×

请输入关键字

出版物

儿童个人信息网络保护规定出台 企业如何实现合规?

中咨律师事务所|2019-08-29|阅读量:3969

2019年8月23日,国家互联网信息办公室正式发布《儿童个人信息网络保护规定》,该规定将于今年10月1日起施行。这一新法规的出台,将为在经营过程中也会面对儿童个人信息的收集、使用、披露和转让等问题的很多企业提供了有效的规则,也为企业合规经营提供了明确的合规规范,既能够保证企业合规性,又能够避免潜在的法律风险。

 

回顾我国对个人信息网络保护的立法里程,2017年6月1日起施行的《网络安全法》及我国国家质量监督检验检疫总局和国家标准化管理委员会在2017年12月29日发布的,2018年5月1日正式实施的《信息安全技术个人信息安全规范》(GB/T 35273—2017),推动个人信息在大数据时代下的法律保护地位提升到新的高度。《信息安全技术个人信息安全规范》作为一部关于我国公民个人隐私安全保护技术的推荐性标准,该规范在行业内引起了广泛关注,被业界认为是各企业进行网络安全和数据合规的重要指引,各监管部门的网络安全管理和执法工作的重要标准。

 

《信息安全技术个人信息安全规范》中关于儿童个人信息保护的规定如下:

1. 收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。

2. 个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。

由此可见,《个人信息安全规范》中将未成年人分为两个阶梯予以不同保护,年满14岁周岁的未成年人信息可以仅征得未成年人同意,而不满14周岁的,则应征得其监护人的明示同意。此外,将14岁以下儿童的个人信息规定为个人敏感信息,予以特别保护。

 

对比美国1998年《儿童在线隐私保护法》(Children’s Online Privacy Protection RuleCOPPA)、欧盟的《欧洲数据保护通用条例》(General Data Protection RegulationGDPR),以及中国最新发布的《儿童个人信息网络保护规定》,我们发现《儿童个人信息网络保护规定》有以下进步:

1.  沿续《个人信息安全规范》对个人敏感信息的规定,通过专项立法对14岁以下儿童信息网络保护予以规定。

2.  网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。

专门的儿童个人信息保护规则与用户协议,应以更为明显的方式提示儿童用户(包括其监护人),儿童个人信息如何保护。

3.  网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。在征得同意时,应同时提供拒绝选项,并明确告知目的、方式、范围,存储的地点、期限,更正、删除儿童个人信息的途径和方法等事项。

4.  网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。网络运营者存储儿童个人信息,不得超过实现其收集、使用目的所必需的期限。网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。

5.  儿童监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全。

 

对中国企业而言,无论是涉及个人(包括儿童)信息的收集与使用的面向个人使用的科技类公司,还是或多或少会涉及个人信息收集与使用的传统行业,诸如航空、电信等领域,都需要遵守国内个人信息网络保护规定。而对于存在跨国业务的企业来说,更应高度重视儿童个人信息和隐私保护,还要遵从信息来源地的法律规定。美国和欧盟的儿童隐私保护规定是不得不强烈关注的内容。

 

一、企业遵守美国COPPA的六步指南

美国于1998年通过了《儿童在线隐私保护法》(Children’s Online Privacy Protection ActCOPPA)来保护互联网时代儿童个人信息的收集、使用、传播、保护等问题。美国COPPA规范所有收集美国儿童信息的网站,而无论该网站建立在美国境内还是境外,也无论网站建立者是美国人还是外国人。因此,如果我国企业在运营中收集美国儿童信息,也应当严格遵守美国COPPA的规范。美国联邦贸易委员会(Federal Trade Commission,简称FTC)是COPPA唯一的监管机构,FTC在美国隐私保护执法层面上,被视为一个综合性、跨行业的隐私保护执法机构。为推动COPPA的实施,FTC为企业遵守COPPA提供了实用指南,其中包括《业务六步合规计划》(A Six-Step Compliance Plan for Your Business)。

 

步骤1:确定您的公司是收集13岁以下儿童个人信息的网站或在线服务商(Determine if Your Company is a Website or Online Service that Collects Personal Information from Kids Under 13)。

简而言之,COPPA适用的运营者有三种:

(1)直接面向13岁以下儿童收集个人信息的商业网站和在线服务的运营者。

(2)虽面向普通公众,但对于收集13岁以下儿童个人信息有实际认知的网站和在线服务运营者。

(3)明知收集的信息来自面向13岁以下的网站或在线服务的运营者,包括广告网络、插件和其他第三方。

为确定是否应受COPPA管辖,还应核查COPPA对一些关键词的定义,如网站或在线服务(Website or online service),直接指向13岁以下儿童(Directed to children under 13),个人信息(Personal information),收集(Collect)。

 

步骤2:发布符合COPPA规定的隐私政策(Post a Privacy Policy that Complies with COPPA)。

隐私政策必须清晰且全面描述13岁以下儿童信息被收集后是如何处理的。该项说明不仅应包括运营者本身的信息处理实践,还应当包括任何其他在该网站或者服务上收集信息的插件和广告网络。

隐私政策应当是清晰和易懂的,不得加入无关或易混淆的信息。隐私政策中必须包括:

(1)  列出收集信息的所有运营者名单;

(2)  个人信息收集和使用的描述:

1)从儿童处收集的个人信息类型(如:姓名、地址、邮箱、爱好等);

2)个人信息如何收集的——直接来自于儿童或通过cookie被动收集;

3)个人信息将如何被使用(如:向儿童推销、通知竞赛优胜者、或在聊天室中公开儿童信息);

4)是否将儿童信息披露给第三方。如果是,隐私政策中必须列明披露企业类型(如网络商)以及他们如何使用。

(3)  家长权利的描述。

 

步骤3:在向儿童收集个人信息前直接通知家长(Notify Parents Directly Before Collecting Personal Information from Their Kids.)。

告知应清晰易懂,不能包含不相关和困惑信息,应告知父母:

(1)你收集他们的在线联系信息, 以获得他们的同意;

(2)你想从他们的孩子那里收集个人信息;

(3)为收集、使用和披露个人信息需要求征得他们的同意;

(4)你想收集的特定的个人信息,以及将如何透露给他人;

(5)你的在线隐私政策的链接;

(6)父母如何做出同意;

(7)如果父母没有在合理时间内给出同意回复,你将从记录中删除家长的在线联系信息。

 

步骤4:在收集儿童信息前征得他们父母的可识别同意(Get Parents’ Verifiable Consent Before Collecting Personal Information from Their Kids)。

在收集、使用和披露儿童个人信息前,必须征得父母可识别的同意。COPPA将这个问题留给企业,但是须通过清晰可用的技术设计,合理选择一个方法以确保作出同意的是儿童的父母,而非儿童本人,这点非常重要。

可接受的方法包括让父母:

(1)签署一个同意表格并通过传真、邮箱或电子扫描方式邮寄回来;

(2)使用信用卡、借记卡或等可以向账户持有人提供每笔单独交易通知的其他在线支付系统;

(3)可以与训练有素的人员拨打免费电话;

(4)可以与训练有素的人员进行视频会议;

(5)提供政府颁发的可在数据库中查询的ID复印件,只要你在完成认证程序后删除认证记录;

(6) 回答一系列以知识为基础的对于父母之外的人很难回答的具有挑战的问题;

(7)验证由父母提供的驾驶证照片和父母本人照片,通过人脸识别技术进行对比。

 

步骤5:尊重父母在关于收集儿童信息上的持续性权利(Honor Parents’ Ongoing Rights with Respect to Personal Information Collected from Their Kids)。

即使父母已经同意你可以收集儿童信息,父母也有持续性的权利,你有持续性的义务。

如果父母要求,你必须:

(1)给他们一个可以审查被收集的孩子的个人信息的途径;

(2)给他们撤回同意和拒绝进一步收集和使用孩子个人信息的途径;

(3)删除他们孩子的个人信息的途径。

 

步骤6:实施合理程序保护儿童个人信息的安全(Implement Reasonable Procedures to Protect the Security of Kids’ Personal Information)。

COPPA要求建立和维持合理的程序以保护所收集的儿童个人信息的保密性、安全性和完整性。首先将收集的信息数量降低到最低。采取合理的措施仅向有能力保证信息保密性、安全性和完整性的服务提供者和第三方发布个人信息,并得到他们将会履行这些责任的保证。仅在有合理必要的目的时收集个人信息。一旦你不再具有合法理由持有该信息,安全处置该信息。

 

二、欧盟GDPR中的儿童个人信息保护

欧盟General Data Protection Regulation(简称GDPR,中译《欧洲数据保护通用条例》),自2012年1月份开始起草,于2016年4月正式通过,并从2018年5月25 日正式全面施行。GDPR作为欧盟立法直接适用于欧盟成员国。GDPR取代1995年发布的过时的数据保护指令(DPD),完全更新了欧盟成员国以及任何与欧盟各国进行交易或持有公民(欧洲经济区公民)数据的公司必须存储安全和管理个人数据的方式。

 

GDPR对个人信息保护的主体没有加以区分,所有规定同时适用于成年人和未成年人。仅在第8条中作了特殊强调。第8条第1款第1项规定关于直接向儿童提供信息社会服务的,对16周岁以上儿童的个人数据的处理为合法。该款第2项规定儿童未满16周岁时,处理只有在征得父母责任的主体同意情形下,或授权儿童同意的范围内合法。针对儿童年龄的界定,前款第3项规定对于年满13周岁的,成员国的法律可以降低年龄要求。

 

纵观全球现有的数据隐私保护法规中,GDPR被认为是迄今为止覆盖面最广、监管条件最严格的关于个人隐私和数据安全的法规。天价罚单一直是贴在 GDPR 身上的第一个标签:“如发现严重违规,最高可罚 2000 万欧元或企业上一财年全球营业总额的4%,以较高者为准。”

 

研究GDPR,将会发现该条例赋予了数据主体更为明确的同意权、访问权、更正权、被遗忘权、限制处理权、拒绝权及自主决定权等广泛的权利和自由。目前,我国正在进行个人信息保护和数据保护方面的综合性立法,随着GDPR及全球其他国家个人信息保护的实践发展,可以预见我国立法上对个人信息保护将达到前所未有的关注和重视。因此,建议企业在设计隐私政策时,应充分考虑个人信息保护的全球立法趋势,结合未成年的特殊性,尽量采取最严格的措施予以保护。这样既有利于应对将来可能更加严格的立法要求,也能够在实践中消除消费者的隐私担忧,提升企业全球竞争力。

 

参考来源:

1.https://www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-rule

2.https://gdpr.eu/tag/chapter-1/

3. http://www.cac.gov.cn/2019-08/23/c_1124913903.htm

 


微信分享

手机扫一扫
分享给我的朋友

搜索

北京市西城区平安里西大街26号新时代大厦6-8层
电话: +86-10-66091188

长按二维码,关注中咨微信
欢迎加入中咨的大家庭
Welcome to join our big family.
中咨律师事务所 版权所有
京ICP备16030168号