2019年5月31日,兒童節(jié)的前一天,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定(征求意見稿)》(以下簡稱“征求意見稿”),為兒童節(jié)送出一份大禮。根據(jù)國務(wù)院2019年5月11日發(fā)布的《國務(wù)院2019年立法工作計(jì)劃》,《未成年人網(wǎng)絡(luò)保護(hù)條例》位列其中,反映出國家對(duì)保護(hù)未成年人網(wǎng)絡(luò)合法權(quán)益的重視和關(guān)切,此時(shí)在兒童節(jié)前夕出臺(tái)《征求意見稿》,尤應(yīng)值得網(wǎng)絡(luò)運(yùn)營者關(guān)注。
國家網(wǎng)信辦在六一前夕送來的兒童大禮包,須附上使用說明書才更顯得情真意切。因此,筆者將在下文對(duì)該《征求意見稿》做相應(yīng)解讀,嘗試為網(wǎng)絡(luò)運(yùn)營者提供指導(dǎo)和幫助。
第一,適用對(duì)象、立法目的、適用范圍和適用原則。《征求意見稿》規(guī)定所謂的兒童,是指不滿十四周歲的未成年人,從而界定了本規(guī)定的適用對(duì)象;《征求意見稿》的立法目的在于“保護(hù)兒童個(gè)人信息安全,促進(jìn)兒童健康成長”,適用范圍主要是“在中華人民共和國境內(nèi)通過網(wǎng)絡(luò)從事收集、存儲(chǔ)、使用、轉(zhuǎn)移、披露兒童個(gè)人信息等活動(dòng)”,《征求意見稿》規(guī)定網(wǎng)絡(luò)運(yùn)營者的收集、使用、存儲(chǔ)等活動(dòng)應(yīng)遵循“正當(dāng)必要、知情同意、目的明確、安全保障、依法利用的原則。”
第二,收集兒童信息。《征求意見稿》第5條、第6條、第7條和第8條規(guī)定網(wǎng)絡(luò)運(yùn)營者應(yīng)該設(shè)置保護(hù)兒童個(gè)人信息的規(guī)則或者用戶協(xié)議,規(guī)則須具體明確、通俗易懂,不得收集與目的無關(guān)的個(gè)人信息,同時(shí)并應(yīng)設(shè)置個(gè)人信息保護(hù)專員。收集兒童信息須征得監(jiān)護(hù)人的明示同意,并且應(yīng)設(shè)置“拒絕”選項(xiàng)。
其中,如何理解設(shè)置收集兒童個(gè)人信息的規(guī)則或者用戶協(xié)議?須知,當(dāng)前的隱私政策大多數(shù)都有設(shè)置“未成年信息保護(hù)”的條款,用戶協(xié)議也有適當(dāng)說明,對(duì)于兒童信息的收集并非全無告知。因此,筆者分析,此處的制定規(guī)則應(yīng)是專設(shè)收集兒童信息的規(guī)則或者專門設(shè)置與兒童用戶之間的用戶協(xié)議,網(wǎng)絡(luò)運(yùn)營者應(yīng)重視該條款的規(guī)定。
此外,《征求意見稿》規(guī)定針對(duì)兒童要設(shè)置個(gè)人信息保護(hù)專員,根據(jù)《數(shù)據(jù)安全管理辦法》(征求意見稿)規(guī)定,收集個(gè)人敏感信息和重要數(shù)據(jù)要設(shè)置數(shù)據(jù)安全責(zé)任人,《網(wǎng)絡(luò)安全法》第34條要求關(guān)鍵基礎(chǔ)設(shè)施設(shè)置安全管理負(fù)責(zé)人,《個(gè)人信息安全規(guī)范(征求意見稿)》規(guī)定要任命個(gè)人信息保護(hù)負(fù)責(zé)人。如何理解這四者的關(guān)系?個(gè)人信息專員、數(shù)據(jù)安全責(zé)任人、安全管理負(fù)責(zé)人和個(gè)人信息保護(hù)負(fù)責(zé)人是否可以同一個(gè)人。筆者認(rèn)為,如果可以是同個(gè)人,那么此人最好“具有相關(guān)管理工作經(jīng)歷和數(shù)據(jù)安全專業(yè)知識(shí)的人員擔(dān)任,參與有關(guān)數(shù)據(jù)活動(dòng)的重要決策,直接向網(wǎng)絡(luò)運(yùn)營者的主要負(fù)責(zé)人報(bào)告工作。”
第三,保存兒童信息。《征求意見稿》規(guī)定應(yīng)采取加密措施保存兒童信息,并且存儲(chǔ)的期限不得違反實(shí)現(xiàn)收集、使用兒童信息的目的。
第四,使用兒童信息。《征求意見稿》規(guī)定網(wǎng)絡(luò)運(yùn)營者使用兒童個(gè)人信息,不得超出約定的目的和范圍。因業(yè)務(wù)需要,超出目的使用兒童信息的,須再次征得監(jiān)護(hù)人的明示同意。同時(shí),《征求意見稿》進(jìn)一步規(guī)定使用兒童信息的工作人員應(yīng)遵循最小授權(quán)原則,嚴(yán)守兒童秘密,訪問時(shí)要經(jīng)審批手續(xù)等。
該條規(guī)定從內(nèi)部控制的角度規(guī)定了一線工作人員使用兒童數(shù)據(jù)的規(guī)范操作,一定程度上有利于保障兒童的信息安全。然而,由于一線工作人員多以技術(shù)人員為主,采取技術(shù)手段避免工作人員復(fù)制、下載個(gè)人信息時(shí),也需警惕技術(shù)人員的反技術(shù)措施。因此,筆者建議該條規(guī)定還需進(jìn)一步規(guī)定,網(wǎng)絡(luò)運(yùn)營者應(yīng)制定措施,規(guī)定一線工作人員如違反操作要求應(yīng)受懲罰。
第五,委托第三方處理數(shù)據(jù)。《征求意見稿》規(guī)定網(wǎng)絡(luò)運(yùn)營者委托前要進(jìn)行安全評(píng)估,評(píng)估安全后,應(yīng)簽訂委托協(xié)議,明晰雙方責(zé)任和義務(wù),受委托人不得再轉(zhuǎn)委托,應(yīng)負(fù)擔(dān)對(duì)兒童信息的保護(hù)義務(wù)。
第六,數(shù)據(jù)轉(zhuǎn)移。《征求意見稿》規(guī)定網(wǎng)絡(luò)經(jīng)營者在轉(zhuǎn)移兒童信息時(shí),應(yīng)進(jìn)行安全評(píng)估,并征得兒童監(jiān)護(hù)人的明示同意。
第七,數(shù)據(jù)共享。《征求意見稿》規(guī)定網(wǎng)絡(luò)運(yùn)營者和第三方共同使用兒童個(gè)人信息的,應(yīng)當(dāng)征得兒童監(jiān)護(hù)人的明示同意。
《征求意見稿》在數(shù)據(jù)轉(zhuǎn)移和共享上,均要求網(wǎng)絡(luò)運(yùn)營者應(yīng)進(jìn)行安全評(píng)估。其中,《信息安全技術(shù) 個(gè)人信息安全規(guī)范》對(duì)于如何安全評(píng)估,有做出相應(yīng)規(guī)定,網(wǎng)絡(luò)運(yùn)營者可參考該標(biāo)準(zhǔn)。筆者想討論的是,何為兒童監(jiān)護(hù)人的“明示同意”?如何確定已經(jīng)得到了監(jiān)護(hù)人的“明示同意”?“明示”的意思應(yīng)是兒童監(jiān)護(hù)人基于主觀自愿的原則,以具體、明確、可被第三人確知的方式允許網(wǎng)絡(luò)經(jīng)營者收集兒童信息。但這種“明示”的表達(dá)如何以互聯(lián)技術(shù)的方式確認(rèn)下來?同時(shí),網(wǎng)絡(luò)運(yùn)營者如何確認(rèn)屏幕另一側(cè)點(diǎn)進(jìn)同意按鈕的一方就是兒童的監(jiān)護(hù)人?種種問題都有待繼續(xù)探討。
第八,數(shù)據(jù)披露。《征求意見稿》規(guī)定除例外規(guī)定,網(wǎng)絡(luò)運(yùn)營者不得披露兒童個(gè)人信息。
第九,停止產(chǎn)品或服務(wù)運(yùn)營。《征求意見稿》規(guī)定出現(xiàn)該種情況后,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)立即停止收集兒童個(gè)人信息的活動(dòng),刪除其持有的兒童個(gè)人信息,并將停止運(yùn)營的通知及時(shí)告知兒童監(jiān)護(hù)人。
《信息安全技術(shù) 個(gè)人信息安全規(guī)范(征求意見稿)》明確規(guī)定網(wǎng)絡(luò)運(yùn)營者發(fā)生兼并、重組、破產(chǎn)的,數(shù)據(jù)承接方應(yīng)承接原網(wǎng)絡(luò)運(yùn)營者數(shù)據(jù)安全責(zé)任與義務(wù)。《數(shù)據(jù)安全管理辦法(征求意見稿)》進(jìn)一步規(guī)定,在沒有數(shù)據(jù)承接方,應(yīng)對(duì)數(shù)據(jù)作刪除處理。該《征求意見稿》在兩者的基礎(chǔ)上,規(guī)定網(wǎng)絡(luò)運(yùn)營者不僅應(yīng)刪除兒童個(gè)人信息,還應(yīng)將“停止運(yùn)營的通知及時(shí)告知兒童監(jiān)護(hù)人”,該規(guī)定更進(jìn)一步保障了兒童的信息安全。但筆者顧慮之處在于在產(chǎn)品或者服務(wù)已經(jīng)停止運(yùn)營情況下,多數(shù)情況下意味著公司的倒閉或者破產(chǎn)。在這種情況下,網(wǎng)絡(luò)運(yùn)營者是否有動(dòng)力做后續(xù)的處理措施呢?因?yàn)橐坏┕酒飘a(chǎn)清算注銷,意味著公司的市場(chǎng)主體身份已經(jīng)滅失,如果網(wǎng)絡(luò)運(yùn)營者未通知兒童監(jiān)護(hù)人,往后如何確定承擔(dān)責(zé)任的主體?筆者認(rèn)為立法者應(yīng)進(jìn)一步理清該問題。
第十,兒童信息主體權(quán)利。《征求意見稿》規(guī)定兒童或者其監(jiān)護(hù)人有以合理理由要求網(wǎng)絡(luò)運(yùn)營者更正、刪除兒童信息的權(quán)利。
第十一,監(jiān)督處罰。《征求意見稿》規(guī)定網(wǎng)信部門在“網(wǎng)絡(luò)運(yùn)營者落實(shí)兒童個(gè)人信息安全管理責(zé)任不到位,存在較大安全風(fēng)險(xiǎn)或者發(fā)生安全事件”情況下,有約談、督促網(wǎng)絡(luò)運(yùn)營者整改的權(quán)力。當(dāng)網(wǎng)絡(luò)運(yùn)營者有違反本規(guī)定的情況,網(wǎng)信部門和有關(guān)部門有權(quán)“根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款;情節(jié)嚴(yán)重的,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照;構(gòu)成犯罪的,依法追究刑事責(zé)任”,并將網(wǎng)絡(luò)運(yùn)營者的行為記入誠信檔案。
《數(shù)據(jù)安全管理辦法(征求意見稿)》規(guī)定違反本辦法,將“根據(jù)情節(jié)給予公開曝光、沒收違法所得、暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或吊銷營業(yè)執(zhí)照等處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。”《征求意見稿》進(jìn)一步規(guī)定了罰金措施和信用懲戒措施,有助于網(wǎng)絡(luò)運(yùn)營者的規(guī)范運(yùn)營。
綜上所述,《征求意見稿》在兒童信息的收集、存儲(chǔ)、使用、委托、共享、轉(zhuǎn)移、披露等方面都做了規(guī)定,并設(shè)置了相應(yīng)的懲處措施,規(guī)定完整、脈絡(luò)清晰。當(dāng)然,沒有一部法律盡善盡美,《征求意見稿》也存在著不少問題,正式稿將對(duì)該規(guī)定做何調(diào)整,有待進(jìn)一步觀察。
