的风险决定了其在特定场景下对信息主体提供安全保障义务的必要[14]。具体的技术治理措施主要包括以下三方面:
(1)对未成年人信息处理进行事前风险评估。对处理未成年人信息可能产生的风险要随着处理场景的变化而变化,因此风险的确定也要通过具体场景进行判断。信息处理者在处理信息前需结合处理的性质、目的、范围等对个人信息影响进行评估,至少包括操作计划、处理必要性与相当性分析、未成年人权益的风险预测和应对措施,而后根据评估结果采取应对措施。欧盟GDPR中将敏感个人信息划分为低、中、高三个风险等级,我国在立法中也可适当引进,通过评估明确风险等级。当评估为低风险时,信息处理者只需按照符合信息主体所预期的一般信息保护流程进行信息处理即可;
当评估为中风险时,应按照处理未成年人信息时的具体场景判断,采取灵活、及时、针对性的保护措施;
当评估为高风险时,信息处理者除完成应对中风险的保护措施外,还需要事前对高风险所带来的可能结果制定处置预案和保护措施,采取更高标准的风险防护手段。
(2)对未成年人信息进行事中脱敏处理。脱敏常用的方式是对信息进行去标识化处理使信息变形,并对信息分散分布、分区进行加密保护储存,隐藏各信息之间的联系,使信息的细节更加隐蔽,当需要对信息进行处理,通过逐条信息返回实现自动装载还原的形式,消除信息敏感性[15];
或将未成年人的特定信息进行技术上的删改,使其无法再指向特定自然人,以降低信息处理中的风险。但去标识化技术本身存在两点缺陷:首先,有损害信息质量的可能,尤其当丢失可识别信息时,极可能限制个人信息的效用[16]。其次,若去标识化技术使用不当,海量信息通过运算整合形成关联分析,提高了未成年人个人信息被重新识别的可能[17]。因此,处理好去标识化与未成年人信息处理的关系尤为重要,当需要对第三方主体输送未成年人信息时,信息处理者可以在不影响信息使用的基础上进行脱敏,提高密文的安全性。
(3)对未成年人信息泄露设置事后防护措施。未成年人信息在收集、使用、存储、传输等任何处理过程中均可能泄漏,因此信息处理者需要根据每个环节风险的特点设置应对防护机制。此外,信息处理者应对未成年人信息风险进行实时监测,当监测中发现异常时应提高警惕,先行断开数据传输,降低信息泄露的风险,而后开展排查和溯源工作。例如,当传输未成年人信息时,一般需要基于法定或者约定事由才可定向传输,且需符合适当性与必要性要求,对数据附着能够溯源的标记和加密处理等[18]。另外,尽可能集中对数据进行传输,对访问未成年人信息的请求进行严格控制和审查。信息处理者需要在事后防护中承担起责任,无论在技术、时间等消耗上,都需要提供尽可能多的防范和保护。
综上,基于网络服务提供者和信息处理者对未成年人信息控制程度高低而产生的地位势差,要求提升其安全义务并确保义务履行,突破技术难关,落实全流程保护。未成年人输出与输入信息的安全至关重要,关乎其是否会被网暴、定向营销等。因此,网络保护是与其他保护协同发力的保障。
(一)公权力保护的正当性及路径
公权力保护是未成年人网络信息安全的最后屏障。公权力部门行使保护职责的正当性来源于国家亲权理论确立的国家监护责任,根据《未保法》第七条规定,国家对未成年人监护人在履行监护责任的过程中负有支持、指导、帮助和监督的责任。另外,《儿童权利宣言》和《儿童权利公约》中提出要确保儿童的最大利益,各类社会主体均要遵守该原则。我国在该原则的指引下,给予未成年人在法律、制度、政策等方面的特别保护,各方资源均可在保障自身发展的前提下向未成年人倾斜。再者,我国确立了事前赋权保护的理念,对未成年人权益往往是主动赋权保护,而非受到侵害后的被动保护。在该理念的指导下,能尽量避免未成年人在成长过程中可能遇到的侵害,赋予未成年人权利以约束对方行为,形成行为规制,这样的赋权为保护未成年人网络信息安全中的知情同意、撤销等权利奠定了基础,为构建更完备的保护体系夯基固本。
公权力保护一般由国家机关履行监护职能,体现国家的责任担当。未成年人在网络环境中是弱势群体,由于未成年人信息泄露会带来物质和精神的损害风险,需要建立多维协同的保护措施对未成年人的网络信息安全权益进行补救。同时,侵犯未成年人网络信息权益多是过程隐蔽、因果不清、证明困难、后果严重的情况,当依靠非诉的保护方式走上末路时,提起诉讼成为守住未成年人网络信息安全的最后防线,但此类案件常出现的诉讼周期长、举证困难、损害难衡量、判决难执行等问题也亟待解决。因此,出于对未成年人信息安全性的考量,权益受到侵害后的救济措施也是检验法律能否落到实处的关键。
(二)多维协同的保护措施
公权力保护主要分为非诉方式保护和诉讼方式保护。政府部门一般负有监督管理责任,此时的监管责任会具备强制力和执行力,一方面是主动管理规制,如公安部网安局全面治理网络乱象的行动。另一方面则是接受受侵害主体的投诉、申诉等情况。政府部门的管理规制在本文中不做过多阐述,重点在于相关部门接收到受侵害主体的求助维权后相应的处理措施。一般情况下,先通过和解、调解的方式进行解决,行政部门居间斡旋;
当无法解决时,可视情况转入司法程序,但公权力机关均要提供力所能及的帮助。
1.非诉保护
对未成年人信息的侵害往往会涉及多数不特定人的权益,在进行保护时可以按照侵害行为的严重性、影响范围的广泛性以及造成损害的大小进行分阶段、多维救济,常见的模式有投诉、申诉、和解、调解等。
投诉是维权的第一步,有学者在《个信法》的规定下提出了三阶投诉机制,期望实现投诉、调解以及诉调对接的效果,建立多维并进的程序救济机制。但这要求信息处理者能够及时受理投诉,信息权益保护组织和具备职能的部门及时处理投诉,通过利用信息处理者的内部资源和社会力量形成联动;
同时,当投诉和调解也无法化解矛盾时,该机制也能方便后续诉讼中信息的对接和调取[19]。瑞典的非诉程序即集体调解制度,主要是就信息权益的集体保护制定了集体调解制度,该制度设计可以在公益诉讼的前置程序和结案程序设计上为我国所借鉴。日本不断完善的个人信息保护组织的诉外纠纷解决的规范也值得学习。如在《个信法》第六十二条、第六十五条规定了具有个人信息保护职能的公权力机关应当在收到投诉时及时处理,具体的投诉制度建设、主体间衔接等具体内容,在日本的立法中有可借鉴之处。例如当相关组织受理投诉后,应按照具体情况对信息处理者和信息主体进行调解,必要时提起公益诉讼。国家检察机关则在三阶投诉机制中承担协调和监督的责任,这不仅符合对检察机关的机构定位,也符合个人信息保护法的规范。
2.司法保护
司法保护需要规制的内容包含整个诉讼阶段,主要有以下问题:首先,注意侵权损害的量化,优先实现财产上的补偿,同时构建精神损害量赔体系以及事后的心理健康监测体系;
其次,在面对未成年人网络信息侵权的大批量案件时,单靠个人诉讼存在较多限制,也会加重个人诉累,因此采用公益诉讼更具效率;
最后,司法保护也并非仅限于上述手段,还需要以尽可能多的方式进行完善,如各部门法律的衔接、办理未成年人侵权案件的特殊程序等,让未成年人遭受到网络信息侵害时能够有法可依。
在侵权损害的量化上,《民法典》第一千一百八十二条规定了侵权损害额(3)侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失或者侵权人因此获得的利益赔偿;
被侵权人因此受到的损失以及侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的,由人民法院根据实际情况确定赔偿数额。,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定(2020年修订)》第十二条明确只要能确定信息主体的人身权益确实受损,即便具体金额难以确定,法院也能在规定的限额内自由裁量确定赔偿金额。该规定在被侵权人难以证明具体受损金额的情况下,对个人信息受损的认定赔偿中起到了指引作用,但该规定在适用上仅限于权益受损造成的财产损害,对于精神上的损害赔偿并未说明,范围上相对狭窄。《个信法》第六十九条规定了当个人信息受到损害时,信息处理者无法证明自己没有过错的应当承担损害赔偿责任,损害赔偿的责任按照个人因侵权受到的损失或者信息处理者因此获得的利益进行确定;
当前述两项均难以确定时,根据实际情况确定。该规定与前述规定在损害确定的思路上基本一致。但《个信法》中表述为“个人信息权益”的概念比最高法规定的“人身权益”所表达的内涵更丰富,能将侵害个人信息权益的各种形态后果广义地囊括在内。但这样的规定在实践中并不利于全方位认定侵害未成年人信息权益造成的实质损害,同时以“实际情况确定赔偿数额”的规定需要考虑“实际情况”的因素也不明确,需要更加清晰的规定来为司法实践做指引。
诉讼作为保护个人信息安全的最后屏障,个体进行诉讼寻求救济收效甚微,因此在制度构建中,公益诉讼救济模式崭露头角。《个信法》第七十条规定了个人信息保护公益诉讼,允许检察机关、法律规定的消费者组织和国家网信部门确立的有关组织可以提起公益诉讼。我国公益诉讼的规定借鉴了国外立法的经验,尤其是大陆法系国家的,他们在建立公益诉讼的模式上是存有共识的,认为公权力介入能够克服个人诉讼中取证、举证困难的问题,提高救济效率[20]。《个信法》虽然也做出了相关规定,但规定过于原则化,具体的操作仍然缺乏配套的制度设计和规范,需要在实践中不断完善。目前能够借鉴的除了我国本身已经实践了的环境、消费者公益诉讼,国外的制度规范也值得研究,如发展和完善企业数据合规部门、个人信息保护组织、信息主管行政部门等其他力量,并规范不同主体之间的互动模式,形成对未成年人个人信息保护上的自律与他律,协同监管,有利于协调好公益诉讼与其他内部程序的衔接,也有利于个人信息公益诉讼相关程序性工作的开展。2022年最高检发布以未成年人保护检察公益诉讼为主题的指导性案例(4)最高检召开主题为“积极履行公益诉讼检察职责,依法保护未成年人合法权益”新闻发布会,发布最高检第三十五批指导性案例。其中包括全国首例未成年人网络保护民事公益诉讼案,是浙江省杭州市余杭区检察院诉国内某知名短视频公司侵犯儿童个人信息民事公益诉讼案,后经杭州互联网法院出具调解书后结案。https://www.spp.gov.cn/spp/xwfbh/wsfbh/202203/t20220307_547722.shtml,2022年8月31日访问。。资料显示检察机关严惩侵害未成年人权益网络犯罪,积极推动网络领域中的未成年人公益保护。可见我国十分注重未成年人网络保护、个人信息保护。通过立足法律监督职能,从多种途径保障未成年人网络空间安全和网络权益。
我国在实践中逐渐建立起以家庭保护为基础、网络保护为补充、公权力保护为关键的三重保护体系。虽然其在各领域内均存在一定问题,并且三种保护的相互衔接也不够顺畅,但三重保护是环环相扣的链条式结构,是保护未成年人网络信息安全必须要衔接起来的。只有建立起有序的衔接,才能在前述的任一保护存有漏洞时,后续保护均能及时补位,以确保未成年人网络信息保护领域不缺位;
同时,三者保护也是叠加的,任一保护均能为其他保护提供基础和保障,如在家庭保护中出现缺位时,国家保护便无须等待侵权后的救济,而是在家庭保护缺位时及时补救;
网络服务提供者违规操作时,建立专门监管部门及时采取措施,对其进行警告、整改,及时处理,对用户在网络内的投诉、申诉进行抽调检验等,对于内部处理不当且用户向公权力部门寻求救济时要及时处理等。
综上,规范本身并非法律正义的体现,其真正价值是通过实践为未成年人网络信息安全的保护提供实效价值,维护未成年人的实质权益。在未成年人网络信息安全保护体系中,家庭保护虽存有弊端,但在我国现有背景下又无法完全脱离监护人同意的模式,只能通过完善替代决定模式使其行为更具备合理性,公权力部门也要做好监护人缺位时的补充;
同时对网络保护的规制要加快落实,网络服务提供者等责任主体也要认真履行职责,同其他主体积极配合;
最后也必须建立好对未成年人网络信息权益侵害的救济措施,防止其处于孤立无援的境地,做好后续保障工作。因此落实三重保护的具体规则,能够确保三者有序衔接,以实现未成年人网络信息权益的最大化[21]。
