在移动互联网高速发展的时代背景下,我国未成年网民的规模以及互联网普及率已经相当之高,手机、电脑等智能终端设备已成为他们重要的学习、沟通和娱乐的工具。根据《第46次中国互联网络发展状况统计报告》显示,截至2020年6月份,我国网民规模达9.4亿,其中19岁以下的网民群体占比18.3%。可以说,这一代未成年人已成为移动互联网部落的原住民。毋庸置疑,未成年人个人信息保护是个人信息保护领域中的重点,从娃娃抓起培养个人信息保护意识与方法,是我国未来个人信息保护事业深入发展的重要抓手。
然而,这些原住民对于个人信息保护的意识和观念相对较为薄弱,目前也存在一些未成年人个人信息被过度收集使用、处理不当、保护措施流于形式等风险,企业在履行未成年人的个人信息保护也存在“三难”:识别未成年人难、获得监护人有效同意难、隐私保护与未成年人网络防沉迷的平台责任权衡难。
2020年10月份生效的GB/T35273-2020《信息安全技术个人信息安全规范》(以下简称为“35273”)对未成年人个人信息的处理提出一些要求,具体包括:
(1)将14岁以下(含)儿童的个人信息界定为个人敏感信息,并对组织收集处理个人敏感信息提出进一步要求;
(2)组织在收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
针对上述要求,笔者希望依据国内外已有未成年人个人信息保护法律法规规定,结合日常工作实务经验,提出对上述两点要求的落地方案以及延伸思考,同时提供一些业内最佳实践供组织参考,以提升全行业未成年人个人信息保护水位。
一、全球未成年人个人信息保护法律体系概览
目前我国有关未成年人信息保护的要求,散见于多个法律文件中,大多集中于监护人同意机制上。国内专门针对未成年人个人信息保护的立法,目前主要有:
(1)《中华人民共和国未成年人保护法》(2021年6月1日生效)
2020年10月第五十七号主席令通过了《中华人民共和国未成年人保护法》,本次修订新增“网络保护”专章,提出保障未成年人在网络空间的合法权益,继续沿用网安法“正当合理必要”三原则,提出处理不满十四周岁未成年人个人信息需取得监护人同意的要求,同时赋予未成年人及其监护人更正、删除信息的权利,并对网络游戏服务、网络直播服务提出实名认证的要求,如“国家建立统一的未成年人网络游戏电子身份认证系统”、“为十六岁以上的未成年人提供网络直播发布者账号注册服务时,应当对其身份信息进行认证,并征得其父母或者其他监护人同意”。
(2)《儿童个人信息网络保护规定》(2019年10月1日生效)
2019年网信办发布的《儿童个人信息网络保护规定》,作为网安法的配套法规,是专门用于规制14周岁以下未成年人个人信息收集、使用等处理活动,其中也提到了一些特殊的要求,如设置专门的儿童个人信息保护规则,指定专人负责,并赋予了儿童及监护人更正、删除和撤回同意权。同时也强调了监护人的监护职责,提出了网络运营者与监护人协同共治的管理思路。
(3)《未成年人网络保护条例》(征求意见稿)
(4)《未成年人节目管理规定》(2019年4月30日生效)
该规定主要是对未成年人节目内容安全以及传播提出一系列要求,其中也涉及一些未成年人隐私保护规则,比如节目制作过程中不得泄露、诱导未成年人披露其隐私信息等,且父母对涉及未成年人内容的节目有删除、屏蔽权。
【欧盟地区】
在欧盟地区,《数据通用保护条例》(GDPR)有关未成年人数据保护的要求相对比较原则性,另外,关于未成年人的年龄界限,GDPR将设定权交给了各成员国,成员国可以在13~16周岁之间进行设定,目前欧盟地区各国设置存在差异,比如葡萄牙:13岁;西班牙:14岁;法国:15岁;德国:16岁等。
有关未成年人个人信息保护的具体要求主要包括:
(1)透明度原则+监护人可验证同意机制:即处理未成年人数据的,应当以一种清晰平实且未成年人可轻松理解的语言告知未成年人,并征得其父母或监护人的同意,且在技术可行的情况下确保监护人或父母的同意的有效性;
(2)使用未成年人信息用于直接营销、用户画像以及专门针对未成年人的产品应当给予特殊的保护;
(3)处理未成年人个人信息时,组织无法适用“legitimateinterests合法利益”这一合法基础;
(4)如果运营者违反GDPR有关未成人同意条款的,则可能面临最高10000000欧元或全球年度营业额2%的罚款。
【美国】
Step1.确定是否为收集13岁以下儿童个人信息的网站或在线服务商;
Step2.发布符合COPPA的隐私政策;
Step3.向儿童收集信息前通知他们的家长;
Step4.向儿童收集信息前取得他们父母的可验证的同意;
Step5.保证父母在关于收集他们孩子信息上的持续性权利;
Step6.采取合理措施保护儿童信息安全。
【亚太地区】
亚太地区目前除了各国对未成年人的年龄界限不一致外,如新加坡:13岁,日本:20岁,韩国:14岁,马来西亚:18岁,越南:16岁;这些国家对于未成年人个人信息保护大多也是采用监护人同意机制,即收集未成年人信息时需获得监护人同意。越南对未成年人个人信息保护,采用三层细分式保护规则,并对同意的行权人有所区别,即6岁以下儿童的同意需其父母/监护人提供;6岁至15岁以下儿童的同意必须得到其父母/监护人的同意;15岁以上未成年人可自行同意。越南此种多层式立法值得借鉴,针对不同年龄群体的未成年人心智和特点,采取不同的保护规范。
二、未成年人个人信息保护落地与延伸思考
根据前文对国内外未成年人个人信息保护法律框架的梳理,笔者尝试对35273有关未成年人个人信息保护的标准要求,从数据全生命周期给出落地方案以及提出一些延伸思考。
(一)落地
企业应从收集、存储、使用、转移、披露等数据全生命周期落实未成年人个人信息保护要求。
1、数据收集环节
(1)有效识别未成年人
有效识别未成年人是未成年人信息保护最重要的起点,也是企业落地的难点。目前网络游戏行业有强制实名认证的要求,但是其他行业暂无全用户强实名认证的要求。比如在网络音视频行业,除主播、特殊账号等要求强实名认证外,其余用户均可通过使用浏览模式在线观看视频、听音乐等,且使用简单的信息发布(如弹幕、短视频等)功能时,业内通常也是采取移动手机号进行实名认证。这一方式很难准确筛选与识别出未成年人用户。另外,我们惯常了解到的强实名认证方式,如人脸识别、公民身份号码验证等方式,目前不太具有可行性,并且可能存在与隐私保护最小必要原则相冲突的问题。
笔者认为企业可以根据自己的产品类型以及主要面向的用户群体,秉承最小化收集信息的基本原则,采取隐私友好化方式识别未成年人用户。具体可大致分以下三类:
①主要面向未成年人的产品:
主要面向未成年人的产品较多为动画动漫类、儿童游戏类、在线教育类等。但由于未成年人自0-18岁之间的跨度较大,产品细分度也很高。笔者从两个维度进行讨论:
a)对于提供0-8岁幼儿向内容的产品(如早教类App、可收集信息的儿童玩具等):宜默认其用户为儿童,且建议采取监护人账号体系、或者采用面向监护人的语气口吻介绍产品以及个人信息收集使用规则,并为监护人提供虚拟账号的功能,提示填写虚拟昵称和大概的年龄,以便平台在最少儿童信息情况下也能提供适龄的内容和服务,并且即便如此,也应当默认履行有关未成年人个人信息保护的义务。
②综合类产品:
综合类产品在识别未成年人用户时,可根据用户注册时自主填写的年龄信息(尽可能采用年龄段、出生年月)进行筛选,但秉承最小化原则,该等信息字段尽可能模糊且设置为自主选项。另外,通过设备指纹、智能分析等方式发现可能是未成年人用户,可采用弹窗询问的方式进行识别。
③特殊类产品:
对于特殊行业类产品,如网络游戏、网络直播、在线教育类等,根据监管要求需进行强实名认证的,可通过公民身份号码验证、实人认证、银行卡实名认证等方式识别出未成年人。
企业在进行未成年人个人信息保护工作时,不能以爱之名过度收集未成年人信息。最小化收集儿童信息,仍应是未成年人个人信息保护的基线。比如在识别未成年人身份时,尽量采用收集年龄段信息、回答“是/否”等方式;能用监护人/亲子账号体系的,由监护人建立账号,并为未成年人创建虚拟子账号方式,尽可能不收集儿童的个人身份信息;能本地化实现的功能,尽可能不上传云端等等。在保证产品与服务正常提供的前提下,减少未成年人个人信息的收集使用,尤其是个人敏感信息。
3、数据存储环节
在未成年人个人信息存储环节,企业应采用加密等安全措施,保障未成年人个人信息安全,同时应设置存储期限,具体存储期限不应超过实现其收集、处理目的所必需的存储期限,当然法律法规另有规定的除外,如在网络直播行业中为处理未成年人直播打赏退费事宜收集的未成年人个人信息,基于诉讼时效等原因,此类信息可能需要存储3年以上。
5、数据披露环节
未成年人个人信息原则上不应进行公开披露,根据《儿童个人信息网络保护规定》,企业不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。那么企业如果确需披露未成年人信息的,根据35273的要求,企业应在披露前开展个人信息安全影响评估,并依评估结果采取有效的保护措施,同时,在披露前告知涉及的未成年人个人信息的目的、类型、内容,并事先征得未成年人监护明示同意的前提条件下进行。同时记录与存储有关个人信息披露的情况,包括公开披露的日期、规模、目的、公开范围等。
(二)延伸思考——“适龄隐私保护设计理念”
我们可以看到,35273对于未成年人个人信息保护,采用了年龄二分法,以十四岁为分界线,2020年个保法草案中亦如此体现。在细化儿童个人信息保护落地方案以及制定国家标准过程中,笔者曾对我国有关未成年人有关法律规定及网络使用情况进行调研,继而对未成年人个人信息保护的年龄分层方式以及适龄隐私保护设计有着进一步的思考。在介绍四分层之前,笔者想先澄清几个概念:
所以对未成年人个人信息保护在年龄分层上,如果未来进一步制定专门的儿童个人信息保护标准时,建议在二分法的基础上采取“年龄四分法”,并引入适龄隐私保护设计理念,即:0-8岁,8-14岁,14-16岁,16-18岁。
(1)0-8岁
(2)8-14岁
(3)14-16岁
(4)16-18岁
笔者之所以再次细分年龄层级,是希望在充分理解、尊重不同类型未成年人在不同阶段的特点与能力的前提下,明确权利主体与对应适龄的个人信息保护方案,以解决目前权利主体与信息主体存在分离以及兼顾未成年人合理使用互联网的权利,使未成年人个人信息保护落到实处。以上年龄细分以及适龄处置方案为笔者不太成熟的思考,需要结合实际调研数据与规则分析,科学合理的设计具体细分层级方法与对应的监护同意机制。
三、结语
地址:中国北京安定门东大街一号中国电子技术标准化研究院