国家互联网信息办公室(以下简称“网信办”)政策法规局特别有心地,在2019年5月31日下午6点01分发布《儿童个人信息网络保护规定(征求意见稿)》(以下简称“《征求意见稿》”)。 《征求意见稿》结合《网络安全法》(以下简称“《网安法》”)与《未成年人保护法》体系下对儿童个人信息的保护特征,对(通过网络进行的)儿童个人信息处理行为进行针对性规制,提前献礼国际儿童节,让今年的“六一”多了一份“特别的爱”。

  • 《征求意见稿》概述

(一)《征求意见稿》的出台背景

随着互联网技术与设备的日益普及,未成年儿童已经成为了互联网世界中的重要一员。据统计,我国未成年人互联网普及率高达93.7%,未成年网民规模高达1.69亿人。[1]

比如,社交和游戏类的大部分网站或移动应用均具备简洁明了的交互界面、用户友好的操作要求,极大地降低了相关产品和服务的使用门槛。实践中未成年的儿童可能在其监护人完全不知情的情况下,可以自行将手机号码、电子邮箱等信息提交给各类网站或应用,并使用他们往往一知半解的产品和服务。考虑到儿童个人信息可能对其权益及成长带来的影响程度,目前主流的数据保护立法中均通过特殊规定的形式对儿童个人信息的保护予以高度关注。

以美国《儿童网络隐私保护法》(Children’s Online Privacy Protection Act,以下简称“COPPA”)和欧盟《通用数据保护条例》(General Data Protection Rules,以下简称“GDPR”)为例,其规定中均对于儿童个人信息保护在通用要求之外提出了更高的标准。除明确儿童个人信息保护的年龄界限以外,GDPR中将儿童个人数据归类于“特殊类型个人数据”,提出了远超普通个人数据的合规要求;而COPPA和GDPR中也均不同程度地对儿童年龄核实、可验证家长同意制度等方面进行了规定。

尽管我国一贯重视对于未成年人权益的保护,但由于我国个人信息保护立法的起步较晚,对待儿童个人信息保护尚缺乏专门的保护规定及机制,导致我国企业在业务开展过程中对此领域的关注也有所不足。2019年初,美国联邦贸易委员会因TikTok“涉嫌非法收集13岁以下儿童信息”而处以罚款570万美元,敲响了儿童个人信息保护的警钟。

在此背景下,参照国际上成熟的立法模式,同时延续我国此前已有的规则经验(如《个人信息安全规范》中将14岁以下儿童个人信息列入个人敏感信息),《征求意见稿》对儿童个人信息的处理提出了严格要求(具体要求请见本文第二部分),充分反映了网信办等执法机构对于儿童个人信息保护的重视,并与国际性要求接轨的立法规划。

(二)《征求意见稿》的适用范围与保护对象

从适用范围上看,《征求意见稿》与《网安法》体系相衔接,其第二条明确将适用范围限定在境内“通过网络”从事收集、存储、使用、转移、披露(以下统称“处理”)儿童个人信息等活动。由于《征求意见稿》并未对“网络”进行重新界定,因此“网络”一词可以沿用《网安法》中的定义,即“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”。[2]为此,即使企业在线下采集儿童个人信息,如其所采集的儿童个人信息后续通过在线信息系统处理,同样可能构成“通过网络”处理儿童个人信息,进而适用《征求意见稿》中的相关规定。

从保护对象上看,《征求意见稿》将“儿童”界定为“不满十四周岁的未成年人”。这将意味着网络运营者在判别其所处理的个人信息是否为儿童个人信息前,需要对个人信息主体的年龄进行判断或者就其服务的对象范围进行明确的划定。在实践中,为尽可能准确地核验服务对象的年龄属性(即是否属于儿童),网络运营者通常可能需要在明确划分服务对象范围(例如仅面向成年人提供产品或服务)后通过采集身份证件信息、利用生物识别技术等方式进行年龄的判断。然而,实践中这些措施通常产生较大的核验成本,同时可能需要更改目前常用的用户引导界面模式,这也将是《征求意见稿》生效后所有企业均可能面临的一个合规难题。

  • 《征求意见稿》重点义务条款梳理

整体而言,《征求意见稿》中对网络运营者通过网络处理儿童个人信息的要求,参考了《网安法》和《个人信息安全规范》中(针对个人敏感信息处理)的规则,同时着重突出对儿童个人信息处理活动更为审慎和严谨的态度。具体而言,根据《征求意见稿》的规定:

小结《征求意见稿》在《网安法》、《个人信息安全规范》等不同层级的个人信息保护规则上进一步提高了网络运营者处理儿童个人信息的要求,将有助更好地保护儿童的权益。然而,《征求意见稿》中的部分规定如何在实践中得以落实(例如前述儿童年龄验证、监护人同意的规则等如何落地),可能还有待未来的立法与执法实践予以进一步澄清,企业也应当结合自身业务属性和特点积极探索可行且可靠的应对措施(例如分别发布不同年龄段适用的APP版本等)。

在日益注重未成年人发展的时代,儿童个人信息的商业价值随着企业迅速推出针对儿童受众的产品与服务而日渐提高,众多网站与移动应用也通过多种机制吸引儿童用户人群,即使在传统的社会机构中也存在众多处理海量儿童个人信息的网络运营者(如义务教育机构、少儿辅导/培训机构、儿科诊所、妇幼保健院、大型主题公园等)。然而,如前所述,由于儿童自身并不具备对其个人信息足够充分的保护意识和能力,实践中确实需要监护人与社会规范的主动介入,这也是《征求意见稿》设定义务体系的社会基础。

总而言之,《征求意见稿》作为第一份针对儿童个人信息处理义务与规则的立法草案,一方面体现了个人信息立法和执法的侧重点,另一方面其也是《网安法》后第一份明确了个人信息处理不同环节义务要求与规则体系的、发布后具有强制性法律效力的立法草案。为此,企业应当密切关注相关立法与执法动向,及早筹备合规应对措施,以更好地维护“祖国花朵”的合法权益。如果企业在日常运营中可能涉及儿童个人信息的处理,则应当积极梳理所可能涉及的儿童个人信息处理场景和数量,认真落实《网安法》及相关配套措施对个人敏感信息处理的要求。虽然目前《征求意见稿》尚未正式颁行,考虑到其所呈现趋严的儿童个人信息保护态势,企业也应在商业可行的范围内适当参考《征求意见稿》的要求逐步推行和加强儿童个人信息的保护工作。

让我们不忘初心,找回“天真”和“无邪”,把“特别的爱”给“特别的你们”。