未成年人信息收集的錯與罰—從全國首例未成年人網(wǎng)絡(luò)保護(hù)民事公益訴訟案看未成年人個人信息收集合規(guī)
作者:李丹丹 顧穎 2021-11-11一、案情簡介
2021年3月11日,浙江省杭州市余杭區(qū)檢察院訴國內(nèi)某知名短視頻公司侵犯兒童個人信息民事公益訴訟案結(jié)案。相關(guān)報道顯示,該公司主要在以下三方面侵犯了兒童個人信息:第一,在開發(fā)運(yùn)營該公司APP的過程中,未以顯著、清晰的方式告知并征得兒童監(jiān)護(hù)人有效明示同意允許注冊兒童賬戶,并收集、存儲兒童個人信息;第二,在未再次征得兒童監(jiān)護(hù)人有效明示同意的情況下,向具有相關(guān)瀏覽喜好的用戶直接推送含有兒童個人信息的短視頻;第三,沒有采取技術(shù)手段對兒童信息進(jìn)行專門保護(hù)。該案最終以調(diào)解方式結(jié)案,公司接受了檢察機(jī)關(guān)就該案提出的停止侵權(quán)、賠禮道歉、消除影響、賠償損失等訴求。 該案為所有涉及未成年人個人信息處理的機(jī)構(gòu)敲響了警鐘,未成年人個人信息保護(hù)相關(guān)的法律規(guī)定不僅是依靠企業(yè)自律遵守的管理性規(guī)定,違反規(guī)定將會被依法追究責(zé)任。 上述案件未披露具體賠償金額,尚不能從中看出我國對侵犯兒童個人信息行為進(jìn)行處罰的尺度,鑒于我國對個人信息的保護(hù)借鑒了國際經(jīng)驗[1],國際上已有司法實踐可以為我國未來針對違規(guī)處理兒童個人信息行為的執(zhí)法力度提供參考。以美國為例,截至2020年,美國聯(lián)邦貿(mào)易委員會共處罰了36家違反《兒童在線隱私保護(hù)法》的企業(yè)[2]。典型案例如2019年2月7日,美國聯(lián)邦貿(mào)易委員會對北京字節(jié)跳動科技有限公司在美國的運(yùn)營實體Musical.ly處以570萬美元罰款,其違法行為包括未通知13歲以下用戶的父母有關(guān)該應(yīng)用程序收集和使用個人信息的行為,在此類收集和使用之前未征得父母的同意,并且未在父母的要求下刪除該信息。以及,2019年9月4日,谷歌與美國聯(lián)邦貿(mào)易委員會達(dá)成和解協(xié)議,同意就旗下YouTube視頻公司非法收集和分享兒童個人信息一案共支付1.7億美元的罰金,因為其存在以下三種違法行為:未能在其網(wǎng)站上充分披露他們?nèi)绾问占⑹褂脙和畔ⅲ晃聪蚣议L直接報告兒童信息收集的方式和內(nèi)容;未能在收集信息前獲得家長的明確同意。以歐盟國家為例,荷蘭數(shù)據(jù)保護(hù)局(Autoriteit Persoonsgegevens)于2021年7月22日,以侵犯兒童隱私為由,決定對字節(jié)跳動旗下短視頻社交平臺TikTok(“抖音”國際版)處以75萬歐元的罰款,原因使2018年5月25日至2020年7月29日間,TikTok沒有以“可以理解的語言”告知兒童關(guān)于個人數(shù)據(jù)的處理,從而違反了GDPR第12(1)條的規(guī)定。 我們在提供常年法律顧問服務(wù)過程中也遇到一些客戶在提供服務(wù)過程中需要收集、存儲和使用未成年人個人信息的情況,如學(xué)校委托第三方處理學(xué)生報考事宜、企業(yè)提供考務(wù)外包服務(wù)等。各行各業(yè)在開展業(yè)務(wù)的過程中未成年人也是用戶的重要構(gòu)成部分。在法律加強(qiáng)對未成年人個人信息保護(hù)力度,主管機(jī)關(guān)監(jiān)管趨嚴(yán)的當(dāng)下,企業(yè)面向兒童開展業(yè)務(wù)過程中,如何合法合規(guī)處理兒童個人信息,避免被追究法律責(zé)任,是亟待明確的問題。 2021年11月1日實施的《中華人民共和國個人信息保護(hù)法》(以下簡稱“個保法”)是個人信息保護(hù)領(lǐng)域的基本法,該法重申了對未成年人個人信息的特殊保護(hù),本文以此為切入點(diǎn),結(jié)合其他有關(guān)未成年人個人信息收集方面的法律規(guī)定,明確未成年人個人信息收集的底線和邊界,并提出具有可操作性的未成年人個人信息處理合規(guī)指引。 二、哪些未成年人的個人信息需要受到特殊保護(hù)? 根據(jù)我國相關(guān)法律規(guī)定,不滿十四周歲未成年人的個人信息需要受到特別保護(hù)。 個保法第二十八條將不滿十四周歲未成年人的個人信息列為敏感個人信息,適用敏感個人信息的處理規(guī)則。《中華人民共和國未成年人保護(hù)法》第七十二條、《數(shù)據(jù)安全管理辦法(征求意見稿)》第十二條、《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第二條和《信息安全技術(shù)個人信息告知同意指南》3.2也作出了相同的規(guī)定。 三、未成年人個人信息收集的相關(guān)法律規(guī)定 個保法確立了以“告知—同意”為核心的個人信息處理系列規(guī)則。在收集未成年人個人信息過程中應(yīng)對哪些事項進(jìn)行告知,應(yīng)取得哪些人的同意,違規(guī)收集信息將導(dǎo)致什么樣的法律責(zé)任,本節(jié)對相關(guān)法律規(guī)定進(jìn)行了梳理。 (一)未成年人個人信息收集過程中的告知事項 《中華人民共和國個人信息保護(hù)法》第十七條規(guī)定了處理個人信息時應(yīng)告知的內(nèi)容,第三十條規(guī)定了處理包括不滿十四周歲未成年人個人信息的敏感個人信息時應(yīng)告知的內(nèi)容。《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第十條規(guī)定了網(wǎng)絡(luò)運(yùn)營者處理未成年人信息時應(yīng)告知的內(nèi)容。 總結(jié)而言,處理不滿十四周歲未成年人個人信息時至少應(yīng)告知以下內(nèi)容: 1.個人信息處理者的名稱或者姓名和聯(lián)系方式; 2.個人信息的處理目的、處理方式,處理的個人信息種類、保存期限; 3.個人行使個保法規(guī)定權(quán)利的方式和程序; 4.法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項; 5.處理敏感個人信息的必要性以及對個人權(quán)益的影響 一至四項事項發(fā)生變更的,應(yīng)當(dāng)將變更部分告知個人。第三項中個人行使個保法規(guī)定權(quán)利是指個保法第四章規(guī)定的個人在個人信息處理活動中的權(quán)利,主要是個人對其個人信息的處理的知情權(quán)和決定權(quán),具體包括請求查閱、復(fù)制、更正、補(bǔ)充和刪除個人信息的權(quán)利。 網(wǎng)絡(luò)運(yùn)營者處理未成年人個人信息時除了告知上述事項外,還應(yīng)告知以下內(nèi)容: 1.個人信息存儲的地點(diǎn)、期限和到期后的處理方式; 2.個人信息的安全保障措施; 3.拒絕的后果; 4.投訴、舉報的渠道和方式; 5.更正、刪除個人信息的途徑和方法; 個保法中對于告知內(nèi)容的規(guī)定是處理個人信息時應(yīng)進(jìn)行告知的最低標(biāo)準(zhǔn),更詳細(xì)的告知內(nèi)容可參見《信息安全技術(shù) 個人信息告知同意指南(征求意見稿)》8.1的規(guī)定。 (二)監(jiān)護(hù)人明示同意制度 按照個人信息保護(hù)制度的一般規(guī)定,處理個人信息應(yīng)取得個人同意。鑒于未成年人尚未建立健全的信息保護(hù)意識,也不具備必要辨別能力和理解能力,法律對不滿十四周歲未成年人個人信息處理提出了更高的保護(hù)要求,針對未成年人個人信息的處理設(shè)立了監(jiān)護(hù)人同意制度。 個保法第三十一條、《中華人民共和國未成年人保護(hù)法》第七十二條和《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第九條均規(guī)定,個人信息處理主體處理不滿十四周歲未成年人個人信息的,應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。 上述法律未明確同意的做出方式,網(wǎng)絡(luò)運(yùn)營者取得監(jiān)護(hù)人同意的可參照《信息安全技術(shù) 個人信息告知同意指南(征求意見稿)》9的相關(guān)規(guī)定。 (三)違規(guī)收集未成年人信息的法律責(zé)任 在全國首例未成年人網(wǎng)絡(luò)保護(hù)民事公益訴訟案中,案涉公司承擔(dān)了停止侵權(quán)、賠禮道歉、消除影響、賠償損失的法律責(zé)任。根據(jù)個保法相關(guān)規(guī)定,違規(guī)收集未成年人信息的,相關(guān)主體將依法被追究民事責(zé)任、行政責(zé)任或刑事責(zé)任。 根據(jù)個保法第六十六條規(guī)定,違法處理個人信息或者未履行個人信息保護(hù)義務(wù)的,由主管機(jī)關(guān)責(zé)令改正,給予警告,沒收違法所得,對違法處理個人信息的應(yīng)用程序,責(zé)令暫停或者終止提供服務(wù);拒不改正的,并處一百萬元以下罰款;對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。情節(jié)嚴(yán)重的,處罰金額最高可達(dá)五千萬元或者上一年度營業(yè)額百分之五,并可受到責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可或者吊銷營業(yè)執(zhí)照的處罰。 根據(jù)個保法第六十七條規(guī)定,違規(guī)企業(yè)將被記入信用檔案,并予以公示。 民事責(zé)任方面,個保法第六十九條規(guī)定,違規(guī)收集未成年人信息侵害個人信息權(quán)益造成損害的應(yīng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任。 個保法第七十一條規(guī)定,違法行為構(gòu)成違反治安管理行為的,依法給予治安管理處罰;構(gòu)成犯罪的,依法追究刑事責(zé)任。 四、結(jié)語——對于收集未成年人個人信息合規(guī)建議 (一)依照最小必要原則篩選必須收集未成年人個人信息的業(yè)務(wù)場景 個人信息收集應(yīng)遵循最小必要原則,即個人信息的收集處理應(yīng)限于實現(xiàn)處理目的所必要的最小范圍。在收集未成年人個人信息時,更應(yīng)該對收集個人信息的業(yè)務(wù)場景做出嚴(yán)格限制。各企業(yè)應(yīng)對自身業(yè)務(wù)進(jìn)行梳理分類,篩選出必須收集個人信息的業(yè)務(wù),并對收集個人信息的目的、必要性等加以明確,為收集未成年人個人信息的行為提供合法理由。 (二)采取合理措施識別未成年人用戶并驗證其監(jiān)護(hù)人 為識別不滿十四歲的未成年人,應(yīng)建立年齡認(rèn)證和識別系統(tǒng), 或利用真實身份注冊驗證機(jī)制, 有效識別未成年人用戶。 收集未成年人的個人信息前, 嚴(yán)格要求用戶的父母或其監(jiān)護(hù)人明示同意。參照其他國家關(guān)于未成年人父母或監(jiān)護(hù)人明示同意的規(guī)定,表示明示同意的方法包括: 1.簽署一份書面的同意文件并通過傳真、郵箱或電子掃描方式郵寄回來; 2.通過電話聯(lián)系; 3.進(jìn)行視頻會議; 4.提供政府頒發(fā)的可在數(shù)據(jù)庫中查詢的ID復(fù)印件; 5.使父母或監(jiān)護(hù)人回答一系列以知識為基礎(chǔ)的對于父母之外的人很難回答的具有挑戰(zhàn)的問題; 6.驗證父母或監(jiān)護(hù)人的照片,通過人臉識別技術(shù)進(jìn)行對比。 企業(yè)還應(yīng)設(shè)置篩查甄別機(jī)制, 及時發(fā)現(xiàn)未經(jīng)同意而收集的未成年人個人信息, 及時刪除相關(guān)數(shù)據(jù)。 (三)制定未成年人個人信息處理隱私政策 在收集未成年人個人信息階段應(yīng)向本人及其父母監(jiān)護(hù)人發(fā)布未成年人個人信息處理隱私政策。隱私政策應(yīng)當(dāng)是清晰易理解的。隱私政策應(yīng)該封閉列舉出所要收集的未成年人個人信息,并清晰且全面地說明未成年人個人信息被收集后是如何處理的以及其他法律規(guī)定的應(yīng)該告知未成年人父母或其他監(jiān)護(hù)人的內(nèi)容。 注釋 [1] 個人信息保護(hù)法借鑒國際經(jīng)驗自身特色明顯 http://iolaw.cssn.cn/jyxc/202108/t20210823_5354991.shtml [2][https://www.ftc.gov/tips-advice/business-center/legal-resources?type=case&field_consumer_protection_topics_tid=246]
