在今年儿童节,全国的儿童收到了国家互联网信息办公室送出的一份礼物——5月31日下午,国家互联网信息办公室发布通知,就《儿童个人信息网络保护规定(征求意见稿)》(以下简称意见稿)公开征求意见。
为保护儿童个人信息安全,意见稿提出,网络运营者收集、使用儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的明示同意。明示同意应当具体、清楚、明确,基于自愿。
中国青少年研究中心少年儿童研究所所长孙宏艳近日在接受《法制日报》记者采访时指出,现在的儿童已经是“互联网原住民”,对于互联网的接触和使用非常频繁,但与此同时,他们的个人信息安全也面临不少风险。规定的制定,意味着对儿童权益的保护变得更加精细化。
对于儿童个人信息保护,中国政法大学传播法研究中心副主任朱巍有着更多期待。
“在互联网时代,《儿童个人信息网络保护规定》的制定非常有必要,有利于进一步保护儿童权益。目前,个人信息保护法正在制定,建议将儿童个人信息保护作为专章,作出更加细致和更有可操作性的规定。”朱巍说。
在北京市致诚律师事务所副主任、北京青少年法律援助与研究中心研究员张雪梅看来,对于儿童个人信息的保护,无论是单独立法还是在个人信息保护法中设立专章,最关键的是要明确儿童利益最大化原则,要确保作出的规定更加细化、有实施性和可操作性。
多数儿童不会保护个人信息
将伴随互联网成长的“00后”“10后”称为“互联网原住民”,并不为过。
共青团中央维护青少年权益部、中国互联网络信息中心今年3月26日共同发布的《2018年全国未成年人互联网使用情况研究报告》(以下简称《报告》)显示,我国未成年网民规模为1.69亿,未成年人的互联网普及率达93.7%。
然而,这些“互联网原住民”的“居住环境”仍有需要改善的地方。
《报告》指出,网络暴力、网络违法和不良信息仍然存在,未成年人网络保护需要加强。15.6%的未成年人表示曾遭遇网络暴力,最常见的是在网上被讽刺或谩骂、自己或亲友在网上被恶意骚扰、个人信息在网上被公开。
对于《报告》的结论,孙宏艳同样深有感触。孙宏艳曾经带领团队作过儿童上网方面的调研,她发现很多未成年人尤其是儿童在上网时最担心网络安全问题,他们担心自己在上网时个人信息会泄露,担心会因此遭遇骚扰、谩骂等网络暴力。
“事实上,大多数儿童都不会保护自己的个人信息。我们在调研中了解到,把名字、年龄等信息告诉陌生人的儿童还是有一定比例的。而且,他们在认知和行为上存在脱节的情况。即使有的孩子知道信息泄露是不安全的,但在做到别的题目时,其不经意间选择的答案,却已经泄露了个人信息。”孙宏艳说。
让人更加忧虑的是,即使这些儿童提升了主动防范意识,也未必能防止信息泄露。毕竟,连成人都无法解决个人信息泄露的问题。
但正因为如此,更加凸显了儿童个人信息保护的紧迫性和重要性。
孙宏艳指出,儿童个人信息保护是儿童权益保护的重要组成部分,信息泄露可能是侵害儿童权益的开始,这些泄露的信息会成为侵害儿童权益的突破口。
“同时,儿童个人信息保护还是一个更深层次的保护,就是对儿童心理健康和价值观的保护。儿童个人信息泄露后,不仅会危害到他们的心理健康,还会给他们造成一种‘信息泄露无碍’的错觉,不利于他们养成正确的价值观。”孙宏艳说。
网络运营者应建儿童信息管理制度
专家认为,在互联网时代,企业掌握的个人信息最多,有义务也有能力承担起保护个人信息的重任。
“在互联网时代,无论是论坛、微博等社区,还是微信、支付宝、抖音等App,或者是淘宝、京东等网购平台,都掌握了大量的个人信息。而且,其中一些企业的产品使用频次还很高。可以说,保护企业所掌握的个人信息,是个人信息保护工作的重中之重。”朱巍说。
朱巍介绍说,2018年5月25日,欧盟的《通用数据保护条例》正式生效,旨在限制互联网及大数据企业对个人信息和敏感数据的处理,从而保护数据主体权利。可以看出,意见稿也是采用了这样的立法思路。
在意见稿中,绝大多数的条款,都强调了网络运营者所要承担的责任。
意见稿要求,在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,适用本规定。
意见稿还提出,网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。
对于这样的立法思路,张雪梅认为非常有必要。
意见稿拟规定,网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并设立个人信息保护专员或者指定专人负责儿童个人信息保护。适用于儿童的用户协议应当简洁、易懂。
“除此之外,网络运营者还应当建立专门的档案,制定儿童信息的管理制度,明确保密职责,落实保密责任,严格信息档案管理和信息处理。”张雪梅说。
要明确儿童个人信息授权主体
近日,全国人大常委会法工委经济法室副主任杨合庆向媒体介绍,十三届全国人大常委会已将制定个人信息保护法列入了立法规划,常委会法制工作机构正同有关方面在深入总结现行法律实施经验的基础上,对个人信息保护立法的有关问题进行研究论证,抓紧立法相关工作。
朱巍认为,无论是《通用数据保护条例》的实施,还是意见稿的制定,从中都可以看出,加大对儿童信息的保护力度,在全球范围内都是一个大的趋势。因此,应当抓住个人信息保护法正在制定这个契机,加大儿童个人信息的保护力度。
朱巍认为,对于儿童个人信息的保护,除了要强调网络运营者的责任,还要明确监护人的作用。
《通用数据保护条例》专门作出规定,只有在儿童年满16周岁时,基于同意的数据处理才是合法的。如果儿童未满该年龄,则只有在有监护权的父母同意(或授权)的情况下,数据处理才是合法的。
意见稿规定,网络运营者收集、使用儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的明示同意。明示同意应当具体、清楚、明确,基于自愿。
“立法时必须要明确儿童个人信息的授权主体,除了儿童以外,必须要有监护人。儿童属于限制民事行为能力人,他们在个人信息保护方面的意识是不足的。因此,网络运营者在收集儿童信息时,必须征得监护人的同意,而不能交由儿童来授权。”朱巍说。
专家认为,立法还要明确一个重点内容:处理儿童个人信息时应当遵守的规则。
“对儿童个人信息的采集和使用,必须要遵守依法利用等规则,不能用作商业等法定之外的用途。因为,儿童抵制诱惑的能力是很低的,广告等诱导性的信息很可能会侵害他们的权益。因此,必须在立法时明确儿童个人信息的处理规则,提升这方面的可操作性。”朱巍说。
张雪梅指出,立法时应当规定,即使取得监护人明示同意,但基于儿童利益最大化原则和一般社会认知,不宜收集、存储、使用、转移、披露儿童个人信息,互联网运营者也不能收集、存储、使用、转移、披露。(蒲晓磊)
(责任编辑:李欣欣)