对儿童个人信息的特殊保护
8 对儿童个人信息的特殊保护
《个人信息保护法》在一般个人信息保护规则之上,对不满十四周岁的未成年人制定了特别的保护规则:将不满十四周岁未成年人的个人信息定为敏感个人信息,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息;处理不满十四周岁的未成年人的信息时,需要取得监护人的同意;个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。除该法外,其他法律规范如《未成年人保护法》《儿童个人信息网络保护规定》《个人信息安全规范》等也特别对未成年人尤其是儿童的个人信息保护进行了特别关注,凸显了未成年人个人信息保护的特殊性和重要性,形成了一个完整的保护网。
一、未成年人内部年龄群体的划分
根据《民法典》第17条,十八周岁以上的自然人为成年人,不满十八周岁的自然人为未成年人。可见,《民法典》是以十八周岁为界将自然人区分为成年人与未成年人。而《个人信息保护法》要求以十四周岁年龄为界,区分处理信息主体的信息是否需要获得监护人的同意。《儿童个人信息网络保护规定》作为《网络安全法》的配套法规,专注于规范十四周岁以下未成年人个人信息收集、使用等处理活动,要求网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。《未成年人保护法》规定网络直播服务提供者不得为未满十六周岁的未成年人提供网络直播发布者账号注册服务;为年满十六周岁的未成年人提供网络直播发布者账号注册服务时,应当对其身份信息进行认证,并征得其父母或者其他监护人的同意。《个人信息安全规范》(35273-2020)也是以十四周岁为界,将不满十四周岁未成年人的信息作为敏感个人信息对待。敏感个人信息有着更高的处理前提,个人信息处理者需具有特定的目的和充分的必要性,对个人信息处理者是否能处理以及注意义务有着更高的要求。(https://www.daowen.com)
从前述可以看出,未成年人内部群体可以以年龄为界进行进一步划分。对于未满十四周岁的未成年人的个人信息的处理,必须获得监护人的同意。对于不满十六周岁的未成年人注册网络直播发布者账号,必须要对自己的身份进行验证并获得监护人的同意,其个人信息的处理也需获得监护人的同意;而对于已满十六周岁的未成年人,则基本享有与成年人相同的个人信息权利,仅在网络游戏领域受到一定限制。
二、个人信息处理者如何识别未成年人
实践中的难点在于个人信息处理者如何识别用户是否为未成年人。《未成年人保护法》在“网络保护”一章中明确,国家建立统一的未成年人网络游戏电子身份认证系统,网络游戏服务提供者应当要求未成年人以真实身份信息注册并登录网络游戏。网络游戏服务提供者应当按照国家有关规定和标准,对游戏产品进行分类,作出适龄提示,并采取技术措施,不得让未成年人接触不适宜的游戏或者游戏功能;在网络直播发布者领域,要求网络直播服务提供者不得为未满十六周岁的未成年人提供网络直播发布者账号注册服务;为年满十六周岁的未成年人提供网络直播发布者账号注册服务时,应当对其身份信息进行认证,并征得其父母或者其他监护人的同意。而在其他行业和领域,并没有强制性的建立起统一的未成年人身份认证系统,也没有赋予个人信息处理者可以强制进行真实身份认证的权利。在实践中,大多数的身份验证仅仅是通过手机、电子邮箱的验证码等方式进行,很难对用户的身份进行判定,未成年人也很容易绕过这些关卡。对于进行人脸识别、身份证号码提交等方式,由于这些信息都属于敏感个人信息,受制于敏感个人信息的处理必须具有充分的必要性,个人信息者很难在注册时就强制用户提交上述信息。放眼全球,《美国儿童在线隐私保护规则》(COPPA)及其配套的实施细则,对于儿童个人信息保护给出了较为详尽的规定。《美国儿童在线隐私保护规则》将儿童年龄线设为13周岁,并主要约束两类企业,一类是直接面向儿童(未满13周岁)的网站、在线服务(包括移动应用和物联网设备)运营者,如提供儿童动画片、漫画或有儿童栏目的服务;另一类是面向一般大众的运营者,但实际知道其用户有儿童或者有意识地通过面向儿童的第三方运营者收集信息,如收到了父母的投诉、用户发布的信息、评论等内容显示其包含儿童信息的。针对这两类企业,《美国儿童在线隐私保护规则》提出了不同的识别未成年人的义务,比如专门面向儿童的运营者,其所有用户均被视为未成年人,而其他企业需要通过年龄筛选的方式确认其收集的信息主体是儿童。筛选的方式包括用户自主输入年龄或生日等。在我国的实践中如何解决这一问题,有待进一步探索。
三、个人信息处理者如何取得监护人的同意
若要取得监护人的同意,信息处理者或网络经营者首先需充分告知监护人相关信息。根据《儿童个人信息网络保护规定》,网络运营者征得同意时,应当同时提供拒绝选项,并明确告知收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;儿童个人信息存储的地点、期限和到期后的处理方式;儿童个人信息的安全保障措施;拒绝的后果;投诉、举报的渠道和方式;更正、删除儿童个人信息的途径和方法;其他应当告知的事项。前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的同意。
根据《个人信息安全规范》,收集年满十四周岁的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满十四周岁的,应征得其监护人的明示同意。明示同意是指个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”按钮、主动填写或提供等。
由于《个人信息安全规范》实施时间不长,实践中并未形成成熟的、统一的实践。可以参考的是《美国儿童在线隐私保护规则》,其提出的概念为“可验证的同意”,企业可以自主设置获得同意的方式,但是须通过清晰可用的技术设计,合理选择一个方法以确保作出同意的是儿童的父母,而非儿童本人。可接受的方法包括:(1)父母签署一个同意表格并通过传真、邮箱或电子扫描方式邮寄;(2)让父母使用信用卡、借记卡或其他在线支付系统等可以向账户持有人提供每笔单独交易的通知的系统;(3)使父母可以通过免费号码与经过相关知识培训的人员通话;(4)使父母可以与经过相关知识培训的人员进行视频会议;(5)使父母提供政府颁发的可在数据库中查询的ID复印件,但要在完成认证程序后删除认证记录;(6)使父母回答一系列对于父母之外的人很难回答的问题;(7)验证由父母提供的父母的驾照和父母本人照片,通过人脸识别技术进行对比。如果仅将儿童的个人信息用于内部目的而不会披露,可以使用“电子邮件+”的方法。根据该方法,向父母发送电子邮件并让他们回复以表示同意。然后,必须通过电子邮件、信件或电话向父母发送确认。如果使用“电子邮件+”,必须让父母知道他们可以随时撤销他们的同意。从《美国儿童在线隐私保护规则》中列举的方式可以看出,其方式更加具体,并且具有很高的信服力。其弊端在于在要求父母提供身份验证时要求提供的信息涉及敏感个人信息,逐个沟通的方式对于企业来说合规成本过高。