2019年8月23日,為了規(guī)范收集使用兒童個(gè)人信息等行為,保護(hù)兒童合法權(quán)益,為兒童健康成長(zhǎng)創(chuàng)造良好的網(wǎng)上環(huán)境,國(guó)家互聯(lián)網(wǎng)信息辦公室正式發(fā)布《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》(以下簡(jiǎn)稱《規(guī)定》)。作為國(guó)內(nèi)第一部專門(mén)規(guī)范兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)的規(guī)定,有八大亮點(diǎn)值得關(guān)注。
亮點(diǎn)一:首部立法
《規(guī)定》是我國(guó)首部規(guī)定兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)的專門(mén)立法。此前,我國(guó)涉及兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)的規(guī)定分散于不同的法律文件中,缺乏專門(mén)性保護(hù)立法。《民法總則》《網(wǎng)絡(luò)安全法》《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等法律法規(guī)對(duì)個(gè)人信息的收集、使用、保護(hù)等作出了規(guī)定,《未成年人保護(hù)法》《北京市未成年人保護(hù)條例》《重慶市未成年人保護(hù)條例》等法律以及地方性法規(guī)中的相關(guān)條款,對(duì)未成年人的隱私權(quán)進(jìn)行了規(guī)定。但上述立法都沒(méi)有對(duì)兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)作出合理的制度安排,立法規(guī)定之間也缺乏整合與協(xié)調(diào),法律法規(guī)體系的不健全制約了兒童網(wǎng)絡(luò)環(huán)境治理,導(dǎo)致兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)力度不足。因此,《規(guī)定》的出臺(tái)對(duì)保護(hù)兒童個(gè)人信息安全以及為兒童營(yíng)造一個(gè)健康的數(shù)字成長(zhǎng)環(huán)境意義重大。
亮點(diǎn)二:定義兒童
《規(guī)定》第二條明確了兒童的定義,即不滿十四周歲的未成年人。《規(guī)定》之所以將保護(hù)對(duì)象規(guī)定為不滿十四周歲未成年人的個(gè)人信息,是出于以下考量:首先,十四周歲以下未成年人的身心發(fā)育尚不成熟,人生觀、價(jià)值觀、世界觀等思想體系也正處在形成之中,自我保護(hù)意識(shí)和能力較弱,個(gè)人信息一旦遭到不法者利用,可能導(dǎo)致極為嚴(yán)重的后果,需要立法給予特殊保護(hù);其次,十四到十八周歲的未成年人雖然在認(rèn)識(shí)能力和行為能力上與成年人存在一定差距,但是其生理和心理已趨于成熟,而且全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》將十四周歲以下的未成年人的個(gè)人信息進(jìn)行了特別保護(hù)要求,《規(guī)定》考慮到網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)于標(biāo)準(zhǔn)的已執(zhí)行情況,一定程度上與標(biāo)準(zhǔn)進(jìn)行了對(duì)接,以減輕網(wǎng)絡(luò)運(yùn)營(yíng)者的合規(guī)負(fù)擔(dān);最后,由于《規(guī)定》對(duì)兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)進(jìn)行了一系列特別的制度設(shè)計(jì),若完全一刀切式地將十八周歲以下未成年人的個(gè)人信息全部納入保護(hù)范圍,將增加網(wǎng)絡(luò)運(yùn)營(yíng)者的負(fù)擔(dān)。可見(jiàn),此次關(guān)于保護(hù)對(duì)象的規(guī)定體現(xiàn)出立法者充分考慮我國(guó)相關(guān)行業(yè)發(fā)展訴求和現(xiàn)狀。
亮點(diǎn)三:嚴(yán)格范圍
《規(guī)定》采用了屬地管轄原則,以特定行為作為規(guī)制的對(duì)象,即只要在我國(guó)境內(nèi),通過(guò)網(wǎng)絡(luò)這一載體對(duì)兒童個(gè)人信息從事收集、存儲(chǔ)、使用、轉(zhuǎn)移、披露等涉及數(shù)據(jù)生命周期的任何一種行為,就要適用《規(guī)定》。《網(wǎng)絡(luò)安全法》對(duì)“網(wǎng)絡(luò)”的內(nèi)涵已經(jīng)進(jìn)行了界定,是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)。可以看出,《規(guī)定》并未采用屬人管轄原則,《規(guī)定》的空間效力僅限于我國(guó)境內(nèi),而且《規(guī)定》并不適用于在線下從事的兒童個(gè)人信息收集、存儲(chǔ)、使用、轉(zhuǎn)移、披露等行為。
亮點(diǎn)四:明確原則
《規(guī)定》明確了兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)的五大原則。兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)原則,是指貫穿于兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)各個(gè)階段的指導(dǎo)原理和準(zhǔn)則。明確兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)原則,不僅可以規(guī)范網(wǎng)絡(luò)運(yùn)營(yíng)者在兒童個(gè)人信息收集、使用、轉(zhuǎn)移、披露等環(huán)節(jié)中的義務(wù)和責(zé)任,也有助于保障兒童的個(gè)人信息權(quán)利。在立法中明確個(gè)人信息保護(hù)原則,也是國(guó)際立法慣例。例如,《通用數(shù)據(jù)保護(hù)條例》(GDPR)明確個(gè)人數(shù)據(jù)處理應(yīng)遵循合法、公正、透明原則,目的限制原則,最小數(shù)據(jù)原則,準(zhǔn)確原則,存儲(chǔ)限制原則,完整、保密原則,責(zé)任原則。我國(guó)涉及個(gè)人信息保護(hù)的法律文件中也規(guī)定了相應(yīng)的保護(hù)原則。《網(wǎng)絡(luò)安全法》規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息應(yīng)遵循的原則。可見(jiàn),《規(guī)定》在我國(guó)已有的相關(guān)原則的基礎(chǔ)之上,充分吸收、借鑒域外的相關(guān)立法經(jīng)驗(yàn),同時(shí)考慮到我國(guó)的產(chǎn)業(yè)實(shí)踐與國(guó)際差異,明確了兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)的正當(dāng)必要、知情同意、目的明確、安全保障、依法利用五大原則。
亮點(diǎn)五:知情同意
一直以來(lái),由于缺乏專門(mén)性的個(gè)人信息保護(hù)法律,我國(guó)個(gè)人信息保護(hù)規(guī)則尚未形成環(huán)環(huán)相扣的系統(tǒng)化制度體系,存在規(guī)則不夠集中、規(guī)定過(guò)于籠統(tǒng)的問(wèn)題。《網(wǎng)絡(luò)安全法》等立法雖然對(duì)透明度和知情同意等內(nèi)容作出原則性規(guī)定,但未明確告知用戶的個(gè)人信息應(yīng)當(dāng)易于獲取、易于理解,也未規(guī)定同意的作出應(yīng)具體、明確,導(dǎo)致立法可操作性不強(qiáng)。實(shí)踐中,個(gè)人信息收集的透明度和“一攬子”同意也是個(gè)人信息保護(hù)存在的突出問(wèn)題。對(duì)此,監(jiān)管機(jī)構(gòu)格外注重對(duì)主體知情同意權(quán)利的保護(hù)。例如,2019年1月,中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局聯(lián)合發(fā)布的《關(guān)于開(kāi)展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》,規(guī)定了收集個(gè)人信息時(shí)要以通俗易懂、簡(jiǎn)單明了的方式展示個(gè)人信息收集使用規(guī)則,并經(jīng)個(gè)人信息主體自主選擇同意;不以默認(rèn)、捆綁、停止安裝使用等手段變相強(qiáng)迫用戶授權(quán),不得違反法律法規(guī)和與用戶的約定收集使用個(gè)人信息。這次立法者在《規(guī)定》中對(duì)知情同意原則進(jìn)一步明確和細(xì)化,要求網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用、轉(zhuǎn)移、披露兒童個(gè)人信息的,應(yīng)當(dāng)以顯著、清晰的方式告知兒童監(jiān)護(hù)人,并應(yīng)當(dāng)征得兒童監(jiān)護(hù)人的同意;征得同意時(shí)同時(shí)提供拒絕選項(xiàng);明確告知兒童個(gè)人信息的存儲(chǔ)地點(diǎn)和到期后的處理方式、安全保障措施等事項(xiàng);告知事項(xiàng)發(fā)生實(shí)質(zhì)性變化時(shí),需要再次征得兒童監(jiān)護(hù)人的同意;因業(yè)務(wù)需要,確需超出約定的目的、范圍使用兒童個(gè)人信息的,應(yīng)當(dāng)征得兒童監(jiān)護(hù)人的同意。
亮點(diǎn)六:特殊保護(hù)
兒童是特殊群體,需要給予特殊保護(hù)。《規(guī)定》在以下五大制度的設(shè)計(jì)上體現(xiàn)了對(duì)兒童個(gè)人信息進(jìn)行特殊保護(hù)的理念。一是設(shè)置兒童信息保護(hù)規(guī)則、用戶協(xié)議和專人負(fù)責(zé)兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)的要求。《規(guī)定》要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)在內(nèi)部設(shè)立專門(mén)針對(duì)兒童的個(gè)人信息保護(hù)規(guī)則,對(duì)外應(yīng)當(dāng)制定專門(mén)的用戶協(xié)議,網(wǎng)絡(luò)運(yùn)營(yíng)者內(nèi)部還應(yīng)當(dāng)設(shè)有專人負(fù)責(zé)兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)事宜。《規(guī)定》參考了《網(wǎng)絡(luò)安全法》第二十一條要求網(wǎng)絡(luò)運(yùn)營(yíng)者設(shè)置網(wǎng)絡(luò)安全負(fù)責(zé)人,以及第三十四條要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者設(shè)置安全管理負(fù)責(zé)人的規(guī)定,制定應(yīng)當(dāng)設(shè)有專人負(fù)責(zé)兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)的條款。二是內(nèi)部訪問(wèn)權(quán)限要求。實(shí)踐中存在不少網(wǎng)絡(luò)運(yùn)營(yíng)者內(nèi)部工作人員違規(guī)竊取、對(duì)外提供和泄露個(gè)人信息的情況。對(duì)此《規(guī)定》提出網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)工作人員最小授權(quán),嚴(yán)格設(shè)定訪問(wèn)權(quán)限,控制知悉范圍,還規(guī)定了審批要求,即工作人員經(jīng)過(guò)審批后方可訪問(wèn)兒童個(gè)人信息,訪問(wèn)情況也應(yīng)被記錄,還應(yīng)當(dāng)通過(guò)采取技術(shù)措施,避免違法復(fù)制、下載兒童個(gè)人信息。三是安全評(píng)估的要求。網(wǎng)絡(luò)運(yùn)營(yíng)者在存在以下兩種情形時(shí)應(yīng)當(dāng)進(jìn)行安全評(píng)估:一種是委托第三方處理兒童個(gè)人信息的,應(yīng)當(dāng)對(duì)受托方及委托行為進(jìn)行安全評(píng)估,另一種是向第三方轉(zhuǎn)移兒童個(gè)人信息的,應(yīng)當(dāng)進(jìn)行安全評(píng)估,評(píng)估的方式包括自行評(píng)估或者委托第三方機(jī)構(gòu)進(jìn)行評(píng)估。四是不得披露兒童個(gè)人信息。披露兒童個(gè)人信息是指,在網(wǎng)絡(luò)上對(duì)社會(huì)公眾公開(kāi)兒童個(gè)人信息的過(guò)程。考慮到對(duì)兒童的特殊保護(hù),《規(guī)定》要求,原則上網(wǎng)絡(luò)運(yùn)營(yíng)者一律不得披露兒童個(gè)人信息,但也設(shè)置了例外情形,包括法律、行政法規(guī)規(guī)定應(yīng)當(dāng)披露或者根據(jù)與兒童監(jiān)護(hù)人的約定需要披露,一定程度上體現(xiàn)了立法的靈活性。五是刪除權(quán)的特別規(guī)定。《規(guī)定》規(guī)定了兒童或者監(jiān)護(hù)人享有要求網(wǎng)絡(luò)運(yùn)營(yíng)者刪除兒童信息的權(quán)利,并明確了可以行使刪除權(quán)的具體情形,包括網(wǎng)絡(luò)運(yùn)營(yíng)者違法或違約、超出目的范圍或者必要期限、兒童監(jiān)護(hù)人撤回同意的、兒童或者監(jiān)護(hù)人通過(guò)注銷(xiāo)等方式終止使用產(chǎn)品的以及委托關(guān)系解除時(shí),受托方應(yīng)當(dāng)及時(shí)刪除兒童個(gè)人信息。值得一提的是,規(guī)定“兒童監(jiān)護(hù)人撤回同意”情形,實(shí)質(zhì)上賦予了刪除權(quán)更廣泛的內(nèi)涵,即當(dāng)監(jiān)護(hù)人認(rèn)為有必要?jiǎng)h除兒童個(gè)人信息時(shí),即可要求網(wǎng)絡(luò)運(yùn)營(yíng)者刪除相應(yīng)的兒童個(gè)人信息,體現(xiàn)了對(duì)兒童個(gè)人信息給予充分和特殊保護(hù)的立法目的。
亮點(diǎn)七:協(xié)同共治
真正實(shí)現(xiàn)兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)是多方參與、齊抓共管的過(guò)程,既依賴于法律規(guī)范、政府監(jiān)管,也依賴于兒童監(jiān)護(hù)人、行業(yè)組織以及社會(huì)公眾在其中發(fā)揮的作用。《規(guī)定》的第五條、第六條以及第二十四條體現(xiàn)出了在兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)這一問(wèn)題上的協(xié)同共治理念。在兒童監(jiān)護(hù)人層面,《規(guī)定》要求兒童監(jiān)護(hù)人應(yīng)當(dāng)正確履行監(jiān)護(hù)義務(wù),教育引導(dǎo)兒童增強(qiáng)個(gè)人信息網(wǎng)絡(luò)保護(hù)意識(shí)和能力,保護(hù)兒童個(gè)人信息安全。在行業(yè)組織層面,《規(guī)定》鼓勵(lì)互聯(lián)網(wǎng)行業(yè)組織指導(dǎo)推動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)者制定兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)的行業(yè)規(guī)范、行為準(zhǔn)則等,加強(qiáng)行業(yè)自律,履行社會(huì)責(zé)任。在社會(huì)公眾層面,《規(guī)定》規(guī)定任何組織或者個(gè)人發(fā)現(xiàn)有違反《規(guī)定》的行為,都可以向網(wǎng)信部門(mén)和其他有關(guān)部門(mén)舉報(bào)。通過(guò)規(guī)定兒童監(jiān)護(hù)人教育引導(dǎo)、行業(yè)自律以及公眾監(jiān)督相結(jié)合的綜合管理體制,有利于確保對(duì)兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)達(dá)到最大、最好的社會(huì)效果。
亮點(diǎn)八:法律銜接
《規(guī)定》屬于部門(mén)規(guī)章,根據(jù)《立法法》第八十條的規(guī)定,部門(mén)規(guī)章規(guī)定的事項(xiàng)應(yīng)當(dāng)屬于執(zhí)行法律或者國(guó)務(wù)院的行政法規(guī)、決定、命令的事項(xiàng)。《規(guī)定》在制定的過(guò)程中,注意到立法依據(jù)和立法權(quán)限的問(wèn)題,進(jìn)一步具體化、明確化《網(wǎng)絡(luò)安全法》《未成年人保護(hù)法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法律、行政法規(guī)中對(duì)未成年人保護(hù)和個(gè)人信息保護(hù)規(guī)定的較為模糊的內(nèi)容,包括明確了同意的要求、具體的告知事項(xiàng)、數(shù)據(jù)泄露應(yīng)急措施、安全保障等規(guī)定,以解決我國(guó)兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)法律制度規(guī)定不健全的問(wèn)題。(楊婕:中國(guó)信息通信研究院互聯(lián)網(wǎng)法律研究中心研究員)