汇业评论 | 儿童个人信息保护落地:美好愿望与合规成本的平衡
文 | 黄春林 合伙人 黄天一 汇业律师事务所
《儿童个人信息网络保护规定》自2019年10月1日生效一个月以来,因法律规定的模糊性,以及缺乏有效的执法标准和行业实践指导,如何有效平衡保护儿童个人信息的美好愿望与合理的企业合规成本,成为困惑众多企业的重要合规问题。
就中国儿童个人信息保护合规落地策略,经过一段时间的项目实践探索,在参考近期立法趋势、国际执法与企业实践的基础上,汇业律师事务所黄春林律师团队简要评析如下:
一、 关于儿童的范围
与《个人信息安全规范》、《数据安全管理办法(征求意见稿)》等一脉相承,《儿童个人信息网络保护规定》明确将不满十四周岁的人定义为儿童。而欧盟GDPR中的儿童,通常为未满十六周岁。
与之相关的,我国《民法总则》、《未成年人保护法(修订草案)》将十八周岁以下的人定义为未成年人。因此,若企业的隐私政策中规定了未成年人个人信息保护专门条款的,可以不用特别更新为儿童个人信息保护专门条款。
此外,《儿童个人信息网络保护规定》的合规要求不看主体,仅看行为。即:不论企业是否在境内注册,亦不论儿童是否具有中国国籍,只看收集、存储、使用、转移、披露等行为是否发生在境内。这也符合《未成年人保护法(修订草案)》第二条关于外籍、无国籍未成年人的同等保护原则。
最后,按照《儿童个人信息网络保护规定》第二十八条规定并参照国际通行的惯例,对儿童身份的识别采取“形式确认”而非“客观确认”原则。即只要通过目标市场、注册年龄等形式上确认用户是/不是“儿童”,而无须客观确认“儿童”确实不满/满十四周岁。例如,一个用户注册时填写的年龄为十四周岁以下的,不论是否真实为儿童,在儿童个人信息保护合规方面即视其为“儿童”;相反的,一个用户注册时填写的年龄不明,或者为十四周岁以上的,在儿童个人信息保护合规方面即视为非儿童。
二、 关于网络运营者的范围
根据《网络安全法》、《数据安全管理办法(征求意见稿)》等规定,网络运营者是指“网络的所有者、管理者和网络服务提供者”。这里的网络运营者并不是单单指典型互联网公司,也包括那些触网(包括但不限于开设网站、社交媒体、电商平台旗舰店、内部网络系统等)的传统企业。
但是,并非所有的网络运营者都需要遵守中国儿童个人信息保护相关的合规要求。参照美国COPPA规定及FTC执法实践,汇业律师事务所黄春林律师团队的理解,满足下列条件的网络运营者应当遵守中国儿童个人信息保护相关的合规要求:
1. 在中国境内收集、处理儿童个人信息的网络运营者。
参照个人信息出境相关法律规定及标准,“中国境内”标准包括但不限于:主体注册在境内;服务器或设备在境内;使用境内支付、物流方式;主要使用中文语言;等等。
2. 能够识别儿童身份的网络运营者。
实践中,符合如下情形的,推定为网络运营者能够识别儿童身份,即便声称不接受儿童用户:(1)主要面向儿童市场,例如儿童教育、儿童游戏等产品;(2)收集了能够识别儿童身份的个人信息,例如注册年龄/生日、人脸/声纹等生理信息(且具有年龄识别功能)的;(3)有合理理由推定的,例如家长投诉、企业自认等。
三、 如何设置儿童隐私政策
针对《儿童个人信息网络保护规定》第八条的理解与适用,企业在开展儿童个人信息保护合规时存在如下困惑:何为“专门的”;“保护规则”和“用户协议”到底指什么;何时展示隐私政策;等等。针对上述困惑,汇业律师事务所黄春林律师团队认为:
1. 关于专门的理解
专门面向儿童市场的网络产品,当然会有专门的儿童个人信息保护规则和用户协议;而那些面向一般市场的网络产品,符合第二部分第2条规定,参照《个人信息安全规范》附录的隐私政策编写要求,可以是单独成章,也可以单独成文(推荐,以符合“显著、清晰的方式”合规要求,也便于同意合规)。
2. 关于文本的理解
法条文意上要求是“保护规则和用户协议”,这里有两种不同的理解:
(1)“保护规则”等同于隐私政策,因此这里应当理解为“隐私政策+用户协议”;
(2)这里的“用户协议”其实就是指“隐私政策”,“保护规则”指的则是企业内部的儿童个人信息保护的制度、指引等。
我们更倾向于第(2)种理解。因为,“用户协议”通常是规范服务提供方与用户的基本的、全面的合同条款,包括主体适格、合同生效、免责及争议解决等综合性条款,显然与该规定仅针对儿童的个人信息保护不匹配。关于“保护规则”的理解,结合后面对人员的要求,也体现了网络安全保护的制度、人员、措施三位一体的合规要求。
3. 关于隐私政策的展示
对于大多数面向一般市场的网络运营者而言,按照《互联网个人信息安全保护指南》、《App违法违规收集使用个人信息自评估指南》等规定在首次注册、首次登陆等时候都展示通用版和儿童版隐私政策,显然不合适。我们认为,面向一般市场的网络运营者应当在下列时候展示儿童版隐私政策:
(1)注册时需要提交年龄/生日、人脸/声纹等个人信息时,系统判断/识别出儿童身份时,应展示儿童版隐私政策;
(2)2019年10月1日前已注册且提交了年龄等识别信息的,应当至少在儿童再次登录时展示儿童版隐私政策;
(3)其他收集儿童个人信息的场景(例如订制版儿童商品、儿童营销活动),应展示儿童版隐私政策。
4. 关于儿童隐私政策内容
考虑到儿童隐私政策的大量内容和通用版隐私政策内容相同,我们一般建议采取“特殊条款+指引标准版隐私政策”的方式。其中儿童隐私政策的特殊条款,我们建议至少应当包括如下内容:
(1)儿童隐私保护承诺;
(2)监护人同意提示条款;
(3)儿童特殊个人信息收集、使用的目的、方式及范围;
(4)儿童个人信息保护的特殊规则披露;
(5)儿童个人信息保护(含更正、删除)专门渠道及联系方式;等等。
四、 如何征得监护人同意
征得儿童监护人的同意,既是对作为敏感信息的儿童个人信息的特殊保护,也是民法上关于限制民事行为能力人的民事行为效力的特殊规定(即,限制民事行为能力人实施民事法律行为由其法定代理人代理或者经其法定代理人同意、追认)。
但是如何取得儿童监护人的同意,以及如何识别监护人关系/身份,这需要在保护儿童个人信息的美好愿望与企业合规成本之间寻找到一个平衡。即便严格如欧盟GDPR,以及COPPA,也仅规定要“考虑现有技术水平”、“合理的努力”去核实监护人同意。
《数据安全管理办法(征求意见稿)》、《儿童个人信息网络保护规定》仅规定了需要监护人同意,《个人信息安全规范》也仅规定了明示同意,均无对监护人身份验证的要求。因此汇业律师事务所黄春林律师团队理解:
(1)考虑到我国绝大多数网络应用均需要手机号码及短信验证(儿童办理手机号码需要监护人陪同并签署承诺),参考COPPA能够接受信用卡作为家长验证的规定,我们认为已经具备了现有技术条件下的合理努力;
(2)从明示同意的角度,我们建议在展示儿童版隐私政策的同时展示监护人同意书,并通过分别勾选的方式明示同意;
(3)从成年人处收集儿童个人信息的(例如成年人上传儿童照片或信息),是否需反向获得儿童的同意,这倒是个有趣的话题。毕竟,《未成年人保护法(修订草案)》第六十三条规定,“收集、使用、保存未成年人个人信息的,应当符合国家有关规定,且经过未成年人及其父母或者其他监护人同意。”
五、 儿童个人信息保护的其他合规要点
此外,根据《儿童个人信息网络保护规定》、《个人信息安全规范》及《未成年人保护法(修订草案)》等规定,企业在中国境内收集、处理儿童个人信息的,还应当遵守如下合规要求:
(1)指定专人负责儿童个人信息保护。实践中的问题,该专人是否可以由例如DPO兼任?是否有国籍限制?是否可以集团共享?
(2)建立内部控制机制,以最小授权为原则,严格设定信息访问权限及授权机制,控制儿童个人信息知悉及接触范围,完善记录档案机制等等;
(3)完善儿童个人信息保护教育与培训机制;
(4)建立儿童个人信息安全影响评估机制;等等。
此外,一个关键的制度设计缺陷是,不论是《儿童个人信息网络保护规定》还是《未成年人保护法(修订草案)》,仅规定了网络领域的儿童个人信息保护合规要求,而线下广泛的儿童个人信息收集、处理行为和场景,用什么法律去规范?
作者往期文章推荐: