未成年人信息收集的錯與罰—從全國首例未成年人網絡保護民事公益訴訟案看未成年人個人信息收集合規
作者:李丹丹 顧穎 2021-11-11一、案情簡介
2021年3月11日,浙江省杭州市余杭區檢察院訴國內某知名短視頻公司侵犯兒童個人信息民事公益訴訟案結案。相關報道顯示,該公司主要在以下三方面侵犯了兒童個人信息:第一,在開發運營該公司APP的過程中,未以顯著、清晰的方式告知并征得兒童監護人有效明示同意允許注冊兒童賬戶,并收集、存儲兒童個人信息;第二,在未再次征得兒童監護人有效明示同意的情況下,向具有相關瀏覽喜好的用戶直接推送含有兒童個人信息的短視頻;第三,沒有采取技術手段對兒童信息進行專門保護。該案最終以調解方式結案,公司接受了檢察機關就該案提出的停止侵權、賠禮道歉、消除影響、賠償損失等訴求。 該案為所有涉及未成年人個人信息處理的機構敲響了警鐘,未成年人個人信息保護相關的法律規定不僅是依靠企業自律遵守的管理性規定,違反規定將會被依法追究責任。 上述案件未披露具體賠償金額,尚不能從中看出我國對侵犯兒童個人信息行為進行處罰的尺度,鑒于我國對個人信息的保護借鑒了國際經驗[1],國際上已有司法實踐可以為我國未來針對違規處理兒童個人信息行為的執法力度提供參考。以美國為例,截至2020年,美國聯邦貿易委員會共處罰了36家違反《兒童在線隱私保護法》的企業[2]。典型案例如2019年2月7日,美國聯邦貿易委員會對北京字節跳動科技有限公司在美國的運營實體Musical.ly處以570萬美元罰款,其違法行為包括未通知13歲以下用戶的父母有關該應用程序收集和使用個人信息的行為,在此類收集和使用之前未征得父母的同意,并且未在父母的要求下刪除該信息。以及,2019年9月4日,谷歌與美國聯邦貿易委員會達成和解協議,同意就旗下YouTube視頻公司非法收集和分享兒童個人信息一案共支付1.7億美元的罰金,因為其存在以下三種違法行為:未能在其網站上充分披露他們如何收集并使用兒童信息;未向家長直接報告兒童信息收集的方式和內容;未能在收集信息前獲得家長的明確同意。以歐盟國家為例,荷蘭數據保護局(Autoriteit Persoonsgegevens)于2021年7月22日,以侵犯兒童隱私為由,決定對字節跳動旗下短視頻社交平臺TikTok(“抖音”國際版)處以75萬歐元的罰款,原因使2018年5月25日至2020年7月29日間,TikTok沒有以“可以理解的語言”告知兒童關于個人數據的處理,從而違反了GDPR第12(1)條的規定。 我們在提供常年法律顧問服務過程中也遇到一些客戶在提供服務過程中需要收集、存儲和使用未成年人個人信息的情況,如學校委托第三方處理學生報考事宜、企業提供考務外包服務等。各行各業在開展業務的過程中未成年人也是用戶的重要構成部分。在法律加強對未成年人個人信息保護力度,主管機關監管趨嚴的當下,企業面向兒童開展業務過程中,如何合法合規處理兒童個人信息,避免被追究法律責任,是亟待明確的問題。 2021年11月1日實施的《中華人民共和國個人信息保護法》(以下簡稱“個保法”)是個人信息保護領域的基本法,該法重申了對未成年人個人信息的特殊保護,本文以此為切入點,結合其他有關未成年人個人信息收集方面的法律規定,明確未成年人個人信息收集的底線和邊界,并提出具有可操作性的未成年人個人信息處理合規指引。 二、哪些未成年人的個人信息需要受到特殊保護? 根據我國相關法律規定,不滿十四周歲未成年人的個人信息需要受到特別保護。 個保法第二十八條將不滿十四周歲未成年人的個人信息列為敏感個人信息,適用敏感個人信息的處理規則。《中華人民共和國未成年人保護法》第七十二條、《數據安全管理辦法(征求意見稿)》第十二條、《兒童個人信息網絡保護規定》第二條和《信息安全技術個人信息告知同意指南》3.2也作出了相同的規定。 三、未成年人個人信息收集的相關法律規定 個保法確立了以“告知—同意”為核心的個人信息處理系列規則。在收集未成年人個人信息過程中應對哪些事項進行告知,應取得哪些人的同意,違規收集信息將導致什么樣的法律責任,本節對相關法律規定進行了梳理。 (一)未成年人個人信息收集過程中的告知事項 《中華人民共和國個人信息保護法》第十七條規定了處理個人信息時應告知的內容,第三十條規定了處理包括不滿十四周歲未成年人個人信息的敏感個人信息時應告知的內容。《兒童個人信息網絡保護規定》第十條規定了網絡運營者處理未成年人信息時應告知的內容。 總結而言,處理不滿十四周歲未成年人個人信息時至少應告知以下內容: 1.個人信息處理者的名稱或者姓名和聯系方式; 2.個人信息的處理目的、處理方式,處理的個人信息種類、保存期限; 3.個人行使個保法規定權利的方式和程序; 4.法律、行政法規規定應當告知的其他事項; 5.處理敏感個人信息的必要性以及對個人權益的影響 一至四項事項發生變更的,應當將變更部分告知個人。第三項中個人行使個保法規定權利是指個保法第四章規定的個人在個人信息處理活動中的權利,主要是個人對其個人信息的處理的知情權和決定權,具體包括請求查閱、復制、更正、補充和刪除個人信息的權利。 網絡運營者處理未成年人個人信息時除了告知上述事項外,還應告知以下內容: 1.個人信息存儲的地點、期限和到期后的處理方式; 2.個人信息的安全保障措施; 3.拒絕的后果; 4.投訴、舉報的渠道和方式; 5.更正、刪除個人信息的途徑和方法; 個保法中對于告知內容的規定是處理個人信息時應進行告知的最低標準,更詳細的告知內容可參見《信息安全技術 個人信息告知同意指南(征求意見稿)》8.1的規定。 (二)監護人明示同意制度 按照個人信息保護制度的一般規定,處理個人信息應取得個人同意。鑒于未成年人尚未建立健全的信息保護意識,也不具備必要辨別能力和理解能力,法律對不滿十四周歲未成年人個人信息處理提出了更高的保護要求,針對未成年人個人信息的處理設立了監護人同意制度。 個保法第三十一條、《中華人民共和國未成年人保護法》第七十二條和《兒童個人信息網絡保護規定》第九條均規定,個人信息處理主體處理不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監護人的同意。 上述法律未明確同意的做出方式,網絡運營者取得監護人同意的可參照《信息安全技術 個人信息告知同意指南(征求意見稿)》9的相關規定。 (三)違規收集未成年人信息的法律責任 在全國首例未成年人網絡保護民事公益訴訟案中,案涉公司承擔了停止侵權、賠禮道歉、消除影響、賠償損失的法律責任。根據個保法相關規定,違規收集未成年人信息的,相關主體將依法被追究民事責任、行政責任或刑事責任。 根據個保法第六十六條規定,違法處理個人信息或者未履行個人信息保護義務的,由主管機關責令改正,給予警告,沒收違法所得,對違法處理個人信息的應用程序,責令暫停或者終止提供服務;拒不改正的,并處一百萬元以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。情節嚴重的,處罰金額最高可達五千萬元或者上一年度營業額百分之五,并可受到責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照的處罰。 根據個保法第六十七條規定,違規企業將被記入信用檔案,并予以公示。 民事責任方面,個保法第六十九條規定,違規收集未成年人信息侵害個人信息權益造成損害的應承擔損害賠償等侵權責任。 個保法第七十一條規定,違法行為構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。 四、結語——對于收集未成年人個人信息合規建議 (一)依照最小必要原則篩選必須收集未成年人個人信息的業務場景 個人信息收集應遵循最小必要原則,即個人信息的收集處理應限于實現處理目的所必要的最小范圍。在收集未成年人個人信息時,更應該對收集個人信息的業務場景做出嚴格限制。各企業應對自身業務進行梳理分類,篩選出必須收集個人信息的業務,并對收集個人信息的目的、必要性等加以明確,為收集未成年人個人信息的行為提供合法理由。 (二)采取合理措施識別未成年人用戶并驗證其監護人 為識別不滿十四歲的未成年人,應建立年齡認證和識別系統, 或利用真實身份注冊驗證機制, 有效識別未成年人用戶。 收集未成年人的個人信息前, 嚴格要求用戶的父母或其監護人明示同意。參照其他國家關于未成年人父母或監護人明示同意的規定,表示明示同意的方法包括: 1.簽署一份書面的同意文件并通過傳真、郵箱或電子掃描方式郵寄回來; 2.通過電話聯系; 3.進行視頻會議; 4.提供政府頒發的可在數據庫中查詢的ID復印件; 5.使父母或監護人回答一系列以知識為基礎的對于父母之外的人很難回答的具有挑戰的問題; 6.驗證父母或監護人的照片,通過人臉識別技術進行對比。 企業還應設置篩查甄別機制, 及時發現未經同意而收集的未成年人個人信息, 及時刪除相關數據。 (三)制定未成年人個人信息處理隱私政策 在收集未成年人個人信息階段應向本人及其父母監護人發布未成年人個人信息處理隱私政策。隱私政策應當是清晰易理解的。隱私政策應該封閉列舉出所要收集的未成年人個人信息,并清晰且全面地說明未成年人個人信息被收集后是如何處理的以及其他法律規定的應該告知未成年人父母或其他監護人的內容。 注釋 [1] 個人信息保護法借鑒國際經驗自身特色明顯 http://iolaw.cssn.cn/jyxc/202108/t20210823_5354991.shtml [2][https://www.ftc.gov/tips-advice/business-center/legal-resources?type=case&field_consumer_protection_topics_tid=246]
