引言

《未成年人网络保护条例》(以下称“《条例》”)自2024年1月1日起实施,是我国未成年人网络保护领域的首部专门性、全面性法规,意味着我国未成年人网络保护进入新的合规阶段。《条例》全面覆盖未成年人网络保护工作,从网络素养促进、网络信息内容、个人信息保护、网络防沉迷等方面对未成年人网络保护工作做了全面、系统的规定。《条例》起草工作时间跨越近十年,两次向社会公开征求意见(征求意见稿情况参见:幼吾幼以及人之幼——《未成年人网络保护条例》的解读)。《条例》起草过程中,国家有关未成年人网络保护的立法、监管工作同步推进,《未成年人保护法》于2020年修订通过,国家有关部门出台了未成年人网络保护工作相关管理规定,开展了“净网”“护苗”“清朗”等系列专项执法行动,推动社会各界共同保护未成年人在网络空间的各项活动。

《条例》的出台,在未成年人网络保护法律体系中形成了合规枢纽,以《条例》为中心推进企业的未成年人网络保护合规工作,需要全面熟悉和了解《条例》的规范要求,应应当调整合规结构、思路和方法,采取适应未成年人网络保护的合规策略。本文对《条例》的主要内容进行深入分析,探讨未成年人网络保护的合规框架及关键要义。

01 《条例》的合规框架及基础

未成年人网络保护在网络时代是基础性、崭新性的话题。基础是因为未成年人保护由来已久,崭新是因为在网络空间如何保护未成年人,特别是如何全面的保护未成年人,仍然是一个需要持续探讨和推进的问题。

2020年修订的《未成年人保护法》中专门增加了“网络保护”一章,从而在法律层面确定了未成年人网络保护的机制、原则和要求,为相关管理制度提供了法律依据。

《条例》作为行政法规,全面落实了《未成年人保护法》“网络保护”一章的规定,同时也将很多实践做法上升为法规要求,在上位法的基础上增加了一些新的保护义务。从《条例》的内容来看,基本覆盖了未成年人接触和使用网络的全生命周期。

首先是未成年人接触网络,这主要是上网权利保障等网络素养问题。其次是未成年人从网络空间获取知识,这需要保证网络信息内容规范有序,防止未成年人接触违法信息(即《条例》中规定的危害未成年人身心健康的网络信息),避免未成年人接触不良信息(即可能危害未成年人身心健康的网络信息)。再次是未成年人在网络空间的合法权益不受侵犯,这主要涉及未成年人个人信息保护问题,也就是在《个人信息保护法》的基础上如何强化对未成年人个人信息的保护。最后是预防和干预未成年人沉迷网络,这涉及到网络产品和服务提供者的主体责任,特别是《条例》专门提及的“网络游戏、网络直播、网络音视频、网络社交”等四类网络服务提供者,需要在时间管理、权限管理、消费管理等方面履行相应义务,以及协助家长开展监护活动。

对于企业而言,开展未成年人网络保护工作,也需要全生命周期思维。首先是识别未成年人以及相应的监护关系,其次是落实网络素养促进有关规定,再次是保护未成年人个人信息,最后是采取防止未成年人沉迷网络的相关措施。其中,识别未成年人是所有工作的前提。

关于实名制的规定是《条例》第三十一条第一款,“网络服务提供者为未成年人提供信息发布、即时通讯等服务的,应当依法要求未成年人或者其监护人提供未成年人真实身份信息。未成年人或者其监护人不提供未成年人真实身份信息的,网络服务提供者不得为未成年人提供相关服务。”

其上位法依据来源于《网络安全法》第二十四条第一款,“网络运营者为用户办理网络接入、域名注册服务、办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。”

由于《条例》针对的是未成年人网络保护工作,不涉及《网络安全法》第二十四条第一款的其他情形,因此《条例》第三十一条第一款只保留了“信息发布”和“即时通讯”两种情形。实践中,信息发布的情形并不只限于文字信息,还应包括图片信息、音视频信息等。《条例》第三十一条第二款就对网络直播服务的实名制做出了强化规定,要求网络直播服务提供者建立真实身份信息动态核验机制。这是在“一次实名”的基础上增加了“二次实名”的法律依据。所谓“一次实名”,是指在服务前进行真实身份登记,而一些未成年人用户可能在真实身份登记时由成年人违规代替其进行实名认证(也有可能是成年人组织未成年人进行直播服务),而实际的网络直播发布者是未成年人。此时,网络直播服务提供者在提供服务过程中,不定时地对网络直播发布者再次进行真实身份登记(即“二次实名”),可以有效防止成年人代替实名认证的情形。鉴于《网络安全法》未对“二次实名”作出规定,《条例》第三十一条第二款完善了相应的法律依据。未成年人的真实身份信息,可以由未成年人本人提供,也可以由其监护人提供,两者之间是“或者”的关系。

《条例》第三十一条的规定属于网络服务提供者的法定义务,其同时作为个人信息处理者,可以适用《个人信息保护法》第十三条第三项“为履行法定职责或者法定义务所必需”,作为处理个人信息的基础。需要区分的是,在一次实名时,网络服务提供者不宜强制要求未成年人或者其监护人提供未成年人真实身份信息,以避免与个人信息保护相关法律规定和执法实践相冲突,特别是按照《个人信息保护法》的规定,不满十四周岁的未成年人个人信息属于敏感个人信息,需要对其进行强化保护。具体应由用户自愿提供其真实身份信息,同时采取显著提示的策略,明确提示用户应当如实提供其真实身份信息,以及未成年人用户隐瞒其真实身份信息的后果等。在二次实名时,网络直播服务提供者也不宜大规模地实施动态实名策略,而应聚焦于防止未成年人用户隐瞒身份提供网络直播服务的场景。鉴于直播服务的公开性以及基于内容管理相关法律规定的管理义务[1],网络直播服务提供者可以在依法巡查直播信息时,采取技术手段识别未成年人网络直播发布者,经对比发现网络直播发布者的身份与其实名登记的身份不一致,主要是实名登记为成年人而实际网络直播发布者身份为未成年人的情形时,可以援引《个人信息保护法》第十三条第三项的合法性基础,要求用户进行“二次实名”,用户拒绝进行实名登记的,可以暂停或者停止为其提供服务。同时,“二次实名”时,可以要求用户通过人脸验证等方式,确定其是否是未成年人,也可以要求用户提供相应的监护关系证明,以确定是否属于家长授权未成年人使用网络直播服务的情形。这时,虽有强制要求用户提供个人信息的可能,但与网络直播服务提供者增强性的法定义务相匹配,合法性基础较为充实。

需要注意的是,《条例》第三十一条是第四章“个人信息网络保护”的第一条,这意味着未成年人真实身份信息登记,要特别注意个人信息保护,防止因为真实身份信息登记而过度收集未成年人个人信息或者滥用、泄露未成年人个人信息。

总体而言,企业在开展未成年人网络保护合规时,宜将识别未成年人及其监护关系作为工作重点之一,同时需要把握平衡真实身份信息登记和未成年人个人信息保护之间的动态平衡,防止顾此失彼而产生合规瑕疵。同时,在搭建未成年人网络保护合规框架的过程中,需要注意《条例》的四个板块,相应在企业内部建立对应的合规单元和组织体系。

02 网络素养促进

《条例》第二章是关于“网络素养促进”的规定,对政府、学校、家庭、社会等各方面主体作出了相关要求。对于企业合规而言,主要应关注第十九条第三款和第二十条,涉及智能终端产品制造者和销售者,以及未成年人网络保护守门人(即“未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者”)。

《条例》第十九条是要求智能终端产品制造者和销售者安装或者提示用户安装未成年人网络保护软件的规定。未成年人网络保护软件是《条例》提出并规定的对未成年人进行网络保护的技术手段之一。《条例》第十八条明确国家鼓励和支持研发网络保护软件,第十九条第一款明确未成年人网络保护软件应当具有有效识别违法信息和可能影响未成年人身心健康的信息、保护未成年人个人信息权益、预防未成年人沉迷网络、便于监护人履行监护职责等功能。

对于智能终端产品制造者而言,需要在产品出厂前安装未成年人网络保护软件,或者采用显著方式告知用户安装渠道和方法。也就是说,智能终端产品制造者应当预装未成年人网络保护软件,如果不能预装或者不愿意预装的,也可以采用显著方式告知用户安装的渠道和方法。实践中何为显著方式,宜结合产品形态具体判断,通常应为产品说明书的显著位置或者是开机提示的主要环节。

对于智能终端产品销售者而言,需要采用显著方式告知用户安装未成年人网络保护软件的情况以及安装渠道和方法。作为智能终端产品销售者,宜与智能终端产品制造者沟通一致,根据智能终端产品制造者的选择,告知用户是否安装了未成年人网络保护软件,或者告知安装渠道和方法。

《条例》第二十条规定了未成年人网络保护守门人义务,该条虽未出现“守门人”的字样,但实际上体现了“守门人”的管理思路——即对超大平台规定特殊义务(值得注意的是,《条例》是我国第二部涉及守门人规定的法律规定,第一部是《个人信息保护法》)。第二十条所规范的“守门人”是指“未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者”。

相较于《个人信息保护法》,《条例》在认定守门人方面有所差异。《个人信息保护法》第五十八条明确了个人信息处理者守门人的三个要件:提供重要互联网平台服务、用户数量巨大、业务类型复杂。这三个要件是并列的关系。而《条例》第二十条对未成年人网络保护守门人的要件是:未成年人用户数量巨大或者对未成年人群体具有显著影响。这两个要件是或者的关系。因此,基于《未成年人保护法》所确定的对未成年人特殊保护、优先保护等原则,《条例》采取了更宽泛的“守门人”认定标准,也就是说相对更多的企业有可能被认定为未成年人网络保护守门人。不过,《条例》尚未对未成年人用户数量巨大以及对未成年人群体具有显著影响作出具体的量化规定,而是规定由国家网信部门会同有关部门另行制定具体认定办法。后续可关注国家网信办相关认定办法,或参考相关执法实践以及有关标准指南(近期,金杜律师事务所正配合中国互联网协会起草有关未成年人网络保护守门人认定相关团体标准,详情参见这里)。

对于未成年人网络保护守门人而言,需要履行六项特殊义务:

(1)保护设计(protection by design)。未成年人网络保护守门人应当“在网络平台服务的设计、研发、运营等阶段,充分考虑未成年人身心健康发展特点,定期开展未成年人网络保护影响评估”。本项实际上参考了数据保护领域的“隐私设计”(privacy by design)的做法,要求在产品、服务的全流程体现未成年人网络保护理念和采取相应措施,将未成年人网络保护贯穿始终。同时,还要求企业定期开展影响评估,以判断未成年人网络保护是否得以落实。有趣的是,《个人信息保护法》的守门人条款反而没有规定“隐私设计”的要求,可以理解为隐私设计在数据保护领域是一项通用性义务,而非守门人义务。

(2)专门服务。未成年人网络保护守门人应当“提供未成年人模式或者未成年人专区等,便利未成年人获取有益身心健康的平台内产品或者服务”。《条例》第十八条明确国家鼓励和支持研发、生产和使用未成年人模式、未成年人专区,但并未要求所有网络服务提供者必须提供未成年人模式或者未成年人专区。然而,对于未成年人网络保护守门人而言,这是一项强制性义务,必须提供未成年人模式或者未成年人专区,且需通过未成年人模式或者未成年人专区为未成年人提供有益身心健康的平台内产品或服务。

(3)合规体系及外部监督。未成年人网络保护守门人应当“按照国家规定建立健全未成年人网络保护合规制度体系,成立主要由外部成员组成的独立机构,对未成年人网络保护情况进行监督”。本项明确要求未成年人网络保护守门人开展未成年人网络保护合规工作,并接受外部监督。外部监督是对守门人监管的主要手段之一,《个人信息保护法》也采取了外部监督的方法。守门人往往体量巨大,对用户影响较深,采取外部监督的方法,可以防止守门人实施侵害用户权益的行为,同时也可以辅助守门人内部合规机制,防止业务条线过于强势,而拒绝接受合规部门的风控建议。

(4)平台规则。未成年人网络保护守门人应当“遵循公开、公平、公正的原则,制定专门的平台规则,明确平台内产品或者服务提供者的未成年人网络保护义务,并以显著方式提示未成年人用户依法享有的网络保护权利和遭受网络侵害的救济途径”。值得注意的是,虽然实践中大多数互联网平台均制定了平台规则,但在我国的法律体系中,平台规则也属于守门人义务之一。除了《条例》以外,还有《个人信息保护法》第五十八条要求个人信息保护守门人制定平台规则。

(5)管理义务。未成年人网络保护守门人应当“对违反法律、行政法规严重侵害未成年人身心健康或者侵犯未成年人其他合法权益的平台内产品或者服务提供者,停止提供服务”。本项规定了未成年人网络保护守门人的平台内管理义务,未成年人网络保护守门人可以依据本项规定对平台内产品或者服务提供者实施管理,但实践中未成年人网络保护守门人应当与平台内产品或者服务提供者签订协议,明确双方权利义务,并就违反事项规定相应责任。

(6)社会责任报告。未成年人网络保护守门人应当“每年发布专门的未成年人网络保护社会责任报告,并接受社会监督”。实践中,很多企业都会发布社会责任报告,以公开、普及其履行社会责任的情况,但发布社会责任报告并非是一项法定义务,而只是一项商业道德规范。本项将未成年人网络保护社会责任报告的发布作为一项法定义务,同时强调了其专门性,即便企业已经每年发布了社会责任报告,但还应当发布专门的未成年人网络保护社会责任报告。对于已有社会责任报告的企业来说,将未成年人网络保护社会责任作为其总体社会责任报告的一部分,也可能符合本项的规定,但是未成年人网络保护的部分应当具有专门性和区分性。

03 网络信息内容规范

《条例》第三章规定了“网络信息内容规范”,主要涉及内容管理和防止网络欺凌。

在内容管理方面,《条例》主要确定了三种类型的信息:有利于未成年人健康成长的信息(正能量信息)、危害未成年人身心健康的信息(违法信息)和可能影响未成年人身心健康的信息(不良信息)。需要注意的是,不良信息并不等同于违法信息,不良信息属于合法的信息,但是应当防范和抵制此类信息。根据《网络信息内容生态治理规定》,网络信息内容生产者应当采取措施,防范和抵制制作、复制、发布不良信息。实际上,网络信息内容三分法(即将信息分为违法和合法,调整为合法、违法和不良)最早由《未成年人网络保护条例(征求意见稿)》[2]所提出,由《网络信息内容生态治理规定》所确定。《网络信息内容生态治理规定》将网络信息分为三类:正能量信息、违法信息和不良信息(分别规定于第五条、第六条和第七条)。

对于有利于未成年人健康成长的信息(正能量信息),《条例》持鼓励态度,这与《网络信息内容生态治理规定》是一致的。《条例》第二十一条规定,国家鼓励和支持制作、复制、发布、传播弘扬社会主义核心价值观和社会主义先进文化、革命文化、中华优秀传统文化,铸牢中华民族共同体意识,培养未成年人家国情怀和良好品德,引导未成年人养成良好生活习惯和行为习惯等的网络信息,营造有利于未成年人健康成长的清朗网络空间和良好网络生态。

对于危害未成年人身心健康的信息(违法信息),《条例》要求不得制作、复制、发布、传播。违法信息的范围包括含有宣扬淫秽、色情、暴力、邪教、迷信、赌博、引诱自残自杀、恐怖主义、分裂主义、极端主义等内容的网络信息。同时,还可以对照《网络信息内容生态治理规定》第六条的规定以及“九不准”信息进行判断。值得注意的是,《条例》第二十二条第二款针对有关未成年人的淫秽色情网络信息还增加了禁止“持有”的规定,除了不得制作、复制、发布、传播以外,还不得持有。这是《条例》新增的规定,强调了对儿童色情信息的从严管理。

对于可能影响未成年人身心健康的信息(不良信息),《条例》规定了显著提示义务,即“在信息展示前予以显著提示”。不良信息的范围包括含有可能引发或者诱导未成年人模仿不安全行为、实施违反社会公德行为、产生极端情绪、养成不良嗜好等内容的信息。同时,还可以对照《网络信息内容生态治理规定》第七条列举的类型,具体为:(1)使用夸张标题,内容与标题严重不符的;(2)炒作绯闻、丑闻、劣迹等的;(3)不当评述自然灾害、重大事故等灾难的;(4)带有性暗示、性挑逗等易使人产生性联想的;(5)展现血腥、惊悚、残忍等致人身心不适的;(6)煽动人群歧视、地域歧视等的;(7)宣扬低俗、庸俗、媚俗内容的;(8)可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等的;(9)其他对网络生态造成不良影响的内容。

不良信息合规的难点在于微博客、网络直播、短视频等具有即时展示性的网络服务形态,需要在履行提示义务的同时不改变服务形态。目前我们还没有观察到相关实践做法,《条例》第二十三条第二款规定,“国家网信部门会同国家新闻出版、电影部门和国务院教育、电信、公安、文化和旅游、广播电视等部门,在前款规定基础上确定可能影响未成年人身心健康的信息的具体种类、范围、判断标准和提示办法”。在国家规定的具体种类、范围、判断标准和提示办法出台之前,我们建议企业根据网络服务形态的特点,考虑先采用首行醒目文字、视频加帧等方法进行合规。同时,还需注意结合《条例》第二十四条第二款,避免在首页首屏、弹窗、热搜等处于产品或者服务醒目位置、易引起用户关注的重点环节展示不良信息。

以上是关于信息内容管理的通行义务,而对于以未成年人为服务对象的网络产品和服务提供者而言,需要注意不良信息管理义务的加严,即不得在其产品和服务中制作、复制、发布、传播不良信息,这与违法信息管理的要求相一致。

《条例》第二十六条第一款明确了禁止在网络空间欺凌未成年人的规定,这是对《未成年人保护法》第七十七条第一款规定的重申。《条例》第二十六条第二款进一步规定了网络产品和服务提供者的相关义务,通过技术手段对网络欺凌行为进行预防和干预,需要建立健全网络欺凌行为的预警预防、识别监测和处置机制。其中第三款明确“网络产品和服务提供者应当建立健全网络欺凌信息特征库,优化相关算法模型,采用人工智能、大数据等技术手段和人工审核相结合的方式加强对网络欺凌信息的识别监测”。2022年11月,中央网信办印发的《关于切实加强网络暴力治理的通知》中对企业建立相关网络暴力治理机制给出了较为明确的指导。网络暴力与网络欺凌在实施手段及表现形式方面具有一致性,可以作为参考。

在预警预防方面,企业需要建立网络欺凌信息分类标准和典型案例样本库,并持续更新和完善。企业还应考虑组织专人,及时收集网络欺凌相关热点话题和舆情线索,强化事前预警。

在识别监测方面,企业需要综合考虑事件类别、针对主体、参与人数、信息内容、发布频次、环节场景、举报投诉等维度,建立符合自身特点的网络欺凌行为识别模型,及时发现预警网络欺凌行为。在日常监测中,应重点根据陌生人私信显著增加、相关话题热度迅速攀升、搜索量快速增长、举报频次加大等情况,及时发现网络欺凌异常行为。

在处置方面,企业需要强化对未成年当事人的保护以及防止网络欺凌信息传播扩散。对当事人的保护,应当设置一键防护功能,优化私信规则,建立快速举报通道。防止信息扩散,应当对评论环节、重点话题群组和版块等加强管理。

值得注意的是,《条例》第二十六条还强调了企业的协助义务,主要包括几项:(1)证据固定,设置便利未成年人及其监护人保存遭受网络欺凌记录的功能、渠道;(2)行使通知,设置便利未成年人及其监护人行使通知权利的功能、渠道;(3)防护功能,提供便利未成年人设置屏蔽陌生用户、本人发布信息可见范围、禁止转载或者评论本人发布信息、禁止向本人发送信息等防护选项。

实践中,识别难、当事人自治等特点是网络欺凌治理的难点,相对来说,当事人更直接、更先于企业知悉网络欺凌行为,因此企业协助未成年人及其监护人免受网络欺凌就十分重要,应当将其作为合规的重要部分之一。

《条例》第二十九条统一规定了企业的信息管理义务,主要是三点:(1)巡查义务,企业应当加强对用户发布信息的管理,采取有效措施防止制作、复制、发布、传播相关违反《条例》规定的信息——具体为《条例》第二十二条、第二十四条、第二十五条、第二十六条第一款、第二十七条,包括违法信息、网络欺凌信息、网络犯罪相关信息。(2)处置义务,企业发现这些违反规定的信息的,应当立即停止传输相关信息,采取删除、屏蔽、断开链接等处置措施,防止信息扩散,保存有关记录,并对制作、复制、发布、传播信息的用户采取警示、限制功能、暂停服务、关闭账号等处置措施。此外,涉及《条例》第二十三条第一款规定的信息的(即不良信息),企业应当巡查是否进行了显著提示,未作提示的,应当通知用户予以提示或代以进行提示,否则不得传输该信息。(3)报告义务,企业采取处置措施后还应向网信、公安等部门报告。

04 个人信息网络保护

《条例》第四章对“个人信息网络保护”进行了规定,主要在《个人信息保护法》的基础上对未成年人个人信息保护作出了专门规定。

《条例》第三十二条强调了最小必要原则,企业应当“严格遵守国家网信部门和有关部门关于网络产品和服务必要个人信息范围的规定,不得强制要求未成年人或者其监护人同意非必要的个人信息处理行为,不得因为未成年人或者其监护人不同意处理未成年人非必要个人信息或者撤回同意,拒绝未成年人使用其基本功能”。其中,国家网信部门和有关部门关于网络产品和服务必要个人信息范围的规定,需要进一步参照《常见类型移动互联网应用程序必要个人信息范围规定》,以及工信部APP治理工作相关规定,如《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》等。

《条例》第三十三条和第三十四条重点关注未成年人如何行使权利。《个人信息保护法》对个人在个人信息处理活动中的权利作出了规定,包括查阅、复制、更正、补充、删除等权利。《条例》第三十三条和第三十四条明确了两点:(1)未成年人的监护人可以代为请求权利,保护未成年人个人信息权益。(2)企业应为未成年人或者其监护人行使相关权利提供便捷的方法、途径和功能并及时受理请求,不得对合理请求进行限制,不得设置不合理条件,拒绝请求的应当书面告知并说明理由。

不过,对于业内较为关注的可携带权,《条例》仍然留给国家网信部门另行的规定予以解决。

《条例》第三十五条规定了数据泄露通知义务,要求“发生或者可能发生未成年人个人信息泄露、篡改、丢失的,个人信息处理者应当立即启动个人信息安全事件应急预案,采取补救措施,及时向网信等部门报告,并按照国家有关规定将事件情况以邮件、信函、电话、信息推送等方式告知受影响的未成年人及其监护人”。数据泄露通知义务在《网络安全法》《个人信息保护法》中均有相关规定。2023年12月,国家互联网信息办公室就《网络安全事件报告管理办法(征求意见稿)》向社会公开征求意见,提出了网络安全事件报告的触发机制、程序、时限等要求,其中数据泄露也为网络安全事件之一。

极为需要注意的是《条例》第三十七条,对未成年人个人信息合规审计作出了专门规定。《个人信息保护法》引入了“合规审计”的手段对个人信息处理的合法性进行内部和外部监督,但作为高位阶的法律层级,其并未对合规审计的具体细节予以明确。2023年8月,国家互联网信息办公室就《个人信息保护合规审计管理办法(征求意见稿)》向社会公开征求意见,提出了合规审计的具体要求并附以《个人信息保护合规审计参考要点》。该办法目前仍在起草制定中,有关个人信息保护合规审计的一般要求仍需关注立法下一步动态。而《条例》第三十七条对未成年人个人信息合规审计作出了明确的规定:(1)可以自行或者委托专业机构开展个人信息合规审计;(2)应当每年进行个人信息合规审计;(3)审计情况应当向网信等部门报告。(近期,金杜律师事务所正配合中国互联网协会起草有关未成年人个人信息合规审计相关团体标准,详情参见这里

《条例》第三十八条规定了未成年人私密信息保护义务,这是与《未成年人保护法》的衔接。企业“发现未成年人私密信息或者未成年人通过网络发布的个人信息中涉及私密信息的,应当及时提示,并采取停止传输等必要保护措施,防止信息扩散”,同时企业“通过未成年人私密信息发现未成年人可能遭受侵害的,应当立即采取必要措施保存有关记录,并向公安机关报告”。这里,由于未成年人私密信息受法律严格保护,且侵害行为主要涉及治安管理责任和刑事责任,因此企业需要履行的是发现义务和报告义务,而并无直接干预的义务。

05 网络沉迷防治

《条例》第五章对“网络沉迷防治”作出了规定,区分了一般网络产品和服务提供者,以及网络游戏、网络直播、网络音视频、网络社交等特殊主体。

对于一般网络产品和服务提供者而言,“应当建立健全防沉迷制度,不得向未成年人提供诱导其沉迷的产品和服务,及时修改可能造成未成年人沉迷的内容、功能和规则,并每年向社会公布防沉迷工作情况,接受社会监督”。需要注意的是,实践中有一些企业认为其客户群体都是“18+”,所以不涉及未成年人网络保护及网络防沉迷的义务,而《条例》实际上对此作出了普适性规定,即考虑到孩子对成人世界好奇、喜欢模仿成人的特点,对网络产品和服务提供者规定了一般性的义务。具体包括:(1)建立健全防沉迷制度,这主要是通过产品、服务设计,未成年人网络保护影响评估等,对产品、服务的内容进行合理把控,设置使用时长、消费等功能时,不宜仅考虑成人用户,也需要考虑未成年人用户使用产品、服务的可能性,并采取相应的保护措施。(2)及时修改可能造成未成年人沉迷的内容、功能和规则,这需要企业结合产品、服务的特点,特别是关注未成年人用户的比例、数量变化,动态地调整未成年人网络保护策略,以达到合规要求。(3)每年向社会公布防沉迷工作情况,这对于未成年人网络保护守门人而言,可在年度社会责任报告中说明,而对于非守门人而言,可考虑专门报告、新闻发布等载体予以说明。

对于网络游戏、网络直播、网络音视频、网络社交等特殊主体而言,《条例》明确规定的义务包括:(1)设置未成年人模式。这对于网络游戏、网络直播、网络音视频、网络社交等特殊主体来说,是一项强制性义务(除了这四类主体,也适用于未成年人网络保护守门人)。2023年8月,国家互联网信息办公室发布了《移动互联网未成年人模式建设指南(征求意见稿)》,下一步将作为未成年人模式的重要参考。(2)采取网络防沉迷措施。网络游戏、网络直播、网络音视频、网络社交等网络服务提供者需要按照国家有关规定和标准设置使用时段、时长、功能和内容等,这与一般网络产品和服务提供者建立健全防沉迷制度的要求是一致的。同时,该四类主体还应针对不同年龄段未成年人实施单次消费数额和单日累计消费额限制,不得向未成年人提供与其民事行为能力不符的付费服务(这需结合《民法典》规定及司法实践综合判断)。(3)协助家长。为家长监护职责提供技术支持,体现了家庭责任最直接、最优先的实际情况。企业协助家长开展家长监护活动,既是《条例》所规定的义务,也是企业避免承担过多义务的重要合规措施之一。具体而言,网络游戏、网络直播、网络音视频、网络社交等网络服务提供者需“以醒目便捷的方式为监护人履行监护职责提供时间管理、权限管理、消费管理等功能”。(4)抵制饭圈。网络游戏、网络直播、网络音视频、网络社交等网络服务提供者需要“采取措施,防范和抵制流量至上等不良价值倾向,不得设置以应援集资、投票打榜、刷量控评等为主题的网络社区、群组、话题,不得诱导未成年人参与应援集资、投票打榜、刷量控评等网络活动,并预防和制止其用户诱导未成年人实施上述行为”。这些不良价值倾向具体的现实表现就是所谓的“饭圈”文化。2021年,中央网信办印发了《关于进一步加强“饭圈”乱象治理的通知》,针对“饭圈”乱象规定了具体的工作措施。企业在具体合规工作中,需同时注意对“饭圈”乱象的治理和防范未成年人参与相关活动。

对于网络游戏而言,《条例》第四十六条和第四十七条还进一步规定了特殊义务。具体包括:(1)统一实名认证。实践中,为了平衡个人信息保护和实名制登记,以及跨游戏平台导致时间管理失灵等问题,国家有关部门组织建立了统一的未成年人网络游戏电子身份认证系统,网络游戏服务提供者应当接入该系统进行未成年人实名制验证,而不宜自行收集未成年人个人信息用以身份识别。(2)禁止租售游戏账号。《条例》第四十六条第二款的义务主体是网络产品和服务提供者,其不得为未成年人提供游戏账号租售服务,以防止未成年人规避实名登记措施而使用网络游戏服务。(3)适龄提示。《条例》第四十七条对网络游戏服务提供者规定了适龄提示义务,目前年龄分段还没有权威的标准指引,实践中游戏企业已经开展了行业探索,主要应考虑游戏的类型、内容、功能等要素,在用户下载、注册、登录界面等位置予以显著提示。

06 法律责任

对于企业而言,《条例》规定了多种行政处罚措施,包括警告、罚款、暂停相关业务、关闭网站、吊销许可证或者吊销营业执照等,同时还有对企业直接负责的主管人员和其他直接责任人员的罚款和从业限制措施。

在罚款方面,《条例》使用了阶梯式方法,最高罚款是5000万元或者上一年度营业额的百分之五——针对的是《条例》第二十条第一款第一项和第五项规定,即未成年人网络保护守门人义务中的“保护设计”和“平台内监督”两项。因此,对于未成年人网络保护守门人而言,未成年人网络保护影响评估和平台内产品、服务管理措施,是非常重要的两项合规内容。

值得注意的是,与《网络安全法》《个人信息保护法》等立法类似,《条例》部分法律责任条款的处罚前提是“拒不改正”(或者情节严重),如第五十三条。而第五十四条、第五十五条和第五十六条则没有给予改正的前提机会,均为在责令改正的同时,予以相关处罚。

结语

总体而言,《条例》涉及内容十分丰富,且与实践中很多法律法规以及标准等相衔接,未成年人网络保护合规涉及个人信息合规的内容,但其内在逻辑与个人信息保护、数据安全、网络安全合规等有所差异,因此未成年人网络保护合规的组织方式也应有较大的变化,需要科学设计和精密部署。

值得注意的是,未成年人保护本就是长期性、持续性的社会治理重要领域,未成年人网络保护也自然是网络社会治理的关键内容,社会各界关注度极高,从《条例》的处罚上限来看,与《个人信息保护法》保持同等水平,不难看出其重要性地位。《条例》出台以前,国家有关部门历年的专项执法活动中都包含了未成年人网络保护的内容,相信《条例》正式实施以后,未成年人网络保护更会成为监管的重点之一。未成年人网络保护方面的合规,不仅能够让企业避免法律责任风险,也是企业提升形象创造社会价值及商业价值的重要工作。

脚注:

[1] 《互联网直播服务管理规定》第七条第一款规定,互联网直播服务提供者应当落实主体责任,配备与服务规模相适应的专业人员,健全信息审核、信息安全管理、值班巡查、应急处置、技术保障等制度。提供互联网新闻信息直播服务的,应当设立总编辑。

[2] 参见《未成年人网络保护条例(征求意见稿)》(2016年)第七条和第八条,国家互联网信息办公室关于《未成年人网络保护条例(草案征求意见稿)》公开征求意见的通知_中央网络安全和信息化委员会办公室 (cac.gov.cn)

本文作者

宁宣凤

合伙人

合规业务部

susan.ning@cn.kwm.com

业务领域:反垄断与反不正当竞争,以及网络安全与数据合规

在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。

吴涵

合伙人

合规业务部

wuhan@cn.kwm.com

业务领域:网络安全、数据合规与治理

吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。

方禹

顾问

合规业务部

转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。

封面图源:画作·林子豪

声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。