8月23日,国家互联网信息办公室发布《儿童个人信息网络保护规定》(以下简称《规定》),以规章形式就儿童个人信息网络保护进行专门立法,这是对社会痛点的及时回应,有利于尽快加强保护儿童个人信息安全、促进儿童健康成长,也填补了专项立法的空白,为相关法律法规的顶层设计进行了制度探索。
今年是互联网诞生50周年,互联网已经日益渗透到社会各个角落。儿童作为这个时代的“互联网原住民”,受益于技术的进步可以接触更多元、更丰富的信息,也会由于判断力和自我保护意识不足或被非法行为侵害,而带来个人信息的泄露、曝光,造成“花季雨季”的网络社交焦虑和安全困扰,甚至因被犯罪分子利用而造成生命财产损失。因此,各国政府一直高度重视儿童个人信息的网络保护。2019年2月,美国联邦贸易委员会(FTC)就TikTok(抖音短视频国际版)违反《儿童网络隐私保护法》(COPPA)规定,开出570万美元巨额罚单,进一步凸显了加强儿童个人信息网络保护的紧迫性和重要性。欧盟《一般数据保护条例》也设置了专门条文,就儿童个人信息的收集与使用作出了专门规定。
我国在《网络安全法》《未成年人保护法》中,对未成年人权益的网络保护都作了明确规定。围绕儿童网络个人信息保护,我国也在持续加强法治建设。尚在起草中的个人信息保护法、未成年人网络保护条例均把未成年人个人信息保护作为重要内容。《规定》从初春立项到金秋出台,虽然时间较短,但是制定机关重视科学立法、民主立法、依法立法,以高效的立法节奏和严谨的立法技术,为儿童个人信息安全织出了一道严密、有效又有弹性的法治保护网。
凸显对儿童个人信息的高标准、严保护
相对于《网络安全法》等法律对个人信息保护的一般规定,《规定》进一步提高和明确了儿童个人信息网络保护标准。
一是专门规则和专人负责。网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。二是最小授权与访问审批。网络运营者应当以最小授权为原则,严格设定其工作人员的信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。三是“二次同意”和同意撤回。网络运营者因业务需要,确需超出约定的目的、范围使用儿童个人信息的,应当再次征得儿童监护人的同意。儿童监护人撤回同意的,网络运营者应当及时采取措施删除儿童个人信息。四是第三方处理和转移安全评估。网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,并禁止转委托。网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估。五是停运后删除并告知。网络运营者停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。
注重法律规则的可操作性和针对性
《规定》在制度设计上,充分考虑了适用场景的明确性、治理机制的多元性和监管措施的多样性。一是明确适用范围和保护对象。《规定》明确适用于我国境内通过网络从事收集、存储、使用、转移、披露不满14周岁的未成年人的个人信息等活动。二是除了网络运营者的法律责任,也注重监护人履职和行业自律。儿童监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全。鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等,加强行业自律,履行社会责任。三是配套多种监管措施。为了确保制度要求落地,《规定》除了与《网络安全法》《互联网信息服务管理办法》等相关法律法规规定做好衔接,还设定了监督检查、约谈、计入信用档案并公示等多种监管措施。
兼顾行业发展创新
“安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”《规定》在重视严保护的同时,也为互联网行业的健康创新发展留出空间。一是设定自动留存处理例外规则。通过计算机系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的,依照其他有关规定执行。二是对于监护人的同意规则不再限于明示同意。《规定》修改了此前征求意见稿中多处规定的“明示同意”,为实践中丰富的网络应用提供了更多选择。三是考虑中小企业经营的市场环境。将征求意见稿规定的“设立个人信息保护专员或者指定专人”改为“指定专人”,降低合规成本。
当然,《规定》构建的法律制度真正发挥作用,还需要生效后全面地实施,将文本中的法变为实践中的法。我国的数字经济已经走在世界前列,我国的网络信息立法也正在不断完善,期待我国未来的儿童个人信息网络保护实践能向世界继续贡献中国智慧和中国经验。
作者:周辉,中国社会科学院法学研究所助理研究员。
来源:《学习时报》2019年09月18日第A3版“民主法治”