您的位置 : 环球研究 / 环球评论 / 新闻详情
弄尘复斗草,蓑衣卧月明——企业合规视角下的《未成年人网络保护条例》解读
2023年10月26日孟洁 | 戴畅 | 鲁裕鑫

引言

 

随着互联网技术的飞速发展,网络空间已经成为未成年人生活、学习和社交的重要平台。然而,网络的便利性和开放性同时也带来了诸多问题,比如不良信息的传播、网络欺凌和游戏成瘾等,严重威胁到未成年人的身心健康和个人安全。为了进一步细化现行法律法规中对于未成年人网络保护的要求,在历经7年共3次征求意见之后,《未成年人网络保护条例》正式稿(以下简称“《条例》”)终于2023年10月24日公布,并将于2024年1月1日起正式施行。

 

《条例》共7章60条,在原先国家互联网信息办公室(以下简称“网信办”)于2022年3月14日发布的《未成年人网络保护条例(征求意见稿)》(以下简称“《条例(三次意见稿)》”)的基础上,强调学校、监护人网络素养教育责任、提出“具有显著影响的网络平台服务提供者”概念、要求网络产品和服务提供者建立健全网络欺凌行为的预警预防、识别监测和处置机制、细化了保障未成年人信息主体权利的义务、调整了部分合规义务法律责任等(《条例》具体更新内容可参考附件)。

 

《条例》内容包括了未成年人的网络素养促进、网络信息内容规范、个人信息网络保护、网络沉迷防治四大主题,并且强化了对网络服务提供者,特别是平台服务提供者的义务要求,同时系统性地明确了未成年人网络保护的监管主体、监管对象、规制主体及其相应义务。随着《条例》正式发布并开始实施,它将成为我国第一部专门针对未成年人网络空间保护方面较为全面的行政法规,为各方共同践行未成年人网络保护合规义务作出指引。在本文中,我们将从企业合规视角对《条例》进行解读,并从实践角度提出更多可实操的落地建议。

 

一、《条例》主要特点概览

 

(一)监管主体的广泛性

 

本次《条例》提出构建由国家网信部门统筹协调,国家、地方两级联动,国家新闻出版、电影部门和国务院教育、电信、公安、民政、文化和旅游、卫生健康、市场监督管理、广播电视等等各个相关部门各司其职的监管体系,并明确了地方政府的监管职责要求,丰富了整体监管体系责任部门,切实保障未成年人网络保护工作。

 

此外,《条例》总则部分针对共产主义青年团、妇女联合会、工会人民团体、有关社会组织、基层群众性自治组织协助做好未成年人网络保护工作作出了规定。并且,要求各级监管机关、家庭学校、社会各界能够针对未成年人网络保护工作共同发力,营造出国家机关负责、社会组织协助、家庭学校预防和干预的未成年人网络保护氛围,以达到《条例》第二条提出的“社会共治”效果。

 

图片

 

(二)被规制主体的多样性

 

本次《条例》在《条例(三次意见稿)》的基础上,在第五条中删除了“其他教育机构”这一被规制主体,对于被规制主体的范围进行了明确。除“个人信息处理者”“网络产品和服务提供者”[1]“智能终端产品制造者和销售者”等未成年人网络活动的主要提供方外,被规制主体还包括学校、社区、图书馆、文化馆、青少年宫、未成年人的监护人、新闻媒体等组织。上述主体需要根据自己所承担的角色和身份履行不同的义务。

 

(三)法律责任的严苛性

 

《条例》第六章区分了不同的被规制主体,设定了违规时的法律责任,采取了“双罚制”模式:

  • 对单位:责令改正、给予警告、罚款、没收违法所得(如有)、暂停相关业务、停业整顿、吊销证照等处罚;
  • 对企业直接负责的主管人员和其他直接责任人员:罚款、从业禁止等处罚。

《条例》还针对部分情节严重的违法行为规定了5年的市场禁入限制。例如,当网络产品和服务提供者违反特定条款时,则会被要求5年内不得重新申请相关许可,其直接负责的主管人员和其他直接责任人员5年内亦不得从事同类网络产品和服务业务。

 

值得注意的是,《条例》在《条例(三次意见稿)》的基础上,增加了对于地方各级人民政府、县级以上部门、学校、社区、图书馆、文化馆、青少年宫等组织负有责任的领导人员的处分规定。

 

并且,相比于《条例(三次意见稿)》,《条例》调整了智能终端产品制造者、网络平台服务提供者等互联网企业的法律责任,例如第五十三条,针对《条例》第十九条第三款中规定的智能终端产品制造者以及智能终端产品销售者对于未成年人网络保护软件的安装或告知义务,法律责任由原先的最高违法所得10倍以上罚款变更为最高50万元罚款。[2]

 

此外,本次《条例》强调个人信息保护,针对未成年人个人信息访问最小授权原则以及未成年人私密信息的保护,提高了对应法律责任,由原先的最高100万元罚款变更为最高违法所得10倍以上罚款,并对拒不改正或情节严重的,责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。[3]

 

从上述概要可以看出,《条例》梳理了未成年人网络空间治理与净化相关的主体义务,要求社会各方共同努力,共担责任。其中,互联网企业作为网络产品和服务的主要提供方,在未成年人网络空间治理方面也有较为急迫的保护义务需要履行,故我们以厘清互联网企业开展未成年人网络保护的合规基线与工作准备为视角,进行解读与分析。

 

考虑到未成年人作为社会的未来,对于社会的重要价值,在网络社会中是否能够保护未成年人的合法权益作为企业的社会责任,势必也将成为中国企业ESG评级体系下的S——即社会责任(Social)——要素中的重要评价指标;而企业为了落实复杂且细化的未成年人保护义务,同样会转向ESG评级体系下的G——即公司治理(Governance)——以寻求合规组织运转效率提升、合规治理质量升级的重要目标。

 

在《条例》中,监管部门从网络素养促进、信息内容规范、个人信息网络保护、网络沉迷防治这四个方面为相关行业企业提出了合规要求,并提出“具有显著影响的网络平台服务提供者”概念,明确了大型互联网平台企业的内部合规治理要求——其中,四项合规要求主要对应了社会责任(Social)要素,而大型互联网平台的内部治理要求则主要对应了公司治理(Governance)要素。以下我们将结合ESG评级体系中的参考指标对《条例》涉及的企业合规义务进行进一步拆解分析。

 

二、社会责任(Social)①:未成年人网络素养促进的义务

 

《2020年全国未成年人互联网使用情况研究报告》显示,“我国未成年人互联网普及率已高达94.9%”,[4]未成年人的网络素养不仅对其身心发展至关重要,也对国家和民族的未来有重大意义。由于未成年人处于心智尚未发展成熟的阶段,容易受到不良网络信息的影响,面对个人信息泄露、网络沉迷、网络暴力等风险,提高未成年人识别不良网络信息的能力,确保未成年人更好地使用互联网工具至关重要,这需要社会各方长期的教育和引导。

 

《条例》重点规定了针对未成年人上网保护软件、专门供未成年人使用的智能终端产品的规制要求,以及具有显著影响的网络平台服务提供者的相关合规义务。

 

(一)针对未成年人上网保护软件、智能终端产品制造者、销售者的合规义务

 

2022年3·15晚会曝光了部分生产儿童手表的厂商,其为控制成本,安装的老旧低版本操作系统无法通过弹窗告知用户并获得用户授权同意,存在恶意程序索取权限的行为。该恶意程序通过调用手表的定位、麦克风、摄像头、通讯录权限,获取手表使用者的位置、人脸图像、声音等个人信息,很容易造成儿童个人信息的泄露。

 

针对此类问题,《未成年人保护法》第六十九条第二款[5]规定了智能终端产品的制造者、销售者应在产品上安装未成年人网络保护软件,或者以显著方式告知用户有关未成年人网络保护软件的安装渠道和方法。

 

《条例》对上述要求进行了细化:

 

  1. 智能终端产品制造者应当在产品出厂前安装未成年人网络保护软件,或者采用显著方式告知用户安装渠道和方法。
  2. 智能终端产品销售者在产品销售前应当采用显著方式告知用户安装未成年人网络保护软件的情况以及安装渠道和方法。这是因为通常在销售场景中鲜少涉及由销售者安装未成年人网络保护软件的情形,所以智能终端产品销售者主要承担的是告知用户关于安装情况、安装渠道和方法的义务。

 

此外,《条例》第十九条第一款提出“未成年人上网保护软件、专门供未成年人使用的智能终端产品”应具备有效识别违法信息和可能影响未成年人身心健康的信息、保护未成年人个人信息权益、预防未成年人沉迷网络、便于监护人履行监护职责等功能。因此,我们建议相关企业关注此条要点,能在产品开发之初将合规义务融入到产品中。

 

再者,《条例》还明确规定“国家网信部门及国务院有关部门”有工作需要时,应明确软件及智能终端产品的技术标准或要求,并指导监督网络相关行业组织按照有关技术标准和要求进行评估。相关技术标准或要求如,《信息安全技术 未成年人移动终端保护产品测评准则(GA/T 1537-2018)》《未成年人互联网不健康内容分类与代码》等标准已发布,《信息技术 网络游戏未成年人 监护系统技术要求》《智能移动终端未成年人保护通用规范》等标准也已经在制定过程中。建议产业链上的相关企业应持续关注国家相应标准或规范性文件的出台动态。

 

(二)针对具有显著影响的网络平台服务提供者的合规义务

 

为推进互联网平台治理,《条例》融入了未成年人网络保护的特定场景。参考《个人信息保护法》第五十八条,[6]《条例》第二十条中增加“未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者”的相关义务。对于何为“具有显著影响的网络平台服务提供者”,《条例》暂未给出明确定义,但明确该主体的具体认定办法,由国家网信部门会同有关部门另行制定。建议企业密切关注相关规定的发布。

 

企业也可以参考《互联网平台分类分级指南》《互联网平台落实主体责任指南》的相关规定来判断自身是否可能被认定为具有显著影响的网络平台服务提供者。如果后续有相关文件对上述概念进一步澄清,则企业需要密切关注当前结论是否需要更新。

 

比照《个人信息保护法》第五十八条[7],我们对《条例》在《个人信息保护法》基础上新增义务进行如下提示:

  • 在平台服务设计、研发阶段,应充分考虑未成年人身心健康发展的特点,定期开展未成年人网络保护影响评估(新增);
  • 应建立健全未成年人网络保护合规制度体系,成立主要由外部成员组成的独立监督机构,对未成年人网络保护情况进行监督;
  • 应提供未成年人模式或未成年人专区等产品或服务(新增);[8]
  • 如发现存在违反法律、行政法规严重侵害未成年人身心健康或者侵犯未成年人其他合法权益的平台内的产品或者服务提供者,应对其停止提供服务;
  • 应以显著方式提示未成年人用户享有的网络保护权利和遭受网络侵害后的救济途径(新增);
  • 每年(新增)应发布个人信息保护社会责任报告,并接受社会监督。

针对上述合规义务中涉及的“独立监督机构”,我们提醒企业注意《信息安全技术 大型互联网企业内设个人信息保护监督机构要求(征求意见稿)》已经在征求意见稿阶段,相关的监管机构指引文件也会陆续发布,建立相应的外部监督机构已经逐步成为企业的法定义务。

 

(三)实践案例

 

经调研,我们看到,不少互联网企业已经开始从网络素养促进入手,专门为未成年人提供网络保护产品或服务。如在2021年,某互联网短视频平台发布“护苗行动计划”,通过升级未成年人保护工具、上线青少年小程序等举措,对未成年人保护进行宣传(如图1)。[9]2022年,某互联网短视频平台升级扶持青少年内容创作者的“萌知计划”,为青少年提供优质的专属内容,以良善科技陪伴孩子健康成长(如图2)。2023年,某互联网短视频平台发布“青少年科普创作计划”鼓励青少年创作优质科普内容(如图3)。

 

图片

 

部分互联网企业已经根据现行法律法规,对规范网络信息内容作出了探索,根据未成年人心理特点、行为模式专门设置了青少年模式。譬如开启某互联网通讯平台推出的青少年模式(如图4)后,将限制未成年人访问视频号、公众号、摇一摇、直播和附近、游戏等部分功能。2021年10月,该平台上线了“青少年模式监护人授权”功能,启用该功能后,未成年人若需要访问公众号文章、小程序、链接以及延长视频号使用时长时,则需要远程申请监护人授权。监护人可以通过个人账号远程对申请进行授权操作,防止未成年人受到不健康网络内容的侵害,沉迷网络。通过上线“青少年模式监护人授权”功能,企业既延伸了监护人的保护方式和保护范围,得以履行保护未成年人的义务,又降低了企业自身的合规风险。

 

图片

图4

 

三、社会责任(Social)②:未成年人网络信息内容规范义务

 

暴露在充斥着不良网络信息内容中,未成年人的身心健康会造成极大的损害。在2023年6月启动的“清朗·2023年暑期未成年人网络环境整治”专项整治中,网信办集中整治诱导未成年人不良行为问题,督促短视频等平台,对创作者加强教育引导,对违规账号依法依约采取禁言、关闭、取消直播权限等措施,截至2023年8月29日累计处置违规账号4700余个。[10]2023年9月,某社交平台存在大量色情等违法信息,危害未成年人身心健康问题,经相关部门约谈该涉案企业负责人后,实施行政处罚,责令暂停该版块信息更新30日,没收违法所得并处100万元罚款。[11]

 

互联网信息服务一般性禁止规定的基础是《互联网信息服务管理办法》第十五条项下规定的“九不准”[12]。《条例》在“九不准”的基础上,在第二十三条增添了针对“可能引发或者诱导未成年人模仿不安全行为、实施违反社会公德行为、产生极端情绪、养成不良嗜好等可能影响未成年人身心健康的信息”的显著提示义务。

 

此外,《条例》在《条例(三次意见稿)》的基础上,明确了“危害未成年人身心健康内容的网络信息”,即“宣扬淫秽、色情、暴力、邪教、迷信、赌博、引诱自残自杀、恐怖主义、分裂主义、极端主义”等内容。建议企业应当密切关注相关法律文件、标准,第一时间做好合规工作,遵守并履行以下相关义务。

 

(一)禁止一般网络产品和服务提供者出现下述行为及内容

 


(二)专门禁止“在线教育”网络产品和服务提供者以下操作

 

《条例》在《条例(三次意见稿)》的基础上,强调为未成年人提供“在线教育”网络产品和服务的运营者,应当按照法律、行政法规和国家有关规定,根据不同年龄阶段未成年人身心发展特点和认知能力提供相应的产品和服务。此外,《条例》第二十四条规定:

  • 不得在首页首屏、弹窗、热搜等处于产品或者服务醒目位置、易引起用户关注的重点环节呈现可能影响未成年人身心健康的信息;

  • 不得通过自动化决策方式向未成年人进行商业营销。

上述禁止性行为曾是导致未成年人身心健康受影响的恶源。2021年10月发布的《关于进一步加强预防中小学生沉迷网络游戏管理工作的通知》(以下简称“《预防沉迷网络游戏通知》”)明确规定,网信、市场监管部门对发布不良网络游戏信息、插入网络游戏链接、推送网络游戏广告的中小学在线教育网络平台和产品,要按有关规定及时进行处罚或关停。

 

(三)网络产品和服务提供者应当遵守的三类特殊义务

 

基于《未成年人保护法》第七十四、七十七和八十条,以及《网络安全法》第四十七条,《条例》还特别规定了网络产品和服务提供者的以下四类特殊义务:

 

1. 网络产品和服务应对特定内容进行显著提示

 

《条例》第二十三条规定制作、复制、发布、传播信息的组织和个人对“可能影响未成年人身心健康”的信息负有显著提示的义务。建议企业应结合《互联网信息服务管理办法》《网络信息内容生态治理规定》等相关规定,禁止制作、复制、发布含十类违法信息、九类不良信息以及法律、行政法规禁止的其他内容。

 

 

2. 应制止网络欺凌

 

《未成年人保护法》第七十七条定义的网络欺凌行为是指通过网络以文字、图片、音视频等形式,对未成年人实施侮辱、诽谤、威胁或者恶意损害形象等行为。并且,将编造未成年人的负面新闻、丑化和攻击他人,并引来网友围观、起哄、谩骂等行为都归入网络欺凌的通常形式[13]。网络欺凌会对受害者产生极大伤害,在某些极端情况下,甚至会导致自杀。例如广东陆丰女高中生琪琪因被怀疑偷拿商品,在店主公开发帖后遭到“人肉搜索”导致个人信息曝光,受到辱骂,并在事发后第二天跳河自杀身亡。[14]此外,网信办于今年7月7日发布《网络暴力信息治理规定(征求意见稿)》强化网络暴力信息治理(具体解读可参见我们此前发布的《防于未然、止于微末——〈网络暴力信息治理规定(征求意见稿)〉解读》)。针对未成年人方面保护,与《网络暴力信息治理规定(征求意见稿)》同频,《条例》将原《条例(三次意见稿)》中网络产品和服务提供者接到通知后,事后“采取必要措施制止网络欺凌行为”,修改为事前“建立健全网络欺凌行为的预警预防、识别监测和处置机制”,通过设置便利未成年人及其监护人保存记录、行使通知权利、提供便利的防护选项等方式,屏蔽、禁止信息向本人发送,防止网络欺凌行为的发生。在《未成年人保护法》基础上明确了网络产品和服务提供者防止网络欺凌的行为的具体义务,此外,本次《条例》还综合人工智能、大数据等技术手段的应用,要求网络产品和服务提供者“建立健全网络欺凌信息特征库,优化相关算法模型,采用人工智能、大数据等技术手段和人工审核相结合的方式加强对网络欺凌信息的识别监测”。

 

3. 应对不当内容予以处置

 

与《网络安全法》《互联网信息服务管理办法》《互联网视听节目服务管理规定》等相关法律法规规定类似,《条例》第二十九条规定了网络产品和服务提供者针对不当内容进行处置的义务,例如加强对其用户发布的信息的管理,防范不当内容的发布与传播。但目前没有专门法律法规规定具体的信息管理方式,企业可以参考《网络信息内容生态治理规定》第九条的规定,健全用户注册、账号管理、信息发布审核、跟帖评论审核、版面页面生态管理、实时巡查、应急处置和网络谣言、黑色产业链信息处置等制度,设立网络信息内容生态治理负责人,配备专业人员等,完善对用户发布信息的管理。在实践中,为尽早发现不当内容的发布,企业也可以利用算法过滤、人工审核、投诉处理、抽查复审等方式,依法采取“先审后发”或“先发后审”的方式进行不良内容的审核与过滤。

 

值得注意的是,本次《条例》在原《条例(三次意见稿)》的基础上,新增了网络产品和服务提供者对制作、复制、发布、传播上述不当内容的用户的处置权利,并列举了具体的处置措施,包括警示、限制功能、暂停服务、关闭账号等。为实践中企业对于不当内容管理提供了切实可行的方案。

 

(四)实践案例

 

对于网络信息内容规范,部分互联网企业也开始进行有益尝试,比如部分可供用户发布短视频的移动应用软件,明确其将采取严格的管理办法,杜绝发布和传播包含法律法规禁止发布和传播的内容,并在青少年模式开启时将展示精选适宜未成年人观看的内容,如教育类、知识类内容(如图5)。

 

图片

图5

 

四、社会责任(Social)③:未成年人个人信息网络保护义务

 

近年来,互联网上时常发生儿童个人信息泄露事件[15],应对此类情况,《个人信息保护法》明确“不满十四周岁未成年人的个人信息”属于“敏感个人信息”,并规定个人信息处理者处理此类个人信息的,应当取得未成年人的父母或者其他监护人的同意,且应当制定专门的个人信息处理规则。同时《未成年人保护法》也对保护未成年个人信息作出了相应规定,如规定了网络游戏服务提供者、网络直播服务提供者的真实身份信息认证义务;不得为未满16周岁的未成年人提供相关服务;限制保护未成年人私密信息的发布等义务[16]。此外,《儿童个人信息网络保护规定》作为我国第一部个人信息保护方面的成文部门规章,专门规定了保护儿童(不满14周岁)个人信息权益,但在《条例》出台以前我国缺乏对于保护14-18周岁未成年人个人信息的实施细则,《条例》针对未成年人(不满18周岁)个人信息保护做出规定,能够对此立法缺位起到有效补充作用。《条例》在原《条例(三次意见稿)》的基础上,删减了与《个人信息保护法》相重复的规定,同时重点细化了保障未成年人信息主体权利的义务,在未成年人个人信息保护方面共设立了八条具体条文,根据相应的个人信息处理场景明确了互联网企业合规义务:

 

(一)用户身份与年龄核验

 

在《未成年人保护法》第七十五、七十六条规定网络游戏服务提供者、网络直播服务提供者须履行用户真实身份核验义务基础上,《条例》增加了向未成年人提供信息发布、即时通讯等服务的网络服务提供者,应当依法验证未成年人或者其监护人的真实身份信息。相比《条例(三次意见稿)》,《条例》删除了“在提供服务时”提供真实身份信息的时间要求,强调“依法”要求未成年人或者其监护人提供未成年人真实身份信息,不提供的,网络服务提供者不得为未成年人提供相关服务。

 

此外,针对网络直播服务提供者,《条例》删除了《条例(三次意见稿)》中“不得为未满十六周岁的未成年人提供网络直播发布者账号注册服务”等规定,强调建立用户真实身份动态核验机制的义务。根据“最小必要原则”,目前相关法律法规并不鼓励互联网产品或服务提供者获取过多的用户个人身份信息,特别是实名认证时涉及到的身份证、人脸识别信息等敏感个人信息。但是,在游戏、直播等场景下,实行实名认证又具有必要性。监管部门虽然反复要求平台服务提供者对现有的“青少年防沉迷系统”进行升级改造,但未成年人依然有办法通过利用成年人的身份信息、第三方账号、使用租赁手机注册账号等方式避开防沉迷系统监控,登录游戏、直播平台。实名制认证可以在一定程度上堵截上述漏洞,现有规定也对此做出了相应的要求,如《关于防止未成年人沉迷网络游戏的通知》明确要求网络游戏用户账号须进行实名制注册;《网络表演经营活动管理办法》规定网络表演经营单位应当要求表演者使用有效身份证件进行实名注册,并采取面谈、录制通话视频等有效方式进行核实;《关于加强网络直播服务管理工作的通知》明确各网络直播服务提供者应按照要求落实用户实名制度。

 

最后,2023年8月9日发布征求意见的国家标准《信息安全技术 敏感个人信息处理安全要求(征求意见稿)》(以下简称“《敏感个人信息要求(征求意见稿)》”)在其第7.7.4条中要求处理不满十四周岁未成年人的个人信息的活动在全场景下进行身份与年龄核验,并对核验流程进一步细化——个人信息处理者:

  • 应采取合理技术措施核验个人信息主体的年龄,确认个人信息主体是否为不满十四周岁未成年人;

  • 当核验个人信息主体的身份为不满十四周岁未成年人时,宜继续采取合理措施核验监护人的身份;

  • 确认核验的方式时,宜充分考虑不同的产品或服务在受众群体上的本质差异,对于不同的产品或服务宜采取不同强度的核验方式——低强度核验方式要求未成年人自主填写其年龄,中强度核验方式要求未成年人提供其身份证照片或姓名及身份证号码以判断其年龄,高强度核验方式通过身份证照片及人脸识别共同判断其年龄;

  • 核验监护人身份的流程和方式宜采取短信验证、电话验证、视频验证、邮箱验证、书面确认等合理措施进行。

(二)私密信息的保护义务

 

《条例》对《未成年人保护法》下网络服务提供者私密信息保护义务的条款进行了细化,即规定当网络服务提供者发现涉及未成年人私密信息时,应当及时提示,并采取停止传输的措施,以防止信息扩散。并在原《条例(三次意见稿)》的基础上,新增“网络服务提供者通过未成年人私密信息发现未成年人可能遭受侵害的,应当立即采取必要措施保存有关记录,并向公安机关报告”的义务。但《条例》并未对“私密信息”的范围作出说明。但我们发现在《民法典》对隐私(私密信息)做出的界定中,也使用了“私密信息”的概念,即隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。通常情况下,除隐私以外的个人信息,适用个人信息保护相关的规定。[17]《条例》在此似乎采用了《民法典》[18]中的对于私密信息的认定,但对于私密信息的内涵与外延,根据现有规定难以做出具体的判断,我们期待最终稿时可以厘清或者将来由相关下位法或者指南作出进一步解释。

 

(三)个人信息处理的义务

 

《条例》删除《条例(三次意见稿)》中同意、处理敏感个人信息、向他人提供未成年人个人信息等与《个人信息保护法》相关内容一致的规定;同时依照《个人信息保护法》对于其保障未成年人信息主体权利的义务进行细化。

 

值得注意的是,在《个人信息保护法》的基础上,《条例》进一步强化了互联网产品和服务提供者作为个人信息处理者时的义务,体现出对未成年人个人信息的增强保护:

  • 发生未成年人个人信息泄露时,应当立即启动个人信息安全事件应急预案,采取以下告知方式:邮件、信函、电话、信息推送等方式,难以逐一告知的,应当采取合理、有效的方式及时发布相关警示信息;

  • 对内部工作人员应当以最小授权为原则,严格设定信息访问权限,控制未成年人个人信息的知悉范围,设立相应的访问审批、记录机制,并采取相应的技术措施,避免违法处理未成年人个人信息;

  • 每年应对所处理的未成年人个人信息进行合规审计,并将审计情况及时报告网信等部门。

此外,《个人信息保护法》第三十一条要求个人信息处理者处理儿童个人信息的,应当制定专门的个人信息处理规则。《条例》正式发布版本则删除了《条例(三次意见稿)》对该方面的规定,应当按照《个人信息保护法》上位法的规定履行义务。而《敏感个人信息要求(征求意见稿)》第7.7.2条则进一步要求该等专门的个人信息处理规则应至少告知以下内容:

  • 未成年人个人信息处理的目的、方式、范围,处理的必要性;

  • 未成年人个人信息存储的地点、期限及到期后的处理方式;

  • 对未成年人个人信息采取的安全保障措施;

  • 未成年人的监护人投诉、举报的渠道和方式;

  • 未成年人的监护人查询、复制、更正、删除信息、撤回同意、注销账户等的途径和方法;

  • 未成年人的监护人拒绝个人信息处理规则的后果;

  • 专门的个人信息处理规则中以上告知事项发生实质性变化的,应再次征得未成年人的监护人的同意。

(四)实践案例

 

根据调研,不少互联网平台虽然在隐私政策的文字上区分了成年人和未成年人用户,但实际上落实年龄验证机制的很少。部分平台履行实名认证也仅是因为履行国家关于游戏/直播业务有此强制义务;有的平台虽设有验证年龄的机制,但实际可以可自由设置年龄,验证机制形同虚设。但另一方面,我们也应当看到已有多家互联网游戏平台、直播平台、即时通讯软件平台,在未成年人实名认证的实现方式上进行着探索,尝试更为有效的实名认证机制。

 

如某互联网游戏设置实名注册和防沉迷系统,通过微信扫码认证形式,联动微信完成实名认证(如图6)。

 

图片

图6

 

某互联网视频平台规定未成年人不能开通直播间服务,其实名认证的方式是露脸手持身份证正反面照片完成实名认证(如图7)。

 

图片

图7


某通讯类软件在“钱包”中需通过填写姓名、性别、身份证号码等基础信息来进行实名认证。未通过实名认证的,通过该软件付款或者收钱、使用零钱发红包等功能可能会受到限制(如图8)。

 

图片

图8


某游戏平台中,在首次注册时,用户需要通过填写真实姓名及身份证号码进行实名认证。身份证号码作为系统验证用户是否已年满18岁的依据。如经系统认定用户未满18岁,则该用户的账号将会被纳入防沉迷系统。同时,为防止未成年人使用家长的身份证号码进行实名验证,家长可以在平台上查询自己的身份证是否已被用于登记防沉迷信息(如图9)。

 

图片

图9

 

此外,近年来由于检察机关也可以综合运用民事公益诉讼和行政公益诉讼职能,对网络侵犯未成年人个人信息权益的情形进行监督。如最高检于2022年3月发布指导性案例中关于保护未成年人网络信息权益的案例:对于北京某公司运营的短视频App[19]在收集、存储、使用儿童个人信息过程中,未遵循正当必要、知情同意、目的明确、安全保障、依法利用原则的行为,2020年9月余杭区人民检察院以民事公益诉讼案件立案;2021年10月,北京市检察院以行政公益诉讼立案,向北京市网信办提出履行监管职责,推动完善儿童个人信息权益网络保护的特殊条款的相关建议。此后,北京市网信办约谈了该公司,要求其严格落实保护儿童个人信息权益的责任,并制定了《关于开展未成年人信息安全保护专项整治的工作方案》,压实直播和短视频平台主体责任。随着《条例》的出台,各方未成年人个人信息保护的主体责任将被细化,为保护未成年人权益提供了进一步法律基础。

 

五、社会责任(Social)④:未成年人网络沉迷防治的义务

 

近年来,未成年沉迷游戏和“天价充值打赏”造成不良影响的案件也屡见不鲜。如黑猫投诉平台上,2021年中与未成年人消费相关投诉超2.6万条[20];2020年,11岁男童“模仿游戏中‘飞’和‘复活’场景”带着9岁妹妹从4楼跳下,造成重伤;[21]2021年5月,某未成年人因沉迷于网络直播,在70天的时间,将父母的158万积蓄全部打赏给一名主播。未成年人自控能力差,容易对网络产生依赖心理,网络沉迷不仅会占用大量时间、消耗金钱,还容易引起未成年人角色定位混乱,甚至诱发犯罪行为,因此杜绝网络沉迷刻不容缓。此前,为防止未成年人网络沉迷,2021年,文化和旅游部[22]、国家新闻出版署[23]、国务院未成年人保护工作领导小组[24],先后发布意见或通知,提出要“推动建立统一的未成年人网络游戏电子身份认证系统”,要求“所有网络游戏必须接入国家新闻出版署网络游戏防沉迷实名验证系统”,“督促网络文化市场主体提高识别未实名认证未成年人用户账号能力”。前文提及的《预防沉迷网络游戏通知》中明确规定,网信、市场监管部门将按有关规定对发布不良网络游戏信息、插入网络游戏链接、推送网络游戏广告的中小学在线教育网络平台和产品,及时进行处罚或关停。

 

(一)网络沉迷防治的一般性义务

 

对未成年人防治网络沉迷是本次《条例》着重拓展的部分。在网络产品与服务提供者层面,《条例》第四十九条不再局限于《未成年人保护法》中粗略的“不得向未成年人提供诱导其沉迷的产品和服务”义务,提出网络产品和服务提供者应当建立健全防沉迷制度,及时修改可能造成未成年人沉迷的内容、功能和规则,并在《条例(三次意见稿)》基础上将原先的“定期”向社会公布,明确为“每年”向社会公布防沉迷工作情况,接受社会监督。

 

此外,《条例》细化了互联网企业应履行的网络沉迷防治义务,在《条例(三次意见稿)》的基础上强调针对不同年龄阶段未成年人履行如下合规义务:

  • 对不同年龄阶段未成年人在使用网络产品和服务中的单次消费数额和单日累计消费数额明确进行限制,并要求网络产品和服务提供者不得向未成年人提供与其民事行为能力不符的付费服务。强调网络产品和服务提供者应当防范和抵制流量至上等不良价值倾向,不得设置以应援集资、投票打榜、刷量控评等为主题的网络社区、群组、话题,不得诱导未成年人参与上述行为,并预防和制止其用户诱导未成年人实施上述行为。

  • 对网络游戏服务提供者落实适龄提示提出了具体的落实路径,除上文中提到的实名认证以外,要求网络游戏服务提供者针对不同年龄阶段未成年人身心发展特点和认知能力,通过评估游戏产品的类型、内容与功能等要素,对游戏产品进行分类,明确游戏产品适合的未成年人用户年龄阶段,并在用户下载、注册、登录界面等位置予以显著提示。

  • 新增网络产品和服务提供者不得为其未成年人提供游戏账号租售服务。

  • 新增严禁以虐待、胁迫等侵害未成年人身心健康的方式干预未成年人沉迷网络、侵犯未成年人合法权益。

(二)网络游戏的沉迷防治

 

《未成年人保护法》第七十五条第一款要求网络游戏经依法审批后方可运营。教育部等六部委在《关于进一步加强预防中小学生沉迷网络游戏管理工作的通知》(以下简称“《中小学防防沉迷通知》”)对于内容审核要求进行了强化,要求严格执行网络游戏前置审批制度,未经批准的游戏,不得上线运营。

 

《未成年人保护法》第七十五条第二款要求对游戏产品进行分类,作出适龄提示。《条例》第四十七条第二款对此进一步细化,要求根据不同年龄阶段未成年人身心发展特点,通过评估游戏产品的类型、内容与功能等要素,对游戏产品进行分类,明确游戏产品所适合的未成年人用户年龄阶段,并在用户下载、注册、登录界面等位置显著提示。

 

《未成年人保护法》第七十五条第三款对未成年人游戏时段进行了限制,禁止在每日二十二时至次日八时向未成年人提供网络游戏服务。

 

《条例》第四十六条要求网络游戏服务提供者应当通过统一的未成年人网络游戏电子身份认证系统等必要手段验证未成年人用户真实身份信息。《条例》第四十七条第一款还要求建立、完善预防未成年人沉迷网络游戏的游戏规则,避免未成年人接触可能影响其身心健康的游戏内容或者游戏功能。

 

(三)网络直播的沉迷防治

 

《未成年人保护法》第七十六条及网信办等七部门《关于加强网络直播规范管理工作的指导意见》(以下简称“《直播管理意见》”)均对账号注册进行限制,禁止为未满十六周岁的未成年人提供网络直播发布者账号注册服务;同时限制为年满十六周岁的未成年人提供网络直播发布者账号注册服务,要求对其身份信息进行认证,并征得其父母或者其他监护人同意。此外,《直播管理意见》还禁止向未成年人提供充值打赏服务,并禁止接受未经其监护人同意的未成年人充值打赏;对未成年人冒用成年人账号打赏的,核查属实后须按规定办理退款。

 

《条例》第四十三条至第四十五条系统化的对上述内容均作出了回应,提升了相关规定的法律层级。

 

(四)实践案例

 

网信办早在2019年就开始在部分短视频平台试行“青少年防沉迷系统”,进入青少年模式后,所有网络视频用户使用时段、服务功能、在线时长均受限,只能访问专属内容池。[25]2021年5月根据网信办要求,某短视频平台App实施平台史上最严格的青少年保护措施——14岁以下实名认证用户,在打开App后自动进入青少年模式,每天使用时长为40分钟,且在每天22时至次日6时无法使用App,此外,多款游戏也发布并陆续升级防沉迷模式,如某互联网游戏从2021年8月31日起,陆续升级防沉迷模式,并且提供成长守护平台,给家长提供游戏管控端口(如图10)。

 

图片

图10

 

某互联网企业推出成长守护小程序[26],家庭内共享游戏数据并提供“守护工具”功能,家长可以进入“守护模式”,管理孩子的游戏情况,例如限制登录时长、时段,禁止充值,一键禁玩等。此外,该企业推出“星星守护”活动,由老师端和学生端共同管理游戏数据,查询班级学生游戏动态(如图11)。

 

图片

图11

 

六、公司治理(Governance):大型互联网平台的内部治理义务

 

本次《条例》提出“具有显著影响的网络平台服务提供者”的概念,但尚未明确主体具体范围。目前,针对“大型互联网平台”,《个人信息保护法》第五十八条规定,“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”这类大型网络平台在个人信息保护方面的双层监管监督、规范源头服务、平台内部监管、和重视社会责任及相关报告义务(具体解读可参见我们此前发布的《ESG与数据隐私合规观察——网络环境中的未成年人安全保护》)。

 

七、结语

 

随着《条例》的正式发布,其作为《网络安全法》《个人信息保护法》《未成年人保护法》的下位法,在秉承“最有利于未成年人”“社会共治”立法原则的同时,明确了相应的罚则,将成为互联网企业合规工作的重要指引。值得注意的是,本次发布的《条例》正式稿与《条例(三次意见稿)》一致,均提及了“网络服务提供者”(包括“网络游戏服务提供者”“网络直播服务提供者”)、“个人信息处理者”等多项互联网主体概念,但上述主体身份在大多数情况下也是重叠的,多种概念的混用可能导致企业难以准确界定主体义务;此外本次《条例》亦新引入“具有显著影响的网络平台服务提供者”概念,期待相关部门在后续对此加以完善。

 

此外,《条例》为ESG下未成年人保护的细分领域带来了细化的指引,但目前的法律文本与企业实践中仍存在一些问题,需要进一步的立法、监管与行业动态提供回答,例如:不构成大型互联网平台的企业如何在公司治理(Governance)的过程中融入未成年人保护的合规要求?企业如何在履行社会责任(Social)时,与学校及监护人合作开展未成年人保护?企业、学校、家长以及其他社会机构之间如何对齐网络欺凌、不良行为等概念的认知与定义?企业、行业机构与监管部门能否建立沟通渠道,以确保企业能够在成本可控的前提下了解对于未成年人保护规则的解释与行业最佳实践?

 

对此,我们建议企业针对《条例》中涉及的合规要点尽早启动自我排查,减少企业在未成年人网络保护中的合规风险敞口;同时应密切关注包括未成年人保护在内的细分领域的立法、司法、监管动态及行业最佳实践,与合规发展的潮头对齐水位,在确保企业满足规避风险的合规基线之上,基于自身的领先实践不断推进相关领域规则的落地,建立企业在社会声誉、市场拓展、用户信任等方面的“护城河”,主动承担起在网络空间中保护下一代的社会责任,在市场竞争中构建有利于社会发展、各方共赢的整体趋势。

 

请点击文末“相关下载”,查阅附件:2022年3月14日发布的《未成年人网络保护条例(征求意见稿)》与正式发布的《未成年人网络保护条例》与比对表格。

 

注释:

[1] 网络游戏、网络直播、网络音视频、网络社交服务提供者等等。

[2] 参见《条例》第五十三条、第五十四条。

[3] 参见《条例》第五十六条。

[4] 参考共青团中央维护青少年权益部、中国互联网络信息中心(CNNIC)发布的《2020年全国未成年人互联网使用情况研究报告》第33页。

[5] 《未成年人保护法》第六十九条第二款[5],规定了智能终端产品的制造者、销售者在产品上安装“未成年人网络保护软件,或者以显著方式告知用户未成年人网络保护软件的安装渠道和方法”的义务。

[6] 《个人信息保护法》第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:

(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;

(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;

(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;

(四)定期发布个人信息保护社会责任报告,接受社会监督。

[7] 《个人信息保护法》第五十八条 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行下列义务:

(一)按照国家规定建立健全个人信息保护合规制度体系,成立主要由外部成员组成的独立机构对个人信息保护情况进行监督;

(二)遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务;

(三)对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者,停止提供服务;

(四)定期发布个人信息保护社会责任报告,接受社会监督。

[8] 2021年修订并实施的《未成年人节目管理规定》,提出“网络视听节目服务机构应当以显著方式在显著位置对所传播的未成年人节目建立专区”。

[9] http://tech.cnr.cn/techph/20210601/t20210601_525501054.shtml

[10] 参考http://www.cac.gov.cn/2023-08/28/c_1694881465143261.htm,访问于2023年10月25日。

[11] 参考https://mp.weixin.qq.com/s/YHUpyS1fOQX19u4_G_QvMQ,访问于2023年10月25日。

[12] 《互联网信息服务管理办法》第十五条 互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息:

(一)反对宪法所确定的基本原则的;

(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;

(三)损害国家荣誉和利益的;

(四)煽动民族仇恨、民族歧视,破坏民族团结的;

(五)破坏国家宗教政策,宣扬邪教和封建迷信的;

(六)散布谣言,扰乱社会秩序,破坏社会稳定的;

(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;

(八)侮辱或者诽谤他人,侵害他人合法权益的;

(九)含有法律、行政法规禁止的其他内容的。

[13] https://baijiahao.baidu.com/s?id=1708204315930562669&wfr=spider&for=pc

[14] https://www.guancha.cn/society/2013_12_19_193884_s.shtml

[15] http://e.mzyfz.com/paper/1354/paper_33742_7759.html

[16] 第七十五条 第二款网络游戏服务提供者应当要求未成年人以真实身份信息注册并登录网络游戏。

第七十六条 网络直播服务提供者不得为未满十六周岁的未成年人提供网络直播发布者账号注册服务;为年满十六周岁的未成年人提供网络直播发布者账号注册服务时,应当对其身份信息进行认证,并征得其父母或者其他监护人同意。

第七十三条 网络服务提供者发现未成年人通过网络发布私密信息的,应当及时提示,并采取必要的保护措施。

[17] 《民法典》第一千零三十二条,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。第一千零三十四条,个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。

[18] 《民法典》人格权编第六章“隐私权和个人信息保护”则将个人信息区分为私密信息与非私密信息,并进一步将私密信息纳入隐私权的保护范围。

[19] 该App在未以显著、清晰的方式告知并征得儿童监护人明示同意的情况下,允许儿童注册账号,并收集、存储儿童网络账户、位置、联系方式,以及儿童面部识别特征、声音识别特征等个人敏感信息。在未再次征得儿童监护人明示同意的情况下,运用后台算法,向具有浏览儿童内容视频喜好的用户直接推送含有儿童个人信息的短视频。该App未对儿童账号采取区分管理措施,默认用户点击“关注”后即可与儿童账号私信联系,并能获取其地理位置、面部特征等个人信息。https://www.spp.gov.cn/xwfbh/wsfbh/202203/t20220307_547722.shtml

[20] https://new.qq.com/omn/20220315/20220315A02ZHP00.html

[21] https://new.qq.com/omn/20200514/20200514A0J7UT00.html

[22] 《关于加强网络文化市场未成年人保护工作的意见》。

[23] 《关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》。

[24] 《国务院未成年人保护工作领导小组关于加强未成年人保护工作的意见》。

[25] 在专属内容池中,长视频平台重点选择弘扬爱国主义、宣扬英雄人物的优秀电影、电视剧;短视频平台侧重为青少年提供课程教学、书法绘画、亲子教育、人文历史、传统文化、手工制作、自然科普等寓教于乐的优质内容。https://baijiahao.baidu.com/s?id=1634776023864265792&wfr=spider&for=pc

[26] https://jiazhang.qq.com/index.html

 

相关下载