2019年5月31日,兒童節的前一天,國家互聯網信息辦公室發布《兒童個人信息網絡保護規定》(征求意見稿),為兒童節送出一份大禮。時隔不到3個月,在2019年8月22日,國家互聯網信息辦公室正式發布《兒童個人信息網絡保護規定》,規定該文件將于2019年10月1日正式施行。
究竟正式發布的《兒童個人信息網絡保護規定》規定了哪些內容?相比兒童節前夕的征求意見稿,正式稿做了哪些變動?為了解該問題,筆者嘗試對正式稿的內容進行解讀,希望為關注該領域的企業和個人提供幫助。
第一、立法依據及目的
第一條:為了保護兒童個人信息安全,促進兒童健康成長,根據《中華人民共和國網絡安全法》《中華人民共和國未成年人保護法》等法律法規,制定本規定。
【解讀】從正式稿第1條可以看出,正式稿的立法目的在于“保護兒童個人信息安全,促進兒童健康成長”,該目的和“征求意見稿”保持一致,并無改變;此外,正式稿的立法依據包括但不限于《中華人民共和國網絡安全法》和《中華人民共和國未成年人保護法》。其中,正式稿第26條規定“違反本規定的,由網信部門和其他有關部門依據職責,根據《中華人民共和國網絡安全法》《互聯網信息服務管理辦法》等相關法律法規規定處理;構成犯罪的,依法追究刑事責任。”可見,《互聯網信息服務管理辦法》等規定也屬于正式稿的立法依據。
第二、適用范圍和適用對象
第二條 本規定所稱兒童,是指不滿十四周歲的未成年人。
第三條 在中華人民共和國境內通過網絡從事收集、存儲、使用、轉移、披露兒童個人信息等活動,適用本規定。
【解讀】正式稿的適用對象是不滿十四周歲的未成年人,和征求意見稿保持一致。但將征求意見稿原26條規定提至第2條,使得定義更清晰顯著、結構更合理。此外,正式稿的適用范圍是“中華人民共和國境內通過網絡從事收集、存儲、使用、轉移、披露兒童個人信息等活動”,如何理解此處的“境內”呢?《電子商務法》在立法范圍上將原本的“境內發生或者有境內電子商務經擴大了法律的適用范圍。參照《電子商務法》,筆者認為《征求意見稿》的“境內”適用范圍同樣很廣泛,應理解為凡是涉及從事收集、存儲、使用、轉移、披露兒童個人信息等活動的,任何情況發生在境內的,都應適用該規定。
第三、各方職責
第四條 任何組織和個人不得制作、發布、傳播侵害兒童個人信息安全的信息。
第五條 兒童監護人應當正確履行監護職責,教育引導兒童增強個人信息保護意識和能力,保護兒童個人信息安全。
第六條 鼓勵互聯網行業組織指導推動網絡運營者制定兒童個人信息保護的行業規范、行為準則等,加強行業自律,履行社會責任。
第七條 網絡運營者收集、存儲、使用、轉移、披露兒童個人信息的,應當遵循正當必要、知情同意、目的明確、安全保障、依法利用的原則。
第八條 網絡運營者應當設置專門的兒童個人信息保護規則和用戶協議,并指定專人負責兒童個人信息保護。
【解讀】首先,正式稿對各方主體都做了職責規定。例如對于兒童監護人,要求其正確履行監護職責(第五條);對于互聯網行業組織鼓勵其推動建立行業規范、行業準則(第六條);對于網絡安全者則要求其在兒童信息的全生命周期要做到合法合規,并特別強調設置專門針對兒童的保護規則和用戶協議,專人專管(第七條、第八條)。并且在對各方職責作出約定前,為防止遺漏其他組織或個人對兒童個人信息的侵害,正式稿專門在諸條款前加置征求意見稿所未規定之條款“任何組織和個人不得制作、發布、傳播侵害兒童個人信息安全的信息。”(第四條)
其次,正式稿除了增加第四條外,對于監護人職責的條款(第五條)也是新增條款。筆者認為會增加該條款原因在于,正式稿將征求意見稿所規定的“明示同意”改為“同意”,這一變動意味著放松了對網絡運營者的高標準要求,此后網絡運營者有可能以獲取“授權同意”甚至“默示同意”的方式就可以收集兒童信息。為防止因放松對網絡運營者的要求而對兒童造成傷害,則需要兒童監護人做好監護職責,該條款的增訂意圖在于警示兒童監護人做好勤勉盡責義務,切實保障兒童信息安全。
最后,正式稿第8條規定兒童信息應當專人專管,刪除征求意見稿規定的“設立個人信息保護專員”“適用于兒童的用戶協議應當簡潔、易懂”。筆者認為,刪除征求意見稿的“專員規定”理由在于《網絡安全法》已規定網絡運營者應設立“網絡安全負責人”,《信息安全技術 個人信息安全規范》也規定符合條件的應設立專職的“個人信息保護負責人”,征求意見稿還規定“設立個人信息保護專員”,容易導致機構設置疊床架屋,繁瑣冗余。正式稿刪除專員規定,只規定專人負責,有利于與《網絡安全法》等法律法規保持內容一致,體系統一;
而刪除“適用于兒童的用戶協議應當簡潔、易懂”的理由可能在于:第一,用戶協議本質上是合同,避免不了出現法言法語,因此根本上的法律障礙使得用戶協議難以做到易懂;第二,兒童的識字水平有限,而且一歲之差識字斷句水平差異很大,面對不同年齡的兒童,網絡運營者難以把握用戶協議“簡潔、易懂”的度。第三,既然用戶協議本質上是合同,即意味著只能和有對應法律行為能力人簽署,因此,用戶協議更可能和兒童監護人簽署,因此也不需要做到特別的“簡潔、易懂”。
第四、兒童信息生命周期合規
第九條 網絡運營者收集、使用、
轉移、披露兒童個人信息的,應當以顯著、清晰的方式告知兒童監護人,并應當征得兒童監護人的
同意。
第十條 網絡運營者征得同意時,應當同時提供拒絕選項,并明確告知以下事項:
(一)收集、存儲、使用、轉移、披露兒童個人信息的目的、方式和范圍;
(二)兒童個人信息存儲的地點、
期限和到期后的處理方式;
(三)兒童個人信息的安全保障措施;
(四)拒絕的后果;
(五)投訴、舉報的渠道和方式;
(六)更正、刪除兒童個人信息的途徑和方法;
(七)其他應當告知的事項。
前款規定的告知事項發生實質性變化的,應當再次征得兒童監護人的
同意。
【解讀】正式稿和征求意見稿都在規定兒童信息生命周期的各個環節前規定整個生命周期注意事項,即網絡運營者收集、使用、轉移、披露兒童個人信息時,應履行充分告知及征得同意的事項。
首先,征求意見稿規定的生命周期不包括“轉移和披露”,正式稿增加了這兩環節,使生命周期更加完整。
其次,正式稿取消征求意見稿規定的“明示同意”,認為取得兒童監護人“同意”即可開展收集等活動。筆者認為,該規定會變動的原因在于:第一,《網絡安全法》第41條規定開展信息生命周期活動須“經被收集者同意”。正式稿統一和上位法的規定,使得體系完整;第二,“明示同意”標準過高,實踐中極易導致窒礙難行,不得已只能退而求其次選擇“同意”即可。
最后,在拒絕事項中,正式稿主要增加“投訴、舉報的渠道和方式”和“更正、刪除兒童個人信息的途徑和方法”,保障了兒童監護人等人的合法權利。
(一)收集
第十一條 網絡運營者不得收集與其提供的服務無關的兒童個人信息,不得違反法律、行政法規的規定和
雙方的約定收集兒童個人信息。
【解讀】在收集環節,正式稿規定收集信息應滿足最小必要原則,由于《網絡安全法》等法律法規對此已經做了詳細規定,因此正式稿不再重復復述內容,只規定“不得違反法律、行政法規的規定”。同時,征求意見稿原本規定不得違反“雙方用戶協議的約定”,正式稿將其改為不得違反“雙方的約定”,雙方的約定不僅包括用戶協議約定、還包括隱私政策約定、產品套餐約定等,使得約定范圍得到了擴大。
(二)儲存
第十二條 網絡運營者存儲兒童個人信息,不得超過實現其收集、使用目的所
必需的期限。
第十三條 網絡運營者應當采取加密等措施存儲兒童個人信息,確保信息安全。
【解讀】在儲存環節,正式稿同樣規定存儲信息應滿足最小必要原則,同時要采取加密措施,切實保障信息安全。然而,隨著技術的不斷發展,加密措施進步的同時,反加密措施也在發展,正如匿名化發展的同時,反匿名化也在發展同個道理。因此,如何真正確保信息的安全不泄露一直是難以徹底解決的難題。
(三)使用
第十四條 網絡運營者使用兒童個人信息,不得
違反法律、行政法規的規定和雙方約定的目的、范圍。因業務需要,確需超出約定的目的、范圍使用的,應當再次征得兒童監護人的
同意。
第十五條 網絡運營者對其工作人員應當以最小授權為原則,嚴格設定信息訪問權限,控制兒童個人信息知悉范圍。工作人員訪問兒童個人信息的,
應當經過兒童個人信息保護負責人或者其授權的管理人員審批,記錄訪問情況,并采取技術措施,避免違法復制、下載兒童個人信息。
第十六條 網絡運營者委托第三方處理兒童個人信息的,應當對受委托方及委托行為等進行安全評估,簽署委托協議,明確雙方責任、處理事項、處理期限、處理性質和目的等,委托行為不得超出授權范圍。
前款規定的受委托方,應當履行以下義務:
(一)按照法律、行政法規的規定和網絡運營者的要求處理兒童個人信息;
(二)協助網絡運營者回應兒童監護人提出的申請;
(三)采取措施保障信息安全,并在發生兒童個人信息泄露安全事件時,及時向網絡運營者反饋;
(四)委托關系解除時及時刪除兒童個人信息;
(五)不得轉委托;
(六)其他依法應當履行的兒童個人信息保護義務。
【解讀】在使用環節,正式稿對使用目的和范圍的禁止事項、使用信息的內部控制及第三方處理兒童信息的內容做了相關規定。
在信息使用的內部控制上,筆者認為該條款規定一線工作人員使用兒童數據的規范操作,一定程度上有利于保障兒童的信息安全。然而,由于一線工作人員多以技術人員為主,采取技術手段避免工作人員復制、下載個人信息時,也需警惕技術人員的技術反制措施,須知數據黑產的多數情況是出現企業內鬼。因此,筆者認為網絡運營者應在該規定的基礎上,以制定內部規章制度的方式,規定一線工作人員如違反操作要求應受懲罰。
在委托第三方處理上,條款規定應做安全評估工作,并簽署委托協議。該條款所稱的安全評估具體如何操作?是指雙方協商評估,還是請第三方評估?如果委托的第三方是境外機構,便涉及數據出境問題。《個人信息出境安全評估辦法(征求意見稿)》規定數據出境應向所在地省級網信部門申報安全評估。那么數據出境下委托第三方處理中的“安全評估”又該作何理解?這些問題有待實務解決。
(四)轉移
第十七條 網絡運營者向第三方轉移兒童個人信息的,應當自行或者委托第三方機構進行安全評估。
【解讀】在轉移環節,正式稿規定安全評估應當自行或者委托第三方機構處理。這與《個人信息出境安全評估辦法(征求意見稿)》規定數據出境應向所在地省級網信部門申報安全評估有所沖突,是指自行或委托第三方機構安全評估完,再向省級網信部門再次申請評估嗎?
(五)披露
第十八條 網絡運營者不得披露兒童個人信息,但法律、行政法規規定應當披露或者根據與兒童監護人的約定可以披露的除外。
【解讀】在披露環節,正式稿規定網絡經營者原則上不得披露兒童個人信息,例外情形可以披露。實際上,征求意見稿曾在第19條規定“網絡運營者收集、使用、轉移、披露兒童個人信息,有以下情形之一的,可以不經過兒童監護人的明示同意:(一)為維護國家安全或者公共利益;(二)為消除兒童人身或者財產上的緊急危險;(三)法律、行政法規規定的其他情形。”但是在正式稿中取消了該條款的規定。
由于正式稿在多個地方增加“依據法律、行政法規的規定”,筆者認有理由相信立法者的意圖在于協調統一立法體系,凡是上位法或其他規范性文件已有規定的地方,為防止內容上的沖突、不協調,因此都以“依據法律、行政法規的規定”一筆帶過。
(六)刪除
第二十三條 網絡運營者停止運營產品或者服務的,應當立即停止收集兒童個人信息的活動,刪除其持有的兒童個人信息,并將停止運營的通知及時告知兒童監護人。
【解讀】《信息安全技術 個人信息安全規范(征求意見稿)》明確規定網絡運營者發生兼并、重組、破產的,數據承接方應承接原網絡運營者數據安全責任與義務。《數據安全管理辦法(征求意見稿)》進一步規定,在沒有數據承接方,應對數據作刪除處理。該《征求意見稿》在兩者的基礎上,規定網絡運營者不僅應刪除兒童個人信息,還應將“停止運營的通知及時告知兒童監護人”,該規定更進一步保障了兒童的信息安全。但筆者顧慮之處在于在產品或者服務已經停止運營情況下,多數情況下意味著公司的倒閉或者破產。在這種情況下,網絡運營者是否有動力做后續的處理措施呢?因為一旦公司破產清算注銷,意味著公司的市場主體身份已經滅失,如果網絡運營者未通知兒童監護人,往后如何確定承擔責任的主體?該問題還需在實務中解決。
第五、保護兒童信息機制
第十九條 兒童或者其監護人發現網絡運營者收集、存儲
、使用、披露的兒童個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當及時采取措施予以更正。
第二十條 兒童或者其監護人要求網絡運營者刪除其收集、存儲、使用、披露的兒童個人信息的,網絡運營者應當及時采取措施予以刪除,包括但不限于以下情形:
(一)網絡運營者違反法律、行政法規的規定或者雙方的約定收集、存儲、使用、轉移、披露兒童個人信息的;
(二)超出目的范圍或者必要期限收集、存儲、使用、轉移、披露兒童個人信息的;
(三)兒童監護人撤回同意的;
(四)兒童或者其監護人通過注銷等方式終止使用產品或者服務的。
第二十一條 網絡運營者發現兒童個人信息發生或者可能發生泄露、毀損、丟失的,應當立即啟動應急預案,采取補救措施;造成或者可能造成嚴重后果的,應當立即向有關主管部門報告,并將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的兒童及其監護人,難以逐一告知的,應當采取合理、有效的方式發布相關警示信息。
第二十二條 網絡運營者應當對
網信部門和其他有關部門依法開展的監督檢查予以配合。
網信部門和其他有關部門收到相關舉報的,應當依據職責及時進行處理。
第二十四條 任何組織和個人發現有違反本規定行為的,可以向網信部門和其他有關部門舉報。
網信部門和其他有關部門收到相關舉報的,應當依據職責及時進行處理。
第二十五條 網絡運營者落實兒童個人信息安全管理責任不到位,存在較大安全風險或者發生安全事件的,由
網信部門依據職責進行約談,網絡運營者應當及時采取措施進行整改,消除隱患。
第二十六條 違反本規定的,由
網信部門和其他有關部門依據職責,根據《中華人民共和國網絡安全法》
《互聯網信息服務管理辦法》等相關法律法規規定處理;構成犯罪的,依法追究刑事責任。
第二十七條 違反本規定被追究法律責任的,依照有關法律、行政法規的規定記入信用檔案,并予以公示。
【解讀】在保護兒童信息機制的設置上,正式稿規定了兒童及其監護人的權利、網絡運營者的義務、網信部門和其他有關部門的權力。
在兒童及其監護人的權利上,正式稿賦予其在合理的理由下可要求網絡運營者更正、刪除兒童信息的權利。征求意見稿原先只賦予兒童及其監護人在收集、存儲環節的更正權,正式稿將其擴大至“收集、存儲、使用和披露”等環節。
在網絡運營者的義務上,正式稿規定網絡運營者要有應急預案,在突發情況下,應立即采取補救措施。在重大突發事件前,不得隱瞞,須向有關主管部門報告,并應確保兒童及其監護人的知情權。同時,也要切實保障兒童及其監護人的更正權和刪除權的行使。
在網信部門和其他有關部門的權力上,正式稿規定網信部門和其他有關部門有監督檢查、約談、接收舉報等權力。征求意見稿原本詳細列舉了網信部門和其他有關部門有“根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款;情節嚴重的,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照”等權力,但正式稿取消了具體條款,只規定“根據《中華人民共和國網絡安全法》《互聯網信息服務管理辦法》等相關法律法規規定處理”。正式稿的規定只是簡化了權力的內容,但征求意見稿所規定的權力種類實際上并未被取消,網信部門和其他有關部門仍然擁有這些權力。
