8月23日,國家網際網路信息辦公室發佈《兒童個人資訊網路保護規定》,將自2019年10月1日起施行。這意味著我國針對兒童的資訊保護制度又完善了一步。
該規定為5月31日網信辦發佈《兒童個人資訊網路保護規定(徵求意見稿)》向社會公開徵求意見後出臺的正式版。規定強調,網路運營者應當設置專門的兒童個人資訊保護規則和用戶協議;網路運營者收集、使用、轉移、披露兒童個人資訊的,應當以顯著、清晰的方式告知兒童監護人,並應當徵得兒童監護人的同意;網路運營者徵得同意時,應當同時提供拒絕選項等。
新京報記者發現,目前大部分APP會以提示隱私協議的方式向用戶介紹其資訊收集方式。結合該規定,即APP在收集兒童資訊時,需設置有隱私協議,且該協議需徵得兒童監護人同意,APP不得強制收集資訊。
依據以上原則,新京報記者在9月3日至9月8日期間測試了30款針對兒童使用的APP,發現其中有9款在兒童資訊保護方面存在瑕疵,包括沒有隱私協議、沒有兒童監護人同意選項等。
“該規定的出臺非常及時和必要。不過對於兒童資訊保護仍然存在幾個難點,因為現在許多兒童都通過父母手機來使用APP,怎樣識別什麼屬於‘兒童資訊’,以及監護人明示同意制度是否有必要進行更加細化的分級,這些都需要討論。”中國人民大學法學院副教授丁曉東對新京報記者表示。
1 13款兒童APP索取位置許可權,快樂小雞、小盒學生強制索權
9月3日至9月8日,新京報記者測試30款兒童APP發現,有2個APP涉及強制授權,6個無隱私協議,2個有隱私協議但沒有監護人授權。由於有的APP同時存在兩個問題,最終一共有9款APP在隱私規範上存在瑕疵。
這30款APP中,伴魚繪本、凱叔講故事等15款APP為七麥數據公佈的“iOS免費榜排行”中排行前15的APP,兒歌多多、快樂小雞等15款APP則是在華為應用市場“兒童”分類專區的熱門推薦中選出,二者分別代表了iOS系統和安卓系統中兒童使用較多的APP。
新京報記者測試發現,在強制授權上,絕大多數兒童APP均能做到對收集的資訊進行明示提醒並給用戶提供可拒絕選項。如寶寶玩英語索取相機和錄音許可權,被拒絕後提示“需要這些許可權才能讓程式正常運作”,少兒趣配音在文件訪問許可權被拒絕後提示“拒絕將會導致APP無法正常使用”,不過上述APP在拒絕授予許可權後,仍可打開。
上述30款APP中,快樂小雞在安裝之時就索取了儲存與地理位置許可權,用戶若選擇拒絕就無法安裝。而小盒學生則在安裝之後首次打開時提示索取存儲、位置、電話、拍照、麥克風許可權,若拒絕就無法使用。對比來看,小盒學生有較為完善的隱私協議並要求填寫“你或者爸爸媽媽的手機號”,快樂小雞則較為簡單,沒有隱私協議。
根據APP專項治理工作組發佈的《APP申請安卓系統許可權機制分析與建議》,APP不應採用“所有打包”“默認打開”“強制捆綁”“私自更改”“頻繁打擾”等方式徵得用戶同意獲取許可權,如“在APP安裝時一次性申請多項或所有危險許可權的授權,並在打開APP後許可權均為默認開啟狀態”。
記者登錄“快樂小雞”,在該APP中未發現與地理位置相關的功能。實際上,有多款兒童APP均索取了地理位置許可權,如時尚小公主、奇妙的怪物朋友等,但這些APP均提供了拒絕選項,並非強制安裝。
需要注意的是,根據《網路安全法》第四十一條規定,網路運營者不得收集與其提供的服務無關的個人資訊。但對於兒童類APP中何種資訊屬於“與其提供的服務無關”,目前尚未有明確的標準出臺。此前,全國資訊安全標準化技術委員會曾發佈《網路安全實踐指南——移動網際網路應用基本業務功能必要資訊規範》,依據個人資訊收集最少夠用的原則以及不同種類APP的業務範圍,對地圖導航、網上購物、餐飲外賣等16類APP收集個人資訊的範圍給出了參考,但目前尚無針對兒童APP的明確標準。
不過僅從APP要求索取的許可權來看,30款兒童APP中有13款索取了地理位置許可權,地理位置是兒童APP最愛收集的涉敏感許可權。
2 6款兒童APP無隱私協議,8款未設置監護人同意選項
《兒童個人資訊網路保護規定》強調,APP在收集、使用、轉移、披露兒童個人資訊時,應當徵得兒童監護人的同意。目前,在記者的測試中,共有8款APP在隱私條款或運作界面中沒有監護人同意的設置。
其中,有6款APP直接沒有隱私條款的設置,包括可可寶貝、人教版小學英語、寶寶愛連線、小企鵝樂園、快樂小雞、DIY史萊姆製造者。其中,人教版小學英語或為配合教程使用的輔助APP,而寶寶愛連線、DIY史萊姆製造者等為功能較為單一的遊戲類APP,不過可可寶貝獲取了電話、照片等敏感許可權,卻沒有隱私條款,存在的隱私規範瑕疵較大。
此外,少兒趣配音與曉黑板2款APP雖然具備隱私政策,但沒有監護人授權的選項。因此共有8款兒童APP沒有“徵得監護人同意”的設置。
新京報記者發現,測試的30款兒童APP中,監護人同意的表述大部分都寫在隱私協議中,如寶寶玩英語在其隱私政策中表示,“若您是18周歲以下的未成年人,請在您的父母或監護人的指導下仔細閱讀本《隱私政策》,並在徵得您的父母或監護人同意的前提下提交您的個人資訊。”而少數APP具備家長設置兒童使用時間,以及通過算術題驗證的方式驗證家長身份等。
對於兒童類APP“監護人同意”選項的設置方式,目前也有一些不同的聲音。有不願具名的早教類APP從業者對新京報記者表示,在實際操作中,“徵得監護人同意”的規定“較為死板”,“一般小孩子玩的APP都是家長給下載好的,手機也是家長的,再在APP裏寫一則隱私協議並標注‘監護人同意’也就是為了合規,即便寫了,也懷疑家長會真正閱讀。”她認為,一些規則較為簡單的兒童遊戲APP的界面設計“非常簡單,並不收集兒童資訊,但再強行放置一個隱私協議或家長需知,有些沒有必要”。
其認為,“通過做算術題或者填成語的方式驗證家長身份比在隱私協議中標明家長需知更加能確保APP收集資訊的行為真正被監護人而不是兒童知曉。”
對此,中國人民大學法學院副教授丁曉東表示,在兒童領域,難點在於監護人同意的設置是否可以真正起到這個作用。“因為通知許可權本身就容易被用戶忽略,如果普通用戶在使用APP時已經習慣點擊同意許可權申請了,那麼可以合理懷疑兒童使用APP時,同樣是普通用戶的父母會不會更加在意。”
實際上,國外也有類似的“監護人同意”制度。如美國于1998年通過了《兒童網路隱私保護法》(COPPA),而聯邦貿易委員會(FTC)則負責兒童網路隱私保護的執法。COPPA確定的重要原則就是要求特定網站和網路服務在收集、使用或透露不滿13歲兒童個人資訊前應履行“通知並取得同意”義務,即通知兒童父母並取得父母同意的事先義務。
在丁曉東看來,APP採取“在産品開發和商業模式上做設計”的方式來進行兒童資訊隱私保護可能會更為合理。比如,廣告個性化推薦,應當對相關演算法進行人工優化,避免對兒童進行個性化推薦。換句話説,就是對風險的控制應當在産品開發設計和商業模式規劃階段就考慮到,而不是通過監護人的同意機制來實現。
3 綜合類APP保護兒童資訊陷困境
目前,對APP用戶年齡最精確的統計方式是直接統計APP註冊用戶的年齡資訊,但多個專家對新京報記者表示,對於兒童,這種方法無法做到。
有從事APP大數據統計的人士對新京報記者表示,此次新規規定了APP在收集兒童資訊時的注意事項,但實際上,絕大多數APP都不可避免的有兒童用戶,此時如何判斷用戶為兒童是一大難點。“例如我們可以統計手機註冊用戶的年齡,但14歲以下的兒童基本沒有手機,都是使用大人的,此時APP也不知道對方的真實身份,因此難以統計。”
因此,在此次測試中,新京報記者採用在各大APP商店中標明“兒童”標簽且排名靠前的APP作為測試標的。但對於主要用戶是成年人,但也有兒童使用的APP,《兒童個人資訊網路保護規定》應如何發揮作用呢?
目前,多個國內熱門APP均上線了“青少年模式”,如bilibili在首頁會彈出進入青少年模式的彈窗,但對於此類用戶涵蓋兒童及成人的APP,《兒童個人資訊網路保護規定》在實際操作方面或將遭遇難題。
“這是因為,在現實生活中,識別兒童很容易,禁止兒童購買煙酒也容易做到。但在網路上,對兒童的個人資訊保護較為困難,商家很難線上上辨識用戶是否為兒童,以及它收集的資訊是否為兒童資訊。”丁曉東表示。
中國網際網路絡資訊中心(CNNIC)發佈的第44次《中國網際網路絡發展狀況統計報告》顯示,截至2019年6月,我國網民規模達8.54億,其中10歲以下網民佔比4.0%,10-19歲網民佔比16.9%。
事實上,有不少家長向新京報記者反映,孩子喜歡用自己的手機“玩吃雞、刷抖音”等,對手機裏的APP“比家長還懂”。此時,APP為進行定推收集到的資訊是否屬於兒童資訊就容易引起爭議。
4 收集兒童資訊以判斷兒童身份或增加問題
新京報記者測試發現,目前兒童類APP主要分兩類:遊戲類與學習類。
其中,針對遊戲類兒童APP的規定實際早已有之。如2017年發佈的《未成年人網路保護條例(送審稿)》第二十二條規定,“網路資訊服務提供者提供網路遊戲服務的,應當要求網路遊戲用戶提供真實身份資訊進行註冊,有效識別未成年人用戶,並妥善保存用戶註冊資訊。國家鼓勵網路遊戲服務提供者根據國家有關規定和標準開發網路遊戲産品年齡認證和識別系統軟體。”
北京青少年法律援助與研究中心2019年8月發佈《中國未成年人網路保護法律政策研究報告》指出,自2012年起,《全國人民代表大會常務委員會關於加強網路資訊保護的決定》《網路安全法》以及國家網際網路信息辦公室發佈的規章等逐步要求“資訊發佈、即時通訊等服務”,通過“後臺實名、前臺自願”的方式獲取用戶的真實身份資訊。中國網路視聽節目服務協會于2019年1月發佈的《網路短視頻平臺管理規範》也明確提出要求網路短視頻平臺採用“用戶畫像、人臉識別、指紋識別等”新技術手段來落實賬戶實名制的要求。
北京青少年法律援助與研究中心對新京報記者表示,從上述法律政策要求可以看出,我國未成年人網路保護立法政策的基礎是身份識別,“為了加強對未成年人的網路保護,我們首先強化了對其個人資訊的收集,通過收集其各種資訊以確認其是未成年人,千方百計避免未成年人虛報年齡以逃避特殊保護。但在收集兒童資訊方面,必須提出的問題是:這個收集資訊的過程也許就成為侵害未成年人隱私權的過程,就埋下了未成年人隱私權受到嚴重侵害的風險。”
在此次30款兒童APP測試中,新京報記者並未發現有遊戲APP要求對兒童進行資訊註冊。目前,在實名註冊方面做得較為完善的遊戲APP包括王者榮耀、和平精英等,但這些APP的主要用戶為成年人。
對此,騰訊守護者計劃對新京報記者表示,其用戶中也不乏使用家長手機進行註冊並遊戲的未成年人,而對於這批用戶,騰訊採取一定的演算法來進行識別,“比如查看用戶的遊戲時長以及操作習慣等,對判斷為未成年人的用戶,也會採取相對應的措施。”
不過,通過收集註冊資訊來判斷兒童身份或許會帶來負面影響。如2011年南韓國會通過了《未成年人保護法》,規定網際網路遊戲運營者向不滿16周歲的未成年人提供網際網路遊戲服務的,應當徵得其監護人的同意,且0點至6點之間,網際網路遊戲運營者不得向不滿16周歲的未成年人提供網際網路遊戲服務。但根據南韓産業研究2014年的“文化産業全球競爭力提高方案”報告,推行遊戲宵禁制度之後,青少年每日玩遊戲的時間雖然減少了約16到20分鐘,但這項制度也使40%的青少年通過盜用身份證號碼的方式玩遊戲,從而導致他們可能更多地接觸面向成人的遊戲。另外未滿16歲的未成年人需要監護人的同意才能註冊遊戲賬號,因此遊戲公司需花高額費用建構個人資訊收集系統,用於收集監護人的個人資訊。這導致如何有效保護這些監護人的個人資訊不被洩露成為了另外一個難題。
北京青少年法律援助與研究中心呼籲,目前未成年人網路保護問題上存在多重視角,政府希望通過推動立法、制定政策,不僅督促企業承擔更多責任,也希望家長、學校發揮起有效作用;越來越多企業在承認自身要承擔更多責任基礎上,也希望政府、家長、學校要積極履責。因此對此問題,亟需多方共治。
