国内企业应当如何做好未成年人个人信息的保护?——由META被天价处罚而引发的思考

专利 商标 著作权诉讼专家

  • 首页   /  盈科文丛   /  
  • 国内企业应当如何做好未成年人个人信息的保护?——由META被天价处罚而引发的思考

国内企业应当如何做好未成年人个人信息的保护?——由META被天价处罚而引发的思考

国内企业应当如何做好未成年人个人信息的保护?——由META被天价处罚而引发的思考已关闭评论

9月6日,据国外媒体Politico.eu报道,爱尔兰数据保护委员会(DPC)决定对Meta处以4.05亿欧元(约合28亿元人民币)的罚款。

原因是该公司允许青少年开设账号,并公开显示其电话号码和电子邮件地址。具体而言,Instagram允许13岁至17岁的用户在该平台上操作商业账号,并显示用户的电话号码和电子邮件地址。爱尔兰数据保护委员会还发现,在该平台运行的用户注册系统下,13至17岁用户的账号默认设置为“公开”。

Meta的发言人回应称:这项调查的重点是在Meta的旧设置上,一年多前Meta已经更新了这一设置,并在此后发布了许多新功能来帮助保护青少年信息的隐私。Meta打算对这笔罚款提起上诉。[1]

由此可以看出,国际上对于未成年人的个人信息保护的态度颇为严格。那么,国内对于未成年人的个人信息保护的状态为何呢?下文就国内法律法规对未成年人个人信息的保护、信息处理者应如何合法合规处理未成年人个人信息进行简要分析。

二、国内法律法规对未成年人

    个人信息保护的现状   

就国内而言,对于未成年人个人信息保护的严厉态度也可从立法层面窥见一斑。目前,对于未成年人个人信息保护的法律层面的渊源除却针对网络数据安全整体予以规制的《网络安全法》、《数据安全法》外,《未成年人保护法》、《个人信息保护法》对于未成年人个人信息的保护则更有针对性;部门规章层面主要有网信办出台的《儿童个人信息网络保护规定》、《未成年人网络保护条例(征求意见稿)》。此外,还有诸多国家或团队标准对未成年人的个人信息进行保护。本文主要就以上各法律渊源对于未成年人的保护予以较为详细的阐述。

 (一)法律层面

《网络安全法》主要从网络安全角度,维护国家安全、社会公共利益,公民、法人和其他组织的合法权益,进而促进经济社会信息化健康发展。对于未成年人个人信息的保护仅在第十三条中原则性的表示,鼓励有利于未成年人成长的网络产品和服务的开发,对于有害未成年人身心健康的则会依法惩治。相对而言,《数据安全法》则主要从数据安全的角度,对于我国境内的数据处理活动予以规范,进而促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益而制定。对于未成年人个人信息的保护并未作特殊规定。

《个人信息保护法》通过规范个人信息处理活动,达到保护个人信息权益,促进个人信息合理利用的目的。就未成年人的个人信息保护,在第二十八条中将不满十四周岁的未成年人的个人信息列为敏感个人信息予以特殊保护,即个人信息处理者对于不满十四周岁的未成年人的个人信息的获取需取得其父母或者其他监护人的同意;处理应当制定专门的个人信息处理规则,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下方可处理。

2020年10月17日,全国人民代表大会常务委员会发布《未成年人保护法》的2020年修订版本,该版本于2021年6月1日生效。相比于修订前,增加了“第五章 网络保护”一章,规定了国家、社会、学校和家庭在增强未成年人网络素养、提升未成年人安全使用网络的意识、保障未成年人在网络空间的合法权益等方面应尽的义务和责任。对于不同行业网络服务提供者及信息处理者规定了不同的义务,如在第十九条第二款、第七十二条、第七十三、七十四条、第七十五条、第七十六条分别规定了智能终端产品的制造者、销售者、信息处理者、网络服务提供者、网络产品和服务提供者、网络游戏服务提供者、网络直播服务提供者在提供相应服务时应遵守的内容。

 (二)部门规章层面

2022年3月14日,国家互联网信息办公室发布了《未成年人网络保护条例(征求意见稿)》并公开征求意见,旨在保护未成年人身心健康,保障未成年人在网络空间的合法权益,为未成年人营造健康、文明、有序的网络环境。在征求意见稿中明确了未成年人网络保护工作由国家网信部门负责统筹协调;从保护未成年人出发,对于网络信息内容予以进一步规范;规定未成年人个人信息的获取、处理亦应遵循合法、正当、必要的原则,对于向他人提供未成年人个人信息进行了限制;对于网络沉迷的防治进行了专门的规定,尤其对于网络游戏、网络直播、网络音频、网络社交服务者对未成年人提供的服务内容、时长、时段等方面进行了限制。可以说,本征求意见稿对较为全面的规定了如何为未成年人营造安全的网络环境,具体实操过程中各方可以此为遵照,进一步细化落地。

对于未成年人中的儿童信息的保护,国家互联网信息办公室还专门发布了《儿童个人信息网络保护规定》(下称“《规定》”),该《规定》于2019年10月1日生效,《规定》的宗旨系保护儿童个人信息安全,促进儿童健康成长。《规定》第二条首次对“儿童”在进行了法律意义上的界定,即不满十四周岁的未成年人。《规定》不仅对于网络运营者收集、存储、使用、转移、披露儿童个人信息,应当遵循的原则进行了明确,而且对于网络运营者在上述处理儿童个人信息具体过程中应遵守的规定、履行的义务进行了进一步的明确。

  三、企业如何规范

  未成年人个人信息保护

 (一)原则

作为网络运营者或信息处理者的企业,在处理未成年人个人信息的过程中,应始终秉承有利于未成年人成长的态度,遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。

(二)规则及机构设置

网络运营者或信息处理者针对未成年人个人信息的处理应当制定专门的个人信息处理规则和用户协议,指定专人负责未成年人信息保护。

(三)处理未成年人个人信息各环节注意事项

1.收集。收集未成年人个人信息的范围限于其提供的服务,不得超出其业务范围、经营目的收集儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。收集不满十四周岁未成年人,还需要取得未成年人父母或者其他监护人的同意。在征得同意时,应当同时提供拒绝选项,并明确告知以下事项:

(1)收集、存储、使用、转移、披露个人信息的目的、方式和范围;

(2)个人信息存储的地点、期限和到期后的处理方式;

(3)个人信息的安全保障措施;

(4)拒绝的后果;

(5)投诉、举报的渠道和方式;

(6)更正、删除儿童个人信息的途径和方法;

(7)其他应当告知的事项。当告知事项发生实质性变化的,应当再次征得同意。

此外,针对特殊行业,还需遵循相应的特别规定,如在网络游戏行业,国家已经建立统一的未成年人网络游戏电子身份认证系统。网络游戏服务提供者应当要求未成年人以真实身份信息注册并登录网络游戏。在网络直播行业,网络直播服务提供者不得为未满十六周岁的未成年人提供网络直播发布者账号注册服务;为年满十六周岁的未成年人提供网络直播发布者账号注册服务时,应当对其身份信息进行认证,并征得其父母或者其他监护人同意。

2.存储。存储期限不得超过实现其收集、使用目的所必需的期限,应当采取加密等措施,确保信息安全。

3.使用。网络运营者使用未成年人个人信息,不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要,确需超出约定的目的、范围使用的,应当再次征得同意。

4.传输。数据转移过程中委托方和受托方承担的义务不同,委托方承担义务如下:(1)安全评估。数据处理者委托第三方处理未成年人个人信息的,应当对受委托方及委托行为等进行安全评估。(2)签署委托协议。在协议中明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。

受托方应当履行以下义务:(1)按照法律、行政法规的规定和网络运营者的要求处理未成年人个人信息;(2)协助委托方回应未成年人监护人提出的申请;(3)采取措施保障信息安全,并在发生个人信息泄露安全事件时,及时向网络运营者反馈;(4)委托关系解除时及时删除儿童个人信息;(5)不得转委托;(6)其他依法应当履行的儿童个人信息保护义务。

5.披露。除法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露外,不得披露未成年人个人信息。

6.更正及删除。信息处理的行为存在错误,应当及时采取措施予以更正。信息所有者或其监护人要求网络运营者删除其所处理的儿童个人信息的,网络运营者应当及时采取措施予以删除。信息处理者应当及时采取措施予以删除,包括但不限于以下情形:(1)违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露个人信息的;(2)超出目的范围或者必要期限收集、存储、使用、转移、披露个人信息的;(3)未成年人或其监护人撤回同意的;(4)未成年人或者其监护人通过注销等方式终止使用产品或者服务的。(5)停止运营产品或者服务的,应当停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。

7.信息泄露的应急措施。信息处理者应当为保护未成年人个人信息制定应急管理制度。当个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的未成年人及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。

8.工作人员数据访问制度。 网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制信息知悉范围。工作人员访问未成年人个人信息的,应当经过信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载未成年人个人信息。

参考文献

[1] http://finance.sina.com.cn/chanjing/gsnews/2022-09-07/doc-imqmmtha6336801.shtml,于2022年9月14日最后访问。

[2] 《中华人民共和国网络安全法》,2017年6月1日生效版。

[3] 《中华人民共和国数据安全法》,2021年9月1日生效版。

[4] 《中华人民共和国个人信息保护法》,2021年11月1日生效版。

[5] 《中华人民共和国未成年人保护法》,2020修订版。

[6] 《未成年人网络保护条例(征求意见稿)》,2022年3月14日发布版本。

《儿童个人信息网络保护规定》,2019年10月1日生效版。

(本文作者:盈科张宾、孟雅律师 来源:微信公众号 盈科北京办公室)