新兴信息技术背景下我国未成年人个人信息安全困境及应对研究

摘要：随着新兴信息技术应用发展和普及，作为我国网络空间特殊群体的未成年人网民数量得到了井喷式的增长，但他们无论在生理上还是心理上都不够成熟，其个人信息安全和隐私权受到了前所未有的冲击，这已成为影响未成年人健康成长的重要问题之一。文章着重从我国法律法规、个人信息控制者的个人信息安全管理水平和未成年人个人信息安全素养等3个方面对目前我国未成年人个人信息安全困境和原因进行分析，并提出打造包括法律法规、行业自律和未成年人自身防護在内的未成年人个人信息安全保护体系的建议。

关键词：未成年人；个人信息安全；隐私；信息安全治理

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）04-0008-03

近年来，随着移动互联网、物联网和云计算等新兴信息技术的应用发展和普及，我国互联网用户的低龄化趋势愈发明显，未成年人网民数量实现了快速的增长。据中国互联网络信息中心发布的第38次《中国互联网络发展状况统计报告》显示，截至2016年6月，我国网民规模达7.1亿，其中10-19岁，10岁以下网民群体的比例分别为20.1%和2.9%，共计1.633亿[1]。未成年人是家庭的希望和祖国的未来，但他们是一个特殊群体，其生理和心理尚不成熟，属于限制民事行为能力人和无民事行为能力人，不能独立、完全地行使自己的民事权利，对行为的性质和后果不能够完全认识，缺乏一定的自我保护能力，在网络空间处于相对弱势地位，其个人信息安全更容易受到多种方式的侵害，所引发的后果也更为严重，更应该受到全社会的关注和重视。目前我国未成年人面临着个人信息泄露和网络诈骗的困境，比如2015年9月，陕西省和内蒙古自治区分别有数万名高考考生的信息被泄露，并引起了教育部的高度关注。各种民办院校会通过非法途径，批量购买考生的个人信息，并向考生的手机发送招生广告信息[2]；2013年6月3日的法制日报报道，公安机关破获一系列诈骗案后发现，不法分子的“黑手”已经伸向未成年人个人信息，他们会在诈骗电话里精准模仿未成年人的哭声，以此来欺骗未成年人家长[3]。2016年8月，山东大学生徐玉玉遭遇精准的电信诈骗后不幸离世，徐玉玉案中的诈骗者正是因为掌握了完整准确的高校录取信息才能获得徐玉玉和其家人的信任。另据2015年底发布的《中国青少年上网行为习惯调查报告》显示，青少年是网络诈骗的重灾区，近60%的青少年曾遭遇过网络威胁，其中电信诈骗和账号被盗最为常见，其次是个人信息被窃取[4]。本文将从未成年人个人信息安全内涵出发，着重分析我国未成年人遭遇的个人信息安全困境及原因，提出降低我国未成年人个人信息安全风险的建议。

1 未成年人个人信息安全的内涵

若要最大限度地保护未成年人个人信息安全，首先应明确未成年人个人信息安全的内涵。根据由193个国家和地区批准并缔结的儿童权利保护方面最权威的联合国《儿童权利公约》第一部分第1条的规定可知，儿童是指18岁以下的任何人，除非对其适用的法律规定成年年龄低于18岁。对儿童的界定，在适用公约规定的前提下，具体应适用各国的国内法，而据《中华人民共和国未成年人保护法》第2条的规定可知，未成年人是指年龄未满十八周岁的公民。由此可见，联合国《儿童权利公约》中所指的“儿童”与我国法律中“未成年人”基本具有相同的含义。鉴于本文主要是探讨我国“未成年人”所面临的个人信息安全困境和应对策略，因此下文均以“未成年人”指代我国年龄未满十八周岁的公民。

我国大陆地区近年来主要使用“个人信息”，港澳台地区和欧盟主要国家主要使用“个人数据”，其对应的英文是“personal data”，本文不对这两者做严格的区分，均以“个人信息”加以指代。在全球范围内非常具有影响力的欧盟《一般数据保护规章》（General Date Protection Regulation， GDPR）指出，个人信息是指与数据主体（data subject）有关的任何信息，而数据主体是指个人信息控制者或其他自然人或法人通过合理的方法，可以识别身份的自然人或可间接被识别的自然人，特别是通过身份证号码、居住地址、网络标识符或者通过身体、生理、心理、基因、经济、文化、社会身份中一个或多个要素进行识别。我国大陆地区至今尚未出台《个人信息保护法》，也未曾对个人信息从法律角度出发给予非常明确的定义，目前只有2013年2月1日起开始实施的个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》和2013年9月1日起开始施行的《电信和互联网用户个人信息保护规定》对此有较为详细的规定。结合国内外相关法律、法规针对个人信息的定义和内涵，可知未成年人个人信息是指可以直接或间接识别某位年龄未满十八周岁的公民身份的个人信息，包括姓名、出生日期、身份证件号码、护照号码、指纹、教育、医疗、基因、联系方式及其他得以直接或间接方式识别该个人的信息。未成年人个人信息安全则是指未成年人个人信息不发生丢失、盗取、泄露、滥用等情况，具体可从其个人信息的保密性、完整性、可用性、可控性等四个方面加以考察[5]。

2 我国未成年人个人信息安全困境和原因探析

2.1 我国尚无专门的未成年人个人信息保护法律法规，相关法律法规监管无力

2.1.1 我国尚无专门的未成年人个人信息保护法律法规

未成年人个人信息保护属于特殊领域的个人信息保护，这是由其主体特殊性决定的，不能简单套用一般保护原则和方法，但我国至今尚未出台专门的《未成年人个人信息保护法》，而作为我国专门针对未成年人保护的《中华人民共和国未成年人保护法》（以下简称《未成年人保护法》）涉及未成年人个人信息安全和隐私保护的条款数量少、仅为原则性的规定，对于侵犯未成年人个人信息的行为惩罚力度不大，并没有实质性的民事救济途径，比如第三十九条规定，任何组织或者个人不得披露未成年人的个人隐私；第五十八条则规定，对未成年人犯罪案件，新闻报道、影视节目、公开出版物、网络等不得披露该未成年人的姓名、住所、照片、图像以及可能推断出该未成年人的资料[6]，但在“家庭保护”环节，没有规范家庭在未成年人信息安全方面应做出哪些教育行为，而“学校保护”环节，也没有规范学校在未成年人个人信息安全方面应做出哪些行为、承担哪些责任，严重忽视了家庭和学校是未成人个人信息意识得到有效提升和个人信息得到安全防护的重要场所。

2.1.2 与未成年人个人信息保护相关的法律法规比较弱，难以发挥作用

虽然我国目前已出台涉及个人信息保护方面的法律有将近40部，法规有30部，比如2011年10月修订的《中华人民共和国居民身份证法》、2013年工信部发布的《电信和互联网用户个人信息保护规定》、2016年底全国人大出台的《网络安全法》均强调要加强公民个人信息安全保护，但目前这些法律法规的一些条款过于空泛，其中有关民事和行政責任规定大都是含糊其辞的软性要求，也没有特别明确指定实施部门，在司法实践中面临难以有效发挥作用的窘境。据2016 年8月30日《第一财经日报》报道，有两例个人信息权利的维权案件均以一审消费者胜诉而二审被法院改判收场，其中一个案件中法院以垃圾短信事情很小不足以认定构成侵权为由予以改判，这在一定程度上可说明相关部门对个人信息侵权不够重视[7]。另外值得指出的是，我国至今尚未出台《个人信息保护法》，这助长了我国个人信息灰色产业链的恶性发展，也加剧了我国目前未成年人个人信息安全侵害事件的发生频率和不良影响。

2.2 我国未成年人个人信息控制者收集和保存个人信息的安全程度有待提高

虽然被寄予厚望的首个个人信息安全保护国家标准《信息安全技术-公共及商用服务信息系统个人信息保护指南》规定，不直接向未满16周岁的未成年人等限制民事行为能力人或无行为能力人收集个人敏感信息，确需收集其个人敏感信息的，要征得其法定监护人的明示同意，但该标准并没有被有关个人信息控制者强制性地引入到组织机构信息安全管理运营中来。虽然不少个人信息控制者在其个人信息保护政策中对收集未成年人个人信息做出了有关规定，比如建议未成年人在提交个人信息之前寻求父母的同意和指导。但事实上这些条款并没有发挥相应的作用。用户在注册使用某种服务的过程中，可以随意填写相关个人信息，即使所填写的出生日期显示注册者是未成年人，后续注册过程也没有任何警示性信息及时告知用户，也不会对未成年人是否已取得父母的同意进行任何验证。这表明这些个人信息控制者的规定仅仅是一种推卸责任式的宣示性声明。与此同时，更多专门为未成年人提供服务的个人信息控制者并没有出台类似规定，肆无忌惮的收集包括照片、手机号码、目前所在地、住址、出生日期等在内的未成年人个人信息，且在某些自我介绍栏目中加以展示，这违背了“最小信息够用”原则[8]。目前未成年人通过移动设备上网的现象非常普遍，但我国各大移动应用服务商的竞争非常激烈，其针对应用程序的审核机制尚不健全，这给恶意程序有了浑水摸鱼的机会。这些应用程序也往往采集超越服务功能所需之外的个人信息和未经用户授权直接采集若干个人信息。它们在收集个人信息的过程中往往使用霸王条款，即安装应用程序的同时必须默认授权获取各项个人信息，否则用户只能选择不安装。这对于未成年人网民来说，是一个非常大的安全风险。

虽然各个组织机构均会宣称其具备良好的信息安全管理水平，所保存的未成年人个人信息均处于安全状态，但据360互联网安全中心《2015年青少年上网安全分析报告》显示，2015年1-4月，白帽子共向补天平台报告有效的中小学校网站漏洞175个，其中高危漏洞139个，占79.4%，且截至2015年5月28日，上述175个漏洞均没有被修复。普遍存在的高危漏洞意味着学校网站很容易被黑客入侵，这也给教职工、学生、家长的个人信息造成很大的风险[9]。这在一定程度上表明个人信息控制者普遍缺乏专业的信息安全管理措施、员工缺乏信息安全意识、信息系统则存在较为严重的信息安全漏洞。

2.3 我国未成年人个人信息安全教育缺失，其个人信息安全素养不足

未成年人个人信息安全素养不足已成为我国未成年人个人信息安全防护时最难修补的漏洞。据《我国公众网络安全意识调查报告（2015）》显示，当前我国公众网络安全意识教育存在的五大问题，其中未成年人网络安全基础技能、网络应用安全等意识亟待加强，未成年人网络安全教育急需加大力度推广。八成未成年人缺乏自我保护意识，遇到网络威胁不知如何处置，往往选择忍耐和沉默[10]。未成年人个人信息安全素养不足的原因是多方面的，首先他们的身心发展还不成熟，对信息安全威胁和信息安全防护知识的接受能力较低；其次是家长的信息安全素养不足，对未成年人面临的个人信息安全威胁重视不够，平时较少与子女探讨个人信息安全防护和安全使用互联网的有关知识；第三，我国的课堂教育在对未成年人信息安全和上网安全教育方面明显存在缺失。虽然国务院早在2007年就颁发了《中小学公共安全教育指导纲要》，并从小学四年级以后增加了“预防和应对网络、信息安全事故”模块[11]，但通过实际调研发现，由于尚未编写统一的，系统性的国家教材，而且缺乏固定的、定量的课时要求，因此校园信息安全教育的开展也比较零散，相关工作缺乏系统性。

3 加强我国未成年人个人信息安全治理的措施

3.1研究出台《个人信息保护法》和《未成年人网络保护条例》

首先，针对目前我国未成年人个人信息安全侵害问题，最为迫切的就是要对现有较为分散的个人信息保护法律体系进行评估，并借鉴国外和港澳台地区的个人信息保护立法和执法经验。作为在全球个人信息保护领域有着强大影响力的欧盟《一般数据保护规章》（General Date Protection Regulation， GDPR）经过一系列修改后于2016年4月正式出台，引入了“从设计保护个人信息”和被遗忘权等新理念，并对设置个人信息监管机构、及时发布个人信息侵害通告、对违法行为加大惩治力度、处理16岁以下未成年人的个人信息必须获得其父母或者监护人同意或者授权等做法加以明确[12]。日本则在2016年2月4日发布了《个人信息保护修正法》英译暂行版，扩大了个人信息的定义，引入了“需要特别关注对待的信息”即“敏感信息”的概念，并在2016年1月1日成立了专门的个人信息保护委员会，改变了之前个人信息保护由各部位各司其职的分散局面[13]。我国有必要转变立法观念，出台《个人信息保护法》，规范个人信息收集的目的、类型、流程和使用权限，抑制过度收集个人信息现象，并设立个人信息保护监督机构，对个人信息处理进行登记和管理，对政府部门和企事业单位实施的个人信息处理行为进行调查，对违法行为提出警告、建议或进行处罚和制裁。

其次，抓紧出台《未成年人网络保护条例》，对未成年人“个人信息”的定义和范围加以明确；规定和限制针对未成年人的网站和网络服务内容、凡是需要针对未成年人个人信息进行存储、使用、公开等行为的，都应当进行备案登记等[14]。同时修改《中华人民共和国未成年人保护法》，增加未成年人个人信息保护的有关条款，并设立独立承担组织、协调和领导全社会保护未成年人的专门工作机构，加大对未成年人的个人信息保护力度。

3.2 加强行业自律，提高有关单位的未成年人个人信息安全保护力度

提高未成年人个人信息安全防护力度，更要依靠长效机制的建立和行业自律，即通过政策、技术和管理等渠道规范和引导包括政府部门、教育机构、互联网服务提供商等在内的未成年人个人信息集聚地的各方行为，保护未成年人个人信息安全。虽然不少机构在其个人信息保护政策中有针对未成年人个人信息保护的有关表述，但从调研情况来看，有关机构还要将有关表述切实落脚到产品和服务设计中来，更好的体现“从设计保护个人信息”的理念，降低未成年人个人信息泄露的风险[15]。针对目前教育主管部门和教育机构信息安全建设比较薄弱的情况，有关部门需要在添置有关软件和硬件对用户个人信息进行加密处理基础上，引入我国个人信息安全保护国家标准，编制个人信息安全管理制度，开展全方位的个人信息安全风险评估工作。同时还要定期开展组织机构信息安全大检查工作，排查信息安全漏洞和恶意代码，提升组织机构信息安全防护水平。对于移动应用程序平台服务商来说，他们应建立完善的未成年人应用程序认证机制，并通过技术手段让未成年人应用程序支持权威机构的认证，对应用程序开发者资质、应用程序信息内容、漏洞、恶意代码等进行严格评估[16]。

3.3整合家庭、教育机构、政府、企业和社会组织等资源，提升未成年人个人信息安全素养

虽然越来越多的政府部门与社会组织已关注到未成年人个人信息安全的重要性，并在各地也开展了类似“净网”、“护苗”、“网络安全周”等活动，但仅限于有关部门开展的几次未成年人信息安全教育讲座的覆盖面毕竟有限，可持续性也难以保证，应该充分整合家庭、学校、政府、企业和社会公益组织等资源，打造家庭、学校和社会三位一体的个人信息安全素养教育平台，让未成年人对计算机应用安全防护、移动终端安全、个人信息保护等方面的信息安全知识进行学习。首先家长的监督与引导是未成年人能否提升其个人信息安全素养的一个重要因素。家长应当通过学习与未成年人个人信息安全威胁和防护相关的知识，积极地与未成年人进行沟通，引导他们如何应对各种个人信息安全威胁，逐步形成正确的安全使用互联网的习惯，比如告诉未成年人个人信息的重要性和个人信息泄露的后果、在互联网上遇到要求提交大量个人信息的注册表格时应当拒绝填写或者在父母监督下填写、和陌生人进行网络聊天时不能透露个人信息。其次，要以常态化教育和系统性教育性为主提升未成年人的个人信息素养，将个人信息安全素养教育的有关内容纳入未成年人的基础教育体系，在学校开设有关课程，确定课时量和考核方式，同时定期开展与“个人信息安全”主题相关的活动，并通过游戏、实际体验、影片欣赏、角色扮演等形式，探索寓教于乐、寓教于丰富多彩活动的教学组织形式，增强未成年人个人信息安全教育的效果[17]。第三，整合政府、企業和社会公益机构的资源，加大信息安全教育资金投入，加强信息安全教育的图文资料、教学课件、音像制品等教学资源建设，打造信息安全科普阵地，并进行信息安全公益广告评比和有奖征集活动、举行信息安全知识竞赛，营造浓厚的个人信息安全学习和参与氛围，提升全社会对未成年人个人信息安全的重视程度，切实增强未成年人个人信息安全素养[18]。

参考文献：

[1] 第38次中国互联网络发展状况统计报告[OL].[2016-08-22]. http：//www.cnnic.cn/gywm/xwzx/rdxw/2016/201608/W0201608 03204144417902.pdf.

[2] 陕西数万高考生信息被泄露，内蒙古也有19万多高考生信息泄露，教育部表示高度关注[OL].[2016-02-25]. http：//ehsb.hsw.cn/shtml/hsb/20150902/541753.shtml

[3] 游春亮.不法分子“黑手”伸向儿童个人信息[N]. 法制日报，2013-06-03（8）

[4] 《中国青少年上网行为习惯调查报告》发布，手机已成上网首选工具[OL].[2015-12-25]. http：//society.people.com.cn/n1/2015/1225/c1008-27976996.html.

[5] 罗力.社交网络中用户个人信息安全保护研究[J].图书馆学研究，2012（14）：36-40，76.

[6] 崔耀.对在线收集未成年人个人信息行为的法律规制[J].法制博览，2013（9）：35-38.

[7] 刘春泉. 电信诈骗猖獗暴露了对个人信息保护不力[N].第一财经日报/2016年/8月/30 日/第A11版.

[8] 陈箐.我国未成年人网络隐私权保护[J].西藏民族学院学报（哲学社会科学版）， 2013（7）：110-113.

[9] 2015青少年上网安全数据分析报告出炉[OL]. [2016-03-16]. http：//www.cac.gov.cn/2015-06/05/c_1115530392.htm.

[10]《我国公众网络安全意识调查报告（2015）》首次发布[OL]. [2016-03-16]. http：//www.tjpu.edu.cn/16/fe/c671a5886/page.htm.

[11] 国务院办公厅关于转发教育部中小学公共安全教育指导纲要的通知[OL]. [2016-04-16]. http：//www.gov.cn/zwgk/2007-02/25/content_533489.htm.

[12] 大公司请注意，欧盟终极版“数据保护法案”将生效[OL]. [2016-04-16]. http：//finance.sina.com.cn/roll/2016-04-14/doc-ifxriqqx2409099.shtml.

[13] Amended Act on the Protection of Personal Information[OL]. http：//www.ppc.go.jp/files/pdf/280222_amendedlaw.pdf

[14] 吴用.未成年人网络保护条例的立法[J]. 中国青年社会科学，2015（2）：75-79

[15] 唐亮.隐私保护：教育数据硬币的另一面——互联网时代美国教育数据隐私保护的启示[J].中国信息安全，2016（2）：103-106

[16] 罗力.我国移动互联网用户个人信息安全风险和治理研究[J].图书馆学研究， 2016（13）：37-41.

[17] 程绍德.未成年人安全教育要常态化[N]. 珠海特区报，2016-04-01（F02）.

[18] 袁胜.安全体验，让孩子们看得见、摸得着——国家网络安全青少年科普基地揭牌[J].中国信息安全，2015（6）：75-76.