文/民間司改會
言論自由、資訊取得自由與隱私權,為民主社會之根基;同時,我們也須考量到兒童與少年在網路世界成長的過程身心發展之健全。依《兒童權利公約》第3條國家於政策與法律之制定應以兒童最佳利益為優先考量,第13條更進一步保障兒童資訊權(包含接收與傳達各種資訊與思想之自由)、第16條保障兒童隱私權。在此理解下,本會認為,衛福部預告之「兒童及少年福利與權益保障法」修正草案第59條(草案全文請參文末),其第一項、第二項所擬建立之「年齡識別機制」,以及第三項所授權之「限制接取處置」,均存在重大疑慮如下:
壹、第59條第1、2項:全民被年齡驗證之系統性風險,衛福部應於草案明定隱私預設、目的外利用之禁止、最小蒐集原則
一、強制年齡驗證將不再僅規範平台業者,而是影響所有使用者的基本權
依IETF網路工程任務組於2026年發布之《Age Verification Architecture》技術草案[1],強制性年齡驗證將「不再僅規範平台業者,而是規範所有使用者,使所有使用者均須通過驗證始得使用應用服務」;此種設計「對全體網路使用者(不僅是兒童,且尤其包括兒童本身)之隱私與言論自由造成損害」。
二、年齡識別機制容易導向網路實名制與資料之過度蒐集與外洩風險
台灣常見之年齡識別機制,包含自我宣告、AI臉部估齡(涉生物特徵資料之蒐集及對特定人種、性別年齡邊界群體存在系統性誤判風險[2])、政府身分證件上傳、信用卡驗證、手機門號實名綁定。後三者於我國尤為敏感——手機門號依法須實名登記,實質導向網路實名制並排除無門號族群之數位近用。各機制路徑雖異,共同特徵在於均要求使用者揭露身分;即便是零知識證明(ZKP)方案,實際運作上能否完整保障身分不外洩,仍有疑義[3]。
司法院釋字第603號解釋已明揭,個人對其個人資料之自主控制,屬資訊隱私權之核心,受憲法第22條保障;反觀常見的年齡驗證方法,上傳身分證件或人臉影像進行年齡驗證,所蒐集者不僅是出生年月日,更涵蓋姓名、身分證統一編號、戶籍地址、臉部生物特徵等高度敏感資料;若草案未於法律層次明定資料最小化、目的外利用禁止與保存期限,難謂符合上開憲法標準。
三、國際施行經驗:澳洲首日即潰堤,英國反彈聲浪未息
澳洲《線上安全修正法(社群媒體最低年齡)》於2025年12月生效,惟施行首日即出現大量規避情形——兒童借用家人臉部、使用VPN,甚至有11歲兒童被誤判為18歲、12歲少女僅靠化妝即通過驗證[4]。其後民間團體Digital Freedom Project偕兩名青少年於同年11月向澳洲高等法院提起憲法訴訟,主張該法違反澳洲憲法默示之政治溝通自由;Reddit亦於12月跟進[5],兩案併由高等法院審理中。而英國《線上安全法》之「保護兒童法典」亦引發強烈反對,廢除請願於數日內突破55萬份簽署[6]。EFF與EDRi等數位權利組織明確指出,此類措施反為所有人(包括兒童本身)之言論與隱私帶來監控風險[7]。
四、本會呼籲:衛福部應將「隱私預設、目的外利用之禁止、最小蒐集原則」明定於修正條文
政府應正視從兒童保護到過度資料蒐集、甚至實質網路實名制之結構性滑坡。依法律保留原則,國家對人民權利之限制或重要事項之規範,須有法律依據;進一步依層級化法律保留之架構,事項之重要性愈高,法律本身之規範密度要求愈嚴,不得以概括授權替代。重要性理論亦明確指出,即便立法者已授權主管機關訂定準則,凡屬重要之實質內容,仍須於母法中明文規定,授權條款不得空洞無據、架空法律保留之意旨。
然衛福部所公布之草案第59條第2項後段,將年齡識別之標準、方式、例外、實務準則與技術要求悉數委由通訊傳播主管機關會同數位發展主管機關定之,卻未於母法中明確揭示任何實質規範內容;而年齡驗證機制涉及兒少保護、資訊隱私權、資訊自決權及表現自由等多項基本權面向,其重要性自不待言。本會呼籲,衛福部之草案應於法律層次明定,將隱私預設(privacy by design)落實於驗證資料之全生命週期,並就目的外利用之禁止、最小蒐集原則等核心事項為嚴格規範,方符層級化法律保留之要求,否則恐有空白授權之虞。
貳、第59條第3項:衛福部應刪除授權主管機關得直接封阻網站之條款
一、網站封阻不應從最後手段躍升為言論管制的最前線
修正草案第59條第3項後段規定,主管機關「必要時,得通知網際網路接取服務提供者為限制接取之處置。」此一條文揭示者,不僅是個別法規之技術細節,更是我國當前網路內容治理之結構性困境:在欠缺完整平台責任法規之前提下,政府選擇以封阻接取作為替代性之內容管理工具,使網站封阻從理論上之最終懲處手段,直接躍升為處置疑似違法內容之第一線工具。在合理之治理架構中,網站封阻(我國常見手段為DNS RPZ)本應為窮盡一切常態法律管道後始得動用之最後手段;然本草案之設計邏輯適得其反——自行創設無須經第三方事前或事後審查、即可封阻整個平台之法源依據,授權行政機關可以直接自行認定有「及時處置必要」而封阻整個網站或平台。
二、政府愛用的網站封阻程序竟缺乏監督與救濟之正當程序
正當程序之缺席,凸顯此立法模式之危險。「必要時」作為啟動門檻,欠缺具體化判斷標準,實質賦予行政機關幾乎無邊界之裁量空間。現行規範既不要求通知當事人、未提供利害關係人異議程序、無獨立第三方之事前或事後審查,亦未要求主管機關公布所封阻網站清單供大眾檢視——種種制度缺漏,皆使本草案恐成我國網路自由之嚴重破口。
三、倒數2年!封網合法化運動正在展開
依數位發展部2025年訂定之《運用 DNS RPZ 自律機制停止解析違法網站處理參考程序》第7點說明(四):「主管機關應於第12點第4款期限內(即2年內)參考詐欺犯罪危害防制條例第42條規定,於各該法律中訂明,主管機關得令IASP停止解析或限制接取違法網站,以利實務執行。」[8]
該《參考程序》之法律效力於法律保留檢驗下恐難站立;然基於行政一體之實務運作,兩年期限已開始倒數,一波大規模立法運動於焉展開:2025年12月,行政院已就《國家安全法》增訂第4條之1、《社會秩序維護法》增訂第64條之1之部分條文修正草案[9],明定有即時處置之必要時,內政部得逕令網路接取服務者為停止解析或限制接取之處置。本草案第59條第3項,正是此一立法浪潮下之具體實例。
退一步言,即便撇開《詐欺犯罪危害防制條例》第42條本身於正當程序上之諸多瑕疵不論——該條已使政府於2025年逕行封阻49,211筆網站、佔全年RPZ封阻紀錄(76,930筆)約64%[10]——本草案竟以此本身即不合理之模式為樣板,複製至兒少保護領域,更顯立法上之輕率。
四、本會呼籲:網站封阻應嚴格限制為最後手段,並應於正當程序建立完備後始得實施
衛生福利部應刪除本草案第59條第3項後段「必要時,得通知網際網路接取服務提供者為限制接取之處置。」之規定。在我國尚未建立以人民權利為核心、兼具平台問責、正當程序保障與有效救濟機制之平台責任法規前,任何賦予行政機關得逕行封阻整個網站平台之授權,均將使言論自由暴露於不受節制之行政裁量之下。網站封阻應回歸最後手段之角色,而非繞過平台責任機制之捷徑。
參、結論
本會肯定衛福部開始正視網路環境對兒少身心發展之影響,此一關注本身值得珍視。然而,減少網路對兒少之傷害,本質上係漸進、多方協力之工程,斷非年齡驗證或封網機制所能竟其功。較具韌性之治理,應於網路架構之不同層級部署多元、各有界限且符合隱私預設原則之機制,使任一行為者均無從集中持有全體使用者資訊。更重要的是,兒少最佳利益不應以犧牲全民基本權為代價:缺乏資料最小化保障之年齡驗證將導致大規模監控;欠缺正當程序之限制接取制度,亦將繞過司法審查、侵蝕全民言論自由——兩者所建構者,皆非保護兒少之防護網,而係侵蝕民主自由之失靈制度。
