编者按
国家互联网信息办公室早在2016年9月就《未成年人网络保护条例(草案征求意见稿)》公开征求意见。经历了7年共3次征求意见的过程,《未成年人网络保护条例》于2023年10月24日正式出台,并将于2024年1月1日开始实施。
当前,互联网技术的快速发展和移动智能终端设备广泛普及,未成年人已成为网络空间的重要主体。但网络是把双刃剑,在飞速拓展未成年人学习、生活空间的同时,也隐藏着违法/不良信息侵害、个人信息泄露、网络沉迷、网络暴力等诸多风险。对企业而言,应在该新规正式生效前及时排查涉及到的合规义务,进行整改及更新,及时降低自身可能的违规风险,并继续密切关注在未成年人网络保护方面的立法司法及监管动态,不断完善自身合规体制。
针对以上实务难点,本文将深入解读并分享解决方案。期待读者朋友们能够有所收获!
一、我国未成年人网络保护现状及法规标准体系
( 一) 我国未成年人网络保护现状及问题
1、立法保护
我国关于未成年人网络保护相关的法律法规及部门规章从数量上已经初具规模,对未成年人的网络保护立法已基本成体系。
虽然有这么多的法律法规,但是实际执行可能会存在一些落地难的问题。在执行过程中存在漏洞,一些违法行为难以及时发现和制止。
2、司法保护
近年来,人民法院和人民检察院逐渐加大对未成年人网络相关权益的司法保护力度并发布典型案例。2022年检察机关共立案9700件未保公益诉讼案件。
虽然司法机关在打击侵害未成年人网络权益的行为上有所行动,但由于网络的匿名性、跨地域性等特点,相关打击力度依然不够。
3、行政保护
国家网信办及各地文旅等部门的专项执法及行政处罚持续不断。
但法律法规落地执行和监督难,行政执法部门众多、各部门权责不清、执法标准不统一、执法过程存在漏洞,导致一些违法行为难以及时发现和制止。
4、技术保护
各大互联网企业不断加强技术手段,推出了一系列未成年人保护功能,如防沉迷系统、青少年模式等。
但现有的技术手段仍有局限性,比如无法完全防止未成年人接触不良信息、难以有效识别未成年人身份等。
5、社会保护
社会各界也在积极参与未成年人网络保护工作,如开展网络安全教育、成立未成年人网络保护组织等。
但社会各界对未成年人网络保护的重视程度仍然不够,缺乏足够的保护力量和资源,家长缺乏有效监管,学校等机构缺乏系统的网络素养教育。
(二)我国未成年人网络保护法规及标准体系
1、法律/行政法规/司法解释
包括有《民法典》、《未成年人保护法》、《未成年人网络保护条例》、《个人信息保护法》、《网络安全法》、《广告法》、《预防未成年人犯罪法》、《家庭教育促进法》、《出版管理条例》、《互联网上网服务营业场所管理条例》、《最高人民法院最高人民检察院公安部关于依法惩治网络暴力违法犯罪的指导意见》、《最高人民检察院关于加强新时代未成年人检察工作的意见》、《关于办理强奸、猥亵未成年人刑事案件适用法律若干问题的解释》等。
2、部门规章/规范性文件
包括有《儿童个人信息网络保护规定》、《未成年人节目管理规定》、《网络出版服务管理规定》、《网络信息内容生态治理规定》、《互联网信息服务算法推荐管理规定》、《生成式人工智能服务管理暂行办法》、《关于加强网络直播规范管理工作的指导意见》、《国家新闻出版署关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》、《关于进一步加强预防中小学生沉迷网络游戏管理工作的通知》、《文化和旅游部办公厅关于加强网络文化市场未成年人保护工作的意见》、《关于规范网络直打赏加强未成年人保护的意见》等。
3、国家标准/行业标准/团体标准
包括有《信息安全技术未成年人移动终端保护产品测评准则》、《未成年人互联网不健康内容分类与代码》、《儿童手表》、《移动终端未成年保护技术要求》、《移动终端未成年保护测试方法》、《受监护侵害未成年人保护工作指引》、《互联网企业未成年人网络保护管理体系》、《面向网络内容的未成年人不适龄提醒测评指南》、《网络运营者针对未成年人的有害信息防治体系建设框架》、《儿童智能手表个人信息和权益保护指南》(征求意见)、《电信网和互联网未成年人个人信息保护指南》(待发布)、《智能移动终端未成年人保护通用规范》(审查中)、《未成年人网络游戏服务消费管理要求》(研制中)等。
(三)加强未成年人网络保护的必要性和重要性
从外部宏观层面来看,未成年人作为家庭的希望和国家的未来,在国家法规政策的规制以及监管部门执法压力之下,加强未成年人网络保护受强大的外部压力驱动;从企业内部层面来看,加强未成年人网络保护是企业在涉及未成年人纠纷时所面临的法律责任限制的必然要求,也是企业承担社会责任和加强ESG建设的体现,更是有助于企业提升自身的品牌声誉。
二、未成年人网络保护新规企业合规要点及解读
(一)新规制定背景
2023年6月,我国未成年网民规模已达1.91亿,未成年人的互联网普及率达到96.8%,明显高于同期全国人口76.4%的互联网普及率。互联网在拓展未成年人学习、生活空间的同时,也带来了一些问题,如未成年人安全合理使用网络的意识和能力不强网上违法和不良信息影响未成年人身心健康、未成年人个人信息被滥采滥用、一些未成年人沉迷网络等,亟待通过立法加以解决。
(二)新规制定历程
2016年9月30日,国家网信办颁布《未成年人网络保护条例(草案征求意见)》(共36条)。
2017年1月6日,国务院法制办公室颁布《未成年人网络保护条例(送审稿)》公开征求意见(共36条)。
2022年3月14日,国家网信办就《未成年人网络保护条例(征求意见稿)再次征求意见(共67条)。
2023年10月16日,国务院正式发布《未成年人网络保护条例》(共60条),作为我国首部专门关于未成年人网络保护的行政法规,将于2024年1月1日起正式生效实施。
(三)新规要点及解读
1、特别强调四大类主体的合规
四大类主体分别为:网络产品和服务提供者、个人信息处理者、智能终端产品制造者、智能终端产品销售者。
具体要求是:
(1)遵守法律、行政法规和国家有关规定尊重社会公德,遵守商业道德,诚实信用履行未成年人网络保护义务,承担社会责任;
(2)接受政府和社会的监督,配合有关部门依法实施涉及未成年人网络保护工作的监督检查;
(3)建立便捷、合理、有效的投诉、举报渠道,通过显著方式公布投诉、举报途径和方法;
(4)及时受理并处理公众投诉、举报。
2、促进网络素养提升的合规
对于产品功能的要求:
(1) 未成年人网络保护软件、专门供未成年人使用的智能终端产品
a.应当具有有效识别违法信息和可能影响未成年人身心健康的信息、保护未成年人个人信息权益、预防未成年人沉迷网络、便于监护人履行监护职责等功能。
b.建议关注后续国家网信办和国务院有关部门制定的未成年人网络保护软件、专门供未成年人使用的智能终端产品的相关技术标准或者要求,按相关标准要求设置功能,并对使用效果进行自评估。
(2) 智能终端产品制造者
应当在产品出厂前安装未成年人网络保护软件,或者采用显著方式告知用户安装渠道和方法。
(3) 智能终端产品销售者
在产品销售前应当采用显著方式告知用户安装未成年人网络保护软件的情况以及安装渠道和方法。
对于中大型互联网企业的合规要求:
中大型互联网企业,即未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者。关于用户数量巨大或者对未成年人群体具有显著影响的具体认定办法由国家网信部门会同有关部门另行制定,相关企业应密切关注。对于中大型互联网企业的具体合规要求如下:
(1) 网络平台服务设计、研发、运营等阶段充分考虑未成年人身心健康发展特点,定期开展未成年人网络保护影响评估。注意定期开展未成年人网络保护影响评估与个人信息保护影响评估(PIA)之间的交集。
(2) 未成年人模式/内容专区提供未成年人模式或者未成年人专区等,便利未成年人获取有益身心健康的平台内产品或者服务。目前大部分互联网产品或平台都已具备儿童/青少年模式或者儿童/青少年专区,但内容单一枯燥,建议丰富相关面向未成年人的内容,同时全面升级儿童/青少年模式为未成年人模式。
(3)建立健全未成年人网络保护合规制度体系,成立主要由外部成员组成的独立机构,对未成年人网络保护情况进行监督。建立健全专门的未成年人网络保护合规制度体系,是很多互联网平台后续需要加强的能力。
(4)遵循公开、公平、公正的原则,制定专门的平台规则,明确平台内产品或者服务提供者的未成年人网络保护义务,并以显著方式提示未成年人用户依法享有的网络保护权利和遭受网络侵害的救济途径。制定专门的未成年人保护平台规则或协议,也是很多互联网平台后续需要加强的能力。
(5) 对违反法律、行政法规严重侵害未成年人身心健康或者侵犯未成年人其他合法权益的平台内产品或者服务提供者,停止提供服务。建议平台根据新规对其用户协议进行修改和完善,特别是对相应处置措施、免责条款的更新。
(6) 每年发布专门的未成年人网络保护社会责任报告,并接受社会监督。参考个人信息保护社会责任报告实践情况,未成年人网络保护社会责任报告能否顺利落实有待观察。
3、规范网络信息内容的合规
(1) 违法违规内容禁止义务:
(a)不得制作、复制、发布、传播含有宣扬淫秽、色情、暴力、邪教、迷信、赌博、引诱自残自杀、恐怖主义、分裂主义、极端主义等危害未成年人身心健康内容的网络信息;
(b)不得制作、复制、发布、传播或者持有有关未成年人的淫秽色情网络信息(注意有关未成年人的淫秽色情信息企业不得持有,也即不得存储或缓存相关信息,即使未公开发布或传播;
(c)不得在专门以未成年人为服务对象的网络产品和服务中制作、复制、发布、传播含有可能引发或者诱导未成年人模仿不安全行为、实施违反社会公德行为、产生极端情绪、养成不良嗜好等可能影响未成年人身心健康的信息;
(d)不得向未成年人发送、推送或者诱骗、强迫未成年人接触含有危害或者可能影响未成年人身心健康内容的网络信息;
(e)不得通过网络以文字、图片、音视频等形式,组织、教唆、胁迫、引诱、欺骗、帮助未成年人实施违法犯罪行为;
(f)不得传输由用户发布、传播的但未予提示或者通知用户予以提示的含有可能引发或者诱导未成年人模仿不安全行为、实施违反社会公德行为、产生极端情绪、养成不良嗜好等可能影响未成年人身心健康的信息。
(2) 显著提示义务:
(a)网络产品和服务中含有可能引发或者诱导未成年人模仿不安全行为、实施违反社会公德行为、产生极端情绪、养成不良嗜好等可能影响未成年人身心健康的信息的,制作、复制、发布、传播该信息的组织和个人应当在信息展示前予以显著提示。需要注意的是,不得在专门以未成年人为服务对象的网络产品和服务中制作、复制发布传播以上信息。虽然“可能”的判断标准有待后续明确,但模仿不安全行为、实施违反社会公德行为、产生极端情绪、养成不良嗜好等这几类信息企业可以提前自主判断,并注意审核归类。
(b)网络产品和服务提供者发现用户发布、传播含有可能引发或者诱导未成年人模仿不安全行为、实施违反社会公德行为、产生极端情绪、养成不良嗜好等可能影响未成年人身心健康的信息未予显著提示的,应当作出提示或者通知用户予以提示。针对诱导类的UGC内容,用户未予提示相关风险的,平台应当直接提示或者通知用户提示。网络社交、直播、音视频平台应特别注意。
(3) 首屏、弹窗、热搜等醒目位置禁止呈现义务:
网络产品和服务提供者不得在首页首屏、弹窗、热搜等处于产品或者服务醒目位置、易引起用户关注的重点环节呈现含有可能引发或者诱导未成年人模仿不安全行为、实施违反社会公德行为、产生极端情绪、养成不良嗜好等可能影响未成年人身心健康的信息。
互联网企业在编辑或设置相关首展、弹窗、热搜等内容时不能再任性,不能再盲目以吸睛或引流为目的“自由发挥”,要特别注意评估是否含有可能引发或者诱导未成年人模仿不安全行为、实施违反社会公德行为、产生极端情绪、养成不良嗜好等可能影响未成年人身心健康的信息。
(4) 广告合规义务:
网络产品和服务提供者不得通过自动化决策方式向未成年人进行商业营销。
互联网企业不能利用自动化技术来识别、定位未成年人群体,并向他们推送商业广告或营销信息。程序化广告需要调整相应推送机制,避免通过算法、人工智能等技术向未成年人推送商业广告。
(5) 禁止网络欺凌合规义务:
(a)任何组织和个人不得通过网络以文字、图片、音视频等形式,对未成年人实施侮辱、诽谤、威胁或者恶意损害形象等网络欺凌行为;
(b)网络产品和服务提供者建立健全网络欺凌行为的预警预防、识别监测和处置机制,设置便利未成年人及其监护人保存遭受网络欺凌记录、行使通知权利的功能、渠道,提供便利未成年人设置屏蔽陌生用户、本人发布信息可见范围、禁止转载或者评论本人发布信息、禁止向本人发送信息等网络欺凌信息防护选项;
(c)网络产品和服务提供者建立健全网络欺凌信息特征库,优化相关算法模型,采用人工智能、大数据等技术手段和人工审核相结合的方式加强对网络欺凌信息的识别监测。
网络欺凌的规定是《未成年人网络保护条例》的一大亮点和重点,是网信部门在《中华人民共和国未成年人保护法》的基础上,将管网治网实践中的成熟做法上升为法规制度,企业后续应加强“网络欺凌”板块的合规制度和处理机制建设。
(6) 在线教育企业特别义务:
以未成年人为服务对象的在线教育网络产品和服务提供者,应当按照法律、行政法规和国家有关规定根据不同年龄阶段未成年人身心发展特点和认知能力提供相应的产品和服务。在线教育领域一直是监管重点,该领域企业要特别注意对未成年人教育产品开发和服务的特殊要求。
(7) 用户发布信息管理义务:
网络产品和服务提供者应当加强对用户发布信息的管理,采取有效措施防止制作、复制、发布、传播危害或者可能影响未成年人身心健康内容的网络信息,发现相关违规信息的,应当立即停止传输相关信息,采取删除、屏蔽、断开链接等处置措施,防止信息扩散,保存有关记录,向网信、公安等部门报告,并对制作、复制、发布、传播上述信息的用户采取警示、限制功能、暂停服务、关闭账号等处置措施。
建议企业一方面应修改完善产品服务协议或用户行为规范,另一方面应从技术角度加强对相关UGC内容的审核,通过关健词屏蔽和监控处置等措施保障内容合法合规。同时,加强人工审核能力建设,内容审核员的重要性暂时无法被AI完全取代。
4、个人信息网络保护的合规
(1)未成年人真实身份核验义务:
网络服务提供者为未成年人提供信息发布、即时通讯等服务的,应当依法要求未成年人或者其监护人提供未成年人真实身份信息。不提供未成年人真实身份信息的,网络服务提供者不得为未成年人提供相关服务。
实践中存在利用虚假身份或者家长/监护人的身份为未成年人提供相关网络服务的情形,相关网络服务提供者应调整相关服务注册/开通所需提交材料的具体要求和审核重点。
(2)主播真实身份动态核验义务:
网络直播服务提供者应当建立网络直播发布者真实身份信息动态核验机制,不得向不符合法律规定情形的未成年人用户提供网络直播发布服务。
平台不得为16岁以下未成年人提供网络主播服务,通过动态核验可以起到堵住未成年人利用家长等成人身份进行直播的漏洞。
(3) 不强制处理非必要个人信息义务:
个人信息处理者应当严格遵守国家网信部门和有关部门关于网络产品和服务必要个人信息范围的规定,不得强制要求未成年人或者其监护人同意非必要的个人信息处理行为,不得因为未成年人或者其监护人不同意处理未成年人非必要个人信息或者撤回同意,拒绝未成年人使用其基本功能服务。该义务是对《个保法》中的个人信息处理最小必要原则的进一步强调和细化。
(4)保障未成年人个人信息行权的义务:
未成年人或者其监护人依法请求查阅、复制、更正、补充、删除未成年人个人信息的,个人信息处理者应当:
(a)提供便捷的支持未成年人或者其监护人查阅未成年人个人信息种类、数量等的方法和途径,不得对未成年人或者其监护人的合理请求进行限制;
(b)提供便捷的支持未成年人或者其监护人复制、更正、补充、删除未成年人个人信息的功能,不得设置不合理条件;
(C)及时受理并处理未成年人或者其监护人查阅、复制、更正、补充、删除未成年人个人信息的申请拒绝未成年人或者其监护人行使权利的请求的,应当书面告知申请人并说明理由;
(d)对未成年人或者其监护人依法提出的转移未成年人个人信息的请求,符合国家网信部门规定条件的,应当提供转移的途径。以上义务是对《个保法》第四条规定的个人信息权利响应(DSR)义务的进一步细化。
(5) 个人信息安全事件应急处置义务:
(a)发生或者可能发生未成年人个人信息泄露、篡改、丢失的,个人信息处理者应当立即启动个人信息安全事件应急预案,采取补救措施,及时向网信等部门报告,并按照国家有关规定将事件情况以邮件、信函、电话、信息推送等方式告知受影响的未成年人及其监护人。
(b)难以逐一告知的,应当采取合理、有效的方式及时发布相关警示信息,法律、行政法规另有规定的除外。
从用户体验角度,考虑到避免对用户造成侵扰或不便体验,当可能发生未成年人个人信息泄露、篡改或丢失事件时,该条规定在实践中如何有效落地可能会存在一定的操作阻力。
(6) 员工访问权限控制义务:
个人信息处理者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制未成年人个人信息知悉范围。工作人员访问未成年人个人信息的,应当经过相关负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法处理未成年人个人信息。
需要注意的是,企业内部员工权限访问控制的有效落地,不仅要靠制度,更要靠执行监督。
(7) 个人信息合规审计义务:
个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。
《个保法》仅要求个人信息处理者定期进行合规审计,《个人信息保护合规审计管理办法(征求意见稿)》要求处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计,其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。本《未成年人网络保护条例》明确要求每年进行合规审计,且未限定处理未成年人个人信息的数量,一定程度上将增加企业的合规成本,且该审计与个保法的审计要求如何有效衔接也将有待实践检验。
(8) 未成年人私密信息保护义务:
(a)网络服务提供者发现未成年人私密信息或者未成年人通过网络发布的个人信息中涉及私密信息的应当及时提示,并采取停止传输等必要保护措施,防止信息扩散。
(b)网络服务提供者通过未成年人私密信息发现未成年人可能遭受侵害的,应当立即采取必要措施保存有关记录,并向公安机关报告。
该义务是对《未成年人保护法》第七十三条的进一步细化。私密信息因涉及个人隐私问题,实践中对私密信息的判断存在争议。
5、防止网络沉迷的合规
(1) 建立健全防沉迷制度义务:
网络产品和服务提供者应当建立健全防沉迷制度,不得向未成年人提供诱导其沉迷的产品和服务,及时修改可能造成未成年人沉迷的内容、功能和规则,并每年向社会公布防沉迷工作情况,接受社会监督。严禁任何组织和个人以虐待、胁迫等侵害未成年人身心健康的方式干预未成年人沉迷网络、侵犯未成年人合法权益。
防沉迷制度源于网络游戏领域,近年来随着网络直播、短视频的兴起,防沉迷的适用领域不断扩大,《未成年人网络保护条例》生效后将覆盖所有网络产品和服务领域。但应注意防沉迷措施的合法性和适当性。
(2) 网络泛娱乐企业的防沉迷特别义务:
网络泛娱乐企业,即网络游戏、网络直播、网络音视频、网络社交等网络服务提供者。
(a) 应当针对不同年龄阶段未成年人使用其服务的特点,坚持融合、友好、实用、有效的原则,设置未成年人模式,在使用时段,时长,功能和内容等方面按照国家有关规定和标准提供相应的服务,并以醒目便捷的方式为监护人履行监护职责提供时间管理、权限管理、消费管理等功能。尤其是网络游戏和网络直播企业应重点关注。
(b) 采取措施合理限制不同年龄阶段未成年人在使用其服务中的单次消费数额和单日累计消费数额不得向未成年人提供与其民事行为能力不符的付费服务。尤其是网络游戏和网络音视频企业应重点关注,如何防范实践中常遇到的未成年人充值打赏要求退费事件的发生,一直是困扰企业的难题,也是目前实务中关于未成年人网络保护发生纠纷最多的问题。
(c) 采取措施防范和抵制流量至上等不良价值倾向,不得设置以应援集资、投票打榜、刷量控评等为主题的网络社区、群组、话题,不得诱导未成年人参与应援集资、投票打榜、刷量控评等网络活动,并预防和制止其用户诱导未成年人实施上述行为。尤其是网络直播、网络音视频、网络社交企业应重点关注。
(3) 网络游戏企业的增强义务:
(a)应当通过统一的未成年人网络游戏电子身份认证系统等必要手段验证未成年人用户真实身份信息。
(b)应当建立、完善预防未成年人沉迷网络的游戏规则,避免未成年人接触可能影响其身心健康的游戏内容或者游戏功能。
(C)应当落实适龄提示要求,根据不同年龄阶段未成年人身心发展特点和认知能力,通过评估游戏产品的类型、内容与功能等要素,对游戏产品进行分类,明确游戏产品适合的未成年人用户年龄阶段并在用户下载、注册、登录界面等位置予以显著提示。
防沉迷是网络游戏企业保护未成年人工作面临的最大挑战,以上规定是对网络游戏企业进一步落实真实身份核验、防范未成年人沉迷游戏,适龄提示等提出的更细化的要求。
(4) 禁止游戏账号租售义务:
网络产品和服务提供者不得为未成年人提供游戏账号租售服务。
实践中存在通过租售游戏账号绕过未成年身份认证、防沉迷机制,形成了相关网络游戏黑灰产。该规定打击游戏账号租售黑灰产,从上游链条限制未成年人进行游戏消费,落实防沉迷机制,同时也突显网络产品和服务提供者落实未成年人真实身份核验义务的重要性。
6、 法律责任与处罚措施
(1) 罚金:
根据相关违法情形及情节,最高可能承担违法所得1-10倍、5000万元以下或者上一年度营业额百分之五以下的罚款,直接负责的主管人员和其他直接责任人员在符合相应情形下最高可能承担10万元以上100万元以下的罚款。
《未成年人网络保护条例》对违反相关规定的罚款,已远超《未成年人保护法》中的罚款金额规定,向《个人信息保护法》罚款力度看齐。但需要注意的是,只有两种情形下才有可能适用最高额的处罚,即违反本条例第二十条第一款第一项和第五项规定,情节严重的。
(2) 行为处罚:
根据相关违法情形及情节,监管部门可责令暂停相关业务或者停业整顿、停产停业、关闭网站、通报有关部门依法吊销相关业务许可证或者吊销营业执照。
(3) 从业禁止:
违反相关规定,省级以上监管部门可以禁止直接负责的主管人员和其他直接责任人员在一定期限内担任相关企业的董事,监事、高级管理人员和未成年人保护负责人;网络产品和服务提供者违反相关规定,受到关闭网站、吊销相关业务许可证或者吊销营业执照处罚的,5年内不得重新申请相关许可,其直接负责的主管人员和其他直接责任人员5年内不得从事同类网络产品和服务业务。
(4) 刑事责任:
违反相关规定,侵犯未成年人合法权益,给未成年人造成损害的,还可能构成犯罪而依法被追究刑事责任。
三、企业未成年人网络保护监管重点及行业实践难点
(一)近期及未来监管执法实践的重点
近期及未来监管执法实践的重点包括内容规范、网络欺凌、诱导诱骗、应援追星、网络诈骗、网络沉迷、AIGC以及网络戾气等。
(二)企业实践主要难点/痛点
企业实践中的主要难点在于有效落实防沉迷、充值退费纠纷处理、违法违规内容防治以及未成年人身份识别等。
四、未成年人网络保护企业合规建设指引
(一)近期及未来监管执法实践的重点
未成年人网络保护合规体系建设可以参照“PDCA”循环原则,从高层承诺、规划、支持与运行、评价以及改进等流程分步骤进行,最终形成相关体系建设成果,包括政策纲领、人员组织、规章制度、协议条款、产品设计以及合规建设成果报告等。
(二)未成年人网络保护自查与整改
企业可以从网络沉迷预防、人身安全保护、心理健康防护、个人信息保护、消费纠纷控制、网络素养促进等方面展开未成年人网络保护合规自查与整改。笔者团队根据相关法规要求和实践经验,制作有《企业未成年人网络保护合规自查整改建议清单》,可供相关企业参考。
(三)加强未成年人网络保护企业培训
提升未成年人网络保护意识是培训的主要目的。企业培训的对象包括管理层、设计开发部门以及业务运营部门。通过培训启发未成年人网络保护意识、提升保护能力,并培育企业形成良好的未成年人网络保护文化。
(四)定期进行未成年人网络保护合规评估
企业应根据规定定期进行未成年人网络保护合规评估,评估维度包括网络素养、技术保护、网络防沉迷、投诉举报、信息提示、科普宣传、隐私个人保护以及内容规范等方面。笔者团队根据相关法规要求和实践经验,总结制作有《企业未成年人网络保护体系合规评估清单》,可供相关企业参考。
(五)重点问题专项攻坚,确保合规
根据相关调研,目前企业面临的未成年人网络保护重点问题主要包括如何有效防沉迷、未成年大额充值及退费纠纷、违规信息审核与提示、账号租借黑灰产打击等。对于这些重点难点问题,企业应当加强措施进行专项整治,必要时借助外部力量予以支持,以避免这些问题带来长期影响和增加企业合规成本。
(六)跟进监管动态及执法重点,提前布局预防风险
相关企业应紧跟网信办、公安部、文旅部、工信部、广电总局、扫黄打非办公室等各部门或机构的监管动态及执法重点,提前布局预防风险。其中涉及未成年人保护的专项或联合执法行动有“护苗”、“清源”、“净网”、“清朗”、“剑网”、“网剑”等,对于这些执法行动代号,企业应保持高度敏锐度,及时关注相关动态。
(七)关注新技术/新应用对未成年人网络保护的影响
AI换脸、阅后即焚、AIGC、人脸识别等新技术、新应用对未成年人权益的侵害或影响越来越凸显,带来了一系列的风险问题,比如
(1) 利用“AI换脸”“AI绘图”“AI一键脱衣”等技术生成涉未成年人低俗色情图片视频;
(2) 利用所谓“阅后即焚”的密聊软件诱骗未成年人提供个人信息,诱导实施违法行为;
(3) 利用生成式人工智能技术制作发布涉未成年人有害信息。建议企业高度关注上述新技术/新应用对未成年人网络保护产生的影响,采取相应措施防范风险发生。
(八)出海布局不可轻视未成年人保护
出海已经成为网络游戏、音视频等企业的主流和趋势,特别对网络游戏出海企业来说,美国、欧盟、日韩等地区一直是其海外营收的大本营,因此重点关注美国COPPA、欧盟GDPR、英国AADC以及日韩相关未成年人保护的立法尤为重要。
以1998年美国颁布的《儿童在线隐私保护法》(COPPA)为例,该法案为13岁以下儿童提供特殊的在线隐私保护。根据COPPA,提供给儿童使用的网站要控制对儿童的数据收集,包括对隐私通知的具体要求、父母的明确同意等等。
2019年2月,FTC向字节跳动公司Musical.ly开出了570万美元的罚单(是当时该法案颁布以来最大的COPPA罚款),其被指控非法隐瞒13 岁以下儿童的信息,FTC还认定TikTok在未经儿童父母事先同意的情况下保留了这些儿童的电子邮件地址、姓名和学校等个人信息,因此违反了COPPA。其后TikTok在应用中增加了儿童专用模式。
企业未成年人网络保护合规要点及实务指引
作者:王小敏来源:iLaw合规

编者按 国家互联网信息办公室早在2016年9月就《未成年人网络保护条例(草案征求意见稿)》公开征求意见。