“全民触网”时代儿童个人信息安全的保护路径

作 者:

作者简介:
张旭,吉林大学教授、博士生导师;朱笑延,吉林大学博士研究生。

原文出处:
青少年犯罪问题

内容提要:

“全面触网”时代儿童个人信息面临的主要安全风险是信息泄露、信息交易和信息滥用。面对日益严峻的儿童个人信息安全问题,儿童及其监护人的信息安全意识不足,导致儿童个人信息能够轻易流入网络市场;大数据行业过度逐利、淡化安全的理念追求,使行业自治的实际约束力大大降低;“先发展、后治理”的理念无法明确监管底线和执法边界,不能为大数据行业提供具有可操作性的合规标准;前置法与最后法的衔接不畅,不利于构筑立体化的儿童个人信息法律保护体系。基于儿童个人信息安全的防控疏漏,监管机构和执法机构应建立风险识别和风险警示机制,提升儿童及其监护人的信息安全意识;政府需引导行业探索个人信息安全信誉评价体系,通过强化安全与利益的联系提升行业自律的实效;合理监管和合规引领应作为未来监管的重点,促进信息保护与信息利用的动态平衡;刑法对于此类犯罪应适度降低入罪门槛,优化刑罚配置,促进民事责任、行政责任与刑事责任的衔接。


期刊代号:D421
分类名称:青少年导刊
复印期号:2020 年 07 期

字号:

       在我国数量庞大的网民群体中,未成年人特别是“儿童网民”群体的数量逐年升高。并且,相比于其他网民群体,儿童本身的个人信息控制能力有限,信息泄露识别能力薄弱,个人信息犯罪防范意识较差,社会对于儿童信息安全的保护度和关注度又存在不足,使得这一群体在利用网络、享受互联网红利的同时更容易泄露个人信息,甚至面临犯罪的侵害。因而,在“全民触网”时代,如何保护儿童个人信息的安全,是一个亟须解决的问题。值得肯定的是,近年来,理论界出现了一些以域外儿童网络隐私保护制度为内容的相关研究,①为探索专门针对儿童的个人信息保护策略提供了理论支持。但是,这些讨论基本集中于域外经验的介绍,对中国儿童个人信息安全现实的关注度还有待提高。基于此,本文将从我国儿童个人信息安全态势的实际出发,梳理现阶段儿童个人信息面临的安全风险,分析我国在儿童个人信息安全保护方面的不足,以期为儿童个人信息安全保护提供更具本土性和专门性的理论对策。

       一、“全民触网”时代儿童个人信息的安全隐患

       目前,互联网、大数据乃至人工智能技术已经能够与国家的实体经济和人民的日常生活深度互动,工业化制造、批量化生产也在逐渐转型为数字化制造和个性化订制,网络消费者相比以往能够更加直接地参与生产过程,其个人信息当中蕴含的个人喜好和生活需求也会创造大量的商机。②这种全新的经济发展动向在为数字经济创造更多机会的同时,无形中会为个人信息滥用提供契机。③仅就儿童个人信息来说,其商业价值在得到充分重视的同时,也面临着儿童隐私泄露、儿童信息被不法交易乃至被滥用的风险。④

       (一)儿童个人信息的泄露风险

       儿童个人信息的泄露,通常是当前儿童个人信息面临各种安全隐患的风险原点。在“全民触网”时代,泄露儿童个人信息的行为具有独特的表现形式。一方面,儿童个人信息蕴含的商业利益,诱使网络App、信息产业“内鬼”使用各种手段收集、窃取儿童个人信息,导致海量的儿童个人信息流入公民个人信息黑灰产业链,为信息交易和信息滥用提供“优质”的信息源。另一方面,儿童、监护人的信息安全意识不足,使不法者的信息收集和信息窃取难度大大降低,部分儿童和监护人甚至在触网过程中无意识地将儿童个人信息泄露,即将儿童的面部信息、生活习惯、个人喜好、行踪轨迹等隐私内容暴露在网络之下。

       1.网络App过度收集儿童个人信息。目前,儿童网民群体的上网方式以手机上网为主,随着儿童使用手机App数量的增多,儿童个人信息经手机App泄露的安全隐患也在逐渐增加。据统计,在2019年上半年,我国10岁以下的网民群体人均手机App为32个;10-14岁的网民群体人均手机App为40个;15-19岁的网民群体人均手机App为66个。⑤而部分热门的网络App又存在过度索取位置权限、通讯录权限、照片权限、麦克风权限等问题,这极易导致儿童的通讯方式、住址、行踪轨迹等个人信息泄露。

       (1)网络App通过打擦边球的方式过度收集个人信息。这种擦边球现象主要表现为运用模糊措辞套取用户的同意。具体来说,部分网络App通过在隐私条款中设置“等个人信息”等模糊性措辞的方式,将本不该由网络App收集的个人信息掩盖在“等”的范畴之下,从而使自身的信息收集行为因套取儿童、监护人的“知情同意”获得合法外观。与此相对应,儿童及其监护人在安装相关App时,通常会基于方便使用的想法对隐私服务条款基本不阅读,即使部分儿童及其监护人能够注意到隐私条款问题,也很难从这种模糊性措辞中深度感知个人信息被过度收集的潜在危险。在隐私条款的精心包装和用户的不察之下,网络App通常可以轻易地以外观合法的方式套取多种乃至全部儿童个人信息的收集权限。

       (2)设置强制或隐性强制索权条款。除了大量存在的擦边球问题之外,一些网络App还会设置“只有同意获取权限才能提供相关服务”的强制索权条款或隐性强制索权条款,从而利用App提供便利服务的优势地位,获取访问儿童个人信息的权限。强制索权的套路主要指网络App在提供服务的过程中向用户弹出“同意或拒绝”的选项窗,提示用户如果拒绝授予位置、电话、存储、相册、麦克风等权限,网络App则无法继续安装和使用。隐性强制索权主要指部分网络App虽然也会向用户弹出强制索权窗口,但是在用户拒绝之后,仍然可以顺利安装和使用。对于大部分个人信息安全意识薄弱的儿童来说,这种隐性强制索权条款会让儿童陷入“不授权就用不了”的误区,进而轻易地交出手机各类个人信息的访问权限。

       2.行业“内鬼”盗取儿童个人信息。儿童个人信息被大肆盗卖和窃取是另一种重要的信息泄露类型。相比于黑客盗取来说,“内鬼”盗取儿童个人信息的现象更为突出,它主要表现为教育、医疗等机构的部分从业者与黑灰产业人员内外勾结,窃取和倒卖儿童个人信息。由于教育、医疗等行业的特殊性,相关从业人员能够较为容易地接触到儿童个人信息。并且,这些机构所记录的信息又与儿童的身体健康状况、受教育程度和生活需求等内容密切相关,能够服务于部分儿童产业精准营销的需求。一旦相关从业人员受到经济利益的煽惑,就容易利用个人职务的便利,窃取自己能够接触到的个人信息,以至于诱发一系列儿童个人信息安全问题。

       3.儿童及其监护人触网导致个人信息泄露。除了前述由不法商家、犯罪人引发的泄露问题外,还有部分儿童及其监护人由于防范意识不足等原因,在网络生活中不慎将儿童个人信息泄露。例如,儿童在晒“自拍”的过程中,往往对自己的照片不加处理,直接发布在朋友圈、微博等公开性极强的社交媒体之上,这为他人收集面部特征等个人生物识别信息提供了极大“便利”。又如,儿童监护人在使用社交媒体时,通过“晒照片”“晒成绩”等方式无意将儿童的姓名、住址、学校和面部信息等个人信息泄露。尽管有些“晒出去”的个人信息并不完整,但是这些信息片段如果被多次发布,零散的信息就可能经过网络服务商或不法分子有意收集和汇总,转变为能够准确描绘儿童行踪轨迹、生活习惯的信息资源。因此,儿童监护人社交媒体“晒娃”的行为实际上相当于主动向外界提供详细的儿童信息,进而加大被不法者利用的隐患。⑥从某种意义上讲,在全民触网时代,儿童及其监护人与网络的接触程度越深,儿童个人信息的泄露风险就越大。

相关文章: