序言
虽然距离《未成年人保护法》修订已过去两年时间,但关于未成年人在网络世界中的保护的热度只增不减,光今年上半年我国就陆续颁发了《未成年人网络保护条例(征求意见稿)》、《关于加强网络视听节目平台游戏直播管理的通知》、《关于规范网络直播打赏加强未成年人保护的意见》等众多与未成年人保护相关的法律文件。
在我国法律规定中有一类特殊的未成年人,叫做“儿童”,在“儿童”的年龄划分界限上,我国的“儿童”一般是指14周岁以下的未成年人,而域外部分国家则是指13周岁至16周岁之间的未成年人。如何在网络世界中有效核验儿童和其监护人的身份,并获取监护人的有效同意,属于全球范围内长期存在的普遍性难题。
本文主要分为上下两篇,分别介绍了国内外对于儿童监护人同意机制的重点法律条款及目前的行业实践情况,从儿童监护人同意机制的产品设计合规角度出发,探讨企业如何取得有效的儿童监护人的单独同意。
一、儿童监护人同意机制的国内外法律解读
(一)我国
我国《个人信息保护法》第31条[1]、《未成年人保护法》第72条[2]、《儿童个人信息网络保护规定》第9条[3]、《未成年人网络保护条例(征求意见稿)》第35条[4]以及《信息安全技术个人信息安全规范》第5.4条d项[5]均明文规定,处理儿童个人信息的,应当取得该儿童的父母或其他监护人的同意,虽然上述条款中并未说明此处的同意应为单独同意或是默示同意即可,但根据《个人信息保护法》对敏感个人信息的定义及获得同意的方式可知,不满14周岁的未成年的个人信息为敏感个人信息,而个人信息处理者处理敏感个人信息的,应当取得单独同意,故此处儿童监护人的“同意”,应为明示的、单独的同意。
遗憾的是,目前国内尚未有生效的法律法规、政策、标准等,对监护人同意机制的验证方式及单独同意的交互问题进行明确规定,仅有2020年发布的《信息安全技术个人信息告知同意指南》(征求意见稿)(以下简称《告知同意指南》),尝试对收集14周岁以下未成年人个人信息的告知同意机制进行设计,在儿童监护人同意机制上,《告知同意指南》主要从儿童及监护人的身份验证方式、告知及同意方式进行规定。
(1)儿童及监护人的身份验证
在儿童的身份验证方式上,《告知同意指南》在综合考虑不同的产品或服务在其受众群体上的本质差异的基础上,采取了不同强度的针对性的方式,具体如下表格:
当用户通过年龄验证机制被判定为14周岁以下的未成年人时,此时需要进一步核验监护人的身份并获取其单独同意:
(2)告知及同意方式
在监护人同意机制的告知及同意验证方式的选择上,《告知同意指南》将应用场景区分为产品界面仅具有单独面向儿童的应用界面,或额外为监护人提供了不同的身份验证的应用界面,设计了不同的验证方式:
(二)美国
一向对于个人信息及数据保护持较为开放态度的美国,却在1995年的《儿童在线隐私保护法案》(Children’s Online Privacy Protection Act, 以下简称COPPA)中率先对儿童的相关网络权利进行试水,并于2000年出台了COPPA细则(后续于2013年进行了修订),美国联邦贸易委员会(FTC)后又陆续制定了《儿童在线隐私保护合规指南:企业合规计划六步骤》(Children’s Online Privacy Protection Rule: A Six-Step Compliance Plan for Your Business)(以下简称《合规指南》)和《关于遵守COPPA的常见问题》(Complying with COPPA: Frequently Asked Questions),对 COPPA相关制度建设和执法实践进行了一定程序的细化与落实。
上述提及的《合规指南》采取了较为开放友好的方式,即授权企业采取当前技术所能实现的的验证方式,来自行设计儿童监护人同意机制,该份《合规指南》列举了以下几种经过FTC审查通过的监护人身份核验方式:
*让监护人签署同意书,并通过传真、电子邮件或电子扫描的方式发送给企业;
*使用信用卡、借记卡或其他在线支付系统向账户所有人发送每笔交易的通知;
*由监护人拨打由经过专业培训的人员接听的免费电话;
*由监护人通过视频方式与经专业过培训的人员进行联系;
*由监护人提供官方身份证明文件副本;
*由监护人进行儿童智力不能有效回答的作题挑战;
*通过人脸识别技术验证比对监护人的主动提交的驾照照片或其他身份证件照片等信息。
(三)欧盟
欧盟《一般数据保护条例》(GDPR)对于儿童个人信息保护中的监护人同意机制仅有原则性的条款,GDPR第8条将16周岁作为划分儿童年龄的分水岭,同时赋予成员国自行设定儿童年龄的自由裁量权,但不得低于13周岁。该条款要求只有在获得儿童监护人的同意或授权的前提下,才能处理该儿童的个人信息。对于如何建立儿童监护人同意机制,GDPR并未就此给出落地的合规方案,仅是以“现有技术水平”(available technology)及“合理努力”(reasonable efforts)要求个人信息处理者核实相关同意是否由儿童监护人作出。
2018年,第29条工作组(以下简称w29小组)发布了《对第2016/679号条例(GDPR)下同意的解释指南》(以下简称《解释指南》),《解释指南》第7.1条对GDPR第8条项下的儿童监护人同意的原则性条款进行了细化,对儿童的年龄验证及监护人同意的验证均有所提及,数据控制者首先需验证用户的年龄是否为儿童,若用户声明其已达到作出单独在线同意的年龄,则仍需采取适当措施验证该声明是否为真;若用户年龄未达到标准,则需进一步获取该儿童用户监护人的单独同意,并验证提供该同意的人是其监护人。
在验证监护人同意的方法选择上,w29小组建议采用比例法(proportionate approach)以获取有限的监护人个人信息(如监护人的联系方式)来达到验证目的。具体来说,可根据现有技术情况及风险等级的差异,来决定采用何种验证监护人同意的方式以及收集哪些信息,《解释指南》以在线游戏平台为例,诠释了如何获得儿童用户的监护人同意的步骤,即当用户通过年龄验证机制被判定为儿童时,需向其告知在提供服务前需要获得其监护人的单独同意,儿童可提供其监护人的电子邮箱地址,数据控制者通过提供的邮箱地址与该用户的监护人进行联系并获取同意。
(四)小结
(1)产品适用场景的差异
企业运营的互联网产品是否需要设置监护人同意机制,需要根据该互联网产品所针对的适用人群进行分类,与我国的《告知同意指南》相比,FTC的《合规指南》中的适用场景更为细化与具体,对于其他目标人群为普通用户但可能会涉及儿童个人信息的产品更具有可参考性,主要分为:
*产品的受众人群主要为13周岁以下的未成年人,并且直接向其收集个人信息;
*产品的受众人群主要为13周岁以下的未成年人,但让其他主体向其收集个人信息;
*产品的受众人群为普通用户,但个人信息处理者明知会收集13周岁以下未成年人个人信息;
*产品主要为广告或插件,但个人信息处理者明知该广告或插件所提供服务的目标产品的用户处收集13周岁以下未成年人个人信息。
(2)验证同意方法的差异
值得注意的是,我国《告知同意指南》中建议将短信及电子邮件验证作为获取监护人同意的一种核验方式,即当判断用户为儿童后,在应用页面通过让该儿童输入监护人的手机号码的方式,将验证监护人身份的内容发送至监护人的手机上,监护人可通过回复特定字段以表示是否为该未成年人的监护人。该种验证同意的方法与w29小组的《解释指南》中的示例较为相似,但FTC 对此种验证方式持反对意见,在FTC网站上公开的验证监护人同意方式中,FTC拒绝了AgeCheq公司提出的基于移动设备发送验证代码来验证是否是监护人的方法,审查员认为此种验证方式将监护人可实际控制儿童的移动设备为前提,但实际情况很有可能是儿童自己在相关页面提交了监护人的姓名、电子邮件或手机号码,并且可轻易的使用自己控制的移动设备发送相关验证代码,最终FTC驳回了AgeCheq公司提出的此种可验证监护人同意的方法。
1.《个人信息保护法》第31条规定:“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。”
2.《未成年人保护法》第72条规定:“处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。”
3.《儿童个人信息网络保护规定》第9条规定:“网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。”
4.2022年3月14日《未成年人网络保护条例(征求意见稿)》第35条第1款规定:“个人信息处理者基于个人同意处理不满十四周岁未成年人个人信息的,应当取得未成年人的监护人同意。”
5.《信息安全技术个人信息安全规范》第5.4条“收集个人信息时的授权同意”:“收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意”。
虽然距离《未成年人保护法》修订已过去两年时间,但关于未成年人在网络世界中的保护的热度只增不减,光今年上半年我国就陆续颁发了《未成年人网络保护条例(征求意见稿)》、《关于加强网络视听节目平台游戏直播管理的通知》、《关于规范网络直播打赏加强未成年人保护的意见》等众多与未成年人保护相关的法律文件。
在我国法律规定中有一类特殊的未成年人,叫做“儿童”,在“儿童”的年龄划分界限上,我国的“儿童”一般是指14周岁以下的未成年人,而域外部分国家则是指13周岁至16周岁之间的未成年人。如何在网络世界中有效核验儿童和其监护人的身份,并获取监护人的有效同意,属于全球范围内长期存在的普遍性难题。
本文主要分为上下两篇,分别介绍了国内外对于儿童监护人同意机制的重点法律条款及目前的行业实践情况,从儿童监护人同意机制的产品设计合规角度出发,探讨企业如何取得有效的儿童监护人的单独同意。
一、儿童监护人同意机制的国内外法律解读
(一)我国
我国《个人信息保护法》第31条[1]、《未成年人保护法》第72条[2]、《儿童个人信息网络保护规定》第9条[3]、《未成年人网络保护条例(征求意见稿)》第35条[4]以及《信息安全技术个人信息安全规范》第5.4条d项[5]均明文规定,处理儿童个人信息的,应当取得该儿童的父母或其他监护人的同意,虽然上述条款中并未说明此处的同意应为单独同意或是默示同意即可,但根据《个人信息保护法》对敏感个人信息的定义及获得同意的方式可知,不满14周岁的未成年的个人信息为敏感个人信息,而个人信息处理者处理敏感个人信息的,应当取得单独同意,故此处儿童监护人的“同意”,应为明示的、单独的同意。
遗憾的是,目前国内尚未有生效的法律法规、政策、标准等,对监护人同意机制的验证方式及单独同意的交互问题进行明确规定,仅有2020年发布的《信息安全技术个人信息告知同意指南》(征求意见稿)(以下简称《告知同意指南》),尝试对收集14周岁以下未成年人个人信息的告知同意机制进行设计,在儿童监护人同意机制上,《告知同意指南》主要从儿童及监护人的身份验证方式、告知及同意方式进行规定。
(1)儿童及监护人的身份验证
在儿童的身份验证方式上,《告知同意指南》在综合考虑不同的产品或服务在其受众群体上的本质差异的基础上,采取了不同强度的针对性的方式,具体如下表格:
| 产品类型 | 核验方式 |
| 不以儿童为主要受众群体的互联网产品 | 例如租房APP、各类手机银行APP等,可采取较弱的核验方式对用户进行身份核实,如在用户协议及隐私政策中强调推定其为具有完全民事行为能力的个人,如果为儿童,则必须在其父母或监护人的同意及监督下使用,通常来说即为较为合规的方式。 |
| 以儿童为主要受众群体的互联网产品 | 如青少年在线教育、较为简单的针对儿童的益智游戏等,此时需要设置较为严格的身份验证机制,例如要求个人信息主体输入生日信息(精确到年月日)、身份证号,或采取其他合理的方式进行身份验证,但上述措施不应超过必要限度(例如不应要求儿童上传其手持身份证的照片)。 |
当用户通过年龄验证机制被判定为14周岁以下的未成年人时,此时需要进一步核验监护人的身份并获取其单独同意:
| 产品类型 | 核验方式 |
| 终端或应用仅单独面向儿童 | 可采取短信验证、电话验证、电子邮件验证等合理措施进行验证。 例如在应用页面通过让该儿童输入监护人的手机号码的方式,将验证监护人身份的内容发送至监护人的手机上,监护人可通过回复特定字段以表示是否为该儿童的监护人。 |
| 为儿童和监护人提供了不同终端或应用界面 | 核验的方式可直接在监护人终端或应用界面中完成。 例如在儿童的终端或应用界面提示为满足国家有关儿童个人信息保护的要求,需要该儿童将有关产品或服务的个人信息使用规则等信息告知其监护人,此时可在该儿童的终端或应用界面上生成用于分享给其监护人的超链接或二维码。儿童可分享超链接或二维码至其监护人,其监护人打开该超链接或扫一扫该二维码之后可以下载或进入监护人专门的终端或应用,该监护人可在该终端或应用界面上确认其是否为该未成年人的监护人。 |
(2)告知及同意方式
在监护人同意机制的告知及同意验证方式的选择上,《告知同意指南》将应用场景区分为产品界面仅具有单独面向儿童的应用界面,或额外为监护人提供了不同的身份验证的应用界面,设计了不同的验证方式:
| 产品 类型 场景及示例 | 产品仅具有单独面向儿童的终端或应用界面 | 产品为儿童和监护人提供了不同终端或应用界面 |
| 告知方式 | 采用儿童可理解的方式进行告知,并在协议或交互界面中重点说明收集、使用儿童信息的情况和敏感性; 可参考身份核验的合理措施向其监护人进行告知,即在核验其为儿童身份后,继续核验其监护人身份时,可将相关需要告知的信息采用短信、电子邮件的方式向其监护人告知。 | 儿童端可以通过简明、易于理解的形式展示其在使用产品过程中可能遇到的个人信息问题,并加以注意; 监护人端可以通过弹窗、提示框、文字说明等形式详细说明儿童信息收集、使用的情况,并重点提示儿童人个人信息的敏感性。 |
| 示例 | 内容可参照:尊敬的家长您好!这里是xxxx,根据国家有关未成年人个人信息保护的要求,收集使用年满14周岁的未成年人的个人信息前,宜向该未成年人或其监护人告知个人信息使用规则等信息,并征得该未成年人或其监护人的明示同意;收集不满14周岁的未成年人的个人信息前,应向该未成年人的监护人告知个人信息使用规则等信息,并征得其监护人的明示同意。您的孩子正在试图使用我们提供的xxxx产品或服务,有关该产品或服务的个人信息使用规则等信息请您点击xxxx(超链接方式)进行了解。 | 在儿童的终端或应用界面提示为满足国家有关未成年人个人信息保护的要求,需要该儿童将有关产品或服务的个人信息使用规则等信息告知其监护人,此时该儿童的终端或应用界面上已生成用于分享给其监护人的超链接或二维码。 儿童可分享超链接或二维码至其监护人,其监护人打开该超链接或扫一扫该二维码之后可以下载或进入监护人专门的终端或应用,该监护人可在该终端或应用界面上查询相应需要告知的内容。 |
| 同意方式 | 可参考向儿童的监护人进行告知的方式,并在告知时同时征求监护人的同意,即在将相关需要告知的信息采用短信、电子邮件的方式向其监护人告知时同时提供同意和拒绝的选项。 | 可在向监护人告知个人信息使用规则等信息时同时征求监护人的同意。 |
| 示例 | 内容可参照:尊敬的家长您好!……(具体内容如上示例内容)有关该产品或服务的个人信息使用规则等信息请您点击xxxxx(超链接方式)进行了解。若您同意您的孩子使用该产品或服务,请回复“TY”,若不是请回复“NO”。本条短信5分钟内容有效。 | 例如在监护人端通过弹窗展示授权页面,让监护人选择“同意”或“拒绝”。 |
(二)美国
一向对于个人信息及数据保护持较为开放态度的美国,却在1995年的《儿童在线隐私保护法案》(Children’s Online Privacy Protection Act, 以下简称COPPA)中率先对儿童的相关网络权利进行试水,并于2000年出台了COPPA细则(后续于2013年进行了修订),美国联邦贸易委员会(FTC)后又陆续制定了《儿童在线隐私保护合规指南:企业合规计划六步骤》(Children’s Online Privacy Protection Rule: A Six-Step Compliance Plan for Your Business)(以下简称《合规指南》)和《关于遵守COPPA的常见问题》(Complying with COPPA: Frequently Asked Questions),对 COPPA相关制度建设和执法实践进行了一定程序的细化与落实。
上述提及的《合规指南》采取了较为开放友好的方式,即授权企业采取当前技术所能实现的的验证方式,来自行设计儿童监护人同意机制,该份《合规指南》列举了以下几种经过FTC审查通过的监护人身份核验方式:
*让监护人签署同意书,并通过传真、电子邮件或电子扫描的方式发送给企业;
*使用信用卡、借记卡或其他在线支付系统向账户所有人发送每笔交易的通知;
*由监护人拨打由经过专业培训的人员接听的免费电话;
*由监护人通过视频方式与经专业过培训的人员进行联系;
*由监护人提供官方身份证明文件副本;
*由监护人进行儿童智力不能有效回答的作题挑战;
*通过人脸识别技术验证比对监护人的主动提交的驾照照片或其他身份证件照片等信息。
(三)欧盟
欧盟《一般数据保护条例》(GDPR)对于儿童个人信息保护中的监护人同意机制仅有原则性的条款,GDPR第8条将16周岁作为划分儿童年龄的分水岭,同时赋予成员国自行设定儿童年龄的自由裁量权,但不得低于13周岁。该条款要求只有在获得儿童监护人的同意或授权的前提下,才能处理该儿童的个人信息。对于如何建立儿童监护人同意机制,GDPR并未就此给出落地的合规方案,仅是以“现有技术水平”(available technology)及“合理努力”(reasonable efforts)要求个人信息处理者核实相关同意是否由儿童监护人作出。
2018年,第29条工作组(以下简称w29小组)发布了《对第2016/679号条例(GDPR)下同意的解释指南》(以下简称《解释指南》),《解释指南》第7.1条对GDPR第8条项下的儿童监护人同意的原则性条款进行了细化,对儿童的年龄验证及监护人同意的验证均有所提及,数据控制者首先需验证用户的年龄是否为儿童,若用户声明其已达到作出单独在线同意的年龄,则仍需采取适当措施验证该声明是否为真;若用户年龄未达到标准,则需进一步获取该儿童用户监护人的单独同意,并验证提供该同意的人是其监护人。
在验证监护人同意的方法选择上,w29小组建议采用比例法(proportionate approach)以获取有限的监护人个人信息(如监护人的联系方式)来达到验证目的。具体来说,可根据现有技术情况及风险等级的差异,来决定采用何种验证监护人同意的方式以及收集哪些信息,《解释指南》以在线游戏平台为例,诠释了如何获得儿童用户的监护人同意的步骤,即当用户通过年龄验证机制被判定为儿童时,需向其告知在提供服务前需要获得其监护人的单独同意,儿童可提供其监护人的电子邮箱地址,数据控制者通过提供的邮箱地址与该用户的监护人进行联系并获取同意。
(四)小结
(1)产品适用场景的差异
企业运营的互联网产品是否需要设置监护人同意机制,需要根据该互联网产品所针对的适用人群进行分类,与我国的《告知同意指南》相比,FTC的《合规指南》中的适用场景更为细化与具体,对于其他目标人群为普通用户但可能会涉及儿童个人信息的产品更具有可参考性,主要分为:
*产品的受众人群主要为13周岁以下的未成年人,并且直接向其收集个人信息;
*产品的受众人群主要为13周岁以下的未成年人,但让其他主体向其收集个人信息;
*产品的受众人群为普通用户,但个人信息处理者明知会收集13周岁以下未成年人个人信息;
*产品主要为广告或插件,但个人信息处理者明知该广告或插件所提供服务的目标产品的用户处收集13周岁以下未成年人个人信息。
(2)验证同意方法的差异
值得注意的是,我国《告知同意指南》中建议将短信及电子邮件验证作为获取监护人同意的一种核验方式,即当判断用户为儿童后,在应用页面通过让该儿童输入监护人的手机号码的方式,将验证监护人身份的内容发送至监护人的手机上,监护人可通过回复特定字段以表示是否为该未成年人的监护人。该种验证同意的方法与w29小组的《解释指南》中的示例较为相似,但FTC 对此种验证方式持反对意见,在FTC网站上公开的验证监护人同意方式中,FTC拒绝了AgeCheq公司提出的基于移动设备发送验证代码来验证是否是监护人的方法,审查员认为此种验证方式将监护人可实际控制儿童的移动设备为前提,但实际情况很有可能是儿童自己在相关页面提交了监护人的姓名、电子邮件或手机号码,并且可轻易的使用自己控制的移动设备发送相关验证代码,最终FTC驳回了AgeCheq公司提出的此种可验证监护人同意的方法。
1.《个人信息保护法》第31条规定:“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。”
2.《未成年人保护法》第72条规定:“处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。”
3.《儿童个人信息网络保护规定》第9条规定:“网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。”
4.2022年3月14日《未成年人网络保护条例(征求意见稿)》第35条第1款规定:“个人信息处理者基于个人同意处理不满十四周岁未成年人个人信息的,应当取得未成年人的监护人同意。”
5.《信息安全技术个人信息安全规范》第5.4条“收集个人信息时的授权同意”:“收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意”。
