未成年人个人信息保护:案例、监管与合规
作者:陈际红 韩璐 薛泽涵
前言
2019年8月22日,国家互联网信息办公室(“网信办”)发布了《儿童个人信息网络保护规定》[1],作为《中华人民共和国网络安全法》(“《网络安全法》”)的配套法规,对14周岁以下未成年人[2]的个人信息保护进行规范,并将于10月1日实施。
随着以教育、学习为主要应用场景的移动互联网应用(“APP”)快速发展,在提高教学水平、满足学生个性化学习需求的同时,一些数据滥用、强制授权、平台垄断等乱象也日益凸显。2019年8月10日教育部等八部门联合发布了《关于引导规范教育移动互联网应用有序健康发展的意见》[3],针对近两年教育类APP的监管工作提出了总体部署方案,从备案管理、内容审核、数据保护、网络安全等多个层面提出了规范性意见。
我们就近期密集出台的未成年人个人信息保护立法与监管动态进行了梳理,为面向未成年人尤其是在校学生提供产品或服务的运营者提供借鉴。
在校学生个人信息保护焦点事件不断
近期,国内外均发生了学校部署人脸识别系统用于日常考勤及纪律管理,从而引发较大争议的事件。人脸识别技术的合理运用、学生个人信息(尤其是面部识别特征等个人敏感信息)收集及使用的合规性问题值得相关企业重点关注。
1. 国内某大学利用人脸识别技术管理学生日常考勤引起舆论关注
国内某大学于今年8月下旬在学校各大校门、学生公寓、试点教室等部分场所安装了人脸识别系统收集学生的面部识别特征等个人敏感信息,以支持门禁管理、日常考勤等管理目的,引发了社会舆论的高度关注[4]。从个人信息保护角度出发,该应用场景涉及的个人信息主体数量较大、数据类型高度敏感、数据使用目的多样,主要存在以下争议:
(1)通过收集学生面部识别特征等个人敏感信息以实现日常考勤与课堂纪律管理,是否满足《网络安全法》规定的正当、必要的原则[5],以及《GB/T 35273-2017 信息安全技术-个人信息安全规范》(“《个人信息安全规范》”)规定的最小必要要求[6];
(2) 学校及相应系统供应商对学生面部识别特征等个人敏感信息的收集和使用是否已具备合法基础,即是否获得学生或其监护人[7]的授权同意。进一步来说,面对学校与学生之间“不对等”的主体关系,如何满足相应授权同意的真实有效;
(3)学校在收集个人信息前是否履行了对相应系统供应商数据安全能力的审核义务,是否明确规定了第三方供应商的数据保护义务。
2.瑞典某学校利用人脸识别技术统计学生课程考勤违反GDPR
2019年8月21日,瑞典数据保护机构根据欧盟通用数据保护条例(General Data Protection Regulation, “GDPR”)对瑞典一所学校利用人脸识别系统收集学生面部识别特征等个人信息的行为处以200,000瑞典克朗(约人民币15万元)的罚款[8],这也成为了瑞典历史上的第一个GDPR处罚案例。
在这一事件中,该校收集了参与课堂学习的22名学生的面部识别特征以进行自动化课程登记,相应数据均存储在未连接互联网的本地计算机中,在收集此类生物识别数据前也已征得学生监护人的明确同意。尽管如此,瑞典数据保护机构经调查认为,该校所获得的学生监护人的“同意”在学校和学生之间构成的“不对等”关系下作出,不应视为自愿的“同意”,因此不能作为个人数据处理合法化的依据。同时,该校为统计课堂出勤记录可以采取保护学生个人数据的其他方式进行,为此收集面部识别特征等高度敏感性数据超出了实现目的所必需,并不满足GDPR对于个人数据处理的目的限制和数据最小必要基本原则。此外,瑞典数据保护机构认为学校在进行相应个人数据处理活动前,未进行任何数据保护影响评估,尤其缺乏此类数据处理行为对数据主体权利影响的评估。
目前国内个人信息保护相关立法及执法态度均借鉴了域外数据保护相关法律的立法原则。尽管该事件为域外执法案例,但对于向境外提供产品或服务的境内企业,以及利用新兴技术从事教育行业的相关企业而言,其指导意义是不言而喻的。对于收集个人信息尤其是学生的个人信息,一刀切的授权同意已经不再满足日趋严格的执法要求,建议企业结合数据应用场景、使用目的、手段必要性、授权同意的真实意思表示、双方权利分配等因素,多方位综合判断数据处理合法依据是否有效。同时,在收集个人信息之前,相关企业应当进行数据保护影响评估工作,以明确风险并采取一定技术和制度措施有效降低风险。
国内有关未成年人个人信息保护的立法及监管趋严
1.《儿童个人信息网络保护规定》于2019年10月1日正式生效
2019年8月22日,网信办发布了《儿童个人信息网络保护规定》,作为《网络安全法》的配套法规对14周岁以下未成年人(“儿童”)的个人信息保护进行了统一规范,其作为国家层面发布的儿童个人信息保护专门立法对各行业各领域涉及儿童个人信息的收集、处理活动的企业均具有约束力。该规定将于2019年10月1日正式生效。
从立法框架及其内容上看,该规定沿袭了《网络安全法》对个人信息保护的基本原则,吸纳了《个人信息安全规范》对于个人信息收集、使用、转移、共享、存储、披露、删除等全生命周期的合规保护逻辑及规范要求,突出了儿童个人信息保护的特殊监管要求,同时强调了儿童监护人的监护职责,网络运营者与监护人协同共治的管理思路。对于违反该规定的相关企业,网信部门可依据职责进行约谈,作出处罚并记入信用档案,予以公示。
可以预见,即将生效的《儿童个人信息网络保护规定》将作为执法检查的合规重点,相关企业应当及时排查风险,部署相应的合规措施。为此,我们梳理了儿童个人信息保护核心排查重点如下:
合规要点 | 具体要求 |
规则设定及专岗设置 | 【规则】设置专门的儿童个人信息保护规则和用户协议; 【岗位】指定专人负责儿童个人信息保护。 |
告知及授权同意 | 【基本要求】收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意; 【拒绝】向儿童监护人征得同意时,应当同时提供拒绝选项; 【告知】向儿童监护人明确告知以下事项:收集处理目的、方式和范围;存储地点、期限和超期存储方式;信息安全保障措施;拒绝后果;用户反馈渠道和方式;用户行权途径和方式,等等。如前述事项发生实质性变化的,需再次征得同意。 |
数据收集 | 【约定目的及范围】不得违反法律及行政法规规定和双方约定的目的和范围收集、使用儿童个人信息。因业务需要确需超出约定目的和使用范围的,应当再次征得儿童监护人同意。 |
数据存储 | 【期限】不得超过实现其收集、处理目的所必需的存储期限 【加密】采取加密等措施存储儿童个人信息。 |
内部管理 | 【权限管理】以最小授权为原则,严格设定内部信息访问权限,控制儿童个人信息知悉范围,记录数据访问情况; 【审批及记录】工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。 |
数据转移 | 【事前安全评估】向委托方/第三方转移儿童个人信息的,应自行或者委托第三方机构进行安全评估; 【签署数据处理协议】与委托方/第三方合作处理儿童个人信息的,应当通过签署数据处理协议明确双方责任、处理事项、处理期限、处理性质和目的等儿童个人信息保护相关义务,委托行为不得超出授权范围。 |
个人信息主体权利 | 【更正权】积极采取措施响应、更正儿童或其监护人发现的已收集、处理的个人信息中的错误; 【删除权】当以下情形发生时,积极响应儿童或其监护人提出的个人信息删除要求:
|
安全事件应对 | 【数据主体告知+主管部门报告】当发生儿童个人信息泄露、损毁、丢失等信息安全事件的,启动应急预案,立即向主管部门报告,并以任何可能方式向受影响的儿童及其监护人告知。 |
2.《关于引导规范教育移动互联网应用有序健康发展的意见》
2019年8月10日,教育部、中央网信办、工业和信息化部、公安部、民政部、市场监管总局、国家新闻出版署、全国“扫黄打非”工作小组办公室等八个部门联合发布了《关于引导规范教育移动互联网应用有序健康发展的意见》,并于同日生效。
作为国家层面发布的首个全面规范教育App的政策文件[9],相比于此前发布的《教育部办公厅关于严禁有害APP进入中小学校园的通知》[10]以及《教育部等六部门关于规范校外线上培训的实施意见》[11],该意见不止于中小学,也不局限于校外,而是覆盖各学段教育和各类应用场景的教育移动互联网应用,包括APP、公众号和小程序等移动互联网平台(统称为“教育APP”)。
(1)监管对象及责任主体
从监管对象来看,该意见界定了教育App的内涵和外延,提出教育App是以教职工、学生、家长为主要用户,以教育、学习为主要应用场景,服务于学校教学与管理、学生学习与生活以及家校互动等方面的教育移动互联网应用。从使用场景来看,教育App大致分为三类:1)市场竞争提供、师生自主选用;2)学校企业合作、学校组织应用;3)学校自主开发、部署校内使用。
从责任主体来看,该意见不仅针对教育移动应用提供者(即教育APP运营者),提出了备案管理、内容审核、数据保护、网络安全等多个层面的规范性要求,同时针对教育、网信、电信、公安、市场监管、扫黄打非等职能部门进行协同联动的监管体系建设和“互联网+教育”领域的集中治理工作的整体部署。此外,该意见明确了教育行政部门和学校在教育App推荐、选用及运维中的责任。
(2)近两年“互联网+教育”领域的立法及监管安排
教育部将于近期制定并出台教育移动互联网应用备案管理办法,明确备案方式、内容、对象和时间,实现“一省备案、全国有效”和全程网上办理,并于2019年底,落实并完成教育APP的备案工作。
由教育行政部门牵头,会同网信部门、电信主管部门、公安部门等多部门开展教育移动应用专项治理行动,集中治理利益绑架、信息泄露、低俗信息等问题。
教育行政部门将着手建立推荐机制,形成推荐名单,并向社会公开。同时,建立常态化的监测预警通报机制,教育移动应用的选用退出机制、负面清单和黑名单制度,推动将黑名单信息纳入全国信用信息共享平台。
2020年底,建立健全教育移动应用管理制度、规范和标准,形成常态化的多部门协同治理监管机制,各部门执法重点如下:
监管部门 | “互联网+教育”领域执法重点 |
教育行政部门 |
|
网信部门 |
|
电信主管部门 |
|
新闻出版部门 |
|
民政部门 |
|
市场监管部门 |
|
公安部门 |
|
全国“扫黄打非”工作小组办公室 |
|
(3)教育APP提供者的合规要求
该意见针对教育APP提供者、应用商店等APP分发平台提供者、移动终端制造商提出了备案管理、内容审核、数据保护、网络安全等多个层面的规范性要求,具体如下:
合规要点 | 具体要求 |
备案管理 |
|
内容审核 |
|
数据保护 |
|
网络安全保障 |
|
广告发布管理 |
|
进校合作管理 |
|
合规举措与应对策略
纵观2019年网络安全与数据保护领域的执法行动,自2019年1月中央网信办、工信部、公安部、市场监管总局四部门联合开展App个人信息专项治理工作[12]以来,从全国范围到地方监管的执法力度日益加强。2019年7月, App专项治理工作组先后两次向社会公布了50款违法违规收集使用个人信息的App[13]。2019年6月至9月,上海市通信管理局共监测处置了App应用12000余个,分批次对44家运营单位进行了约谈通报[14]。2019年9月,国家计算机病毒应急处理中心公布《移动APP违法违规问题及治理举措》,曝光多个APP涉嫌超范围收集个人信息、恶意扣费、远程控制等违法违规行为[15]。2019年9月16日至22日,由中央宣传部、中央网信办等十部门联合主办的国家网络安全宣传周活动举办,更加显现出国家对网络安全、数据保护的高度重视。
面对日趋严格的网络安全与数据保护执法大环境,尤其是近期密集出台的有关未成年人、个人信息保护的立法与监管活动,对产品及服务提供者如何平衡商业发展与网络安全与数据保护合规风险提出了严峻挑战。结合上述国内外未成年人个人信息保护立法及监管趋势,我们建议相关企业优化个人信息授权机制,以“制度+技术”双重保障防范风险,具体如下:
(1)结合《网络安全法》、《互联网个人信息安全保护指南》、《儿童个人信息网络保护规定》、《个人信息安全规范》等法律法规及配套国家标准,针对以儿童为主要对象的产品或服务,尤其在使用人脸识别等新兴技术时,应以合规高标准设计个人信息收集、使用的授权同意机制,包括充分告知收集处理规则、获取儿童监护人的明示授权同意,识别监护关系和监护人授权同意的有效性,并通过一定技术措施满足业务功能的逐一授权。企业应当从自身业务模式特点入手,设计有效的识别及身份认证机制,确保相应个人信息处理活动具备合法依据。
(2)在收集个人信息之前,相关企业应当针对数据处理活动的全流程进行数据保护影响评估,并采取一定技术和制度措施有效降低风险,充分保障数据安全。
(3)对于面向儿童提供的产品及服务,还应当采取一定的有害内容预防措施进行内容过滤,同时采取网络使用时长控制等网络沉迷防控手段。对于面向全年龄段用户的产品及服务建议设置儿童模式,并将相应儿童个人信息分割独立存储,以降低网络安全和儿童个人信息保护合规风险。
(4)对于非APP的教育类产品,相关企业也应当对标教育APP的最新监管要求,完善网络安全及个人信息保护制度并优化相应技术措施,以从容应对教育行业的监管变化。
结语
为帮助企业更好的理解中国复杂的执法监管环境,更有效的降低法律风险,我们将结合在网络安全与数据保护领域的广泛实践经验,持续推出系列文章,对立法及政策走向及时进行解读,以期对企业的合规工作有所帮助。
【注]
[1] 详见
http://www.cac.gov.cn/2019-08/23/c_1124913903.htm
[2] 《儿童个人信息网络保护规定》第二条 本规定所称儿童,是指不满十四周岁的未成年人。
[3] 该规定由教育部、中央网信办、工业和信息化部、公安部、民政部、市场监管总局、国家新闻出版署、全国“扫黄打非”工作小组办公室等八个部门联合发布,于发布之日(2019年8月10日)起生效,详见
http://www.cac.gov.cn/2019-09/05/c_1569218551238246.htm 。
[4] 中国药科大学新闻网《我校在江苏省高校中率先全面使用人脸识别系统》
http://news.cpu.edu.cn/d4/b4/c243a119988/page.htm
人民网《中国药科大学用人脸识别考勤引争议 校方回应》:
http://js.people.com.cn/n2/2019/0903/c360307-33317868.html?from=singlemessage
[5] 《中华人民共和国网络安全法》第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
[6] 《个人信息安全规范》5.2收集个人信息的最小必要要求
对个人信息控制者的要求包括:
a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该等信息的参与,产品或服务的功能无法实现;
b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
[7] 对于未满14周岁的未成年人应当获得其法定监护人的授权同意。
[8] 本事例相应事实描述,主要参考瑞典数据监管局针对本案的执法决定书:
https://www.datainspektionen.se/globalassets/dokument/beslut/beslut-ansiktsigenkanning-for-narvarokontroll-av-elever-dnr-di-2019-2221.pdf。
[9] 教育部发布会解读《关于引导规范教育移动互联网应用有序健康发展的意见》
http://www.gov.cn/xinwen/2019-09/05/content_5427621.htm
[10] 详见
http://www.moe.gov.cn/srcsite/A06/s3321/201901/t20190102_365728.html
[11] 详见
http://www.moe.gov.cn/srcsite/A06/s3325/201907/t20190715_390502.html
[12] 2019年1月25日,中央网信办等四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,开展为期一年的App个人信息专项治理工作。详见
http://www.cac.gov.cn/2019-01/25/c_1124042599.htm?from=singlemessage
[13] 2019年7月11日、16日,App专项治理工作组向社会公布了50款违法违规收集使用个人信息的App并督促其运营者限期30日内进行全面整改工作。
[14] 2019年9月17日,上海市通信管理局召开2019年电信和互联网行业网络安全工作大会,对本年度电信和互联网行业网络安全行政检查的总体情况进行了通报,详见
https://news.sina.com.cn/o/2019-09-17/doc-iicezzrq6444914.shtml
[15] 详见
http://www.cverc.org.cn/zxdt/report20190918-5.htm
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
韩璐 律师
北京办公室 知识产权部
薛泽涵
北京办公室 知识产权部
作者往期文章推荐:
《打造中国版的SCC | <个人信息出境安全评估办法(征求意见稿)>评析》
《国家安全更聚焦 |《网络安全审查办法(征求意见稿)》出新招》
《儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些?》
《小数据安全法出台 |《数据安全管理办法(征求意见稿)》解析》
《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》
《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》
《实施半年后再修订:《信息安全技术个人信息安全规范》应时而变》
《致敬数据合规元年 | 表析《网络安全法》配套法律法规和规范性文件》
《致敬数据合规元年 | 2018《网络安全法》执法案件大盘点》
《他山之石 | 从全球数据跨境流动监管政策看我国相关制度发展》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。