查看原文
其他

儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些?

陈际红吴佳蔚罗芸 中伦视界 2020-09-01

6·1国际儿童节来临之际,国家互联网信息办公室颁布了《儿童个人信息网络保护规定(征求意见稿)》(以下简称“《保护规定》”)。为保护儿童权益,自今年年初以来,国家网信办等执法当局也采取了种种举措。国家网信办、工业和信息化部、公安部、市场监管总局在开展App违法违规收集使用个人信息专项治理(“四部委行动”)时,将未经监护人同意,收集使用14 周岁以下(含)未成年人个人信息的情形列为专项整治对象之一[1]。国家网信办在5月还同时全面推行“青少年防沉迷系统” [2]。这些近期举措,足见国家就未成年人信息保护以及相关的网络空间治理的决心。继《未成年网络保护条例(送审稿)》之后,与《GB/T 35273-2017信息安全技术 个人信息安全规范》(以下简称“《个人信息安全规范》”)实质要求一脉相承的《保护规定》对于未成年人个人信息保护提出了更为具体和详尽的要求。其中,获得监护人的明示同意是《保护规定》收集、使用儿童(14周岁以下)个人信息的前提。


美国早在1998年通过了《儿童在线隐私保护法》(Children’s Online Privacy Protection Act,以下简称“COPPA”),适用于美国司法辖区内在线收集13岁以下儿童的个人信息的个人或实体,说明了相关隐私政策的要求、同意的设置以及保护隐私安全的责任规则等内容。其中获得父母“可验证的同意”(verifiable consent)亦是该制度的核心之一,在落实的过程中监管机构对于企业如何完成COPPA合规付出了诸多努力,尤其针对同意的要求、落实及其适用例外通过制定合规指引等形式配合法案进行了明确的规定。本文旨在通过对于美国COPPA关于同意的设定与保护规定及相关规则的比较给企业下一步落实儿童个人信息的同意义务提供更为明确的借鉴。 


一、中国《儿童个人信息网络保护规定(征求意见稿)》


 1.

同意的来源及相关规范


同意的规定

同意的例外

《网络安全法》

第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

N/A

《个人信息安全规范》

5.3 收集个人信息时的授权同意

5.5 收集个人敏感信息时的明示同意

c) 收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。

以下情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意:

a) 与国家安全、国防安全直接相关的;

b) 与公共安全、公共卫生、重大公共利益直接相关的;

c) 与犯罪侦查、起诉、审判和判决执行等直接相关的;

d) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;

e) 所收集的个人信息是个人信息主体自行向社会公众公开的;

f) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;

g) 根据个人信息主体要求签订和履行合同所必需的;

h) 用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;

i) 个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的;

j) 个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的;

k) 法律法规规定的其他情形。


《网络安全法》并未明确规定同意存在例外情形,《个人信息安全规范》相关规定则是根据实践进行的一些归纳和推荐,在《网络安全法》的框架下,《个人信息安全规范》的上述例外规定通常可能被认定为国家安全、公共利益所需或者是信息主体已经默示同意(通常是在对个人信息主体权益的实际影响较低的情况下)。


 2.

保护规定中对于同意的具体规定

同意的规定

同意的例外

《儿童个人信息网络保护规定(征求意见稿)》第七条

网络运营者收集、使用儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的明示同意。明示同意应当具体、清楚、明确,基于自愿。

《儿童个人信息网络保护规定(征求意见稿)》第十九条

网络运营者收集、使用、转移、披露儿童个人信息,有以下情形之一的,可以不经过儿童监护人的明示同意:

    (一)为维护国家安全或者公共利益;

    (二)为消除儿童人身或者财产上的紧急危险;

    (三)法律、行政法规规定的其他情形。


由于儿童主体的特殊性,对其个人信息的处理必须满足明示同意的条件,这也与《个人信息安全规范》相符。但由于明示同意的规定较为严格,如果不明确规定例外情形的话,无疑会造成个人信息控制者的额外负担,也不利于保障儿童以及国家的相关利益。



二、美国COPPA


 1.

关于同意的规定和例外

同意的规定【3】

同意的例外【4】

(A)要求向儿童收集个人信息的任何网站或提供在线服务的运营商或实际知晓其网站或服务向儿童收集个人信息的运营商或在线服务运营商,

(i)在其网站上通知,运营商向儿童收集了哪些信息,运营商如何使用这些信息,以及运营商对此类信息的披露的情形;并且

(ii)获取可验证的父母同意,以收集,使用或披露儿童的个人信息。

以下情况下,并不要求根据第(1)(A)(ii)款作出的可验证的父母同意:

(A)从儿童收集的在线联系信息,该信息仅用于一次性直接响应儿童的特定要求,不用于再次联系儿童,并且运营者不得以可检索的形式保存;

(B)父母或儿童的姓名或在线联系信息的请求,仅限于获得父母同意或根据本节提供通知的目的,如在合理的时间后没有获得父母同意,运营者不以可检索的形式保留此类信息;

(C)从儿童收集的在线联系信息,该信息仅用于直接针对儿童的特定请求作出一次以上的回复,并且不得重新联系该儿童将该信息用于该请求范围之外的目的:

(i)如果在对儿童作出初步回应之后的任何其他答复之前,运营者采取合理措施向父母提供从儿童收集的在线联系信息,其使用目的以及父母可以要求经营者不可进一步使用该等信息并且不能以可检索的形式留存该等信息;或

(ii)在委员会认为适当的情况下,根据在此规定的条例中,在没有通知父母时,结合儿童获得信息和服务的利益,以及对儿童的安全和隐私的风险;

(D)儿童的姓名和在线联系信息(在保护网站儿童参与者安全的合理必要范围内):

(i)仅用于保护此类安全的目的;

(ii)不得用于重新联系儿童或任何其他用途;并且

(iii)如果运营者采取合理措施向父母提供从儿童收集的姓名和在线联系信息,使用目的以及父母可以要求经营者不可进一步使用该等信息并且不能以可检索的形式留存该等信息;或

(E)该网站的运营者或在线服务所需收集,使用或传播该等信息是以下所必需:

(i)保护其网站的安全性或完整性;

(ii)采取预防措施以避免责任;

(iii)回应司法程序;或

(iv)在其他法律规定允许的范围内,向执法机构提供信息或就与公共安全有关的事项进行调查。 


 2.

FTC的合规指引

美国联邦贸易委员会(Federal Trade Commission,简称FTC)是COPPA唯一的监管机构。FTC为COPPA制定了包括《企业六步合规计划》(A Six-Step Compliance Plan for Your Business)在内的合规指南[5], 为企业遵守COPPA提供了实用指引。

合规指南规定 ——“可验证的同意”

合规指南规定 —— 同意的例外

在收集、使用和披露儿童个人信息前,必须征得其父母的可验证的同意。COPPA将这个问题留给企业,但是须通过清晰可用的技术设计,合理选择一个方法以确保作出同意的是儿童的父母,而非儿童本人,这点非常重要。

可接受的方法包括:

(1)父母签署一个同意表格并通过传真、邮箱或电子扫描方式邮寄;

(2)让父母使用信用卡、借记卡或其他在线支付系统等可以向账户持有人提供每笔单独交易的通知的系统;

(3)使父母可以通过免费号码与经过相关知识培训的人员通话;

(4)使父母可以与经过相关知识培训的人员进行视频会议;

(5)使父母提供政府颁发的可在数据库中查询的ID复印件,但要在完成认证程序后删除认证记录;

(6)使父母回答一系列对于父母之外的人很难回答的问题;

(7)验证由父母提供的父母的驾照和父母本人照片,通过人脸识别技术进行对比。

如果仅将儿童的个人信息用于内部目的而不会披露,可以使用 “电子邮件+”的方法。根据该方法,向父母发送电子邮件并让他们回复以表示同意。然后,必须通过电子邮件,信件或电话向父母发送确认。如果使用“电子邮件+”,必须让父母知道他们可以随时撤销他们的同意。

   

必须让父母选择允许收集和使用他们孩子的个人信息,而不能捆绑式同时同意向第三方披露该信息。如果对父母已经同意的收集,使用或披露做法进行了更改,必须向父母发送新通知并征得父母的同意。

一般而言,在收集儿童的个人信息之前,必须获得家长的可验证同意。 但是,该要求有一些有限的例外情况,允许在未经父母同意的情况下收集信息。 但是在每个例外情况下可能收集的信息范围很窄。不能再收集任何例外之外的信息。 此外,如果根据其中一个例外收集信息,则不能将其用于任何其他目的或将其披露。

(1)事由:获得可验证的父母同意

可收集儿童和父母的姓名和在线联系信息,如果未在合理时间内获得同意,则必须删除其联系信息。必须在直接通知中告知父母相关信息(包括链接到隐私政策);

(2)事由:主动向父母通知他们的儿童参与或接受不收集个人信息的网站或服务

可收集家长的在线联系信息,但必须在直接通知中告知父母相关信息(包括链接到隐私政策);

(3)事由:直接回应儿童的特定一次性请求(例如,如果儿童想要参加比赛)

可收集儿童的在线联系信息,不能使用这些信息来再次联系该儿童,响应请求后,必须将其删除。无需直接通知;

(4)事由:直接回应儿童的多次特定要求(例如,如果儿童想要收到时事通讯)

可收集儿童和父母的在线联系信息,不能将此信息与从儿童收集的任何其他信息相结合。但必须在直接通知中告知父母相关信息(包括链接到隐私政策);

(5)事由:为保护儿童的安全

可收集儿童和父母的姓名和在线联系信息,但必须在直接通知中告知父母相关信息(包括链接到隐私政策);

(6)事由:保护您网站或服务的安全性或完整性,防范责任,回应司法程序,或在法律允许的情况下,向执法部门提供信息

可收集儿童的姓名和在线联系信息,无需直接通知;

(7)事由:为站点或服务的内部操作提供支持

包括:维护或分析网站的运作,执行网络通信,验证网站用户或个性化内容,提供内容相关广告或频次上限,保护用户或网站的安全性或完整性,法律或监管合规,或根据前文一次性联系或多次联系儿童的例外的请求。

可收集持久标识符(又称“单一标识符”),不能使用该信息与特定人员联系,包括通过行为广告,收集特定人员的个人资料或用于任何其他目的。如果收集持久标识符以外的个人信息,则不能使用此例外。无需直接通知;

   

(8)事由:如果确实知道某主体的信息是通过导向儿童的网站收集的,但他们之前的注册表明此该主体是13岁或以上,此例外仅适用于:只收集持久标识符而不收集其他个人信息;此主体已确定与网站或服务进行交互以触发收集; 并且已经对该主体进行了年龄筛选,表明他或她已经13岁或以上。可直接收集持久标识符而无需直接通知。


其中关于同意的环节,该合规指引列出了非常明确具体的路径供企业参考,同时对于同意的例外亦进行了事由(目的)、收集数据类型、直接通知以及其他限制条件方面的明确规定。


· 比较与评析


同意的规定

同意的例外

《保护规定》

监护人的明示同意

·  为维护国家安全或者公共利益;

·  为消除儿童人身或者财产上的紧急危险;

·  法律、行政法规规定的其他情形。

COPPA

父母的可验证的同意(并且在合规指引中明确了具体的实践方法)

·   出于通知以获得可验证同意的目的收集;

·   出于特定的响应儿童一次或多次请求的目的收集(目的和数据类型均有严格限制);

·   保护儿童安全(目的和数据类型均有严格限制);

·   保护其网站的安全性或完整性;采取预防措施以防范责任;回应司法程序;或在法律其他规定允许的范围内,向执法机构提供信息或就与公共安全有关的事项进行调查(目的和数据类型均有严格限制)。


《保护规定》和COPPA均规定了监护人的明确同意为处理儿童个人信息的前提,并且也均规定了同意的例外情形。最大的区别为,COPPA经过近20多年的实施,在合规实施的颗粒度和落实程度方面更胜一筹:在同意方面,其合规指引直接列举了明确的验证父母同意的途径;在例外情形层面,除了与《保护规定》相同或近似的公共安全、保护儿童安全以及法律法规另行规定外,对于企业正当的不会对儿童权益造成实质性影响的行为(如保护网站安全完整等)严格限定的同时也允许该等例外情形发生。《保护规定》只是草案,相对而言规定较为概括,在接下来的正式文本制定以及相关标准出台的过程中,COPPA的上述操作具有一定的借鉴意义。涉及儿童个人信息处理的企业可尝试吸收学习上述合规要求,厘清企业收集儿童数据的事由,并探讨是否会落入可能的例外情形中,为自身即将面临的合规义务做好准备。



【注] 

[1]《App违法违规收集使用个人信息行为认定方法(征求意见稿)》七、侵犯未成年人在网络空间合法权益的情形。

[2] 网络视频平台全面推进防沉迷系统http://www.cac.gov.cn/2019-05/28/c_1124550009.htm,访问日期:2019年06月04日。

[3] 15 U.S.C. §§ 6502. (b) (1).

[4]15 U.S.C. §§ 6502. (b) (2).

[5] Children’s Online Privacy Protection Rule: A Six-Step Compliance Plan for Your Business, 链接:https://www.ftc.gov/tips-advice/business-center/guidance/childrens-online-privacy-protection-rule-six-step-compliance, 访问日期:2019年06月04日。

End

 作者简介

陈际红  律师


北京办公室  合伙人

业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网

吴佳蔚  律师 


北京办公室  知识产权部


罗芸  律师 


北京办公室  知识产权部

作者往期文章推荐:

小数据安全法出台 |《数据安全管理办法(征求意见稿)》解析

等保2.0国家标准颁布,看十大“硬核”变化

《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》

《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》

《实施半年后再修订:《信息安全技术个人信息安全规范》应时而变》

《四部门重拳出击App个人信息乱象,企业如何有效应对?》

《电商法元年面面观 | 新时期跨境电商企业合规要点图鉴》

《致敬数据合规元年 | 表析《网络安全法》配套法律法规和规范性文件》

《致敬数据合规元年 | 2018《网络安全法》执法案件大盘点》

《他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展》

《盘点2018 | 致敬数据合规元年,网络安全年度法律评论》

《新机遇 新挑战 | 公安机关网络安全执法的常态化之路》

《PIA指南来了 | 数据保护合规,企业应该怎么做?》

《挑战与应对 | 企业视角的GDPR,几个重要看点》

《企业如何适用<个人信息安全规范>》

《<网络安全法>执法案件汇总及执法重点分析》


特别声明:

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。


如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。


点击“阅读原文”,可查阅该专业文章官网版。

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存