《儿童个人信息网络保护规定》(以下简称《规定》),是我国在儿童个人信息网络保护方面制定的首部专门立法。《规定》的出台,标志着我国儿童个人信息网络保护进入新阶段,对我国儿童个人信息的保护工作具有重要意义。

儿童个人信息网络保护成为世界性议题

互联网给儿童提供了诸多正向价值,同时由于儿童的风险防范意识不足,个人信息保护等代表性问题也给儿童的互联网运用带来了世界性议题。目前世界各国对于儿童的个人信息保护都十分重视,美国、欧盟在内的多数国家或地区倾向于采取相较一般的个人信息保护更为严格的方式,也为我国相关规则的制定提供了一定借鉴。

美国是世界上最早关注儿童个人信息网络保护的国家之一,1998年通过了《儿童在线隐私保护法》(COPPA),此后陆续颁布了《COPPA实施细则》《六步合规计划》《遵守COPPA:常见问题解答》等官方文件,还在2013年对《COPPA实施细则》进行了修订。

欧盟2016年通过了《通用数据保护条例》(GDPR),相较1995年制定的《个人数据保护指令》(95指令)在第8条(信息社会服务中适用儿童同意的条件)作出了专门的原则性规定,同时在第6条(处理的合法性)、第12条(信息、交流与模式的透明性)、第40条(行为准则)、第57条(独立监管机构的任务)等部分进行了宣示性的强调,还在序言第38条、第71条表明基于用户画像的自动决策不应包含儿童,同时GDPR一般性的规定也适用于儿童。

世界各国儿童个人信息立法情况

在个人信息保护方面,采取分散立法的美国和采取统一立法的欧盟是当前最具代表性的两类立法模式,COPPA及GDPR作为两类立法模式的典型产物也是目前在世界范围内关于儿童个人信息网络保护影响力最大的法律制度。

(一)适用问题

在适用范围方面,美欧均体现了长臂性,即与本国产生了一定限度的关联后便受相关法的管辖。美国针对的是两类情形,对于面向一般大众的用户的运营者需实际知情自身在收集儿童个人信息才受COPPA的规制,此外无论是外国网站和在线服务运营者收集美国儿童的个人信息还是美国网站和在线服务运营者收集外国儿童的个人信息均在适用范围内。欧盟的GDPR并非专门适用于儿童,但作为通用性质的数据保护立法,同样适用于欧盟儿童,因此为欧盟儿童提供商品或服务的外国数据控制者或处理者也落入GDPR的管辖范围。

在年龄划分方面,当前各国在收集儿童的个人信息方面均额外加强了保护,适用特殊的监护人同意规则,但是对于年龄界限的划分各不相同,并且整体上类似美欧的规定,即对年龄的划分集中在13至16周岁区间。

(二)征得同意

在监护人同意方面,美国对同意的认定标准、方法、程序都作出详细的规定,称为可验证的父母同意,同时详尽地列举了征得同意的例外情形。

在身份识别方面,对儿童及监护人身份的识别是对儿童个人信息网络保护的前提,也是一直以来的世界互联网治理难题。美欧未明确网络实名制的要求,依赖于事后处罚倒逼企业自身采取手段履行合规义务。

(三)权利保护

在权利保护方面,欧盟GDPR对数据主体的权利行使作出最为全面的规定,欧盟的赋权性条款对儿童及成人普遍适用。

(四)企业义务

在企业义务方面,欧盟在透明性要求、企业安全义务、个人信息泄露通知义务等方面规定的比美国更为细致。美国在企业安全义务方面仅强调了机密性、安全性和完整性,但在实际执法中,就该条文的内涵外延,FTC解释空间较大,执法尺度也存在不确定性。

我国儿童个人信息网络保护进入新阶段

(一)强化立法保护是应有之义

当前加强儿童个人信息网络保护才能更好地回应现实需要。技术进步和产业发展提速推动儿童触网更加普遍,而我国儿童个人信息网络保护机制尚不健全,滥采滥用儿童个人信息情况严重,网络空间安全威胁和风险也日益突出,儿童的权益保障有待加强。社会各界对加强儿童的个人信息保护形成广泛共识和呼声,在此形势下《规定》率先出台,划分了儿童年龄,强化了我国对儿童个人信息网络保护的力度,顺应了国际社会的普遍趋势。

(二)立足本土实际具有中国特色

《规定》解决了我国现实中面临的儿童个人信息网络保护无专门立法可依的实际问题,一方面在相关上位法的基础上,细化及强化了专门针对儿童个人信息的特殊保护,还参考了行业企业在实践中凝练出的相关标准与经验。此外,注重对美欧等国外立法、研究及实践经验的借鉴吸收,在征求意见的基础上对核心的制度设计凝聚成广泛共识,标志着具有中国特色的儿童个人信息网络保护的顶层设计方案正在逐步构建完善。

(三)提升保护水平

《规定》提升了我国儿童个人信息网络保护的水平,提高了我国互联网企业的法律合规意识,为我国在个人信息保护领域的国际规则制定方面赢得话语权也贡献了力量。《规定》不仅标志着我国国内的儿童个人信息网络保护水平进入新阶段,同时也标志着作为数字经济时代三足鼎立的中国、美国、欧盟,都对儿童的个人信息网络保护作出规定,其中形成共识的制度设计、权利保护、企业义务等势必将影响更多的国家携手加强儿童个人信息网络保护。对于身份识别、父母“同意疲劳”、可携带权的实际价值、儿童用户画像与营销广告等亟待研究的难点问题,还有赖国际社会未来共同探索解决。

(四)构建法律体系建长效机制

《规定》作为专门的部门规章,其出台对未成年人个人信息保护的整体法律体系构建具有重要意义。当前《民法典》人格权编二审稿草案强调了加强未成年人的个人信息保护,《个人信息保护法》《未成年人保护法》正在加紧推进起草或修订工作,行政法规层级的《未成年人网络保护条例》也正在有序审议。体系化的法律、法规与配套规定的出台及落地实施奠定了良好的前期基础,期待我国未成年人个人信息保护的法律体系的密网早日织就,长效保护机制水到渠成。(沈达:中国信息通信研究院互联网法律研究中心研究员)