國家網信辦發布兒童個人信息網絡保護規定
全生命周期保護兒童個人信息
□ 本報記者 韓丹東
□ 本報實習生 姜 珊
近日,國家互聯網信息辦公室正式發布《兒童個人信息網絡保護規定》(以下簡稱《規定》),明確任何組織和個人不得制作、發布、傳播侵害兒童個人信息安全的信息,網絡運營者收集、使用、轉移、披露兒童個人信息的,應征得兒童監護人的同意。《規定》自今年10月1日起施行。
《法制日報》記者就公眾關切的問題采訪了業內相關專家。
侵權行為屢見不鮮
規定出臺恰逢其時
據中國傳媒大學法律系副主任鄭寧介紹,這是我國第一部專門針對兒童個人信息保護的部門規章,是網絡安全法的配套規章。
我國未成年網民數量龐大。共青團中央維護青少年權益部、中國互聯網絡信息中心發布的《2018年全國未成年人互聯網使用情況研究報告》顯示,截至2018年7月31日,我國未成年網民(不包括6歲以下群體和非學生)規模達1.69億,未成年人的互聯網普及率達到93.7%,超過同期全國人口的互聯網普及率36個百分點。
鄭寧說:“兒童的判斷力和控制力較弱,所以對兒童的網絡信息保護有一定的特殊性。并且在實踐中,侵犯兒童個人信息的行為屢見不鮮,《規定》出臺恰逢其時。”
在中國勞動關系學院教授、安全與職業衛生工程研究所副所長任國友看來,《規定》是根據網絡安全法、未成年人保護法等法律法規制定的針對兒童個人信息保護的重要法律。
任國友分析稱,《規定》出臺的背景主要有三個:
一是互聯網時代兒童個人信息保護不力。兒童是國家發展的未來和希望,其認知能力、危險識別能力和自我保護能力相對薄弱,在網絡空間內容繁雜、違法違規收集使用個人信息問題層出不窮的形勢下,更要加強對兒童個人信息安全的保護。
二是互聯網時代兒童個人信息保護法律缺失。早在1991年9月4日,第七屆全國人民代表大會常務委員會第二十一次會議通過《中華人民共和國未成年人保護法》;2006年12月29日,第十屆全國人民代表大會常務委員會第二十五次會議第一次修訂通過及2012年10月26日第十一屆全國人民代表大會常務委員會第二十九次會議通過第二次修正。未成年人保護法的立法目的主要為了保護未成年人的身心健康,保障未成年人的合法權益,雖經歷兩次修改,但仍缺少互聯網時代兒童個人信息保護規定。《規定》則填補了互聯網時代兒童個人信息保護的法律空白。
三是開展前期試點及全面推行青少年防沉迷系統。今年5月28日,國家網信辦在前期試點3家小視頻平臺上線青少年防沉迷系統的基礎上,統籌指導14家短視頻平臺和4家網絡視頻平臺統一上線青少年防沉迷系統,青少年防沉迷系統得以全面推行。在網絡安全法和未成年人保護法基礎上制定的《規定》,結合青少年防沉迷系統的全面推行,能夠更好地保護兒童的健康成長,維護兒童在網絡空間的合法權益。
嚴格設定訪問權限
采用加密保護措施
《規定》全文共29條,其中有哪些亮點?
任國友分析稱,其亮點主要表現在四個方面:
第一,為兒童個人信息提供全生命周期的保護。明確了任何組織和個人不得制作、發布、傳播侵害兒童個人信息安全的信息,確定了兒童個人信息網絡保護的具體原則,以及網信部門和其他有關部門的監管職責。
第二,明確了兒童個人信息保護的原則。在網絡安全法明確收集使用個人信息應遵循“合法、正當、必要”原則的基礎上,進一步提出“知情同意、目的明確、安全保障、依法利用”的原則要求。
第三,明確了兒童個人信息保護的規則。從網絡運營者設置專門的兒童信息保護規則、用戶協議來看,專門的兒童個人信息保護規則在《信息安全技術個人信息安全規范(征求意見稿)》已有相關規定,專門適用于兒童的用戶協議則為首次提出。
第四,明確了使用兒童個人信息的范圍。從范圍限制看,沿用了網絡安全法第四十一條的思路,結合《數據安全管理辦法(征求意見稿)》第二十二條規定,明確使用兒童個人信息的范圍限制。網絡安全法第四十一條規定,網絡運營者不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息。《數據安全管理辦法(征求意見稿)》第二十二條規定,網絡運營者不得違反收集使用規則使用個人信息。《規定》對使用兒童個人信息保護的范圍限制,與前述條款思路基本一致。
在鄭寧看來,《規定》體現了對兒童個人信息權的嚴格保護理念。她認為《規定》的亮點主要有六個方面:一是要求網絡運營者制定專門的兒童個人信息保護規則和用戶協議,并需要網絡運營者指定專人來負責兒童個人信息保護工作;二是明確了征求同意過程中,應當同時提供拒絕選項;三是要求存儲兒童個人信息時,應當采用加密等措施;四是規定網絡運營者應當把控內部管理流程,嚴格設定內部信息訪問權限和兒童個人信息知悉范圍;五是要求委托第三方處理兒童個人信息時,應當進行安全評估,確定委托范圍和相應權利責任;六是對刪除權、數據泄露通知等制度作了細致要求。
營造安全網絡環境
守護兒童健康成長
談到《規定》出臺的意義,鄭寧說:“進一步充實了我國兒童個人信息網絡保護的法律依據,標志著我國兒童個人信息保護工作進入了一個新的階段。”
任國友則認為,《規定》出臺主要有三個方面的意義:
一是有利于督促網絡運營者做好兒童個人信息保護的相關工作。長期以來,我國高度重視對青少年合法權益的保護,積極受理處置侵犯兒童姓名權、肖像權、名譽權和隱私權的有害信息。《規定》的出臺為進一步壓實企業責任、暢通舉報渠道提供了法律依據,可更好地督促各網絡運營者做好兒童個人信息保護的相關工作。
二是有利于全社會信用制度的建設。《規定》第二十四條規定,網絡運營者落實兒童個人信息安全管理責任不到位,存在較大安全風險或者發生安全事件的,由國家互聯網信息辦公室依法進行約談,網絡運營者應當按照約談要求及時采取措施,進行整改,消除隱患。這是網絡安全法第五十六條內容的升級版。一方面將監管的主體從“省級以上人民政府有關部門”直接提升至“國家互聯網信息辦公室”,監管主體層級大幅提升,顯示出國家對于兒童個人信息安全的重視;另一方面,網絡運營者對約談的反饋更嚴格,從“應當按照要求采取措施,進行整改,消除隱患”提升至“應當按照約談要求及時采取措施,進行整改,消除隱患”,新增了對網絡運營者反饋的及時性要求,這將有利于全社會信用制度的建設。
三是為兒童健康成長營造安全的網絡環境。通過《規定》的宣傳普法,進一步推動廣大網民關注兒童個人信息網絡保護,全社會共同努力,為兒童健康成長營造安全的網絡環境。
“總之,《規定》首次系統地規定了兒童個人信息網絡保護的要求,相較于14周歲以上的未成年人和成年人,其各項要求均更加嚴格,有利于更有效地保護兒童在網絡空間的合法權益。作為網絡安全和個人信息保護方面的重點立法之一,《規定》的出臺將積極推動相關部門聯動配合,在《規定》的指引下開展兒童個人信息保護的執法工作。”任國友說。
鄭寧則補充說,《規定》實施后,各方主體都要進行相應的調整。
“首先,在政府監管方面,要加強監督檢查、接受舉報,信用檔案公示;其次,網絡運營者對兒童個人信息的收集、存儲、使用、轉移、披露全流程加強保護,完善內部規章制度,并指派專人負責兒童信息保護;第三,監護人應主動學習網絡安全知識,具備基本的網絡保護能力;最后,互聯網行業組織指導推動網絡運營者制定兒童個人信息保護的行業規范、行為準則等,加強行業自律。”鄭寧說。