对儿童开展广告定向推送的法律风险(DPO社群成员观点)
美国联邦贸易委员会(Federal Trade Commission, FTC)近日结束对Google旗下视频平台YouTube违反《儿童网络隐私保护法》(Children’s Online Privacy Protection Act, COPPA)的调查。继2019年2月FTC对Musical.ly因违法收集儿童信息罚款570万美元之后,该案有可能成为企业违反COPPA遭受FTC处罚的第32起案件。违根据达成的和解协议,YouTube将支付罚款并有可能停止基于儿童上网行为在视频中定向推送广告(Behavioral Targeting)。
定向推送广告是大数据精准营销在广告行业的应用场景之一。是基于个人在网络主动披露的内容信息(例如公开发布的文章)和/或被动追踪的网络信息(例如网页浏览cookie)等静态(例如账号)和动态信息(例如购物消费信息),通过大数据算法,对用户进行画像并关联到用户后,根据用户特征推送广告。
中国《儿童个人信息网络保护规定》(“《规定》”)已经国家互联网信息办公室室务会议审议通过,将自2019年10月1日起施行。《规定》并未禁止向儿童定向推送广告或者基于儿童信息向父母定向推送广告(“定向推送儿童广告”),但在实践中,我们认为定向推送儿童广告存在以下法律风险。
法律风险之一:儿童信息属于敏感信息,如何征得父母明示同意?
与《儿童个人信息网络保护规定(征求意见稿)》相比,正式颁布的《规定》有两点有利于商家的修改。其一,增加了父母的监护职责(第五条);其二,将收集儿童信息需要征得父母“明示同意”修改为“同意”(第九条)。也就是说,在一定条件下,如果可以推定父母已经同意,尽管没有明示同意(例如主动勾选等),也将视为已经做出同意。修订中的《信息安全技术个人信息安全规范》(“《规范》”)将儿童信息列为敏感信息,对于敏感信息,需要个人的明示同意。
由此可见,《规范》比《规定》的要求更加严格。因此,在执法和司法实践中,对于收集儿童信息是否取得了父母同意,可以从严解释。也就是说,尽管《规定》不再要求“明示同意”,但在有争议的情形下,是否获得了“同意”是不确定的。只要没有确切的达到明示同意的程度,可被解释为未获得同意。
根据美国COPPA的规定,企业需要采取合理努力(reasonable effort)征得父母可验证的同意(verifiable consent)。可验证的同意包括电子邮件双重确认、签署纸质文件、支付信息验证、免费电话、视频等,无论采用哪一种方式,均会增加企业运营成本。欧盟GDPR要求控制者应当采取合理的努力,结合技术可行性,确保对儿童具有父母监护责任的主体已经授权或同意收集儿童信息。美国和欧盟立法的着眼点并非“明示同意”或者“(默示)同意”这样的文字区别,而在于确保父母在知情的情况下确实做出了同意。
同意是一种事实判断而非文字游戏。因此,尽管《规定》没有要求收集儿童信息需要取得父母“明示同意”,但在实践中对于是否获得父母“同意”可以从严解释,尤其是以定向推送广告为目的收集儿童信息、商业目的明显时,父母的“明示同意”是证明已经获得“同意”的最有效的方式。根据《规范》,主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写或提供等均可构成明示同意。
法律风险之二:对儿童网络用户进行用户画像有无合法性基础?
根据GDPR,“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理,特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。GDPR并不禁止用户画像,但是对于以用户画像为目的信息收集规定了更加严格的条件,例如更加清晰的说明画像机理、给与用户反对权以及禁止使用敏感信息画像。同时,GDPR禁止对儿童进行用户画像。
用户画像是定向推送广告的基础。中国《电子商务法》规定,在根据消费者的兴趣爱好、消费习惯等特征定向发送信息时,应当同时提供非定推内容。《数据安全管理办法(征求意见稿)》规定,定向推送广告应当标明“定推”,提供关闭定推功能选项。可以看出,立法者对定向推送广告将从严监管。
目前,中国法律及国家标准并未禁止对儿童进行用户画像。但是,从《规定》的内容来看,均从各个方面体现了“最少必要”的收集原则。例如明确规定,不得收集与其提供的服务无关的儿童个人信息,不得违法收集和违反双方约定收集;在使用过程中,不能违法使用,如果超出约定的目的、范围使用,需要父母再次同意。
儿童群体根据其特点,其提供的网络自然信息(例如姓名、年龄)非常有限,社会信息(例如信用信息)几乎没有,很大一部分信息是其网络被动追踪信息(例如上网习惯)。因此,收集该部分信息的天然目的和必要性(例如优化用户体验)非常有限,如果将该部分信息用于画像,势必涉及到对目的进行充分告知并征得父母同意。在隐私政策中清晰描述的重要性也就凸显出来了,如果不能有效描述,甚至从严格合规角度讲,不能提供反对将儿童信息用于画像的选项,其收集儿童信息用于画像并进一步定向推送广告,其合法目的可能会遭到质疑。
法律风险之三:儿童信息委托处理、共享、转让的特殊风险有哪些?
从广告业的生态产业链角度讲,定向推送至少涉及广告主、数据持有方和数据分析处理方。数据持有方(例如网站)将数据分享给专业的数据分析处理方(例如大数据公司),进行用户画像,根据广告主(有广告投放需求的企业)的需求定向投放广告。需要将大量信息委托给有数据分析处理能力的第三方处理或者共享给第三方。根据COPPA的规定,收集的儿童信息若非提供网络服务所必须,父母有权禁止披露儿童信息给第三方。
根据《数据安全管理办法(征求意见稿)》、《规定》、《规范》和最新的《信息安全技术移动互联网应用(App)收集个人信息基本规范》,对外共享数据应当满足包括安全评估,明示同意,明示共享目的、信息类型、接收方情况,保证个人删除权及修正权、以加密措施存储儿童信息等条件。需要注意的问题多、环节多、范围广。任何一个环节出现出问题、甚至儿童信息泄露,均会导致合规风险。
尤其值得注意是,《电子商务法》、《数据安全管理办法(征求意见稿)》、《网络安全审查办法(征求意见稿)》等法律均加强了网络运营者对供应商及接入平台第三方的管理要求,违反该等要求,需要承担一定责任。
因此,在将儿童信息委托、共享甚至转让给第三方之前,应当以更加严格的标准进行评估。
法律风险之四:儿童权利特殊保护对儿童广告定向推送的影响是什么?
儿童非常喜欢网络游戏、动画、视频信息,同时认知、辨识和自控能力又较低,是网络弱势群体。联合国及各个国家均对儿童的网络保护进行特殊规定,例如中国的《未成年人网络保护条例(送审稿)》对防沉迷和从终端安装儿童上网保护软件做出了规定。《广告法》规定广告不得损害未成年人的身心健康并且规定了不得发布的特定广告类型,同时明确规定不得含有劝诱其要求家长购买广告商品或者服务的内容,不得以欺骗方式诱使用户点击广告内容。
向儿童定向推送广告有可能违反上述法律的规定。例如,如果基于儿童画像推送其感兴趣的广告,副作用之一可能是儿童更加沉迷于网络。尽管《广告法》等要求对于广告必须进行标注并且提供关闭选项,但是儿童可能无法识别标注的意义和关闭方法,区分不了广告和非广告,容易被误导。同时,儿童处于生长发育阶段,如果定向推送包括广告在内的信息过多,不利于其暴露于真实多样化的世界进行成长,更容易被网络所定义,不利于身心健康成长。
因此,从儿童生理特征和现有立法来看,避免以营销为目的收集儿童信息、对儿童进行网络画像、从严管理向儿童定向推送广告是大势所趋。
总结:儿童是网络的特殊群体,儿童信息是敏感信息,需要特别保护。虽然中国法律并不禁止定向推送广告,也未禁止对儿童进行网络画像,但是规定了收集儿童信息最少必要原则及禁止滥用,限制利用儿童信息进行定向推送广告是实现这一原则的最佳途径。从严格的合规管理和最佳实践的经验判断来看,如果商业模式不针对儿童,应对注册用户年龄进行限制,在网站和APP尽量避免儿童感兴趣内容。针对儿童或者同时面向儿童和成人的,在技术可行情形下,尽量不收集儿童信息或者仅为提供服务目的所必须收集最少儿童信息,避免追踪儿童网络信息。在处理儿童信息时,尤其是委托第三方处理和通过共享对儿童进行画像的情形下,企业合规部门应该按照最严格的标准进行安全评估,对基于儿童用户画像的广告定推以保守和审慎态度对待。(作者为北京望衡律师事务所合伙人)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点