《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角
近日,国家互联网信息办公室发布了《儿童个人信息网络保护规定(征求意见稿)》(下称“《征求意见稿》”),明确规定了儿童的年龄线设置,并就网络运营者对儿童个人信息的收集、存储、使用、转移、披露要求进行了详细规定。这是我国首次就儿童个人信息保护制定的专门规范性法律文件,对未成年人尤其是儿童的个人信息保护有重要意义。
从世界范围来看,美国是儿童个人信息保护的先行者,在1998年就通过了《儿童在线隐私保护法》(Children’s Online Privacy Protection Act,以下简称“COPPA”),对在线服务运营商儿童个人信息的保护要求作出了详细的规定。此外,作为COPPA的执行机关, Federal Trade Commission(以下简称“FTC”)还发布了(A Six-Step Compliance Plan for Your Business)(以下简称“《企业六步合规计划》”)等指导性文件。本文拟从比较法的视角分析中美儿童个人信息保护规定的异同,并做评析。
适用范围
我国《征求意见稿》用于在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,儿童是指不满十四周岁的未成年人。此适用范围是一种事实状态的描述,也就是无论网络运营者是面向儿童提供服务还是提供的一般性网络服务中包含了儿童用户,只要事实上实施了相应的处理儿童个人信息的活动,都需要满足合规的要求,履行相应的义务。
COPPA适用于:
任何面向儿童(儿童是指未满十三周岁的未成年人)的网站或在线服务运营商。在决定网站或在线服务或其一部分是否面向儿童时,COPPA进一步规定: FTC将考虑其主题、视觉内容、使用动画人物或面向儿童的活动和奖励、音乐或其他音频内容、模特年龄、儿童名人或吸引儿童名人的行为、网站或在线服务的语言或其他特征,以及网站或在线服务上的广告宣传是否针对儿童等因素。此外, FTC还将考虑有关观众构成的有力和可靠的经验证据,以及有关观众预期的证据。
当网站或在线服务并非面向儿童,而是实际知道(has actual knowledge)正在从儿童收集或维护个人信息时,也应遵守COPPA的规定。
对于非面向儿童的网站或在线服务运营者,FTC在《企业六步合规计划》中指明:“如果您的网站不以儿童为主要受众,您可以选择仅对13岁以下的用户应用COPPA保护。但您应确保:A. 在没有收集年龄信息的情况下,不能从任何用户那里收集个人信息。B. 对于那些说自己未满13岁的用户,在获得可验证的家长同意之前,不要收集任何个人信息。”[i]
结合上述规定,我们也可以清晰的了解今年3月FTC和TikTok就非法收集儿童个人信息的指控达成570万美元和解一案中,为何下述行为被FTC认定为违反了COPPA:(1)自2017年7月起,Musical.ly要求用户在注册时填写年龄信息。如果用户填写的年龄是13岁以下,则无法注册。但在此之前注册的用户,则无需填写年龄。(2)Musical.ly有大量13岁以下用户。Musical.ly上粉丝最多的用户中,有多名是13岁以下的“网红”。(3)在2016年9月15日—9月30日,Musical.ly就收到了300封来自父母的起诉书,要求关闭自己孩子的账户。可是,尽管Musical.ly注销了孩子的账户,但没有删除他们在平台服务器上的视频和个人信息。
网络运营者的义务要求
我国《征求意见稿》在坚持《网络安全法》个人信息保护的原则要求下,认同推荐性标准《信息安全技术 个人信息安全规范》中儿童个人信息全部属于敏感个人信息,从个人信息全生命周期进行保护的思路,规定了收集、使用、转移、变更使用目的和范围、与第三方共同使用儿童个人信息时,均需获得监护人的明示同意。
此外,《征求意见稿》还在《信息安全技术 个人信息安全规范》的基础上进行了进一步的细化,主要包括:要求网络运营者设置专门的保护规则、指定专人负责;明确规定向监护人告知的具体事项范围;征得监护人明示同意并提供拒绝选项;内部访问权限最小授权等。
COPPA下运营商需要履行的义务包括:(1)明示规则:在网站或在线服务上提供通知,说明其从儿童处收集的信息、如何使用和披露这些信息;(2)可核实的父母同意:在收集、使用和/或披露儿童的个人信息之前,获得可核实的父母同意(verifiable parental consent)(3)父母审查和拒绝的权利:运营商应为父母提供一种合理的方式,以实现父母可以审查从子女处收集的个人信息,并拒绝允许其进一步使用或维护;(4)合理必要:不以儿童参与游戏、提供奖品或其他有关儿童的活动为条件,要求披露超过参与此类活动的合理必要程度的个人信息;以及(5)保障数据安全:建立和维持合理的程序,以保护从儿童收集的个人信息的机密性、安全性和完整性。[ii]
通过对比,我们可以发现,我国《征求意见稿》和COPPA的整体思路基本是一致的。首先,儿童个人信息的保护需要遵循其他个人信息保护相同的规则,如收集使用存储应遵循合理必要、最小化原则,规则应当清晰明示,不得超出授权范围目的使用披露,保障数据安全,保障撤回和删除个人信息的权利等。其次,对儿童个人信息的同意方式做了不同于其他个人信息的规定,我国要求需征得监护人的明示同意,COPPA则要求获得“可核实的父母同意”。
征得同意的实现方式
我国《征求意见稿》要求需征得监护人的明示同意,但明示同意的具体做法在征求意见稿中并未明确。如果参照《信息安全技术 个人信息安全规范》中的规定,明示同意是指通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写或提供等。
COPPA则对“可核实的父母同意”的认定标准、具体方法、认定程序都做了详细的规定,具体包括:
认定标准:任何获得可核实父母同意的方法必须考虑现有技术并尽合理努力,以确保提供同意的人是孩子的父母。
可核实的父母同意的现有具体方法:A. 提供由父母签署的同意书,并通过邮寄、传真或电子扫描方式返还给运营商;B. 要求父母提供在进行货币交易时使用的信用卡、借记卡或其他需要用户名和密码或其他身份验证的在线支付系统,由此确认表示“同意”的人为有资格申请信用卡、借记卡的成年人;C. 让父母拨打由受训人员配备的免费电话号码;D. 通过视频会议与受过培训的人员建立家长联系;E. 将政府发出的身份证明表格与该等资料的数据库核对,运营者在核实完成后,立即将父母的身份信息从其纪录中删除;或F. 如果运营商仅将儿童个人信息用于内部目的而不对外披露,则其可以使用电子邮件+附加步骤的方法,以确保获得父母的同意。这些附加步骤包括:从父母处获取邮政地址或电话号码,并通过信件或电话确认父母的同意。此种情况下,运营商必须通知父母有权撤销对早期电子邮件作出响应的任何同意。
其他方法的认定程序(安全港计划和委员会批准程序):运营商、利害关系方有权不使用现有法律规定的具体方法,而使用经FTC批准的且满足第1点认定标准要求的方案。FTC将公布这些申请方案征求公众评论意见,并在收到提交申请后180天或120天内发布书面决定。
此后,在《企业六步合规计划》中,FTC又对现有的认定方法进行了更新,新增了以下方式:G. 回答一系列知识型挑战问题,这些问题对于父母以外的人来说很难回答;H. 验证家长提交的驾照照片或其他照片ID,使用面部识别技术将该照片与家长提交的第二张照片进行比较。
征得同意的例外
我国《征求意见稿》中规定的例外情形包括为维护国家安全或者公共利益,为消除儿童人身或者财产上的紧急危险和法律、行政法规规定的其他情形三种例外情况。除了与我国类似的情形外,COPPA和FTC在《企业六步合规计划》中还规定了出于验证可核实的父母同意目的、出于直接响应儿童一次或多次的特定请求(例如儿童想参加比赛或者收到时事通讯等)目的、保护网站或服务的安全性/完整性等例外情形。特别的,COPPA下的每种例外情形的具体原因、可收集的信息类型、使用的限制、特定情形下必须告知父母的事项都被严格限定,而且运营商不得对外披露。
相比较而言,COPPA对同意例外情形下运营商的义务作出了更细粒度的约束,例如:出于保护儿童安全目的的例外情形下,运营商只能收集儿童和父母的姓名和在线联系方式两项信息,且运营商需要向父母履行告知义务,父母有权在获得告知后拒绝提供和要求删除信息。我国《征求意见稿》对例外情形下儿童个人信息的类型并没有做出要求,且监护人也没有获得通知后进行opt-out的选择权。
小结
《征求意见稿》的出台意味着我国对儿童个人信息的保护进入了新的阶段,对网络运营者提出了更高和更明确的要求,但是对于网络运营者如何识别儿童的身份,进而如何识别监护人的身份、如何获得监护人的明示同意都没有作出更明确的要求。相比而言,COPPA在多年实施中,通过配合FTC的指南文件,具有了更强的可操作性,为网络运营者如何进行合规提供了更多可借鉴的指引。
最终生效的《儿童个人信息网络保护规定》是否会在监护人身份识别、监护人明示同意机制上出台更具有可操作性的规范,我们拭目以待,也期待行业和企业能从国外的立法、实践经验中借鉴和创新出更多的合规良好实践,更好地保护儿童个人信息安全。(作者为百度高级法律顾问)
[i]https://www.ftc.gov/tips-advice/business-center/guidance/childrens-online-privacy-protection-rule-six-step-compliance#step6。访问时间:2019年6月 16日
[ii]https://www.ecfr.gov/cgi-bin/text-idx?SID=4939e77c77a1a1a08c1cbf905fc4b409&node=16%3A1.0.1.3.36&rgn=div5#se16.1.312_13,访问时间2019年6月16日
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点