未成年人信息保护合规路径,《儿童个人信息网络保护规定(征求意见稿)》解读
为规范儿童个人信息处理活动,保护儿童合法权益,创造有利于儿童健康成长网络环境,国家互联网信息办公室起草了《儿童个人信息网络保护规定(征求意见稿)》(以下简称“《保护规定”》),并于2019年5月31日向社会公开征求意见,意见反馈截止日期为2019年6月30日。
近年来,为保护未成年人权益,国家互联网信息办公室等主管部门出台了诸多举措。如《未成年人网络保护条例(送审稿)》(以下简称“《保护条例》”)第三章“未成年人网络权益保障”,强调加强对未成年人网上个人信息的保护,通过网络收集、使用未成年人个人信息的,必须经过未成年人或其监护人的同意;《App违法违规收集使用个人信息行为认定方法(征求意见稿)》(以下简称“《App违法违规认定方法》”)将未经监护人同意,收集使用14周岁以下(含)未成年人个人信息或进行个性化推送活动的,视为侵犯未成年人在网络空间合法权益的情形。
纵览全文,《保护规定》可视为在统筹《未成年人网络保护条例(送审稿)》与《信息安全技术 个人信息安全规范》(GB/T 35273-2017)(以下简称“《规范》”)实质要求的基础上对儿童个人信息保护作出的更为详尽和有针对性的规定。《保护规定》中的诸多规范是对《中华人民共和国网络安全法》(以下简称《网安法》)第四章网络信息安全的重申,同时增添了部分对儿童个人信息保护的特殊规定。
应当注意,《保护规定》所称儿童,是指不满十四周岁的未成年人。
一、儿童个人信息处理活动要求
《保护规定》第二条明确,在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动(以下简称“儿童个人信息处理活动”),适用本规定。因此,《保护规定》的规制对象为业务活动涉及到在“中国境内”“通过网络”儿童个人信息处理活动的所有网络运营者,包括网络的所有者、管理者和网络服务提供者。同时,网络运营者在收集、存储、使用、转移、披露儿童个人信息时,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。
(一)设置专门的保护协议和保护专员
《网安法》对于个人信息的保护规则与用户协议并未做特殊规定。《保护条例》则在第十六条第二款中提到,通过网络收集、使用未成年人个人信息的,应当制定专门的收集、使用规则,加强对未成年人网上个人信息的保护。《保护规定》第五条明确指出运营者应当设置专门的儿童个人信息保护规则和用户协议。但是网络运营者应针对儿童单独制定新的用户协议,还是应该在一般的用户协议中设置儿童个人信息保护特别条款,在目前发布的法律法规或征求意见稿中并没有明确的规定。因此,建议网络运营者根据自己的业务定位进行考量,如专注于儿童内容与产品或儿童用户占比较高的运营者需要针对儿童的特殊性单独制定新的用户协议,而针对各个年龄层或儿童用户占比较低的运营者可以借鉴《规范》附录D提供的隐私政策模板中“我们如何处理儿童的个人信息”部分,在一般的用户协议中设置专门的儿童个人信息保护章节。此外,《保护规定》还强调适用于儿童的用户协议应当“简洁、易懂”,本团队理解,此处的要求应比《规范》5.6c的“清晰易懂”要求更高。
针对儿童个人信息保护的特殊性,《保护规定》对与其相关的保护专员提出了特别要求。其第五条规定,网络运营者应当设立个人信息保护专员或者指定专人负责儿童个人信息保护。结合之前出台相关文件,《网安法》第二十一条要求设立网络安全负责人;《规范》10.1b要求任命个人信息保护负责人;而最近发布的《数据安全管理办法(征求意见稿)》(以下简称“《管理办法》”)第十七条则规定应当明确数据安全责任人,四者职责虽各有侧重,但总体上其设立目的皆为保护数据安全。因此,网络运营者可以根据其自身经营状况,参考《管理办法》第十七条第二款“具有相关管理工作经历和数据安全专业知识”的要求,设立一名或数名负责人履行上述职责。
此外,网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和用户协议的约定收集儿童个人信息。网络运营者收集儿童个人信息不得超出其用户协议约定的范围。
内容 | 《保护条例》 | 《保护规定》 |
设置专门的保护规则和用户协议 | 第十六条第二款 | 第五条 |
制定保护专员 | / |
(二)获得监护人明示同意
获得监护人的明示同意是儿童个人信息保护与一般个人信息保护相比最突出的特点。
儿童作为不具有完全民事行为能力的民事主体,无法对自身个人信息的授权与否作出理性判断。在《保护规定》中,获得监护人的明示同意是收集、使用儿童个人信息的前提。
《保护规定》第七条明确要求网络运营者收集、使用儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的明示同意。该条规定是对《网安法》第四十一条“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”以及《规范》5.5c“收集年满14(周岁)的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意”的重申与强调。
在第七条的基础上,第八条、第十一条、第十四条以及第十五条则进一步列明需要监护人明示同意的各种情形,包括先前征求同意时的告知事项发生实质性变化、超出目的和范围使用、与第三方共用或向第三方转移等。
值得注意的是,《网安法》《保护条例》以及《App违法违规认定方法》中皆未明确同意的类型,只要求获得监护人或个人信息主体同意。《保护规定》继《规范》后,以部门规章的形式再次明确强调要求获得监护人明示同意,且同意应当具体、清楚、明确,基于自愿。《规范》3.6对“明示同意”作出清晰的定义:个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。因此,建议网络运营者根据上述要求调整取得监护人同意的方式。
网络运营者征得监护人同意时,应当同时提供拒绝选项,并明确告知以下事项:(一)收集、存储、使用、转移或者披露儿童个人信息的目的、范围、方式和期限;(二)儿童个人信息的存储地点和到期后的处理方式;(三)儿童个人信息的安全保障措施;(四)个人信息保护专员或者其他联系方式;(五)拒绝的后果和影响;(六)其他应当告知等事项等。规定的告知事项发生实质性变化的,网络运营者应当再次征得儿童监护人的明示同意。
同时,《保护规定》第十九条规定了三种获得儿童监护人明示同意的例外情形,即“网络运营者收集、使用、转移、披露儿童个人信息,有以下情形之一的,可以不经过儿童监护人的明示同意:(一)为维护国家安全或者公共利益;(二)为消除儿童人身或者财产上的紧急危险;(三)法律、行政法规规定的其他情形”。该规定对《规范》5.4“征得授权同意的例外”进行了限缩,体现了对儿童个人信息的特殊保护。
因此,建议相关网络运营者在收集、使用儿童个人信息前设置明显的弹窗提示,要求法定监护人确认其授权行为,并同时提供用户拒绝选项,明确告知用户拒绝的后果及影响。
但如何识别用户年龄并有效取得监护人的明示同意在实践中可能面临困境,现行法律体系或征求意见稿亦尚未对此问题作出太多具有可操作性的指引。建议网络运营者可参考国内外其他网络运营者的相关实践,比如腾讯2019年3月推出“儿童锁模式”,要求13周岁以下未成年新用户在首次登录游戏前,强制进行登记认证,只有其监护人完成“解锁”后才能进入游戏,此处的“监护人解锁”即可视为获得监护人的明示同意[1]。网络运营者还可参考FTC发布的《儿童隐私保护六步合规计划》[2],该文列举了7种获取监护人明示同意的方式,比如让监护人签署同意书并通过传真,邮件或电子扫描发回给网络运营者;通过电话或视频会议连接到训练有素的网络运营者工作人员对监护人身份进行验证;要求监护人提供可验证的身份文件,在验证后将该信息删除;要求回答除监护人以外的人员难以有效作答的问题等等。
由于完全正确判断用户年龄并获得监护人的明示同意在技术存在困难,《电子商务法》第四十八条亦规定“在电子商务中推定当事人具有相应的民事行为能力。但是,有相反证据足以推翻的除外”,因此,本团队认为,网络运营者是否达到合规要求的考察标准不在于“在结果上取得所有儿童用户监护人的明示同意”,而是网络运营者“在保护儿童个人信息的过程中”付出了合理的努力。比如,网络运营者制定符合要求的专门儿童个人信息保护规则和用户协议,设立个人信息保护专员或者指定专人负责儿童个人信息保护并有效履行职责,知晓用户年龄后及时采取相应措施。当网络运营者有效地采取了上述行动并做好痕迹化管理工作时,其合规风险将有效降低。
内容 | 《网安法》 | 《规范》 | 《保护条例》 | 《App违法违规认定方法》 | 《保护规定》 |
同意 | 第四十一条条(一般性规定,未区分未成年人) | 5.3(一般性规定,未区分未成年人) | 第十六条第一款(针对未成年人) | 第七部分(针对未成年人) | / |
明示同意 | / | 5.5(c)(针对未成年人) | / | / | 第七条(针对未成年人) |
拒绝选项 | / | / | / | 第三部分(只要求设置设置终止定向推送的选项,未区分主体年龄) | 第八条 |
例外情形 | / | 5.4 | / | / | 第十九条 |
(三)设定严格信息访问权限
网络运营者存储儿童个人信息,不得超过实现其收集、使用目的所必须的期限。同时应当采取加密等措施存储儿童个人信息,确保信息安全。
对于工作人员访问儿童个人信息的,《保护规定》要求网络运营者应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。具体举措为工作人员应当经过个人信息保护专员或者其授权的管理人员审批,记录访问情况。此外,还需采取技术措施,避免工作人员违法复制、下载儿童个人信息。
根据《规范》附录B,通常情况下,14(周)岁以下(含)儿童的个人信息属于个人敏感信息,在《规范》6.3中亦要求对个人敏感信息采取技术措施。《保护规定》是将《规范》中的推荐性国家标准提升到部门规章的高度,对儿童个人信息提供了更有力的保护。
内容 | 《规范》 | 《保护规定》 |
最小授权原则 | 7.1(a) | 第十二条 |
审批、记录 | 7.2(b) |
采取技术措施 | 6.3 10.3 |
二、第三方参与下儿童个人信息的保护要求
《规范》8.2要求,当个人信息控制者与第三方为共同个人信息控制者时(例如服务平台与平台上的签约商家),个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。
在此基础上,《保护规定》进一步明确了网络运营者与第三方的义务。
网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。同时,前款规定的受委托方,应当履行以下义务:
(一)按照网络运营者的要求处理儿童个人信息;
(二)协助网络运营者回应儿童监护人提出的申请;
(三)采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈;
(四)委托关系解除时及时删除儿童个人信息;
(五)不得转委托;
(六)其他依法应当履行的儿童个人信息保护义务。
此外,网络运营者和第三方共同使用儿童个人信息的,应当征得儿童监护人的明示同意。网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估,并征得儿童监护人的明示同意。网络运营者进行安全评估,可以参考《信息安全技术 个人信息安全影响评估指南(征求意见稿)》进行。因此,建议相关网络运营者在委托第三方、与第三方共享儿童个人信息前,率先完成以下三项工作:1.对儿童个人信息的共享或转移取得儿童监护人的明示同意;2.网络运营者自行或委托第三方对个人信息进行安全影响评估;3.通过与第三方协议明确双方儿童个人信息保护要求及义务。
在受委托的网络运营者方面,相较于《规范》8.1c,《保护规定》增加了“不得转委托”的规定,且在委托关系的解除中使用“及时删除”的表达,没有言明“匿名化处理”的例外情形。因此,网络运营者在接受委托处理儿童个人信息时,要切实履行与委托方签订的协议,当因特殊原因无法达到委托方要求时需及时向委托方反馈而不得擅自转委托。此外,委托关系解除时需要及时删除儿童个人信息。
内容 | 《规范》 | 《保护规定》 |
进行安全评估 | 8.2 | 第十三条、第十五条 |
第三方的具体义务 | 8.1c | 第十三条 |
三、监护人更正、删除儿童个人信息的权利要求
《网安法》第四十三条规定“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正”。《保护条例》第十八条也做出了类似的规定:未成年人或其监护人有权要求网络信息服务提供者删除、屏蔽网络空间中与其有关的未成年人个人信息。
对此,《保护规定》于条文中重申并明确儿童或者其监护人要求网络运营者删除其收集、存储、使用的儿童个人信息的,网络运营者应当及时采取措施予以删除,包括但不限于以下情形:
(一)网络运营者违反法律、行政法规的规定或者用户协议的约定收集、存储、使用、转移或者披露儿童个人信息的;
(二)超出目的范围或者必要期限收集、存储、使用、转移或者披露儿童个人信息的;
(三)儿童监护人撤回同意的;
(四)儿童或者其监护人通过注销等方式终止使用产品或者服务的
此外,2019年2月14日,国家广播电视总局审议通过的《未成年人节目管理规定》(以下简称“《新规》”)第二十四条规定,网络用户上传含有未成年人形象、信息的节目且未经未成年人法定监护人同意的,未成年人的法定监护人有权通知网络平台采取删除、屏蔽、断开链接等必要措施,网络平台对此负有通知删除义务。
上述规定可视为监护人事前同意制度的补充,当网络运营者未及时取得监护人同意时,其可通过变更或删除的权利在事后保护被监护人可能或已经受到威胁的权益。《规范》7.7注中规定撤回同意不影响撤回前基于同意的个人信息处理,但未言明之前收集的个人信息是否需要删除。而《保护规定》则直接规定当监护人撤回同意时,网络运营者应当及时采取措施予以删除。此外,在儿童或者其监护人通过注销等方式终止使用产品或者服务的情形下,网络运营者也应当及时删除儿童个人信息,不同于《规范》7.8b留下进行匿名化处理的空间,上述规定对儿童个人信息的保护要求更加严格。
因此,建议相关网络运营者在投诉举报链接中增设“监护人通知更改”及“监护人通知删除”渠道,以用于儿童的监护人进行通知和上传相关身份证明。网络运营者在收到监护人通知,并对其身份进行核实确认后,应及时对指定信息进行更改、删除。
内容 | 《网安法》 | 《规范》 | 《保护条例》 | 《保护规定》 | 《新规》 |
通知删除 | 第四十三条 | 7.6 | 第十八条 | 第十八条 | 第二十四条 |
有误更正 | 第四十三条 | 7.5 | / | 第十七条 | / |
四、法律责任
《保护规定》明确指出,违反本规定的,由国家互联网信息办公室和其他有关部门依据职责,根据《中华人民共和国网络安全法》第六十四条的规定责令改正,根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
此外,《保护规定》第二十六条规定,当网络运营者违反本规定被追究法律责任,将会依照有关法律、行政法规的规定记入信用档案,并予以公示。信用档案与企业信誉、消费者选择与企业估值之间的关系密切,将违法违规行为记入信用档案并予以公示的做法进一步提升网络运营者的合规风险,保护儿童个人信息安全的重要性不言而喻。
五、结语
《保护规定》基于《网安法》信息网络安全的一般性要求,将分散于《App违法违规认定方法》《保护条例》及《规范》、《新规》等中的儿童信息保护规定整合,并对一些具体情形进行了细化和补充,可以看出,针对儿童个人信息保护的立法将逐步趋严趋密。各网络运营者需对《保护规定》及该稿的立法进程予以必要的关注,分析日常运营中可能涉及到儿童个人信息处理活动的场景及频率,根据自身情况与相关规定适时进行合规调整。
【参考资料】
[1] 大数据法律研究. 团队原创 | 个人信息监管收紧下的隐私政策设计要点. https://mp.weixin.qq.com/s/zuu-HGOXFU5LbBtXiblXKg.
[2] FEDRRAL TRADE COMMISSION. Children’s Online Privacy Protection Rule: A Six-Step Compliance Plan for Your Business. https://www.ftc.gov/tips-advice/business-center/guidance/childrens-online-privacy-protection-rule-six-step-compliance.
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com