儿童个人信息保护或将成企业出海合规难点
2019-08-15刘晓春李梦雪
刘晓春 李梦雪
早在2018年,联合国儿童基金会发布的报告《2017年世界儿童状况:数字时代的儿童》中就指出,全球每日新增逾17.5万名儿童网民,平均每半秒钟就会新增一名使用网络通信设备的儿童。现在,这一数字只会更加惊人,也向世界发出警告:在数字时代,儿童的声音愈加重要。
近些年,各国纷纷开始重视儿童个人信息问題,出现了诸多引人注目的事件,诸如,2018年4月,由20家机构组成的联盟要求美国联邦贸易委员会(以下简称FTC)调查全球最大的视频网站YouTube,认为其违反美国《儿童在线隐私权法》(Childrens Online Privacy Protection Act,以下简称COPPA),在收集某些儿童的数据时未征得儿童家长同意;此外,电子玩具制造商VTech Electronics Limited和在线人才网站Explore talent也因为违反COPPA的规定被FTC指控。2019年初,FTC因TikTok“涉嫌非法收集13岁以下儿童信息”而处以罚款570万美元的事件,更是给中国企业出海过程中的儿童个人信息保护问题敲响了警钟。
我国对个人信息保护的立法起步较晚,对儿童个人信息缺乏专门的保护机制,导致我国企业在其业务开展过程中对该领域关注不足,而欧美等发达国家对儿童个人信息的关注度较高,因此,因此在企业出海的过程中应更加注意儿童个人信息的保护,避免出现在他国的合规障碍。
欧美在保护儿童个人信息方面的立法简介
(一)欧洲
2018年生效的《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR),也对儿童数据问题给予突出的关注,认为儿童在其使用网络时不太了解其拥有的权利、数据处理的风险和后果,因此运营商在收集和处理儿童数据的各个环节应当予以特别的关注。GDPR对于儿童个人信息保护问题没有设立专门的章节,相关条文散见于整部条例,包括序言和正文。
1.规定“数字年龄”(Digital Age)
GDPR的第8条规定了规定了信息社会服务适用于儿童同意的条件,其中规定数字年龄(Digital Age),即认为若直接向儿童提供信息社会服务,需儿童年龄达到16周岁以上,若未满16周岁,需要征得父母责任主体的同意或授权。同时GDPR还给予了成员国一定的立法自由度,成员国可以规定较低的年龄,但是不得低于13周岁。
2.数据控制者以适宜的方式提供向儿童提供信息
GDPR的正文的12条及前言均有涉及,数据控制者对于个人信息应当通过简单、清楚、明确的语言,采取合适的方式向数据主体提供,特别提出“尤其是关于儿童的任何信息”,此举是考虑到儿童的心智发展状况,认为向儿童提供的任何数据应以更加简单、清晰,以便于儿童的理解。
3.儿童数据的被遗忘权
GDPR前言中指出,“被遗忘权”特别适用于儿童数据,即由于儿童的不成熟性,不了解一些数据收集处理行为的风险,后来他们可以要求删除或更正其童年的数据,如某儿童在8岁的时候留在服务提供者服务器上的信息,在其20岁时,他仍然拥有删除数据的权利。
4.禁止自动化处理儿童数据
自动化处理即通过数据控制者掌握的数据通过自动化的过程为用户进行“画像”这种处理结果还能够对数据主体产生影响。在我国,比如支付宝的芝麻信用分此类。而GDPR明文禁止了对于儿童采取此类自动化处理的技术。
(二)美国
1998年,美国国会通过COPPA法案,是美国第一部儿童网络隐私保护法律,具有较大的影响力,为在线服务运营商在儿童数据保护方面提供了较为详细的规则。该法案最近一次修订,于2013年生效,此外,FTC还发布了《儿童在线隐私保护规则:不仅为儿童网站》《六步合规计划》《常见问题解答》《消费者指南》等指导性文件。
COPPA采取了一系列实践性较强的措施来规范网络运营者,敦促其履行保护儿童隐私的义务,在该领域具有领先性。
1.明确针对儿童的网站或在线服务的含义
COPPA指出针对儿童的网站或在线服务,包含了专门针对儿童群体的网站和用户群里既包含成人也有儿童的用户混合类网站,但对于混合类网站或者在线服务,以“实际知道”的测试方法来确定服务提供者是否承担责任,但目前,正在审议的COPPA修订中欲将“实际知道”的标准改为“推定知情”,类似于我国刑法中的“应当知道”,这就意味着只要运营者没有尽到法律要求的合理谨慎的注意义务,就无法逃避法律责任。
2.允许家长同意的创新机制
FTC明确已经列举出的家长同意的方式不是穷尽的,允许网站提起创新的“家长同意方法”的批准请求,利害关系方可以向委员会书面申请同意目前未列举的验证方式,这种创新机制由于其开放性和实用性而受到好评。
3.为自我管理提供机制
COPPA法案提出了安全港的原则,是关于运营商的自律原则,运营商通过申请加入,经FTC批准的网站或者服务提供者可以进行自我规制,根据FTC的指导方针的要求来遵守COPPA的规则,这些要求甚至可能会高于COPPA本身的要求。由于网络技术日新月异,这样的自我管理机制一定程度上解决了法律的滞后性的问题,具有良好的社会效应。
企业合规路径
根据共青团中央维护青少年权益部、中国互联网络信息中心于2019年3月共同发布的《2018年全国未成年人互联网使用情况研究报告》,中国未成年网民规模已达到1.69亿,未成年人的互联网普及率达93.7%。儿童真正是网络世界的原住民。我国也开始重视儿童个人数据的保护工作,2019年5月31日,国家互联网信息办公室发布《儿童个人信息网络保护规定(征求意见稿)》(以下简称“规定”)公开征求意见,虽然该规定还没有正式施行,但是考虑到目前日趋严格的儿童个人信息保护态势,国内的相关企业也应当在商业可行的范围内,尽力靠拢规定的要求,以减小日后的合规成本,同时学习目前他国的网络服务提供者的先进做法,做好合规工作。此外,了解他国在儿童数据保护方面的规定,为企业走出去做好准备。
在企业出海的合规路径方面,一项前提工作是了解该国的儿童限制的年龄,如,前述提到的我国规定中认为儿童是不满14周岁的未成年人,此外,像英国、爱尔兰等国也会采取13周岁的年龄限制等。了解儿童数据年龄限制之后,网络服务提供者面临的两大问题是儿童进入服务时年龄的验证以及如何获得家长的同意。
(一)儿童年龄的验证方式
儿童在网络上谎报年龄,避开监管是一个不容忽视的问题,因此如何验证儿童的真实年龄以维护其成长的网络环境清洁成为企业必须要解决的问题,以下是目前几种主要验证方式的介绍:
1.自我验证机制,即由用户本人输入自己的信息,互联网服务提供者根据其自己输入的信息来判断向其可获得的服务权限,这是目前通行的验证方式,这种方式的弊端也很明显,很容易被儿童规避。
2.评审机制,网络服务提供者根据其在网络中以及现实世界中收集的该用户的其他信息予以综合判断来确定权限。
3.自动化分析机制,基于用户档案的语义的自动分析来推断用户的年龄范围以授予权限。这种方式不容易被规避,但是实施起来比较复杂,如果技术不成熟,容易出错,并且推断出来的也只是年龄的范围,无法确定实际的确切年龄。
4.离线身份验证机制,即直接联系儿童的监护人来确定年龄以及获得其授权,这种方式是一种较为保险的方式,但是成本高,大规模应用可能会给企业带来过高的合规成本。
实践中,较为常见的验证方式是自我验证和评审机制,此外,如果能将不同的验证方式进行结合,则能够较好地保护儿童,像Facebook就采取了自我验证和评审机制结合的方式。
(二)家长同意的验证方式
无论是GDPR还是COPPA法案,在获得家长同意方面都要求服务提供者尽到合理的努力,同时COPPA还提到了几种具体的获得家长同意的方法,可供参考。
1.由家长签署同意书并通过邮寄、传真或电子扫描返回给运营商。邮寄和传真的方式由于其耗费更多的成本,越来越不受到企业的青睐,相比之下,电子扫描并回传的方式就更具有优势。
2.要求家长提供在进行货币交易时使用的信用卡、借记卡或其他需要用户名和密码或其他身份验证的在线支付系统。由于18岁以下的未成年人无法申请个人银行账户,通过这样的方式在验证表示“同意”的人是具有一定资产的成年人。
3.验证官方颁发的身份证件,如驾驶证号码等,对照這些号码的数据库来进行验证,这种方式由于其可靠性较高而为FTC认可,但是实践中,很多家长不愿意为了儿童的某项娱乐需求,如玩某一款在线游戏,使用某音乐软件等而透露此类敏感个人信息。结合我国实践而言,验证电话号码可能是一种折中的方式。
4.发送电子邮件或者视频验证等方式,虽然这不一定是最有效的方式,但是却在实践中得到了广泛的应用。
前述提到了在儿童年龄验证以及家长同意验证的方式,主要是集中于儿童数据的收集阶段应注意的问题,此外,在数据的处理、应用阶段也有诸多问题需要注意,运营者应严格遵守法律规范,做好儿童数据安全的保障工作,唯有如此,才能更好地保护儿童在网络环境下健康成长,同时维护好企业的合法利益,实现经济效益与社会效益的统一。