2019年8月22日,国家互联网信息办公室审议通过了我国第一部专门保护儿童个人信息的法律规范——《儿童个人信息网络保护规定》(“《保护规定》”),距离截止向社会征求意见不足两个月。在监护人同意、委托处理、内控措施、信息删除等方面,《保护规定》为网络运营者创设了严格的义务。与征求意见稿相比,《保护规定》还增加了禁止发布内容上有害儿童的信息、网络运营者与监护人协同共治、自动处理例外等亮点规定。[1]违反《保护规定》的,网信及其他有关部门有权约谈相关企业,依据《网络安全法》等法律法规做出处罚并计入信用档案。[2]
在儿童使用网络日益普遍的大背景下,《保护规定》值得企业关注,以及时部署相应的合规措施。以下就企业普遍关心的问题进行解读。
一、我公司是否需落实《保护规定》的合规义务?
《保护规定》第二条将不满十四周岁的未成年人界定为“儿童”。[3]从第三条的语义来看,《保护规定》具有广泛的适用范围,只要在中国境内事实上从事了针对儿童的个人信息处理活动,无论数量多少,都要适用《保护规定》,从而为儿童提供最大程度的保护。[4]该等广泛保护具有一定现实意义,判断企业是否应受到《保护规定》的约束不应只着眼于处理儿童个人信息的数量,也需要从个人信息的敏感度以及不当处理可能造成的损害来判断。如何在保护儿童个人信息利益与控制社会成本之间取得平衡是执法者和企业在适用《保护规定》时都会面临的挑战。拥有二十多年历史的美国《儿童在线隐私保护法》[5](“COPPA”)关于适用范围的规定可做参考。
第一,“针对”儿童提供服务的网络运营者。需要注意的是,“部分”针对儿童的网络运营者也要适用COPPA。[6]比如既有成年用户也有儿童用户的网络游戏,即使用户中儿童只占很小一部分,也应当适用COPPA。在判断是否具有“针对性”时,监管机构会考虑不同因素,如网站的主题、内容、代言人、广告、语言特征等等。[7]举例而言,在广告中使用儿童喜爱的唐老鸭或其他卡通人物的,可能会被认为是“针对儿童”提供网络服务。
第二,不具有针对性的网络运营者,但知道其用户中包含儿童的。[8]COPPA原本并不适应于此类网络运营者,也不要求此类运营者去识别用户中是否存在儿童。[9]但如果此类运营者已经收到过儿童监护人投诉,或者主动建立年龄识别机制并发现部分用户是儿童,则也应当履行COPPA之下的义务。相反,在并不知情的情况下,比如儿童谎报年龄,此类网络运营者依然不受COPPA管辖。
二、《保护规定》项下的主要合规义务都有哪些?
一方面,《保护规定》重申了《网络安全法》、《个人信息安全规范》等既有一般性规范中的个人信息保护要求,如合法、正当、必要原则,不得利用网络危害未成年人身心健康等[10],另一方面,《保护规定》还为网络运营者创设了特殊的合规义务。限于篇幅,本文只介绍《保护规定》的特殊要求。
(一)收集、使用、转移、披露儿童个人信息前征得监护人同意
获取儿童监护人同意是《保护规定》的核心要求。《征求意见稿》曾要求网络运营者征得监护人“明示同意”,《保护规定》统一更改为“同意”。并且,网络运营者还须确保这项同意是在自由、知情下做出的。网络运营者须从以下三个角度落实合规义务:
1、完善同意告知方式
《保护规定》第九条要求这项告知“显著、清晰”。[11]实践中,企业普遍以隐私政策的方式履行告知义务。可以考虑在隐私政策中开辟单独版块,使用不同的字体、字号或颜色等突出表示,避免与隐私政策中的其他内容相混淆。除隐私政策之外,越来越多的网络运营者会在用户注册前以单独对话框的方式完成告知,从降低合规风险角度看,这种方式值得推荐。
2、完善同意告知内容
与一般的信息收集不同,收集儿童个人信息的,《保护规定》第十条规定了更为详细的告知内容:第一,目的、方式和范围;第二,存储地点、期限、到期后的处理方式;第三,安全保障措施;第四,拒绝的后果;第五,投诉、举报的渠道和方式;第六,更正、删除的途径和方法;第七,其他应当告知的事项。[12]
3、须重新获得同意的情形
网络运营者在两种情况下须重新获得同意:第一,上述同意告知内容发生实质变化。第二,使用儿童个人信息超过法定或约定的目的、范围。[13]比如,网络运营者收集信息时披露的目的是供自己使用,只有在重新征得监护人同意后才能分享给其他网络运营者。
(二)设置专门的儿童个人信息保护规则和用户协议[14]
《保护规定》未明确“个人信息保护规则”的具体含义,可能有两种解读:第一,在企业内部制定专门的儿童个人信息保护制度,确保管理层和相关员工充分知情。第二,制定并公布单独的隐私政策。我们倾向于第一种解读。首先,《保护规定》通篇没有出现“隐私政策”的字眼。第二,儿童个人信息的内部处理有诸多特殊要求(参考下文第(三)部分),需要一份专门的保护规则。第三,如果能在一份隐私政策中突出显示有关处理儿童个人信息的特殊条款,专门的隐私政策并不必要,特别是对于并非面对儿童或以儿童为主要服务对象的网络运营者。
《保护规定》要求设置专门针对儿童用户的用户协议,在内容上与一般的用户协议有所区别。因为儿童系无民事行为能力人或限制行为能力人,从民法角度亦应当设置单独的用户协议。
(三)在数据处理的重要环节依法采取保障措施
1、存储[15]
《保护规定》要求网络运营者的存储期限必须符合必要原则,而且须对存储的个人信息采取加密等保护措施。在《保护规定》之前,《网络安全法》只是要求对重要数据采取加密措施。[16]虽然《安全规范》也有类似要求[17],但《保护规定》具有强制效力,可以直接作为执法依据。
2、内部访问[18]
网络运营者应当设立严密的内控机制。第一,指定专门的儿童个人信息保护负责人。《征求意见稿》曾要求网络运营者须设立儿童“个人信息保护专员”,在正式稿中修改为“儿童个人信息保护负责人”。从字面解释,网络运营者无须设立一个单独岗位,可以由其他职员兼任,但需要具备一定的管理职责。第二,工作人员访问儿童个人信息前,须得到儿童个人信息保护负责人或者其授权的管理人员的审批。第三,工作人员访问儿童个人信息时,网络控制者须以最小授权为原则,限定有权访问的人数,限定访问者的权限,并记录访问情况。第四,采取技术措施,避免访问人员违法复制、下载。
落实内部访问限制首先须在海量数据中有效识别儿童数据,对企业而言是一项合规难点。
3、对外提供
(1)委托处理[19]
实践中,很多企业选择通过科技外包等方式委托第三方处理数据,如果涉及委托处理儿童个人信息则需履行特定的评估程序并采取安全保障措施。
从受委托方的角度,受委托方须依法履行第十六条第二款规定的六项义务:第一,依照法律法规和委托方的要求处理个人信息;第二,协助委托方回应儿童监护人提出的行权要求;第三,保障信息安全,发生安全事件时及时通知委托方;第四,委托关系解除时及时删除;第五,不得转委托;第六,其它保护义务。
从委托方的角度,在委托第三方处理数据之前:第一,须对受委托方及委托行为等进行安全评估。第二,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,建议在合同中再次明确受委托方的六项法定义务。第三,委托行为不得超出自身的授权范围。
(2)转让、披露[20]
在转让儿童个人信息之前,与委托处理一样,网络运营者须自行或者委托第三方机构开展安全评估。《保护规定》尚未明确委托处理、转让时的评估要点,我们建议网络运营者在评估当中重点关注:委托处理或转让的必要性;儿童个人信息的数量、敏感程度等基本情况;信息主体的授权情况;受委托方、接受转让方的安全保护能力;委托处理或转让可能涉及的风险及应对措施等。
此外,网络运营者须对儿童个人信息履行严格的保密义务和内控措施,不得擅自披露。《保护规定》下定义的披露的情形很广泛,不仅包含网络公开行为,发送到聊天室或微信群、群发邮件等,即便仅发生于企业内部,都可能被认定为披露。
(四)在特定情形下及时删除儿童个人信息[21]
《网络安全法》第四十三条已经规定信息主体享有删除权,但只是规定了一种情形:“网络运营者违反法律、行政法规的规定或者双方的约定收集、使用个人信息。”[22]《保护规定》在《网络安全法》第四十三条的基础上,另外增加了三种情形:第一,超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息;第二,儿童监护人撤回同意;第三,儿童或者其监护人通过注销等方式终止使用产品或者服务。本条充分体现了未成年人应获得特殊、优先保护的原则。
为履行年龄识别和监护人同意要求,网络运营者必须首先收集儿童及监护人的姓名、年龄、联系方式等大量个人信息,该如何保障这部分信息不受非法使用,《保护规定》未予明确。我们认为COPPA项下的规定值得借鉴:监护人拒绝同意之后,网络运营者须及时删除。[23]
三、总结
《保护规定》出台后引发社会广泛关注,中国网信网专门发文称“中国开启儿童个人信息网络保护新阶段”。[24]在互联网广泛普及的时代,这部立法无疑会成为儿童健康成长的重要保障。展望未来,尽管《保护规定》已经非常全面,但依旧存在诸多重要问题留待执法者、学界、业界共同探讨:
(一)准确识别儿童用户
对于用户中既包含成年人也包括儿童的网络运营者,有必要使用年龄识别技术识别出儿童用户并履行《保护规定》的合规义务,但《保护规定》并未明确网络运营者须尽到何种程度的识别义务。实践中广泛使用的“告知+儿童自觉获得监护人同意”或者由儿童自觉填报真实年龄等模式是否合规有待明确。一些游戏公司已经开始尝试人脸识别、实名认证等严格的识别机制,但能否以及是否适宜普及有待探讨。[25]
(二)验证监护人真实身份
《保护规定》并未进一步明确验证监护人真实身份的方法,也没有规定网络运营者对此须尽到的注意义务。域外法中,COPPA提供了六种验证监护人真实身份的方法[26],网络运营者使用六种方式之外的,须经执法机关批准。无论如何,网络运营者须在技术允许的条件之下尽到注意义务,采用合理方式验证监护人身份。[27]
(三)无需征得监护人同意的例外情形
《保护规定》删除了此前《征求意见稿》当中关于监护人同意例外的规定,但实践中存在诸多需要设立例外的情形。[28]美国COPPA提供了八项无需监护人同意的例外情形,如保护儿童安全,回应儿童的来信咨询等。[29]
(四)与第三方共享儿童个人信息
《保护规定》删除了《征求意见稿》当中关于信息共享的规定,未规定网络运营者在接入第三方时的义务与责任,比如广告商,插件等,网络运营者与第三方之间的责任划分也是制定《数据安全管理办法》过程中的难点。在COPPA项下,网络运营者在允许第三方收集、使用儿童个人信息前必须同样遵循告知及监护人同意规则,网络运营者须对第三方行为负一定责任。此外,网络运营者须核实并掌握目前已经接入的第三方及其信息收集情况,不得放任不管。[30]
方达团队
尹云霞
合伙人,方达律师事务所
kate.yin@fangdalaw.com
执业领域:尹云霞律师的主要执业领域为公司合规与政府执法、个人信息保护、网络安全业务。
杨建媛
合伙人,方达律师事务所
jianyuan.yang@fangdalaw.com
执业领域:杨建媛律师的主要执业领域为数据合规及网络安全业务。
杜希
律师,方达律师事务所
xi.du@fangdalaw.com
[1]《保护规定》第四条:“任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。”
《保护规定》第五条:“儿童监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全。”
《保护规定》第二十八条:“通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的,依照其他有关规定执行。”
[2]《保护规定》第二十五条:“网络运营者落实儿童个人信息安全管理责任不到位,存在较大安全风险或者发生安全事件的,由网信部门依据职责进行约谈,网络运营者应当及时采取措施进行整改,消除隐患。”
《保护规定》第二十六条:“违反本规定的,由网信部门和其他有关部门依据职责,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规规定处理;构成犯罪的,依法追究刑事责任。”
《保护规定》第二十七条:“违反本规定被追究法律责任的,依照有关法律、行政法规的规定记入信用档案,并予以公示。”
[3]《保护规定》第二条:“本规定所称儿童,是指不满十四周岁的未成年人。”
[4]《保护规定》第三条:“在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,适用本规定。”
[5]Children’s Online Privacy Protection Act of 1998, COPPA (16 U.S.C. 6501, et seq.)。执法机构根据COPPA制定了行政法规COPPA Rule (16 C.F.R. 312),2000年4月21日生效。COPPA Rule在2013年有过一次修订。2019年7月25日,执法机构公开宣称将对COPPA Rule进行第二次修订并征求公众意见。
[6]“Web site or online service directed to children means a commercial Web site or online service, or portion thereof, that is targeted to children.” 16 C.F.R. 312.2
[7]“In determining whether a Web site or online service, or a portion thereof, is directed to children, the Commission will consider its subject matter, visual content, use of animated characters or child-oriented activities and incentives, music or other audio content, age of models, presence of child celebrities or celebrities who appeal to children, language or other characteristics of the Web site or online service, as well as whether advertising promoting or appearing on the Web site or online service is directed to children. The Commission will also consider competent and reliable empirical evidence regarding audience composition, and evidence regarding the intended audience.” 16 C.F.R. 312.2
[8]“It shall be unlawful for any operator of a Web site or online service directed to children, or any operator that has actual knowledge that it is collecting or maintaining personal information from a child, to collect personal information from a child in a manner that violates the regulations prescribed under this part.” 16 C.F.R. 312.3
[9]“COPPA covers operators of general audience websites or online services only where such operators have actual knowledge that a child under age 13 is the person providing personal information. The Rule does not require operators to ask the age of visitors.” Complying with COPPA: Frequently Asked Questions, Question A.14, available at https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppa-frequently-asked-questions.
[10]《网络安全法》第十三条:“国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。”
《网络安全法》第四十一条:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
[11]《网络安全法》第九条:“网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。”
[12]《保护规定》第十条:“网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项:(一)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;(二)儿童个人信息存储的地点、期限和到期后的处理方式;(三)儿童个人信息的安全保障措施;(四)拒绝的后果;(五)投诉、举报的渠道和方式;(六)更正、删除儿童个人信息的途径和方法;(七)其他应当告知的事项。前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的同意。”
[13]《保护规定》第十四条:“网络运营者使用儿童个人信息,不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人的同意。”
[14]《保护规定》第八条:“网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。”
[15]《保护规定》第十二条:“网络运营者存储儿童个人信息,不得超过实现其收集、使用目的所必需的期限。”
《保护规定》第十三条:“网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。”
[16]《网络安全法》第二十一条:“(四)采取数据分类、重要数据备份和加密等措施;”
[17]《个人信息安全规范》第6.1条:“对个人信息控制者的要求包括:a)个人信息保存期限应为实现目的所必需的最短时间;b)超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。”
第6.2条:“收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。”
第6.3条:“对个人信息控制者的要求包括:a)传输和存储个人敏感信息时,应采用加密等安全措施;”
[18]《保护规定》第十五条:“网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。”
[19]《保护规定》第十六条:“网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。
前款规定的受委托方,应当履行以下义务:
(一)按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息;
(二)协助网络运营者回应儿童监护人提出的申请;
(三)采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈;
(四)委托关系解除时及时删除儿童个人信息;
(五)不得转委托;
(六)其他依法应当履行的儿童个人信息保护义务。”
[20]《保护规定》第十七条:“网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估。”
《保护规定》第十八条:“网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。”
[21]《保护规定》第二十条:“儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的,网络运营者应当及时采取措施予以删除,包括但不限于以下情形:
(一)网络运营者违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露儿童个人信息的;
(二)超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的;
(三)儿童监护人撤回同意的;
(四)儿童或者其监护人通过注销等方式终止使用产品或者服务的。”
[22]《网络安全法》第四十三条:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。”
[23]美国COPPA的做法值得借鉴,如果监护人拒绝同意或特定时间内未予回复,网络运营者应当及时删除此类信息。“If the operator has not obtained parental consent after a reasonable time from the date of the information collection, the operator must delete such information from its records.” 16 C.F.R. 312.5(c)(1).
[24]中国网信网,“中国开启儿童个人信息网络保护新阶段”,http://www.cac.gov.cn/2019-08/25/c_1124919157.htm,最后访问时间2019年8月26日。
[25] “腾讯游戏开启人脸识别验证 防未成年人沉迷”,http://www.sohu.com/a/278352041_114774, 2018-11-28.
[26]监护人签字、信用卡验证、电话验证、视频验证、ID验证、邮件验证。16 C.F.R. 312.5(b)(2), 16 C.F.R. 312.12.
[27] “An operator must make reasonable efforts to obtain verifiable parental consent, taking into consideration available technology. Any method to obtain verifiable parental consent must be reasonably calculated, in light of available technology, to ensure that the person providing consent is the child"s parent.” 16 C.F.R. 312.5(b)(1)
[28]《儿童个人信息网络保护规定(征求意见稿)》第十九条:“网络运营者收集、使用、转移、披露儿童个人信息,有以下情形之一的,可以不经过儿童监护人的明示同意:
(一)为维护国家安全或者公共利益;
(二)为消除儿童人身或者财产上的紧急危险;
(三)法律、行政法规规定的其他情形。”
[29]16 C.F.R. 312.5(c)
[30] “Remember, you are responsible for the collection of personal information from your users, no matter who is doing the collection; therefore, you will need to do more than simply identify yourself to third parties. As a child-directed property, absent an exception under the amended Rule (see FAQ H.2 below), you must: (1) not collect or allow any other entity to collect personal information from your visitors; or (2) provide notice and obtain prior parental consent before collecting or allowing any entity to collect personal information from your visitors, as well as provide all of the other COPPA protections.” Complying with COPPA: Frequently Asked Questions, Question D.6, available at https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppa-frequently-asked-questions.
“As the operator of a child-directed app, you must conduct an inquiry into the information collection practices of every third party that can collect information via your app.” Complying with COPPA: Frequently Asked Questions, Question D.8, available at https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppa-frequently-asked-questions.
声明:本文来自合规评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
