前 言
根据2021年7月20日,共青团中央维护青少年权益部、中国互联网络信息中心(CNNIC)发布的《2020年全国未成年人互联网使用情况研究报告》调查数据,2020年我国未成年网民规模达到1.83亿,未成年人的互联网普及率达到94.9%,比2019年提升1.8个百分点,高于全国互联网普及率70.4%。超过三分之一的小学生在学龄前就开始使用互联网,而且呈逐年上升趋势,身处数字时代,孩子们首次触网的年龄越来越小。
与之相对应,我国针对未成年人的个人信息保护立法和执法工作也在日趋完善。2021年3月11日,浙江省杭州市余杭区检察院诉国内某知名短视频公司侵犯儿童个人信息民事公益诉讼案结案。相关报道显示,该公司主要在以下三方面侵犯了儿童个人信息:第一,在开发运营该公司APP的过程中,未以显著、清晰的方式告知并征得儿童监护人有效明示同意,允许注册儿童账户,并收集、存储儿童个人信息;第二,在未再次征得儿童监护人有效明示同意的情况下,向具有相关浏览喜好的用户直接推送含有儿童个人信息的短视频;第三,没有采取技术手段对儿童信息进行专门保护。该案最终以调解方式结案,公司接受了检察机关就该案提出的停止侵权、赔礼道歉、消除影响、赔偿损失等诉求。
2021年8月11日至12月31日,海南省委网信办共计通报涉未成年人领域移动应用程序6款,主要集中于线上教育、网络游戏等领域;2022年2月23日,海南省委网信办集中向社会通报对一批用户量大、与未成年人密切相关的APP收集使用个人信息情况的技术检测结果,“蜀门”“蚁族崛起”“追追漫画”“梦幻人生”“成语状元郎”“学习云平台”等9款App存在不同程度违法违规收集使用个人信息的行为,海南省委网信办责令相关运营单位自通报发布之日起15个工作日内完成整改,逾期未完成整改的,海南省委网信办将依法予以处置。我国对未成年人个人信息的保护迈入新的监管发展阶段。
一、我国儿童个人信息保护的法律渊源
在《民法典》(人格权编)和《个人信息保护法》尚未颁布实施之前,《网络安全法》作为保障网络安全的大法,在网络信息安全方面重点规定了个人信息收集、使用的基本原则和企业的合规义务。未成年人作为未成年人主体的组成部分,其个人信息保护可能只是未成年人保护整体框架下的小部分内容,但也涉及未成年人的家庭保护、学校保护、社会保护和司法保护等多个方面。我国采用的是分散立法模式,未成年人个人信息保护的规定分散见于《网络安全法》和《未成年人保护法》等多部法律中,但每部法律的立法目的和规范要点存在差异。
我国于2017年6月1日起施行的《网络安全法》第十三条规定,“国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境”。2017年10月1日起施行的《民法总则》的第一百一十一条,对自然人的个人信息进行了规定,尽管没有细致区分未成年人和成年人的个人信息,但确立了个人信息依法保护。国家互联网信息办公室制定并于2019年10月1日起施行的《儿童个人信息网络保护规定》(以下简称“《保护规定》”)尽管只是一项部门规章,但为儿童个人信息的网络保护确立了基本的规范框架。2020年3月6日全国信息安全标准化技术委员会发布了《信息安全技术个人信息安全规范》,规定收集年满14周岁的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
2021年1月1日起施行的《民法典》对《民法总则》的第一百一十一条进行了扩充和发展,在人格权编中用专章规定了自然人的隐私权和个人信息保护。1991年通过的《未成年人保护法》经历过2006年、2012年和2020年的三次修订,第三次修订从结构上在原来的未成年人保护法所规定的四大保护即家庭保护、学校保护、社会保护和司法保护的基础上,增加了政府保护和网络保护。在2021年6月1日起施行的新修订《未成年人保护法》增设“网络保护”专章,首次在法律中明确规定未成年人的网络保护,具有里程碑意义。《未成年人保护法》第七十二条明确规定“信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。”
2021年8月20日,全国人大常委会审议并通过《个人信息保护法》,首次明确不满十四周岁未成年人的个人信息为个人敏感信息,除了获取父母或者其他监护人的同意外,还要求个人信息处理者对此制定专门的个人信息处理规则以加强保护。此外,《预防未成年人犯罪法》第四十五条、《刑法》第二百五十二条、《刑事诉讼法》 第二百七十五条等条文,虽未在法条中直接表明对儿童个人信息进行保护,但也都是对未成年人信息的间接保护,旨在为未成年人营造一个健康的成长环境。
二、未成年人个人信息保护的特殊性
与成年人相比,未成年人的个人信息保护有其特殊性所在,分为主体特殊和个人信息特殊两个方面。
就主体特殊而言,未成年人因其年龄、智力发展尚未成熟,无法独立实施民事法律行为,因此我国《民法典》总则编以八周岁为分界线,将未成年人分为限制民事行为能力人与无民事行为能力人,由监护人代理其进行部分或全部民事法律行为。我国《消费者权益保护法》《网络安全法》《刑事诉讼法》等基本法律对未成年人进行特殊了规定,体现优先保护、侧重保护的立法理念;同时,还出台了专门法律——《未成年人保护法》和《预防未成年人犯罪法》突出对未成年主体的特别对待。另外,由于网络世界具有高度的虚拟性、风险的隐秘性和复杂性的特点,即使是成年人也往往难以抵制网络诱惑、辨别网络环境和风险,遑论不具备完全民事行为能力的未成年人。在个人信息受到侵害之后,未成年人难以举证证明信息控制者实施了侵权行为以及行为与损害之间的因果关系,且维权成本过高。因此,基于未成年人主体的有限理性与权利救济障碍,需要法律对其加以特殊保护。
我国《个人信息保护法》第三十一条第一款明确规定,个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未能年人的父母或者其他监护人的同意。对于已满十四周岁不满十八周岁的未成年人的个人信息的处理,我国法律并未明确。《信息安全技术个人信息安全规范》规定收集年满14周岁的未成年人的个人信息前,应征得未成年人或其监护人的明示同意。而新修订的《未成年人保护法》第七十二条第二款规定“未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外”;第七十五条第二款规定“国家建立统一的未成年人网络游戏电子身份认证系统。网络游戏服务提供者应当要求未成年人以真实身份信息注册并登录网络游戏”;第七十六条规定“网络直播服务提供者不得为未满十六周岁的未成年人提供网络直播发布者账号注册服务;为年满十六周岁的未成年人提供网络直播发布者账号注册服务时,应当对其身份信息进行认证,并征得其父母或者其他监护人同意”。
同时,《未成年人保护法》第七十一条第二款规定“未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外”,第七十四条规定“网络产品和服务提供者不得向未成年人提供诱导其沉迷的产品和服务。网络游戏、网络直播、网络音视频、网络社交等网络服务提供者应当针对未成年人使用其服务设置相应的时间管理、权限管理、消费管理等功能。以未成年人为服务对象的在线教育网络产品和服务,不得插入网络游戏链接,不得推送广告等与教学无关的信息”。
因此,对于已满十四周岁不满十八周岁的未成年人的个人信息的处理,要区分产品和服务的内容以及不同的处理行为来判断是否需要取得父母或者其他监护人的同意,对于要求信息处理者更正、删除未成年人个人信息、以未成年人为服务对象的在线教育网络产品和服务以及网络游戏的注册,无需取得父母或者其他监护人的同意;而对于网络直播、网络音视频、网络社交、网络购物等其他网络服务,网络服务提供者需要处理未成年人个人信息的,应当取得其父母或者其他监护人的同意。《未成年人保护法》第六十七条规定网信部门会同公安、文化和旅游、新闻出版、电影、广播电视等部门根据保护不同年龄阶段未成年人的需要,确定可能影响未成年人身心健康网络信息的种类、范围和判断标准,后续也应根据前述可能影响未成年人身心健康网络信息的种类、范围和判断标准,来确定相应的处理行为是否需要取得未成年人的父母或者其他监护人的同意。
就未成年用户的个人信息特殊而言,未成年人的个人信息具有高度敏感性与私密性,泄露之后的损害是长期的、难以挽回的,且基于主体的脆弱性,其个人信息被不法利用的可能性也比较大。 基于未成年主体的特殊性和网络的复杂性,我国《个人信息保护法》第二十八条第一款明确规定不满十四周岁未成年人的个人信息是敏感个人信息。同时,已满十四周岁不满十八周岁的未成年人依然属于限制行为能力人,不具备足以保护自己个人信息的能力和意识,同样需要予以特殊对待。故已满十四周岁不满十八周岁的未成年人的个人信息也宜视为敏感信息予以保护。
据此,未成年用户由于其主体的特殊性和个人信息的特殊性,应当在其个人信息保护上予以特殊规定。
三、《儿童个人信息网络保护规定》与《个人信息保护法》有关未成年人个人信息保护框架对比梳理
自2019年10月1日起施行的《保护规定》是一部专门针对儿童个人信息网络保护的部门规章,全文共二十九条,其以《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》为上位法依据,正式明确了网络环境下“儿童”的定义,从个人信息保护和儿童权益两个维度系统地规定了儿童个人信息保护的相关要求,细化了对互联网行业自律和监护人知情同意的要求,明确了对儿童个人信息处理的要求,完善了儿童个人信息保护的体系架构,是我国第一部针对儿童的个人信息保护专门立法。我国《个人信息保护法》明确将不满十四周岁未成年人的个人信息作为个人敏感信息,除了获取父母或者其他监护人的同意外,还要求个人信息处理者对此制定专门的个人信息处理规则以加强保护,同时规定个人信息的处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务,这些处理规则和个人信息处理者的义务均同样适用于对未成年人个人信息的处理。
通过对《保护规定》和《个人信息保护法》中有关未成年人个人信息的保护规定的对比和梳理,二者之间存在的差异主要有:
(一)《保护 规定》以《网络安全法》《未成年人保护法》为上位法,《个人信息保护法》以《宪法》为上位法。
(二)《保护规定》适用的保护对象是不满十四周岁的未成年人,《个人信息保护法》适用的保护对象是自然人。
(三)《保护规定》适用的保护范围是“在中国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动”,《个人信息保护法》适用的保护范围是“在中国境内处理(收集、存储、使用、加工、传输、提供、公开、删除等)自然人个人信息,境外以向境内自然人提供产品或者服务为目的处理境内自然人信息,为分析、评估境内自然人的行为处理境内自然人信息,以及法律、行政法规规定的其他情形”。据此,仅就针对未满十四周岁未成年人个人信息的处理而言,《个人信息保护法》的适用范围比《保护规定》要广泛。
(四)就监护人责任而言,《保护规定》明确“监护人应正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全”,《个人信息保护法》则只规定“个人信息处理者处理不满十四周岁未成年人信息的,应当取得未成年人的父母或者其他监护人的同意”,事实上父母或者其他监护人对具体处理行为同意与否,也取决于依法正确履行监护职责、保护未成年人的合法权益。
(五)《保护规定》明确“遵循正当必要、知情同意、目的明确、安全保障、依法利用”的处理原则,《个人信息保护法》则特别强调“具有特定的目的和充分的必要性,并采取严格保护措施的情形下”才能处理敏感个人信息,《个人信息保护法》对不满十四周岁未成年人的个人信息处理,提高了“正当必要、目的明确”的处理原则的要求。
(六)《保护规定》明确“网络运营者征得同意时,应当同时提供拒绝选项”,并未对拒绝情形下的各方权利义务作出进一步的规范,《个人信息保护法》则明确规定“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,处理个人信息属于提供产品或者服务所必需的除外”。
(七)在对不满十四周岁未成年人的父母或者其他监护人的告知事项上,除了共通的处理目的、处理方式,处理的个人信息种类、保存期限等事项外,特别值得注意的是《保护规定》明确要求网络运营者告知儿童个人信息存储的地点、到期后的处理方式和拒绝的后果。
(八)《保护规定》和《个人信息保护法》均要求对处理不满十四周岁未成年人的个人信息设置专门的个人信息处理规则,《保护规定》还明确需要设置专门的用户协议。
(九)《保护规定》要求网络运营者委托第三方处理儿童个人信息,应当对受委托方及委托行为等进行安全评估,向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估;《个人信息保护法》则明确规定处理敏感个人信息应当事前进行个人信息保护影响评估。
(十)在个人信息的更正方面,相较于《保护规定》,《个人信息保护法》要求“个人信息处理者应当对其个人信息予以核实”,但在实践中如何落实该核实义务,有待考察。
(十一)发生或者可能发生个人信息泄露、篡改、丢失的,《保护规定》和《个人信息保护法》都规定了立即启动应急预案,采取补救措施,《个人信息保护法》还明确要通知履行个人信息保护职责的部门和个人,而《保护规定》则要求造成或者可能造成严重后果的,应当立即通知主管部门;就是否通知个人信息主体及其监护人,《保护规定》要求“将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息”,《个人信息保护法》则规定“个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人”。
(十二)在法律责任的追究上,《保护规定》仅明确规定由网信部门依据职责进行约谈,其他的法律责任则转引其他的法律规定,《个人信息保护法》则明确规定了责令改正、警告、没收违法所得、责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照、罚款的法律责任,并且对直接负责的主管人员和其他直接责任人员处以罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
就《保护规定》和《个人信息保护法》对未满十四周岁未成年人的个人信息保护而言,《个人信息保护法》有规定的,优先适用该规定,仅在《个人信息保护法》未做规定而《保护规定》提出要求时,需要适用《保护规定》。
四、未成年人个人信息保护的特殊设置
(一)数据处理者必须具有特定的目的和充分的必要性,并采取严格保护措施,才能处理未成年人信息
《个人信息保护法》第二十八条第二款明确规定“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”,但对于何谓“特定的目的和充分的必要性”、何谓“严格保护”,并没有明确的标准和界定。《网络数据安全管理条例(征求意见稿)》(简称“《数安条例》”)没有区分一般个人信息和敏感个人信息而对目的和必要性划分不同层级的要求,而统一规定“数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则”,即“处理未成年人的信息必须是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的”,并且“处理未成年人信息必须限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式”。
因为《个人信息保护法》是《数安条例》的上位法,按照“特定的目的和充分的必要性”的严格要求,数据处理者在衡量和评价“提供服务所必需”时,需要严格把关,首先区分所提供的服务是专门针对未成年人提供抑或是有可能涉及未成年人,对于后者,应该进一步结合处理目的来判断,在未成年人的信息缺失不会实质影响处理目的的情形下,就不应该处理未成年人信息。其次,数据处理者对于未成年人的信息的处理,要真正严格遵循“采取最少类别、最小范围、最少数量、最短周期、最低频次的处理方式”,以确保实现对未成年人的权益影响最小。
(二)数据处理者须单独设置儿童信息保护规则、用户协议和专人负责儿童个人信息网络保护
《个人信息保护法》和《保护规定》都明确规定处理未成年人个人信息,应当制定专门的未成年人个人信息处理规则,《保护规定》第八条还规定应当设置专门的儿童个人信息用户协议,并指定专人负责儿童个人信息保护。同时,依据《数安条例》第九条的规定,数据处理者应当使用密码对未成年人个人信息进行保护,还应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。数据处理者还应当采取备份、强加密、严格的访问控制等必要措施,切实保障未成年人的个人信息免遭泄露、窃取、篡改、毁损、丢失、非法使用,妥善应对个人信息安全事件,防范针对和利用未成年人个人信息的违法犯罪活动,维护未成年人个人信息的完整性、保密性、可用性。
(三)处理个人信息应当取得个人同意的,数据处理者必须取得未成年人的监护人的事先同意,并须保留取得监护人事先同意的相关证据
由于未成年人对于因其个人信息的泄露窃取、篡改、丢失、非法使用等可能存在的社会危险和对其个人权益的侵犯缺乏认知,《个人信息保护法》、《保护规定》和《数安条例》都明确规定数据处理者在处理未成年人个人信息之前获得其监护人同意的相关规则。具体而言,分别规定了数据处理者需首次或再次获得监护人的同意的情形:1.处理未成年人个人信息,应当取得同意的;2.未成年人个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得监护人同意,并同步修改未成年人个人信息处理规则和用户协议;3.因业务需要,确需超出约定的目的、范围使用的。
对于获得监护人同意的具体方式,目前我国尚没有明确的要求。美国是个人信息保护知情同意原则的积极拥护者,有关未成年人监护人同意的具体方式,可以参考和借鉴美国COPPA的做法。美国COPPA中知情同意原则主要依靠“可验证的父母同意”来实现儿童信息权利保护。“可验证的父母同意”是指在考虑到现行技术的前提下,任何未成年人个人信息的收集、使用、披露和后续使用都应当由操作主体尽到向孩子父母的通知义务,以征得父母的同意。总体看来,征得父母同意分为五步:(1)充分通知;(2)直接通知父母;(3)取得可验证的父母同意;(4)建立和维护合理程序;(5)提供合理的审阅方式。
此程序下,美国联邦贸易委员会制定了一整套浮动机制来应对各种情形,针对数据控制者的不同行为采取不同的验证手段,包括:(1)提供一份可以由家长打印、填写、签名并邮寄、传真或扫描发回电子邮件的表格;(2)要求父母使用信用卡或者相类似的与货币交易相关的支付方式;(3)父母长期持有一个免费电话,由专员就同意事项与父母保持联系;(4)允许父母通过视频会议的方式与专员保持联系,或者验证有政府签发的父母身份证明,但是验证之后网站随即应当删除。对仅用于内部使用的信息,可以仅通过电子邮件的方式进行验证;如果收集到的信息会被公开泄露给其他人,那么就需要更严格的同意方法,如书面许可表格、父母的电话以及带有数字签名的电子邮件等。《数安条例》第二十一条第三款规定“对个人同意行为有效性存在争议的,数据处理者负有举证责任”,因此在我国,数据处理者获得未成年人监护人同意的方式,必须是能有效证明的,并应妥善保存。
(四)数据处理者必须遵守与第三方交互处理未成年人个人信息的强制性要求
鉴于数据处理者向第三方提供未成年人个人信息及其交互处理会导致前述个人信息的移转以及实施处理行为的主体的变更,这种移转和变更所伴随产生的风险,是需要防范和严格控制的,因此《个人信息保护法》《保护规定》和《数安条例》都对数据处理者与第三方交互处理未成年人个人信息作出明确的特别规定。其中,数据处理者开展共享、交易、委托处理、向境外提供未成人年个人信息,都应当事前自行开展安全评估,安全评估的重点是数据接收方的身份、诚信履约的能力、对个人信息和重要数据提供安全保障的能力和承担法律责任的能力、合同中约定的数据安全措施的有效性和可执行性,以及个人信息和重要数据的交付转移可能对“国家安全、经济发展、公共利益带来的风险”;经评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供。
同时,《保护规定》还针对未成年人个人信息保护作出明确的特殊性规定,例如明确受托方应按法律、行政法规的规定和数据处理者的要求处理未成年人的个人信息,且不得转委托等。此外,《数安条例》规定数据处理者与数据接收方要明确约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督;数据处理者须留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少留存五年。前述要求均是对未成年人个人信息保护的强制性的义务,数据处理者必须遵守。
(五)数据处理者须设置严格的内部访问权限
《保护规定》第15条从访问权限的角度明确了数据处理者内部对未成年人个人信息的管控要求,即以“最小授权”为原则,为数据处理者内部人员访问未成年人个人信息设定严格的访问权限,控制未成年人个人信息知悉范围。除技术上控制访问权限外,《保护规定》也要求数据处理者从流程审批的角度对工作人员访问未成年人个人信息予以控制,即应当经过未成年人个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载未成年人个人信息。与《规定》在未成年人个人信息存储要求上的规定类似,这一访问控制要求同样可能对企业未来个人信息的存储策略产生影响。一定程度上,将未成年人个人信息有别于一般个人信息进行单独存储,或在个人信息混同存储情形下对未成年人个人信息进行特殊的识别设置(如标签标记等),才可能在实践操作上与《保护规定》有关访问权限控制的要求相匹配。
(六)删除权的特别规定
对于儿童个人信息的删除,《保护规定》要求:(1)儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的,网络运营者应当及时采取措施予以删除,尤其是在网络运营和违反法律法规规定或双方约定、超出目的范围或者必要期限处理儿童个人信息、儿童监护人撤回同意的情况下(《保护规定》第20条);(2)停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人(《保护规定》第23条)。《个人信息保护法》第四十七条则进一步明确规定了个人信息处理者在前述情形下的主动删除个人信息的义务,法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。
考虑到对未成年人个人信息的更为严格的保护要求,除法律、行政法规规定的保存期限未届满的情形外,其余情形均应对未成年人个人信息予以删除;如果从技术上难以实现彻底删除的,则应对未成年人个人信息进行匿名化处理,直至无法识别所留存处理的信息属于未成年人个人信息。停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。
(七)数据处理者须设置更为严谨的安全应急处置机制,确保能够即时采取补救措施
《保护规定》第二十一条明确要求网络运营者“发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息”,《个人信息保护法》第五十七条规定“发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的,个人信息处理者可以不通知个人;履行个人信息保护职责的部门认为可能造成危害的,有权要求个人信息处理者通知个人”,此两条规定的内容大同小异,均是针对个人信息的安全应急处置机制的要求。
儿童利益最大化应当视为儿童个人信息网络保护的首要原则,这也是不同于成年人个人信息保护的最大特点,针对未成年人或主要以未成年人为对象的网络产品、服务和APP应当有更加严格的准入和监管机制,在安全应急处置机制上亦应体现儿童利益最大化保护的原则,应要求数据处理者为儿童个人信息设置专门的、更为严谨更为高效的安全应急处置机制,确保能够即时采取补救措施。
五、对企业在未成年人个人信息保护方面的合规建议
只要企业的产品或服务可能会涉及未成年人个人信息的收集和处理,则企业就应认真落实未成年人的个人信息保护,具体而言,企业应该做到:
(一)必须单独设置未成年人的个人信息保护规则和用户协议,并指定专人负责儿童个人信息网络保护。对于仅面向未成年人提供的产品及服务,还应当采取一定的有害内容预防措施进行内容过滤,同时采取网络使用时长控制等网络沉迷防控手段。
(二)在收集和处理未成年人的个人信息时,必须严格遵守特定的目的和充分的必要性原则,真正实现“采取最少类别、最小范围、最少数量、最短周期、最低频次的处理方式”,以确保实现对未成年人的权益影响最小。
(三)遵守未成年人保护的法律法规,处理未成年人个人信息应当取得个人同意的,必须取得未成年人的监护人的事先同意,并须保留取得监护人事先同意的相关证据。
2019年8月21日,瑞典数据保护机构根据欧盟通用数据保护条例(“GDPR”)对瑞典一所学校利用人脸识别系统收集学生面部识别特征等个人信息的行为处以200,000瑞典克朗(约人民币15万元)的罚款,这也成为了瑞典历史上的第一个GDPR处罚案例。该域外执法案例,对于向境外提供产品或服务的境内企业,以及利用新兴技术从事未成年人服务行业的相关企业而言,其指导意义是不言而喻的。对于收集个人信息尤其是未成年人的个人信息,一刀切的授权同意已经不再满足日趋严格的执法要求,建议企业结合数据应用场景、使用目的、手段必要性、授权同意的真实意思表示、双方权利分配等因素,多方位综合判断数据处理合法依据是否有效。同时,在收集未成年人信息之前,企业应当进行数据保护影响评估工作,以明确风险并采取一定技术和制度措施有效降低风险。
为识别不满十四岁的未成年人,应建立年龄认证和识别系统, 或利用真实身份注册验证机制, 有效识别未成年人用户。收集未成年人的个人信息前, 严格要求用户的父母或其监护人明示同意。参照其他国家关于未成年人父母或监护人明示同意的规定,表示明示同意的方法包括:
若终端或应用仅单独面向未成年人的,可参考向未成年人的监护人进行告知的方式,并在告知时同时征求监护人的同意,即在将相关需要告知的信息采用短信、消息推送、电子邮件的方式向其监护人告知时征求监护人的同意。若产品或服务为未成年人和监护人提供了不同终端或应用界面的,可在向监护人告知个人信息收集使用规则等信息 时同时征求监护人的同意。例如,在监护人通过弹窗展示授权页面,让监护人选择“同意”或“拒绝”,或在监护人得到充分告知前提下,主动将其终端与未成年人应用进行绑定,可以视为监护人同意等。若涉及幼儿园、中小学校、社会教育培训机构、儿童游乐场等单位收集使用未成年人个人信息的,可以在通过信件、公示、签署协议、即时通讯工具等方式告知未成年人的监护人个人信息收集使用规则等信息时,征求其监护人的同意。
(四)建议在内部的数据分类中将未成年人个人信息设置为级别较高的重要数据,对未成年人个人信息采取强加密等措施存储,设立单独的信息管理账户和管理权限体系,严格设定内部信息访问权限,控制未成年人个人信息知悉范围,并采取更加严格的保护措施和设置更为严谨的安全应急处置机制,记录数据访问情况。
(五)遵守《个人信息保护法》《保护规定》和《数安条例》以及各部门规章、国家和行业标准等法律法规中有关未成年人个人信息保护的特别规定,进行未成年人个人信息的共享、交易、委托处理、向境外提供未成年人个人信息、删除、匿名化等重要的处理行为时,必须保存评估记录、审批记录和日志记录至少五年。
(六)当发生未成年人的个人信息泄露、损毁、丢失等信息安全事件的,必须及时启动应急预案,立即向主管部门报告,并以任何可能方式向受影响的未成年人及其监护人进行告知,以便有效预防对未成年人的权益造成损害。
附全文PDF:
策略律所数据合规项目组
策略数据合规项目组在数据合规及个人信息保护领域拥有丰富的人才储备和实践经验。截止目前,项目组拥有通过EXIN(国际信息科学考试协会)DPO认证的律师12名,通过EXIN ISO27001认证的律师2名。
项目组由律师事务所执行主任庞理鹏律师领衔,庞理鹏律师是国内较早从事数据合规和个人信息保护的律师,在该领域具有很高的知名度和影响力。项目组律师和顾问背景多元,既包括曾在跨国集团担任法务的公司律师,也包括世界500强企业尤其是高科技企业的产品经理、技术经理。项目组大部分律师精通该领域的国内外法律和实践,是企业在中国及全球业务运营中的可靠商业伙伴。
作者介绍introduction
刘卉律师
策略律所数据合规项目组成员
清华大学民法学博士,拥有近十六年的法律从业经验
北京市物权法研究会 理事
EXIN数据保护官(DPO)&信息安全官(ISO)双认证律师
岳宏律师
策略律所数据合规项目组成员
策略律所监事会主任、合伙人律师
专利代理师、EXIN数据保护官(DPO)、北海仲裁委员会仲裁员
特别声明:以上仅代表笔者个人观点,不代表策略律师及策略律师事务所出具的任何形式之法律意见。如有意向就相关议题进一步交流探讨,欢迎与本所联系!
热门跟贴