国家互联网信息办公室(“网信办”)发布了首部针对儿童个人信息网络保护的法规−−《儿童个人信息网络保护规定》,其将于2019年10月1日起生效。

背景

《网络安全法》确立了中国个人信息保护的基本原则,但在《儿童个人信息网络保护规定》(以下简称“《规定》”)颁布前,并没有针对网上儿童个人信息保护的专门规范。2018年5月1日起生效的《个人信息安全规范》(以下简称“《标准》”)是关于个人信息保护的推荐性标准。《标准》明确要求个人信息控制者将儿童个人信息视为个人敏感信息,在处理儿童个人信息时需征得其监��人的明确同意。《标准》规定的适用于个人敏感信息的特殊保护措施也适用于儿童个人信息。这些措施包括就服务或产品的各项功能征得逐项授权,对信息的储存和传输进行加密,内部信息访问应申请并获得授权,共享和转让个人信息前通知并征得明确同意等。《标准》所附“隐私政策模板”也包含了关于儿童个人信息处理的段落。

网信办在中国儿童节前夕,2019年5月30日发布了《规定》(征求意见稿)。其后不到三个月的时间,网信办就发布了《规定》正式文件,表明其加快了相关立法进程。《规定》将《标准》中的部分信息保护措施列为强制要求,并规定了一系列措施致力于加强儿童个人信息的保护。

重点条款

1. 儿童的定以及监护人的同意

与《标准》一致,《规定》将儿童界定为不满14周岁的未成年人。《规定》没有给出“个人信息”和“网络运营者”的定义,可推断其含义应适用《网络安全法》的规定。

涉及到儿童个人信息时,在下列情形下网络运营者应当征得儿童监护人的同意:

  1. 收集、储存、使用、转移和披露儿童个人信息时,并在向监护人告知具体内容后,;

  2. 告知的儿童个人信息处理活动的具体内容发生变化时;以及

  3. 超出约定的目的或范围使用儿童个人信息时。

2. 个人信息保护规则和政策以及告知义务

网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并在征得监护人同意时告知以下事项:

  1. 收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;

  2. 儿童个人信息存储的地点、期限和到期后的处理方式;

  3. 安全保障措施;

  4. 拒绝的后果;

  5. 投诉、举报的渠道和方式;

  6. 更正、删除儿童个人信息的途径和方法;以及

  7. 其他应当告知的事项。

网络运营者停止运营产品或者服务的,或发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当告知儿童监护人。

3. 更正权和删除权

监护人发现儿童个人信息有误的,有权要求网络运营者予以更正。在下列情形下监护人有权要求删除儿童个人信息:

  1. 网络运营者违反法律、行政法规的规定或者与个人信息主体的约定;

  2. 超出告知的目的、范围或者期限收集、存储、使用、转移、披露儿童个人信息的;

  3. 监护人撤回同意的;或

  4. 儿童或者其监护人通过注销等方式终止使用产品或者服务的。

4. 第三方委托处理

除征得监护人的同意外,网络运营者委托第三方处理儿童个人信息时,应当进行安全评估,与受委托方签署委托协议。委托协议应约定委托处理的细节,包括双方责任、处理事项、处理期限、处理性质和目的等。特别地,受委托方应当:

  1. 按照网络运营者的要求处理儿童个人信息;

  2. 协助网络运营者回应儿童监护人提出的申请;

  3. 采取信息安全保障措施,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈;

  4. 委托关系解除时及时删除儿童个人信息;

  5. 不得转委托;以及

  6. 遵守其他依法应当履行的儿童个人信息保护义务。

5. 儿童个人信息保护专员

网络运营者应当指定专人负责儿童个人信息保护。《规定》仅明确儿童个人信息保护负责人有权授权儿童个人信息的内部访问,但没有规定其他具体职责。

6. 法律责任

《规定》适用《网络安全法》和《互联网信息服务管理办法》规定的处罚措施。《网络安全法》规定,违反个人信息保护相关条款的行政处罚措施包括网信办约谈、责令改正、警告、没收违法所得和罚款等。情节严重时,责令暂停相关业务、关闭网站、吊销相关业务许可证或者吊销营业执照。网络运营者的违规行为将被记入信用档案。

因《互联网信息服务管理办法》中并未提及个人信息或儿童个人信息,其如何适用于儿童个人信息的保护尚不明确。

我们的观点

1. 同意−−是严格义务吗?

《规定》着重强调了网络运营者在某些情形下征得儿童监护人事先同意的义务。但是,现有技术很难证明监护人事实上作出了同意。因此,考虑到实践难度和现有技术限制,欧洲和美国采用合理努力标准判断是否征得同意。例如,欧盟《通用数据保护条例》(以下简称“GDPR”)规定,考虑到现有技术,个人信息控制者应当尽合理努力验证监护人作出了同意。根据美国《儿童网络隐私保护规定》(以下简称“COPPA”),网络运营者应在现有技术的基础上选择合适的技术确保儿童的父母作出了同意。

换句话说,根据欧洲和美国的规定,个人信息控制者或网络运营者如果能证明其已尽合理努力验证儿童监护人作出了同意,即无需对未能取得监护人的同意承担责任。欧洲和美国对于合理努力的程度可能存在不同观点,但其采取的路径是相似的。GDPR和COPPA均对可接受的验证同意的方式作出了指引。

相反,《规定》没有就网络运营者应尽何种努力验证儿童监护人作出同意作出规定,也没有对可接受的验证方法给出意见。现在的立法表述使得征得监护人的同意成为了网络运营者的严格义务,未能征得同意可能产生法律责任。

考虑到实践困难和现有技术限制,网信办应当澄清征得监护人同意是否为网络运营者的严格义务。如果并非严格义务,为增强《规定》的可操作性,网信办应在指引性文件中阐明,在现行技术下,网络运营者应尽何种努力征得同意。

2. 同意−−标准是否降低?

一方面,《规定》似乎将网络运营者在收集处理儿童信息前征得监护人同意视为其严格义务。另一方面,《规定》的最终版本删除了对同意的“明示”要求。之前的草案规定明示同意应当“具体、清楚、明确,基于自愿”。《规定》不像《标准》那样要求同意必须以肯定性动作或书面声明的形式作出,这似乎表明《规定》的最终版本降低了对网络运营者征得监护人同意的要求。这一要求的降低可能意味着网络运营者在验证监护人是否作出同意时所作出努力程度也相应降低。

实践中存在的问题是,在监护人没有作出明示同意时,网络运营者和网信办如何确保监护人已经作出了同意。如果征得同意的标准降低到形式化的要求,比如以简单勾选的形式进行,则可能因为没有任何验证同意人身份的实质措施而降低征得监护人同意这一要求的有效性。

此外,由于《标准》将儿童个人信息作为个人敏感信息给予了更高标准的保护,这一要求也与《标准》中关于明示同意的要求相冲突。

《规定》最终版本对草案“明示”要求的删除并不能为网络运营者执行《规定》内容提供太多有效的指导。与前述情况类似,网信办应当在未来的指导文件中阐明网络运营者应当尽何种努力征得监护人的同意。

3. 同意−−取得还是不取得?

《规定》的最终版本删除了关于网络运营者与第三方共同使用或向第三方传输儿童个人信息时应当征得监护人同意的要求。网信办没有解释删除的原因。

值得注意的是,《网络安全法》明确要求在未经个人信息主体同意的情况下,网络运营者不得向他人提供个人信息。网信办在《数据安全管理办法(征求意见稿)》和《标准》中采取了相同的立场。

认为《规定》对儿童个人信息保护的要求低于成年人并不符合立法目的。但是,网信办应当澄清这一删除是否意味着在上述情形下不需要征得监护人同意,还是意味着这一要求是否已经被包含在《规定》第八条关于“收集、使用、转移和披露”儿童个人信息时需要征得监护人同意的一般要求之中了。

另一方面,《规定》的最终版本删除了之前草案中规定的征得监护人同意的例外情形。之前的草案允许网络运营者基于国家安全、公共利益、保护儿童人身和财产安全以及其他法定原因,在未经监护人同意的情形下收集儿童个人信息。这一变动使得网络运营者无法通过滥用例外情形的方式规避法律要求。这一变动如何与《标准》中规定的征得同意的例外情形相协调仍有待观察。

4. 适用范围的限制

《规定》适用于“在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动”,这一表述似乎将以下两种情形排除在外:

  1. 线下的信息处理活动:《规定》似乎仅适用于在网络上实施的儿童个人信息处理活动。线下的信息处理活动不属于《规定》的适用范围。如果部分信息处理活动发生在线下,则问题在于其余的线上信息处理活动是否会落入《规定》的管辖范围。举例而言,如果在线下收集儿童个人信息但是在线上储存、使用和披露,《规定》该如何适用?《规定》是否适用于前述的线上信息处理活动?如果适用的话,《规定》是否有对先前的线下信息收集行为的溯及效力?

  2. 跨境或者境外的信息处理活动:《规定》将适用的地域范围限制在中国境内,因此处理中国境内儿童个人信息的境外实体似乎不属于《规定》的管辖范围。这一情形可能将由尚未出台的个人信息出境的相关法规(点击此处 进一步阅读)来管理。

在《规定》的最后部分,网信办规定计算机信息系统自动留存处理且无法识别属于儿童的个人信息,不适用《规定》。或许这一规定针对的情况是信息被自动收集且技术上无法区分或辨别信息主体年龄的情形。例如,访客IP地址记录即可能属于这一情形。无论如何,如果网信办能够进一步澄清该规定的适用范围,将更方便网络运营者理解这一例外规定是否适用于他们。

5. 其他需要澄清的问题

《规定》要求网络运营者设置专门的儿童个人信息保护规则和用户协议。目前尚不清楚这些规则和协议是否应当是单独的文件。根据《标准》中所附的“隐私政策模板”,儿童的信息保护规则仅作为整个隐私政策的一个章节。此外,实践中很少见到单独提供针对儿童的用户协议。由于《规定》最终版本中删除了关于协议语言应当简洁、易懂的条款,似乎更无必要将儿童个人信息保护规则和用户协议作为单独的文件进行提供。

关于负责儿童个人信息保护的专员,目前尚不清楚这一职位是否能够同时由承担其他信息保护职责的人兼任。

《规定》保护的是未满14周岁的未成年人,但是没有将14周岁及以上的未成年人的个人信息纳入保护范围。尤其是当被收集个人信息的儿童14周岁时,他们对自己的个人信息拥有怎样的权利,以及此时他们在信息保护领域能否被当作成年人对待等问题仍有待澄清。

结论

尽管存在不少问题和疑惑有待回答和澄清,《规定》标志着中国在儿童网络隐私法律保护方面迈出了重要的第一步。处理儿童个人信息的网络运营者们应当为实施下个月起生效的《规定》做好准备。