《兒童個人資訊網路保護規定》亮點解讀!

   編者按:日前,《兒童個人資訊網路保護規定》(以下簡稱《規定》)公佈,自10月1日起正式施行,針對中華人民共和國境內通過網路收集、存儲、使用、轉移、披露不滿十四週歲的兒童個人資訊進行了規範。《規定》的主要內容有哪些?又有何亮點?小編邀請中國資訊通信研究院網際網路法律研究中心研究員李雅文為你解讀。

3.jpg

  一、主要內容

  《規定》的主要內容包括四個方面。

  一是針對兒童個人資訊的全生命週期提出更為嚴格審慎的規範原則,並落實在具體規則中。明確兒童個人資訊的收集、存儲、使用、轉移行為應當遵循正當必要、知情同意、目的明確、安全保障、依法利用的原則。

  二是進一步明確兒童及其監護人針對兒童個人資訊享有的各項權能。包括:在收集、使用、轉移、披露環節,兒童監護人的知情權、同意權,及上述環節中相關要素發生實質性變更時的再次授權;兒童及其監護人發現兒童個人資訊存在誤差時的資訊更正權;發現網路運營者違法、違規收集、存儲、使用、轉移、披露,或撤回同意、停止服務時的資訊刪除權。

  三是明確網路運營者針對兒童個人資訊的專門性、特設性保護義務。包括:專條、專員——設置專門的兒童個人資訊保護規則和用戶協議,指定兒童個人資訊保護專員;知情同意——提供更加詳細、靈活的用戶協議(隱私條款)並以顯著、清晰的方式告知監護人並徵得監護人同意,且發生實質性變化時需再次徵得同意;最小存儲——存儲兒童個人資訊不得超過實現其收集、使用目的所必須的期限,停止運營産品或者服務時應當立即停止收集並刪除其持有的兒童個人資訊;最小訪問——內部工作人員嚴格按照許可權、經過審批訪問數據,嚴控知悉範圍、記錄訪問情況、防止非法獲取;洩露及停業通知——兒童個人資訊發生洩露、毀損、丟失,造成或者可能造成嚴重後果的,應當報告主管部門,並逐一告知兒童及其監護人或發佈公告,停止服務的應當告知監護人;安全存儲——存儲兒童個人資訊應當採取加密等措施;共用、披露限制——涉及向第三方轉移兒童個人資訊的,需經安全評估,涉及委託第三方處理兒童個人資訊的,簽署委託協議,規範雙方權利義務。

  四是自動例外。即通過電腦資訊系統自動留存處理資訊且無法識別所留存處理的資訊屬於兒童個人資訊的,不需按照本規定操作。

  總體來看,《規定》在《網路安全法》等個人資訊保護立法一般規則的基礎上,針對兒童這一特殊保護主體,規定了更為嚴格的資訊保護義務,賦予兒童及其監護人更為全面、更為有力的權能。

  二、亮點解析

  全球情況

  從全球兒童個人資訊保護總體形勢來看,兒童逐步成為隱私洩露和身份盜竊的高危人群。在美國,每年有130萬兒童資訊被盜用,是成年人的51倍,近年來,澳大利亞、南韓等國家也紛紛出臺兒童個人資訊保護專門規定,美國也曾討論修訂《兒童線上隱私保護法》(以下簡稱COPPA),強化未成年人個人資訊保護。總體來看,各國兒童數據保護呈加嚴趨勢。

  從我國實踐情況來看,未成年人的網際網路普及率達到93.7%,不滿18周歲網民數量高達1.69億,但普遍缺乏個人資訊保護意識,其中11歲以下的兒童對隱私設置的了解較少,11至16歲兒童中僅26%的兒童採取網上隱私保護措施。在此背景下,通過專門規定加強對兒童個人資訊的保護是十分必要且有益的,從《規定》的具體內容來看,以下亮點值得深入分析:

  (一)保護對象範圍的劃定

  作為專門針對兒童的資訊保護規範,《規定》首先需要解決的問題為劃定保護對象的範圍。《規定》第二條將“兒童”明確為不滿十四週歲的未成年人。事實上,對於“兒童”的界定,各國根據其文化傳統和立法需求存在較大差異,美國COPPA的主要保護對象為13周歲以下的兒童,歐盟《通用數據保護條例》允許各成員國保留設定本國受規定保護兒童年齡的許可權——在13至16周歲之間,此外南韓14周歲,澳大利亞13周歲,因此從各國立法規定來看,通常將保護對象限定於13至16歲之間。

  回歸我國現實情況,一方面,《刑法》第二百六十二條“拐騙兒童罪”已經對“兒童”作出年齡界定—— “不滿十四週歲的未成年人” ;另一方面,隨著資訊網路的逐漸普及,兒童心智成熟的年齡段普遍提前,十四週歲的兒童通常已經具備一定的認知能力,在一定程度上能夠判斷和把控自身行為,此外,立法還需考慮執法的成本及對網際網路産業發展的長遠影響,因此從保護立法統一性、合理性、科學性角度出發,將保護對象界定為不滿十四週歲的未成年人是較為符合我國立法現狀、監管需求及産業發展實踐的。

  (二)知情同意的補全

  從《規定》明確的主體權能來看,兒童監護人在兒童資訊被收集、存儲、使用、轉移過程中享有知情同意的權能。從該項權能的來源來看,《民法總則》規定不滿八周歲的未成年人,需由監護人代理實施民事法律行為,已滿八周歲不滿十四週歲的,除純獲利益的民事法律行為或者與其年齡、智力相適應的民事法律行為,須經監護人同意、追認。

  在此基礎上,當涉及《網路安全法》等個人資訊保護立法所設置的知情同意規則時,由於不滿十四週歲的兒童尚不具備完全的民事行為能力,對其自身權利的認知不足,處分自身權益的意思表示存在瑕疵,需要監護人的補全,因此各國普遍在立法中規定了由其監護人代行同意的措施,《規定》也吸收借鑒了上述規則,此外,《規定》還規定了停止服務及資訊洩露時的告知義務,確保了監護人及兒童在數據全生命週期事前、事中、事後的知情和決定權能。

  (三)分級分類和強化保護

  兒童作為特殊主體,一方面由於其心智尚不成熟,對其個人資訊的價值及被違法收集、使用的後果缺乏清晰的認知,另一方面,由於兒童本身的自我保護能力不足,難以主動核對其資訊的準確性、安全性,一旦資訊洩露後也更加容易成為非法侵害的重災區。因此需要網路運營者採取更加具體、更加有力的措施對其進行專門保護。

  知情同意原則的有效性問題長期受到詬病,針對該問題,《規定》細化了告知事項,並提供拒絕同意選項,保障兒童及監護人享有更高的透明度和自由選擇權;此外在兒童個人資訊的全生命週期,相較于數據流通、共用等自由價值,《規定》更加強調安全、穩定等秩序價值,包括貫穿始終的目的限定、最小夠用、訪問限制以及及時刪除等規則,確保兒童個人資訊獲得更高程度的安全保障。

  (四)例外條款

  最後,《規定》設置了例外條款,排除了通過電腦資訊系統自動留存處理且無法識別是否兒童的個人資訊,減輕了網路運營者對於非主動收集資訊的普遍保護義務,但對於其中能夠識別為兒童個人資訊的,當然仍需適用《規定》,適當地平衡了企業的安全保障義務與合規運作成本。

  總體來看,《規定》是在當前形勢下,對兒童個人資訊保護的有力保障,同時也是有益探索。據悉,相關部門正在研究修訂《未成年人保護法》,推動《未成年人網路保護條例》出臺,以進一步加強未成年人網路保護,《規定》的實施能夠在積累有益經驗的基礎上,為未來立法的出臺貢獻力量。

未經允許不得轉載:網信浙江 » 《兒童個人資訊網路保護規定》亮點解讀!

微信二維碼,掃一掃關注