律所实务篇:重磅!全文解读《儿童个人信息网络保护规定》

律所实务篇:重磅!全文解读《儿童个人信息网络保护规定》

 

  2019年5月31日,儿童节的前一天,国家互联网信息办公室发布《儿童个人信息网络保护规定》(征求意见稿),为儿童节送出一份大礼。时隔不到3个月,在2019年8月22日,国家互联网信息办公室正式发布《儿童个人信息网络保护规定》,规定该文件将于2019年10月1日正式施行。

 

  究竟正式发布的《儿童个人信息网络保护规定》规定了哪些内容?相比儿童节前夕的征求意见稿,正式稿做了哪些变动?为了解该问题,笔者尝试对正式稿的内容进行解读,希望为关注该领域的企业和个人提供帮助。

 

  一、立法依据及目的

 

  第一条:为了保护儿童个人信息安全,促进儿童健康成长,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规,制定本规定。

 

  【解读】从正式稿第1条可以看出,正式稿的立法目的在于“保护儿童个人信息安全,促进儿童健康成长”,该目的和“征求意见稿”保持一致,并无改变;此外,正式稿的立法依据包括但不限于《中华人民共和国网络安全法》和《中华人民共和国未成年人保护法》。其中,正式稿第26条规定“违反本规定的,由网信部门和其他有关部门依据职责,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规规定处理;构成犯罪的,依法追究刑事责任。”可见,《互联网信息服务管理办法》等规定也属于正式稿的立法依据。

 

  二、适用范围和适用对象

 

  第二条 本规定所称儿童,是指不满十四周岁的未成年人。

 

  第三条 在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,适用本规定。

 

  【解读】正式稿的适用对象是不满十四周岁的未成年人,和征求意见稿保持一致。但将征求意见稿原26条规定提至第2条,使得定义更清晰显著、结构更合理。此外,正式稿的适用范围是“中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动”,如何理解此处的“境内”呢?《电子商务法》在立法范围上将原本的“境内发生或者有境内电子商务经营主体、消费者参与的电子商务活动”改为“境内的电子商务活动”,从而扩大了法律的适用范围。参照《电子商务法》,笔者认为《征求意见稿》的“境内”适用范围同样很广泛,应理解为凡是涉及从事收集、存储、使用、转移、披露儿童个人信息等活动的,任何情况发生在境内的,都应适用该规定。

 

  三、各方职责

 

  第四条 任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。

 

  第五条 儿童监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全。

 

  第六条 鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等,加强行业自律,履行社会责任。

 

  第七条 网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。

 

  第八条 网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。

 

  【解读】首先,正式稿对各方主体都做了职责规定。例如对于儿童监护人,要求其正确履行监护职责(第五条);对于互联网行业组织鼓励其推动建立行业规范、行业准则(第六条);对于网络安全者则要求其在儿童信息的全生命周期要做到合法合规,并特别强调设置专门针对儿童的保护规则和用户协议,专人专管(第七条、第八条)。并且在对各方职责作出约定前,为防止遗漏其他组织或个人对儿童个人信息的侵害,正式稿专门在诸条款前加置征求意见稿所未规定之条款“任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。”(第四条)

 

  其次,正式稿除了增加第四条外,对于监护人职责的条款(第五条)也是新增条款。笔者认为会增加该条款原因在于,正式稿将征求意见稿所规定的“明示同意”改为“同意”,这一变动意味着放松了对网络运营者的高标准要求,此后网络运营者有可能以获取“授权同意”甚至“默示同意”的方式就可以收集儿童信息。为防止因放松对网络运营者的要求而对儿童造成伤害,则需要儿童监护人做好监护职责,该条款的增订意图在于警示儿童监护人做好勤勉尽责义务,切实保障儿童信息安全。

 

  最后,正式稿第8条规定儿童信息应当专人专管,删除征求意见稿规定的“设立个人信息保护专员”“适用于儿童的用户协议应当简洁、易懂”。笔者认为,删除征求意见稿的“专员规定”理由在于《网络安全法》已规定网络运营者应设立“网络安全负责人”,《信息安全技术 个人信息安全规范》也规定符合条件的应设立专职的“个人信息保护负责人”,征求意见稿还规定“设立个人信息保护专员”,容易导致机构设置叠床架屋,繁琐冗余。正式稿删除专员规定,只规定专人负责,有利于与《网络安全法》等法律法规保持内容一致,体系统一。

 

  而删除“适用于儿童的用户协议应当简洁、易懂”的理由可能在于:第一,用户协议本质上是合同,避免不了出现法言法语,因此根本上的法律障碍使得用户协议难以做到易懂;第二,儿童的识字水平有限,而且一岁之差识字断句水平差异很大,面对不同年龄的儿童,网络运营者难以把握用户协议“简洁、易懂”的度。第三,既然用户协议本质上是合同,即意味着只能和有对应法律行为能力人签署,因此,用户协议更可能和儿童监护人签署,因此也不需要做到特别的“简洁、易懂”。

 

  四、儿童信息生命周期合规

 

  第九条 网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。

 

  第十条 网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项:

  (一)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;

  (二)儿童个人信息存储的地点、期限和到期后的处理方式;

  (三)儿童个人信息的安全保障措施;

  (四)拒绝的后果;

  (五)投诉、举报的渠道和方式;

  (六)更正、删除儿童个人信息的途径和方法;

  (七)其他应当告知的事项。

  前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的同意。

 

  【解读】正式稿和征求意见稿都在规定儿童信息生命周期的各个环节前规定整个生命周期注意事项,即网络运营者收集、使用、转移、披露儿童个人信息时,应履行充分告知及征得同意的事项。

 

  首先,征求意见稿规定的生命周期不包括“转移和披露”,正式稿增加了这两环节,使生命周期更加完整。

 

律所实务篇:重磅!全文解读《儿童个人信息网络保护规定》

 

 

  其次,正式稿取消征求意见稿规定的“明示同意”,认为取得儿童监护人“同意”即可开展收集等活动。笔者认为,该规定会变动的原因在于:第一,《网络安全法》第41条规定开展信息生命周期活动须“经被收集者同意”。正式稿统一和上位法的规定,使得体系完整;第二,“明示同意”标准过高,实践中极易导致窒碍难行,不得已只能退而求其次选择“同意”即可。

 

  最后,在拒绝事项中,正式稿主要增加“投诉、举报的渠道和方式”和“更正、删除儿童个人信息的途径和方法”,保障了儿童监护人等人的合法权利。

 

  (一)收集

 

  第十一条 网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。

 

  【解读】在收集环节,正式稿规定收集信息应满足最小必要原则,由于《网络安全法》等法律法规对此已经做了详细规定,因此正式稿不再重复复述内容,只规定“不得违反法律、行政法规的规定”。同时,征求意见稿原本规定不得违反“双方用户协议的约定”,正式稿将其改为不得违反“双方的约定”,双方的约定不仅包括用户协议约定、还包括隐私政策约定、产品套餐约定等,使得约定范围得到了扩大。

 

  (二)储存

 

  第十二条 网络运营者存储儿童个人信息,不得超过实现其收集、使用目的所必需的期限。

 

  第十三条 网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。

 

  【解读】在储存环节,正式稿同样规定存储信息应满足最小必要原则,同时要采取加密措施,切实保障信息安全。然而,随着技术的不断发展,加密措施进步的同时,反加密措施也在发展,正如匿名化发展的同时,反匿名化也在发展同个道理。因此,如何真正确保信息的安全不泄露一直是难以彻底解决的难题。

 

  (三)使用

 

  第十四条 网络运营者使用儿童个人信息,不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人的同意。

 

  第十五条 网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。

 

  第十六条 网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。

 

  前款规定的受委托方,应当履行以下义务:

  (一)按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息;

  (二)协助网络运营者回应儿童监护人提出的申请;

  (三)采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈;

  (四)委托关系解除时及时删除儿童个人信息;

  (五)不得转委托;

  (六)其他依法应当履行的儿童个人信息保护义务。

 

  【解读】在使用环节,正式稿对使用目的和范围的禁止事项、使用信息的内部控制及第三方处理儿童信息的内容做了相关规定。

 

  在信息使用的内部控制上,笔者认为该条款规定一线工作人员使用儿童数据的规范操作,一定程度上有利于保障儿童的信息安全。然而,由于一线工作人员多以技术人员为主,采取技术手段避免工作人员复制、下载个人信息时,也需警惕技术人员的技术反制措施,须知数据黑产的多数情况是出现企业内鬼。因此,笔者认为网络运营者应在该规定的基础上,以制定内部规章制度的方式,规定一线工作人员如违反操作要求应受惩罚。

 

  在委托第三方处理上,条款规定应做安全评估工作,并签署委托协议。该条款所称的安全评估具体如何操作?是指双方协商评估,还是请第三方评估?如果委托的第三方是境外机构,便涉及数据出境问题。《个人信息出境安全评估办法(征求意见稿)》规定数据出境应向所在地省级网信部门申报安全评估。那么数据出境下委托第三方处理中的“安全评估”又该作何理解?这些问题有待实务解决。

 

  (四)转移

 

  第十七条 网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估。

 

  【解读】在转移环节,正式稿规定安全评估应当自行或者委托第三方机构处理。这与《个人信息出境安全评估办法(征求意见稿)》规定数据出境应向所在地省级网信部门申报安全评估有所冲突,是指自行或委托第三方机构安全评估完,再向省级网信部门再次申请评估吗?

 

  (五)披露

 

  第十八条 网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。

 

  【解读】在披露环节,正式稿规定网络经营者原则上不得披露儿童个人信息,例外情形可以披露。实际上,征求意见稿曾在第19条规定“网络运营者收集、使用、转移、披露儿童个人信息,有以下情形之一的,可以不经过儿童监护人的明示同意:(一)为维护国家安全或者公共利益;(二)为消除儿童人身或者财产上的紧急危险;(三)法律、行政法规规定的其他情形。”但是在正式稿中取消了该条款的规定。

 

  由于正式稿在多个地方增加“依据法律、行政法规的规定”,笔者认有理由相信立法者的意图在于协调统一立法体系,凡是上位法或其他规范性文件已有规定的地方,为防止内容上的冲突、不协调,因此都以“依据法律、行政法规的规定”一笔带过。

 

  (六)删除

 

  第二十三条 网络运营者停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。

 

  【解读】《信息安全技术 个人信息安全规范(征求意见稿)》明确规定网络运营者发生兼并、重组、破产的,数据承接方应承接原网络运营者数据安全责任与义务。《数据安全管理办法(征求意见稿)》进一步规定,在没有数据承接方,应对数据作删除处理。该《征求意见稿》在两者的基础上,规定网络运营者不仅应删除儿童个人信息,还应将“停止运营的通知及时告知儿童监护人”,该规定更进一步保障了儿童的信息安全。但笔者顾虑之处在于在产品或者服务已经停止运营情况下,多数情况下意味着公司的倒闭或者破产。在这种情况下,网络运营者是否有动力做后续的处理措施呢?因为一旦公司破产清算注销,意味着公司的市场主体身份已经灭失,如果网络运营者未通知儿童监护人,往后如何确定承担责任的主体?该问题还需在实务中解决。

 

  五、保护儿童信息机制

 

  第十九条 儿童或者其监护人发现网络运营者收集、存储、使用、披露的儿童个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。

 

  第二十条 儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的,网络运营者应当及时采取措施予以删除,包括但不限于以下情形:

  (一)网络运营者违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露儿童个人信息的;

  (二)超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的;

  (三)儿童监护人撤回同意的;

  (四)儿童或者其监护人通过注销等方式终止使用产品或者服务的。

 

  第二十一条 网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。

 

  第二十二条 网络运营者应当对网信部门和其他有关部门依法开展的监督检查予以配合。网信部门和其他有关部门收到相关举报的,应当依据职责及时进行处理。

 

  第二十四条 任何组织和个人发现有违反本规定行为的,可以向网信部门和其他有关部门举报。

  网信部门和其他有关部门收到相关举报的,应当依据职责及时进行处理。

 

  第二十五条 网络运营者落实儿童个人信息安全管理责任不到位,存在较大安全风险或者发生安全事件的,由网信部门依据职责进行约谈,网络运营者应当及时采取措施进行整改,消除隐患。

 

  第二十六条 违反本规定的,由网信部门和其他有关部门依据职责,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规规定处理;构成犯罪的,依法追究刑事责任。

 

  第二十七条 违反本规定被追究法律责任的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

 

  【解读】在保护儿童信息机制的设置上,正式稿规定了儿童及其监护人的权利、网络运营者的义务、网信部门和其他有关部门的权力。

 

  在儿童及其监护人的权利上,正式稿赋予其在合理的理由下可要求网络运营者更正、删除儿童信息的权利。征求意见稿原先只赋予儿童及其监护人在收集、存储环节的更正权,正式稿将其扩大至“收集、存储、使用和披露”等环节。

 

  在网络运营者的义务上,正式稿规定网络运营者要有应急预案,在突发情况下,应立即采取补救措施。在重大突发事件前,不得隐瞒,须向有关主管部门报告,并应确保儿童及其监护人的知情权。同时,也要切实保障儿童及其监护人的更正权和删除权的行使。

 

  在网信部门和其他有关部门的权力上,正式稿规定网信部门和其他有关部门有监督检查、约谈、接收举报等权力。征求意见稿原本详细列举了网信部门和其他有关部门有“根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”等权力,但正式稿取消了具体条款,只规定“根据《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规规定处理”。正式稿的规定只是简化了权力的内容,但征求意见稿所规定的权力种类实际上并未被取消,网信部门和其他有关部门仍然拥有这些权力。

 

律所实务篇:重磅!全文解读《儿童个人信息网络保护规定》

 

律所实务篇:重磅!全文解读《儿童个人信息网络保护规定》

 

律所实务篇:重磅!全文解读《儿童个人信息网络保护规定》

 

律所实务篇:重磅!全文解读《儿童个人信息网络保护规定》

 

律所实务篇:重磅!全文解读《儿童个人信息网络保护规定》

 

律所实务篇:重磅!全文解读《儿童个人信息网络保护规定》

 

来源:北大法宝律所实务

作者:李金招、蒋晓焜

合作机构:福建天衡联合律师事务所

本文章仅代表作者个人观点,不代表本账号的观点与看法。

如需转载须联系作者并取得授权,要特别注明作者和出处来源!

免责声明:文字仅供学习、交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理。本声明未涉及的问题参见国家有关法律法规,当本声明与国家法律法规冲突时,以国家法律法规为准。

更多法律资讯和优质课程的获取,欢迎关注法宝学堂公众号(ID:PKUFBXT)!

运营单位:北大法宝学堂 客服电话:010-82668266-808 客服手机:15801349397(微信同号)

版权所有 :北京北大英华科技有限公司

免责声明:本网课程中老师的观点,仅代表其个人观点。