作者:通力律师事务所 潘永建 | 邓梓珊 | 沙莎
近年来, 我国未成年网民规模持续扩大, 网络平台的多样化和大数据的运用使得未成年人暴露在公开网络中的信息日益增多。由于儿童群体对个人隐私的敏感度普遍不高, 对个人信息的保护能力较弱, 在社会交往活动中往往面临更高的信息泄露风险。2019年8月22日, 国家互联网信息办公室(“网信办”)正式颁布《儿童个人信息网络保护规定》(以下称“新规”), 该法规将于2019年10月1日正式生效。作为我国第一部对儿童个人信息进行专门保护的规定, 新规的生效必将对儿童个人信息的保护发挥重要作用。
网信办曾在2019年5月31日发布《儿童个人信息网络保护规定》(征求意见稿), 新规对该版征求意见稿的修改主要集中在以下几个方面:
新规突出了儿童信息的重要性, 新增“任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。”2011年国务院颁布的《互联网信息服务管理办法》列举了八类不得制作、发布、传播的网络信息, 包括国家安全、社会稳定、淫秽色情、侮辱诽谤、暴力恐怖信息等。新规将儿童个人信息纳入这一范畴, 体现出儿童个人信息的重要地位, 这要求网络运营者必须建立健全各项信息安全管理制度, 杜绝任何侵犯儿童个人信息的行为出现。
新规强调了监护人在儿童信息保护过程中的职责, 在征求意见稿的基础上增加“儿童监护人应当正确履行监护职责, 教育引导儿童增强个人信息保护意识和能力, 保护儿童个人信息安全。”
监护人是儿童日常生活中关系最亲密的人, 也最容易掌握儿童参与网络活动的情况。征求意见稿着眼于强调网络运营者的责任, 未提及儿童监护人应尽到监护职责, 监护人应具备主动保护儿童个人信息的责任和能力。新规增加这一规定, 对监护人提出相应要求, 即应当对儿童运用个人信息进行网络活动予以正确的指导和帮助, 增强儿童自我保护能力, 体现出儿童信息保护的“内外兼修”。
将“明示同意”改为“同意”是新规对征求意见稿的重大改变。征求意见稿中多次强调网络运营者收集、使用、储存、转移、披露儿童个人信息的, 应当以显著、清晰的方式告知儿童监护人, 并应当征得儿童监护人的明示同意, 明示同意应当具体、清楚、明确, 基于自愿。2012年《公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)指出, “收集个人一般信息时, 可认为个人信息主体默许同意, 如果个人信息主体明确反对, 要停止收集或删除个人信息; 收集个人敏感信息时, 要得到个人信息主体的明示同意”。2018年《个人信息安全规范》(GB/T 35273-2017)也提到, 收集个人信息前, 应获得个人信息主体的授权同意; 收集个人敏感信息时, 应取得个人信息主体的明示同意。可见, “明示同意”与“同意”虽然仅两字之差, 却体现出对网络运营者的特殊责任要求。新规将“明示”二字删除, 实质上降低了对网络运营者的要求。
虽然《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规均未要求网络运营者收集个人信息时需要征得用户的“明示”同意, 但儿童信息作为个人信息领域内的特殊部分, 应当给予特殊保护。《个人信息安全规范》指出, “14周岁及以下儿童的个人信息属于敏感信息”; “收集个人敏感信息时, 应取得个人信息主体的明示同意; 收集年满14的未成年人的个人信息前, 应征得未成年人或其监护人的明示同意, 不满14周岁的, 应征得其监护人的明示同意。”征求意见稿要求“明示同意”正是与这一国标要求相互辉映。
和《网络安全法》等法规未作“明示同意”的严格要求同理, 新规将“明示”删除, 可能基于多方因素考量, 首先, 现有生效法规并未要求收集个人信息时需要取得个人信息主体的明示同意, 新规删掉“明示”一词与上位法《网络安全法》保持一致, 仍然是为了保证法律的可执行性而持保守的立场; 其次, 网络运营者在实践中若需要取得监护人的“明示”同意, 难度较大、成本较高。删掉“明示”一词, 降低了网络运营者的操作难度和合规成本, 否则很可能直接打击网络运营者的合规意愿。
网络运营者需要注意, 新规的这一更改这并不意味着网络运营者可以降低对儿童信息的保护程度。参照近期美国发生的儿童信息保护案例, 2019年2月27日, MUSICAL.LY(现为“TikTok”)因侵犯儿童网路隐私而受到美国联邦贸易委员会的处罚。其在明知儿童使用该应用程序的前提下, 未征得监护人同意而向儿童收集信息, 包括姓名、电子邮件和其他个人信息。这一行为构成违反《儿童网络隐私保护法》(Children’s Online Privacy Protection Act, “COPPA”), MUSICAL.LY将为此支付570万美元的巨额罚款。类似的处罚案例在中国也在逐渐增多[1] , 虽然罚款数额没有如此之巨, 中国的网络运营者在未来面对儿童个人信息这把“达摩克利斯之剑”时, 也需谨慎对待。
新规删除了若干不经过监护人同意获取儿童信息的情形, 仅在儿童信息披露方面, 保留“法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的”, 可以不再征得监护人的同意。这也意味着, 网络运营者收集、使用、转移儿童个人信息必须取得监护人同意。新规也将征求意见稿中提到的两项例外情况删除: 为维护国家安全或者公共利益、为消除儿童人身或者财产上的紧急危险。网络运营者在未来很难援引以上“正当”理由, 为自身侵犯儿童个人信息的行为进行抗辩。这一改变也明显提高了对儿童信息的保护程度, 凸显监护人对儿童信息保护的重要作用。
新规将征求意见稿中“网络运营者需设立个人信息保护专员负责儿童个人信息保护”的规定予以删除, 也取消了适用于儿童的用户协议的内容要求。
新规将“网络运营者和第三方共同使用”的情形删除, 杜绝网络运营者与第三方共同使用、共享儿童信息的情况。
新规增加了儿童及监护人的投诉、举报方式和更正、删除儿童个人信息的方法, 明确了监护人的救济途径。
正如上文分析, 就收集儿童个人信息是否应当取得监护人的“明示”同意这一点, 法律法规与国标之间存在差别。《App违法违规收集使用个人信息行为认定方法(征求意见稿)》《数据安全管理办法(征求意见稿)》《未成年人网络保护条例(送审稿)》要求收集使用儿童个人信息征得其监护人“同意”, 新规与上述规定保持一致, 并未要求同意必须“明示”。与此不同, 国标《个人信息安全规范》则要求必须取得监护人的“明示”同意, 即个人信息主体(监护人)通过书面声明或主动做出肯定性动作, 对其个人信息进行特定处理做出明确授权的行为, 包括主动作出声明、主动勾选、主动点击“同意”等。
正如前文所述, 新规将“明示同意”改为“同意”并非希望降低对儿童个人信息的保护程度。这一改变在与上位法保持一致的同时, 考虑到现实情况, 网络经营者在短期内达到“明示”要求确有难度, 过于严苛的要求可能并不能取得良好的社会效果, 甚至会在一定程度上削弱网络运营者提供相关服务的能力或打击合规意愿, 弄巧成拙。中国个人信息保护体系正在逐步建立, 在国标已经制定较高标准的情况下, 立法者设置一定的缓冲期, 符合我国目前个人信息保护的国情。在征求意见稿中设置“明示同意”的要求, 可能也是对于市场情绪的试探, 而且新规并非初次做此尝试, 未来国家对个人信息保护的规定程度一定会趋于严格。
近年来, 线上教育类网络运营商日益增多, 学习类APP琳琅满目, 这些线上教育平台在为学生提供便利化的同时, 也隐藏着大量风险。工业和信息化部(“工信部”)从2018年第三季度开始, 在《工业和信息化部关于电信服务质量的通告》中加入了“关于用户个人信息保护检查发现问题”的情况通告[2] , 诸多软件存在违规处理手机个人用户信息的现象。2019年7月1日, 工信部通报电信和互联网用户个人信息保护监管情况(2019年第2号)。在对100家互联网企业106项互联网服务进行抽查中发现, 18家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务等问题[3] , 涉及企业包括与儿童信息较为相关的学而思网校等。根据2018年南方都市报新业态法治研究中心对30家热门K12在线教育类App的测评, 诸多教育类APP在收集、存储、使用用户信息过程中均存在侵害隐私的现象。例如, 14家APP没有专门的隐私政策, 有些既没有用户协议或隐私政策, 也未承诺会保护用户数据; 20家APP不支持用户自行注销账户, 甚至用户注销账户后, 教育类APP后台仍旧对用户个人信息进行存储, 并利用这些信息推销课程[4]。
针对线上教育类网络运营商在经营中存在的诸多问题, 2018年12月, 教育部发布《关于严禁有害APP进入中小学校园的通知》, 要求进入校园的学习类APP必须保障学生信息和数据安全, 防止泄露学生隐私。2019年7月, 教育部等六部门发布《关于规范校外线上培训的实施意见》, 要求校外在线培训机构保障学生信息安全。其中包括落实网络安全等级保护制度、网络安全预警通报制度和用户信息保护制度, 要求线上教育培训机构具备完善的安全保护技术措施, 不得非法出售或者非法向他人提供培训对象信息。与之相比, 新规的内容更加细化, 在儿童个人信息的收集、使用、储存、转移、披露方面提出了明确的要求。对于针对14周岁及以下儿童提供在线教育和培训服务的网络运营商而言, 应当及时根据新规做好合规工作。在新规出台之前, 中国已有多家教育机构因侵犯个人信息遭到行政处罚, 例如, 2017年杭州市市场监督管理局对包括美数乐教育咨询有限公司、晶盈教育科技有限公司在内的多家教育机构进行查处, 部分行政处罚高达30万元人民币。这些教育机构以购买等方式收集儿童的姓名、性别、出生日期以及儿童父母姓名、住址、联系电话等信息, 用于开拓生源, 推销培训课程, 这些机构在收集上述儿童及其父母的个人信息时, 并无相应被收集信息的儿童父母同意或者授权的记录, 也未向被收集人“明示收集、使用信息的目的、方式和范围”。
由此可见, 在内容更具针对性、更加细致具体的新规《儿童个人信息网络保护规定》出台后, 执法机关具备了更为坚实、明确的执法依据, 将有可能对侵犯儿童个人信息的违法行为重拳出击。无论是教育类、消费品类、信息服务类还是其他涉及儿童个人信息营销、管理的网络运营者, 都应尽快按照新规做好合规工作。附: 新规还将征求意见稿中的“国家互联网信息办公室”修改为“网信部门”; 将具体的处罚规定删除。
【注释】
[1] 见本文“结语”部分。
[2] 参见工业和信息化部关于电信服务质量的通告(2018年第4号), http://www.miit.gov.cn/n1146290/n1146402/n7038720/c7048061/content.html
[3] 参见工业和信息化部关于电信服务质量的通告(2019年第2号), http://www.miit.gov.cn/n1146295/n1652858/n1652930/n4509627/c7021505/content.html
[4] 参见个别在线教育App辣眼睛!惊现大量软色情内容, 配图大尺度https://mp.weixin.qq.com/s/bSFEZxKkp25dDXnsZmkHpg
作者:
>
潘永建 律师
合伙人
通力律师事务所
>
邓梓珊
通力律师事务所
>
沙莎
通力律师事务所
如您希望就相关问题进一步交流,请联系:
潘永建律师
+86 136 2172 0830
+86 21 3135 8701
david.pan@llinkslaw.com
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!