一、主要内容
《规定》的主要内容包括以下几个方面:
一是针对儿童个人信息的全生命周期提出更为严格审慎的规范原则,并落实在具体规则中。明确儿童个人信息的收集、存储、使用、转移行为应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。
二是进一步明确儿童及其监护人针对儿童个人信息享有的各项权能。包括在收集、使用、转移、披露环节,儿童监护人的知情权、同意权,及上述环节中相关要素发生实质性变更时的再次授权;儿童及其监护人发现儿童个人信息存在误差时的信息更正权;以及发现网络运营者违法、违规收集、存储、使用、转移、披露,或撤回同意、停止服务时的信息删除权。
三是明确网络运营者针对儿童个人信息的专门性、特设性保护义务。包括专条、专员——设置专门的儿童个人信息保护规则和用户协议,指定专员负责儿童个人信息保护;知情同意——提供更加详细、灵活的用户协议(隐私条款)并以显著、清晰的方式告知监护人并征得监护人同意,且发生实质性变化时需再次征得同意;最小存储——存储儿童个人信息不得超过实现其收集、使用目的所必须的期限,停止运营产品或者服务时应当立即停止收集并删除其持有的儿童个人信息;最小访问——内部工作人员严格按照权限、经过审批访问数据,严控知悉范围、记录访问情况、防止非法获取;泄露及停业通知——儿童个人信息发生泄露、毁损、丢失,造成或者可能造成严重后果的,应当报告主管部门,并逐一告知儿童及其监护人或发布公告,停止服务的应当告知监护人;安全存储——存储儿童个人信息应当采取加密等措施;共享、披露限制——涉及向第三方转移儿童个人信息的,需经安全评估,涉及委托第三方处理儿童个人信息的,签署委托协议,规范双方权利义务。
四是自动例外。即通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的,不需按照本规定操作。
总体来看,《规定》在《网络安全法》等个人信息保护立法一般规则的基础上,针对儿童这一特殊保护主体,规定了更为严格的信息保护义务,赋予儿童及其监护人更为全面、更为有力的权能。
二、亮点解析
从全球儿童个人信息保护总体形势来看,儿童逐步成为隐私泄露和身份盗窃的高危人群。在美国,每年有130万儿童信息被盗用,是成年人的51倍,近年来,澳大利亚、韩国等国家也纷纷出台儿童个人信息保护专门规定,美国也曾讨论修订《儿童在线隐私保护法》(以下简称COPPA),强化未成年人个人信息保护。总体来看,各国儿童数据保护呈加严趋势。
从我国实践情况来看,未成年人的互联网普及率达到93.7%,不满18周岁网民数量高达1.69亿,但普遍缺乏个人信息保护意识,其中11岁以下的儿童对隐私设置的了解较少,11至16岁儿童中仅26%的儿童采取网上隐私保护措施。在此背景下,通过专门规定加强对儿童个人信息的保护是十分必要且有益的,从《规定》的具体内容来看,以下亮点值得深入分析:
(一)保护对象范围的划定
作为专门针对儿童的信息保护规范,《规定》首先需要解决的问题为划定保护对象的范围。第二条将本《规定》中的“儿童”明确为不满十四周岁的未成年人。事实上,对于“儿童”的界定,各国根据其文化传统和立法需求存在较大差异,美国COPPA的主要保护对象为13周岁以下的儿童,欧盟《通用数据保护条例》允许各成员国保留设定本国受规定保护儿童年龄的权限——在13至16周岁之间,此外韩国14周岁,澳大利亚13周岁,因此从各国立法规定来看,通常将保护对象限定于13至16岁之间。
回归我国现实情况,一方面,《刑法》第二百六十二条“拐骗儿童罪”已经对“儿童”作出年龄界定——“不满十四周岁的未成年人”;另一方面,随着信息网络的逐渐普及,儿童心智成熟的年龄段普遍提前,十四周岁的儿童通常已经具备一定的认知能力,在一定程度上能够判断和把控自身行为,此外,立法还需考虑执法的成本及对互联网产业发展的长远影响,因此从保护立法统一性、合理性、科学性角度出发,将保护对象界定为不满十四周岁的未成年人是较为符合我国立法现状、监管需求及产业发展实践的。
(二)知情同意的补全
从《规定》明确的主体权能来看,儿童监护人在儿童信息被收集、存储、使用、转移过程中享有知情同意的权能。从该项权能的来源来看,《民法总则》规定不满八周岁的未成年人,需由监护人代理实施民事法律行为,已满八周岁不满十四周岁的,除纯获利益的民事法律行为或者与其年龄、智力相适应的民事法律行为,须经监护人同意、追认。
在此基础上,当涉及《网络安全法》等个人信息保护立法所设置的知情同意规则时,由于不满十四周岁的儿童尚不具备完全的民事行为能力,对其自身权利的认知不足,处分自身权益的意思表示存在瑕疵,需要监护人的补全,因此各国普遍在立法中规定了由其监护人代行同意的措施,《规定》也吸收借鉴了上述规则,此外,《规定》还规定了停止服务及信息泄露时的告知义务,确保了监护人及儿童在数据全生命周期事前、事中、事后的知情和决定权能。
(三)分级分类和强化保护
儿童作为特殊主体,一方面由于其心智尚不成熟,对其个人信息的价值及被违法收集、使用的后果缺乏清晰的认知,另一方面,由于儿童本身的自我保护能力不足,难以主动核对其信息的准确性、安全性,一旦信息泄露后也更加容易成为非法侵害的重灾区。因此需要网络运营者采取更加具体、更加有力的措施对其进行专门保护。
知情同意原则的有效性问题长期受到诟病,针对该问题,《规定》细化了告知事项,并提供拒绝同意选项,保障儿童及监护人享有更高的透明度和自由选择权;此外在儿童个人信息的全生命周期,相较于数据流通、共享等自由价值,《规定》更加强调安全、稳定等秩序价值,包括贯穿始终的目的限定、最小够用、访问限制以及及时删除等规则,确保儿童个人信息获得更高程度的安全保障。
(四)例外条款
最后,《规定》设置了例外条款,排除了通过计算机信息系统自动留存处理且无法识别是否儿童的个人信息,减轻了网络运营者对于非主动收集信息的普遍保护义务,但对于其中能够识别为儿童个人信息的,当然仍需适用《规定》,适当的平衡了企业的安全保障义务与合规运行成本。
总体来看,《规定》是在当前形势下,对儿童个人信息保护的有力保障,同时也是有益探索。据悉,相关部门正在研究修订《未成年人保护法》、推动《未成年人网络保护条例》出台,以进一步加强未成年人网络保护,《规定》的实施能够在积累有益经验的基础上,为未来立法的出台贡献力量。
(来源:网信中国)