通力法评 | 《儿童个人信息网络保护规定》解读——从医疗健康企业的视角

作者：通力律师事务所   杨迅

注: 本篇文章独家授权威科先行法律信息库发布, 欢迎微信个人用户转发; 未经许可, 微信公众号不得转载。

根据《儿童信息规定》, 网络运营者在中国境内通过网络收集, 储存, 转移, 披露儿童个人信息的, 均受到这部行政规章的规制。可见, 《儿童信息规定》是对中国境内的行为具有管辖权。无论行为主体是否是中国公民或中国企业, 只要在中国境内从事了涉及儿童个人信息的有关工作, 都受这部规章的管辖。外国公司在中国境内通过网络收集儿童个人信息的, 也必须遵守《儿童信息规定》。《儿童信息规定》所称的网络运营者, 如同《网络安全法》的定义一样, 不仅包括传统上的互联网企业, 也包括在零售、医疗、健康, 科研, 交通, 教育等行业使用APP或其他网络终端, 以及通过可穿戴设备收集个人信息的网络运营者。以医疗健康行业为例, 如果为儿童提供治疗服务或开展针对儿童的临床实验时, 通过网络收集处理儿童有关个人信息的, 或者在远程医疗设备上收集儿童有关的诊疗和健康信息的, 都会被纳入这部行政规章的管辖范围。

《儿童信息规定》进一步强化和细化了《网络安全法》下个人信息保护的要求, 并对网络运营者再收集, 储存, 转移和披露儿童个人信息上提出了具体的行为准则。实际上, 这些准则也并不是凭空产生的, 他们在很大程度上是借鉴了之前的立法实践。 

(一) 对《电信和互联网用户个人信息保护规定》的借鉴 

《网络安全法》仅仅对个人信息保护提出了原则性的规定。但是, 工信部2013年颁布和实施的《电信和互联网用户个人信息保护规定》则有着较为具体的, 针对收集和使用电信用户和互联网用户个人信息的规则。《儿童信息规定》的内容在很大程度上参考了本规定的内容。

第一, 《儿童信息规定》规定收集个人信息所需要告知的事项, 包括收集, 使用个人信息的目的、方法, 查询或更正个人信息的途径, 以及拒绝收集个人信息可能带来的后果; 第二, 《儿童信息规定》要求网络运营者采取加密等技术措施, 保障个人信息安全; 第三, 在发生重大个人信息泄露事件时, 《儿童信息规定》要求网络运营者向主管机关报告。

实际上, 《儿童信息规定》将原先仅仅适用于保护电信和互联网用户个人信息保护的要求扩展适用到所有涉及收集, 储存, 转移和披露儿童个人信息的所有网络运营者。换而言之, 对于医疗健康企业而言, 他们并不是电信经营企业, 也并不一定构成互联网经营企业, 但是只要在医疗活动中, 在临床试验中, 将儿童个人信息录入计算机系统或者通过远程医疗设备收集儿童个人信息的, 都将适用类似于《电信和互联网用户个人信息保护规定》中的相对具体和严格的规定。

这些规定对于一直以来以高标准开展个人信息保护实践的医疗健康企业而言, 可能并不构成沉重的额外负担, 但是个人信息保护水平较弱的企业而言, 则意味着他们有必要采取措施以提高保护水准。

(二) 对《个人信息安全规范》的借鉴

针对《网络安全法》下对个人信息保护的规定比较原则性这一情况, 2018年5月1日生效的《个人信息安全规范》则将《网络安全法》下的这些规定具体化, 并在事实上成为保护个人信息的重要行为指引。《儿童信息规定》也借鉴了《个人信息安全规范》的部分规则。比如, 第一, 隐私保护政策, 必须清晰易懂; 第二, 信息主体可以撤回收集个人信息的同意; 第三, 网络运营者在转移儿童个人信息或者委托第三方处理儿童个人信息时, 要开展安全评估。这些具体要求都可以在《个人信息安全规范》中找到踪迹。

《儿童信息规定》对《个人信息安全规范》的借鉴, 实际上意味着将《个人信息安全规范》中一些推荐性的行为标准, 通过立法程序上升到行政规章的层级, 从而成为具有法律约束性的行为准则。这对于一些轻视甚至忽略推荐性标准的企业而言, 则意味着其需要大力提升其个人信息保护水平。

即使很多大型的医疗健康企业在《儿童信息规定》出台之前, 已经参照《个人信息安全规范》制定了保护个人信息的行为准则, 但是在具体适用该些规则时, 仍然可能存在一些困难。比如《儿童信息规定》要求隐私保护政策必须清晰易懂, 但在医疗行业, 比如临床试验过程中本身存在大量医学术语的情况下, 隐私保护政策在多大程度上能够做到清晰易懂?又如, 在国际化处理儿童个人信息的过程中, 将儿童的个人信息传输到境外, 是否意味着同时要经过个人信息转移的安全评估和信息出境的安全评估?前者根据《儿童信息规定》应当由企业自行或委托第三方评估, 后者则根据2019年6月13日发布的《个人信息出境安全评估办法(征求意见稿)》由省级网信部门组织评估。

(三) 《儿童信息规定》的新设行为要求

在《儿童信息规定》中有两条新设的要求, 值得引起注意。

其一, 根据《儿童信息规定》第八条, 网络运营者应当设置专门的儿童个人信息保护规则和用户协议, 并指定专人负责儿童个人信息保护。这条规定似乎要求企业在收集和使用成人的个人信息保护规则之外, 还必须另行制定关于收集和使用儿童个人信息的保护规则。对于保护水准比较高的企业而言, 二者是不是可以是基本相同的?此外, 负责儿童个人信息保护的个人必须是全职的, 还是可以与企业现有的隐私或信息安全负责人是同一个人?

其二, 根据《儿童信息规定》第十五条, 网络运营者工作人员访问儿童个人信息的, 应当经过儿童个人信息保护负责人或者其授权的管理人员审批, 记录访问情况, 并采取技术措施, 避免违法复制、下载儿童个人信息。这条规定要求企业建立严格的内控制度。虽然这并不是难以实现的管理措施, 却也会给企业带来不小的行政负担。尤其是, 在医疗活动中, 或者使用可穿戴设备的过程中, 儿童个人信息和成人个人信息可能是混合在一起的, 这项要求也实际上拔高了对成人个人信息的保护水准。

《儿童信息规定》是在《网络安全法》之后, 第一部正式颁布生效的具体规范个人信息保护要求的行政规章。它不是指南或指引, 而是正式的规范性文件; 它也不是征求意见稿, 而是已经颁布的行政规章。它给企业带来重要启示。

一方面, 《儿童信息规定》为保护儿童的个人信息设定了较高的标准。对于医疗健康企业而言, 无论在诊断活动中还是在研究过程中, 抑或是通过移动可穿戴设备收集个人信息, 儿童的个人信息和成人的个人信息往往一同收集和存放。如果将二者分离开适用不同的准则, 不仅成本巨大, 而且业务上可能也不可行。因而, 实际的结果可能就是儿童和成人的个人信息保护都适用一个较高的规则。并且, 实际上也由一个或一组隐私专员管理负责。

另一方面, 作为一部加强保护个人信息的行政规章, 《儿童信息规定》在很大程度上细化了《网络安全法》下的个人信息保护规则。这些规则在很大程度上也可能会成为后续个人信息立法的参照。尤其是, 对于医疗健康行业, 在业务活动中接触的信息很有可能涉及个人健康, 其敏感性要求适用较高的个人信息保护水准。因此, 《儿童信息规定》中的有关要求, 可以作为医疗健康企业制定隐私保护政策的参照。

作者：

长按下图识别二维码关注我们

© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。

点击“阅读原文”，直达通力官网了解更多资讯！