2019年8月22日,為了規範收集使用兒童個人資訊等行為,保護兒童合法權益,為兒童健康成長創造良好的網上環境,國家網際網路信息辦公室正式發佈《兒童個人資訊網路保護規定》(以下簡稱《規定》)。此前,為提高立法公眾參與度,廣泛凝聚社會共識,推進科學立法、民主立法、開門立法,國家網際網路信息辦公室今年5月發佈《規定》徵求意見稿,面向大眾公開徵求意見。在充分聽取、吸納各方意見的基礎上,發佈了本《規定》,為我國完善兒童個人資訊網路保護相關工作提供了依據。作為國內第一部專門規範兒童個人資訊網路保護的規定,有很多值得關注的地方。
亮點一:首部立法
《規定》是我國首部規定兒童個人資訊網路保護的專門立法。與成年人相比,兒童心智發育尚不完全,在通過網路參與的活動中極易洩露個人資訊,而且兒童對於自己的行為性質和行為後果均缺乏必要的判斷和識別能力,個人資訊關係到其切實利益和健康成長,需要予以特別保護,因此相關保護工作尤為重要。此前,我國涉及兒童個人資訊網路保護的規定分散于不同的法律文件中,缺乏專門性保護立法。《民法總則》《網路安全法》《全國人大常委會關於加強網路資訊保護的決定》等法律法規對個人資訊的收集、使用、保護等作出了規定,《未成年人保護法》《北京市未成年人保護條例》《重慶市未成年人保護條例》等法律以及地方性法規中的相關條款,對未成年人的隱私權進行了規定。但上述立法都沒有對兒童個人資訊網路保護作出合理的制度安排,立法規定之間也缺乏整合與協調,法律法規體系的不健全制約了兒童網路環境治理,導致兒童個人資訊網路保護力度不足。因此,《規定》的出臺對保護兒童個人資訊安全以及為兒童營造一個健康的數字成長環境意義重大。
亮點二:兒童定義
《規定》第二條明確了兒童的定義,即不滿十四週歲的未成年人。《規定》參考了《刑法》中對刑事責任年齡的劃分標準,《刑法》規定不滿十四週歲的人不管實施何種危害社會的行為,都不負刑事責任,為完全不負刑事責任年齡。《規定》之所以將保護對象規定為不滿十四週歲未成年人的個人資訊,是出於以下考量:首先,十四週歲以下未成年人的身心發育尚不成熟,人生觀、價值觀、世界觀等思想體系也正處在形成之中,自我保護意識和能力較弱,個人資訊一旦遭到不法者利用,可能導致極為嚴重的後果,需要立法給予特殊保護;其次,十四到十八周歲的未成年雖然認識能力和行為能力上與成年人存在一定差距,但是其生理和心理已趨於成熟,而且全國資訊安全標準化技術委員會發佈的《資訊安全技術個人資訊安全規範》將十四週歲以下的未成年人的個人資訊進行了特別保護要求,《規定》考慮到了網路運營者對於標準的已執行情況,一定程度上與標準進行了對接,以減少網路運營者的合規負擔;最後,除《規定》對兒童進行特殊保護外,正在制定修訂的《個人資訊保護法》、《未成年人保護法》(修訂)以及《未成年人網路保護條例》均將對未成年人個人資訊保護作出明確規定,未來,這些法律法規將與《規定》一道,共同為維護未成年人個人資訊安全織起嚴密保護網,為未成人個人資訊提供根據針對性、系統性和有效性的法律保障。
亮點三:嚴格範圍
《規定》採用了屬地管轄原則,以特定行為作為規制的對象,即只要在我國境內,通過網路這一載體對兒童個人資訊從事了收集、存儲、使用、轉移、披露等涉及數據生命週期的任何一種行為,就要適用《規定》。《網路安全法》對“網路”的內涵已經進行了界定,是指由電腦或者其他資訊終端及相關設備組成的按照一定的規則和程式對資訊進行收集、存儲、傳輸、交換、處理的系統。可以看出,《規定》並未採用屬人管轄原則,《規定》的空間效力僅限于我國境內,而且《規定》並不適用於線上下從事的兒童個人資訊收集、存儲、使用、轉移、披露等行為。
亮點四:明確原則
《規定》明確了兒童個人資訊網路保護的五大原則。兒童個人資訊網路保護原則,是指貫穿于兒童個人資訊網路保護各個階段的指導原理和準則。明確兒童個人資訊網路保護原則,不僅可以規範網路運營者在兒童個人資訊收集、使用、轉移、披露等環節中的義務和責任,也有助於保障兒童的個人資訊權利。在立法中明確個人資訊保護保護原則,也是國際立法慣例。例如,《一般數據保護條例》(GDPR)明確了個人數據處理應遵循合法、公正、透明原則、目的限制原則、最小數據原則、準確原則、存儲限制原則、完整、保密原則、責任原則。我國涉及個人資訊保護的法律文件中也規定了相應的保護原則。《網路安全法》規定了網路運營者收集、使用個人資訊應遵循的原則,第四十一條規定:“網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。網路運營者不得收集與其提供的服務無關的個人資訊,不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人資訊。”該條文中包含了合法正當原則、目的特定原則、收集限制原則、知情同意原則、公開透明原則的內涵。可見,《規定》在我國已有的相關原則的基礎之上,充分吸收、借鑒域外的相關立法經驗,同時考慮到我國的産業實踐與國際差異,明確了兒童個人資訊網路保護的正當必要、知情同意、目的明確、安全保障、依法利用五大原則。
亮點五:知情同意
一直以來,由於缺乏專門性的個人資訊保護法律,我國個人資訊保護規則尚未形成環環相扣的系統化制度體系,存在規則不夠集中、規定過於籠統的問題。《網路安全法》等立法雖然對透明度和知情同意等內容作出了原則性規定,但不夠明確,導致立法可操作性不強。實踐中,個人資訊收集的透明度和“所有”同意也是個人資訊保護存在的突出問題。對此,監管機構格外注重對主體知情同意權利的保護。例如,2019年1月,中央網信辦、工業和資訊化部、公安部、市場監管總局聯合發佈的《關於開展App違法違規收集使用個人資訊專項治理的公告》,規定了收集個人資訊時要以通俗易懂、簡單明瞭的方式展示個人資訊收集使用規則,並經個人資訊主體自主選擇同意;不以默認、捆綁、停止安裝使用等手段變相強迫用戶授權,不得違反法律法規和與用戶的約定收集使用個人資訊。這次立法者在《規定》中對知情同意原則進一步明確和細化,要求網路運營者收集、使用、轉移、披露兒童個人資訊的,應當以顯著、清晰的方式告知兒童監護人,並應當徵得兒童監護人的同意;徵得同意時同時提供拒絕選項;明確告知兒童個人資訊的存儲地點和到期後的處理方式、安全保障措施等事項;告知事項發生實質性變化時,需要再次徵得兒童監護人的同意;因業務需要,確需超出約定的目的、範圍使用兒童個人資訊的,應當徵得兒童監護人的同意。約了兒童網路環境治理,導致兒童個人資訊網路保護力度不足。因此,《規定》的出臺對保護兒童個人資訊安全以及為兒童營造一個健康的數字成長環境意義重大。
亮點六:特殊保護
兒童是特殊群體,需要給予特殊保護。《規定》在以下五大制度的設計上體現出了對兒童個人資訊進行特殊保護的理念。一是設置兒童資訊保護規則、用戶協議和專人負責兒童個人資訊網路保護的要求。《規定》要求網路運營者應當在內部設立專門針對兒童的個人資訊保護規則,對外應當制定專門的用戶協議,網路運營者內部還應當設有專人負責兒童個人資訊網路保護事宜。《規定》參考了《網路安全法》第二十一條要求網路運營者設置網路安全負責人以及第三十四條要求關鍵資訊基礎設施的運營者設置安全管理負責人的規定,制定應當設有專人負責兒童個人資訊網路保護的條款。二是內部訪問許可權要求。實踐中存在不少網路運營者內部工作人員違規竊取、對外提供和泄漏個人資訊的情況。對此《規定》提出網路運營者應當對工作人員最小授權,嚴格設定訪問許可權,控制知悉範圍,還規定了審批要求,即工作人員經過審批後方可訪問兒童個人資訊,訪問情況也應被記錄,還應當通過採取技術措施,避免違法複製、下載兒童個人資訊。三是安全評估的要求。網路運營者在存在以下兩種情形時應當進行安全評估:一種是委託第三方處理兒童個人資訊的,應當對受託方及委託行為進行安全評估,另一種是向第三方轉移兒童個人資訊的,應當進行安全評估,評估的方式包括自行評估或者委託第三方機構進行評估。四是不得披露兒童個人資訊。披露兒童個人資訊是指,在網路上對社會公眾公開兒童個人資訊的過程。考慮到對兒童的特殊保護,《規定》要求原則上網路運營者一律不得披露兒童個人資訊,但也設置了例外情形,包括法律、行政法規規定應當披露或者根據與兒童監護人的約定可以披露,一定程度上體現了立法的靈活性。五是刪除權的特別規定。《規定》明確了兒童或者監護人享有要求網路運營者刪除兒童資訊的權利,並明確了可以行使刪除權的具體情形,包括網路運營者違法或違約、超出目的範圍或者必要期限、兒童監護人撤回同意的、兒童或者監護人通過登出等方式終止使用産品的以及委託關係解除時受託方應當及時刪除兒童個人資訊。值得一提的是,規定“兒童監護人撤回同意”情形,實質上賦予了刪除權更廣泛的內涵,即當監護人認為有必要刪除兒童個人資訊時,即可要求網路運營者刪除相應的兒童個人資訊,體現了對兒童個人資訊給予充分和特殊保護的立法目的。
亮點七:協同共治
真正實現兒童個人資訊網路保護是多方參與、齊抓共管的過程,既依賴於法律規範、政府監管,也依賴於兒童監護人、行業組織以及社會公眾在其中發揮的作用。《規定》的第五條、第六條以及第二十四條體現出了在兒童個人資訊網路保護這一問題上的協同共治理念。在兒童監護人層面,《規定》要求兒童監護人應當正確履行監護義務,教育引導兒童增強個人資訊網路保護意識和能力,保護兒童個人資訊安全。在行業組織層面,《規定》鼓勵網際網路行業組織指導推動網路運營者制定兒童個人資訊網路保護的行業規範、行為準則等,加強行業自律,履行社會責任。在社會公眾層面,《規定》規定任何組織或者個人發現有違法《規定》的行為,可以向網信部門和其他有關部門舉報。通過規定兒童監護人教育引導、行業自律以及公眾監督相結合的綜合管理體制,有利於確保對兒童個人資訊網路保護達到最大、最好的社會效果。
亮點八:法律銜接
《規定》屬於部門規章,根據《立法法》第八十條的規定,部門規章規定的事項應當屬於執行法律或者國務院的行政法規、決定、命令的事項。《規定》在制定的過程中,注意到了立法依據和立法許可權的問題,進一步具體化、明確化《網路安全法》《未成年人保護法》《網際網路資訊服務管理辦法》等法律、行政法規中對未成年人保護和個人資訊保護規定的較為模糊的內容,包括明確了同意的要求、具體的告知事項、數據洩露應急措施、安全保障等規定,以解決我國兒童個人資訊網路保護法律制度規定不健全的問題。
未經允許不得轉載:網信浙江 » 保護兒童個人資訊安全——《兒童個人資訊網路保護規定》八大亮點