《网络数据安全管理条例》(以下简称《网数条例》)已于2025年1月1日施行。针对未成年人个人信息保护,《网数条例》规定网络数据处理者处理不满14周岁未成年人个人信息的,应当制定专门的个人信息处理规则,还需征得未成年人的父母或其他监护人的同意。
此外,《网数条例》还规定大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告,未成年人(尤其是不满14周岁的未成年人)个人信息作为企业需要重点关注和保护的对象,也应成为其个人信息保护社会责任报告中的组成部分。
《网数条例》颁布前,我国已针对未成年人个人信息保护陆续颁布了《未成年人保护法》《网络安全法》《个人信息保护法》《未成年人网络保护条例》《儿童个人信息网络保护规定》《关于未成年人犯罪记录封存的实施办法》《移动互联网未成年人模式建设指南》等法律法规、规范性文件,逐步搭建起未成年人个人信息网络保护的法律合规网。
但近年来,侵害未成年人个人信息权益的事件时有发生,由于个人信息泄露、被恶意利用等连锁反应而诱发的电信诈骗、网络暴力等也严重侵害未成年人身心健康。各个人信息处理者,应当时刻绷紧未成年人个人信息保护这根弦,从合法合规和社会责任的角度,将这项工作持续推进下去。
01
哪些未成年人个人信息需要重点保护?
根据我国《个人信息保护法》对个人信息的定义,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
尽管我国《民法典》第17条的规定,不满18周岁的自然人为未成年人,但结合未成年人不同成长阶段的身心特点,法律也对未成年人个人信息保护做了“区别对待”:不满14周岁的未成年人,因其心智尚不成熟,对父母或监护人的依赖程度高,其个人信息一旦泄露或被恶意利用后,对未成年人身心健康造成严重损害,所造成的影响更为恶劣。因此,不满14周岁未成年人的个人信息被个保法明确为“敏感个人信息”,个人信息处理者应当为此尽更高的保护义务。
此外,对于14周岁以上,不满18周岁未成年人的个人信息,尽管并非全部属于敏感个人信息,但如果涉及生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等一旦泄露或非法使用,容易导致其人格尊严受到侵害或者人身、财产安全受到危害的个人信息,都属于企业需要重点保护的个人信息。
结合未成年人特点,以下信息,处理未成年人个人信息的企业需重点关注:
(1)学业信息:包括未成年人的学籍信息、考试报名信息、考试成绩、课程选择与偏好情况、学校奖惩情况、教师评价、加入共青团少先队情况等;
(2)家庭信息:家庭住址、家庭情况信息、家长婚姻状况、家长工作单位、家长职业/职务、家庭收入等;
(3)医疗健康信息:包括既往病例病史、有无先天疾病情况、免疫接种记录、过敏情况、体检报告、医疗保险信息等;
(4)违法违规信息:主要指未成年人违反法律规定,遭受的治安处罚或因犯罪被追究刑事责任的信息,根据《刑法》《刑事诉讼法》《未成年人保护法》等法律法规的规定,应当封存,有关组织如接触到相关信息,也应做好相应的信息保护;
(5)其他信息:包括活动报名信息、比赛获奖信息、考级考证信息、电子设备使用习惯信息等。
02
企业需要遵守哪些合规要求?
前文已述,我国针对未成年人个人信息保护的法律法规规定散见于多部法律、行政法规、部门规章、国家标准当中,企业应当遵守以下合规要求:
03
全流程推进未成年人个人信息保护
对于企业而言,未成年人个人信息保护,既是合规义务,也是社会责任。企业应当围绕未成年人个人信息收集、存储、使用、加工、传输、提供、公开、删除全生命周期,从处理前、处理中、处理后三重维度,连续推进未成年人个人信息有效保护。
处理前:未成年人个人信息处理的告知同意
《个人信息保护法》第十三条明确了个人信息处理者处理个人信息的条件,除(二)到(七)项规定情形外,其他情况下,均以取得个人同意为原则。但处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或其他监护人的同意。
此外,对于处理不满十四周岁未成年人信息的,还应当制定专门的个人信息处理规则。上述规则在即将实施的《网数条例》中也得到重申。
针对处理未满14周岁未成年人个人信息的处理者如何落实告知和同意,可参考 GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》,根据个人信息处理者产品或服务目标人群的情况分为:
(1)目标人群为不满十四周岁的未成年人的;
(2)目标人群为十四周岁以上人群的。
对于情况(1),可要求用户直接提供监护人的联络方式(常见的如短信、电话、邮箱等),并采取强度较高的方式(如要求提供身份证信息),进行监护人身份鉴别。
对于情况(2),个人信息处理者应当在隐私政策、用户协议中声明用户如不满十四周岁的,需在取得监护人同意后才可使用相关产品或服务,或直接拒绝不满十四周岁用户注册使用。必要时,可采取验证强度较低的方式对用户身份进行鉴别。
针对法律法规明确要求的,处理不满十四周岁未成年人个人信息的,需要制定专门的个人信息处理规则,也需要以显著的、易于理解的方式发布。
处理中:加强个人信息处理流程管理
处理未成年人,特别是不满十四周岁未成年人的个人信息的,个人信息处理者应当加强处理流程的管理。
内部管理方面,企业应当加强对工作人员访问未成年人个人信息的流程管理。《未成年人网络保护条例》第三十六条与《儿童个人信息网络保护规定》第十五条,均要求个人信息处理者应当加强对其工作人员的管理,以最小授权为原则,严格设定信息访问权限,控制未成年人个人信息知悉范围。工作人员如需访问个人信息的,应当经过相关负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法处理未成年人个人信息。
外部管理方面,企业应当加强对委托第三方处理个人信息的流程管理。如个人信息处理者在特定业务场景下确需委托第三方处理未成年人个人信息的,根据《儿童个人信息网络保护规定》第十六条规定,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理性质和目的等。同时,个人信息处理者的委托行为不得超出授权范围。
处理后:落实个人信息保护合规审计
个人信息保护合规审计是指针对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。《个人信息保护法》第五十四条已明确就个人信息处理者的合规审计义务作出规定:“个人信息处理者应当定期对其个人信息遵守法律、行政法规的情况进行合规审计。”
《网数条例》第二十七条进一步明确可自行或委托专业机构开展个人信息保护合规审计。未成年人个人信息作为企业个人信息保护的重点对象,企业应当将未成年人个人信息保护作为个人信息保护合规审计的组成部分,按照《未成年人网络保护条例》第三十七条的要求,每年对自身处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。
参考《个人信息保护合规审计管理办法(征求意见稿)》附件个人信息保护合规审计参考要点,企业业务涉及处理不满十四周岁未成年人个人信息的,其审计内容应包含:
知情同意:是否事前取得未成年人的父母或者其他监护人的同意;
处理规则:是否制定专门的未成年人个人信息处理规则;
信息告知:是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性及处理个人信息的种类、所采取的保护措施等;
非必要信息:是否存在强制要求未成年人或者其监护人同意非必要的个人信息处理的行为。
04
大型网络平台应每年发布社会责任报告
《个人信息保护法》第五十八条第(四)项明确,针对提供重要互联网平台服务、用户量巨大、业务类型复杂的个人信息处理者,应当定期发布个人信息保护社会责任报告,《网数条例》在此基础上进一步明确:
发布周期:每年度;
大型网络平台的范围:是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台;
报告内容:个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。
此外,《未成年人网络保护条例》第二十条针对“未成年用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者”,要求每年发布专门的未成年人网络保护社会责任报告,并接受社会监督。未成年人个人信息网络保护作为重要组成部分,应包含在该报告中。
综合上述法律法规要求,对大型网络平台服务提供者,从个人信息保护和未成年人网络保护两个维度,每年针对未成年人个人信息保护发布相应的社会责任报告已经是必要的合规义务,也就是说,上述两份社会责任报告中,均应当包含未成年人个人信息保护的内容。
近期,各大网络平台陆续发布了2024年度《未成年人网络保护社会责任报告》,从各家发布的报告来看,涉及未成年人个人信息保护的内容,主要包含企业合法合规情况、未成年人隐私政策制定情况、未成年人个人信息全生命周期保护、个人信息保护技术应用、预防网络暴力等。
企业在撰写报告具体内容的过程中,可根据上述参考点,结合企业自身情况全面总结、阐述在未成年人个人信息保护中所践行的社会责任。
以上为部分大型网络平台企业发布的2024年未成年人网络保护社会责任报告
参考资料:
[1] 《腾讯未成年人网络保护社会责任报告(2024)》
[2] 《2024 抖音未成年人网络保护社会责任报告》
[3] 《虎扑未成年人网络保护社会责任报告(2024)》
[4] 《Soul APP 未成年人网络保护社会责任报告(2024)》
[5] 《得物App未成年人网络保护社会责任报告(2024)》
[6] 《2024年大众点评App未成年人网络保护社会责任报告》
[7] 《2024年B站未成年人网络保护社会责任报告》
[8] 《米哈游未成年人网络保护社会责任报告》
作者:刘能斌,赛博研究院 咨询顾问&研究员
声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。