许孩子一个春天 | 速评《儿童个人信息网络保护规定(征求意见稿)》
儿童信息保护迫在眉睫
日常生活中,收集使用儿童信息的场景不胜枚举:当儿童乘坐飞机、入住酒店、挂号看病等,都需要提供相关个人信息;当儿童登录使用视频网站、社交媒体、各类APP(如学习教育类、游戏类、音频动画类等)、线上游戏平台等,需要提供个人信息进行用户注册;当儿童接受校外辅导机构培训时,也需要提供姓名、学校、成绩、联系方式等信息;而各类物联网设备(如儿童手表、儿童玩具),在使用过程中将收集儿童姓名、家庭地址、家庭成员联系方式、定位等信息。儿童作为特殊社会群体,心智尚不成熟且缺乏相应的法律意识,无法对那些违法收集使用其个人信息的行为作出判断。而这些信息一旦泄露,将对儿童身心造成严重伤害,摧残祖国的花朵。
2019年春,某中国短视频软件的国际版就因未经父母同意擅自收集13岁以下用户的个人信息,违反了美国《儿童在线隐私保护法》(Children’s Online Privacy Protection Act,下称“COPPA”),被处以570万美元罚款。
儿童个人信息保护进行中
2019年5月31日,国家互联网信息办公室发布了《儿童个人信息网络保护规定(征求意见稿)》(下称“《规定》”)。不同于美国针对儿童个人信息和隐私保护专门制定了COPPA等法律,此前我国关于儿童个人信息保护的主要规定散落于国家推荐性标准和指南中,而没有效力层级较高的专门性法律法规。此次《规定》使得被忽视的儿童个人信息保护得到了应有的重视。
1. 《规定》的适用范围——是否存在长臂管辖尚不明确。
《规定》适用于在我国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动。[1] 该适用范围将众多涉及儿童个人信息的联网游戏、社交网络应用程序、在线定位服务、联网玩具或其他物联网设备等网络运营者都纳入其中。此外,在“中华人民共和国境内”的语境下,我们理解除了在中国注册成立的网络运营者在中国境内的行为显然受《规定》的管辖外,那些在境外注册但通过网络向中国儿童收集个人信息的行为是否也受《规定》的管辖仍需明确。
2. 明确“儿童”为不满14周岁的未成年人——未明确14岁以上未成年人的个人信息网络保护。
《规定》明确了“儿童”是指不满14周岁的未成年人,[2] 这与《最高人民法院关于审理拐卖妇女儿童犯罪案件具体应用法律若干问题的解释》中儿童年龄的认定标准一致,[3] 也与《信息安全技术 个人信息安全规范》(下称“《规范》”)中关于收集未成年人信息应征得监护人明示同意的年龄相同。[4] 设立儿童个人信息保护中的年龄标准应考虑到儿童对其信息的独立处理能力、家长对儿童相关活动的干预程度以及儿童权利保护与网络运营者义务承担之间的平衡,因此绝不能与儿童是否拥有民事行为能力混为一谈。该年龄标准的设置既要考虑儿童的心智和辨认是非的能力,以保护儿童权利,同时也要避免年龄设置过高,不合理地加重企业义务。COPPA将儿童定义为不满13岁的自然人;[5] 欧盟《通用数据保护条例》(General Data Protection Rules,下称“GDPR”)保护的对象为16岁以下的儿童,同时规定成员国可以降低年龄标准,但不能低于13岁。[6] 考虑到不满14周岁的未成年人在生理和心理上比较不成熟,且缺乏相应的法律意识,难以应对网络风险,《规定》对其进行了特殊保护。然而《规定》未将那些已满14周岁的未成年人纳入适用范围,如何对其个人信息进行保护仍待进一步明确。
3. 确立了网络运营者在开展涉及儿童个人信息活动的过程中应遵循的原则——强调网络运营者的安全保障义务。
《规定》要求网络运营者在开展涉及儿童个人信息活动时应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则,[7] 承袭了《网络安全法》与《规范》中关于收集、使用个人信息应依据的原则,[8] 并进一步将“安全保障”纳入其中,强调了网络运营者对儿童个人信息的安全保障义务。
4. 鼓励行业自律——未明确行业规范的效力如何。
《规定》鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则,[9] 以适应不同行业的特点,从行业自律的角度提高监管的灵活性。但《规定》未明确说明该等行业规范、行为准则的效力。COPPA“安全港”条款则把行业自律与法律规范相结合,运营者遵守那些由行业自治组织颁发的并经美国联邦贸易委员会(Federal Trade Commission ,下称“FTC”)审核批准的行业自治规范可以视为遵守FTC根据COPPA所制定的规章,[10] 以此加强了行业规范对网络运营者的监督作用。
5. 网络运营者应设置专门的儿童个人信息保护规则与用户协议,并设立个人信息保护专员或指定专人负责儿童个人信息保护——加强公司治理。
《规定》要求网络运营者应制定专门的儿童个人信息保护规则与用户协议,该用户协议应简洁、易懂;同时应设立个人信息保护专员或者指定专人负责儿童个人信息保护,[11] 强调落实对儿童个人信息的保护工作。目前部分以儿童为主要受众的跨国公司,如迪士尼、三丽鸥已有专门的儿童隐私保护政策,并在网页中加以显著标明,而专门的儿童用户协议目前在行业实践中较为少见。从公司治理角度,《规定》要求网络运营者应设立的个人信息保护专员或者指定专人负责儿童个人信息保护,与《网络安全法》中的“网络安全负责人”,[12] 《规范》中的“个人信息保护负责人”[13] 以及近期出台的《数据安全管理办法(征求意见稿)》中的“数据安全责任人”[14] 分别在不同的领域发挥作用。
6. 网络运营者收集、使用儿童个人信息应征得儿童监护人的明示同意——未明确监护人同意是否应可验证。
《规定》要求网络运营者收集、使用儿童个人信息时,首先应以显著、清晰的方式对儿童监护人履行告知义务;其次应取得该监护人的明示同意,且对明示同意提出“具体、清楚、明确、基于自愿”四点要求;[15] 当告知事项发生实质性变化,或当网络运营者因业务需要,超出目的和范围使用儿童个人信息的,应当再次征得儿童监护人的明示同意。[16] 此外,网络运营者和第三方共同使用儿童个人信息,或者向第三方转移儿童个人信息的应当征得儿童监护人的明示同意。[17]
监护人同意是儿童个人信息保护中的重要内容,是一项一般性要求:《规范》规定“收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意”;[18] 《未成年人网络保护条例(送审稿)》规定“通过网络收集、使用未成年人个人信息的,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经未成年人或其监护人同意”;[19] 《信息安全技术 个人信息保护指南(征求意见稿)》规定“个人信息管理者不应要求未满16周岁的未成年人提交个人信息,当发现信息提交者未满16周岁时,应给出明确提示并停止收集行为,为提供必要服务确需收集其个人信息的,应征得其监护人的同意”。[20] 实践中存在着如何通知监护人以及验证该同意来源于儿童监护人的困境。COPPA及其配套规则对此作出了详细的规定:首先应尽合理努力,在现有技术条件下保证儿童监护人收到通知;其次通知的内容应包括作出该通知的原因、收集的个人信息的类型以及如何对该信息作出披露、在线隐私政策的链接、监护人作出同意的方式等内容;再有,监护人的同意必须是可验证的同意,具体方法包括电话、视讯、回答问题等,确保同意由儿童的监护人所授予。[21] 同样,GDPR规定,在考虑技术可行性的前提下,运营商应作出“合理努力”以核实相关同意是由儿童的监护人作出或授权的。[22]
7. 明确无需取得监护人明示同意的例外情形——数量上减少,实质上预留了解释空间。
《规定》允许网络运营者在“(一)为维护国家安全或者公共利益;(二)为消除儿童人身或者财产上的紧急危险;(三)法律、行政法规规定的其他情形” [23] 这三种情形下收集、使用、转移、披露儿童个人信息,可以不经过儿童监护人的明示同意。与《规范》相比,虽然从数量而言无需取得监护人明示同意的例外情形减少了,[24] 但实质上《规定》中的第三项兜底条款似乎为可能出现的例外情况预留了一定的解释空间。
8. 明确监护人享有要求更正、删除儿童个人信息以及撤回同意的权利——未明确监护人是否有权撤销14岁以上未成年人所作出的同意。
除强调监护人的明示同意外,基于儿童对成年人的依赖性,《规定》明确赋予了监护人要求更正、删除儿童个人信息的权利。[25] 此外,在《规定》所列删除情形中,提到了“儿童监护人撤回同意的”情形,[26] 可以认为“撤回同意”同样是监护人享有的权利之一。上述权利提高了监护人对儿童相关活动的干预程度。由于《规定》仅针对14岁以下儿童个人信息网络保护,对于那些14岁以上未成年人是否可作出同意,以及监护人是否有权撤销该等同意,尚不明确。
9. 处罚措施与《网络安全法》相对应——明确约谈机构为国家网信办;处罚力度较轻,威慑力有限。
针对网络运营者的违法行为,《规定》提出了约谈、警告、没收违法所得、罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照、记入信用档案,并予以公示等执法措施,[27] 与《网络安全法》第56、64、71条的规定保持一致,[28] 并将约谈实施主体从省级以上人民政府有关部门上升到国家互联网信息办公室,没有将约谈权力下放到地方;明确警告等处罚措施的实施主体为国家互联网信息办公室和其他有关部门;对网络运营者整改措施的实施增加了“及时性”要求。而从处罚力度而言,美国法院对于那些已经被认定违反COPPA的运营者可以就每次违反判处至多42,530美元的民事罚款,[29] GDPR的罚金则可能高达20,000,000欧元或企业上一财年全球营业额的4%。[30] 可以看出,作为我国首部儿童个人信息保护的专门性立法,《规定》的处罚措施与COPPA、GDPR相比力度较轻。
结语
此次《规定》的颁布是一份特殊的儿童节礼物,在当前儿童个人信息泄露严重的背景下为网络运营者敲响了警钟。儿童个人信息保护具有其特殊性,一方面应考虑儿童的人权与自由,另一方面也应考虑相关法律法规对产业发展可能产生的影响,因此既不能放松对儿童个人信息的保护,也不能对网络运营者作出过多限制,以实现赋权与保护之间的平衡。
【注]
[1] 参见《儿童个人信息网络保护规定(征求意见稿)》第2条。
[2] 参见《儿童个人信息网络保护规定(征求意见稿)》第27条。
[3] 参见《最高人民法院关于审理拐卖妇女儿童犯罪案件具体应用法律若干问题的解释》第9条。
[4] 参见《信息安全技术 个人信息安全规范》第5.5(c)条。
[5] 参见15 U.S.C. § 6501(1).
[6] 参见GDPR Art. 8(1).
[7] 参见《儿童个人信息网络保护规定(征求意见稿)》第3条。
[8] 参见《网络安全法》第41条,《信息安全技术 个人信息安全规范》第5.1、5.2、5.3条。
[9] 参见《儿童个人信息网络保护规定(征求意见稿)》第4条。
[10] 参见15 U.S.C. § 6503(a), 6503(b)(1).
[11] 参见《儿童个人信息网络保护规定(征求意见稿)》第5条。
[12] 参见《网络安全法》第21条。
[13] 参见《信息安全技术 个人信息安全规范》第10.1(b)条。
[14] 参见《数据安全管理办法(征求意见稿)》第17条。
[15] 参见《儿童个人信息网络保护规定(征求意见稿)》第7条。
[16] 参见《儿童个人信息网络保护规定(征求意见稿)》第8、11条。
[17] 参见《儿童个人信息网络保护规定(征求意见稿)》第14、15条。
[18] 参见《信息安全技术 个人信息安全规范》第5.5(c)条。
[19] 参见《未成年人网络保护条例(送审稿)》第16条。
[20] 参见《信息安全技术 个人信息保护指南(征求意见稿)》第5.1.4条。
[21] 参见16 CFR § 312.4, 312.5.
[22] 参见GDPR Art. 8(2).
[23] 参见《儿童个人信息网络保护规定(征求意见稿)》第19条。
[24] 参见《信息安全技术 个人信息安全规范》第8.5条。
[25] 参见《儿童个人信息网络保护规定(征求意见稿)》第17、18条。
[26] 参见《儿童个人信息网络保护规定(征求意见稿)》第18条。
[27] 参见《儿童个人信息网络保护规定(征求意见稿)》第24、25、26条。
[28] 参见《网络安全法》第56、64、71条。
[29] 参见16 CFR § 312.9, 1.98(a).
[30] 参见GDPR Art. 83(5).
End
作者简介
周洋 律师
上海办公室 合伙人
业务领域:收购兼并, 资本市场/证券, 合规/政府监管, 科技、电信与互联网
王东蓉
上海办公室 公司部
作者往期文章推荐:
《揭开“等保”面纱 | 一文读懂<网络安全等级保护条例(征求意见稿)>》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。