個保法系列解讀 | 觸網(wǎng)低齡化,兒童個人信息如何保護(hù)?
正式實施的《個人信息保護(hù)法》(以下簡稱“《個保法》”)已經(jīng)成為各類個人信息處理者的基本行為規(guī)范。為了幫助企業(yè)更好地了解《個保法》的合規(guī)要求,TalkingData法務(wù)合規(guī)部特別撰寫系列文章,解析重點議題與對應(yīng)法條,并對企業(yè)實踐情況進(jìn)行調(diào)研,供相關(guān)從業(yè)者參考。
兒童作為一類特別需要保護(hù)的群體,《個保法》對處理兒童個人信息的行為提出了更嚴(yán)格的要求,將不滿十四周歲未成年人的個人信息規(guī)定為敏感個人信息,并要求相關(guān)企業(yè)對此制定專門的個人信息處理規(guī)則。本篇文章將結(jié)合《個保法》與《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》(以下簡稱“《規(guī)定》”)的內(nèi)容,對兒童個人信息保護(hù)進(jìn)行深入解讀。
一、兒童個人信息保護(hù)
1.什么是兒童?
《個保法》也指出不滿十四周歲未成年人應(yīng)進(jìn)行特殊的保護(hù),《規(guī)定》進(jìn)一步將此類主體定義為兒童,此年齡界限參考了《刑法》中對刑事責(zé)任年齡的劃分標(biāo)準(zhǔn),因為《刑法》規(guī)定不滿十四周歲的人無論實施何種危害行為都不負(fù)刑事責(zé)任。一般十四周歲以下未成年人自我保護(hù)能力較弱,個人信息一旦遭到不法者利用,可能導(dǎo)致極為嚴(yán)重的后果,所以需要立法給予特殊的保護(hù)。但是世界各國對于兒童的年齡界定并不相同,美國的《兒童在線隱私保護(hù)法案》設(shè)置的年齡線為十三周歲,歐盟則在GDPR中規(guī)定以十六周歲為限,各成員國也可以自行設(shè)定年齡線,但是不能低于十三周歲。
2.兒童個人信息是敏感個人信息嗎?
《個保法》特別指出不滿十四周歲未成年人的個人信息屬于敏感個人信息,只有具備特定的目的和充分的必要性,并采取嚴(yán)格保護(hù)措施的情形下,才能處理敏感個人信息。
3.收集兒童個人信息前應(yīng)告知哪些內(nèi)容?
處理兒童個人信息的目的、方式和范圍;處理的個人信息種類;信息存儲的地點、期限和到期后的處理方式;信息的安全保障措施;拒絕的后果;個人行使法定權(quán)利的方式和程序,尤其是投訴、舉報的方式,以及更正、刪除信息的途徑;處理兒童個人信息的必要性以及對個人權(quán)益的影響,以及其他法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的事項。
4.收集兒童個人信息前應(yīng)如何獲取其監(jiān)護(hù)人的同意?
《個保法》要求處理兒童個人信息的,應(yīng)當(dāng)取得其父母或者其他監(jiān)護(hù)人的單獨同意。且在征得同意時,應(yīng)當(dāng)同時提供拒絕選項。《個保法》和《規(guī)定》均沒有對獲取監(jiān)護(hù)人同意的方式進(jìn)行細(xì)化規(guī)定,具體實現(xiàn)同意的方式可以借鑒由美國聯(lián)邦貿(mào)易委員會針對美國兒童在線隱私保護(hù)法案發(fā)布的《企業(yè)六步合規(guī)規(guī)則》中的內(nèi)容,例如監(jiān)護(hù)人簽署同意書并通過傳真,郵件或電子掃描等方式將其反饋;使用信用卡,借記卡或其他在線支付系統(tǒng)向賬戶持有人提供每筆單獨交易的通知;撥打由受過培訓(xùn)的公司接待員工的免費號碼等確保兒童監(jiān)護(hù)人同意的方式。
5.收集兒童個人信息前需要進(jìn)行個人信息影響評估嗎?
需要。《個保法》規(guī)定處理敏感個人信息者應(yīng)當(dāng)進(jìn)行事前個人信息保護(hù)影響評估,并對處理情況進(jìn)行記錄。重點評估兒童個人信息的處理目的、處理方式等是否合法、正當(dāng)、必要;對兒童個人權(quán)益的影響及安全風(fēng)險;所采取的保護(hù)措施是否合法、有效并與風(fēng)險程度相適應(yīng)。個人信息保護(hù)影響評估報告和處理情況記錄應(yīng)當(dāng)至少保存3年。具體的評估方式可參考TalkingData參與編寫的GB/T 39335-2020《信息安全技術(shù) 個人信息安全影響評估指南》。
6.收集兒童個人信息有什么特殊的合規(guī)要求?
結(jié)合《規(guī)定》和《個保法》的內(nèi)容,總結(jié)出如下合規(guī)要求:
合規(guī)要點 | 具體要求 |
收集 | 不得違反法律及行政法規(guī)規(guī)定和雙方約定的目的和范圍收集、使用兒童個人信息。因業(yè)務(wù)需要確需超出約定目的和使用范圍的,應(yīng)當(dāng)再次征得兒童監(jiān)護(hù)人同意。 |
儲存 | 期限:不得超過實現(xiàn)其收集、處理目的所必需的存儲期限。 技術(shù):采取加密等措施存儲兒童個人信息。 |
刪除 | 應(yīng)刪除情形: 目的:處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要;企業(yè)違反法律、行政法規(guī)規(guī)定或者雙方約定目的范圍;超出目的范圍或者必要期限收集、處理信息。 停止服務(wù):個人信息處理者停止提供產(chǎn)品或者服務(wù),或者保存期限已屆滿;兒童或者監(jiān)護(hù)人通過注銷方式終止使用企業(yè)提供的產(chǎn)品或者服務(wù)的。 撤回同意:監(jiān)護(hù)人撤回同意。 |
轉(zhuǎn)移 | 事前安全評估:向第三方轉(zhuǎn)移兒童個人信息應(yīng)自行或者委托第三方機構(gòu)進(jìn)行安全評估。 簽署數(shù)據(jù)處理協(xié)議:與第三方合作處理兒童個人信息的,應(yīng)當(dāng)通過簽署數(shù)據(jù)處理協(xié)議明確雙方責(zé)任、處理事項、處理期限、處理性質(zhì)和目的等兒童個人信息保護(hù)相關(guān)義務(wù),委托行為不得超出授權(quán)范圍。 |
組織管理 | 專門管理:指定專人負(fù)責(zé)兒童個人信息保護(hù);設(shè)置專門的兒童個人信息保護(hù)規(guī)則和用戶協(xié)議。 權(quán)限管理:以最小授權(quán)為原則,嚴(yán)格設(shè)定內(nèi)部信息訪問權(quán)限,控制兒童個人信息知悉范圍,記錄數(shù)據(jù)訪問情況。 權(quán)限審批:訪問兒童個人信息時應(yīng)當(dāng)經(jīng)過兒童個人信息保護(hù)負(fù)責(zé)人或者其授權(quán)的管理人員審批,記錄訪問情況,并采取技術(shù)措施,避免違法復(fù)制、下載兒童個人信息。 安全事件:當(dāng)發(fā)生兒童個人信息泄露、損毀、丟失等信息安全事件時,應(yīng)啟動應(yīng)急預(yù)案,立即向主管部門報告,并以任何可能方式向受影響的兒童及其監(jiān)護(hù)人告知。 |
二、企業(yè)實踐情況調(diào)研
《個保法》要求設(shè)置專門的個人信息處理規(guī)則,經(jīng)過調(diào)研Apple App Store前30免費App的隱私政策,所有的App都規(guī)定了兒童的個人信息處理規(guī)則,其中超過60%的App均在隱私政策中設(shè)置了單獨的兒童隱私保護(hù)政策。
*可關(guān)注本公眾號,發(fā)送關(guān)鍵詞「兒童信息保護(hù)」,獲取完整調(diào)研報告
約63%的App在隱私政策的兒童個人信息保護(hù)部分嵌入了單獨的兒童隱私保護(hù)政策鏈接,通過設(shè)置單獨的兒童隱私政策來闡述專門的處理規(guī)則,例如“微信”和“支付寶”,具體截圖如下:
微信隱私政策
支付寶隱私政策
其中“抖音”還特別設(shè)置了一個親子平臺,并在隱私政策中嵌入了《抖音親子平臺服務(wù)協(xié)議》的鏈接,其指出申請人可以向抖音提供申請資料(包括但不限于合法的身份證明、監(jiān)護(hù)人資格證明、抖音帳號、聯(lián)系方式等信息),抖音通過申請后,申請人可通過賬號登錄使用時長設(shè)置、青少年模式設(shè)置功能,對被綁定的未成年人的抖音賬號采取限制措施。當(dāng)被申請人年滿十八周歲后,服務(wù)自動終止。
約37%的App在隱私政策中披露關(guān)于兒童個人信息處理的專門規(guī)則,特別強調(diào)需要兒童的監(jiān)護(hù)人閱讀并同意隱私政策,例如“剪映”和“高德地圖”,具體截圖如下:
剪映
高德地圖
但是所有的App在初始化時只會單獨顯示隱私政策或同時展示隱私政策和兒童隱私政策,并要求用戶勾選同意,并沒有App會單獨顯示兒童隱私政策并要求勾選同意。
*可關(guān)注本公眾號,發(fā)送關(guān)鍵詞「兒童信息保護(hù)」,獲取完整調(diào)研報告
隨著觸網(wǎng)年齡的低齡化發(fā)展,兒童個人信息保護(hù)的問題一直備受關(guān)注,因此《個保法》特別規(guī)定了不滿14周歲未成年人的個人信息屬于敏感個人信息,此類個人信息的收集需要獲取單獨同意。TalkingData已在隱私政策中明確表示在知情的情況下,不會收集和使用兒童的數(shù)據(jù),會在嚴(yán)格遵守《個保法》的相關(guān)規(guī)定的基礎(chǔ)上積極推進(jìn)個人信息保護(hù)工作,完善公司內(nèi)部的合規(guī)體系。
推薦閱讀:
TalkingData——用數(shù)據(jù)說話
每天一篇好文章,歡迎分享關(guān)注
