查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《网络法律评论》
网络隐私权保护立法的能与不能
【副标题】 以美国《儿童在线隐私保护法》评介为中心【作者】 胡元琼
【分类】 人身权【中文关键词】 网络隐私权 立法 功能 缺憾
【英文关键词】 Online Privacy Legislation Powers Weaknesses
【期刊年份】 2004年【期号】 1(第4卷)
【页码】 109
【摘要】

信息时代网络技术的发展在给人们生活带来便捷的同时,也对个人信息资料的隐秘性和安全性构成了威胁。网络隐私权成为现代侵权法关注的一项新内容,其规范途径也已成为各国立法关注的重点。而由于网络世界的种种特性,直接进行立法规制会遇到各种困难和障碍。本文选取美国《儿童在线隐私保护法》进行评介,通过分析其功能和缺陷,推演出网络隐私权保护立法在直接移植或类推适用现有法律、“技术”障碍以及国内法局限三个方面的困境,希图对我国在此领域的立法漏洞补充和制度创新有所启示。

【英文摘要】

In the information age,the developments of internet—related technology bring people convenience,as well as pose a serious threat to confIdential personal information data.Online privacy,as a new type of right,plays an important role in tort law today.The approach of its regulation issue also becomes the most controversial problem in many countries.Because of the special characteristics of cyberspace,the rulemaking will meet with many difficulties and obstacles.This article will discuss the powers and weaknesses of the U.S.Children’S Online Privacy Protection Act of 1998,through which concluding that legislation of online privacy has at least three obstacles:couldn’t directly translating or complying the existing laws;couldn’t keeping pace with technology;couldn’t protecting international transmission of personal data privacy with domestic laws.The author hopes this article will to some extent improve the legislations and institutional innovations of China in this area.

【全文】法宝引证码CLI.A.185470    
  引言
  一个多世纪前,时任美国最高法院法官的路易斯D.布兰代斯与法学家塞缪尔D.沃伦将隐私权定义为“不受干扰的权利”(the right to be alone)[1],成为美国现代侵权法领域关于隐私权的重要立论基础之一。在很大程度上,个人得以拥有避过政府或其他人的窥伺,而掌控自己日常生活的能力,也已成为一个文明社会的必有之义。[2]
  然而,在社会期望加以保护的各个领域,科技却无孔不入。在1890年,布兰代斯将当时新兴的摄影技术惊视为威胁个人隐私的大敌。今天,威胁我们隐私的新兴科技,便是电脑[3]。电脑数据库、硬件、软件和其他网络技术标准简化了对个人的身份识别和确认,并以此提升了通讯联络和商务活动的效率。身份识别技术和深度跟踪技术的发展,同样受到政治、经济、法律和市场力量的支持,这一切都正在使我们日益陷入一个身不由己、四处受控的社会。
  在信息时代,个人信息已成为一种价值极高的商品,而被以各种前所未见的方式猎取和收集,收购和出售[4]。个人在试图保有个性化生活的同时,又不得不倚重于以键入个人信息的代价和风险,来换取现代化的生活方式和交往模式。因此,有学者认为,在网络规范(the regulation of Cyberspace)的研究范畴中,信息隐私(information privacy)一直是最为深沉幽暗的领域之一,其之所以深沉,在于隐私权所牵动的因素,不但包括哲学、文化和社会结构等因素,更涉及将抽象理念诉诸具体法律制度的高度复杂性;其之所以幽暗,在于绝大多数的人虽然身处数字时代里,却可能从未真正理解网络科技在政治控制、经济利益等力量的驱策下,如何无声无息地点滴侵蚀我们的信息隐私[5]。更有学者指出,信息隐私权是一个社会性的目标,达成这一目标需要社会性的机制创新,包括建立新的行业规范以及新的法律规范,从而在可以接受与不可接受的个人数据利用行为之间确立清晰的界线。[6]
  针对隐私问题在现代科技环境中的演变,从70年代开始,保护个人对其信息资料的控制与利用已成为当代西方国家隐私权保护政策和立法关注的核心内容,[7]并由此形成了以欧盟及欧洲国家为代表的积极立法主义和以美国为代表的业界自律为主的指导性立法主义两大进路。在建构网络隐私权保护机制的探索中,对于二者孰优孰劣,学界和业界一直争论不休,然而容易达成共识的是,网络世界并不是一个不可规范的领域,而立法规制手段亦是一项重要的途径。问题在于,对于网络这样一个倚重于技术运作和自治的领域,立法能够从何种角度,在多大程度上对其秩序的形成产生实际效用?对现实世界法律的移植和类推适用能否解决网络规范的问题?立法是不是最终的答案?如果不是,其困境何在?
  2000年4月21日,美国首部专门规范网络隐私保护问题的《儿童在线隐私保护法》(The Children’s Online Privacy Protection Act,以下简称“COPPA”)正式生效。对于一个以业界自律为主要规范模式的国家而言,该法问世意味着美国在网络隐私保护司法化方面的重要动向。而其引发的争论亦暴露出立法手段的诸多局限和不足。本文将以评介该法为线索和中心,试图从适用对象的范围、权利义务规定等方面入手,探讨网络隐私保护立法的功能及缺憾,希望对我国相关领域的制度完善有所启迪。
  一、COPPA的立法背景简介
  COPPA的出台有着深厚的现实背景。网络技术的发展带来了巨大的商机,许多商业主体都在自己的网站上设置了聊天室、讨论区、实时信息传送和其他技术服务方式,并通过收集和处理登录和访问者留下的数据信息提高服务效率和质量,吸引更多的网民。与此同时,这些在其所有者知与不知之间被收集和保留的数据信息,却因其具有强烈的身份识别功能,而使其所有者的个人信息安全与秘密性处于被滥用和侵害的危险之中。
  在享受网上服务的人群中,儿童是一个令人关注的群体。至1998年,美国已有1千万儿童有机会上网,其中,超过4百万的儿童在学校上网,而570万左右的儿童在家上网。[8]好奇的儿童网民带来了大量的市场空间,也促使网上商家花样翻新地推出各种产品和服务。然而,成年人所可能遭遇的网络隐私危机,对儿童来讲,尤为严峻。对于在美国法上被称作少数派(minority)的12岁以下儿童,作为立法历来偏重的弱势群体,更是备受关注。许多评论者认为,12岁以下儿童不具备完全的能力,以识别和理解网站收集信息的真实意图和网站的隐私政策声明内容。为此,许多民间团体和评论者呼吁政府制定相应政策,保护儿童在网上提供个人信息时的隐私权益。[9]
  1996年5月,一个名为媒体教育中心(The Center of Media Education)的消费者组织向美国联邦贸易委员会(the Federal Trade Commission,以下简称为“FTC”)投诉,要求调查名为KIdsCom.com的网站,声称该网站的数据收集行为违反了联邦贸易委员会法第5条关于禁止不正当或欺骗性贸易活动的规定。1997年7月,FTC结束对KIdsCom的调查,并就调查结果发布了一封具有执行力的公开信。在信中,FTC确认KIdsCom的信息公开行为是不正确并且具有误导性的。借此,FTC第一次公开宣布了其关于在线向儿童收集数据信息的指导性原则。[10]
  1998年3月,FTC向国会提交了一份关于向儿童在线收集个人信息问题的“在线隐私权报告”。报告中陈述了让父母深入了解其子女的隐私在网上受到威胁的必要性,以及就收集和公开儿童个人信息取得父母同意的必要性。针对FTC的报告,以及从致KIdsCom公开信中反映出来的,业界长期以来缺乏统一规则的状况,国会于1998年10月21日通过了COPPA,以规范网站在线向12岁以下儿童收集和使用个人身份识别信息的行为。
  1999年10月20日,FTC依照COPPA的规定,经专题讨论会和广泛征求意见,颁布了关于COPPA的实施细则。2000年4月21日,COPPA及其实施细则正式生效[11]。
  二、COPPA的立法框架与主要内容
  COPPA的核心内容是以责成商业网站或在线服务运营者遵行在线向儿童收集个人信息时取得父母同意的正当程序,以保护12岁以下儿童的在线隐私权益,力图确保儿童的言论和受教育权不受到负面影响,并通过“安全港”、免责和除外规定,力求法律规限与网络效率之间的平衡。
  1998年10月颁布的法律条文共分为8条[12]。1999年又由FTC颁布了12条实施细则。下文仅就该法的几项主要内容进行介绍。
  (一)适用对象的范围
  该法适用于收集、保存或公开源于或关于12岁以下儿童个人信息的商业网站或在线服务运营者。
  (二)个人信息
  COPPA中的个人信息是指在线收集的,关于一个自然人的个人身份识别信息。
  FTC在实施细则中指出,判断是否属于COPPA规范的个人信息时,应注意以下几点[13]:
  (1)个人信息强调个体性和可识别性。因此,若运营者收集了非特定化的个人信息,如关于一个儿童的习惯、玩具、爱好等,并且没有将这些信息与一个特定的标识符相组合,以使其具备惟一的特性,则运营者不必向儿童的父母征询同意或进行通知;但若运营者收集了非个人化的信息后将其与一个特定标识符相组合,则落入了该法的规范范围。在细则中,特定的标识符可包括由Cookies程序收集并持有的用户号码或用户处理器序列号等。
  (2)关于电子邮件地址或其他联络信息,则可以包括但不限于即时信息传递用户的识别码,或可能泄露个人电邮地址的屏幕名(screen name)。
  (3)关于屏幕名。FTC表示,运营者没有特定义务来审查一个儿童的屏幕名中是否含有特定个人化的可识别信息,但运营者可警告儿童屏幕名中可能包括此类信息,尤其当屏幕名将会在公共论坛,如聊天室,公开的情形下。
  (三)网络运营者的义务
  依COPPA规定,运营者的主要义务包括[14]:
  (1)在网站上声明收集、使用及公开信息的情况。
  实施细则中明确规定,运营者应当就其关于儿童的信息收集情况,在网站/在线服务主页及其网站/在线服务上的任何一个可能向儿童收集信息的区域设置网站声明的链接。该链接必须是显著易见的,如应设置为与背景成对比色的大号粗体字。
  也有人建议可采用其他的设置方法,比如一个当访问者从网站的一部分转移至另一部分时会固定出现的临时弹出页面。但弹出页面只有在初始图像显示后不会消失,或使用者可通过主页上的一个鲜明的链接再次进入时,才能满足要求。
  (2)就向儿童收集、使用或公开信息,获得可验证的父母同意。
  值得注意的是,FTC在实施细则中对“获得可验证父母同意”采用了一种“滑动标尺”(Sliding scale)的政策,即对获取父母同意应采用的技术途径的要求,取决于运营者使用信息的意图。如果运营者仅将信息在其内部使用,则允许其考虑自身情况,在更安全的电子技术手段更为普及和廉价之前,以合理的成本征询父母同意。即允许采用从儿童处获得的父母电子邮件地址附加一个确认步骤,如随后的电话、信件(含平信)或电子邮件,来取得父母同意。而如果信息将被用于其他对儿童权益有较大威胁的场合,如在聊天室或布告栏中公开粘贴,或向第三方公开,则有更为严格的要求,包括要求其使用信用卡确认或印刷一发送表格等途径,以取得父母同意。
  另外,运营者应采取适当的措施,防止儿童个人信息被遗失、误用、未经授权访问或公开。此类措施可包括:(1)指派专人维护和监控信息的安全;(2)要求使用密码访问个人信息;(3)安装防火墙;(4)运用密钥技术;(5)运用附加密码的访问控制程序;(6)将信息储存在一个无法通过因特网进入的安全服务器中。对此确定的“合理性”审查标准,要求保护措施至少应是通常所用的,而不应是明显过时或落后的手段。来自北大法宝
  (四)“安全港”规则
  “安全港”是COPPA将业界自律惯例与立法规制相衔接的一个区域。据此,运营者遵行经FTC审批的自律规则,可获得与遵行COPPA同样的法律效果。1999年12月,Privacy Bot.com公司就其“隐私标记计划”(Privacy Seal Program)向FTC申请“安全港”待遇,成为主动要求“安全港”认证的第一人[15]。
  (五)运营者责任承担
  运营者违反该法规定义务,可被处以罚款、停止营业;承担恢复原状、支付损害赔偿金等侵权责任;或承担法律规定的其他责任[16]。
  三、COPPA的功能与缺憾——网络隐私权保护立法的能与不能
  (一)功能
  早在1997年,克林顿政府的《全球电子商务框架》报告即表明:要想让民众能放心地在网络上从事商业活动,确保隐私权不受伤害是重要的;政府当局支持私人企业开发有意义的、使用方便简单的保护隐私权自律机制;对于自律机制不能解决的部分,政府将与产业合作,共同研商解决之策。行业与网络用户的共同努力要比政府的法规更有效,只有在上述政策不能行之有效时,政府才会重新考虑制定相应的法规[17]。可以说,COPPA正是在这一思路指导下的最终产物。
  COPPA的通过和实施被业界视为一个“分水岭”式的事件[18]——这是像FTC这样的联邦机构,在特定网络环境中进行直接干预式立法的第一次尝试。对于业界自律主义代表的美国而言,COPPA的宣示性和标志性意义似更为令人瞩目。
  首先,COPPA是业界自律模式自我反省的结果。
  从分析网络自身特性可知,自律是网络运行发展的必然要求。网际网路本身乃是依循分权化(decentralized)的哲学进行运作。[19]网路赖以运行的各种通讯协议,如TCP/IP,运作的结果,无非不同网路之间,甚至网路管理者与使用者之间必须以自动自发的协力合作方式,达到通讯目的。[20]当网路社群及其文化形态已从精英化过渡到商业化且普及于大众的阶段,[21]在各种不同的网路社群里,早已发展出为其成员所遵循,甚至为多数网路使用者所认同的网路习惯法(customary rules)与网路礼仪(netiquette)。[22]而在某种意义上,技术的发展,决定了网络世界其实是一个使用者之间可以互相监视的活动环境,使用者相互之间可观察所从事的活动,乃至探知对方的身份。这使得网路使用者的活动多少受制于他人的眼光与观感,这就是网路社会里原始的社会制约功能。[23]
  另外,自律模式的选择还有利益方面的考量。美国网络信息技术在世界范围内居于领先地位,对电子商务的发展契机也最为敏感。电子商务产业的发达及贸易霸权地位,决定了最低限度的政府介入是保证网上商家谋求利益最大化的最佳选择。对网上商家而言,信息就是生产力,对信息的获取和控制,就是取得市场的武器,而立法的强制性和约束力,无疑会在一定程度上限制其自由掌控信息和发展市场的能力,影响经营效率的提升和利益规模的扩大。
  然而,随着网络对市民生活介入程度的日益加深,自律的局限和矛盾不可避免地暴露出来。一方面,行业自律缺乏有力的执行措施和保障手段,没有强制力,使商家有可能毫无顾忌地侵犯消费者的隐私权益。[24]另一方面,行业自律的运作,通常要依靠第三方认证机构的认证来完成,而在这种民间性的第三方认证中,存在许多无法取信于民众的问题。包括:(1)民间认证机构的中立性问题。从目前情况看,拥有较多知名网站和网络公司会员的隐私保护组织,都是自律性组织,而其发起人或主要支持者均是自己的会员,则用户对这些组织的中立性和公正性是有理由怀疑的。[25](2)认证机构处理与第三方的关系问题。由于认证机构自身的网站也需要技术支持、维护和改善,则其运行就有可能涉及第三方。2000年8月底,网络安全工具公司Interhack指责互联网隐私保护组织TRUSTe破坏该组织自己的隐私保护政策,在未告知用户的情况下,使用了第三方internet.com公司the counter.com的来访者计数器这一追踪技术设置,使许多用户及使用者的信息可能与the counter.com公司相连[26]。这一事件反映了认证机构在与第三方关系上保持中立和使隐私规范普遍适用是十分重要,但又十分容易出轨的。(3)认证的效力和信用。民间认证只能说明某个隐私保护政策符合了某一个自律性组织规范的标准,而并不代表能够真正达到维护用户隐私权的效果。认证的权威性和信用度应当依赖于认真审查和嗣后监督的落实,但实践中往往事与愿违。比如,Microsoft、Deja和Ben/Networks等网站都通过了TRUSTe认证,但1999年却都被投诉有侵犯用户隐私权的行为[27]。
  可见,网络自身运作中产生的自律特点一旦外化为具有现实社会性的活动,就产生了矛盾和缺陷。一方面,自律是既有网络文化得以薪传和保持特色的基本要素;另一方面,由于业者个体道德参差不齐,以及自律模式中用户与业者信息不对称的事实,现实生活与网络联系得越紧密,反而越容易遭遇网络秩序不一带来的危险,通过自律能够履行的承诺也越加脆弱。自律模式是预设了信息隐私权保护追求的所有价值,均能透过市场机制解决。然而,这一预设却忽略了隐私权保护与参与式民主体制应息息相关此一前提[28]。同时,将个人信息的保护交给市场机制处理时,也必须考虑会不会正巧落入市场失灵的典型里。事实上,自律下的产业本身似乎并不需要负担个人信息滥用或误用的真正成本。真正的信息隐私成本,最后其实由个人承担[29]。而当业者将其自行宣称的隐私保护政策,透过网络向用户提供选择时,亦不难看到,这些制式契约几无用户协商修改的可能性[30]。而用户由于对技术的陌生和对网络服务的依赖和需求,在面对这些条款时,通常显现出相当强烈而普遍的惰性,而放弃对进一步协商的争取。这样的矛盾在现有条件下无法通过自律的自身调节得以解决,因此而产生了立法的需要和可能。在很大程度上,立法不仅修补了行业自律中存在的缺陷,支持并增强了用户的谈判能力,也对自律的良性发展起到了重要的指引作用。毕竟,在网络未来发展的很长一段时期内,自律的特点尚不会消失,而人类要想不被科技所异化,也应当时刻审视和反省,以防止误入歧途。
  其次,COPPA是业界自律模式吸收积极立法主义的典型和结果。
  与美国首先为网上儿童的隐私权特别保护进行立法不同,欧洲对于网络上一般隐私权一直采取积极立法的态度,其中又以欧盟以超国家架构(supra—national structure)的地位介入网络管制[31]而尤为引人注目。
  欧盟对网络问题的各种管制措施和规范,被视为规模最大、涉及国家最多及层次最高的网络管制方案[32]。欧盟指出,在社会面,网络可使公民权得到进一步伸张。盖畅通的网络使政府与公民间得以较低的成本发表和出版其言论。在文化面,网络对于欧洲文化的营造及语言多元化(linguistic diversity)的促进贡献巨大[33]。就电子商务而言,网络对于未来欧洲经济更扮演决定性的角色。然而,就如同其他产业,网络固然可以被用于正途,亦可能被少数人滥用[34]。基此,欧盟认为网络的规范架构应系以促进经济发展,同时兼顾正当的社会整体需求(公共利益)为目的[35]。另外,鉴于网络的高整合性、跨国性、分权化及高犯罪黑数等特点,网络规范管理不但非一国法律所能够应付,其层次亦显不足[36]。为此,欧盟认为基于欧洲联盟条约第3b条第(2)款以成员国无法达到目标为由而介入,自属必要。
  可以说,欧盟关于网络规范的各项努力,都是在上述思路的指引下进行和完成的。这一方面得益于欧洲较深远的立法文化传统影响;另一方面,更是网络经济发展的迫切需要。具体到网上信息隐私保护,早在1981年,欧洲理事会即出台了《个人资料自动化处理时个人保护公约》(The Convention for the Protection IndivIduals with Regard to Automatic Processing of Personal Data)。进入20世纪90年代,各项关于网上隐私保护的法令相继出台,包括欧盟议会1995年的《欧盟数据资料保护指令》(EU Data Protection Directive);欧盟理事会1996年的《电子通讯数据保护指令》(EU Data Protection Directive in the Telecommunications Sector);1998年的《私有数据保护法》;及欧盟委员会1999年先后制定的《INTERNET上个人隐私权保护的一般原则》、《关于INTERNET上软件、硬件进行的不可见的和自动化的个人数据处理的建议》、《信息公路上个人数据收集、处理过程中个人权利保护指南》等相关法规[37],为用户和网络商提供了明确的隐私权保护原则,并为成员国国内立法建立了有力指导和清晰路径。
  在欧盟的上述立法中,较为重要的是1995年的《欧盟数据保护指令》。该指令于1995年10月4日通过,由15个成员国据以修订其资料保护法。这项指令几乎包括了有关个人资料处理的所有事项,资料处理的形式,有关资料的搜集、记录、储存、修改、使用或销毁,以及网络上资料的搜集、记录、找寻、散布等均规范在内[38]。
  尤其值得注意的是,该指令第25条规定,有关跨国资料传输时,个人资料不可以被传送到欧盟以外的国家,除非这个国家能确保资料传送有适当程度的保护[39]。如此苛刻的规定,对于美国这样依赖业界自律的国家而言是一项严重的贸易壁垒。在尚无专门法律规范网上一般隐私权,并因此而不能达到欧盟指令所称之保护程度时,美国在欧洲市场的电子商务活动将会因资料传送受限而倍受影响。为此,美欧间进行了两年多的谈判,并于2000年3月达成临时的“安全港”隐私保护协议。该协议要求美国公司在与欧盟成员国公民和公司进行网上交易之前,应就其系列自律性隐私保护原则申请获得FTC的“安全港”批准,以证明其隐私保护政策充分并受监督。而欧盟当局则有权阻止尚未向相关部门提出申请的企业在网上进行数据传输活动。自我约束的网上交易公司未经“安全港”监视机构批准擅自开展业务的,则该公司将会受到FTC、司法部以及州检察官“从事欺骗性经营活动”的指控[40]。
  然而,该协议允许由独立机构来审查和管理美国公司对隐私保护的执行情况,而欧洲公司则要受到法律机构的约束,以致两地的隐私权拥护者都认为这个协议不够充分。他们认为,网上隐私保护的关键性条款根本无法根据美国的法律有效地执行[41]。在这里,业界自律带来的弊端和麻烦不言而喻。
  可以说,欧盟的立法实践透露出这样一组信息:在经济全球化进程中,网络经济的全球化亦在积极进行;网络的无界性和延展性决定了未来网络世界不再会出现少数人独霸市场的状况,而争夺网络经济市场主导权的途径亦多种多样;网络经济繁荣的进程,同时也是网络走向有序和公平竞争的过程,规则的形成和落实越来越需要网络参与者具有国际视野的对话、协商、借鉴和统一。
  COPPA的出台,似正是对这样一种背景和趋势的诠释。虽然COPPA仅选择了网络问题中最受关注和矛盾最为突出的儿童隐私一题进行规范,对浩繁的网络法律问题而言仅是冰山一角,但它所反映出的政府积极姿态仍然对美国网络隐私司法化尝试起到了抛砖引玉的作用。在美国,网络隐私保护倡导者也都希望COPPA能够倡导和促进一个更可预见和可理解的法制框架的确立,以保护儿童隐私,解除父母忧虑,并对商家规定明确的义务和责任机制[42]。COPPA的成功实施无疑会对未来的网上隐私保护、言论自由和电子商务等方面的规范产生影响[43]。而对于大多数网络商家而言,COPPA也正好提供了一种必须的激励和动力,促使他们对照和评价自己对客户信息的收集和使用行为,以应对网上隐私保护规范新浪潮的冲击[44]。
  (二)缺憾
  一些学者将COPPA视为美国隐私权规范“分餐式”(piece meal)做法的一个延续[45],认为其非但没有促进网上商务活动的发展,反而形成了阻碍[46]。
  COPPA内部存在的问题主要包括以下方面:
  1.关于“运营者”的范围
  COPPA规范的商业网站,可大致分为三类:(1)面向12岁以下儿童的网站;(2)一般商业网站中面向儿童的部分;和(3)一般商业网站,当其明知自己正在收集或公开儿童个人信息时[47]。这一规范在具体适用时却会产生界定不清和难以归类的问题。
  ●面向12岁以下儿童的网站
  首先,依COPPA规定,确定一个网站或在线服务是否“面向儿童”,应综合考虑其主题、视听内容、示范人物的年龄、使用的语言或网站/在线服务的其他特征,网站/在线服务上的广告是否面向儿童,以及是否使用了游戏、木偶、动物化角色和其他针对儿童设计的活动等[48]。可见,COPPA对网站服务倾向的判断是建立在经验主义的证明方式之上的。对许多网站而言,这样的导向可能会使他们因害怕被误划为“面向儿童”而限缩其设计个性和服务特色。
  另外,COPPA的保护对象是12岁以下儿童,则面向儿童的专业网站应是面向12岁以下儿童的网站。那么,对于那些面向10—20岁的少年儿童,或面向所有年龄段的儿童或未成年人的网站而言,将对其是否会被COPPA视为“面向儿童”产生疑虑[49]。
  ·一般的商业网站
  一个一般的商业网站,如果其含有面向儿童的部分或从事了明知是向一个儿童进行的信息收集,将会落入COPPA的规范范围。则对一般的商业网站而言,应对COPPA基本可行的选择大致包括:(1)停止收集订户信息;(2)防止询问年龄;(3)禁止12岁以下的人取得会员资格;(4)为自称12岁以下的用户寻求成年人(父母)的认证[50]。第(2)、(3)和(4)种选择,或其他的类似途径将给网站增加许多额外的成本。由于其实行更大程度上依赖于用户基础的构成,因此也相应地要依赖于针对特定年龄用户设置的广告,以及提供服务的类型等[51]。这样,即使一个面向10—20岁年龄层的网站,也会将10—12岁的访问者置于一旁,以防给自己增加负担,去解释“知道”用户是一个受规范儿童的情况[52]。而如果一个网站知道某用户是一个受规范儿童,则进一步的信息询问就必须先履行征求父母同意的程序。
  另外,如何排除“明知”用户是儿童的嫌疑,也是一般网站的一个关注点[53]。根据COPPA的规定,一旦一家网站被认定为不面向儿童,则他需要担心的就只剩下如何防止被以“明知”向儿童收集信息为由受到COPPA规制了。许多普通网站收集用户的出生信息只是为了验证密码或市场推广,而对许多网站而言,为遵行COPPA而寻求家长同意的负担要大大超过其收集年龄数据的收益。因此,越来越多的网站开始拒绝12岁以下的人注册登录;而另一些网站则开始只收集宽泛的年龄段数据,如询问新注册者是否“18岁以下”、“18—35岁”或“35岁以上”等。这种年龄段询问的设计,也许可以使网站免去在“明知”情况下调查一个特定用户是否在12岁以下的负担,而更符合其开发市场需要。当然,COPPA规范也十分警惕网站变相询问年龄的做法,如果有明显规避法律倾向的变相询问的,将受到FTC的审查,这对网站而言亦是一种两难的境况。
  还有一个值得注意的灰色区域,即一些大型互动网站都可以让特定的用户担任系统操作员(SYSOPS)来监控聊天室。这些系统操作员虽然不是正式雇员,但仍然可自行决定移动用户粘贴内容或从聊天室和公告栏上关闭掉其他用户。则这些系统操作员能否视为网络公司的代理人?在系统操作员知道一个儿童在聊天区域公开个人信息时,网络公司是否被视为“明知”[54]?COPPA对此尚未作出明确解释。
  ·灰色地带的网站
  在有参照价值的先例确立之前,许多拥有明显的12岁以下用户比例的网站仍无法确定,他们的诸如“禁止12岁以下会员”或为自称12岁以下的用户寻求父母许可的行为是否足以满足COPPA的要求[55]。尤其对一些为10—20岁的人设计的网站,更难证明自己是否“面向儿童”。一些律师建议网站采用用户数据库,统计当前用户的年龄结构,以证实是否“面向儿童”。但是,如果网站停止收集儿童信息,他们便也无法进行年龄统计。
  另外,对这些网站而言,究竟12岁以下儿童占到多大比例才能确定其“面向儿童”?以电脑游戏网站为例,观众的年龄范围可能跨度很大,但通常集中在十几岁和二十几岁。如果一个游戏站点有一个12岁以下的观众并占所有观众的5%,该站点是否“面向儿童”?这样的事似乎不可能发生,但5%有可能代表成千的儿童。法院或FTC是否会认为占成员5%的一个儿童与五万个是相等的[56]?判断此类比例的法律界限仍是模糊的。
  2.关于“可验证父母同意”
  这恐怕是COPPA引发争议最多的一个问题。“可验证父母同意”由于涉及立法对技术选择的指引甚至列举,使许多学者认为其不现实、不适当、不可操作、违反技术中立的原则,甚至提出违宪质疑。
  从前文介绍中可以看到,COPPA要求网站履行的主要义务,即向儿童进行收集、使用或公开信息之前,应当采用有效手段征得儿童父母的同意或在特别情形下履行向父母的通知义务。其列举的可选方法包括:印刷表格(由父母以邮政或传真寄回);信用卡;免费电话;电子签名(证书);含密码的电子邮件。对于仅用于内部使用的信息,甚至可以直接用电子邮件(无论是否含密码)附加一个嗣后的确认步骤,如电话、平信或传真[57]。
  总体分析可见,无论采用哪种推荐途径获取父母同意,都将是一项不小的成本。对许多公司而言,研究采用何种方式最为适宜所需耗费的时间和精力足以使他们决定干脆不再向儿童收集信息或不再允许儿童使用他们的网站,有的甚至精心策划规避审查的途径。面向儿童的网站似乎早已预料到这样的结果,而一般的商业网站则可能从此发现12岁以下儿童的数据减少了——因为儿童用户很可能谎报年龄以进入网站[58]。
  具体到每一项推荐途径,也存在诸多的问题和矛盾:
  (1)E—mail
  许多人都反对使用E—mail,最根本的原因在于这是最容易被儿童掌握和进行伪装的一种方法。许多儿童甚至比他们的父母更精通网络,他们还可以求助于可以直接合法进入网站的兄长或朋友们,或千方百计地寻找父母的资料,以逃避网站的身份认证要求。即使采用如FTC实施细则中所推荐的嗣后确认步骤,也必须确定父母和儿童的E—mail地址不同或网站发送的E—mail确已被父母接受。然而,孩子们可以很轻易地在免费E—mail服务器中获得大量的E—mail地址,而获知父母的E—mail对他们而言也并非难事。因此,有消费者对此评论说,想要通过这一途径限制这部分儿童对网络的使用,就像“试图把果冻固定在墙上”[59]一样荒唐可笑。
  (2)印刷和发送表格
  据估算,为每个儿童履行一次邮寄或传真书面确认表格程序,需平均花费约2.81美元左右。每份书面表格的设计、印刷和分拣约需花费0.08—0.31美元;传真和邮寄,包括正常服务费用在内,每份分别约需花费0.94美元和0.89美元。再设想一下为履行COPPA需要征询多少份父母同意,则采取这一途径的成本将是惊人的[60]。这样,网上商务活动的低成本优势将被掩盖。有人曾以网上订阅为例,如果一份杂志将在线订阅方法改为要求用户下载或邮政订阅,则其发行量将锐减80%左右[61]。可以说明,“线下”方式的高成本和不方便会使人们敬而远之。另外,对于父母签名的真实性也不可能完全确认,则高成本的投入无法确保法律目的的实现。这一途径本身采用速度慢、效率低的传统技术方法来应对高速度、高效率的先进科技问题,显得不合逻辑和不切实际,故其完全可能被弃之不用,徒成具文。
  (3)信用卡
  信用卡确认途径亦备受责难。一方面,信用卡确认一次约需花费2—3美元;另一方面,父母通常不愿意在网上使用信用卡,以防自己的金融隐私被不当利用。迪斯尼公司使用信用卡确认就受到了消费者的强烈反对。一些人认为这是公司“汇编信用卡号码的一个借口[62]”;另一些人则强调“信用卡从来不是用于身份确认用途的,并且这样的使用将会增加消费者面临信用卡盗窃和欺诈案件的风险。[63]”实际上,信用卡公司也反对这一途径,他们认为这样会助长无授权使用并削弱信用卡系统自身防御欺诈的能力[64]。
  (4)免费电话
  采用免费电话确认,则运营者必须配置专门接听电话的员工。这些员工须受到专门训练,能够鉴别打电话的人是儿童还是成人。这一成本也是很高的。每名专业人员的报酬加上培训费,约在55美元左右。而配备自动应答系统,将录音磁带进行拣选,去除儿童打进的电话并将数据输入系统,则每次确认需要花费约0.97美元左右,程序亦十分烦琐[66]。再加上确认的准确性不可完全保障,并无法防止儿童求助父母以外的人,故其实效亦值得怀疑。
  (5)数字签名或其他电子途径
  从技术性能看,这一途径略占优势。但是,此类技术在现有条件下还未广泛普及,若选择这一途径,网站要继续收集、使用或公开而个人信息就需要首先配置性能可靠的系统,以通过电子认证来征询父母同意或履行通知义务。运行这类系统所耗费的法律和技术成本是昂贵的,尤其对于中小规模或新建网站而言,这无疑会使其竞争能力受限甚至因而倒闭出局[66]。
  总之,COPPA的“可验证父母同意”规定无论对网络业者,还是对父母和儿童来讲,适用并达到立法目的都是困难的。对网络业者而言,COPPA对技术选择的指引和责任机制一定程度上限制了其商业性自由言论的宪法权利[67],并施加了过度的自我审查义务,将可能导致对其经营和发展的致命伤害[68];对父母和儿童而言,这些技术指引的内部逻辑矛盾,不可操作性和易被伪装、滥用或规避等天生缺陷,决定了其不可能真正达到保护儿童在线隐私权的目的,反而可能会变相诱导儿童在网上进行不诚实活动,加剧网络隐私保护问题的复杂性。
  (三)从COPPA看网络隐私权保护立法的困境
  分析COPPA的功能和缺憾,可以得出这样一个基本结论:立法是网络规范的一个必要途径,但立法要想切中要害并产生实际效用则仍面临许多困境。
  首先,COPPA的土壤和背景是一个以判例为基础,依靠自律机制加上挑选特殊问题进行单一立法的隐私保护制度传统。也就是说,COPPA所选择的框架和思路,是美国对现实世界的立法传统在网络规范领域中的延伸。这种延伸实际上反映了网络文化在许多方面受到现实世界文化及观念潜移默化影响的现实,这种影响是自然发生和实在的。当同一个立法主体需要在现实世界和网络世界中“一人分饰二角”时,现实世界的固有模式和经验性思维自然而然地会影响其对网络法律规则的思考和创建。而实际上,现实世界的法律文化对于网络运行中自发形成的自律规则也有着深刻影响,许多重要的法律理念,如公平、诚信、契约必守等,都为网络使用者和参与者所推崇。问题在于,探讨网络规范并不是一个单纯理念层面的问题,面对日益复杂和迫切的秩序要求,网络规范的建构应该完成其积极的现实使命。那么,这种对现实世界法律的延续能否切合网络的具体状况并发挥效用呢?可以从传统法与网络实际的对照分析中寻求答案。
  在美国,传统侵权法对隐私权的

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.185470      关注法宝动态:  

法宝联想
【相似文献】

热门视频更多