谈到儿童,大家脑海里可能出现的仍然是“儿童急走追黄蝶”或者“蓬头稚子学垂纶”等与世隔绝的印象,但在数字时代,儿童早已通过网络与社会零距离接触。线上儿童教育、AI交互式玩具和线上游戏等网络产品和服务既让孩子们早早享受到网络的便利,同时也让家长们深深的担忧,如何在科技迅速发展的今天保护孩子们的童真?“白鸽奉献给蓝天,星光奉献给长夜”,在成人都逐渐无所适从的数据时代,家长们略显无力的自问“我拿什么奉献给你,我的小孩”?
儿童的网络生活既然无可避免,我们需要从多维度来思考如何保护儿童网络生活中的合法权益。国家互联网信息办公室(以下简称“网信办”)政策法规局曾特别有心地,在2019年5月31日下午6点01分发布《儿童个人信息网络保护规定(征求意见稿)》(以下简称“《征求意见稿》”)(请见“特别的爱给特别的你”——《儿童个人信息网络保护规定(征求意见稿)》要点评析)。在短短两个多月后,网信办于8月23日正式发布了《儿童个人信息网络保护规定》(以下简称“《规定》”),从个人信息保护和儿童权益两个维度正式确定了儿童个人信息网络保护的原则和框架。《规定》的颁布,不仅昭示着我国未成年人权益保护向网络空间的迈步,也是我国建立信息安全立法体系的一大重要举措。在个人信息保护专门法律缺位的背景下,《规定》中熠熠生辉的“星光”将有助于指明我国个人信息保护的方向。
《规定》概述
第一部针对儿童的个人信息保护的专门立法
从立法形式上看,《规定》以国家网信办第4号令的形式颁布,并以《网络安全法》、《未成年人保护法》为上位法依据,既承继了《网络安全法》“为未成年人提供安全、健康的网络环境”、保护网络空间个人信息的原则性要求,也秉持了《未成年人保护法》对未成年人隐私及相关权益的关注与保护。作为我国第一部针对儿童的个人信息保护的专门立法,《规定》不仅具有立法领域上的综合性,更具有保护主体上的针对性。
适用范围——线上与线下的“网络保护”
《规定》对适用范围也予以明确,即适用于通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动。如我们此前针对《规定》征求意见稿的分析,从立法逻辑自恰的角度,《规定》中所述“网络”也会沿用《网络安全法》中的定义,即“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”。这意味着,实践操作中如企业在线下采集儿童个人信息,但此后如其所采集的儿童个人信息通过在线信息系统存储或进行其他处理的,同样可能构成“通过网络”处理儿童个人信息,进而适用《规定》。
保护主体——正式明确“儿童”的定义
《规定》对于其所保护的权利主体——儿童的定义予以明确,是指不满十四周岁的未成年人(《规定》第二条)。这与我国此前颁布的一些规范性指引中对于儿童的界定相一致。1参考国外针对儿童个人信息保护的法规,可以看出,域外各司法辖区对于儿童个人信息权利主体的年龄认定各有不同,例如欧盟《通用个人数据保护条例》(“GDPR”)针对十六岁以下儿童使用特定的网络服务设置了特殊的“同意”机制,又如美国《儿童网络隐私保护法》(“COPPA”)将未满十三周岁的未成年人作为该法的具体保护对象。《规定》的这一界定充分考虑了不同年龄阶段未成年人的心智和认知能力,以及对自身行为后果的承受能力,同时也兼顾了网络运营者在个人信息保护注意义务上的合理限度,一定程度上也能够与我国《民法总则》规定的限制民事行为能力人民事法律行为效力的认定相自恰。[1]
更详细的保护原则
相比于《网络安全法》中对于个人信息收集、使用的一般性原则(如合法、正当、必要的原则等),《规定》对于儿童个人信息保护也提出更有针对性的原则要求,包括正当必要、知情同意、目的明确、安全保障、依法利用五大原则(《规定》第七条)。这一原则规定承继了《网络安全法》条文所明确的个人信息保护要求,构成《规定》中儿童个人信息保护各项细化条款的总领依据,为网络运营者对于儿童个人信息的保护工作提供了整体的方向性指引。此外,相较于此前发布的《征求意见稿》,《规定》还专门以禁止性规定明确任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息,对《未成年人保护法》和《网络安全法》中为未成年人营造健康良好网络信息环境的保护宗旨予以重申。[2]
多方一体的保护体系——监护人+互联网行业组织等
与成人个人信息保护的不同,儿童因其自身人生观和价值观仍处于发展和形成阶段,对于来自社会的危险和对其权利的侵害可能缺乏认知。除了加强对儿童自身的个人信息保护以外,更需要社会、企业、家庭和学校共同努力、共同呵护儿童个人信息的安全。因此,《规定》中对于儿童监护人(《规定》第五条)和互联网行业组织(《规定》第六条)也分别施加了教育引导儿童和加强行业儿童个人信息保护自律的要求,以期通过多方一体的保护体系,使得儿童个人信息的保护体系能够真正有效运转。
“特别的爱给特别的你”——儿童信息保护的特殊设置
《规定》在《网络安全法》个人信息保护一般条款的基础上,针对儿童这一特殊群体的个人信息保护设置了特别规则。这意味着网络运营者在此后的个人信息合规工作上,除进行常规的个人信息合规审查外,还应特别注意对儿童群体予以“特殊照顾”,主要体现在以下方面:
设置儿童信息保护规则、用户协议和专人负责儿童个人信息网络保护的要求
首先,《规定》第八条要求网络运营者应当设置专门的儿童个人信息保护规则和用户协议。这意味着,网络运营者仅为网络产品或服务提供一份隐私政策或用户协议可能无法满足要求,还需针对儿童群体准备专门的个人信息保护文本和用户协议。相应的,这一要求也将引发企业未来在产品中如何适时向儿童群体展示专门的隐私政策和用户协议文本这一实践操作上的思考。例如,对于游戏产业的网络运营者而言,其用户群体通常包含较大规模的儿童群体。而游戏运营者通常不具备如教育、医疗等行业能够直面其服务对象的能力,对于儿童群体的识别需付出一定的核验成本,且可能无法达到百分之百的精确度。在不确定用户是否为儿童群体的情形下,如何向其精确展示适用于该群体的隐私政策和用户协议版本,同时又如何做到与此后针对不同群体的同意机制相挂钩,都是企业在未来实践操作上值得探索的问题。
《规定》第八条也要求网络运营者应指定专人负责儿童个人信息的保护工作。相对于此前《征求意见稿》提出的“设立个人信息保护专员或者指定专人负责儿童个人信息保护”,《规定》对于企业内部儿童个人信息保护的人员要求更为明确和直接。
监护人的事先授权同意基本要求和实践难题
由于儿童对于可能存在的社会危险和对其个人权益的侵犯缺少认知,《规定》要求网络运营者在处理儿童个人信息之前获得其监护人的授权同意。具体而言,《规定》分别规定了以下网络运营者需首次或再次获得监护人的授权同意的情形:
- 网络运营者收集、使用、转移、披露儿童个人信息的(《规定》第九条);
- 告知事项发生实质性变化的(《规定》第十条);
- 因业务需要,确需超出约定的目的、范围使用的(《规定》第十四条)。
获取监护人同意的儿童个人信息保护理念,与美国COPPA和欧盟GDPR趋同[3]。但是,监护人同意的模式也同样存在着难以落实和可能实质增加企业合规成本的问题:
- 对于面向普通公众提供产品和服务的网络运营者而言,其不具有识别儿童及其个人信息的动机。以手机产品为例,若要将注册账户的儿童识别出来,可能需要额外收集儿童的出生日期。对于企业而言,不但额外采集了个人敏感信息需要满足一系列相关安全保护的要求,而且也可能因为儿童故意填写错误的出生年月日期而导致企业的儿童个人信息保护机制难以实际落实。
- 尽管通过邮件或短信方式向监护人发送了通知,仍难以确保监护人身份及授权同意的真实性。以游戏产品为例,首次下载并激活游戏软件的儿童可以填写错误的监护人联系方式,从而假扮监护人身份给予网络运营者对其数据处理的授权同意。
因此,以监护人授权同意为核心,美国COPPA和欧盟GDPR还通过调整儿童个人信息特殊保护的适用范围、设置监护人同意以外的其他补充机制以期实现保护儿童个人信息安全与避免过多增加企业合规成本之间的平衡,例如:
1)面向普通公众、无法或无动机识别其用户中有儿童的运营者,可以不受儿童隐私保护专项法案的管辖
受COPPA管辖的运营者分为两类:(1)面向儿童的运营者,(2)面向一般大众的运营者实际知道(actual knowledge)其用户中有儿童或者其有意识地通过面向儿童的运营者收集信息。COPPA还通过举例的方式对于“实际知道”的认定标准进行了列举。例如,对于游戏行业而言,如何是专门针对儿童开发或者收到了父母的投诉,表明对其特定的儿童用户有明确认知。
明确这个分类对于企业进行合规管理有重要的现实意义,对于无法或无动机识别其用户中有儿童的运营者而言,其往往仅需要满足事后儿童信息保护合规的要求。[4]
2)获得监护人同意的具体方式
目前我国对于获得监护人同意的具体方式尚没有明确的要求。为了有效保障监护人同意机制的落地实施,美国COPPA和欧盟GDPR分别对获得监护人同意的具体方式进行了高标准要求。但是另一方面,只要运营者采取了符合要求的验证措施,就被认为已尽到了合理义务。即使儿童通过虚假手段完成了验证,仍然可以被认为是有效的。[6]
3)监护人同意的例外情形
之前《征求意见稿》中列举的明示同意的例外情况在正式《规定》中已经被删除。一方面,这是与《网络安全法》有关个人信息处理均需获得数据主体授权同意保持一致;但是,另一方面,这也导致一些紧急情况、偶发且对儿童权益影响不大的数据处理情形,仍然面临需获得监护人的授权同意。美国COPPA和欧盟GDPR均列举了不经监护人同意而直接获取儿童个人信息的场景,如在符合一定条件的情况下,运营者可以收集Cookie等永久标识;[5]或者在直接向儿童提供预防或咨询服务时,不必取得儿童监护人的同意。[6]
我国未来对于儿童个人信息的保护是否会借鉴境外立法的经验,例如对于企业专门面向儿童提供服务的认定标准、监护人授权同意的例外情形等,仍然值得关注。
明确信息存储的要求
在儿童个人信息的存储安全上,《规定》明确要求网络运营者应当采取加密等措施存储儿童个人信息。对比《网络安全法》规定网络运营者网络运营者应当采取技术措施和其他必要措施确保其收集的个人信息安全,可以看出,《规定》对于技术措施做了进一步明确,将采取加密措施作为确保儿童个人信息存储安全的强制性要求。这一要求与《信息安全技术 个人信息安全规范》(“《安全规范》”)中对于个人敏感信息的存储要求保持一致。这一规定也将可能对企业未来的个人信息存储策略产生一定影响。企业可从商业需求及成本控制的角度,基于《规定》对儿童个人信息存储安全的强制性要求,对于儿童个人信息与一般个人信息选择不同的存储方案,如混同存储还是隔离存储等。
第三方交互儿童个人信息的要求
《规定》第十六条、第十七条是对网络运营者与第三方交互儿童个人信息场景下的特别规定。其中,第十六条规定了委托处理场景下,网络运营者应对受委托方及委托行为等进行安全评估外,还对委托协议的内容及对受托方义务提出了更加明确的要求。这些要求在总体方向上与《安全规范》中有关个人信息委托处理的规定保持一致,同时也针对儿童个人信息保护作出明确或特殊性规定,例如明确受托方应法律、行政法规的规定处理儿童个人信息,且不得转委托等。这意味着,对于从事数据处理服务的企业而言,其不仅须按照委托方的要求处理儿童个人信息,对于《规定》就儿童个人信息保护作出的特殊规定,也应当同样遵循,且不得再就委托方的委托处理事项转委托于他人。这显然对于数据处理者的注意义务和个人信息合规工作提出了更加明确和更高水平的要求。在未来的数据处理服务过程中,提供数据处理服务的企业应格外关注委托方提供的数据中是否可能包含儿童个人信息,并在委托协议的签署以及后续的处理服务中审慎待之。
此外,《规定》第十七条同时强调,网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估,将《安全规范》所要求的安全评估流程在儿童个人信息保护的场景下上升为强制性的义务。据此,安全评估将成为未来企业转移儿童个人信息的前提和必要条件,在进行相应的商业操作和安排前,企业也应适时注意,为安全评估留足充分的时间。
内部访问权限要求
《规定》第十五条从访问权限的角度明确了企业内部儿童个人信息的管控要求,即以“最小授权”为原则,为企业内部人员访问儿童个人信息设定严格的访问权限,控制儿童个人信息知悉范围。除技术上控制访问权限外,《规定》也要求企业从流程审批的角度对工作人员访问儿童个人信息予以控制,即应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。与《规定》在儿童个人信息存储要求上的规定类似,这一访问控制要求同样可能对企业未来个人信息的存储策略产生一定影响。一定程度上,将儿童个人信息有别于一般个人信息进行单独存储,或在个人信息混同存储情形下对儿童个人信息进行特殊的识别设置(如标签标记等),才可能在实践操作上与《规定》有关访问权限控制的要求相匹配。
不得披露儿童个人信息的原则与例外
网络运营者被要求不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外(《规定》第十八条)。该条体现出对儿童个人信息的严格保护的同时也给予合理的弹性。
删除权的特别规定
对于儿童个人信息的删除出现在两个场景:(1)儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的,网络运营者应当及时采取措施予以删除,尤其是在网络运营和违法法律法规规定或双方约定、超出目的范围后者必要期限处理儿童个人信息、儿童监护人撤回同意的情况下(《规定》第二十条);(3)停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人(《规定》第二十三条)。
与普通个人信息删除的要求相比[7],《规定》赋予了儿童监护人随时撤回同意的权利,可能造成企业儿童数据处理的不稳定性。此外,企业可能需要额外收集和保留儿童监护人的联系方式,以便在停止运营时及时告知儿童监护人。
企业合规建议与立法展望
我国大多数网络运营者已经采取了多种措施来加强个人信息保护工作,《规定》的出台则要求网络运营者针对儿童个人信息保护更有针对性的设置,比如:
- 针对儿童群体准备专门的个人信息保护文本和用户协议;
- 在企业内部为儿童群体匹配专门的个人信息保护人员;
- 在收集、使用和披露儿童的任何个人信息前设法取得监护人的同意;
- 采取合理措施保护已收集到的儿童个人信息的保密性、安全性和完整性,特别是在分享给第三方前需采取安全评估确保第三方的数据保护水平;
- 在相关目的实现或者监护人撤回同意后,设计数据删除机制,确保及时删除儿童信息。
《规定》的发布,明确了儿童个人信息保护的体系架构,作为继《民法总则》、《网络安全法》出台后的第一部针对个人信息保护的部门规章,更是对未来可能出台的《个人信息保护法》的要点和体例设计具有重要借鉴意义。
从儿童权益保护角度来看,全社会一直在推动儿童权益的保护,而在数据时代,个人信息作为主要的竞争资源,其收集和使用如何兼顾经济发展和儿童权益的保护是无法避免的难题。但我们依然相信大家对于“祖国的花朵”都心存善念,尽力为他们创造一个洁净、安全的成长环境,尽可能的保留对世界最初真实、善良和美好的认知。
[1]《信息安全技术 个人信息安全规范》将14周岁以下儿童个人信息作为个人敏感信息予以特别保护。
[2] 我国《民法总则》规定8周岁以上的未成年人为限制民事行为能力人,可以独立实施纯获利益的民事法律行为或者与其年龄、智力相适应的民事法律行为。
[3] 《未成年人保护法》第三十四条规定,禁止任何组织、个人制作或者向未成年人出售、出租或者以其他方式传播淫秽、暴力、凶杀、恐怖、赌博等毒害未成年人的图书、报刊、音像制品、电子出版物以及网络信息等。此外,《网络安全法》第十三条规定,国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
[4] 美国COPPA要求,在收集、使用和披露儿童的任何个人信息前须直接通知(direct notice)其父母,并取得父母“可验证的同意”(verifiable parent consent)。此外,欧盟GDPR也要求,向年龄不满 16 周岁的儿童提供信息社会服务的过程中处理其个人数据的,只有或至少在获取了该儿童监护人的同意或授权的情况下才满足第六条将同意作为数据处理合法性依据的要求。
[5] 因此,在实践中,对于一般受众网站,大部分会在隐私政策中明确要求: 我们的产品、网站和服务主要面向成人。儿童不得创建自己的用户帐号,因此我们不会在明知的情形下收集儿童的信息。如果我们发现自己收集了儿童的个人信息,则会设法尽快删除相关信息。
[6] 参见 16 CFR § 312.5 Parental consent.
[7] 只有在同时满足以下两个条件的例外情况下,运营者不需要取得父母同意:(1)运营者除了永久标识外未收集儿童的任何其他个人信息;并且(2)运营者收集的永久标识仅为提供网站或网络服务的内部支持(internal operations)之用途,不用于任何其他目的。通过永久标识和儿童保持联系或者将永久标识披露给第三方,均属于用作了其他用途。参见16 CFR, §312.5 Parental consent,(c) Exceptions to prior parental consent。
[8] 参见GDPR的背景引言第38段。
[9] 依据《网络安全法》第四十三条,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息。