欧洲儿童网络安全隐私与数据保护机制

本文原载于《中国审判》2023年第14期。

【作者简介】嵇筱沁，常州市钟楼区人民法院立案庭法官助理。

1.

背景与意义

随着数字技术的蓬勃发展，个人信息数据以其独有的经济价值被誉为二十一世纪的“石油”。未成年人作为互联网用户的主力军，有关其网络安全保护问题对这一特殊群体的身心健康成长有着重要的意义。欧洲作为世界上最早对个人数据流通进行立法的区域，通过大量的立法实践，逐步发展和确立了个人数据流通的关键概念内涵，建立了层次分明的监管体系，受到世界范围内数据流通监管立法者们的推崇。其中有关未成年人特别保护的内容，更是具有鲜明的特色及可操作性。本文通过查阅欧盟《隐私和电子通讯指令》、《通用数据保护条例》，英国《数据保护法案》，以及相关分析报告，对相关法律政策进行了简要的梳理与归纳，以期对我国未成年人网络安全隐私与数据保护体系的构建提供借鉴。

2.

概况

保护个人数据和尊重个人隐私是欧盟( EU )的基本权利。欧盟目前的数据保护法律框架由两大支柱构成，即《隐私和电子通讯指令》（ePrivacy Directive）和《通用数据保护条例》( GDPR ) 。

1、《隐私和电子通讯指令》（ePrivacy Directive）

《隐私和电子通讯指令》（ePrivacy Directive）的立法目的是为确保电子通信部门在数据处理方面对基本权利和自由（尤其是隐私权）负有同等保护水平，并确保此类数据的自由流动。ePrivacy Directive对欧盟公共通信网络中传统电信提供商对个人数据的处理统一适用，并要求成员国通过国家立法保护电子通信内容的保密性。

2、《通用数据保护条例》（GDPR）

GDPR是一项直接适用于欧盟成员国的条例，一般不需要国内立法。根据GDPR第3.4条的规定，个人数据被定义为“与已识别或可识别的自然人（数据主体）有关的任何信息”。处理个人数据必须遵守以下几项基本原则：（1）合法性、公平性和透明度原则；（2）目的限制原则；（3）数据最小化原则；（4）准确性和保持数据的最新性原则；（5）限制存储原则。此外，GDPR第6条规定了合法处理个人数据的前提条件，即需要取得数据主体的同意。

3.

针对儿童的数据保护

根据欧盟GDPR的规定，互联网公司必须取得父母或法定监护人的同意，才能处理16周岁以下儿童的个人数据。GDPR允许各国设定较低的同意年龄，如法国和希腊将同意年龄设定为15周岁以下的儿童，西班牙设定为不满14周岁的未成年人，丹麦、葡萄牙、瑞典和英国则将同意年龄定为13周岁。在向儿童直接提供社会信息服务（information society services）的情况下，数据控制者有义务核实父母或监护人是否同意。由于儿童的特殊性，向儿童提供有关其个人数据处理的信息，还必须以易于理解的清晰和简单的术语呈现。

《欧盟数据保护条例》鼓励欧盟成员国及其监督机构、欧洲数据保护委员会和欧盟委员会制定具体的实施细则，以保障GDPR的适用。在英国（尽管已不再是欧盟成员国），数据控制者有义务核实为儿童提供同意的个人为其父母或其他监护人。葡萄牙要求通过安全的认证手段获得法定监护人的许可。德国和罗马尼亚要求数据控制者有义务核实具有亲权的人是否代表儿童表示同意。西班牙规定法定监护人有义务确保儿童使用数字设备和在线信息时，需“保证孩子的人格的充分发展，维护他们的尊严和基本权利”。德国最近的一项法院判决指出，仅仅设置护照、身份证号码或信用卡号码作为审核流程是不够的，建议使用诸如生物识别信息等其他更具技术性的措施，以提高数据的安全性。

此外，GDPR规定个人享有删除权（被遗忘权），在满足特定条件时，数据主体有权要求控制者删除个人数据。如果个人信息是在直接向儿童提供信息社会服务的情况下收集，但儿童在当时没有充分意识到处理所涉及的风险的，即使在当时取得了本人的同意，即使此后数据主体不再是儿童，其也可以要求删除此类个人数据。

在执法方面，根据欧盟GDPR的规定，对违反相关规定的公司可开出高达全球收入4 %的罚单。瑞典对某些违法行为的罚款上限可高达120万美元。在西班牙，根据违法行为的严重程度，侵犯数据保护法的行为可能面临一系列罚款、警告和纪律处分。在丹麦，监管机构认为涉及儿童同意的侵权行为属于最严重的侵权行为，在确定罚款时会考虑这一加重情节。

4.

针对儿童设计的平台广告

旨在保护儿童和消费者的欧盟《视听媒体服务指令》（AVMSD）自2018年修订以来，将视听媒体服务的范围由传统的电视广播、点播视听媒体服务扩展至视频分享平台和某些社交媒体服务上分享的视听内容。AVMSD以在线服务为重点，规定视频分享平台必须采取适当措施保护未成年人免受可能损害其身体、精神或道德发展的视听商业广告，其中最有害的内容必须受到最严格的准入控制措施。这些措施包括年龄验证系统或家长控制系统等。此外，欧盟鼓励成员国制定通过具体的视频共享平台行为准则，以减少儿童接触不健康食品和饮料的视听商业广告。

AVMSD规定，广告不得对未成年人造成身体、精神或道德上的损害，即：（1）不得利用未成年人的缺乏经验或轻信直接劝诱未成年人购买或雇佣产品或服务；（2）不得直接鼓励未成年人说服父母或他人购买广告中的商品或服务；（3）不得利用未成年人对父母、教师或其他人的特殊信任；（4）不得不合理地向未成年人展示危险情境。此外，AVMSD禁止媒体服务提供商和视频分享平台对收集或以其他方式生成的未成年人个人数据进行处理，以防止出于商业目的展示对未成年人有害的内容。

5.

各国的具体政策

1、丹麦

隐私权在丹麦受到宪法保护。作为欧盟成员国，《通用数据保护条例》在此直接适用，但将数据处理的法定同意年龄设定为13周岁。丹麦数据保护局发布的指导方针规定，与儿童有关的数据的处理需要进行影响性评估。针对儿童的广告，无论是线下还是线上，都必须明确可识别为针对儿童的广告。广告不得宣扬暴力。包括电子烟在内的针对儿童的烟草制品广告被明确禁止。此外，将产品发送给未成年人，意图在网上推广产品的行为构成隐性广告，此类行为同样被禁止。

2、法国

法国的数据保护主要受欧盟《通用数据保护条例》和国内《信息技术与自由法》的管辖，数据保护政策由独立机构——国家信息技术和自由委员会(CNIL) 负责执行。个人数据必须经过合法和公正的处理，不得以与收集个人数据的明确和合法目的不相容的方式使用。根据《信息技术与自由法》规定，设计儿童个人数据的处理需取得父母或法定监护人的同意；未成年人只有在年满15周岁时才可以就其个人数据的处理作出同意的意思表示。有关处理儿童数据的信息必须以清晰、简单、易于儿童理解的方式编写。目前，CNIL正在起草更详细的法律，以进一步保障保护未成年人的网络安全及在线权利。

3、德国

德国宪法保障信息自决权、信息技术系统的保密权和完整权。德国的数据保护法律框架由直接适用的欧盟《通用数据保护条例》（GDPR）和补充GDPR的《德国联邦数据保护法》构成。此外，德国通过《青少年保护法》修正案引入了“提供者预防”的概念，责成针对儿童或儿童使用的互联网服务提供者设立预防措施，使儿童和青少年能够“无忧无虑地上网”。

“提供者预防”是指，针对儿童和青少年或由儿童和青少年使用的互联网服务的提供者，有义务设置充分有效的结构性预防措施，保障儿童和青少年安全地使用互联网。例如，服务提供商应当设置默认程序，以保护儿童和青少年免受网络攻击、自甘风险行为、过度沉迷游戏、过激言论和网络跟踪。此外，服务提供商将有义务制定和实施适合年轻受众的适龄默认系统、年龄验证系统、支持和投诉机制等保护措施。

德国法对面向儿童和青少年的广告也提出了特殊要求。根据《关于在媒体中保护未成年人的州际条约》的规定，视频分享平台必须采取适当措施（如年龄验证系统或父母控制系统等）以保护未成年人，避免未成年人接触可能损害其身心成长的广告。广告不得对儿童造成身体或精神上的伤害，包括：

（1）直接规劝未成年人利用自己的经验不足或轻信而购买或雇佣某种产品或服务；

（2）直接鼓励其说服父母或他人购买被广告宣传的商品或服务；

（3）利用未成年人对父母、教师或其他人的特殊信赖地位；

（4）不合理地向未成年人展示危险情境。

4、英国

尽管英国已经脱离欧盟组织，但其于2018年5月23日通过了《数据保护法案》，将欧盟《通用数据保护条例》纳入了本国法律范畴。该法案规定，互联网平台处理个人数据的前提是符合以下六种情形：（1）个人出于特定目的对数据处理给予有效同意；（2）数据处理是出于合同目的的必要；（3）数据处理是依据法律规定的义务；（4）数据处理是为了保护某人的生命；（5）为了保障公共利益进行数据处理；（6）数据处理是该程序的官方功能所必需。

根据《数据保护法案》的要求，任何数据收集的行为都必须在范围上受到限制。任何收集到的个人数据都必须以能够识别数据主体的方式存储，且保存时间不得超过必要时间。个人数据必须以确保数据安全的方式进行处理，并防止未经授权的处理、意外丢失、破坏或损坏。

此外，英国设立了保护信息权利的独立机构——信息专员办公室（ICO）。根据ICO的估计，英国有五分之一的互联网用户年龄在18周岁以下，这一群体普遍认为他们使用的互联网“不是为他们设计的”。为保护儿童免受网络服务可能带来的伤害，为儿童在网络空间学习、探索和娱乐创造一个更加安全的环境，保护儿童在使用网络服务和产品时的权益，ICO发布了《保护儿童网络隐私的实践守则》作为对GDPR的补充。《守则》中纳入了《联合国儿童权利公约》中有关儿童权利保护的基本原则，具体包括：言论自由；思想、良知和宗教自由；结社自由；隐私；从媒体获取信息权（适当保护其免受可能损害其权益的信息或材料的侵害）；参加适龄的娱乐活动；免受经济、性或其他形式的侵犯。ICO指出，在实践中，网络服务是否有可能被儿童访问，可能取决于服务的性质和内容、是否对儿童有特殊的吸引力、该服务的访问方式以及为防止儿童访问而采取的具体措施。为此，《守则》制定了15条儿童适龄标准，包括：

（1）儿童利益最大化。对于儿童可能获取的线上服务，实现儿童利益最大化应当是设计、开发首要的考虑因素。

（2）数据保护影响评估。进行数据影响评估以评估和减轻数据处理对相关儿童权利和自由可能造成的风险。数据影响评估应当考虑儿童不同的年龄、能力和发展需要。

（3）适龄应用。采用基于风险的方法来识别用户的年龄，并确保《守则》中的标准应用于儿童用户。要么在数据处理中专门针对儿童的权利和自由建立相应水平的保护举措，要么将本《守则》中的标准应用于所有用户。

（4）透明度要求。向用户提供的隐私条款，以及其他公开的条款、政策和社区标准，应当简洁、突出、语言清晰，适宜儿童阅读和理解。对于使用儿童个人数据的条款应当增加特别提示。

（5）数据滥用。不得以有害于儿童权益的方式使用儿童的个人数据，或以违反行业行为守则、其他监管规定或政府建议的方式使用儿童的个人数据。

（6）政策和社区标准。确保公开的条款、政策和社区标准（包括但不限于隐私政策、年龄限制、行为规则和内容政策）进行及时更新。

（7）认设置：默认设置必须是“高水平隐私保护”（除非有其他充分的理由可以进行不同的默认设置）。

（8）数据最小化：对于儿童积极、明确获取的线上服务，仅能收集和留存提供服务所需要的最少的个人数据。

（9）数据共享：考虑到儿童利益最大化，除非有充分的理由，否则不得披露儿童数据。

（10）地理位置数据：在默认情况下关闭地理位置选项（除非有充分理由证明在默认情况下打开地理位置考虑到实现儿童利益最大化）。当位置跟踪处于活动状态时，应为儿童提供明显的提示。使地理位置对其他人可见的选项必须在每次会话结束时默认返回“关闭”。

（11）家长控制：如果提供家长控制的功能，应提供与儿童年龄相适宜的提示信息。如果在线服务允许家长或看护人员监视儿童的在线活动或跟踪他们的位置，应在儿童被监视时向他们提供明显的提示。

（12）数据分析：默认情况下数据分析功能为“关闭”状态（除非有充分的理由说明默认情况下数据分析处于打开状态能够实现儿童利益最大化）。只有当采取了适当的措施保护儿童免受任何有害影响（特别是对儿童的健康或权益有害的内容）时，才允许数据分析。

（13）轻推技术：不要使用轻推技术来引导或鼓励儿童提供不必要的个人数据，或者削弱、关闭他们的隐私保护。

（14）联网游戏和设备：联网的游戏或设备中必须包含有效的工具以符合本守则相关规定。

（15）在线工具：应提供明显的、可访问的工具以帮助儿童行使其数据保护权利以及报告其关注的问题。

对于违反《守则》规定的信息服务提供者，监管机构可使用的监管手段包括评估通知、警告、训诫、执行通知和处罚通知（行政罚款）。对于严重违反数据保护原则的行为，监管机构有权处以高达2000万欧元或公司全球年营业额的4%（以较高者为准）的罚款。

原标题：《欧洲儿童网络安全隐私与数据保护机制》

阅读原文