黑红梅方还是红黑梅方
首頁 / 文章發布 / 君合法評 / 君合法評詳情

《兒童個人信息網絡保護規定》征求意見

2019.06.02 董瀟 袁瓊

2019年5月31日,國家互聯網信息辦公室(以下簡稱“網信辦”)公布了《兒童個人信息網絡保護規定》(征求意見稿))(“《征求意見稿》”),征求意見至2019年6月30日。這是我國首次針對兒童的專門性個人信息保護相關的法規。與未成年人在網絡空間的權益保護相關,2017年1月,國務院法制辦公室曾公布《未成年人網絡保護條例》,但該條例尚未正式通過。


以下是《征求意見稿》值得關注的重點內容:


一、首次規定“兒童”的概念


《未成年人保護法》規定“未成年人是指未滿十八周歲的公民”。《民法總則》結合年齡和辨認自己行為的能力兩個標準區分十六周歲以上的未成年人,以自己的勞動收入為主要生活來源的,視為完全民事行為能力人;八周歲以上的未成年人為限制民事行為能力人,實施民事法律行為由其法定代理人代理或者經其法定代理人同意、追認,但是可以獨立實施純獲利益的民事法律行為或者與其年齡、智力相適應的民事法律行為。


在網絡環境之中,此前的相關標準與相關征求意見稿,如推薦性國家標準《個人信息保護規范》、《App違法違規收集使用個人信息行為認定方法》(征求意見稿)及《數據安全管理辦法》(征求意見稿),已開始使用十四周歲作為區分是否需要其監護人同意收集個人信息的標準。


《征求意見稿》首次在網絡環境下對“兒童”進行了法律定義,規定為“本規定所稱兒童,是指不滿十四周歲的未成年人”(第27條),并在其中對于“兒童的個人信息”為保護客體做出了一系列規制。


二、更具體的處理要求和原則


《征求意見稿》遵循了《網絡安全法》收集和處理個人信息的一般原則,要求“網絡運營者收集、存儲、使用、轉移、披露兒童個人信息的,應當遵循正當必要、知情同意、目的明確、安全保障、依法利用的原則。”(第3條)


三、專門協議、專人負責


在原則性要求基礎上,《征求意見稿》第5條首次提出,網絡運營者應當設置專門的兒童個人信息保護規則和用戶協議,并設立個人信息保護專員或者指定專人負責兒童個人信息保護。這一條對目前各企業的實踐提出了全新的要求。


四、知情同意的特別要求


針對兒童個人信息的收集和處理,《征求意見稿》在《網絡安全法》規定基礎上提出更為細致、嚴格的要求,包括:


  • 網絡運營者收集、使用兒童個人信息的,應當以顯著、清晰的方式告知兒童監護人,并應當征得兒童監護人的明示同意;明示同意應當具體、清楚、明確,基于自愿(第7條);

  • 征得同意時同時提供拒絕選項;明確告知兒童個人信息的存儲地點和到期后的處理方式、安全保障措施等;告知事項發生實質性變化時,再次征得兒童監護人的明示同意(第8條);

  • 如使用信息需超出約定目的和范圍的,應當再次征得兒童監護人的明示同意(第11條);

  • 和第三方共同使用、向第三方轉移兒童個人信息的,應當征得兒童監護人的明示同意(第13、14條);

  • 明示同意的例外情形包括:為維護國家安全或者公共利益、為消除兒童人身或者財產上的緊急危險及法律、行政法規規定的其他情形(第18條)。


五、信息主體權利的進一步規定


《征求意見稿》之中對于信息主體權利與《網絡安全法》基本一致,但對于刪除權特別規定下述適用之情形:

  • 超出目的范圍或者必要期限收集、存儲、使用、轉移或者披露兒童個人信息的;

  • 兒童監護人撤回同意的;

  • 兒童或者其監護人通過注銷等方式終止使用產品或者服務的。


六、設立內部訪問限制


《征求意見稿》首次提出應對內部工作人員最小授權,嚴格設定訪問權限,控制知悉范圍。并要求工作人員經過個人信息保護專員或授權的管理人員審批后方可訪問兒童個人信息。訪問情況應被記錄,并采取技術措施,避免違法復制、下載兒童個人信息(第12條)。


七、委托處理的要求


委托處理兒童個人信息的,《征求意見稿》要求對受委托方及委托行為等進行安全評估、簽署委托協議。《規定》還強制要求受委托方協助委托方回應兒童監護人提出的申請,采取措施保障信息安全,在發生兒童個人信息泄漏安全事件時,及時向委托方反饋;委托關系解除時及時刪除;不得轉委托。(第13條)


八、多方位的監管措施


《征求意見稿》規定了多種可能的監管方式:


  • 檢查

網絡運營者應當對國家互聯網信息辦公室和其他有關部門依法開展的監督檢查予以配合(第21條)。

  • 舉報

任何組織和個人發現有違反本規定行為的,可以向國家互聯網信息辦公室和其他有關部門舉報(第23條)。

  • 約談

網絡運營者落實兒童個人信息安全管理責任不到位,存在較大安全風險或者發生安全事件的,由國家互聯網信息辦公室依法進行約談,網絡運營者應當按照約談要求及時采取措施,進行整改,消除隱患(第24條)。 

  • 行政處罰

違反《規定》可能被視為違反《網絡安全法》第六十四條的規定,被處以相應處罰(第25條)。

  • 記入信用檔案

違反本規定被追究法律責任的,依照有關法律、行政法規的規定記入信用檔案,并予以公示(第26條)。


九、我們的觀察


我們認為,《征求意見稿》在法規層面首次厘清了需要保護的信息主體的年齡即十四周歲的界限;對兒童個人信息保護提出了更為具體的要求,特別對于專人專管、專門政策和監護人的同意機制等新的要求,將需要落地到現在的個人信息保護框架之中。但仍有一系列實踐之中落實的問題,例如,監護人的同意應以何種方式獲得;專門政策如何實現等,仍值得進一步研究和觀察。

君合是兩大國際律師協作組織Lex MundiMultilaw中唯一的中國律師事務所成員,同時還與亞歐主要國家最優秀的一些律師事務所建立Best Friends協作伙伴關系。通過這些協作組織和伙伴,我們的優質服務得以延伸至幾乎世界每一個角落。
黑红梅方还是红黑梅方