文/麻策律师

2019年六一儿童节前日下午六点零一分(皮一下),国家互联网信息办公室发布《儿童个人信息网络保护规定(征求意见稿)》。

相比较两稿《未成年人网络保护条例(意见稿)》,《儿童个人信息网络保护规定(征求意见稿)》针对的是儿童个人信息的收集使用规范,而没有涉及防沉迷、智能硬件信息过滤等未成年人可接触内容保护方面的问题。因此,该规定在实质上并不能完全替代《未成年人网络保护条例(意见稿)》的作用,两者治理的角度和内容不甚一致。

01 监护人同意

通阅《儿童个人信息网络保护规定(征求意见稿)》全文,个人认为最为核心是围绕“确保儿童能够作出有效的同意?”这一焦点而形成条款。而针对儿童作出有效“同意”这一焦点,又可以简单粗暴地侧重考虑为“由监护人作出明示同意”这一关键的产品设计。

未满14周岁的儿童以及不属于儿童的未成年人,基于其认知上的不成熟,属于无民事行为能力或限制民事行为能力人,这也是为何其接受网络产品服务时须由监护人代为同意的原因。

如果有注意观察,我国几乎所有互联网产品中的未成年人使用条款,其一般的表述方式均是类如:“未成年人应当在征得其监护人同意的前提下使用我们的互联网产品服务并提供信息,否则一切责任由监护人承担。”这类条款看起来言之凿凿,但实际上一般自始自终只是一句免责式口号,将平台主动介入的义务消弭并转嫁给用户,也并没有将条款匹配到产品的隐私设计之中。

如何理解《儿童个人信息网络保护规定(征求意见稿)》中的“由监护人作出明示同意”?《个人信息安全规范》5.5C规定:“收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。”通常情况下,14岁以下(含) 儿童的个人信息属于个人敏感信息,均须获得监护人的明示同意。当然值得注意的是,并不是或不应该要求所有向未成年人提供的在线服务都必须获得监护人同意,例如在线为儿童提供紧急安全救助类产品或功能。

02 监护人同意的程度

不论如何,“由监护人作出明示同意”的产品设计中仍然需要解决如下一些重要的细节问题:一是监护人能够得以介入并作出同意的条件。当儿童注册或使用时,为了获得监护人的同意,实质上可能仍然需要进一步收集监护人的联系方式(电子邮箱或邮寄地址、姓名、手机号码等),这在无形中扩大了个人信息收集的内容,对“最小化收集原则”提出了挑战。当然,特定情况下监护人可能并不是父母,而是机构型主体。二是如何确保儿童提供的监护人联系方式就是儿童的监护人而不是儿童自己预设的电子邮箱,如何验证是真实监护人的真实意思表示?

在这个问题上,确实说起来容易但解决起来并没有哪么简单。不管是欧盟GDPR的规定,还是美国《儿童在线隐私保护规则》(“COPPA”)及FTC发布的《儿童隐私保护六步合规计划》。总体上将互联网产品的合规底线划定为“至少在产品设计上有实质性的征询儿童监护人同意的合理努力”,而不是“从结果上看确实完全获得了监护人的同意”这一在现前技术水平上可能根本无法达成的状态。

03 监护人同意的实践

“至少在产品设计上有实质性的征询儿童监护人同意的合理努力”如何具体体现呢?COPPA列举了如下一些征询监护人同意的合理努力的方式:一是监护人签署同意书并通过传真,邮件或电子扫描发回给网络运营者;二是监护人使用在线支付系统进行交易验证;三是通过和监护人进行电话、视频方式验证;四是通过有权机构认定的监护人网络身份ID;五是通过和联系人进行儿童智力不能有效回答的作题挑战;六是验证监护人照片等信息。

以上方式可以根据不同互联网产品的风险形态而进行不同和适用,就如欧盟29条工作组关于同意的指引所述,在低风险的情况下,通过儿童填写的电子邮件确认父母的责任就足够,而在高风险的情况下,就可能需要通过在线支付系统由父母进行打零钱认证进行同意。当然,我国目前对于自然人的实名验证一般是通过公安部门回复信息验证值(是/否)的形式来确认,若日后有可能通过公安部门的“自然人关系链”公共信息进行验证,就更佳了,这样就可以直接明确儿童填写的监护人是否确实是其监护人了。

我们来看看互联网公司的实践,因为国内目前并没有见到有互联网公司超前到此类合规高度,所以只能以域外产品为参考。以谷歌为例,谷歌用户在注册时,需要填写出生年月信息,以便谷歌判断注册用户的年龄,一旦年龄低于13周岁,则谷歌会要求注册人提供监护人的电子邮箱地址以便谷歌获得授权,同时允许家长后期可以通过其 Family Link 产品帮助儿童使用产品。当儿童达到可在他们所在国家/地区独自管理帐号的最低年龄后,他们便可以独自管理自己的帐号了。而像twitter这样的社交平台,甚至就直接拒绝未成年人的注册(填写出生年月是注册程序中的必须项)

04 中国式监护人“同意”

而这种“美妙”的产品设计,在我国似乎并没有多少用武之地。

我国境内的互联网产品,基于中国监管国情,在合规上可能仍然是具有特殊性的。例如,几乎中国所有的儿童均是以成年人的名义进入各类APP并使用的,这是因为基于简单实名制的合规需求,几乎所有的网站或APP,现在大部分均只提供手机号码进行注册,而实践中这些手机号几乎均是监护人或父母的手机号而不是儿童自己申请的手机号,此其一;其二,基于越来越迫切的流量危机问题,互联网产品极少允许在注册这一业务场景下增加填写手机号码和验证码这两个动作以外的信息填写步骤(例如填写出生年月等),所以在产品的注册过程中几乎不会出现验证账户信息是否属于儿童这一设计的可能性(或者是个人孤陋寡闻了)。当然,若和运营商的验证合作中可以识别的除外,也欢迎提供其他线索

基于此互联网产品场景,在事实上,所有的儿童在互联网产品上的信息提供的行为,一般都可以认定是其监护人通过直接使用各类产品而提供,参考电子商务法关于身份推定的条款,这在实际上也就可以理解成另外一种模式的监护人“有效同意”了。例如各类宝宝成长记录APP,从婴儿、到取名、各类儿童信息或照片的提供,都是家长的主动行为;各类针对儿童的互联网产品,如在线英语教学,也都是通过家长的手机号注册,并由家长填写儿童姓名和出生年月等个人信息而主动提交;这些针对儿童的产品,在产品功能上都设计了允许注册人“添加宝宝”的功能,也说明产品实际上还是提供给家长使用。再例如各类非针对儿童的产品,如直播打赏等,从互联网公司的角度看,实质上都是家长的名义在进行,这也是为啥实践中经常会发生家长以未成年人实际付费而要求退费,但平台认为账号归属家长,导致诉讼最重要的原因了。

我们目前所看到的各类要求针对未成年人的产品设计,本质上并不是完全为了保护儿童的个人信息而设计,而是为了控制未成年人所能接触的网络内容以避免受到毒害。所以,国家统一要求游戏平台进行身份证号码验证,以及统一要求各类短视频平台不停弹屏提示且须提供家长控制模式等,大的逻辑都在于此。

所以,中国互联网产品场景下,似乎无须探讨在收集使用儿童个人信息前,(通过产品中作出合理的努力)征得儿童监护人的明示同意的问题了。因为,这个问题的前提可能是——儿童确实能以其自己的名义在互联网上申请了一个专属账号。从长远来看,针对儿童的产品宜单独开发并独立于非儿童产品,从而清晰化独立的账号体系,例如儿童版视频App。

声明:本文来自互联网法律匠,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。