2022年3月14日,国家互联网信息办公室就《未成年人网络保护条例(征求意见稿)》(以下简称“《条例》”)再次公开征求意见。这是距2016年9月30日网信办首次发布《未成年人网络保护条例》(草案征求意见稿)后的再次征求意见。据查,2019年、2020年,国务院所发布的立法计划中,均明确把《条例》列入行政法规的立法系列,并明确由网信办起草。我们结合《条例》的内容,从数据合规[1]视角重点介绍其五大重要保护未成年人个人信息权益机制。
目 录
一、《条例》概述
1. 未成年人数据合规的线上重点行业、场景
2. 未成年人数据合规的六大特点
3. 《条例》的适用范围
二、数据合规视角下,未成年人合法权益保护的五大重要机制
1. 识别机制
2. 加强告知机制
3. 单独同意机制
4. 评估机制
5. 保全机制
三、需要进一步关注的问题
一、《条例》概述
1. 未成年人数据合规的线上重点行业、场景
实务中,未成年人的个人信息处理一般会大量在专门服务未成年人群体的APP、小程序、网站过程中进行,也会在成年人的一些互联网平台出现(例如未成年人利用父母手机玩游戏、或者成年人输入未成年人的一些信息等)。对此,我们梳理了未成年人个人信息处理的重点行业及场景。
空间 | 重点行业 | 重点场景 |
线上 | 网络教育 | 注册界面 向未成年人进行身份认证 广告营销 对外传输和提供未成年个人信息 向未成年人推送信息 青少年模式设置界面 未成年人专区设置界面 防沉迷机制的界面设置 各类加强告知 标识的界面设计 |
互联网医疗 | ||
互联网游戏 | ||
网络音视频 | ||
网络直播 | ||
网络社交 | ||
网络智能设备 | ||
新闻媒体等 |
表1
2. 未成年人数据合规的六大特点
结合《条例》以及我们在未成年人数据合规的经验,我们认为其有六大特点:
序号 | 未成年人数据合规的特点 | 描述 |
1 | 复杂性 | 未成年人身心发展受到网络负面影响的场景越来越复杂,隐蔽性较强,从网络空间出发进行全方面干预,仍然存在死角,具有滞后性 |
2 | 敏感性 | 《个人信息保护法》将未成年个人信息敏感 |
3 | 效率低 | 立法不鼓励未成年个人信息流动 |
4 | 重要性 | 未成年人个人信息处理不当的危害性大,需要重点保护,为此采取倾斜性保护机制(如加强识别功能、告知功能、单独同意功能等机制) |
5 | 全产业链(横向) | 从保护的横向维度来看,立法从产品设计端到消费端,相比《个人信息保护法》的立法设计,更加全面,突出对产品制造者和销售者的义务设置 |
6 | 多层次(纵向) | 从保护的纵向层面来看,强调全社会共治,对重要互联网平台、网络游戏、网络直播、网络音视频、网络社交等网络服务提供者进行重点监管,提出更高义务要求 |
表2
3.《条例》下的适用范围
《条例》所适用的范围,需要结合《中华人民共和国未成年人保护法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等规定综合认定。
项目 | 内容 | 《条例》主要条款 |
地域范围 | 网络空间 | 第一条 |
规范主体 | 未成年人的监护人 | 第五条 |
未成年人居住地的居民委员会、村民委员会、妇女联合会,监护人所在单位,中小学校、幼儿园等有关密切接触未成年人的单位 | 第五十九条 | |
学校、社区、图书馆、文化馆、青少年宫 | 第五十八条 | |
网络产品和服务提供者、个人信息处理者、网络服务提供者、智能终端产品制造者和销售者(重点调整主体)。其中,网路产品和服务提供者主要包含网络游戏、网络直播、网络音视频、网络社交等网络服务提供者 | 第六条、第五十条、第六十四条 | |
重要互联网平台服务提供者 | 第二十条 | |
地方各级人民政府和县级以上有关部门 | 第五十七条 | |
共产主义青年团、妇女联合会、工会、残疾人联合会、关心下一代工作委员会、青年联合会、学生联合会、少年先锋队以及其他人民团体、有关社会组织、基层群众性自治组织 | 第二条、第四条 | |
网络相关行业组织 | 第九条 | |
新闻媒体 | 第三十一条 | |
客体权益 | 未成年人的合法权益(含个人信息权益) | 第一条 |
保护范围 | 涵盖未成年人网络素养培育、网络信息内容规范、未成年人个人信息保护、未成年人网络沉迷防治、法律责任 | 第二章到第六章 |
表3
二、数据合规视角下,未成年人合法权益保护的五大重要机制
我国《个人信息保护法》应该在未成年人个人信息保护方面,给予了一定的加强保护。结合《条例》,也可以看到在这个群体的个人信息保护以及其他权益保护方面,一些重大机制,仍然会具有更强的针对性。我们主要从识别机制、加强告知机制、单独同意机制、评估机制、保全机制等五大重要机制展开。
1. 识别机制
识别机制的内涵包括:可以识别“未成年人”,可以识别“违法信息”,不得非法披露“未成年人信息”,避免他人“识别”,以及“识别”未成年人沉迷游戏的能力。从《条例》来看,对网络游戏、网络直播、网络音视频、网络社交等网络服务提供者、未成年人上网保护软件、专门供未成年人使用的智能终端产品服务提供者、新闻媒体、教师,提出了识别机制的能力要求。
识别机制 | 内容 | 《条例》条款号 |
青少年模式、未成年人保护专区 | (i) 网络游戏、网络直播、网络音视频、网络社交等网络服务提供者,具有法定义务需要针对未成年人使用其服务设置青少年模式; (ii)重要互联网平台服务提供者具有法定义务需要完成该模式和专区设置,以便更好让未成年人及其监护人选择适合未成年人的页面,也方便互联网平台更好识别未成年人。 | 第十八条、第二十条、第五十条 |
积极开发识别违法信息的功能 | (i) 未成年人上网保护软件、专门供未成年人使用的智能终端产品有效识别违法信息和可能影响未成年人身心健康的信息; (ii)智能终端产品制造者应当在产品出厂前安装未成年人上网保护软件,或者采用显著方式告知用户安装渠道和方法。智能终端产品销售者在产品销售前应当采用显著方式告知用户安装未成年人上网保护软件的情况以及安装渠道和方法。 | 第十九条 |
识别未成年人后不得随意公开,不得让他人随意识别 | 新闻媒体应当客观、审慎和适度采访报道涉及未成年人事件,不得通过网络宣扬体罚未成年人、侮辱未成年人人格尊严和未成年人违法犯罪等行为,不得通过网络披露未成年人违法犯罪和欺凌事件当事人的姓名、住所、照片以及其他可能识别出未成年人真实身份的信息 | 第三十一条 |
提高教师的识别能力 | 学校应当加强对教师的指导和培训,提高教师对未成年学生沉迷网络的早期识别和干预能力。 | 第四十七条 |
表4
2、加强告知机制
植德数据合规组在《个人信息保护法逐条解读1.0版》、以及《隐私政策及其界面设计行业实践探索2.0版》中,均特别注重告知机制的实践落地。在未成年人个人信息保护方面,《条例》增加了更多加强告知机制,值得个人信息处理者关注。实务中对于加强告知的“加强”,主要体现在立法技术上的“显著”二字,具体落地方式包括但不限于“弹框”、“红点”、“需要点击具体协议,打开后阅读到最后一页方可进入下一页”、“分层次弹框”、具体场景下触发“弹框”、“听完相关提前录播的语音,点击同意,才可以进入下一步”等。
值得注意的是,从下表可以看出,《条例》对于显著提示义务的表述内容,更多,其中公布、公开、醒目位置、发布、提示的对象往往是面向公众;而告知往往面向的是特定的用户,需要特别注意。
加强告知机制 | 内容 | 《条例》条款号 |
显著公布、公开 | 第一类: (i)公布主体:网络产品和服务提供者、个人信息处理者、智能终端产品制造者和销售者 (ii)公布内容:投诉、举报途径和方法 (iii)公布对象:社会大众 第二类: (i)公开主体:个人信息处理者 (ii)公开内容:专门的处理规则,明示处理的目的、方式和范围,依法告知法律、行政法规规定的相关事项 (iii)公开对象:社会大众 | 第七条、第三十四条 |
显著方式告知 | (i)告知主体:智能终端产品制造者 (ii)告知内容:安装智能终端产品的渠道和方法、未成年人上网保护软件的情况以及安装渠道和方法 (iii)告知对象:特定用户 | 第十九条第三款 |
显著方式提示 | 第一类: (i)提示主体:重要互联网平台服务提供者 (ii)提示对象:未成年人用户 (iii)提示内容:未成年人用户依法享有的网络保护权利和遭受网络侵害的救济途径 第二类: (i)提示主体: 制作、复制、发布、传播该信息的组织和个人 (ii)提示对象:社会公众 (iii)提示内容:含有可能引发或者诱导未成年人模仿不安全行为、实施违反社会公德行为、产生不良情绪、养成不良嗜好等可能影响未成年人身心健康的信息的 第三类: (i)提示主体:网络产品和服务提供者 (ii)前置条件:第二类主体未提示 (iii)提示对象:社会公众 (iv)义务内容:见第二类,应当作出提示或者通知用户予以提示;未作出提示的,不得传输该信息。 (v)特别监督条款:第三十二条 第四类: (i)提示主体:网络游戏服务提供者 (ii)提示对象:未成年人用户 (iii)提示位置:在用户下载、注册、登录界面等位置 (iv)提示内容:对游戏产品进行分类,明确游戏产品所适合的未成年人用户年龄阶段 | 第二十条第一款第四项、第二十四条、第三十条第二款、第三十二条、第五十四条第二款 |
醒目位置禁止 | 义务主体:网络产品和服务提供者 具体位置:在首页首屏弹窗热搜等处于产品或者服务醒目位置、易引起用户关注的重点环节 义务内容:不得呈现本条例第二十四条规定的可能影响未成年人身心健康的信息 | 第二十六条第二款 |
合理、有效的方式及时地发布 | 义务主体:个人信息处理者 前置条件:发生或者可能发生未成年人个人信息泄露、篡改、丢失的 发布形式:以邮件、信函、电话、推送通知等方式 发布对象:受影响的未成年人及其监护人/公众 发布内容: (i)发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害; (ii)个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施; (iii)个人信息处理者的联系方式。 难以逐一告知,采取发布警示信息。 | 第四十一条 |
表5
3、单独同意机制
《条例》第三十七条 第一款 、第三十八条 ,与我国《个人信息保护法》中,处理敏感个人信息、对外提供未成年人个人信息,需要适用单独同意机制一致。只是《条例》强调,原则上是不可以对外向他人提供未成年人个人信息,这也和前面提到的“立法不鼓励未成年人个人信息流动”、“效率低”的特点一致。
4、评估机制
评估机制,可以预防风险。具体在《条例》中,有四种评估机制:
评估机制 | 内容 | 《条例》条款号 |
智能终端产品的使用效果之评估机制 | 评估主体:相关行业组织 评估对象:对未成年人上网保护软件、专门供未成年人使用的智能终端产品 评估内容:是否可以有效识别违法信息和可能影响未成年人身心健康的信息、是否可以保护未成年人个人信息权益、是否可以预防未成年人沉迷网络、是否便于监护人履行监护职责 | 第十九条第二款 |
未成年人网络保护影响评估机制 | 评估主体:重要互联网平台服务提供者 评估对象:互联网平台服务的设计、研发、运营等阶段 评估内容:是否充分考虑未成年人身心健康发展特点 | 第二十条 |
个人信息保护影响评估机制 | 评估主体: 个人信息处理 评估对象:处理未成年人敏感个人信息、对外提供未成年人个人信息 评估内容:(1)个人信息的处理目的、处理方式等是否合法、正当、必要;(2)对个人权益的影响及安全风险;(3)所采取的保护措施是否合法、有效并与风险程度相适应。 | 第三十七条、第三十八条 |
网络游戏评估机制 | 评估主体: 网络游戏服务提供者 评估对象:游戏产品 评估内容:落实适龄提示标准规范,根据不同年龄阶段未成年人身心发展特点,通过评估游戏产品的类型、内容与功能等要素 | 第五十四条 |
表6
5、保全机制
《条例》第二十七条第二款,针对“未成年人实施侮辱、诽谤、威胁或者恶意损害形象等网络欺凌行为”,要求网络产品和服务提供者应当设置便利未成年人及其监护人保全功能、渠道。
这一要求比较特殊。可以看到,《条例》对未成年人保护的一大特色。这进一步要求未来网络产品和服务提供者可以在相关互联网界面,与第三方存证机构合作,并便于用户完成合法有效的保全工作,一定程度上提高了网络产品和服务提供者的运营成本。结合《个人信息保护法》中的“举证责任倒置”条款,以及《网络数据安全管理条例(征求意见稿)》中对于个人信息处理者需要对“同意的有效性”进行举证的要求,可以看出,对于需要处理未成年人个人信息的网络产品和服务提供者,除了满足自身“自证合规”的基本要求外,一旦业务模式可能触发识别“未成年人实施侮辱、诽谤、威胁或者恶意损害形象等网络欺凌行为”的情形,则应该为“未成年人群体”做出额外的便利保全证据的安排,可以看出网络产品和服务提供者的义务进一步加重,也可以看到立法者保护未成年人的决心。
三、需要进一步关注的问题
《条例》是第二次公开征求意见,可见立法过程中的争议较多,期待也很高。从目前的条款来看,结合作者目前与内部、外部同行的交流,可能还有一些问题需要进一步思考和明确。包括但不限于:
《条例》中出现的网络产品和服务提供者、个人信息处理者、智能终端产品制造者和销售者、重要互联网服务平台提供者等,能否进一步整合概念、厘清个别概念的定义、明确彼此界限?
对于未成年人的隐私问题,是否单独设计条款,加强相关场景下的保护机制设计?
是否进一步对未成年人的年龄层从0到18岁进行分层,设置更有针对性的保护机制,特别是识别机制?
是否进一步加强监护人更多场景下的“单独同意”机制,便于控制未成年人个人信息的泄露和流转?
怎样的显著方式才能符合要求?
是否专门就未成年人的推荐算法模型予以规制?
当前的评估机制能否考进一步细化或者整合?
针对上述问题,我们相信在这一轮征求意见后,《条例》会得到进一步完善。未成年人是祖国的花朵、是祖国的未来,随着我国未成年人保护法律体系越来越完善,相信对未成年人合法权益的保护,尤其是个人信息的保护、违法信息的肃清等,将会更为有效。
[1]需要特别说明的是,我们这里的数据合规,除了个人信息合规,还包括内容合规,属于广义的数据合规概念。
