国家互联网信息办公室(以下简称“网信办”)政策法规局特别有心地,在2019年5月31日下午6点01分发布《儿童个人信息网络保护规定(征求意见稿)》(以下简称“《征求意见稿》”)。 《征求意见稿》结合《网络安全法》(以下简称“《网安法》”)与《未成年人保护法》体系下对儿童个人信息的保护特征,对(通过网络进行的)儿童个人信息处理行为进行针对性规制,提前献礼国际儿童节,让今年的“六一”多了一份“特别的爱”。
-
《征求意见稿》概述
(一)《征求意见稿》的出台背景
随着互联网技术与设备的日益普及,未成年儿童已经成为了互联网世界中的重要一员。据统计,我国未成年人互联网普及率高达93.7%,未成年网民规模高达1.69亿人。[1]
比如,社交和游戏类的大部分网站或移动应用均具备简洁明了的交互界面、用户友好的操作要求,极大地降低了相关产品和服务的使用门槛。实践中未成年的儿童可能在其监护人完全不知情的情况下,可以自行将手机号码、电子邮箱等信息提交给各类网站或应用,并使用他们往往一知半解的产品和服务。考虑到儿童个人信息可能对其权益及成长带来的影响程度,目前主流的数据保护立法中均通过特殊规定的形式对儿童个人信息的保护予以高度关注。
以美国《儿童网络隐私保护法》(Children’s Online Privacy Protection Act,以下简称“COPPA”)和欧盟《通用数据保护条例》(General Data Protection Rules,以下简称“GDPR”)为例,其规定中均对于儿童个人信息保护在通用要求之外提出了更高的标准。除明确儿童个人信息保护的年龄界限以外,GDPR中将儿童个人数据归类于“特殊类型个人数据”,提出了远超普通个人数据的合规要求;而COPPA和GDPR中也均不同程度地对儿童年龄核实、可验证家长同意制度等方面进行了规定。
尽管我国一贯重视对于未成年人权益的保护,但由于我国个人信息保护立法的起步较晚,对待儿童个人信息保护尚缺乏专门的保护规定及机制,导致我国企业在业务开展过程中对此领域的关注也有所不足。2019年初,美国联邦贸易委员会因TikTok“涉嫌非法收集13岁以下儿童信息”而处以罚款570万美元,敲响了儿童个人信息保护的警钟。
在此背景下,参照国际上成熟的立法模式,同时延续我国此前已有的规则经验(如《个人信息安全规范》中将14岁以下儿童个人信息列入个人敏感信息),《征求意见稿》对儿童个人信息的处理提出了严格要求(具体要求请见本文第二部分),充分反映了网信办等执法机构对于儿童个人信息保护的重视,并与国际性要求接轨的立法规划。
(二)《征求意见稿》的适用范围与保护对象
从适用范围上看,《征求意见稿》与《网安法》体系相衔接,其第二条明确将适用范围限定在境内“通过网络”从事收集、存储、使用、转移、披露(以下统称“处理”)儿童个人信息等活动。由于《征求意见稿》并未对“网络”进行重新界定,因此“网络”一词可以沿用《网安法》中的定义,即“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”。[2]为此,即使企业在线下采集儿童个人信息,如其所采集的儿童个人信息后续通过在线信息系统处理,同样可能构成“通过网络”处理儿童个人信息,进而适用《征求意见稿》中的相关规定。
从保护对象上看,《征求意见稿》将“儿童”界定为“不满十四周岁的未成年人”。这将意味着网络运营者在判别其所处理的个人信息是否为儿童个人信息前,需要对个人信息主体的年龄进行判断或者就其服务的对象范围进行明确的划定。在实践中,为尽可能准确地核验服务对象的年龄属性(即是否属于儿童),网络运营者通常可能需要在明确划分服务对象范围(例如仅面向成年人提供产品或服务)后通过采集身份证件信息、利用生物识别技术等方式进行年龄的判断。然而,实践中这些措施通常产生较大的核验成本,同时可能需要更改目前常用的用户引导界面模式,这也将是《征求意见稿》生效后所有企业均可能面临的一个合规难题。
-
《征求意见稿》重点义务条款梳理
整体而言,《征求意见稿》中对网络运营者通过网络处理儿童个人信息的要求,参考了《网安法》和《个人信息安全规范》中(针对个人敏感信息处理)的规则,同时着重突出对儿童个人信息处理活动更为审慎和严谨的态度。具体而言,根据《征求意见稿》的规定:
义务内容 | 对应条款 | 一语短评 |
特殊协议及专人负责: 网络运营者应设置专门的、简明易懂的儿童个人信息保护规则和用户协议,并设立个人信息保护专员或者指定专人负责儿童个人信息保护 |
第五条 | 对企业而言,未来合规要求中,对外需要定制独立儿童个人信息告知文本,对内需要设置的专人专员负责 |
监护人明示同意: 网络运营者收集、使用儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的明示同意 |
第七条 | 从收集、使用到变更等,儿童个人信息的同意主体明确为儿童监护人,如何引导和触达儿童监护人,并获取明示同意,以及如何证明企业尽到商业上合理的努力设置上述规则将是合规难点 |
企业内部监管要求: 工作人员访问儿童个人信息的,应当经过个人信息保护专员或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息 |
第十二条 | 《征求意见稿》强调了访问权限控制和记录,同时也要求企业采取技术措施,体现了“制度+技术”的规制思路 |
儿童个人信息的第三方处理限制: 接受网络运营者委托处理儿童个人信息的第三方,应当“协助网络运营者回应儿童监护人提出的申请”,亦“不得转委托” |
第十三条 | 关于委托处理的要求,《征求意见稿》与GDPR、《个人信息安全规范》等中的要求保持一致 |
儿童个人信息转移的前置性条件: 网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估 |
第十五条 | “安全评估”要求有可能与《个人信息安全规范》中的个人信息安全影响评估制度衔接 |
儿童个人信息对外披露的例外: 网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定需要披露的除外 |
第十六条 | 原则性禁止披露儿童个人信息,同时为其他法律法规的例外情况以及与儿童监护人约定情况作出例外,体现出对儿童个人信息的严格保护的同时也给予合理的弹性 |
未经同意处理儿童个人信息的例外: 未经儿童监护人明示同意,仅在以下情况下可处理儿童个人信息: – 为维护国家安全或者公共利益; – 为消除儿童人身或者财产上的紧急危险; – 法律、行政法规规定的其他情形 |
第十九条 | 相较于《个人信息安全规范》中收集、使用个人信息时事先取得授权同意的例外情形,《征求意见稿》将适用于儿童个人信息的例外情况也大幅减少,同样体现了对儿童个人信息的严格保护要求 |
《征求意见稿》在《网安法》、《个人信息安全规范》等不同层级的个人信息保护规则上进一步提高了网络运营者处理儿童个人信息的要求,将有助更好地保护儿童的权益。然而,《征求意见稿》中的部分规定如何在实践中得以落实(例如前述儿童年龄验证、监护人同意的规则等如何落地),可能还有待未来的立法与执法实践予以进一步澄清,企业也应当结合自身业务属性和特点积极探索可行且可靠的应对措施(例如分别发布不同年龄段适用的APP版本等)。
-
小结
在日益注重未成年人发展的时代,儿童个人信息的商业价值随着企业迅速推出针对儿童受众的产品与服务而日渐提高,众多网站与移动应用也通过多种机制吸引儿童用户人群,即使在传统的社会机构中也存在众多处理海量儿童个人信息的网络运营者(如义务教育机构、少儿辅导/培训机构、儿科诊所、妇幼保健院、大型主题公园等)。然而,如前所述,由于儿童自身并不具备对其个人信息足够充分的保护意识和能力,实践中确实需要监护人与社会规范的主动介入,这也是《征求意见稿》设定义务体系的社会基础。
总而言之,《征求意见稿》作为第一份针对儿童个人信息处理义务与规则的立法草案,一方面体现了个人信息立法和执法的侧重点,另一方面其也是《网安法》后第一份明确了个人信息处理不同环节义务要求与规则体系的、发布后具有强制性法律效力的立法草案。为此,企业应当密切关注相关立法与执法动向,及早筹备合规应对措施,以更好地维护“祖国花朵”的合法权益。如果企业在日常运营中可能涉及儿童个人信息的处理,则应当积极梳理所可能涉及的儿童个人信息处理场景和数量,认真落实《网安法》及相关配套措施对个人敏感信息处理的要求。虽然目前《征求意见稿》尚未正式颁行,考虑到其所呈现趋严的儿童个人信息保护态势,企业也应在商业可行的范围内适当参考《征求意见稿》的要求逐步推行和加强儿童个人信息的保护工作。
让我们不忘初心,找回“天真”和“无邪”,把“特别的爱”给“特别的你们”。
[1] 参见共青团中央维护青少年权益部、中国互联网络信息中心(CNNIC)于2019年3月26日发布的《2018年全国未成年人互联网使用情况报告》。
[2] 参见《网安法》第七十六条。