查看原文
其他

对儿童开展广告定向推送的法律风险(DPO社群成员观点)

王源 网安寻路人 2020-02-27

美国联邦贸易委员会(Federal Trade Commission, FTC)近日结束对Google旗下视频平台YouTube违反《儿童网络隐私保护法》(Children’s Online Privacy Protection Act, COPPA)的调查。继2019年2月FTC对Musical.ly因违法收集儿童信息罚款570万美元之后,该案有可能成为企业违反COPPA遭受FTC处罚的第32起案件。违根据达成的和解协议,YouTube将支付罚款并有可能停止基于儿童上网行为在视频中定向推送广告(Behavioral Targeting)。

 


定向推送广告是大数据精准营销在广告行业的应用场景之一。是基于个人在网络主动披露的内容信息(例如公开发布的文章)和/或被动追踪的网络信息(例如网页浏览cookie)等静态(例如账号)和动态信息(例如购物消费信息),通过大数据算法,对用户进行画像并关联到用户后,根据用户特征推送广告。

 

中国《儿童个人信息网络保护规定》(“《规定》”)已经国家互联网信息办公室室务会议审议通过,将自2019年10月1日起施行。《规定》并未禁止向儿童定向推送广告或者基于儿童信息向父母定向推送广告(“定向推送儿童广告”),但在实践中,我们认为定向推送儿童广告存在以下法律风险。

 

法律风险之一:儿童信息属于敏感信息,如何征得父母明示同意?

 

与《儿童个人信息网络保护规定(征求意见稿)》相比,正式颁布的《规定》有两点有利于商家的修改。其一,增加了父母的监护职责(第五条);其二,将收集儿童信息需要征得父母“明示同意”修改为“同意”(第九条)。也就是说,在一定条件下,如果可以推定父母已经同意,尽管没有明示同意(例如主动勾选等),也将视为已经做出同意。修订中的《信息安全技术个人信息安全规范》(“《规范》”)将儿童信息列为敏感信息,对于敏感信息,需要个人的明示同意。

 

由此可见,《规范》比《规定》的要求更加严格。因此,在执法和司法实践中,对于收集儿童信息是否取得了父母同意,可以从严解释。也就是说,尽管《规定》不再要求“明示同意”,但在有争议的情形下,是否获得了“同意”是不确定的。只要没有确切的达到明示同意的程度,可被解释为未获得同意。

 

根据美国COPPA的规定,企业需要采取合理努力(reasonable effort)征得父母可验证的同意(verifiable consent)。可验证的同意包括电子邮件双重确认、签署纸质文件、支付信息验证、免费电话、视频等,无论采用哪一种方式,均会增加企业运营成本。欧盟GDPR要求控制者应当采取合理的努力,结合技术可行性,确保对儿童具有父母监护责任的主体已经授权或同意收集儿童信息。美国和欧盟立法的着眼点并非“明示同意”或者“(默示)同意”这样的文字区别,而在于确保父母在知情的情况下确实做出了同意。

 

同意是一种事实判断而非文字游戏。因此,尽管《规定》没有要求收集儿童信息需要取得父母“明示同意”,但在实践中对于是否获得父母“同意”可以从严解释,尤其是以定向推送广告为目的收集儿童信息、商业目的明显时,父母的“明示同意”是证明已经获得“同意”的最有效的方式。根据《规范》,主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写或提供等均可构成明示同意。

 

法律风险之二:对儿童网络用户进行用户画像有无合法性基础?

 

根据GDPR,“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理,特别是为了评估自然人的工作表现、经济状况、健康、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。GDPR并不禁止用户画像,但是对于以用户画像为目的信息收集规定了更加严格的条件,例如更加清晰的说明画像机理、给与用户反对权以及禁止使用敏感信息画像。同时,GDPR禁止对儿童进行用户画像。

 

用户画像是定向推送广告的基础。中国《电子商务法》规定,在根据消费者的兴趣爱好、消费习惯等特征定向发送信息时,应当同时提供非定推内容。《数据安全管理办法(征求意见稿)》规定,定向推送广告应当标明“定推”,提供关闭定推功能选项。可以看出,立法者对定向推送广告将从严监管。

 

目前,中国法律及国家标准并未禁止对儿童进行用户画像。但是,从《规定》的内容来看,均从各个方面体现了“最少必要”的收集原则。例如明确规定,不得收集与其提供的服务无关的儿童个人信息,不得违法收集和违反双方约定收集;在使用过程中,不能违法使用,如果超出约定的目的、范围使用,需要父母再次同意。

 

儿童群体根据其特点,其提供的网络自然信息(例如姓名、年龄)非常有限,社会信息(例如信用信息)几乎没有,很大一部分信息是其网络被动追踪信息(例如上网习惯)。因此,收集该部分信息的天然目的和必要性(例如优化用户体验)非常有限,如果将该部分信息用于画像,势必涉及到对目的进行充分告知并征得父母同意。在隐私政策中清晰描述的重要性也就凸显出来了,如果不能有效描述,甚至从严格合规角度讲,不能提供反对将儿童信息用于画像的选项,其收集儿童信息用于画像并进一步定向推送广告,其合法目的可能会遭到质疑。

 

法律风险之三:儿童信息委托处理、共享、转让的特殊风险有哪些?

 

从广告业的生态产业链角度讲,定向推送至少涉及广告主、数据持有方和数据分析处理方。数据持有方(例如网站)将数据分享给专业的数据分析处理方(例如大数据公司),进行用户画像,根据广告主(有广告投放需求的企业)的需求定向投放广告。需要将大量信息委托给有数据分析处理能力的第三方处理或者共享给第三方。根据COPPA的规定,收集的儿童信息若非提供网络服务所必须,父母有权禁止披露儿童信息给第三方。

 

根据《数据安全管理办法(征求意见稿)》、《规定》、《规范》和最新的《信息安全技术移动互联网应用(App)收集个人信息基本规范》,对外共享数据应当满足包括安全评估,明示同意,明示共享目的、信息类型、接收方情况,保证个人删除权及修正权、以加密措施存储儿童信息等条件。需要注意的问题多、环节多、范围广。任何一个环节出现出问题、甚至儿童信息泄露,均会导致合规风险。

 

尤其值得注意是,《电子商务法》、《数据安全管理办法(征求意见稿)》、《网络安全审查办法(征求意见稿)》等法律均加强了网络运营者对供应商及接入平台第三方的管理要求,违反该等要求,需要承担一定责任。

 

因此,在将儿童信息委托、共享甚至转让给第三方之前,应当以更加严格的标准进行评估。

 

法律风险之四:儿童权利特殊保护对儿童广告定向推送的影响是什么?

 

儿童非常喜欢网络游戏、动画、视频信息,同时认知、辨识和自控能力又较低,是网络弱势群体。联合国及各个国家均对儿童的网络保护进行特殊规定,例如中国的《未成年人网络保护条例(送审稿)》对防沉迷和从终端安装儿童上网保护软件做出了规定。《广告法》规定广告不得损害未成年人的身心健康并且规定了不得发布的特定广告类型,同时明确规定不得含有劝诱其要求家长购买广告商品或者服务的内容,不得以欺骗方式诱使用户点击广告内容。

 

向儿童定向推送广告有可能违反上述法律的规定。例如,如果基于儿童画像推送其感兴趣的广告,副作用之一可能是儿童更加沉迷于网络。尽管《广告法》等要求对于广告必须进行标注并且提供关闭选项,但是儿童可能无法识别标注的意义和关闭方法,区分不了广告和非广告,容易被误导。同时,儿童处于生长发育阶段,如果定向推送包括广告在内的信息过多,不利于其暴露于真实多样化的世界进行成长,更容易被网络所定义,不利于身心健康成长。

 

因此,从儿童生理特征和现有立法来看,避免以营销为目的收集儿童信息、对儿童进行网络画像、从严管理向儿童定向推送广告是大势所趋。

 

总结:儿童是网络的特殊群体,儿童信息是敏感信息,需要特别保护。虽然中国法律并不禁止定向推送广告,也未禁止对儿童进行网络画像,但是规定了收集儿童信息最少必要原则及禁止滥用,限制利用儿童信息进行定向推送广告是实现这一原则的最佳途径。从严格的合规管理和最佳实践的经验判断来看,如果商业模式不针对儿童,应对注册用户年龄进行限制,在网站和APP尽量避免儿童感兴趣内容。针对儿童或者同时面向儿童和成人的,在技术可行情形下,尽量不收集儿童信息或者仅为提供服务目的所必须收集最少儿童信息,避免追踪儿童网络信息。在处理儿童信息时,尤其是委托第三方处理和通过共享对儿童进行画像的情形下,企业合规部门应该按照最严格的标准进行安全评估,对基于儿童用户画像的广告定推以保守和审慎态度对待。(作者为北京望衡律师事务所合伙人)




 数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)

  20. 英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)

  21. “FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)

  22. CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)

  23. FTC与Facebook“2019和解令”全文翻译(DPO社群出品)

  24. 英国ICO《数据共享行为守则》中译文(DPO社群出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨

  11. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  12. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  13. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  14. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款

  15. 第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程

  16. 第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?

  17. 第十六期DPO沙龙纪实:查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告

  13. 【时评】ICO对英国航空和万豪国际开出巨额罚单,GDPR执法强硬时代来临!


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角

  35. 网安法中的“范围”如何理解和落地:从头条案说起

  36. 《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论

  37. 数据安全的内部和外部视角初探

  38. 《个人信息出境安全评估办法》的流程改进建议:DPO社群的现场讨论

  39. 评价GDPR一周年:一些正负面观点

  40. GDPR与相关数据保护法律处罚案例调研(DPO社群成员观点)

  41. 个人信息侵权纠纷类型化试解(DPO社群成员观点)

  42. 英法两国对 AdTech和广告类SDK的监管案例分析

  43. 金控监管办法草案发布 有望扫清信息共享障碍(DPO社群成员观点)

  44. GDPR对用户画像的合规要求分析(DPO社群成员观点)

  45. IAPP新加坡会议上关于27701的Panel和PPT

  46. FTC vs Facebook:50亿美元和解令的来龙去脉(DPO社群成员观点)

  47. 人脸识别技术的法律规制研究初探(DPO社群成员观点)

  48. 澳《消费者数据权利法案》对数据共享与数据可携权的探索(DPO社群成员观点)




 

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存