2019.08.27 董潇 袁琼
2019年8月23日,国家互联网信息办公室(“网信办”)正式发布《儿童个人信息网络保护规定》(“《规定》”)。规定将于2019年10月1日起生效。这是我国首次针对儿童出台的专门性的个人信息保护相关的法规,企业需要根据《规定》要求相应调整关于儿童个人信息保护的合规实践。
一、相较《征求意见稿》的新变化
网信办于今年5月23日公布《儿童个人信息网络保护规定》(征求意见稿)(“《征求意见稿》”),征求意见1个月。相比《征求意见稿》,正式稿仅进行了有限的调整,主要的几点变化包括:
1. 将收集、使用、转移、披露儿童个人信息时应当征得儿童监护人的“明示同意”改为了“同意”。
《征求意见稿》中原来强调,收集、使用、转移、披露儿童个人信息,均应当征得儿童监护人的明示同意。明示同意应当具体、清楚、明确,基于自愿。
《规定》第9条删除了明示的要求,仅要求征得儿童监护人的同意。
尽管《网络安全法》未规定同意的具体形式,但推荐性国家标准《信息安全技术个人信息安全规范》(“《信安规范》”) 将未成年人的个人信息列为个人敏感信息,并于5.5条规定,收集个人敏感信息时,应取得个人信息主体的明示同意,确保明示同意是在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。收集年满14的未成年人的个人信息,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
《征求意见稿》原来的要求与《信安规范》一脉相承,而《规定》做出了如此调整后,企业是否还需要遵守《信安规范》的要求,是否可以采取其他方式获取监护人关于儿童个人信息的收集和使用的同意,目前尚不清晰,有待于监管部门进一步的澄清。
2. 儿童隐私政策中增加了“投诉、举报的渠道和方式”、“更正、删除儿童个人信息的途径和方法”两项必需的内容。
《规定》第10条要求,“网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项:
(一)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;
(二)儿童个人信息存储的地点、期限和到期后的处理方式;
(三)儿童个人信息的安全保障措施;
(四)拒绝的后果;
(五)投诉、举报的渠道和方式;
(六)更正、删除儿童个人信息的途径和方法;
(七)其他应当告知的事项。
前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的同意。”
该条对儿童版的专门隐私政策的内容提出了具体的要求。值得注意的是,网络运营者应当对存储地点、期限以及到期后的处理方式、安全保障措施、投诉举报的渠道和方式、更正删除的途径和方法均作出明确的说明。目前《网络安全法》对上述信息没有强制性列举要求,但《信安规范》附录的隐私政策模板和《App违法违规收集使用个人信息自评估指南》分别涵盖了以上部分要求。可见,《规定》在现有的标准、规范、指南的基础上,对儿童版专门隐私政策的内容作了更全面的完整的梳理。网络运营者在制定专门的隐私政策时,应特别注意内容的完备性要求。
取消了收集、使用、转移、披露儿童个人信息时豁免监护人授权的例外情形。
《征求意见稿》规定,为维护国家安全或者公共利益,或为消除儿童人身或者财产上的紧急危险,或法律、行政法规规定的其他情形下,可以不经过儿童监护人的明示同意而收集、使用、转移、披露儿童个人信息。但《规定》中删除了该条规定。
新增第28条信息系统自动留存并且无法识别为儿童个人信息的特殊规定。
《规定》新增的第28条规定,“通过计算机信息系统自动存储处理信息且无法识别所留存处理的信息属于儿童个人信息的,依照其他有关规定执行”。可以看出,立法者希望通过这一条规定为企业解决系统自动存储处理信息而无法识别是否为儿童个人信息时的困境。但具体如何操作和解释,还有待于进一步观察。
除以上重点变化外,我们还建议企业关注《规定》中的以下要求:
二、“儿童”的定义
《规定》首次从部门规章层面确立的“儿童”的概念,将《信安规范》提出的14周岁以法规的形式确立下来,明确说明“本规定所称儿童,是指不满十四周岁的未成年人”、“网络运营者收集、使用儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。”
三、专人负责、专门隐私政策
《规定》首次提出,网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。这一条对目前各企业的实践提出了全新的要求,如按此执行,各企业对于儿童个人信息的收集、使用规则均将重新梳理、考量和制定相应的专门规则。并且,要安排专人负责儿童个人信息保护。
四、最小授权
《规定》首次提出应对内部工作人员最小授权,严格设定访问权限,控制知悉范围。并要求工作人员经过儿童个人信息保护负责人或其授权的管理人员审批后方可访问儿童个人信息。访问情况应被记录,并采取技术措施,避免违法复制、下载儿童个人信息。
这些实操层面保护个人信息的手段,被《规定》强制性要求,用于保护儿童个人信息。
五、委托处理的要求
委托处理儿童个人信息的,要求对受委托方及委托行为等进行安全评估、签署委托协议。《规定》还强制要求受委托方协助委托方回应儿童监护人提出的申请,采取措施保障信息安全,在发生儿童个人信息泄漏安全事件时,及时向委托方反馈;委托关系解除时及时删除;不得转委托。
六、我们的观察
《规定》对儿童个人信息的保护提出了相较于普通个人信息保护更高的要求。实践中,对于不针对儿童提供服务的企业,如何避免收集儿童个人信息;对于针对儿童提供服务的企业,如何去完善合规,设置内部管理制度和外部隐私政策,《规定》都提出了新的疑问和挑战。