重磅:Meta因未尽未成年人保护义务遭巨额处罚
导读
据报道,爱尔兰数据保护委员会(DPC)决定对图片分享社交应用Instagram的母公司Meta处以4.05亿欧元(约合28亿人民币)的罚款,原因是该公司未能保护儿童个人信息,违反了欧盟《通用数据保护条例》(GDPR)。
该处罚源于DPC在 2020 年发起的关于Instagram侵犯儿童隐私的调查。调查显示,Meta允许13至17岁的儿童在Instagram上开设商业账户,而这些商业账户默认设置公开用户的电话号码和电子邮件地址,因此违背了GDPR对儿童个人信息的特殊保护要求。
这是目前欧盟GDPR史上第二高罚款,仅次于2021年7月对亚马逊处以的7.46亿欧元罚款。同时,这也是DPC对Meta开出的第三张罚单,此前DPC曾就Facebook数据泄露事件、WhatsApp隐私政策不透明,分别对Meta开出1700万欧元和2.25亿欧元的罚单。
Meta公司已宣布将对本次处罚提出上诉,而且之前Instagram已经改变了设置,隐藏了18岁以下用户的联系信息。DPC表示更多罚款细节将于下周公布,我们也将持续关注。
初
步
分
析
由于本案的处罚决定尚未公布,DPC判定Instagram如何违反GDPR犹未可知。我们暂时认为,GDPR第8条可能是DPC作出处罚的法律依据。
根据GDPR第8条,对于直接为儿童提供的信息社会服务,当儿童不满16周岁时,应当获得儿童的监护人同意,且成员国有权将年龄限制下调至最低13岁。对照Instagram的服务条款,其允许年满13周岁或达到所在国家/地区使用Instagram的最低法定年龄注册账号。同时,Instagram也难以基于履行合同或提供服务所必,来证明其公开处理行为是存在合法性基础的,尤其考虑到当未成年的手机号等个人信息被不必要的公开时,可能带来的严重安全风险。在缺少监护人同意和其他法律基础(如:履行合同所必须)的情形下,Instagram默认公开未成年人的相关信息触犯GDPR的可能性较高。
合
规
启
示
随着网络技术的高速发展,媒介生态变革进程不断加快,未成年人的网络保护议题逐渐浮出水面,成为社会焦点。在E世代长大的未成年人接触网络的时间和机会更多,截至2021年6月,我国未成年网民已达1.83亿,互联网普及率达到94.9% 。其中,10岁以下网民占比为3. 3%,10~19岁网民占比为12. 3%[1] 。
然而,相应的网络保护无论从法律监管或是技术层面都呈现出一定的滞后性。与成人世界相比,由于未成年人的心智尚未健全,其在面临诸如网络安全、网络依赖或者网络犯罪时,往往更容易受到伤害。
在这个大背景下,世界上主要国家和地区都建立了针对未成年人网络保护的立法规范。例如,美国的《儿童在线隐私保护法案》,欧盟的《保护未成年人和人权尊严建议》《儿童色情框架规定》,英国的《儿童网上隐私保护法》,日本的《青少年网络环境整治法》。另外,我们亦关注到作为本次因未尽未成年人保护义务而处罚Meta的监管机构DPC,在2022年6月27日也出台了专门的未成年人数据保护指引。
近两年来,中国也频频在未成年人保护上发力。2021年6月1日,修订后的《未成年人保护法》正式生效,内容上分别在第33条、34条、58条、64条对网络沉迷、不良网络信息、个人信息保护和法律责任方面对未成人网络权益保护进行了规定。上月中,网信办公开表示将加快推动《未成年人网络保护条例》出台,完善未成年人保护法的配套制度,为未成年人网络保护提供更加有力的法律保障。
目前,中国的未成年人网络保护主要集中在青少年模式、游戏防沉迷、直播消费、内容净化、广告限制,以及“饭圈”乱象治理几个方面,规制内容较为框架但覆盖面广泛,容易造成经营者在保护未成年人权益与留住未成年人用户时陷入两难局面。
针对这一难点,中伦数据与电商合规团队在《电子商务和网络交易合规指南》(2022)一书中以专章形式梳理了未成年人保护合规管理的相关要求,探讨了企业如何在现有法律体系下,以可控的成本将合规要求落地,以期为客户在其商业模式下寻求可靠的解决方案。
如您对中伦数据和电商合规团队推出的《电子商务和网络交易合规指南》(2022)感兴趣,可以通过下方邮箱地址联系我们,免费获取《电子商务和网络交易合规指南》(2022)的纸质版刊物。
获取邮箱地址 :cpdatalaw@zhonglun.com
【注】
[1] 中国互联网络信息中心发布的第 49 次 《中国互联网络发展状况统计报告》, 2022 年 2 月。
往 期 精 彩
解读文章
Core Issues When Processing Employees’ Personal Information(Q&A)
Landmark Rules on Certification for Cross-Border Data Processing
案例分享
★
长按二维码一键关注