黄文超
(华东政法大学法律学院, 上海 200042)
随着互联网、信息技术的快速发展,人们已进入万物互联时代。物联网智能终端实时记录未成年人的脸部、声纹、指纹、虹膜等特征信息,这些信息在法律和医学层面被认定为生物信息或生物数据。由于未成年人对自身权益保护能力不足,监护人同意之前的告知效果虚化和监护人这一“理性人”瓦解[1],个人信息与未成年人权益保护立法应对未成年人生物信息这一新领域失灵,数据控制者的信息安全保护能力良莠不齐,信息侵害事后救济措施无力等原因造成了未成年人生物信息处于不安全状态。数据的社会化利用导致侵权方式多样性、隐秘性,侵权客体范围逐渐扩大,损害结果日益严重[2]。尤其在智能终端无感信息采集的网络泛化时代,未成年人生物信息保护与使用的矛盾日益凸显,如何平衡未成年人生物信息保护与合理使用之间关系亟需立法积极回应。
未成年人生物信息安全关乎未成年人身心健康、国家长久发展,是我国未成年人信息保护立法、司法的重要课题。本文试图分析未成年人生物信息的特殊性,证成特殊保护的必要性与合理使用的可行性,探寻未成年人信息权益保护力来源,构建安全合理透明、充分知情同意、全周期信息管理、多元化保护主体的机制体系。
未成年人生物信息需从信息权益的主体和客体两个方面阐述其特殊性。从主体角度分析,未成年人心智、意思表示、行权能力的不足,导致其易受到来自家庭内部或社会外部的信息侵害。从客体角度分析,生物信息相较一般个人信息而言,具有强人身属性、高度识别性、专属唯一性等特征。因此,沿用一般个人信息保护机制保护未成年人生物信息不够周延。生物识别技术(以人脸、指纹识别技术为例)应用广、价值大,应厘清风险与收益之间的关系,在不同适用场景中合理使用、区分保护。
1. 未成年人行使权利的有限性
未成年人因心智尚未成熟,其行为能力、责任能力与成年人具有一定差距。未成年人权利的特殊性主要表现在权利主体的身心特殊性、权利内容的特殊性、权利行使的不可选择性、权利实现的依赖性、权利的易受伤害性及权利保障的特殊性等方面[3]。根据我国《民法典》第18、19、20 条的规定,未成年人分为限制民事行为能力人与无民事行为能力人。又根据《民法典》第23 条的规定,确立未成年人由其监护人代为行使相关权利的制度。监护制度是社会广泛认可、最基本的未成年人保护制度。但在信息保护方面,适用的却并不尽如人意。监护人存在因过度“晒娃”而泄露未成年人信息、对未成年人信息保护不足、概括同意第三方获取未成年人信息而疏于监督第三方使用信息的现象。上述问题的主要原因是:第一,监护人未认识到未成年人的个人信息是重点保护客体,监护人重视保护未成年人物理生存环境安全,而疏忽保护其自由、尊严、隐私等精神层面安全;
第二,监护人疏于监督第三方对未成年人信息的保护,而未成年人尚不具有保护其自身合法利益的能力,导致未成年人信息保护处于真空状态。未成年人权利行使的有限性决定了未成年人信息权益保护方式和目的的特殊性,需要法律特殊的制度安排以回应社会之需求。
2. 生物信息的特殊性
我国《民法典》第1 034 条将生物识别信息归入个人信息保护范围,表明生物识别信息应适用《民法典》第1 037 条信息自决、第1 038 条个人信息安全的相关规定。同时,也应该适用《个人信息保护法》中合法、正当、必要、诚信的基本原则。因生物识别信息的特殊性,在适用相关法律规范时,应该遵循“优先适用特殊规范、劣后适用一般原则”的法理精神。生物识别是指使用生物识别技术读取个人生物识别信息,从而识别特定主体。生物识别信息与特定主体一一对应,因其精准识别特定主体的特点,使生物识别信息归入重要敏感信息的范畴[4]。生物标识符是指能够识别特定个人的生物特征,包括手掌集合特征、视网膜扫描、虹膜扫描、指纹、面部特征、DNA 序列、声音印记或手写签名等[5]。通过生物识别技术获取的生物信息包括生物标识符及衍生信息,生物标识符具有强识别性,使用生物识别技术与既有数据库比对,可精准识别、验证特定主体。衍生信息是生物识别技术过程中产生的“副产品”,可表征特定主体的表情、心情、健康状态、行为习惯等反应身心状态的信息,此种信息常用来分析数据主体的消费偏好、兴趣爱好等心理状态,用于反馈服务或商品的满意程度。
生物信息与一般个人信息有显著差异,前者反映数据主体的身体、心理等人身属性,具有强识别性与敏感性,与人身密不可分;
后者反映数据主体社会地位、社会角色,具有社会关系属性,是外在于形的数字化身份标签[6]。因此,生物信息相比个人信息具有独特属性。第一,生物信息的专属性和普遍性。每一种生物信息专属或对应唯一主体,每一主体都具有生物识别特征。生物信息的专属性意味着识别的精准性,对信息的采集质量要求甚高,一旦生物识别信息存在偏差,定会影响识别结果。第二,生物信息的稳定性。生物识别特征不会随着时间的变化而改变。而个人信息中的姓名、地址、电话号码、社会身份、财产状况都会改变。第三,生物识别信息仅机器可读。生物识别信息通过机器程序采集,再由机器程序读取、分析、辨识、匹配。例如,使用声纹登录腾讯微信APP,是由账户主体通过预先录制的一串数字声音信息作为声纹密码。当账户主体需要重新登录微信时,账户主体重新朗读同一串数字,由程序记录、读取、分析、辨识身份识别管理系统数据,来验证账户主体真实身份。第四,生物信息的敏感性。生物信息是重要的敏感信息已成为共识,敏感信息在收集、加工、存储、流通等环节都需要特殊制度保障安全。第五,生物识别特征的可模仿复制性。生物识别信息经过分析后,可快速模仿制作高度逼真的可穿戴伪装设备,骗取机器或人的信任。第六,生物识别信息的商业使用价值高、社会需求大。如智能手机、智能门锁、机场安检、刷脸支付等基于识别生物信息特征的应用场景广泛,具有巨大商业价值。
3. 生物识别技术收益与风险的均衡性
生物识别技术中人脸识别技术应用场景多、发展快,理论界对人脸识别技术研究成果较多,有利于指导生物识别技术整体发展。人脸识别技术应用之初有较大的争议,禁用说认为人脸识别技术无感化收集人脸信息,数据控制者违法处理人脸信息,人脸信息被泄露后的风险高;
个别政府或非政府组织时刻监控人们隐私,使人们处于不安宁状态。使用说认为人脸识别技术已经成熟,在验证身份领域的发展前景广阔,只要针对不同适用场景严格管控数据控制者的处理行为,定会给社会带来较大收益。人脸识别技术的存废之辩,究其根本是收益与风险之间的博弈。如收益大于风险,法律应持鼓励的态度,并建立严格的保护机制;
如收益与风险关系不明确,法律应持谨慎态度,待市场和技术进一步成熟后再行衡量;
如风险大于收益,法律应持否定的态度,防止个人信息权益遭受侵害[7]。在生物识别信息方面,收益与风险的比例关系决定着法律规制态度和社会公众接受程度。因此,明晰真正风险之所在是关键,建立严格保护机制前提下的合理使用是目的,这样最大化释放生物识别技术给人民生活、交往带来的福祉,消除生物信息滥用带来的不利影响。
生物识别技术的益处,已经不需赘述,其风险性需进一步明晰。生物识别技术常见风险主要包括误差风险、身份认证被破解风险、信息泄露风险[7]。误差风险并非生物识别技术独有,只要涉及信息识别读取就一定会产生误差。生物识别数据具有人身属性,遭遇泄露是普遍认为的首要风险。但这不是从成本—收益角度衡量,而主要考量生物信息的敏感性,通过媒体的报道,群众对此有了普遍认识,变成“不证自明”的道理[8]。除了上述风险外,知情同意作用的弱化是逐渐被社会关注的重大风险。知情同意采集方式主要通过用户勾选用户协议和生物信息服务协议,但冗长的协议内容、晦涩的协议语言往往让用户无暇仔细阅读,造成了“知情不知意、同意非情愿”的困境。概括性、形式性的同意方式已然失去对数据处理的监督与控制。用户协议为数据控制者披上合法外衣,影响生物信息主体行使合法权益。技术的发展要向积极方向引领社会发展,在技术广泛应用前需衡量风险与收益的比例关系,才能最终决定技术的使用程度。分析生物信息的风险可知,生物信息风险与一般信息风险相似,仅因生物信息的特殊性、人身性、强识别性而禁用生物识别技术,不利于技术造福人类。综上所述,重大风险在于生物信息处理前知情同意作用失能,有必要建立生物信息处理前知情与可验证同意机制,实现生物信息在严格保护下的合理使用。
4. 生物识别技术不同场景的适用性
我国对生物信息的保护与使用尚处于探索阶段,有必要检视域外生物信息保护与生物识别技术应用情况,为我国相关立法提供参考。在美国,区分政府与非政府的适用场景,民众对政府处理人脸信息持不信任态度,美国多地立法采取强风险预防理论,严格禁止政府对公民人脸信息的使用,而对于非政府机构处理人脸信息采取弱风险预防理论。在欧盟,不区分政府与非政府适用场景,以生物信息禁止使用为原则、允许处理为例外[9]。
域外经验对我国有参考意义,但需结合我国实际国情妥善调整。根据“爱德曼信任度晴雨表”调查表明,我国公民对政府的信任程度位于世界第一[10]。公民信任政府有能力保护好生物信息,在社会治理、惩治犯罪等领域能够使用好生物信息,对商业使用则持不信任态度。因此,我国政府使用人脸信息等生物信息应采取弱风险预防理论,非政府使用则应该持强风险预防理论。在非政府的使用场景中,也要区分商业、公益等适用场景,采取不同的处理规则、监管规则。特殊保护的原理来源于场景理论,根据不同场景有区别地对待信息控制者的处理行为。一是根据信息敏感程度的区分,即生物信息与一般个人信息之分;
二是生物信息中生物识别符与衍生信息之分;
三是生物信息适用场景的区分,即政府与非政府场景、教育与非教育场景、公益性质与商业性质场景等。
具体到未成年人生物信息,在生物信息保护客体方面,应区分为生物标识符及衍生信息。生物标识符信息是可直接识别特定主体的敏感信息,具有精准识别身份的作用,应单独隔离、不联网存储。生物标识符之外的非指向特定主体的衍生信息,这一“数据画像”可进一步处理、分析、研判,但禁止识别性处理使用。在区分政府或非政府适用场景时,根据我国《个人信息保护法》第35 条的规定,政府机构履行法定职责处理个人信息应该履行告知程序,但告知会妨碍国家机关履行法定职责的除外。可见,政府机构只要采取告知程序即可依法处理个人生物信息。主要原因是我国政府被信任程度高、责任担当意识强,应允许政府为公共利益、社会管理、惩治犯罪、重大突发事件等情形自主决定收集、处理、分析公民生物信息。而在非政府的使用场景中,应该在严格保护下有限度地合理使用。
总而言之,由于未成年人行使权利的有限性、监护人对未成年人信息权益保护的“真空”性,生物信息的人身属性与强识别性,有必要进一步探寻未成年人生物信息保护的理论基础与实现路径,实现未成年人生物信息特殊保护下的合理使用。
1. 未成年人信息权益保护之源:未成年人的基本权利
20 世纪早期,人们逐渐认识到未成年人不仅是被保护的对象,而且未成年人与成年人一样也应该有权利。1989 年11 月联合国大会通过了《儿童权利公约》,确立未成年人是权利主体的理念,对各国未成年人权利保护的立法产生影响。未成年人权利多达十几种,如姓名权、健康权、娱乐权、闲暇权、隐私权、受教育权等,其中最基本的权利可以概括为生存权、受保护权、发展权、参与权[11]。
在数据时代,未成年人的上述基本权利被赋予不同的时代内涵与意义,应受到社会的关注与保护。在未成年人生存权方面,未成年人已基本能够在良好生存环境中生长,但保护生存权更高层次的要求是对自由和尊严的保护。在《儿童权利公约》第16 条第1 款规定:儿童的隐私、家庭、住宅或通信不受任意或非法干涉,其荣誉和名誉不受非法攻击。可见,未成年人同样享有积极维护自身人格尊严、自由、隐私的权利。尤其在信息社会,未成年人生物信息是直接识别特定主体的敏感信息,具有强识别性和唯一性,应受到严格的保护。在未成年人受保护权方面,监护人是保护未成年人最直接和有力的责任主体,其不仅需要提供安全的家庭环境,还需要营造安全的社会环境。安全的社会环境保护未成年人免遭麻醉药品滥用、毒品、色情等犯罪活动侵害,同时也需保障未成年人的信息安全环境。在信息安全环境与未成年人的网络自由、网络参与权之间找到合理平衡点,既要保障未成年人获得网络信息技术带来的便利,又要保护未成年人免遭个人信息侵害。在未成年人发展权方面,是保障未成年人身心健康发展的重要权利。未成年人在心智、能力方面正值接受教育的良机,任何教育形式都不能被剥夺。在“非同意即不可用”的商业强权逻辑下监护人只好妥协,将未成年人个人信息供企业收集、处理、分析、使用,这无疑是对未成年人信息保护的挑战。在未成年人参与权方面,未成年人是精神独立之个体、自由之个体,其有权利在家庭、学校、社会,甚至是网络上交流互动、发表观点。未成年人有权利参与到网络社会发展之中,不可随意剥夺、限制未成年人参与网络社会的权利。
享有权利意味着被尊重、有能力提出要求,并要求对方听取。未成年人信息保护不是来源于监护人对未成年人信息控制权或同意他人处理权,而是来源于未成年人自身权利,此种权利是未成年人的基本权利,既包含对监护人的信息权益,又包含对信息控制者的信息权益,只是未成年人因其年龄、智力、行为能力尚不成熟,其民事权利由监护人代为行使。代为行使不仅要保障未成年人自由、尊严、隐私等基本权利,还要有一定限度,随着未成年人年龄的增长,代为行使逐渐减弱,直至全部权利交由其自身行使[12]。
2. 生物信息保护立法现状及启示
(1)我国法律规制现状。我国尚未制定未成年人生物信息保护的专门立法,保护未成年人信息的规定零散纳入到不同层级的法律、行政法规、国家标准等规范中,其中较为重要的是我国《民法典》《网络安全法》《个人信息保护法》《未成年人保护法》《儿童个人信息网络保护规定》《信息安全技术 生物特征识别信息保护基本要求》。我国个人信息保护法律规范未充分考量未成年人基本权利及生物信息的双重特殊性,给司法实践和生物识别技术发展带来障碍。主要症结体现在:立法重视不够、保护力度不足;
立法过于零散,未形成合力;
规范过于笼统,操作性不强;
家长概括式同意,失去保护作用;
个人信息保护立法,未充分考虑未成年人特殊性;
保护主体单一,保护体系未建立。
生物识别信息与隐私信息界定是当今新的话题。人脸本身并非隐私,人作为社会中的一员,具有社会属性。在日常交往中将人脸信息暴露在社会聚光灯下,并未产生关于隐私的法律或伦理问题。但是,信息化、互联网、云计算的兴起,人脸识别技术使人脸信息成为可处理、可识别的信息。个人生物识别信息随着技术的发展,逐渐进入人们视线,挑战传统隐私的概念与范畴,使得隐私与个人信息边界模糊且复杂[6]。由此,生物信息保护比一般个人信息保护更具挑战性。
(2)域外法律规制现状。在美国,以各州单独立法的方式保护个人信息,没有在国家层面制定统一的个人信息保护法。在商业领域使用人脸识别信息时,数据控制者必须在取得明确同意的前提下处理信息,要求数据控制者向消费者发送通俗易懂、便于搜索的告知内容,充分保障数据主体的知情权和选择权[6]。在未成年人信息保护方面,《儿童在线隐私保护 法》(COPPA)与联邦贸易委员会(FTC)发布的《企业六步合规计划》①构成了美国保护未成年人在线隐私和信息的主要法案。在美国的州政府层面,伊利诺伊州通过了较为严格的生物信息保护法案,明确要求收集人脸信息要以书面形式告知或者书面授权,明确信息处理目的、期限、方式等必要内容,只有在收到明确同意后才可处理上述信息,不然则违反法律规定,将处以严格惩罚[13]。
欧盟制定的《通用数据保护条例》(GDPR)第9条规定:禁止以识别自然人身份为目的的生物信息处理,除非数据主体明确同意或涉及就业、社会保险、健康、卫生医疗、社会公共利益等必须处理个人生物信息的场景[14]。在波兰,制定了生物识别技术指南,提出在构建生物识别数据处理系统之前,数据控制者应先进行数据安全影响评估,并且应着重考虑个人数据保护的基本原则,例如必要性、目的性、相称性。在处理特殊类型数据时,一方面必须具有数据处理的合法性基础,另一方面要遵守个人数据处理的基本原则。
综上所述,域外法律没有对未成年人生物信息专门立法,要么遵循个人信息保护法来保护未成年人信息,要么采用生物信息保护的相关规定进行处理。两种立法模式,有其特定社会背景或立法体系约束,无法评判孰优孰劣。但未成年人生物信息有其特殊性,且生物识别技术应用越发广泛,立法应特别重视并予以回应,填补法律规范的空白,为司法、执法提供依据。
(3)域内外立法现状对我国未成年人生物信息保护的启示。我国《个人信息保护法》第5 条规定,处理个人信息应遵循合法、正当、必要、诚信的基本原则;
第13 条规定了取得个人同意、履行合同目的、履行法定职责、应对突发公共事件、符合公共利益等合法性处理规则,将个人同意作为处理个人信息的合法性基础之一,非唯一合法性基础[15]。个人生物信息及未满14周岁未成年人的信息被认定为敏感信息。处理敏感信息需单独制定处理规则并取得个人或监护人的同意[15]。我国《未成年人保护法》规定了处理未成年人信息应遵循合法、正当、必要原则。处理14 周岁以下未成年人信息应征得监护人同意,将同意作为处理特定年龄信息的必要规则[16]。我国《儿童个人信息网络保护规定》确立保护范围为14 周岁以下未成年人,以正当必要、知情同意、目的明确、安全保障、依法利用为处理原则[17]。将知情同意作为处理14 周岁以下未成年人信息的必要处理原则。通过对信息处理原则及规则梳理,可发现随着数据主体年龄的降低,同意规则升级为必要的知情同意处理原则,原则具有普适性、强遵照性。在处理未成年人生物信息中必须经过监护人的知情同意,体现出立法对未成年人信息保护的特殊性、严谨性、严格性。但现有知情同意程序在未成年人生物信息领域失去作用,未实现知情同意的可验证和真实性。
另一方面,未成年人主体的脆弱性、生物信息的长期稳定唯一性,导致未成年人的生物信息泄露后的损害是无法补救的,其信息被违法使用、长期使用的可能性较大[18]。依靠未成年人自身能力很难实现信息保护的周全。未成年人利益最大化是未成年人信息网络保护的首要原则[19]。在未成年人生物信息保护方面,参照民法监护制度合理配置监护人替代决定机制,使知情与同意发挥实质性作用,并分别配置知情权与同意权。具体而言,知情与同意的分别实施可有效规制“不同意信息处理则拒绝提供产品或服务”的强权商业逻辑,此商业逻辑违反了《个人信息保护法》第16 条,关于信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务的相关规定。
域外法律没有对未成年人生物信息进行专门立法,相关保护规则散见在不同层级法案之中。生物识别信息保护的主要规则已经明晰,即采集、处理生物信息前的知情同意作为必要的合法性基础,同时,也要满足个人数据处理的基本原则②。相较《个人信息保护法》第14、17 条关于处理一般个人数据的同意和告知程序,处理生物信息前的知情同意方式与内容应当更为严谨,旨在让数据主体或监护人知晓同意的真正内涵。虽增加了企业的合规成本,但由于生物信息的特殊性及泄露后损害的不可逆性、高度危险性等特征,在利弊衡量后,各国立法仍将知情同意作为收集、处理、分析、使用、传输生物识别信息的必要条件。除此之外,结合严格的保护措施和数据安全影响评估体系,实现了保护与使用之间的平衡。我国《个人信息保护法》第56 条明确规定事中安全影响评估,但缺少事前风险识别、风险预案的规定。数据主体或监护人的知情同意可有效保障数据主体的权益,但数据主体一方处于技术、资金、信息的弱势地位,仅靠数据主体一方的保护,不足以保护个人生物识别信息的安全。因此,有必要遵循《个人信息保护法》第11 条之规定,推动形成政府、企业、社会组织、公众共同参与的个人信息保护良好环境。
1. 弥补未成年人行权能力不足:知情同意的实质化
由于未成年人行权能力的有限性,监护人是替代未成年人行使知情同意的最佳人选,又因未成年人生物信息的强识别性、敏感性,监护人及未成年人对数据企业处理目的、方式、期限、效果等内容应全面及时知晓并可验证地同意。因此,需对知情同意的程序进一步完善。具体而言,知情同意分层设立为告知程序与可验证同意程序,未成年人及监护人的知情同意,可在很大程度上保护未成年人信息安全[20]。在处理未成年人生物信息时,知情同意应该成为处理未成年人生物识别信息的必要条件,这有利于保障未成年人的个人利益和父母的亲权利益[21]。
知情同意原则的实质化包含三层含义。一是明确告知的内容,数据收集者应采取简便易懂的方式向未成年人及其监护人告知收集未成年人生物信息的范围、目的、处理方式、存储期限、分析使用方法,数据共享、查阅或删除的途径等,让未成年人及监护人知晓其做出同意的具体内容及法律后果,保障其知情权和救济权。采用多层次、多选项、通俗易懂的用户协议更容易让监护人知晓同意的具体内容。二是可验证的知情同意,未成年人及监护人的知情与同意的验证方式要采取书面方式,包括电子签名或捺印、监护人的视频验证、上传知晓同意书等可验证或更加严谨的方式,改变以往惯用的隐私协议勾选框的简易形式。监护人知晓与同意方式的升级,有利于唤醒监护人的保护意识,令其知晓自身的权利与责任。同时,便于数据监管部门验证和检查知情同意机制的可靠性。三是知情与同意的分别实施权,即知情+同意与知情+不同意的实施权利。该方式的实施旨在改变“非同意即不可用”的强权商业逻辑,让未成年人及监护人有权决定未成年人生物信息是否可以被数据控制者处理。因此,有必要将知晓与同意分层实施,当未成年人及监护人知晓数据控制者处理生物信息的方式后,如对收集、存储等处理方式不信任,就有权拒绝数据控制者处理未成年人生物信息。
2. 由侵权后救济向全周期监管转化:生物信息 安全影响评估管理体系
未成年人生物信息的唯一性、稳定性,决定着侵权后救济的滞后性、无力性,应从事后救济升级为事前、事中、事后全流程的动态监督管理。生物识别技术风险与收益的动态衡量应贯穿信息收集、处理、删除等全流程,应建立未成年人生物信息全周期管理制度。我国《信息安全技术—个人信息安全规范》提出个人信息安全影响评估管理制度,旨在发现、处置和持续监控个人信息处理过程中的安全风险。个人信息安全影响评估又称为数据保护影响评估或隐私影响评估,在美国、澳大利亚、加拿大等国开展较早,他们有较多的风险评估实战经验[22]。我国制定实施了《信息安全技术—个人信息安全影响评估指南》,指导高新技术行业创新开展个人信息安全影响评估试点工作③。我国个人信息安全影响评估制度与欧盟《通用数据保护条例》确立的数据保护影响评估制度(data protection impact assessment, DPIA)形成有效对接,达成一致的个人信息保护水平,有利于实现我国与欧盟国家数据跨境传输。
(1)事前风险识别。开展未成年人生物信息收集前,数据企业需要识别未成年人生物信息可能面临的安全风险,按照法律规定就风险进行分级并制定合理的信息保护预案,对系统进行安全检测、认证、评级,将风险识别评估结果和信息保护预案向数据保护监管部门备案。事前风险识别评估与信息保护预案可降低事中数据处理风险和时间成本,是数据全周期保护的必要前置环节。企业在开展信息处理工作之前,数据保护监管部门应根据风险识别评估和信息保护预案对涉及未成年人生物信息的企业,采取特别授权制度。对信息保护预案、数据安全评估不达标者,不授予特别授权证书,禁止其从事涉及未成年人生物信息处理的行为。
(2)事中实时反馈。企业控制及处理未成年人生物信息时,数据企业实时综合分析内外部变化,持续修正已采取的信息安全保护措施,确保风险处于可控制范围。一方面数据企业将数据应用和风险监测报告向数据保护监管部门备案;
另一方面数据企业将未成年人生物信息处理报告向其监护人反馈,保障监护人的实时知情权。
(3)事后及时删除。当企业完成服务目的、未成年人及其监护人明确要求删除信息、超过约定存储期限时,数据企业应当删除未成年人生物信息。在数据企业破产或分立合并时,未成年人信息应视为重要的资产进行特殊化处理,防止出现数据的丢失、脱管等问题,如需继续使用未成年人生物识别信息,应重新取得未成年人及其监护人的知晓同意。
3. 改善监护人保护的单一性:构建多元化保护 主体体系
多元化保护主体的构造应从主体能力、保护目的、适用场景等多角度考量。未成年人生物信息的保护不应该仅仅是监护人或数据企业的责任,而应该是多元主体共同参与的社会责任。仅依靠监护人的单一保护,任由数据企业收集、存储、加工、分析等处理,缺少算法规制、执法监督的共同保护作用,会使未成年人生物信息处于不安全状态。因此,有必要建立多元化的保护体系,共同呵护未成年人身心健康,营造健康、有序、安全的未成年人网络环境。
(1)监护人的法定保护义务。监护人作为未成年人最直接的利益守护者,其有责任和义务保护未成年人的网络环境安全。任何保护都需尊重其固有权利,否则保护也是另一种伤害。监护人应从被动式“看护”转向尊重未成年人权利前提下的积极保护。未成年人受制于行为能力、认知能力的欠缺,面对复杂、多发、隐蔽的信息侵害,法律赋予了监护人法定保护义务,在关注未成年人权利的基础上保护其合法权益,营造良好的网络生存环境。监护人代为行使权利时也应该受到一定的法律约束,如监护人疏忽大意、过失,甚至故意造成未成年人生物信息遭受侵害,未成年人保护组织、基层社区、民政部门可对监护人予以警告、训诫,检察机关可提起民事公益诉讼。
(2)数据控制者的商业保护义务。数据控制者是未成年人信息利益的受益者。基于危险控制、信赖利益、节约成本、风险与收益相一致的考量,数据控制者有义务也有能力对进入其控制、管理范围内的未成年人信息加以保护[23]。数据控制者从商业目的、法律义务、社会责任、监管要求等方面考量,促使其负担多样性的保护义务:1)告知披露义务;
2)验证同意义务;
3)安全保障义务;
4)满足信息质量要求义务;
5)提供查询生物识别特征使用情况义务;
6)定期反馈信息使用情况义务;
7)配合数据保护监管部门监督检查义务;
8)不得转让、共享、公开披露生物信息的义务;
9)损害通知义务;
10)按期存储数据义务等。上述保护义务是数据保护监管部门重点审查内容。数据控制者按照保护义务清单完成合规自查,在涉诉时是重要的免责抗辩理由。
(3)系统设计者的算法保护义务。系统设计者的算法保护是通过算法规制信息安全,将数据保护理念融入系统开发全周期,自系统规划至系统上线,确保信息安全贯彻至信息处理利益相关方,让系统平台从根本上保护用户的个人隐私与数据[24]。系统设计者在前期规划、产品设计、二次开发等系统研发过程,将未成年人信息保护理念和未成年人数据处理原则贯彻始终,从底层算法角度防止数据控制者对未成年人信息的侵害,形成数据主体、系统设计者、数据控制者三方相互监督的新格局。
(4)监管部门的监督保护义务。在国家监管层面,明确数据监管机构的权力、责任、执法手段,监督企业保护未成年人生物信息,与国际个人信息保护机构开展对话与合作。从欧盟和美国的执法监督经验来看,第29 条工作组④、欧洲数据保护委员会(EDPB)⑤、美国的联邦贸易委员会(FTC)⑥在推动个人信息保护和惩处的执行方面起到了关键作用。全球超过90个国家和地区依法成立了专门的个人信息保护监管机构[25]。未成年人相比数据企业处于劣势地位,需要数据监管机构平衡两者的紧张关系。数据监管机构不仅要审慎履行监督权力,还要履行积极保护义务,以支援个人对抗大规模、持续化数据处理中人格尊严的减损[26]。
未成年人生物信息特殊保护关系到未成年人的自由与尊严,应受到社会关切。未成年人有资格行使与年龄、智力相适应的权利,亦有接受社会多元主体保护的权利。未成年人是国家的希望和未来,保护未成年人的信息安全,尤其是生物信息的安全,是我国个人信息保护法律的重要课题和社会实践。生物信息正在被广泛使用,街头、公共区域的摄像头、可穿戴设备、手机等智能终端,正在悄无声息地收集、存储、分析、使用未成年人生物信息,生物信息的应用场景正以惊人速度发展。通过对未成年人生物信息特殊保护机制下合理使用的证成,探寻未成年人信息权益保护的权利来源,完善生物信息处理中知情同意原则的实质化、保护主体多元化,增强信息安全影响评估,从事前、事中、事后保障生物信息安全流通使用,以期在我国《个人信息保护法》实施后,待时机成熟、市场稳定、法律价值趋于统一时,建立专门的生物识别信息保护单行法。
注 释:
① 《企业六步合规计划》通过六个步骤促进信息收集行为符合法律规定:第一步,确定企业收集的是13 岁以下未成年人的个人信息;
第二步,企业需要发布符合《儿童在线隐私保护法》的隐私政策;
第三步,从未成年人那里收集个人信息之前需直接通知父母;
第四步,收集未成年人个人信息之前先获取父母的可验证同意;
第五步,尊重父母对未成年人个人信息所享有的持续性权利;
第六步,通过实施合理的程序来保护未成年人个人信息安全。《常见问题解答》是联邦贸易委员会针对企业合规问题作出的解答,可作为企业收集未成年人信息时的参考。
②欧洲经济合作组织(OECD)提出的个人数据处理的八项基本原则源自美国《正当信息通则》。世界各国均吸收借鉴了八项基本原则的部分内容。
③全国信息安全标准化技术委员会将在App、SDK、云计算、小程序、可穿戴设备等多种形态中开展试点工作,涉及音视频处理、广告分发、生物识别、健康医疗、金融、房屋租售、安全技术、天气服务等多种领域的试点对象,旨在对标准内容的可操作性和适用性进行验证,探索形成标准实施应用工作模式。
④第29 条工作组是指根据《欧盟数据保护指令》第29 条成立的数据保护工作组和警察、法官特别工作组。
⑤2018 年5 月25 日《通用数据保护条例》(GDPR)生效,同日欧洲数据保护委员会(EDPB)正式成立,其主要工作范围是确保GDPR 执行的一致性,以及协调成员国之间的配合与争议解决。
⑥FTC 是执行多种反托拉斯和保护消费者权益的美国联邦机构。
猜你喜欢监护人个人信息主体如何保护劳动者的个人信息?工会博览(2022年16期)2022-07-16个人信息保护进入“法时代”今日农业(2022年1期)2022-06-01论自然人破产法的适用主体南大法学(2021年3期)2021-08-13石狮市妇联依职权申请撤销监护人资格海峡姐妹(2020年6期)2020-11-18监护人责任之探究职工法律天地(2019年8期)2019-12-13警惕个人信息泄露绿色中国(2019年14期)2019-11-26关于遗产保护主体的思考自然与文化遗产研究(2016年2期)2016-05-17论多元主体的生成山西大同大学学报(社会科学版)(2015年6期)2015-01-22个人信息保护等6项通信行业标准征求意见中国质量与标准导报(2014年12期)2014-02-28翻译“主体间性”的辩证理解外语学刊(2011年3期)2011-01-22