专家观点 | 未成年人个人信息保护思考与探索——对2020版《个人信息安全规范》的落地与延伸

2021-01-06 来源: 全国信息安全标准化技术委员会网站(作者:朱垒 个人观点 不代表雇主立场)

        在移动互联网高速发展的时代背景下,我国未成年网民的规模以及互联网普及率已经相当之高,手机、电脑等智能终端设备已成为他们重要的学习、沟通和娱乐的工具。根据《第46次中国互联网络发展状况统计报告》显示,截至2020年6月份,我国网民规模达9.4亿,其中19岁以下的网民群体占比18.3%。可以说,这一代未成年人已成为移动互联网部落的原住民。毋庸置疑,未成年人个人信息保护是个人信息保护领域中的重点,从娃娃抓起培养个人信息保护意识与方法,是我国未来个人信息保护事业深入发展的重要抓手。

然而,这些原住民对于个人信息保护的意识和观念相对较为薄弱,目前也存在一些未成年人个人信息被过度收集使用、处理不当、保护措施流于形式等风险,企业在履行未成年人的个人信息保护也存在“三难”:识别未成年人难、获得监护人有效同意难、隐私保护与未成年人网络防沉迷的平台责任权衡难。

2020年10月份生效的GB/T 35273-2020《信息安全技术 个人信息安全规范》(以下简称为“35273”)对未成年人个人信息的处理提出一些要求,具体包括:

(1)将14 岁以下(含)儿童的个人信息界定为个人敏感信息,并对组织收集处理个人敏感信息提出进一步要求;

(2)组织在收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。

(“明示同意”是指个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。)

针对上述要求,笔者希望依据国内外已有未成年人个人信息保护法律法规规定,结合日常工作实务经验,提出对上述两点要求的落地方案以及延伸思考,同时提供一些业内最佳实践供组织参考,以提升全行业未成年人个人信息保护水位。

一、全球未成年人保护法律体系概览

目前我国有关未成年人信息保护的要求,散见于多个法律文件中,大多集中于监护人同意机制上。国内专门针对未成年人个人信息保护的立法,目前主要有:


(1)《中华人民共和国未成年人保护法》(2021年6月1日生效)

2020年10月第五十七号主席令通过了《中华人民共和国未成年人保护法》,本次修订新增“网络保护”专章,提出保障未成年人在网络空间的合法权益,继续沿用网安法“正当合理必要”三原则,提出处理不满十四周岁未成年人个人信息需取得监护人同意的要求,同时赋予未成年人及其监护人更正、删除信息的权利,并对网络游戏服务、网络直播服务提出实名认证的要求,如“国家建立统一的未成年人网络游戏电子身份认证系统”、“为十六岁以上的未成年人提供网络直播发布者账号注册服务时,应当对其身份信息进行认证,并征得其父母或者其他监护人同意”。


(2)《儿童个人信息网络保护规定》(2019年10月1日生效)

2019年网信办发布的《儿童个人信息网络保护规定》,作为网安法的配套法规,是专门用于规制14周岁以下未成年人个人信息收集、使用等处理活动,其中也提到了一些特殊的要求,如设置专门的儿童个人信息保护规则,指定专人负责,并赋予了儿童及监护人更正、删除和撤回同意权。同时也强调了监护人的监护职责,提出了网络运营者与监护人协同共治的管理思路。


(3)《未成年人网络保护条例》(征求意见稿)

该条例由国务院法制办曾在2016年9月和2017年1月两次公开征求意见,目前尚未正式出台。该条例除了监护人同意机制外,还提出了制定专门的未成年人信息收集使用规则,以及专门对网络游戏服务提出实名认证、适龄软件开发、功能与使用时间限制等要求。


(4)《未成年人节目管理规定》(2019年4月30日生效)

该规定主要是对未成年人节目内容安全以及传播提出一系列要求,其中也涉及一些未成年人隐私保护规则,比如节目制作过程中不得泄露、诱导未成年人披露其隐私信息等,且父母对涉及未成年人内容的节目有删除、屏蔽权。

放眼国际视野,笔者调研了几个典型区域/国家相关的未成年人个人信息保护规定。


【欧盟地区】

在欧盟地区,《数据通用保护条例》(GDPR)有关未成年人数据保护的要求相对比较原则性,另外,关于未成年人的年龄界限,GDPR将设定权交给了各成员国,成员国可以在13~16周岁之间进行设定,目前欧盟地区各国设置存在差异,比如葡萄牙:13岁;西班牙:14岁;法国:15岁;德国:16岁等。

有关未成年人个人信息保护的具体要求主要包括:

(1)透明度原则+监护人可验证同意机制:即处理未成年人数据的,应当以一种清晰平实且未成年人可轻松理解的语言告知未成年人,并征得其父母或监护人的同意,且在技术可行的情况下确保监护人或父母的同意的有效性;

(2)使用未成年人信息用于直接营销、用户画像以及专门针对未成年人的产品应当给予特殊的保护;

(3)处理未成年人个人信息时,组织无法适用“legitimate interests合法利益”这一合法基础;

(4)如果运营者违反GDPR有关未成人同意条款的,则可能面临最高10000000欧元或全球年度营业额2%的罚款。


【美国】

美国的《儿童在线隐私保护规则》(COPPA)及其配套的实施细则,对于儿童个人信息保护给出了较为详尽的规定。COPPA将儿童年龄线设为13周岁,并主要约束两类企业,一类是直接面向儿童(未满13周岁)的网站、在线服务(包括移动应用和IoT设备)运营者;如:提供儿童动画片、漫画或有儿童栏目的服务并针对两类企业提出了不同的识别未成年人的义务;另一类是面向一般大众的运营者,但实际知道其用户有儿童或者有意识地通过面向儿童的第三方运营者收集信息。如:如收到了父母的投诉、用户发布的信息、评论等内容显示其包含儿童信息的。针对这两类企业,COPPA提出了不同的识别未成年人的义务,比如针对专门面向儿童的运营者,其所有用户均被视为未成年人;而其他企业需要通过年龄筛选的方式确认其收集的信息主体是儿童。筛选的方式比如用户自主输入年龄或生日,且COPPA要求企业采取cookies或其他技术来防止用户在提交生日后无法使用产品而填报虚假年龄的情况。另外,COPPA还规定了监护人同意的验证要求、并赋予了未成年人监护人的选择权、查询权与撤回同意权。除此之外,《COPPA六步合规计划》为企业列出了具体六步合规步骤,即:

Step1. 确定是否为收集13岁以下儿童个人信息的网站或在线服务商;

Step2. 发布符合COPPA的隐私政策;

Step3. 向儿童收集信息前通知他们的家长;

Step4. 向儿童收集信息前取得他们父母的可验证的同意;

Step5. 保证父母在关于收集他们孩子信息上的持续性权利;

Step6. 采取合理措施保护儿童信息安全。

值得借鉴的是,在验证监护人同意方面,COPPA实施细则给出了具体的落地方案,比如使用信用卡、借记卡或其他网络支付等验证手段;父母签署同意表、电话确认、使用身份证信息、面部识别、回答一系列知识性挑战问题等方式。但不可回避的是,前述操作方式为企业给出具体合规方案的同时,也伴随了一系列衍生问题或风险,如合规成本过高、验证过程中收集的大量敏感数据的隐私风险等。如果未来我国制定具体的未成年人个人信息保护规则或标准时,也应考虑制度的激励作用,规则设计的过程中融入法经济学的方法论。


【亚太地区】

亚太地区目前除了各国对未成年人的年龄界限不一致外,如新加坡:13岁,日本:20岁,韩国:14岁,马来西亚:18岁,越南:16岁;这些国家对于未成年人个人信息保护大多也是采用监护人同意机制,即收集未成年人信息时需获得监护人同意。越南对未成年人个人信息保护,采用三层细分式保护规则,并对同意的行权人有所区别,即6岁以下儿童的同意需其父母/监护人提供;6岁至15岁以下儿童的同意必须得到其父母/监护人的同意;15岁以上未成年人可自行同意。越南此种多层式立法值得借鉴,针对不同年龄群体的未成年人心智和特点,采取不同的保护规范。

二、未成年人个人信息保护落地与延伸思考

根据前文对国内外未成年人个人信息保护法律框架的梳理,笔者尝试对《个人信息安全规范》标准中有关未成年人个人信息保护的标准要求,从数据全生命周期给出落地方案以及提出一些延伸思考。

(一)落地

企业应从收集、存储、使用、转移、披露等数据全生命周期落实未成年人个人信息保护要求。


 1、数据收集环节

数据收集环节是数据活动的起始环节,也是最重要的环节。笔者认为在收集环节需要关注的重点包括:有效识别未成年人、充分告知并取得有效监护人同意、收集信息类型最小必要。


 (1)有效识别未成年人

有效识别未成年人是未成年人信息保护最重要的起点,也是企业落地的难点。目前网络游戏行业有强制实名认证的要求,但是其他行业暂无全用户强实名认证的要求。比如在网络音视频行业,除主播、特殊账号等要求强实名认证外,其余用户均可通过使用浏览模式在线观看视频、听音乐等,且使用简单的信息发布(如弹幕、短视频等)功能时,业内通常也是采取移动手机号进行实名认证。这一方式很难准确筛选与识别出未成年人用户。另外,我们惯常了解到的强实名认证方式,如人脸识别、公民身份号码验证等方式,目前不太具有可行性,并且可能存在与隐私保护最小必要原则相冲突的问题。

笔者认为企业可以根据自己的产品类型以及主要面向的用户群体,秉承最小化收集信息的基本原则,采取隐私友好化方式识别未成年人用户。具体可大致分以下三类:


①主要面向未成年人的产品:

主要面向未成年人的产品较多为动画动漫类、儿童游戏类、在线教育类等。但由于未成年人自0-18岁之间的跨度较大,产品细分度也很高。笔者从两个维度进行讨论:

a)对于提供0-8岁幼儿向内容的产品(如早教类App、可收集信息的儿童玩具等):宜默认其用户为儿童,且建议采取监护人账号体系、或者采用面向监护人的语气口吻介绍产品以及个人信息收集使用规则,并为监护人提供虚拟账号的功能,提示填写虚拟昵称和大概的年龄,以便平台在最少儿童信息情况下也能提供适龄的内容和服务,并且即便如此,也应当默认履行有关未成年人个人信息保护的义务。

b)其他主要面向未成年人的产品:可在注册阶段通过选择年龄段方式/弹窗询问是否为儿童操作,筛选出儿童用户还是14岁以上的未成年人用户。如果是8-14岁的儿童用户,可要求其填写监护人手机号码、邮箱地址等,并通过短信验证、电话验证、邮箱验证等方式取得监护人的同意。14岁以上的,一些简单的浏览功能等可取得未成年人自主授权同意,涉及未成年人敏感信息的收集的还是需要通过一定方式取得监护人同意。


②综合类产品:

综合类产品在识别未成年人用户时,可根据用户注册时自主填写的年龄信息(尽可能采用年龄段、出生年月)进行筛选,但秉承最小化原则,该等信息字段尽可能模糊且设置为自主选项。另外,通过设备指纹、智能分析等方式发现可能是未成年人用户,可采用弹窗询问的方式进行识别。


③特殊类产品:

对于特殊行业类产品,如网络游戏、网络直播、在线教育类等,根据监管要求需进行强实名认证的,可通过公民身份号码验证、实人认证、银行卡实名认证等方式识别出未成年人。


 (2)充分告知并获有效同意

就未成年人个人信息收集使用规则,企业可采用图文结合的方式,对未成年人及其监护人进行充分告知,并取得未成年人或其监护人的明示同意,具体同意方式包括主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等,即由授权主体在其完全知情的基础上自愿给出具体、清晰的同意的意思表示。

根据《儿童个人信息网络保护规定》第八条要求,网络运营者应当设置专门的儿童个人信息保护规则和用户协议。对于这条要求,是否需要设置单独的文本链接或H5页面,目前还是还存在不同理解的。实践中企业也是采取了不同的落地方式,比如在隐私政策专章说明、通过附件形式说明以及单独的儿童隐私政策或青少年使用须知页面等等。笔者认为可以根据产品类型、儿童用户量大小等不同采取不同隐私策略。比如专门面向未成年人用户的产品,可采用独立的产品隐私政策,对其信息收集使用规则进行说明;综合类产品的,可采用附件形式或内嵌链接形式进行展示;特殊类产品的,可通过产品隐私政策、专门未成年人保护政策以及相关监护人告知同意书等方式取得监护人同意。

监护人的同意不能流于形式。由于互联网络的物理隔性,企业其实较难判断屏幕对面点击授权的主体为未成年人的监护人。对此,企业还是可以尝试在技术可行的前提下,采取技术手段、产品设计与数据资源协同配合等方式确认监护人同意的有效性,具体实施方式可参考美国COPPA。

 

(3)最小化个人信息收集

企业在进行未成年人个人信息保护工作时,不能以爱之名过度收集未成年人信息。最小化收集儿童信息,仍应是未成年人个人信息保护的基线。比如在识别未成年人身份时,尽量采用收集年龄段信息、回答“是/否”等方式;能用监护人/亲子账号体系的,由监护人建立账号,并为未成年人创建虚拟子账号方式,尽可能不收集儿童的个人身份信息;能本地化实现的功能,尽可能不上传云端等等。在保证产品与服务正常提供的前提下,减少未成年人个人信息的收集使用,尤其是个人敏感信息。

 

2、数据传输使用环节

在未成年人数据传输使用环节,企业应采用安全通道及其他安全加密技术传输个人信息,确保数据传输过程中个人信息的保密性和完整性。另外,内部应建立最小授权访问制度,记录访问情况、采取限制措施防止违法复制、导出数据。特别地,对于儿童信息的访问、修改等操作行为,应采用角色权限控制与审批授权结合方式管控。另外,尽可能不使用儿童信息进行画像分析、个性化展示、直接营销。如有画像分析、个性化展示、直接营销的,应当在政策中说明具体使用的字段以及使用方式,并取得监护人的同意。使用儿童个人信息进行定向广告投放的,应取得监护人的同意;在未成年人产品中投放广告的,应建立广告内容过滤机制,不得发布医疗、药品、保健食品、医疗器械、化妆品、酒类、美容广告,以及不利于未成年人身心健康的网络游戏广告。


 3、数据存储环节

在未成年人个人信息存储环节,企业应采用加密等安全措施,保障未成年人个人信息安全,同时应设置存储期限,具体存储期限不应超过实现其收集、处理目的所必需的存储期限,当然法律法规另有规定的除外,如在网络直播行业中为处理未成年人直播打赏退费事宜收集的未成年人个人信息,基于诉讼时效等原因,此类信息可能需要存储3年以上。


 4、数据转移环节

企业在委托处理、共享、转让未成年人个人信息前,应通过隐私政策更新、弹窗提示、单独H5页面说明等方式告知监护人相关信息的类型、目的、接收方的身份和数据安全能力,并取得监护人的明示同意。同时,应建立内部数据转移安全评估机制,针对数据转移项目进行隐私合规与数据安全评估,调研受托方/信息接收方的数据安全能力,并与其签署数据合作协议,明确各方权利义务。


 5、数据披露环节

未成年人个人信息原则上不应进行公开披露,根据《儿童个人信息网络保护规定》,企业不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。那么企业如果确需披露未成年人信息的,根据35273的要求,企业应在披露前开展个人信息安全影响评估,并依评估结果采取有效的保护措施,同时,在披露前告知涉及的未成年人个人信息的目的、类型、内容,并事先征得未成年人监护明示同意的前提条件下进行。同时记录与存储有关个人信息披露的情况,包括公开披露的日期、规模、目的、公开范围等。


 6、个人信息权利实现保障

企业应建立保障未成年人及其监护人个人信息权利的实现机制,包括查询权、更正权、删除权、撤回同意权、账号注销权、投诉权、监管人管理权等,可通过在产品前端设置便捷功能,同时建立投诉管理机制和投诉跟踪流程,并在合理的时间内对投诉进行响应。碍于文章篇幅,暂不在本文做具体机制实现的介绍,业内相关最佳实践可做参考,如腾讯成长守护平台、抖音亲子平台等。 

(二)延伸思考——“适龄隐私保护设计理念”

我们可以看到,35273对于未成年人个人信息保护,采用了年龄二分法,以十四岁为分界线,2020年个保法草案中亦如此体现。在细化儿童个人信息保护落地方案以及制定国家标准过程中,笔者曾对我国有关未成年人有关法律规定及网络使用情况进行调研,继而对未成年人个人信息保护的年龄分层方式以及适龄隐私保护设计有着进一步的思考。在介绍四分层之前,笔者想先澄清几个概念:

首先,“未成年人”:依照民法典的规定,为不满18周岁的自然人,排除16至18岁依靠自己劳动收入为主要生活来源的主体。

其次,“儿童”:来源于网信办《儿童个人信息网络保护规定》,即不满14周岁的未成年人。

同时,民法典中的无民事行为能力人(0-8岁(不含))以及限制民事行为能力人(8岁以上未成年人)的概念,我们也需要关注。针对个人信息的处理的授权同意,笔者可以认定为一种民事法律行为。无民事行为能力人需由其法定代理人(即其监护人)实施民事法律行为,限制民事行为能力人实施民事法律行为由其法定代理人(即其监护人)代理或法定代理人(即其监护人)的同意或追认,与其智力或精神状况相适应的情况。

所以对未成年人个人信息保护在年龄分层上,如果未来进一步制定专门的儿童个人信息保护标准时,建议在二分法的基础上采取“年龄四分法”,并引入适龄隐私保护设计理念,即:0-8岁,8-14岁,14-16岁,16-18岁。


(1)0-8岁

我们不能期待此类儿童对个人信息保护有概念或理解,且面向此类儿童的产品大多数由监护人下载安装。因此,对于此类儿童的个人信息处理活动,应由监护人提供授权同意,此时权利主体其实是监护人,相应的,产品的隐私政策以及隐私弹窗的设计可以采取面对监护人的口吻,同时采用监护人账号体系等系列功能体系,更优地可采取漫画、提示音等友好形式告知儿童一些个人信息保护知识,比如:“打开摄像机时记得要问问妈妈哦”。


(2)8-14岁

该等年龄阶段的儿童已逐渐开始建立认知体系,针对此类儿童的个人信息处理活动,需要监护人代儿童给出其授权同意,比如针对此类用户的可采取亲子账号或家庭账号体系,即在监护人账户体系下关联儿童账号,由监护人进行同意的授权管理、使用功能以及时间的管理等。


(3)14-16岁

该等年龄阶段的未成年人已形成初步的认知体系。参考CNNIC发布的“2019年全国未成年人互联网使用报告”,此类未成年人多集中在使用在线教育类、游戏类、音视频类、社交类产品,这类产品可以建立未成年人独立的账号体系,但是需告知未成年人在授权同意前取得监护人同意,或者由监护人做出同意,比如要求填写监护人邮箱并发送验证链接等方式,同时可结合现在推行的“青少年模式”,一同进行未成年人内容向管理与防沉迷功能。


(4)16-18岁

该等年龄阶段的未成年人已基本形成较为完整的认知体系,对自己行为的后果可以清楚认知,并对个人信息保护有一定概念,且在当今网络时代这批未成年人对网络的需要和接触非常之多,比如日常听音乐、上网课、看视频、扫码付费等等;因此对于此类未成年人的个人信息处理,其实取得未成年人的明示同意即可,但在收集个人敏感信息时(如生物识别信息、银行账号信息、家庭住址等一旦泄露会对未成年人权益造成重大损害的信息),还是需要告知未成年人要求其取得监护人授权同意或者由监护人账号确认等方式再行上传或提供。同上一年龄层,此类用户在个人信息保护的同时,防沉迷也是非常重要的需要关注的点。

笔者之所以再次细分年龄层级,是希望在充分理解、尊重不同类型未成年人在不同阶段的特点与能力的前提下,明确权利主体与对应适龄的个人信息保护方案,以解决目前权利主体与信息主体存在分离以及兼顾未成年人合理使用互联网的权利,使未成年人个人信息保护落到实处。以上年龄细分以及适龄处置方案为笔者不太成熟的思考,需要结合实际调研数据与规则分析,科学合理的设计具体细分层级方法与对应的监护同意机制。

三、结语

未成年人保护关乎家庭幸福、社会和谐、祖国希望、民族未来,未成年人个人信息保护重要性亦不言而喻。在保护未成年人个人信息时,笔者建议本着以人为本的原则,不止于形式合规,应将保护落到实处,在保障未成年人个人信息同时,亦实现未成年人合理使用网络的权利。未成年个人信息保护是一个需要全社会共同参与推动和建立的事业,学校应合理引入网络安全与个人信息保护的课程,企业应在未成年人个人信息保护中担起社会责任,家庭应增强隐私保护意识与监护人监管意识,政府在现有法律法规体系上不断完善与加强监管活动,共同推动形成全社会共同参与的多方一体协同化的未成年人网络保护体系。 



来源:全国信息安全标准化技术委员会网站(作者:朱垒 个人观点 不代表雇主立场)