2019年5月31日,兒童節的前一天,國家互聯網信息辦公室發布《兒童個人信息網絡保護規定(征求意見稿)》(以下簡稱“征求意見稿”),為兒童節送出一份大禮。根據國務院2019年5月11日發布的《國務院2019年立法工作計劃》,《未成年人網絡保護條例》位列其中,反映出國家對保護未成年人網絡合法權益的重視和關切,此時在兒童節前夕出臺《征求意見稿》,尤應值得網絡運營者關注。
國家網信辦在六一前夕送來的兒童大禮包,須附上使用說明書才更顯得情真意切。因此,筆者將在下文對該《征求意見稿》做相應解讀,嘗試為網絡運營者提供指導和幫助。
第一,適用對象、立法目的、適用范圍和適用原則。《征求意見稿》規定所謂的兒童,是指不滿十四周歲的未成年人,從而界定了本規定的適用對象;《征求意見稿》的立法目的在于“保護兒童個人信息安全,促進兒童健康成長”,適用范圍主要是“在中華人民共和國境內通過網絡從事收集、存儲、使用、轉移、披露兒童個人信息等活動”,《征求意見稿》規定網絡運營者的收集、使用、存儲等活動應遵循“正當必要、知情同意、目的明確、安全保障、依法利用的原則。”
第二,收集兒童信息。《征求意見稿》第5條、第6條、第7條和第8條規定網絡運營者應該設置保護兒童個人信息的規則或者用戶協議,規則須具體明確、通俗易懂,不得收集與目的無關的個人信息,同時并應設置個人信息保護專員。收集兒童信息須征得監護人的明示同意,并且應設置“拒絕”選項。
其中,如何理解設置收集兒童個人信息的規則或者用戶協議?須知,當前的隱私政策大多數都有設置“未成年信息保護”的條款,用戶協議也有適當說明,對于兒童信息的收集并非全無告知。因此,筆者分析,此處的制定規則應是專設收集兒童信息的規則或者專門設置與兒童用戶之間的用戶協議,網絡運營者應重視該條款的規定。
此外,《征求意見稿》規定針對兒童要設置個人信息保護專員,根據《數據安全管理辦法》(征求意見稿)規定,收集個人敏感信息和重要數據要設置數據安全責任人,《網絡安全法》第34條要求關鍵基礎設施設置安全管理負責人,《個人信息安全規范(征求意見稿)》規定要任命個人信息保護負責人。如何理解這四者的關系?個人信息專員、數據安全責任人、安全管理負責人和個人信息保護負責人是否可以同一個人。筆者認為,如果可以是同個人,那么此人最好“具有相關管理工作經歷和數據安全專業知識的人員擔任,參與有關數據活動的重要決策,直接向網絡運營者的主要負責人報告工作。”
第三,保存兒童信息。《征求意見稿》規定應采取加密措施保存兒童信息,并且存儲的期限不得違反實現收集、使用兒童信息的目的。
第四,使用兒童信息。《征求意見稿》規定網絡運營者使用兒童個人信息,不得超出約定的目的和范圍。因業務需要,超出目的使用兒童信息的,須再次征得監護人的明示同意。同時,《征求意見稿》進一步規定使用兒童信息的工作人員應遵循最小授權原則,嚴守兒童秘密,訪問時要經審批手續等。
該條規定從內部控制的角度規定了一線工作人員使用兒童數據的規范操作,一定程度上有利于保障兒童的信息安全。然而,由于一線工作人員多以技術人員為主,采取技術手段避免工作人員復制、下載個人信息時,也需警惕技術人員的反技術措施。因此,筆者建議該條規定還需進一步規定,網絡運營者應制定措施,規定一線工作人員如違反操作要求應受懲罰。
第五,委托第三方處理數據。《征求意見稿》規定網絡運營者委托前要進行安全評估,評估安全后,應簽訂委托協議,明晰雙方責任和義務,受委托人不得再轉委托,應負擔對兒童信息的保護義務。
第六,數據轉移。《征求意見稿》規定網絡經營者在轉移兒童信息時,應進行安全評估,并征得兒童監護人的明示同意。
第七,數據共享。《征求意見稿》規定網絡運營者和第三方共同使用兒童個人信息的,應當征得兒童監護人的明示同意。
《征求意見稿》在數據轉移和共享上,均要求網絡運營者應進行安全評估。其中,《信息安全技術 個人信息安全規范》對于如何安全評估,有做出相應規定,網絡運營者可參考該標準。筆者想討論的是,何為兒童監護人的“明示同意”?如何確定已經得到了監護人的“明示同意”?“明示”的意思應是兒童監護人基于主觀自愿的原則,以具體、明確、可被第三人確知的方式允許網絡經營者收集兒童信息。但這種“明示”的表達如何以互聯技術的方式確認下來?同時,網絡運營者如何確認屏幕另一側點進同意按鈕的一方就是兒童的監護人?種種問題都有待繼續探討。
第八,數據披露。《征求意見稿》規定除例外規定,網絡運營者不得披露兒童個人信息。
第九,停止產品或服務運營。《征求意見稿》規定出現該種情況后,網絡運營者應當立即停止收集兒童個人信息的活動,刪除其持有的兒童個人信息,并將停止運營的通知及時告知兒童監護人。
《信息安全技術 個人信息安全規范(征求意見稿)》明確規定網絡運營者發生兼并、重組、破產的,數據承接方應承接原網絡運營者數據安全責任與義務。《數據安全管理辦法(征求意見稿)》進一步規定,在沒有數據承接方,應對數據作刪除處理。該《征求意見稿》在兩者的基礎上,規定網絡運營者不僅應刪除兒童個人信息,還應將“停止運營的通知及時告知兒童監護人”,該規定更進一步保障了兒童的信息安全。但筆者顧慮之處在于在產品或者服務已經停止運營情況下,多數情況下意味著公司的倒閉或者破產。在這種情況下,網絡運營者是否有動力做后續的處理措施呢?因為一旦公司破產清算注銷,意味著公司的市場主體身份已經滅失,如果網絡運營者未通知兒童監護人,往后如何確定承擔責任的主體?筆者認為立法者應進一步理清該問題。
第十,兒童信息主體權利。《征求意見稿》規定兒童或者其監護人有以合理理由要求網絡運營者更正、刪除兒童信息的權利。
第十一,監督處罰。《征求意見稿》規定網信部門在“網絡運營者落實兒童個人信息安全管理責任不到位,存在較大安全風險或者發生安全事件”情況下,有約談、督促網絡運營者整改的權力。當網絡運營者有違反本規定的情況,網信部門和有關部門有權“根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任”,并將網絡運營者的行為記入誠信檔案。
《數據安全管理辦法(征求意見稿)》規定違反本辦法,將“根據情節給予公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰;構成犯罪的,依法追究刑事責任。”《征求意見稿》進一步規定了罰金措施和信用懲戒措施,有助于網絡運營者的規范運營。
綜上所述,《征求意見稿》在兒童信息的收集、存儲、使用、委托、共享、轉移、披露等方面都做了規定,并設置了相應的懲處措施,規定完整、脈絡清晰。當然,沒有一部法律盡善盡美,《征求意見稿》也存在著不少問題,正式稿將對該規定做何調整,有待進一步觀察。
