导航

美高梅手机娱乐观点

儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些? 编辑:陈际红 吴佳蔚 罗芸 2019-06-06

 

6·1国际儿童节来临之际,国家互联网信息办公室颁布了《儿童个人信息网络保护规定(征求意见稿)》(以下简称“《保护规定》”)。为保护儿童权益,自今年年初以来,国家网信办等执法当局也采取了种种举措。国家网信办、工业和信息化部、公安部、市场监管总局在开展App违法违规收集使用个人信息专项治理(“四部委行动”)时,将未经监护人同意,收集使用14 周岁以下(含)未成年人个人信息的情形列为专项整治对象之一[1]。国家网信办在5月还同时全面推行“青少年防沉迷系统” [2]。这些近期举措,足见国家就未成年人信息保护以及相关的网络空间治理的决心。继《未成年网络保护条例(送审稿)》之后,与《GB/T 35273-2017信息安全技术 个人信息安全规范》(以下简称“《个人信息安全规范》”)实质要求一脉相承的《保护规定》对于未成年人个人信息保护提出了更为具体和详尽的要求。其中,获得监护人的明示同意是《保护规定》收集、使用儿童(14周岁以下)个人信息的前提。

 

美国早在1998年通过了《儿童在线隐私保护法》(Children’s Online Privacy Protection Act,以下简称“COPPA”),适用于美国司法辖区内在线收集13岁以下儿童的个人信息的个人或实体,说明了相关隐私政策的要求、同意的设置以及保护隐私安全的责任规则等内容。其中获得父母“可验证的同意”(verifiable consent)亦是该制度的核心之一,在落实的过程中监管机构对于企业如何完成COPPA合规付出了诸多努力,尤其针对同意的要求、落实及其适用例外通过制定合规指引等形式配合法案进行了明确的规定。本文旨在通过对于美国COPPA关于同意的设定与保护规定及相关规则的比较给企业下一步落实儿童个人信息的同意义务提供更为明确的借鉴。 

 

 

 

一、中国《儿童个人信息网络保护规定(征求意见稿)》

 

 1.

同意的来源及相关规范

 

同意的规定

同意的例外

《网络安全法》

第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

N/A

《个人信息安全规范》

5.3 收集个人信息时的授权同意

5.5 收集个人敏感信息时的明示同意

c) 收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。

以下情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意:

a) 与国家安全、国防安全直接相关的;

b) 与公共安全、公共卫生、重大公共利益直接相关的;

c) 与犯罪侦查、起诉、审判和判决实行等直接相关的;

d) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;

e) 所收集的个人信息是个人信息主体自行向社会公众公开的;

f) 从合法公开披露的信息中收集个人信息的,如合法的资讯报道、政府信息公开等渠道;

g) 根据个人信息主体要求签订和履行合同所必需的;

h) 用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;

i) 个人信息控制者为资讯单位且其在开展合法的资讯报道所必需的;

j) 个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的;

k) 法律法规规定的其他情形。

 

《网络安全法》并未明确规定同意存在例外情形,《个人信息安全规范》相关规定则是根据实践进行的一些归纳和推荐,在《网络安全法》的框架下,《个人信息安全规范》的上述例外规定通常可能被认定为国家安全、公共利益所需或者是信息主体已经默示同意(通常是在对个人信息主体权益的实际影响较低的情况下)。

 

 2.

保护规定中对于同意的具体规定

同意的规定

同意的例外

《儿童个人信息网络保护规定(征求意见稿)》第七条

网络运营者收集、使用儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的明示同意。明示同意应当具体、清楚、明确,基于自愿。

《儿童个人信息网络保护规定(征求意见稿)》第十九条

网络运营者收集、使用、转移、披露儿童个人信息,有以下情形之一的,可以不经过儿童监护人的明示同意:

    (一)为维护国家安全或者公共利益;

    (二)为消除儿童人身或者财产上的紧急危险;

    (三)法律、行政法规规定的其他情形。

 

由于儿童主体的特殊性,对其个人信息的处理必须满足明示同意的条件,这也与《个人信息安全规范》相符。但由于明示同意的规定较为严格,如果不明确规定例外情形的话,无疑会造成个人信息控制者的额外负担,也不利于保障儿童以及国家的相关利益。

 

 

 

 

二、美国COPPA

 

 1.

关于同意的规定和例外

同意的规定【3】

同意的例外【4】

(A)要求向儿童收集个人信息的任何网站或提供在线服务的运营商或实际知晓其网站或服务向儿童收集个人信息的运营商或在线服务运营商,

(i)在其网站上通知,运营商向儿童收集了哪些信息,运营商如何使用这些信息,以及运营商对此类信息的披露的情形;并且

(ii)获取可验证的父母同意,以收集,使用或披露儿童的个人信息。

以下情况下,并不要求根据第(1)(A)(ii)款作出的可验证的父母同意:

(A)从儿童收集的在线联系信息,该信息仅用于一次性直接响应儿童的特定要求,不用于再次联系儿童,并且运营者不得以可检索的形式保存;

(B)父母或儿童的姓名或在线联系信息的请求,仅限于获得父母同意或根据本节提供通知的目的,如在合理的时间后没有获得父母同意,运营者不以可检索的形式保留此类信息;

(C)从儿童收集的在线联系信息,该信息仅用于直接针对儿童的特定请求作出一次以上的回复,并且不得重新联系该儿童将该信息用于该请求范围之外的目的:

(i)如果在对儿童作出初步回应之后的任何其他答复之前,运营者采取合理措施向父母提供从儿童收集的在线联系信息,其使用目的以及父母可以要求经营者不可进一步使用该等信息并且不能以可检索的形式留存该等信息;或

(ii)在委员会认为适当的情况下,根据在此规定的条例中,在没有通知父母时,结合儿童获得信息和服务的利益,以及对儿童的安全和隐私的风险;

(D)儿童的姓名和在线联系信息(在保护网站儿童参与者安全的合理必要范围内):

(i)仅用于保护此类安全的目的;

(ii)不得用于重新联系儿童或任何其他用途;并且

(iii)如果运营者采取合理措施向父母提供从儿童收集的姓名和在线联系信息,使用目的以及父母可以要求经营者不可进一步使用该等信息并且不能以可检索的形式留存该等信息;或

(E)该网站的运营者或在线服务所需收集,使用或传播该等信息是以下所必需:

(i)保护其网站的安全性或完整性;

(ii)采取预防措施以避免责任;

(iii)回应司法程序;或

(iv)在其他法律规定允许的范围内,向执法机构提供信息或就与公共安全有关的事项进行调查。 

 

 2.

FTC的合规指引

美国联邦贸易委员会(Federal Trade Commission,简称FTC)是COPPA唯一的监管机构。FTC为COPPA制定了包括《企业六步合规计划》(A Six-Step Compliance Plan for Your Business)在内的合规指南[5], 为企业遵守COPPA提供了实用指引。

合规指南规定 ——“可验证的同意”

合规指南规定 —— 同意的例外

在收集、使用和披露儿童个人信息前,必须征得其父母的可验证的同意。COPPA将这个问题留给企业,但是须通过清晰可用的技术设计,合理选择一个方法以确保作出同意的是儿童的父母,而非儿童本人,这点非常重要。

可接受的方法包括:

(1)父母签署一个同意表格并通过传真、邮箱或电子扫描方式邮寄;

(2)让父母使用信用卡、借记卡或其他在线支付系统等可以向账户持有人提供每笔单独交易的通知的系统;

(3)使父母可以通过免费号码与经过相关常识培训的人员通话;

(4)使父母可以与经过相关常识培训的人员进行视频会议;

(5)使父母提供政府颁发的可在数据库中查询的ID复印件,但要在完成认证程序后删除认证记录;

(6)使父母回答一系列对于父母之外的人很难回答的问题;

(7)验证由父母提供的父母的驾照和父母本人照片,通过人脸识别技术进行对比。

如果仅将儿童的个人信息用于内部目的而不会披露,可以使用 “电子邮件+”的方法。根据该方法,向父母发送电子邮件并让他们回复以表示同意。然后,必须通过电子邮件,信件或电话向父母发送确认。如果使用“电子邮件+”,必须让父母知道他们可以随时撤销他们的同意。

   

必须让父母选择允许收集和使用他们孩子的个人信息,而不能捆绑式同时同意向第三方披露该信息。如果对父母已经同意的收集,使用或披露做法进行了更改,必须向父母发送新通知并征得父母的同意。

一般而言,在收集儿童的个人信息之前,必须获得家长的可验证同意。 但是,该要求有一些有限的例外情况,允许在未经父母同意的情况下收集信息。 但是在每个例外情况下可能收集的信息范围很窄。不能再收集任何例外之外的信息。 此外,如果根据其中一个例外收集信息,则不能将其用于任何其他目的或将其披露。

(1)事由:获得可验证的父母同意

可收集儿童和父母的姓名和在线联系信息,如果未在合理时间内获得同意,则必须删除其联系信息。必须在直接通知中告知父母相关信息(包括链接到隐私政策);

(2)事由:主动向父母通知他们的儿童参与或接受不收集个人信息的网站或服务

可收集家长的在线联系信息,但必须在直接通知中告知父母相关信息(包括链接到隐私政策);

(3)事由:直接回应儿童的特定一次性请求(例如,如果儿童想要参加比赛)

可收集儿童的在线联系信息,不能使用这些信息来再次联系该儿童,响应请求后,必须将其删除。无需直接通知;

(4)事由:直接回应儿童的多次特定要求(例如,如果儿童想要收到时事通讯)

可收集儿童和父母的在线联系信息,不能将此信息与从儿童收集的任何其他信息相结合。但必须在直接通知中告知父母相关信息(包括链接到隐私政策);

(5)事由:为保护儿童的安全

可收集儿童和父母的姓名和在线联系信息,但必须在直接通知中告知父母相关信息(包括链接到隐私政策);

(6)事由:保护您网站或服务的安全性或完整性,防范责任,回应司法程序,或在法律允许的情况下,向执法部门提供信息

可收集儿童的姓名和在线联系信息,无需直接通知;

(7)事由:为站点或服务的内部操作提供支撑

包括:维护或分析网站的运作,实行网络通信,验证网站用户或个性化内容,提供内容相关广告或频次上限,保护用户或网站的安全性或完整性,法律或监管合规,或根据前文一次性联系或多次联系儿童的例外的请求。

可收集持久标识符(又称“单一标识符”),不能使用该信息与特定人员联系,包括通过行为广告,收集特定人员的个人资料或用于任何其他目的。如果收集持久标识符以外的个人信息,则不能使用此例外。无需直接通知;

   

(8)事由:如果确实知道某主体的信息是通过导向儿童的网站收集的,但他们之前的注册表明此该主体是13岁或以上,此例外仅适用于:只收集持久标识符而不收集其他个人信息;此主体已确定与网站或服务进行交互以触发收集; 并且已经对该主体进行了年龄筛选,表明他或她已经13岁或以上。可直接收集持久标识符而无需直接通知。

 

其中关于同意的环节,该合规指引列出了非常明确具体的路径供企业参考,同时对于同意的例外亦进行了事由(目的)、收集数据类型、直接通知以及其他限制条件方面的明确规定。

 

· 比较与评析

 

同意的规定

同意的例外

《保护规定》

监护人的明示同意

·  为维护国家安全或者公共利益;

·  为消除儿童人身或者财产上的紧急危险;

·  法律、行政法规规定的其他情形。

COPPA

父母的可验证的同意(并且在合规指引中明确了具体的实践方法)

·   出于通知以获得可验证同意的目的收集;

·   出于特定的响应儿童一次或多次请求的目的收集(目的和数据类型均有严格限制);

·   保护儿童安全(目的和数据类型均有严格限制);

·   保护其网站的安全性或完整性;采取预防措施以防范责任;回应司法程序;或在法律其他规定允许的范围内,向执法机构提供信息或就与公共安全有关的事项进行调查(目的和数据类型均有严格限制)。

 

《保护规定》和COPPA均规定了监护人的明确同意为处理儿童个人信息的前提,并且也均规定了同意的例外情形。最大的区别为,COPPA经过近20多年的实施,在合规实施的颗粒度和落实程度方面更胜一筹:在同意方面,其合规指引直接列举了明确的验证父母同意的途径;在例外情形层面,除了与《保护规定》相同或近似的公共安全、保护儿童安全以及法律法规另行规定外,对于企业正当的不会对儿童权益造成实质性影响的行为(如保护网站安全完整等)严格限定的同时也允许该等例外情形发生。《保护规定》只是草案,相对而言规定较为概括,在接下来的正式文本制定以及相关标准出台的过程中,COPPA的上述操作具有一定的借鉴意义。涉及儿童个人信息处理的企业可尝试吸取学习上述合规要求,厘清企业收集儿童数据的事由,并探讨是否会落入可能的例外情形中,为自身即将面临的合规义务做好准备。

 

 

【注] 

[1]《App违法违规收集使用个人信息行为认定方法(征求意见稿)》七、侵犯未成年人在网络空间合法权益的情形。

[2] 网络视频平台全面推进防沉迷系统http://www.cac.gov.cn/2019-05/28/c_1124550009.htm,访问日期:2019年06月04日。

[3] 15 U.S.C. §§ 6502. (b) (1).

[4]15 U.S.C. §§ 6502. (b) (2).

[5] Children’s Online Privacy Protection Rule: A Six-Step Compliance Plan for Your Business, 链接:https://www.ftc.gov/tips-advice/business-center/guidance/childrens-online-privacy-protection-rule-six-step-compliance, 访问日期:2019年06月04日。

XML 地图 | Sitemap 地图