5月31日下午6点01分,在“六一”国际儿童节到来前夕,国家互联网信息办公室发布《儿童个人信息网络保护规定(征求意见稿)》(下称“征求意见稿”),对规范收集使用儿童信息等行为,以及儿童个人信息保护的规则和处罚措施做出规定,现向社会公开征求意见。
根据该征求意见稿,网络运营者应该设置专门的儿童个人信息保护规则和用户协议,设立专人负责儿童信息保护,收集使用儿童的个人信息必须征得其监护人的明示同意。有专家认为,明确侵犯儿童个人信息安全的惩罚措施是征求意见稿的一大亮点,真正落实还需要家长、学校和政府的共同努力。
国家网信办发布《儿童个人信息网络保护规定(征求意见稿)》。
方便监护人维权 明确惩罚措施
本征求意见稿主要针对不满14周岁的未成年人。中国电子技术标准化研究院专家何延哲曾向南都记者表示,未成年人的网络权益问题是大家一直以来关心的热点话题。他指出,相比成年人,未成年人不太具备对不良信息的分辨能力,也没有能力控制对不良信息的沉迷,所以需要监护人的监督。
中国青少年宫协会媒介与教育工委会常务副主任张海波也向南都记者表示,目前我国对儿童在网络权益上的保护应该说是非常不够。首先很多父母不注意保护孩子的隐私,经常晒孩子照片,这有可能会引起犯罪分子的关注;同时很多科技企业也不注意保护儿童的隐私,在收集儿童信息的时候并未征得监护人的同意。
南都记者查阅征求意见稿发现,其共有二十八条,对以上专家提出的关注点都有所回应。
在个人信息保护规则方面,征求意见稿强调了网络运营者的行业规范,比如第五条显示,网络运营者应当设置专门的儿童个人信息保护规则和用户协议,设立专人负责儿童信息保护;第十二条显示,工作人员访问儿童个人信息的,应当经过个人信息保护专员或者其授权的管理人员审批。
在信息收集使用方面,征求意见稿明确了需要得到监护人的明示同意。而且在第七条、第八条、第十一条、第十四条和第十五条中,全方位详细规定了需要征得明示同意的各种情形,比如收集信息的目的、范围、方式、期限等发生变化,和第三方共用、向第三方转移等。
谈及此次征求意见稿的亮点,北京安理律师事务所合伙人王新锐告诉南都记者:“这份征求意见稿参考了数据生命周期的思路,对儿童个人信息的收集、存储、使用、转移、披露均有完整的覆盖。” 另外,他还表示考虑到儿童对于提供个人信息往往缺乏辨别能力,这一制度设计给家长维权提供了帮助。在收集信息前要求获得监护人的明示同意,在收集后有权要求删除或更正。
北京市环球律师事务所合伙人孟洁则认为,“此次征求意见稿对违反儿童个人信息保护施加了惩罚措施可以算作是一大亮点。”
根据征求意见稿,违反相关规定,网信办将会根据《中华人民共和国网络安全法》第六十四条根据情节单对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
多份文件的征得监护人同意条款存在差异 企业难落实
王新锐告诉南都记者:“《未成年人网络保护条例 (送审稿)》和《未成年人保护法》中都有保护未成年人隐私和个人信息的条款,是比较原则性的规定。这次征求意见稿是第一份专门针对儿童个人信息保护的法律文件。”
同为国家网信办起草的儿童网络安全相关的文件,此次的征求意见稿与《未成年人网络保护条例》有何区别?
孟洁指出,它们的法律层面的效力不同。此次征求意见稿在正式通过后属于部门规章,但《未成年人网络保护条例(送审稿)》在正式通过国务院审批后应属于行政法规,效力层级明显更高。
南都记者梳理发现,除上述和征求意见稿以外,今年以来相继出台的《信息安全技术 个人信息安全规范(草案)》、《数据安全管理办法(征求意见稿)》以及民法典人格权编二审稿等文件中都专门提及对未成年人信息的保护,而此次征求意见稿也沿用了《信息安全技术 个人信息安全规范(草案)》的基本框架。
但多位专家认为,上述几份文件中存在不一致的地方,可能使得网络运营者实操起来会有困惑。
根据征求意见稿,收集、使用儿童个人信息,需要得到的是监护人的明示同意。但《数据安全管理办法(征求意见稿)》第十二条显示,收集14周岁以下未成年人个人信息的,应当征得其监护人同意。其中并没有强调是否要求明示同意。
按照《信息安全技术 个人信息安全规范(草案)》的规定,明示同意是指个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写或提供等。经过对比会发现,一词之差对于网络运营者的要求却是完全不一样的。
王新锐也谈到,征得监护人明示同意这点在企业实务中争议比较大。他具体对比了美国和欧盟的不同处理,美国要求获得“可验证的家长同意”——包括家长签名同意的邮件、传真件或扫描件,电话同意,视频会话同意等;而欧洲GDPR则要求“尽合理努力”。
他还补充道:“我觉得这条对中国企业提出了很大挑战,需要他们参考Privacy by Design的思路,在家长同意方面设计出专门的验证流程和文件清单,相信这会形成一些行业惯例,并得到监管机构认可。不过这里有一个需要注意的地方是,在获得家长同意的过程中不可避免的,又会收集其个人信息,所以实际上是一个嵌套的个人信息保护流程。”
除企业外,家长负责任监护是落实的关键
征求意见稿中对网络运营者的行业规范提出了新的要求,在法律落地过程中,还会面临哪些具体问题?
根据征求意见稿第五条显示,网络运营者应当设置专门的儿童个人信息保护规则和用户协议。对于该规定要求网络运营者单独写一个针对儿童信息保护的隐私政策,还是用户协议里要包含儿童信息保护的规则,专家们对此有不同解读。
重庆大学青少年新媒体研究中心主任曾润喜认为,应当要有一个单独的针对儿童信息保护的隐私政策。
孟洁则认为,从企业实操层面来看,应该把专门做儿童内容和产品的平台与普通网络平台区分开。她举例说到,比如像迪士尼、VIPKID等专注儿童内容和产品的运营者,一般都设有专门针对儿童的隐私政策。但像国内主流的电商平台,在海量的产品中肯定也包含儿童产品,此种情况下往往很难有针对数量比例很少的儿童产品去专门设计单独的儿童隐私政策,但是可以在总的隐私政策中特别列出针对保护儿童的部分。
另外,征求意见稿第十一条规定,工作人员访问儿童个人信息的,应当经过个人信息保护专员或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。
“我认为对企业来讲,并没有需要额外承担的责任。”孟洁告诉南都记者,儿童个人信息可以理解为敏感信息,一般企业要求敏感信息的审批管理机制是和规定要求类似的。所以对于企业来说,应该没有增加行政成本。
除企业以外的相关方是否也需要承担一定社会责任?
张海波认为,整个立法的落地还需要一个过程。首先是成年人,特别是孩子的家长,首先要有保护儿童隐私的意识,同时要教育儿童,提高他们的网络安全意识和网络素养;其次,作为学校,在专题教育和课程中,应该特别强调让儿童从小就学会保护自己的隐私;第三,作为政府,特别要对互联网企业加强监管,并采取必要的惩罚措施。
“这个规定的落实最终还是需要家长负责任”,中国法学部研究会副主任彭伶强调道。她还表示:“我一直秉持的一个观点是,未成年人保护的核心是监护,家长的监护是是最重要的。”
此《征求意见稿》正面向社会公开征求意见,公众可通过以下途径提出反馈意见:
1、电子邮箱:law@cac.gov.cn。
2、通信地址:北京市西城区车公庄大街11号国家互联网信息办公室政策法规局,收件人:李民、许修安,邮编:100044。来函请在信封上注明“儿童个人信息网络保护规定征求意见”。
意见反馈截止日期为2019年6月30日。
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。