个保法系列解读 | 触网低龄化,儿童个人信息如何保护?
共 3234字,需浏览 7分钟
·
2021-12-18 06:30
正式实施的《个人信息保护法》(以下简称“《个保法》”)已经成为各类个人信息处理者的基本行为规范。为了帮助企业更好地了解《个保法》的合规要求,TalkingData法务合规部特别撰写系列文章,解析重点议题与对应法条,并对企业实践情况进行调研,供相关从业者参考。
儿童作为一类特别需要保护的群体,《个保法》对处理儿童个人信息的行为提出了更严格的要求,将不满十四周岁未成年人的个人信息规定为敏感个人信息,并要求相关企业对此制定专门的个人信息处理规则。本篇文章将结合《个保法》与《儿童个人信息网络保护规定》(以下简称“《规定》”)的内容,对儿童个人信息保护进行深入解读。
一、儿童个人信息保护
1.什么是儿童?
《个保法》也指出不满十四周岁未成年人应进行特殊的保护,《规定》进一步将此类主体定义为儿童,此年龄界限参考了《刑法》中对刑事责任年龄的划分标准,因为《刑法》规定不满十四周岁的人无论实施何种危害行为都不负刑事责任。一般十四周岁以下未成年人自我保护能力较弱,个人信息一旦遭到不法者利用,可能导致极为严重的后果,所以需要立法给予特殊的保护。但是世界各国对于儿童的年龄界定并不相同,美国的《儿童在线隐私保护法案》设置的年龄线为十三周岁,欧盟则在GDPR中规定以十六周岁为限,各成员国也可以自行设定年龄线,但是不能低于十三周岁。
2.儿童个人信息是敏感个人信息吗?
《个保法》特别指出不满十四周岁未成年人的个人信息属于敏感个人信息,只有具备特定的目的和充分的必要性,并采取严格保护措施的情形下,才能处理敏感个人信息。
3.收集儿童个人信息前应告知哪些内容?
处理儿童个人信息的目的、方式和范围;处理的个人信息种类;信息存储的地点、期限和到期后的处理方式;信息的安全保障措施;拒绝的后果;个人行使法定权利的方式和程序,尤其是投诉、举报的方式,以及更正、删除信息的途径;处理儿童个人信息的必要性以及对个人权益的影响,以及其他法律、行政法规规定应当告知的事项。
4.收集儿童个人信息前应如何获取其监护人的同意?
《个保法》要求处理儿童个人信息的,应当取得其父母或者其他监护人的单独同意。且在征得同意时,应当同时提供拒绝选项。《个保法》和《规定》均没有对获取监护人同意的方式进行细化规定,具体实现同意的方式可以借鉴由美国联邦贸易委员会针对美国儿童在线隐私保护法案发布的《企业六步合规规则》中的内容,例如监护人签署同意书并通过传真,邮件或电子扫描等方式将其反馈;使用信用卡,借记卡或其他在线支付系统向账户持有人提供每笔单独交易的通知;拨打由受过培训的公司接待员工的免费号码等确保儿童监护人同意的方式。
5.收集儿童个人信息前需要进行个人信息影响评估吗?
需要。《个保法》规定处理敏感个人信息者应当进行事前个人信息保护影响评估,并对处理情况进行记录。重点评估儿童个人信息的处理目的、处理方式等是否合法、正当、必要;对儿童个人权益的影响及安全风险;所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存3年。具体的评估方式可参考TalkingData参与编写的GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》。
6.收集儿童个人信息有什么特殊的合规要求?
结合《规定》和《个保法》的内容,总结出如下合规要求:
合规要点 | 具体要求 |
收集 | 不得违反法律及行政法规规定和双方约定的目的和范围收集、使用儿童个人信息。因业务需要确需超出约定目的和使用范围的,应当再次征得儿童监护人同意。 |
储存 | 期限:不得超过实现其收集、处理目的所必需的存储期限。 技术:采取加密等措施存储儿童个人信息。 |
删除 | 应删除情形: 目的:处理目的已实现、无法实现或者为实现处理目的不再必要;企业违反法律、行政法规规定或者双方约定目的范围;超出目的范围或者必要期限收集、处理信息。 停止服务:个人信息处理者停止提供产品或者服务,或者保存期限已届满;儿童或者监护人通过注销方式终止使用企业提供的产品或者服务的。 撤回同意:监护人撤回同意。 |
转移 | 事前安全评估:向第三方转移儿童个人信息应自行或者委托第三方机构进行安全评估。 签署数据处理协议:与第三方合作处理儿童个人信息的,应当通过签署数据处理协议明确双方责任、处理事项、处理期限、处理性质和目的等儿童个人信息保护相关义务,委托行为不得超出授权范围。 |
组织管理 | 专门管理:指定专人负责儿童个人信息保护;设置专门的儿童个人信息保护规则和用户协议。 权限管理:以最小授权为原则,严格设定内部信息访问权限,控制儿童个人信息知悉范围,记录数据访问情况。 权限审批:访问儿童个人信息时应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。 安全事件:当发生儿童个人信息泄露、损毁、丢失等信息安全事件时,应启动应急预案,立即向主管部门报告,并以任何可能方式向受影响的儿童及其监护人告知。 |
二、企业实践情况调研
《个保法》要求设置专门的个人信息处理规则,经过调研Apple App Store前30免费App的隐私政策,所有的App都规定了儿童的个人信息处理规则,其中超过60%的App均在隐私政策中设置了单独的儿童隐私保护政策。
*可关注本公众号,发送关键词「儿童信息保护」,获取完整调研报告
约63%的App在隐私政策的儿童个人信息保护部分嵌入了单独的儿童隐私保护政策链接,通过设置单独的儿童隐私政策来阐述专门的处理规则,例如“微信”和“支付宝”,具体截图如下:
微信隐私政策
支付宝隐私政策
其中“抖音”还特别设置了一个亲子平台,并在隐私政策中嵌入了《抖音亲子平台服务协议》的链接,其指出申请人可以向抖音提供申请资料(包括但不限于合法的身份证明、监护人资格证明、抖音帐号、联系方式等信息),抖音通过申请后,申请人可通过账号登录使用时长设置、青少年模式设置功能,对被绑定的未成年人的抖音账号采取限制措施。当被申请人年满十八周岁后,服务自动终止。
约37%的App在隐私政策中披露关于儿童个人信息处理的专门规则,特别强调需要儿童的监护人阅读并同意隐私政策,例如“剪映”和“高德地图”,具体截图如下:
剪映
高德地图
但是所有的App在初始化时只会单独显示隐私政策或同时展示隐私政策和儿童隐私政策,并要求用户勾选同意,并没有App会单独显示儿童隐私政策并要求勾选同意。
*可关注本公众号,发送关键词「儿童信息保护」,获取完整调研报告
随着触网年龄的低龄化发展,儿童个人信息保护的问题一直备受关注,因此《个保法》特别规定了不满14周岁未成年人的个人信息属于敏感个人信息,此类个人信息的收集需要获取单独同意。TalkingData已在隐私政策中明确表示在知情的情况下,不会收集和使用儿童的数据,会在严格遵守《个保法》的相关规定的基础上积极推进个人信息保护工作,完善公司内部的合规体系。
推荐阅读:
TalkingData——用数据说话
每天一篇好文章,欢迎分享关注
