对外提供儿童个人信息的安全评估要求
(一)委托处理儿童个人信息的安全评估要求
1.相关规定
根据《儿童个人信息网络保护规定》第16条,网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。
前款规定的受委托方,应当履行以下义务:(一)按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息;(二)协助网络运营者回应儿童监护人提出的申请;(三)采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈;(四)委托关系解除时及时删除儿童个人信息;(五)不得转委托;(六)其他依法应当履行的儿童个人信息保护义务。
2.理解适用
前述规定主要沿用了《个人信息安全规范》第9.1条“委托处理”的要求,明确了网络运营者进行安全评估、签署委托协议和受委托方应当履行的义务要求。
从网络运营者的角度,其需要进行安全评估并与受托方签署委托协议。“安全评估”的对象主要是受委托方和委托行为,评估内容主要是是否在儿童监护人授权范围、受委托方是否具备适当的数据安全能力以及发生儿童个人信息泄露、损毁和丢失的风险等。“签署委托协议”,旨在强调通过协议明确双方责任、处理事项、处理期限、处理性质和目的等,构成对受委托方的有效约束,也一定程度上能够作为网络运营者豁免责任或减轻责任的证明。
从受委托方的角度,其需要遵循委托协议的约定,并履行本条约定的6项义务要求。其中,需要指出的是,第4项要求“委托关系解除时及时删除儿童个人信息”,使用的措辞是“及时删除”,没有留下允许“匿名化处理”的口子,受委托方需要对此予以关注。此外,相较于征求意见稿,本条在“按照网络运营者的要求”之外增加“法律、行政法规的规定”,进一步明确了受委托方处理儿童个人信息应遵循的要求,需要予以注意。
(二)向第三方转移儿童个人信息的安全评估要求
1.相关规定
根据《儿童个人信息网络保护规定》第17条,网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估。
2.理解适用
前述规定沿用了《网络安全法》第42条“……未经被收集者同意,不得向他人提供个人信息……”的要求。需要指出的是,相较于征求意见稿,前述规定删除了“征得儿童监护人的明示同意”要求,但并非不要征得监护人的同意,而是将该要求统一规定至该规定的第9条。具体理解前述规定,需要进一步探讨两个问题:
第一个问题,怎么理解“转移儿童个人信息”中的“转移”。《个人信息安全规范》第3.12条对“转让”的定义为“将个人信息控制权由一个控制者向另一个控制者转移的过程”。前述规定的“转移”与该条规定的“转让”无实质性区别,宜作同义理解。而且,从安全评估和征得同意的规定看,前述规定与《个人信息安全规范》第9.2a)、b)条对个人信息转让要求的思路相近,也能说明将“转移”与“转让”作同义理解具有合理性。
第二个问题,“安全评估”。安全评估可以由网络运营者自行开展,也可以委托第三方机构进行。
此外,境外实践中,如美国,一般将是否向第三方披露作为处罚违反儿童个人信息保护规定的主要考虑因素之一。参照该等要求,建议网络运营者审慎向第三方转移儿童个人信息。如确为业务所必需而进行转移,应开展安全评估并根据安全评估结果采取相应的安全保障措施,在确保风险可控的情况下再行转移。