查看原文
其他

《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角

王洁 网安寻路人 2020-02-26

近日,国家互联网信息办公室发布了《儿童个人信息网络保护规定(征求意见稿)》(下称“《征求意见稿》”),明确规定了儿童的年龄线设置,并就网络运营者对儿童个人信息的收集、存储、使用、转移、披露要求进行了详细规定。这是我国首次就儿童个人信息保护制定的专门规范性法律文件,对未成年人尤其是儿童的个人信息保护有重要意义。


从世界范围来看,美国是儿童个人信息保护的先行者,在1998年就通过了《儿童在线隐私保护法》(Children’s Online Privacy Protection Act,以下简称“COPPA”),对在线服务运营商儿童个人信息的保护要求作出了详细的规定。此外,作为COPPA的执行机关, Federal Trade Commission(以下简称“FTC”)还发布了(A Six-Step Compliance Plan for Your Business)(以下简称“《企业六步合规计划》”)等指导性文件。本文拟从比较法的视角分析中美儿童个人信息保护规定的异同,并做评析。

 

适用范围


我国《征求意见稿》用于在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,儿童是指不满十四周岁的未成年人。此适用范围是一种事实状态的描述,也就是无论网络运营者是面向儿童提供服务还是提供的一般性网络服务中包含了儿童用户,只要事实上实施了相应的处理儿童个人信息的活动,都需要满足合规的要求,履行相应的义务。       

 

COPPA适用于:


  1. 任何面向儿童(儿童是指未满十三周岁的未成年人)的网站或在线服务运营商。在决定网站或在线服务或其一部分是否面向儿童时,COPPA进一步规定: FTC将考虑其主题、视觉内容、使用动画人物或面向儿童的活动和奖励、音乐或其他音频内容、模特年龄、儿童名人或吸引儿童名人的行为、网站或在线服务的语言或其他特征,以及网站或在线服务上的广告宣传是否针对儿童等因素。此外, FTC还将考虑有关观众构成的有力和可靠的经验证据,以及有关观众预期的证据。


  2. 当网站或在线服务并非面向儿童,而是实际知道(has actual knowledge)正在从儿童收集或维护个人信息时,也应遵守COPPA的规定。


对于非面向儿童的网站或在线服务运营者,FTC在《企业六步合规计划》中指明:“如果您的网站不以儿童为主要受众,您可以选择仅对13岁以下的用户应用COPPA保护。但您应确保:A. 在没有收集年龄信息的情况下,不能从任何用户那里收集个人信息。B. 对于那些说自己未满13岁的用户,在获得可验证的家长同意之前,不要收集任何个人信息。”[i]


结合上述规定,我们也可以清晰的了解今年3月FTC和TikTok就非法收集儿童个人信息的指控达成570万美元和解一案中,为何下述行为被FTC认定为违反了COPPA:(1)自2017年7月起,Musical.ly要求用户在注册时填写年龄信息。如果用户填写的年龄是13岁以下,则无法注册。但在此之前注册的用户,则无需填写年龄。(2)Musical.ly有大量13岁以下用户。Musical.ly上粉丝最多的用户中,有多名是13岁以下的“网红”。(3)在2016年9月15日—9月30日,Musical.ly就收到了300封来自父母的起诉书,要求关闭自己孩子的账户。可是,尽管Musical.ly注销了孩子的账户,但没有删除他们在平台服务器上的视频和个人信息。

 

网络运营者的义务要求


我国《征求意见稿》在坚持《网络安全法》个人信息保护的原则要求下,认同推荐性标准《信息安全技术 个人信息安全规范》中儿童个人信息全部属于敏感个人信息,从个人信息全生命周期进行保护的思路,规定了收集、使用、转移、变更使用目的和范围、与第三方共同使用儿童个人信息时,均需获得监护人的明示同意。


此外,《征求意见稿》还在《信息安全技术 个人信息安全规范》的基础上进行了进一步的细化,主要包括:要求网络运营者设置专门的保护规则、指定专人负责;明确规定向监护人告知的具体事项范围;征得监护人明示同意并提供拒绝选项;内部访问权限最小授权等。


COPPA下运营商需要履行的义务包括:(1)明示规则:在网站或在线服务上提供通知,说明其从儿童处收集的信息、如何使用和披露这些信息;(2)可核实的父母同意:在收集、使用和/或披露儿童的个人信息之前,获得可核实的父母同意(verifiable parental consent)(3)父母审查和拒绝的权利:运营商应为父母提供一种合理的方式,以实现父母可以审查从子女处收集的个人信息,并拒绝允许其进一步使用或维护;(4)合理必要:不以儿童参与游戏、提供奖品或其他有关儿童的活动为条件,要求披露超过参与此类活动的合理必要程度的个人信息;以及(5)保障数据安全:建立和维持合理的程序,以保护从儿童收集的个人信息的机密性、安全性和完整性。[ii]


通过对比,我们可以发现,我国《征求意见稿》和COPPA的整体思路基本是一致的。首先,儿童个人信息的保护需要遵循其他个人信息保护相同的规则,如收集使用存储应遵循合理必要、最小化原则,规则应当清晰明示,不得超出授权范围目的使用披露,保障数据安全,保障撤回和删除个人信息的权利等。其次,对儿童个人信息的同意方式做了不同于其他个人信息的规定,我国要求需征得监护人的明示同意,COPPA则要求获得“可核实的父母同意”。

 

征得同意的实现方式


我国《征求意见稿》要求需征得监护人的明示同意,但明示同意的具体做法在征求意见稿中并未明确。如果参照《信息安全技术 个人信息安全规范》中的规定,明示同意是指通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写或提供等。


COPPA则对“可核实的父母同意”的认定标准、具体方法、认定程序都做了详细的规定,具体包括:


  1. 认定标准:任何获得可核实父母同意的方法必须考虑现有技术并尽合理努力,以确保提供同意的人是孩子的父母。


  2. 可核实的父母同意的现有具体方法:A. 提供由父母签署的同意书,并通过邮寄、传真或电子扫描方式返还给运营商;B. 要求父母提供在进行货币交易时使用的信用卡、借记卡或其他需要用户名和密码或其他身份验证的在线支付系统,由此确认表示“同意”的人为有资格申请信用卡、借记卡的成年人;C. 让父母拨打由受训人员配备的免费电话号码;D. 通过视频会议与受过培训的人员建立家长联系;E. 将政府发出的身份证明表格与该等资料的数据库核对,运营者在核实完成后,立即将父母的身份信息从其纪录中删除;或F. 如果运营商仅将儿童个人信息用于内部目的而不对外披露,则其可以使用电子邮件+附加步骤的方法,以确保获得父母的同意。这些附加步骤包括:从父母处获取邮政地址或电话号码,并通过信件或电话确认父母的同意。此种情况下,运营商必须通知父母有权撤销对早期电子邮件作出响应的任何同意。


  3. 其他方法的认定程序(安全港计划和委员会批准程序):运营商、利害关系方有权不使用现有法律规定的具体方法,而使用经FTC批准的且满足第1点认定标准要求的方案。FTC将公布这些申请方案征求公众评论意见,并在收到提交申请后180天或120天内发布书面决定。


此后,在《企业六步合规计划》中,FTC又对现有的认定方法进行了更新,新增了以下方式:G. 回答一系列知识型挑战问题,这些问题对于父母以外的人来说很难回答;H. 验证家长提交的驾照照片或其他照片ID,使用面部识别技术将该照片与家长提交的第二张照片进行比较。

 

征得同意的例外


我国《征求意见稿》中规定的例外情形包括为维护国家安全或者公共利益,为消除儿童人身或者财产上的紧急危险和法律、行政法规规定的其他情形三种例外情况。除了与我国类似的情形外,COPPA和FTC在《企业六步合规计划》中还规定了出于验证可核实的父母同意目的、出于直接响应儿童一次或多次的特定请求(例如儿童想参加比赛或者收到时事通讯等)目的、保护网站或服务的安全性/完整性等例外情形。特别的,COPPA下的每种例外情形的具体原因、可收集的信息类型、使用的限制、特定情形下必须告知父母的事项都被严格限定,而且运营商不得对外披露。


相比较而言,COPPA对同意例外情形下运营商的义务作出了更细粒度的约束,例如:出于保护儿童安全目的的例外情形下,运营商只能收集儿童和父母的姓名和在线联系方式两项信息,且运营商需要向父母履行告知义务,父母有权在获得告知后拒绝提供和要求删除信息。我国《征求意见稿》对例外情形下儿童个人信息的类型并没有做出要求,且监护人也没有获得通知后进行opt-out的选择权。

 

小结


《征求意见稿》的出台意味着我国对儿童个人信息的保护进入了新的阶段,对网络运营者提出了更高和更明确的要求,但是对于网络运营者如何识别儿童的身份,进而如何识别监护人的身份、如何获得监护人的明示同意都没有作出更明确的要求。相比而言,COPPA在多年实施中,通过配合FTC的指南文件,具有了更强的可操作性,为网络运营者如何进行合规提供了更多可借鉴的指引。


最终生效的《儿童个人信息网络保护规定》是否会在监护人身份识别、监护人明示同意机制上出台更具有可操作性的规范,我们拭目以待,也期待行业和企业能从国外的立法、实践经验中借鉴和创新出更多的合规良好实践,更好地保护儿童个人信息安全。(作者为百度高级法律顾问)




[i]https://www.ftc.gov/tips-advice/business-center/guidance/childrens-online-privacy-protection-rule-six-step-compliance#step6。访问时间:2019年6月 16日

[ii]https://www.ecfr.gov/cgi-bin/text-idx?SID=4939e77c77a1a1a08c1cbf905fc4b409&node=16%3A1.0.1.3.36&rgn=div5#se16.1.312_13,访问时间2019年6月16日




关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  11. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  12. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考



    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存