作者: 孟洁 | 殷坤
请点击底部左侧“阅读原文”,查看并下载
《儿童个人信息网络保护规定(征求意见稿)》与《个人信息安全规范》横向对比表
个人信息保护备受未成年人是网络服务中的重要用户群体。相较于欧盟、美国,我国个人信息保护起步较晚,也没有针对儿童的信息保护进行单独规定。我国《个人信息安全规范》(下称“《国标》”)仅规定,收集14周岁以下儿童的信息需要征求监护人明示同意。在此背景下,六一儿童节前夕(2019年5月31日下午六点零一分),国家互联网信息办公室发布了《儿童个人信息网络保护规定(征求意见稿)》(下称“《征求意见稿》”)。本文将主要结合现行《国标》,并参考欧盟、美国对儿童个人信息的相关规定和实践,对《征求意见稿》进行解读。
一、保护对象的年龄线设置
保护对象的年龄线设置可能因具体法域而异。美国COPPA法案设置的年龄线为13周岁,而欧盟GDPR则设置为16周岁(欧盟成员国可规定更低的年龄界限,但不得低于13周岁)。
我国法律法规及国标对处于不同年龄阶段的未成年人规定了不同的权利,可以分为以下两个角度讨论:
第一,从民事主体的角度,根据《中华人民共和国民法总则》第十七条“十八周岁以下的自然人均为未成年人,除特殊情况 外,均属于限制民事行为能力人,只能实施与其智力、精神状况相适应的民事法律行为。否则,需要由其法定代理人代理或者经其法定代理人同意、追认”。
第二,从个人信息主体的角度,根据《国标》第5.5条第c)款“收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意; 不满14周岁的,应征得其监护人的明示同意。”本次《征求意见稿》所保护的对象仅为儿童,根据征求意见稿第二十七条的规定,儿童指不满十四周岁的未成年人。《数据安全管理办法(征求意见稿)》第12条也规定“收集14周岁以下未成年人个人信息的,应当征得其监护人同意”,将保护的个人信息主体也定为14周岁以下的儿童。
二、保护儿童个人信息的全生命周期
此次《征求意见稿》沿用了《国标》的基本框架,参考了保护个人信息全生命周期的思路,对儿童个人信息的收集、存储、使用、转移、披露均有完整的覆盖(第三条)。并且,在收集信息前要求获得监护人的明示同意,在收集后监护人有权要求删除或更正,这一点与COPPA和GDPR的规定是一致的。
首先,在信息收集、使用方面,《征求意见稿》明确了需要得到儿童监护人的明示同意,并且要求明示同意应当具体、清楚、明确和基于自愿(第七条)。此外,第十一条、第十四条和第十五条中,全方位详细规定了需要征得明示同意的各种情形,比如收集信息的目的、范围、方式、期限等发生变化,和第三方共用、向第三方转移时均需要获得监护人的明示同意。第八条还进一步要求在提供同意选项的同时,还需要向儿童监护人提供拒绝选项(第八条),这些都与《国标》是一脉相承的。需要注意的是,根据《征求意见稿》,收集、使用儿童个人信息,需要得到的是监护人的“明示”同意。但《数据安全管理办法(征求意见稿)》第十二条,收集14周岁以下未成年人个人信息的,应当征得其监护人同意,可能包括明示和默示同意两种情形。根据《国标》,明示同意是指个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。肯定性动作包括个人信息主体主动做出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写或提供等。因此,有待于不同法规之间的相互统一与协调适用。
其次,在信息存储、委托处理方面,与《国标》的相关规定没有实质性区别,同样要求不得超过实现收集、使用目的所必须的期限(第九条)。同时,明确要求采取加密措施存储(第十条),这条是对儿童信息的增强性保护措施的特殊规定。涉及儿童信息委托处理时,网络运营者需要进行安全评估。受托方的义务基本与《国标》规定保持一致,不得进行受托范围以外的处理(第十三条)。相较于《国标》,《征求意见稿》严格要求网络运营者与受托方应当签署委托协议来明确双方责任、处理事项、处理期限、处理性质和目的。并且在受委托方的义务中,增加了其协助网络运营者回应儿童监护人提出的申请,以及不得转委托的规定。
最后,个人信息主体权利实现方面,明确要求网络运营者对错误的儿童信息进行更正(第十七条);对于删除儿童个人信息,相较于《国标》,《征求意见稿》增加了当出现儿童监护人撤回同意,以及儿童或者其监护人通过注销等方式终止使用产品或者服务两种情形时,网络运营者应当及时采取措施予以删除。
三、保护儿童个人信息的“特殊”规则
此次《征求意见稿》强调了网络运营者的行业规范。例如,《征求意见稿》第五条要求网络运营者应当设置专门的儿童个人信息保护规则和用户协议。该条与COPPA与GDPR的要求基本一致,COPPA规定网络运营者必须明示正在收集有关儿童的信息,并说明如何使用这些信息。GDPR进一步要求控制者使用清晰易懂的语言,将相关信息提供给未成年人。
另外,《征求意见稿》第五条还要求设立专人负责儿童信息保护。第十二条规定,工作人员访问儿童个人信息的,应当以“最小授权”为原则,设定严格的访问权限,需要经过个人信息保护专员或者其授权的管理人员审批。
网络运营者是否需要单独写一个针对儿童信息保护的隐私政策,还是用户协议里包含儿童信息保护的规则,目前在《征求意见稿》阶段还没有统一答案。但可能一般认为,专注于儿童内容和产品的运营者,需要设有专门针对儿童的隐私政策。但老少兼宜的产品或者服务,专门设计单独的儿童隐私政策成本较高也会造成用户多套版本查看的混乱,可以在总的用户协议中特别列出针对儿童规则这种方式来解决。
根据《国标》,儿童个人信息也是个人敏感信息的一类,一般企业要求敏感信息的审批也应当经过个人信息保护专员或者其授权的管理人员,记录访问情况,并采取技术措施,避免违法复制和下载。因此,所以对于网络运营者来说,第十二条其实没有额外增加负担。
四、违法处理儿童个人信息的处罚
此次《征求意见稿》对侵犯儿童个人信息安全规定了惩罚措施,可以算作是一大亮点。
根据《征求意见稿》,违反相关规定,网信办会根据情节情重,采取约谈或者根据《中华人民共和国网络安全法》第六十四条根据情节单对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
《征求意见稿》的惩罚措施是对《国标》推荐性标准没有强制执行力的有利补充,对企业有很强的震慑力。关于更多《征求意见稿》与《国标》的比对,请详细参考附件。
五、父母验证同意的机制
OPPA和GDPR对父母验证同意的机制进行了规定。根据GDPR的规定,考虑到现有的技术水平,信息者应当做出合理的努力,以核实在此种情况下相关同意是否由未成年人的监护人做出或授权。而COPPA也要求除特殊情况外,网络运营者必须事先取得可验证的父母的同意,通过合理努力使监护人能够收到授权申请并做出授权决定,并且如收集、使用、披露的方式有重大改变时,需要再次征得监护人同意。从国外目前的实践来看,大部分企业采用限制儿童注册、将监护人与儿童的账号进行关联等方式。
在我国,虽然《征求意见稿》已经出台,但是比较遗憾的是,此次《征求意见稿》并未对识别未成年人(游戏类另有规定除外)、监护人同意机制、控制机制方面进行规定。关于在互联网产品中如何落地保护未成年人,仍然是一个具有挑战性的话题。
请点击左下方“阅读原文”,查看并下载
《儿童个人信息网络保护规定(征求意见稿)》与《个人信息安全规范》横向对比表