关于《儿童个人信息网络保护规定》的解读

作者: 陶姗、何为,浩天信和律师事务所
0
476

《儿童个人信息网络保护规定》2019年10月1日起正式实施。作为首部针对儿童出台的专门性个人信息保护规定,《规定》在公民个人信息保护现有法律规定的基础上,对儿童个人信息的收集、存储、使用、转移、披露等方面进行了较为全面的规定,对营造安全健康的网络环境具有重大意义。本文整理了《规定》的主要关注点。

适用范围。《规定》明确了属地管辖原则,任何主体只要在中国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,均须遵守《规定》要求。

information
陶姗
合伙人
浩天信和律师事务所

保护对象。各国个人信息保护立法对“儿童”的定义存在差异。美国的《儿童在线隐私保护法》(Child Online Privacy Protection Act [COPPA])对13周岁以下儿童的个人信息进行特殊保护。欧盟的《通用数据保护条例》(General Data Protection Regulation [GDPR])对未满16周岁的未成年人的个人数据处理进行特别保护,并规定成员国可以对前述年龄标准进行调整,但不得低于13周岁。

根据中国《规定》第二条,我国对该法规情境下的“儿童”定义为不满14周岁的未成年人。这与国家标准化管理委员会发布的国家推荐标准《信息安全技术个人信息安全规范》(GB/T35273-2017)对“儿童”的定义一致。

保护原则。《规定》第七条明确了儿童个人信息网络保护的五大原则,即:正当必要、知情同意、目的明确、安全保障、依法利用。其中,知情同意原则可操作性较低,《规定》对该问题作出了细化规定,具体包括:

information
何为
律师
浩天信和律师事务所

征求同意:网络运营者收集儿童个人信息时,应以显著、清晰的方式告知儿童监护人并征得监护人同意。因业务需要,网络运营者超出约定的目的、范围使用儿童个人信息,应再次征得儿童监护人的同意。

撤回同意:网络运营者征求儿童监护人同意时,需向儿童监护人提供拒绝选项,并明确告知收集、存储、使用、转移、披露儿童个人信息的目的、方式与范围,信息存储地点,期限及到期后处理方式,信息安全保障措施等事项。若告知事项发生实质性变化,应再次征得儿童监护人同意。

信息更正:若网络运营者收集、存储、使用、披露的儿童个人信息有错误,儿童或其监护人有权要求更正,网络运营者应及时更正。

安全事件警示:网络运营者发现儿童个人信息发生或可能发生泄露、毁损、丢失的,应将事件相关情况以邮件、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应采取合理、有效的方式发布相关警示信息。

特殊保护机制。《网络安全法》规定了公民个人信息保护的基本原则和制度。《规定》在《网安法》的基础上,又进一步对儿童个人信息保护设置了专门机制,其特殊保护机制主要包括:

专门负责:《规定》第八条要求网络运营者设置专门的儿童个人信息保护规则和用户协议,同时要求其指定专人负责儿童个人信息保护。

最小授权:为防止工作人员窃取、泄露儿童个人信息,《规定》第十五条要求对工作人员的信息访问权限最小授权,严格控制儿童个人信息知悉范围。同时,网络运营者应采取技术措施,避免违法复制、下载儿童个人信息。

安全评估:《规定》第十六条、第十七条规定了网络运营者委托第三方处理儿童个人信息或向第三方转移儿童个人信息时,应当进行安全评估。

删除权:《规定》第二十条明确儿童或者监护人有权要求网络运营者删除其收集、存储、使用、披露的儿童个人信息,并列举了删除权行使的具体情形,包括超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息或儿童监护人撤回同意等。

《规定》的出台标志着我国的儿童个人信息网络保护进入新阶段。但是,《规定》仍存在诸多尚未解决的问题,包括未规定儿童监护人真实身份的认证方式、未规定儿童个人信息共享的具体规则、未明确儿童个人信息安全评估的要求等,该等问题尚待进一步探讨与明确。我们建议,互联网企业,尤其是提供以儿童为主要用户的产品及服务的企业,时刻关注儿童个人信息保护领域的监管动向,探索现行规则如何落实到互联网产品与服务的开发及运营中,以实现儿童权益保护与商业利益的平衡。

作者:浩天信和律师事务所合伙人陶姗,律师何为

收购

浩天信和律师事务所
北京市朝阳区东三环中路5号
财富金融中心12层 邮编: 100020
电话: +86 10 6502 8888
传真: +86 10 6502 8866/8877
电子信箱:
taoshan@hylandslaw.com;
hewei2@hylandslaw.com
www.hylandslaw.com