在今年兒童節,全國的兒童收到了國家互聯網信息辦公室送出的一份禮物——5月31日下午,國家互聯網信息辦公室發布通知,就《兒童個人信息網絡保護規定(征求意見稿)》(以下簡稱意見稿)公開征求意見。
為保護兒童個人信息安全,意見稿提出,網絡運營者收集、使用兒童個人信息的,應當以顯著、清晰的方式告知兒童監護人,并應當征得兒童監護人的明示同意。明示同意應當具體、清楚、明確,基于自愿。
中國青少年研究中心少年兒童研究所所長孫宏艷近日在接受《法制日報》記者采訪時指出,現在的兒童已經是“互聯網原住民”,對于互聯網的接觸和使用非常頻繁,但與此同時,他們的個人信息安全也面臨不少風險。規定的制定,意味著對兒童權益的保護變得更加精細化。
對于兒童個人信息保護,中國政法大學傳播法研究中心副主任朱巍有著更多期待。
“在互聯網時代,《兒童個人信息網絡保護規定》的制定非常有必要,有利于進一步保護兒童權益。目前,個人信息保護法正在制定,建議將兒童個人信息保護作為專章,作出更加細致和更有可操作性的規定。”朱巍說。
在北京市致誠律師事務所副主任、北京青少年法律援助與研究中心研究員張雪梅看來,對于兒童個人信息的保護,無論是單獨立法還是在個人信息保護法中設立專章,最關鍵的是要明確兒童利益最大化原則,要確保作出的規定更加細化、有實施性和可操作性。
多數兒童不會保護個人信息
將伴隨互聯網成長的“00后”“10后”稱為“互聯網原住民”,并不為過。
共青團中央維護青少年權益部、中國互聯網絡信息中心今年3月26日共同發布的《2018年全國未成年人互聯網使用情況研究報告》(以下簡稱《報告》)顯示,我國未成年網民規模為1.69億,未成年人的互聯網普及率達93.7%。
然而,這些“互聯網原住民”的“居住環境”仍有需要改善的地方。
《報告》指出,網絡暴力、網絡違法和不良信息仍然存在,未成年人網絡保護需要加強。15.6%的未成年人表示曾遭遇網絡暴力,最常見的是在網上被諷刺或謾罵、自己或親友在網上被惡意騷擾、個人信息在網上被公開。
對于《報告》的結論,孫宏艷同樣深有感觸。孫宏艷曾經帶領團隊作過兒童上網方面的調研,她發現很多未成年人尤其是兒童在上網時最擔心網絡安全問題,他們擔心自己在上網時個人信息會泄露,擔心會因此遭遇騷擾、謾罵等網絡暴力。
“事實上,大多數兒童都不會保護自己的個人信息。我們在調研中了解到,把名字、年齡等信息告訴陌生人的兒童還是有一定比例的。而且,他們在認知和行為上存在脫節的情況。即使有的孩子知道信息泄露是不安全的,但在做到別的題目時,其不經意間選擇的答案,卻已經泄露了個人信息。”孫宏艷說。
讓人更加憂慮的是,即使這些兒童提升了主動防范意識,也未必能防止信息泄露。畢竟,連成人都無法解決個人信息泄露的問題。
但正因為如此,更加凸顯了兒童個人信息保護的緊迫性和重要性。
孫宏艷指出,兒童個人信息保護是兒童權益保護的重要組成部分,信息泄露可能是侵害兒童權益的開始,這些泄露的信息會成為侵害兒童權益的突破口。
“同時,兒童個人信息保護還是一個更深層次的保護,就是對兒童心理健康和價值觀的保護。兒童個人信息泄露后,不僅會危害到他們的心理健康,還會給他們造成一種‘信息泄露無礙’的錯覺,不利于他們養成正確的價值觀。”孫宏艷說。
網絡運營者應建兒童信息管理制度
專家認為,在互聯網時代,企業掌握的個人信息最多,有義務也有能力承擔起保護個人信息的重任。
“在互聯網時代,無論是論壇、微博等社區,還是微信、支付寶、抖音等App,或者是淘寶、京東等網購平臺,都掌握了大量的個人信息。而且,其中一些企業的產品使用頻次還很高。可以說,保護企業所掌握的個人信息,是個人信息保護工作的重中之重。”朱巍說。
朱巍介紹說,2018年5月25日,歐盟的《通用數據保護條例》正式生效,旨在限制互聯網及大數據企業對個人信息和敏感數據的處理,從而保護數據主體權利。可以看出,意見稿也是采用了這樣的立法思路。
在意見稿中,絕大多數的條款,都強調了網絡運營者所要承擔的責任。
意見稿要求,在中華人民共和國境內通過網絡從事收集、存儲、使用、轉移、披露兒童個人信息等活動,適用本規定。
意見稿還提出,網絡運營者收集、存儲、使用、轉移、披露兒童個人信息的,應當遵循正當必要、知情同意、目的明確、安全保障、依法利用的原則。
對于這樣的立法思路,張雪梅認為非常有必要。
意見稿擬規定,網絡運營者應當設置專門的兒童個人信息保護規則和用戶協議,并設立個人信息保護專員或者指定專人負責兒童個人信息保護。適用于兒童的用戶協議應當簡潔、易懂。
“除此之外,網絡運營者還應當建立專門的檔案,制定兒童信息的管理制度,明確保密職責,落實保密責任,嚴格信息檔案管理和信息處理。”張雪梅說。
要明確兒童個人信息授權主體
近日,全國人大常委會法工委經濟法室副主任楊合慶向媒體介紹,十三屆全國人大常委會已將制定個人信息保護法列入了立法規劃,常委會法制工作機構正同有關方面在深入總結現行法律實施經驗的基礎上,對個人信息保護立法的有關問題進行研究論證,抓緊立法相關工作。
朱巍認為,無論是《通用數據保護條例》的實施,還是意見稿的制定,從中都可以看出,加大對兒童信息的保護力度,在全球范圍內都是一個大的趨勢。因此,應當抓住個人信息保護法正在制定這個契機,加大兒童個人信息的保護力度。
朱巍認為,對于兒童個人信息的保護,除了要強調網絡運營者的責任,還要明確監護人的作用。
《通用數據保護條例》專門作出規定,只有在兒童年滿16周歲時,基于同意的數據處理才是合法的。如果兒童未滿該年齡,則只有在有監護權的父母同意(或授權)的情況下,數據處理才是合法的。
意見稿規定,網絡運營者收集、使用兒童個人信息的,應當以顯著、清晰的方式告知兒童監護人,并應當征得兒童監護人的明示同意。明示同意應當具體、清楚、明確,基于自愿。
“立法時必須要明確兒童個人信息的授權主體,除了兒童以外,必須要有監護人。兒童屬于限制民事行為能力人,他們在個人信息保護方面的意識是不足的。因此,網絡運營者在收集兒童信息時,必須征得監護人的同意,而不能交由兒童來授權。”朱巍說。
專家認為,立法還要明確一個重點內容:處理兒童個人信息時應當遵守的規則。
“對兒童個人信息的采集和使用,必須要遵守依法利用等規則,不能用作商業等法定之外的用途。因為,兒童抵制誘惑的能力是很低的,廣告等誘導性的信息很可能會侵害他們的權益。因此,必須在立法時明確兒童個人信息的處理規則,提升這方面的可操作性。”朱巍說。
張雪梅指出,立法時應當規定,即使取得監護人明示同意,但基于兒童利益最大化原則和一般社會認知,不宜收集、存儲、使用、轉移、披露兒童個人信息,互聯網運營者也不能收集、存儲、使用、轉移、披露。(來源:法制日報)
