您的位置 : 环球研究 / 环球评论 / 新闻详情
ESG与数据隐私合规观察——网络环境中的未成年人安全保护
2023年09月27日孟洁 | 许国盛 | 杜畅

引言

 

近年来,由于我国网络用户构成有快速低龄化的趋势,加之我国近年来互联网产业高速发展带来的网络信息内容良莠不齐现象、各类网络违法犯罪行为屡见不鲜,未成年人网络用户心智不成熟、判断力不足使其在网络上屡屡遭受欺凌、诈骗、沉迷陷阱等危害。立法、司法机关与监管部门深刻意识到了现状的严峻性,因此在近年来不断推进相关立法、完善司法与监管实践。

 

在立法方面,2021年6月1日,新修订的《中华人民共和国未成年人保护法》(以下简称“《未保法》”)正式实施;2022年3月14日,中国国家互联网信息办公室发布了《未成年人网络保护条例(征求意见稿)》(以下简称“《未保条例(征求意见稿)》”);2023年9月21日,国务院常务会议审议通过了《未成年人网络保护条例》草案。在司法方面,2023年5月25日,北京互联网法院通报9起涉未成年人纠纷典型案例;2023年5月31日,最高人民检察院发布《检察机关加强未成年人网络保护综合履职典型案例》6则。不断推进的未成年人保护立法、司法与监管执法动态在为我国未成年人保护事业添砖加瓦的同时,也为相关企业在业务运行过程中如何理解和落实合规义务带来了挑战。尤其值得注意的是,未成年人网络保护涉及多个合规领域,实践中往往需要结合数据合规,个人信息保护,环境、社会责任与公司治理(Environment, Social and Governance, ESG)等新兴合规领域的知识与经验才能够比较顺利地开展。

 

在本文中,我们将结合新近的立法趋势,将未成年人保护的数据治理和道德规范纳入企业的ESG议程中,从而为企业在业务流程中保护未成年人这一弱势群体提供参考。同时,未成年人用户不仅仅是当下的弱势群体,也是未来的国家、社会与市场的主流群体,我们也希望通过实现未成年人保护的目标,帮助企业自身与社会中不同的、重要的群体建立安全、稳定、长期的关系,助力实现企业与社会的良性互动与稳定共续。

 

一、ESG视角下的未成年人保护

 

继2002年证监会《上市公司治理准则》对上市公司治理信息的披露范围也做出了明确规定后,香港联交所也于2011年12月9日第一次对香港上市公司实施《环境、社会及管治报告指引》咨询意见,从此ESG作为一个新领域在我国方兴未艾——2014年修订的《环境保护法》确定了保护优先、预防为主、综合治理、公众参与、损害担责的原则;2018年修订的《上市公司治理准则》要求积极借鉴国际经验,推动机构投资者参与公司治理;强化董事会审计委员会作用,确立环境、社会责任和公司治理(ESG)信息披露的基本框架;2023年《公司法》(修订草案三次审议稿)要求公司充分考虑公司职工、消费者等利益相关者的利益以及生态环境保护等社会公共利益,承担社会责任,并鼓励公司公布社会责任报告……但无论在实务界还是学术界,未成年人网络保护都极少被纳入ESG的论域下进行讨论。

 

考虑到未成年人作为社会的未来,对于社会的重要价值,在网络社会中是否能够保护未成年人的合法权益作为企业的社会责任,势必将成为中国企业ESG评级体系下的S——即社会责任(Social)——要素中的重要评价指标;而企业为了落实复杂且细化的未成年人保护义务,也势必要转向ESG评级体系下的G——即公司治理(Governance)——以寻求合规组织运转效率提升、合规治理质量升级的重要目标。

 

许多与跨国公司合作(或构成其国际供应链一部分)的中国企业已经并被海外合作伙伴要求遵守自身所采用的ESG标准,并且往往需要接受审计;如果未能遵守相关标准,则会承担合同约定的不利后果。而随着我国持续推进制定ESG相关标准和法律法规,中国企业同样需要确保其合作伙伴等第三方能够遵守我国的ESG标准。基于此,我们回顾《未保条例(征求意见稿)》,监管部门从网络素养培育、信息内容规范、个人信息保护、网络沉迷防治这四个方面为相关行业企业提出了合规要求,并着重明确了大型互联网平台企业的内部合规治理要求——其中,四项合规要求主要对应了社会责任(Social)要素,而大型互联网平台的内部治理要求则主要对应了公司治理(Governance)要素。

 

还值得注意的是,ESG中的社会责任(Social)要素在我国企业治理语境下存在着相对更加丰富的内涵,包括但不限于乡村振兴、劳动者保护、老年人保护、未成年人保护、国家安全、数据安全、隐私保护等诸多互相交叉或平行的细分命题。

 

二、社会责任(Social)①:未成年人网络素养培育的义务

 

(一)一般性义务

 

首先,《未保法》第六十九条第二款规定,智能终端产品的制造者、销售者应在产品上安装未成年人网络保护软件,或者以显著方式告知用户有关未成年人网络保护软件的安装渠道和方法。《未保条例(征求意见稿)》第十九条第三款对上述要求进行了细化,要求智能终端产品制造者应当在产品出厂前安装未成年人上网保护软件,或者采用显著方式告知用户安装渠道和方法;且智能终端产品销售者在产品销售前应当采用显著方式告知用户安装未成年人上网保护软件的情况以及安装渠道和方法。

 

此外,《未保条例(征求意见稿)》第十九条第一款要求未成年人上网保护软件、专门供未成年人使用的智能终端产品应具备“有效识别违法信息和可能影响未成年人身心健康的信息、保护未成年人个人信息权益、预防未成年人沉迷网络、便于监护人履行监护职责”等功能。

 

最后,《未保条例(征求意见稿)》第十九条第二款明确规定国家网信部门及国务院有关部门有工作需要时,应明确软件及智能终端产品的技术标准或要求(如,2018年发布的《信息安全技术 未成年人移动终端保护产品测评准则》(GA/T 1537-2018)等)。

 

(二)平台特殊义务

 

《未保条例(征求意见稿)》第二十条要求“未成年人用户数量巨大、在未成年人群体具有显著影响力的重要互联网平台服务提供者”:

  • 在平台服务设计、研发阶段,应充分考虑未成年人身心健康发展的特点,定期开展未成年人网络保护影响评估;
  • 建立健全未成年人网络保护合规制度体系,成立主要由外部成员组成的独立监督机构,对未成年人网络保护情况进行监督;
  • 提供青少年模式或未成年人专区等产品或服务;
  • 如发现存在严重违反法律、行政法规侵害未成年人身心健康或者侵犯未成年人其他合法权益的平台内的产品或者服务提供者,应对其停止提供服务;
  • 以显著方式提示未成年人用户享有的网络保护权利和遭受网络侵害后的救济途径;
  • 每年发布个人信息保护社会责任报告,并通过公众评议等方式接受社会监督。

三、社会责任(Social)②:未成年人网络信息内容规范义务

 

《未保条例(征求意见稿)》第三章在《未保法》的基础上,对不同类别的不良信息与禁止行为、在线教育类特殊义务,以及各类不当内容及行为的处置义务均作出了较为详细的规定。

 

(一)不当内容的禁止与限制

  • 危害未成年人身心健康内容

《未保法》第五十条与《未保条例(征求意见稿)》第二十二条第一款禁止制作、复制、出版、发布、传播含有危害未成年人身心健康内容的图书、报刊、电影、广播电视节目、舞台艺术作品、音像制品、电子出版物和网络信息;《未保法》第五十三条禁止刊登、播放、张贴或者散发含有危害未成年人身心健康内容的广告;《未保条例(征求意见稿)》第二十二条第二款禁止向未成年人发送含有危害未成年人身心健康内容的信息。其中,“危害未成年人身心健康内容”被定义为“宣扬淫秽、色情、暴力、邪教、迷信、赌博、引诱自杀、恐怖主义、分裂主义、极端主义等”。

  • 可能影响未成年人身心健康内容

《未保法》第五十一条要求任何组织或者个人出版、发布、传播的图书、报刊、电影、广播电视节目、舞台艺术作品、音像制品、电子出版物或者网络信息,包含可能影响未成年人身心健康内容的,应当以显著方式作出提示;《未保条例(征求意见稿)》第二十二条第二款禁止向未成年人发送含有可能影响未成年人身心健康内容的信息。其中,“可能影响未成年人身心健康内容”在《未保条例(征求意见稿)》第二十四条中得到了进一步的细化,被定义为“引发或者诱导未成年人模仿不安全行为、实施违反社会公德行为、产生不良情绪、养成不良嗜好等”——该定义因袭《网络信息内容生态治理规定》第七条第八款,保持了法规间的一致性。

 

针对可能影响未成年人身心健康内容,《未保条例(征求意见稿)》第二十六条进一步禁止在专门以未成年人为服务对象的网络产品和服务中制作、复制、发布、传播,且禁止在首页首屏弹窗热搜等处于产品或者服务醒目位置、易引起用户关注的重点环节呈现。

  • 淫秽色情网络信息

《未保法》第五十二条与《未保条例(征求意见稿)》第二十三条第一款均禁止制作、复制、发布、传播或者持有有关未成年人的淫秽色情物品和网络信息;《未保条例(征求意见稿)》第二十三条第二款禁止诱骗、强迫未成年人观看淫秽色情网络信息

  • 可能暴露未成年人隐私的网络信息

《未保条例(征求意见稿)》第二十三条第二款进一步禁止诱骗、强迫未成年人制作、复制、发布、传播可能暴露其个人隐私的文字、图片、音视频。

 


(二)不当行为的禁止

  • 网络欺凌行为

《未保法》第七十七条与《未保条例(征求意见稿)》第二十七条均禁止通过网络以文字、图片、音视频等形式,对未成年人实施侮辱、诽谤、威胁或者恶意损害形象等网络欺凌行为。

  • 不良或违法犯罪行为

《未保条例(征求意见稿)》第二十八条禁止利用网络组织、胁迫、引诱、教唆、欺骗、帮助未成年人实施不良行为、严重不良行为或者违法犯罪行为。

  • 在线教育服务相关不当行为

《未保法》第七十四条第三款要求以未成年人为服务对象的在线教育网络产品和服务,不得插入网络游戏链接,不得推送广告等与教学无关的信息。《未保条例(征求意见稿)》第二十九条对此进一步细化,要求以未成年人为服务对象的在线教育网络产品和服务提供者,遵守教育行政部门会同有关部门制定的机构设置、人员资质、收费监管等相关标准和制度,按照规定合理设置时段、时长和内容,不得插入网络游戏链接,不得推送广告等与教学无关的信息。

 

(三)不当内容及行为的处置

 

《未保法》第八十条第二款规定,网络服务提供者发现用户发布、传播含有危害未成年人身心健康内容的信息的,应当立即停止传输相关信息,采取删除、屏蔽、断开链接等处置措施,保存有关记录,并向网信、公安等部门报告;第三款规定,网络服务提供者发现用户利用其网络服务对未成年人实施违法犯罪行为的,应当立即停止向该用户提供网络服务,保存有关记录,并向公安机关报告。

 

《未保条例(征求意见稿)》第三十条第一款在上述规定的基础上进一步细化,要求网络产品和服务提供者应当加强对用户发布信息的管理,发现涉及危害未成年人身心健康内容、可能影响未成年人身心健康的信息、有关未成年人的淫秽色情网络信息、可能暴露未成年人隐私的信息并违反处理限制,涉及网络欺凌行为,组织、胁迫、引诱、教唆、欺骗、帮助行为,或在线教育服务不当行为的,均应立即停止传输相关信息,采取删除、屏蔽、断开链接等处置措施,防止信息扩散,保存有关记录,并向网信、公安等部门报告。

 

此外,《未保法》第八十条第一款及《未保条例(征求意见稿)》第三十条第二款规定,网络服务提供者发现用户发布、传播可能影响未成年人身心健康的信息且未作显著提示的,应当作出提示或者通知用户予以提示;未作出提示的,不得传输相关信息。

 

四、社会责任(Social)③:未成年人个人信息的保护义务

 

在《中华人民共和国个人信息保护法》(以下简称“《个保法》”)生效后,我们陆续发布了关于个人信息保护各领域的大量规则解读与实务指引(如,关于《个保法》解读,详见“《个人信息保护法》八步走落地路径与实务解读”),学术界与实务届同仁也已对于企业个人信息保护的一般性合规义务进行了大量探讨,因此本文不再对此进行赘述。

 

在个人信息保护一般性合规义务的基线之上,处理未成年人个人信息的企业还应当在在业务流程中注意以下合规要点:

 

(一)用户身份与年龄核验

 

《未保法》第七十五条要求网络游戏服务提供者应当要求未成年人以真实身份信息注册并登录网络游戏,并应当采取技术措施,不得让未成年人接触不适宜的游戏或者游戏功能。《未保法》第七十六条及《未保条例(征求意见稿)》第三十三条第二款要求,网络直播服务提供者为年满十六周岁的未成年人提供网络直播发布者账号注册服务时,应当对其身份信息进行认证,并建立网络直播发布者真实身份信息动态核验机制。《未保条例(征求意见稿)》第三十三条第一款要求网络服务提供者为未成年人提供信息发布、即时通讯等服务,应当在确认提供服务时,要求未成年人或者其监护人提供未成年人真实身份信息。

 

另外,2023年8月9日发布征求意见的国家标准《信息安全技术 敏感个人信息处理安全要求》(征求意见稿)(以下简称“《敏感个人信息要求(征求意见稿)》”)在其第7.7.4条中要求处理不满十四周岁未成年人的个人信息的活动在全场景下进行身份与年龄核验,并对核验流程进一步细化——个人信息处理者:

  • 应采取合理技术措施核验个人信息主体的年龄,确认个人信息主体是否为不满十四周岁未成年人;

  • 当核验个人信息主体的身份为不满十四周岁未成年人时,宜继续采取合理措施核验监护人的身份;

  • 确认核验的方式时,宜充分考虑不同的产品或服务在受众群体上的本质差异,对于不同的产品或服务宜采取不同强度的核验方式——低强度核验方式要求未成年人自主填写其年龄,中强度核验方式要求未成年人提供其身份证照片或姓名及身份证号码以判断其年龄,高强度核验方式通过身份证照片及人脸识别共同判断其年龄;

  • 核验监护人身份的流程和方式宜采取短信验证、电话验证、视频验证、邮箱验证、书面确认等合理措施进行。

(二)私密信息的保护义务

 

《未保法》第七十三条规定,网络服务提供者发现未成年人通过网络发布私密信息的,应当及时提示,并采取必要的保护措施。《未保条例(征求意见稿)》第四十三条对前述条款进一步细化,规定当网络服务提供者发现未成年人私密信息或者未成年人通过网络发布的个人信息中涉及私密信息的,应当及时提示,并采取停止传输的措施,以防止信息扩散。

 

(三)告知同意的特殊规则

 

根据《个保法》第二十八条第一款,不满十四周岁未成年人(以下或称“儿童”)的个人信息属于敏感个人信息,相关处理活动应符合敏感个人信息的保护要求。

 

首先,《个保法》第三十条要求个人信息处理者在处理儿童个人信息时,除一般告知事项之外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

 

此外,《个保法》第二十九条与《未保条例(征求意见稿)》第三十七条要求处理儿童个人信息及其他未成年人敏感个人信息应当取得个人的单独同意。

 

再者,《个保法》第三十一条、《未保法》第七十二条、《未保条例(征求意见稿)》第三十五条、《儿童个人信息网络保护规定》第九条,以及《信息安全技术 个人信息安全规范》(GB/T 35273-2020)第5.4条d项均要求,处理儿童个人信息的,应当取得该儿童的父母或其他监护人的同意。

 

最后,《敏感个人信息要求(征求意见稿)》第7.7.3条进一步细化了收集儿童个人信息告知同意的具体要求:

  • 使用未成年人可理解的方式说明应由未成年人的监护人确认同意;

  • 通过简明、易于理解的形式,向未成年人的监护人,说明未成年人信息收集、使用的情况;

  • 在协议或交互界面中重点说明收集、使用未成年人个人信息的情况和敏感性;

  • 以适当方式向未成年人的监护人告知,并为未成年人的监护人同时提供同意和拒绝的选项,避免不满十四周岁未成年人自行确认或同意。

(四)专门个人信息处理规则

 

《个保法》第三十一条与《未保条例(征求意见稿)》第三十四条要求个人信息处理者处理儿童个人信息的,应当制定专门的个人信息处理规则。

 

《敏感个人信息要求(征求意见稿)》第7.7.2条进一步要求该等专门的个人信息处理规则应至少告知以下内容:

  • 未成年人个人信息处理的目的、方式、范围,处理的必要性;

  • 未成年人个人信息存储的地点、期限及到期后的处理方式;

  • 对未成年人个人信息采取的安全保障措施;

  • 未成年人的监护人投诉、举报的渠道和方式;

  • 未成年人的监护人查询、复制、更正、删除信息、撤回同意、注销账户等的途径和方法;

  • 未成年人的监护人拒绝个人信息处理规则的后果;

  • 专门的个人信息处理规则中以上告知事项发生实质性变化的,应再次征得未成年人的监护人的同意。

五、社会责任(Social)④:未成年人网络沉迷防治的义务

 

(一)一般规定

 

《未保法》第七十四条第一款禁止向未成年人提供诱导其沉迷的产品和服务。《未保条例(征求意见稿)》第四十九条基于此进一步扩展,要求建立健全防沉迷制度,不得向未成年人提供诱导其沉迷的产品和服务,及时修改可能造成未成年人沉迷的内容、功能或者规则,并定期向社会公布防沉迷工作情况。

 

《未保法》第七十四条第二款要求针对未成年人使用其服务设置相应的时间管理、权限管理、消费管理等功能。《未保条例(征求意见稿)》第五十条对此进一步细化,明确要求针对未成年人设置青少年模式,在使用时段、时长、功能和内容等方面按照国家有关规定和标准提供服务,并为监护人履行监护职责提供时间管理、权限管理、消费管理等功能。

 

《未保条例(征求意见稿)》第五十一条要求合理限制未成年人消费数额,包括在使用网络产品和服务中的单次消费数额和单日累计消费数额,不得向未成年人提供与其民事行为能力不符的付费服务。

 

《未保条例(征求意见稿)》第五十二条要求防范和抵制不良价值倾向,不得设置以应援集资、投票打榜、刷量控评等为主题的社区、群组,不得诱导未成年人参与应援集资、投票打榜、刷量控评等网络活动,并预防和制止其用户诱导未成年人实施上述行为。

 

(二)网络游戏

 

《未保法》第七十五条第一款要求网络游戏经依法审批后方可运营。教育部等六部委在《关于进一步加强预防中小学生沉迷网络游戏管理工作的通知》(以下简称“《中小学防防沉迷通知》”)对于内容审核要求进行了强化,要求严格执行网络游戏前置审批制度,未经批准的游戏,不得上线运营。

 

《未保法》第七十五条第二款要求对游戏产品进行分类,作出适龄提示。《未保条例(征求意见稿)》第五十四条第二款对此进一步细化,要求根据不同年龄阶段未成年人身心发展特点,通过评估游戏产品的类型、内容与功能等要素,对游戏产品进行分类,明确游戏产品所适合的未成年人用户年龄阶段,并在用户下载、注册、登录界面等位置显著提示。

 

《未保条例(征求意见稿)》第五十三条要求未成年人用户提供真实身份信息进行注册和登录使用,并通过国家建立的统一未成年人网络游戏电子身份认证系统等必要手段验证其真实身份信息。国家新闻出版署在《关于防止未成年人沉迷网络游戏的通知》(以下简称“《防沉迷通知》”)中对于实名要求进行了落实,要求自该通知施行之日起2个月内,须要求已有用户全部完成实名注册,对未完成实名注册的用户停止提供游戏服务,并对游客体验模式的时长进行了限制。国家新闻出版署在《关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》(以下简称“《进一步防沉迷通知》”)中对于该要求进行了进一步压实,禁止了游客体验模式,并在《中小学防沉迷通知》中再次确认了这一禁令。

 

《未保条例(征求意见稿)》第五十四条第一款要求建立、完善预防未成年人沉迷网络游戏的游戏规则,避免未成年人接触可能影响其身心健康的游戏内容或者游戏功能。

 

《未保法》第七十五条第三款对未成年人游戏时段进行了限制,禁止在每日二十二时至次日八时向未成年人提供网络游戏服务。这一限制在《防沉迷通知》中得到了进一步加强,要求向未成年人提供游戏服务的时长,法定节假日每日累计不得超过3小时,其他时间每日累计不得超过1.5小时。而在《进一步防沉迷通知》中这一时段限制进一步强化,仅可在周五、周六、周日和法定节假日每日20时至21时向未成年人提供1小时网络游戏服务,其他时间均不得以任何形式向未成年人提供网络游戏服务,并在《中小学防沉迷通知》中再次确认了这一游戏时段限制。

 

《防沉迷通知》第三条要求规范向未成年人提供付费服务,并提出了细化要求:

  • 限制未成年人使用与其民事行为能力不符的付费服务;

  • 不得为未满8周岁的用户提供游戏付费服务;

  • 同一网络游戏企业所提供的游戏付费服务,8周岁以上未满16周岁的用户,单次充值金额不得超过50元人民币,每月充值金额累计不得超过200元人民币;16周岁以上未满18周岁的用户,单次充值金额不得超过100元人民币,每月充值金额累计不得超过400元人民币。

(三)网络直播

 

《未保法》第七十六条及网信办等七部门《关于加强网络直播规范管理工作的指导意见》(以下简称“《直播管理意见》”)均对账号注册进行限制,禁止为未满十六周岁的未成年人提供网络直播发布者账号注册服务;同时限制为年满十六周岁的未成年人提供网络直播发布者账号注册服务,要求对其身份信息进行认证,并征得其父母或者其他监护人同意。

 

《网络直播营销管理办法(试行)》第十二条要求网络直播营销中包含可能影响未成年人身心健康内容的,直播营销平台应当在信息展示前以显著方式作出提示。《直播管理意见》中基于此进一步细化义务,要求向未成年人用户提供“青少年模式”,屏蔽不利于未成年人健康成长的网络直播内容。

 

《网络直播营销管理办法(试行)》第十七条要求直播营销人员或运营者为自然人的,应当年满十六周岁;十六周岁以上的未成年人申请成为直播营销人员或者直播间运营者的,应当经监护人同意。

 

《直播管理意见》禁止向未成年人提供充值打赏服务,并禁止接受未经其监护人同意的未成年人充值打赏;对未成年人冒用成年人账号打赏的,核查属实后须按规定办理退款。

 

六、公司治理(Governance):大型互联网平台的内部治理义务

 

《个保法》第五十八条规定,“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”,应当:

  • 按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;

  • 遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;

  • 对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;

  • 定期发布个人信息保护社会责任报告,接受社会监督。

这赋予了大型互联网平台在个人信息保护方面的特殊监管、处理和责任报告义务。

 

(一)双层监管监督

 

大型互联网平台承载着海量信息数据,种类多、范围广,不仅涉及敏感个人信息,也有信息触及国家安全;不仅平台本身收集处理信息,依靠平台运营的“产品或服务提供者”也收集处理信息。信息数据的聚集,成为一种无形的高附加值资产,若不加管控,极易对个人权益或国家安全造成重大损害;且一旦损害形成,难以确定致害人。因此,建立合理合规的个人信息保护制度体系,是大型互联网平台保护个人信息的应有之义。该义务的履行,虽然会增加平台运营成本,但会有利于平台的可持续发展,更有利于市场主体间的平等竞争,特别是有利于保障个人信息权益。

 

《个保法》第五十八条第一款规定了大型互联网平台的强制义务,要求“按照国家规定建立健全个人信息保护合规制度体系”。这既强调了大型互联网平台建立健全个人信息保护合规机制的强制性,又为大型互联网平台建立个人信息保护合规机制的标准提供了指引,即“按照国家规定”建立合规制度体系。据此,大型互联网平台需按照国家规定设立个人信息保护制度体系,并报国家相关责任部门审核通过后,方可按照该制度体系合理合规运行。国家层面的监管使得平台运行于法有据,个人信息得以有效保护。另外,为保障平台内部运营管理的合规性,平台应成立外部成员组成的独立监督机构,以避免平台个人信息保护制度体系流于形式。

 

立法确立的国家和社会双层监管监督,最大限度上保障大型互联网平台内部信息保护体系制度合规运行。该条款务实有效,可操作性强,一方面,为平台运营提供了规范指引;另一方面,为个人信息保护提供了合理预期。

 

(二)规范源头服务

 

从规制层面上来看,《个保法》第五十八条第一款,规定了国家对平台本身的规制,未对利用平台资源提供信息或服务的信息处理者作明确规定。这主要有两方面原因:一是,各类平台以及各类平台使用者之间种类不尽相同,对其信息处理行为的规制,不仅会占用乃至浪费大量立法司法资源,而且由于技术发展以及新兴情况的出现,可能会出现立法漏洞和滞后性,反而不利于个人信息保护;二是,对平台内信息处理者的规制义务交由平台承担,符合信息对称和风险防控原则,更有利于平台内部规制的效率,可有效从源头上控制信息处理的非法行为。

 

因此,《个保法》第五十八条第二款,在确定平台对其平台内信息处理者的约束义务方面,提出了对平台的规制要求。平台需要基于公平、公开、公正的原则,制订相关规则,不得利用规则针对平台内商家展开不正当竞争行为,更不得制定隐秘或含糊不清的规则以逃避义务,致使平台内个人信息保护措施得不到有效落实。依照该款,平台应遵守的合规要求不仅包括平台内信息处理者处理信息的规范,还包括其保护个人信息的义务;平台应对平台内服务者予以约束,以期从源头上杜绝个人信息被违法处理或使用,从而确保个人信息权益不在平台上各产品或服务中被侵犯,实现个人信息保护的良好法律预期。

 

(三)平台内部监管

 

大型互联网平台作为民事主体,其与平台上的产品和服务提供者处于平等地位,两者之间基于合同形成平等且相对应的民事法律关系,但由于大型互联网平台的基础信息数据量巨大,占据重要的关键位置,对个人信息处理乃至平台内各服务和产品提供者都有着强大的控制力和支配力。在此基础上,平台对违背相关法律法规的行为进行处罚,或是限制其权利的行为,可能导致违约,进而引发纠纷。然而,如果存在通过平台经营产品或服务的提供者违规经营、侵犯个人信息权益,此种情况若由国家执法层面直接给予处罚,往往会因信息不对称,导致证据收集困难,发现问题滞后,影响个人信息保护。

 

基于此,《个保法》第五十八条第三款明确规定了大型互联网平台对其内部的产品或服务的规制义务。由此,国家赋予大型互联网平台监督和规制其平台内产品或服务的权利的同时,也赋予了其义务,使其可以对内部产品或服务提供者暂停服务。平台据此监管或处罚其内部产品或服务于法有据,相关产品或服务者也因此不得基于违约请求令平台承担责任,避免了因平台规制而引发内部纠纷。

 

(四)重视社会责任

 

作为市场主体的企业,承担社会责任是其应尽的义务;大型互联网平台的企业社会责任更是不可或缺的。当今互联网技术飞速发展,数字经济的蓬勃发展促进了新增市场主体的快速增长,创造了大量的就业岗位,成为保就业、保民生、保市场主体的重要渠道。这使得弱势群体的个人信息保护成了当前迫在眉睫的问题。因此,大型互联网平台有义务在保护个人信息方面承担更重要的责任。

 

大型互联网平台使用和存储海量的个人信息,与每个人的自身权益息息相关。因此,平台企业依法健全个人信息保护制度,提高对个人信息的保护力度,采取适当保护方法、提高保护效果,是其履行社会责任的重要内容之一。平台通过准确和及时的ESG报告,向社会公布其社会责任履行情况,可以让个人实时知晓个人信息被处理的情况,感知个人信息安全性。同时,这也有利于社会力量的及时介入监督,以此对平台信息处理行为和内部规章制度等相关个人信息保护措施进行再约束。

 

结语

 

《未保条例(征求意见稿)》为ESG下未成年人保护的细分领域带来了细化的指引,但目前的法律文本与企业实践中仍存在一些问题,需要进一步的立法、监管与行业动态提供回答,例如:不构成大型互联网平台的企业如何在公司治理(Governance)的过程中融入未成年人保护的合规要求?企业如何在履行社会责任(Social)时,与学校及监护人合作开展未成年人保护?企业、学校、家长以及其他社会机构之间如何对齐网络欺凌、不良行为等概念的认知与定义?企业、行业机构与监管部门能否建立沟通渠道,以确保企业能够在成本可控的前提下了解对于未成年人保护规则的解释与行业最佳实践?

 

在未成年人保护之外,从ESG领域的整体视角来看,满足ESG标准、履行社会责任不仅是短期逐利的简单工具,而是基于长期主义的视野,促进企业与社会、企业与市场、企业与群体的良性互动、互利共生,推动社会经济稳定繁荣,为企业的长期发展提供良好的背景基础。法规既具,企业在ESG欣欣向荣的背景下需要时刻关注包括未成年人保护在内的细分领域的立法、司法、监管动态及行业最佳实践,与合规发展的潮头对齐水位,在确保企业满足规避风险的合规基线之上,基于自身的领先实践不断推进相关领域规则的落地,建立企业在社会声誉、市场拓展、用户信任等方面的“护城河”,在市场竞争中构建有利于社会发展、各方共赢的整体趋势。