中國未成年人網絡個人信息保護的立法進路①
——對“監護人或家長同意”機制的反思

王 苑

(華東政法大學法律學院,上海201100)

第43次《中國互聯網發展狀況統計報告》顯示,截至2018年12月,我國網民規模達8.29億,10歲以下者占4.1%,10～19歲者占17.5%。未成年人使用網絡呈現一些較為明顯的特征:低齡化觸網,上網頻率增加;未成年人個人信息泄露,網絡詐騙案件頻發;家長過度分享未成年人照片等,引發了社會對未成年人網絡隱私和安全問題的擔憂。

自1994年以來,我國立法部門制定了與未成年人網絡保護有關的全國性法律、法規、部門規章與司法解釋已達53部之多,但目前尚無專門保護未成年人上網權益的法律[1]306。2017年初,國家互聯網信息辦公室出臺《未成年人網絡保護條例(送審稿)》(以下簡稱“條例送審稿”),其中第16條明確提出收集使用未成年人個人信息的應經未成年人或其監護人同意。2017年12月,全國信息安全標準化技術委員會發布《信息安全技術個人信息安全規范》(以下簡稱“安全規范”)規定收集年滿14歲的未成年人的個人信息前,應征得未成年人或其監護人的明示同意;不滿14周歲的,應征得其監護人的明示同意。2019年8月22日,國家互聯網信息辦公室公布《兒童個人信息網絡保護規定》(以下簡稱“保護規定”),其中第9條要求網絡運營者收集、使用兒童個人信息的,應當以顯著、清晰的方式告知兒童監護人,并應征得兒童監護人的同意。保護規定中所稱的“兒童”,指不滿14周歲的未成年人。由上述規則可見,我國對未成年人網絡個人信息保護規則的研究和實踐尚未跳脫歐美(1)美國法語境中的隱私權不同于我國《侵權責任法》中的隱私權的狹義概念,本文中主要討論的美國《兒童網絡隱私保護法》(COPPA)中的網絡隱私概念是建立在威斯丁(Westin)的信息隱私(information privacy)概念之上的,保護的是兒童消費者的預期,更接近歐盟法中的個人數據的概念,我國法律中相應的概念為“個人信息”。因此,為避免概念的不統一,本文在美國法語境下將采用“未成年人網絡隱私”概念,歐盟和我國語境下采用“未成年人個人信息”概念。的窠臼。

照搬歐美立法的問題在于:“一刀切”的監護人(家長)同意機制(2)波蘭COPPA中用的術語是家長同意,歐盟GDPR中采用監護人同意術語,我國采用監護人同意術語。可否起到保護作用?本文將從三個部分對此展開和論述,第一部分討論現階段我國未成年人網絡個人信息特別保護的必要性;第二部分論述歐美尤其是美國實踐了多年的家長可驗證同意模式存在的爭議;第三部分引入場景隱私理論并通過設計保護隱私理論探索未成年人網絡個人信息保護的新路徑,以期對我國該項立法有所借鑒。

一、監護人或家長同意機制的理論根源

聯合國《兒童權利公約》第3條“兒童利益最大化”已經成為世界各國制定兒童相關法律法規中的共識,但是對未成年人是賦權還是保護(empowerment versus protection),國際社會一直爭議不斷,尤其是對于未成年人是否應當根據年齡及成熟程度來賦權,各國根據自身不同的政治和社會環境有不同的取舍[2]。甚至有學者認為賦權和保護之間天然存在一定的沖突,為了未成年人的利益,代表未成年人做出決定可能會限制未成年人的權利的行使[3]。目前立法中采取的監護人同意機制,是建立在對未成年人保護而非賦權的理念基礎上的。

(一)未成年人在網絡中的特殊性決定其需要立法特殊保護

聯合國《兒童權利公約》第16條規定“兒童的隱私、家庭、住宅或通信不受任意或非法干涉,其榮譽和名譽不受非法攻擊”,明確了未成年人隱私權的特殊保護。相較于成年人而言,未成年人身心發展不健全,辨別是非能力不強,易于遭受到相應的損害。

根據調查顯示,雖然兒童有一些措施來應對網絡隱私問題,但主要還是依賴父母的支持[4]。兒童尤其易受網絡環境的影響,比如網絡精準營銷,在網絡游戲中,通過對未成年用戶畫像(profiling),精準定位更有可能為游戲花錢的玩家,并向其提供更多個性化廣告。孩子的年齡和成熟度可能會影響他們對于銷售背后所含動機的理解能力。同時,隨著制造業分工的精細化,針對兒童的細分市場逐漸形成,尤其是人工智能產品對未成年人個人信息收集處理的影響不可估量。

因此,立法者認為對于未成年人的個人數據,應當進行特殊保護,因為他們對于風險、后果和關于個人數據處理行為中的安全保障措施以及自身權利可能更缺乏相關理解。當處理未成年人個人信息的目的涉及到銷售、創設人格或用戶畫像,以及通過使用直接提供給未成年人的服務來收集其個人信息時,這些特殊保護尤其應當被適用[5]。

(二)現行未成年人網絡個人信息保護的立法現狀

2017年初,聯合國兒童基金會發布年度報告《2017年世界兒童狀況:數字時代的兒童》,號召各國政府、數字技術行業、教育者和兒童自身對兒童個人信息和隱私保護等問題給予更多關注。

美國是兒童網絡保護立法方面的先驅,有一系列法律法規來保護未成年人的網絡個人信息。聯邦層面,包括1974年的《家庭教育權與隱私權法》(Family Educational Rights and Privacy Act,FERPA)、1998年的《兒童網絡隱私保護法》(Children’s Online Privacy Protection Act,COPPA)及聯邦貿易委員會(Federal Trade Commission,FTC)出臺的配套規則,其基本規則是獲得兒童父母可驗證的同意(a verifiable parental consent)方可收集、處理未成年人個人信息。同時,美國國會通過《學生隱私保護法》(The Student Privacy Protection Act,SPPA)來保護針對學校的市場調研行為,該法要求公司必須獲得父母的書面同意,否則不得以市場營銷目的收集任何18歲以下的學生的個人信息。2001年,信息通信委員會(Federal Communications Commission,FCC)制定《兒童網絡保護法》(Children’s Internet Protection Act,CIPA)。2015年,國會又通過《學生數字隱私和家長權利法案》(Student Digital Privacy and Parental Rights Act,SDPPRA),規定只能在基于合法目的或者學生或家長明示的確認的請求下,網絡運營者才可以披露學生信息。州法層面,受到關注最多的是加州568號法案,又被稱為“橡皮擦法案”,承繼了COPPA中家長可驗證同意的要求。

歐洲方面,1995年《個人數據保護指令》中并無對未成年人個人信息的特殊保護條款;2011年經濟合作與發展組織(Organization for Economic Co-operation and Development,OECD)針對未成年人網絡保護提出建議,囊括了未成年人網絡隱私風險;2018年5月25日生效的歐盟《統一數據保護條例》(也有學者譯為《一般數據保護條例》,General Data Protection Regulation,GDPR),對未成年人個人信息的處理提出原則性的規定,即獲得未成年人監護人的同意前置。GDPR照抄了COPPA基于年齡獲得家長同意的規范,而未考慮學界對COPPA中家長同意機制無效的批評,也未考慮年齡驗證機制的可行性以及選擇更加細致的未成年人隱私保護模式,發布伊始即受到質疑。

我國未成年人網絡個人信息保護相較歐美起步較晚,《未成年人保護法》中并未提及對未成年人網絡個人信息的保護。直到條例送審稿和保護規定才有了相應的保護條款,但該條款也并未超出歐美“家長或監護人同意”機制的框架。

(三)監護人或家長同意機制的理論根源

監護人或家長同意的理論根源主要有兩個,一是隱私控制理論;二為親權及監護權理論。隱私的定義極其復雜,相關著作汗牛充棟,其中較有影響力的觀點是個人控制論,源于隱私權概念的提出者之一布萊代斯大法官,其認為隱私是“不受干擾的權利”[6]。威斯丁(Westin)認為隱私是“個人、組織或者機構與他人交往時,決定他們自己何時、如何及多大程度披露自己信息的權利”[7]7,該觀點是對傳統隱私概念的一項突破,將隱私拓展到信息隱私(information privacy)的維度。弗蘭德(Fried)認為隱私權最基本的是“個人控制與自己有關的信息的權利”[8]。美國聯邦最高法院也認為隱私包含了個人“控制關于他自身的信息的權利”。因此,無論在理論界還是實務界,將隱私權視為控制訪問或公開的權利都得到很多擁護。在絕對的控制理論下,隱私是靜態的,是與信息自決權息息相關的一項權利,而信息自決的實現往往會尋求同意機制的保護。

根據隱私控制理論,隱私是一種自主決定的利益,這種利益成年人擁有,未成年人也應當享有。親權及監護權是源于對未成年人的照顧和保護,由于兒童的脆弱性,美國聯邦最高法院認為兒童的權利應當受到一定的限制,不能與成人擁有完全相同的權利,兒童無法理性且成熟地做出自己的決定,需要限制其自主性來保護他們。因此,監護人或家長作為未成年人的代理人行使控制權。這也是目前立法中未成年人個人信息收集、處理前需要獲得監護人或家長同意的理論根源。

二、監護人或家長同意機制的困境及原因

(一)同意困境

同意機制作為收集處理個人信息的必要合法性基礎,長期受到學界的嚴厲批判。通知同意規則看似給予個人很強的個人信息自決權,但是面對紛繁復雜且愈加普遍的信息收集,比如物聯網的普及,個人對其信息的控制能力非常有限,因此陷入同意的困境。同時,目前的立法過多地關注收集前取得同意,忽略了實際上人們在同意的時候根本無法預知未來個人信息的使用情況,“一攬子”同意會讓人們在個人信息被濫用的時候無計可施。

條例送審稿第16條明確規定“通過網絡收集、使用未成年人個人信息的,應經未成年人或其監護人同意”。獲得同意的初衷是保護未成年人的權益,但是過度的監護人同意要求可能會導致陷入同意疲勞;事實上甚少有人去閱讀冗長且晦澀的隱私政策,尤其是未成年人的隱私政策因涉及披露及共享等各個細節的同意,更加具體和復雜;況且即便閱讀了隱私政策,監護人也不一定明白同意給未成年人將帶來的影響。因此,最終監護人同意的效果和立法目的背道而馳,此外,也可能會使網絡服務提供者過度依賴家長同意機制,希望通過獲得同意一勞永逸,反而在程序的開發設計上疏忽大意。

索羅夫(Solove)曾經對同意困境有過精彩論述,“隱私自治需要同意予以保障”,“而當某種隱私自治陷入失敗的時候,無論是立法者還是學者卻往往呼吁更多更嚴格的隱私自治。為了改變這種情況,隱私法律和政策必須直面隱私自治存在的問題,尋求一種新的解決路徑”。這不僅是對加強個人“隱私自決權”趨勢的批判,同時也表明通知同意規則無法實現對個人信息的控制,也無法真正保障信息主體的權益,立法需要探索新的路徑。

(二)年齡為劃分基礎的監護人同意之悖論

年齡作為監護人同意基礎的悖論有兩點。第一,立法者對于以什么年齡作為界分觀點不統一,甚至存在立法的反復。我國條例送審稿16條并未對要求獲得監護人或家長同意的年齡明確劃定,條文中用“或”字實際上留下了制定細則的空間,而安全規范和保護規定對條例送審稿第16條進行了細化,將14歲作為強制需要監護人同意的分界線。對以14歲作為劃分基礎的可行性和合理性暫且不論,實踐中我國的未成年人網絡個人信息保護鮮有符合安全規范標準的。比如微信的隱私政策指引中明確限制收集16歲以下的兒童提供的個人信息,但卻未從技術上限制16歲以下兒童的注冊,未成年人可以便捷地使用他們的QQ號、手機號注冊微信,所以微信隱私政策中的監護人同意更傾向于政策宣導。

自COPPA出臺以來,對年齡的質疑從未中斷,許多學者認為放棄對13歲以上18歲以下的青少年群體的網絡隱私保護是不合理的,因為處在叛逆期的青少年常常無法認清自身行為的后果,在社交媒體上過度暴露自己的隱私信息,他們同樣也需要家長的保護[9]54。面對這些批評,2018年《兒童反追蹤法案》(Do Not Track Kids Act of 2018)修訂了COPPA中對于兒童年齡的限制,將原先僅涉及13周歲以下兒童的保護制度擴大到了“青少年”(minor,指12～16歲的未成年人)。該法案要求獲得青少年本人可驗證的同意,回應了對COPPA不保護青少年的批評,同時捍衛了其作為獨立的權利主體的地位。該法目前尚未生效,但新的質疑相應而生,尤其是青少年和兒童同樣作為未成年人,是否應當同等對待?以12或13歲作為家長同意的劃分標準是否合理?13歲以上的青少年對自己的網絡行為的認知是否足以做出充分的同意?而父母是否有權審查青少年的網絡行為?

GDPR賦予成員國自己劃定監護人同意的年齡標準的權力,因此歐盟各國對年齡標準劃分不一,比如德國、西班牙劃定14歲,而荷蘭劃定16歲。也有質疑認為GDPR第8條如此規定忽視了未成年人的自主權,使得他們喪失了對他們個人數據的決定權。監護人同意機制很可能會成為限制兒童上網自由的工具[10]127-141。

綜上,立法中對于年齡的悖論在于,若將年齡設置得較低,比如COPPA的13歲或我國保護規定中的14歲,則有學者認為13歲或14歲以上未成年人的個人信息也需要家長保護;而如果將年齡設置得較高,比如歐盟GDPR的16歲或者我國條例送審稿中的18歲,則又有人質疑是否限制了未成年人(尤其是青少年)的自主權。總而言之,只要依然將年齡作為是否需要征求家長同意的條件,相關的爭論會一直持續下去。

第二,即便對年齡劃分不置可否,家長同意條款仍常常形同虛設,有些場景下監護人或家長主動幫助未成年人謊稱年齡使用服務。隨著未成年人觸網年齡持續走低,COPPA鼓勵父母限制未成年人訪問網絡以保護他們的隱私和安全,然而大多數父母認為如果未成年人訪問互聯網可以實現教育目的、促進父母子女溝通,或者有利于未成年人的社交,未成年人訪問社交網站是可以接受的[11]。許多家長會鼓勵子女虛報年齡回避家長驗證程序,這種“造假”的方式實際上將未成年人暴露于隱私風險之下。臉書(Facebook)在其隱私政策中明確規定不接受13周歲以下兒童注冊賬號,還推出如何“舉報未滿13周歲兒童賬戶”的服務。盡管如此,通過對美國家長進行的一項調查顯示,家長明知Facebook的規定,依然為孩子提供幫助隱瞞年齡注冊,成為孩子“共犯”。吊詭的是,家長不希望子女撒謊,也不希望他們假裝成年人和他人網絡交流,因此,嚴格的年齡限制導致家長在幫助子女撒謊還是禁止子女使用社交網絡之間進退兩難。而這一沖突隨著網絡用戶的低齡化走向變得愈發嚴峻。研究青少年隱私的專家指出,家長認為COPPA的年齡限制剝奪了家長的選擇。

另外,雖然COPPA是基于保護兒童的立法目的,但并不阻礙網站繼續收集13歲以下兒童的個人信息,尤其是那些謊報年齡訪問網站的兒童的信息[12]。同時雖然一些游戲網站啟動了實名注冊機制,但兒童大多使用家長或者其他成年人的身份信息完成實名認證。謊稱成年人的未成年人個人信息仍然會被游戲網站大量收集、使用。

(三)技術和成本難題

判斷監護人或家長同意是否真實有效,一直是未解難題。驗證手段隨著技術發展逐漸多樣化,比如父母電子郵箱確認、傳真或電話詢問、掃描同意書等。還有些網站會要求提供父母的信用卡(未成年人不能辦理)或者社會保障賬號來驗證家長同意的有效,但是對于收集的這些信息如何處理卻沒有解釋。我國也有網站要求用戶上傳手持身份證照片或是通過人臉識別來對用戶身份進行驗證,然而上述做法也許會帶來更嚴重的隱私擔憂。

可驗證的家長同意的成本難題包含兩個方面。一方面,無論是通過郵件、人工電話、人臉識別等驗證父母身份,都需要耗費網絡服務提供者大量的人力和物力成本,初創型互聯網企業往往無法承受。驗證成本過高會導致兩個結果:要么消極對待法律規定形成普遍違法,比如據美國對5 855個最受兒童歡迎的APP的分析顯示,其中大部分違反了COPPA關于同意的規定;要么直接放棄兒童市場以規避法律監管,在隱私政策中強調自己不為法律限制年齡以下的兒童提供服務,如Facebook拒絕兒童使用的做法。

另一方面,執法機構(比如FTC)執法的成本過高。自2000年以來,FTC一直積極執法,已經提起了超過20起的訴訟,得到數百萬美元的民事賠償。比如,2014年Yelp(基于位置信息提供服務的點評網站)因違反COPPA受到FTC的民事處罰,2019年初抖音(TikTok)因違反COPPA被FTC處以570萬美元的罰款。每年FTC年度報告中都會披露針對違反COPPA的訴訟,但是受限于時間和人力,相較于違法的網絡服務提供者的數量,每年提起的訴訟數依然只占極少數,大量違法收集未成年人信息的網絡服務商依然在法外生存,對未成年人個人信息隱私和安全造成巨大威脅。

三、我國的路徑:不同場景中通過設計保護隱私

法律需要“明線規則”(3)明線規則(bright-line rule),指的是美國法律中要求規則或標準必須有明確清晰的定義,不預留或極少預留解釋空間。的穩定性、準確性和可操作性,以未成年人年齡作為劃分基準獲得其監護人同意的規則于立法者而言無疑是最便捷的選擇。但是,如上文所論,該范式無法達到保護未成年人個人信息的法律效果。以隱私控制理論為基礎的保護機制越來越不符合社會現實,在個人信息海洋中,個人的控制力非常無力和渺小,個人的同意越來越被證明不能控制個人信息的流向和生命周期,不能實現對個人權益的保護[13]。因此,考慮采用隱私場景理論來考察未成年人的個人信息保護,也許是一種可行的范式轉換,這也意味著保護個人信息的責任主體從以個人為主轉向以社會為主。

(一)信息流通要符合在特定場景中的公正

場景公正性(contextual integrity)(4)關于contextual integrity,又被譯為“情境脈絡完整性”或“語境公道性”,本文并未采納上述翻譯,而將此譯為“場景公正性”,基于兩方面原因,一是“情境脈絡完整性”是對于白宮《消費者隱私權利法案》的尊重隱私場景條文的理解,但是integrity在尼森鮑姆教授的理論中有倫理導向,需要社會規范作為支撐;二是在互聯網時代,將context一詞譯為場景而非情境已經是互聯網業界和傳媒界的約定俗成.理論的核心在于符合合理的信息流通(appropriate information flow),只要信息流通是合理的,就不存在侵犯隱私權益的行為。尼森鮑姆(Nissenbaum)提出,符合場景公正的信息流通就是合理的信息流通,需要審視五個要件,分別是信息主體(subject)、信息發送人(sender)、信息接收者(recipient)、信息種類(information types)以及信息傳輸原則(transmission principles),缺少任一要件,信息的流通都可能是不合理的[14]140-147。合理的信息流通應同時符合公共利益和個人利益。比如在醫療場景中,患有傳染病的患者基于個人利益(擔心被歧視等)不同意將自己的病歷信息共享給國家疾病防控防疫部門,但是醫生基于公共利益或醫療規章的規定不經患者同意將病歷共享給有關部門,其符合在醫療場景中的公正,所以是合理的信息流通。脫離場景的信息流通常伴隨著極大的隱私風險,只有尊重場景才能談合理的流通[15]。

在未成年人網絡個人信息保護框架下,未成年人作為信息主體,其他四要件隨著場景的改變而改變。比如健康場景下,醫院通過APP收集兒童的醫療信息也許需要強制的家長同意,但專門給問題兒童尋求幫助的求助網站,如果也必須獲得可驗證的家長同意才能繼續訪問或求助的話,兒童就無法和求助網站進行溝通,專業人員也無法及時給予幫助,這明顯違背了最大化保護未成年人的立法目的。所以,是否會侵犯未成年人利益,獲得監護人的同意并非為單一標準,最終要衡量的是在不同的社會場景之中,關于未成年人個人信息的流通是否合理。

以教育類APP為例,教育部在2018年末印發了《關于嚴禁有害APP進入中小學校園的通知》(以下簡稱“通知”),要求內含色情暴力、網絡游戲、商業廣告及違背教學規律等內容的APP立即停止使用,并且要求保障學生信息和數據安全,防止泄露學生隱私。在該場景下,信息主體是未成年學生,由于進入中小學校園的APP與學校合作,該場景下需要衡量信息流通是否符合教育部通知規定(傳輸原則),即便家長同意將未成年人的個人信息發送給廣告商,也不符合合理的信息流通。由此可見,家長可驗證的同意規則,并非是未成年人個人信息流通的必要規則,而是多種傳輸原則中的一種。在學習類APP進入中小學校園的教育場景下,傳輸原則是通知的規定,經過學校審核的APP的使用不需要再經過家長同意。

(二)通過設計保護隱私

在討論場景中的隱私時,應合理借鑒“通過設計保護隱私”(privacy by design)原則,GDPR將“通過設計保護數據”(data protection by design)作為指導原則,其核心思想是隱私保護并不僅僅是事后的法律救濟,更需要將隱私保護的理念貫穿在產品開發設計的始終,確保信息控制者和處理者以及產品開發者實踐其數據保護義務,讓產品本身將保護用戶隱私最大化[16]。

用戶通常寄希望于網絡服務提供者保障用戶隱私,比如匿名、隱私設置、驗真體系,甚至希望網站能幫助用戶處理那些來自第三方的隱私威脅。APP服務提供者已在不同程度上試圖將該理念貫穿于產品設計之中,比如騰訊建立了“成長守護平臺”,關聯家長賬號,及時提醒家長孩子游戲登陸和消費信息,同時開啟實名驗證身份信息、通過人臉識別驗證用戶身份并承諾不留存相關數據等。

但是,要求所有的APP設置實名認證并不現實,實名認證中的身份信息的泄露風險暫且不論,對于嗶哩嗶哩或優酷等視頻網站而言,主動要求未成年人進行實名認證很可能會帶來流量的流失,且網絡服務提供者進行算法優化也需要收集大量的用戶信息,因此,設置保護用戶隱私的產品往往與網絡服務提供者追求商業利益的訴求不符,很多情況下未成年人隱私保護名大于實。因此,通過設計保護隱私不能僅僅作為一項指導原則而存在,寄希望網絡服務提供者的自律自覺,而應當成為我國未來《個人信息保護法》中的明確的法律規則。正如歐盟GDPR和美國《消費者隱私權利法案(草案)》的規定,我國也完全可以借鑒將系統開發者納入個人信息保護的責任主體范圍[17]。該規則如果能夠與激勵網絡服務提供者機制相容,會極大降低執法成本,提高合規動力,最終發揮引導作用,成為網絡服務提供者的守法誘因。

綜上,未成年人個人信息的保護中,“一刀切”式的監護人同意規則將責任過多加諸于監護人身上并不合適,相反,應采納在不同場景中用設計來保護隱私利益(Privacy by design in a contextual approach),同時以是否符合場景中的公正來衡量和預判產品設計是否保護隱私,對未成年人網絡個人信息保護的責任由監護人和網絡服務提供者共同承擔轉向由網絡服務提供者(包括系統開發者)承擔為主、監護人為輔。采用在不同場景中通過設計來保護隱私的進路,相比“一刀切”要求監護人的同意,更能真正保護未成年人的個人信息(網絡隱私)。這一轉變不是通過簡單的賦權和個人維權實現法益保護,而是通過對個人信息控制者(使用者)的行為(義務)規范來實現。

(三)監護人的教育義務

除了網絡服務提供者在不同的場景中用設計來保護隱私之外,監護人依然有不可免除的責任。親權制度下,父母對未成年子女的關心照顧在內容上包括了撫養、教育和保護[18]。家長應當側重教育未成年人使用網絡的風險及自我保護的重要性,提高風險意識。從調查數據分析來看,親子關系一定程度影響未成年人的互聯網使用,據《中國未成年人互聯網運用和閱讀實踐報告》(2017)顯示,與父母感情不好的未成年人使用自己手機上網比例為48.1%,比與父母感情好的孩子高出近10個百分點(39.0%)。美國消費者報告機構調查也顯示,比起警告兒童隱私風險,更有效的是家長或老師學會與孩子有效的溝通。

(四)我國未成年人網絡個人信息保護的思考

保護規定和條例送審稿借鑒了國際通行做法,但通過反思歐美法律實施情況發現,現有機制受到諸多詬病且無法起到應有的保護效果,應當思考實踐一條獨立自主又真正符合兒童利益最大化的路徑。

首先,立法層面,對于未成年人網絡個人信息保護制度的構建,應摒棄收集、使用、轉移、披露全過程都需獲得監護人同意的模式,在不同場景中應合理分配網絡服務提供者、監護人以及其他責任主體之間的責任和義務,通過大量的社會實證調研制定網絡服務提供者的義務規則,要求網絡服務提供者在提供其服務時采取“不同場景下通過設計保護隱私”的進路,承擔起更多的社會責任。以教育場景為例,學習類APP進入校園,開發者應設計符合教育部通知規定的默認設置,學校應當盡到審核的義務,監護人在未成年人使用該APP的過程中起到輔助教育作用,如果發現有不符合通知規定的,及時向學校或教育管理部門匯報。

其次,加強政府與行業組織的合作,將制定行業標準和規范的權力賦予行業本身,充分發揮行業自律組織的力量[19]。條例送審稿第4條和保護規定第6條鼓勵相關行業組織參與未成年人網絡保護工作,制定關于未成年人網絡保護的行業自律規范,引導行業組織成員加強對未成年人的網絡保護。我國目前有一些行業自律組織,比如中國互聯網協會,曾聯合業界積極向未成年人和青少年推薦“綠色網絡文化產品”,也多次對手機APP收集和使用用戶個人信息情況展開評議,并發布《網絡數據和用戶個人信息收集、使用自律公約》。但是我國互聯網協會與美國行業自律組織存在本質的不同,互聯網協會依托政府存在,且其會員單位并不囊括主流互聯網公司,阿里、騰訊、百度等公司主要還是依靠公司內部規定及政府部門監管來保護未成年人網絡個人信息,比如騰訊建立“成長守護平臺”等。自我監管的有限及政府監管的不足亟待我國形成良好的行業組織,如借鑒美國的TRUSTe LLC或加拿大的The KidSafe Project Society等行業自律組織,不同場景制定不同的行業規范、標準或指引來引導網絡服務提供者規范其行為,頒發符合該協會標準的行業認證標志,推薦綠色安全的未成年人網絡產品,行業組織的成長尚需結合國情進行長期的探索和實踐。

最后,關于行業組織如何評估網絡服務提供者是否符合行業隱私保護標準,筆者認為應該回歸場景公正性理論,通過評估不同場景下的信息五要件來判斷信息流通是否合理,對于存在不合理的信息流通的網絡服務提供者不予頒發認證標志,在行業官網公示警告等,情節嚴重的,可以上報公權力機構或代表消費者訴至法院尋求司法救濟。