返回列表
儿童移动智能终端企业数据合规4步法
2022-03-18

央视2022年“315晚会”(以下简称“315”)曝光“低配儿童智能手表成行走的偷窥器”,通过一个测试显示,操作系统版本低的儿童手表,遭受恶意程序的侵入,无需用户授权即可调取定位、通讯录、麦克风、摄像头等多种敏感权限,自动获取儿童的位置、人脸图像、录音等隐私信息。

该事件一方面暴露儿童智手表易于引发权限威胁、恶意代码威胁、远程控制威胁等安全风险,一方面说明对儿童个人信息保护亟待重视及解决。

根据华经产业研究院的数据,近年来我国儿童智能手表需求量保持较快增长,2020年已达到2990万件。而近年来,儿童智能手表所引发的安全防护漏洞不绝于耳,甚至发生过冒充儿童诈骗家长的案例。

结合《中国儿童发展纲要(2011-2020年)》,儿童权益保护法律法规体系更加完善,体现在智能终端产品对儿童个人信息保护方面的相关规定主要如下:

2021年6月1日全国人大常委会发布的新修订《未成年人保护法》正式施行,专门增设“网络保护”一章,对智能终端产品的制造者、销售者、信息处理者提出了要求。

第六十九条:智能终端产品的制造者、销售者应当在产品上安装未成年人网络保护软件,或者以显著方式告知用户未成年人网络保护软件的安装渠道和方法。

第七十二条:信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。

未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。

2021年11月1日施行全国人大常委会发布的《个人信息保护法》。

第三十一条:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。

个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。

2022年3月14日国家互联网信息办公室发布《未成年人网络保护条例(征求意见稿》,增设了加强未成年人个人信息保护等方面的内容。

第十九条:未成年人上网保护软件、专门供未成年人使用的智能终端产品应当具有有效识别违法信息和可能影响未成年人身心健康的信息、保护未成年人个人信息权益、预防未成年人沉迷网络、便于监护人履行监护职责等功能。

国家网信部门会同国务院有关部门根据未成年人网络保护工作的需要,明确未成年人上网保护软件、专门供未成年人使用的智能终端产品的相关技术标准或者要求,指导相关行业组织对未成年人上网保护软件、专门供未成年人使用的智能终端产品的使用效果进行评估,并向社会公布评估结果。

智能终端产品制造者应当在产品出厂前安装未成年人上网保护软件,或者采用显著方式告知用户安装渠道和方法。智能终端产品销售者在产品销售前应当采用显著方式告知用户安装未成年人上网保护软件的情况以及安装渠道和方法。

未成年人的监护人应当合理使用并指导未成年人使用上网保护软件、智能终端产品等,创造良好的网络使用家庭环境。

2021年4月16日工业和信息化部信息通信管理局发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。

第十一条:移动智能终端生产企业应当履行以下个人信息保护义务:

(一)完善终端权限管控机制,及时弥补权限管理漏洞,持续优化和规范敏感行为的记录能力,主动为用户权限申请和告知提供便利;

(二)建立终端启动和关联启动App管理机制,为用户提供关闭自启动和关联启动的功能选项;

(三)持续优化个人信息权限在用状态,特别是录音、拍照、视频等敏感权限在用状态的显著提示机制,帮助用户及时准确了解个人信息权限的使用状态;

(四)建立重点App关注名单管理机制,完善移动智能终端App管理措施;

(五)对预置App进行审核,持续监测预置App的个人信息安全风险;

(六)在安装过程中以显著方式告知用户App申请的个人信息权限列表;

(七)完善终端设备标识管理机制;

(八)国家规定的其他个人信息保护义务。

2018年5月1日施行中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会的发布《信息安全技术 移动智能终端个人信息保护技术要求》。

5 移动智能终端个人信息保护原则

在对移动智能终端个人信息进行处理时,一般应按GB/Z28828-2012中4.2的要求,遵循其目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确八项原则合理的利用个人信息。

6.1 概述

在移动智能终端个人信息的处理中可分为收集、加工、转移和删除四个主要环节。对个人信息的保护贯彻于四个阶段中......

 

315儿童智能手表事件曝光后,工信部于3月16日发布消息称将组织开展全面排查与专项治理。我们预计,其他监管部门也将在儿童移动智能终端领域开展执法检查行动。

不可忽视的是,违反儿童个人信息保护相关规定,企业可能遭受行政处罚、民事诉讼,甚至在未获取监护人同意的前提下,收集或者对外提供儿童个人信息,可能构成“侵犯公民个人信息罪”,或企业未依法采集必要且适当的安全措施保证儿童个人信息安全,在经监管部门责令采取改正措施而拒不改正的前提下造成个人信息泄露等严重后果的,可能构成“拒不履行信息网络安全管理义务罪”。

行政处罚

1.未履行儿童个人信息合规相关义务,企业可能违反《个人信息保护法》,最高可对企业处以处五千万元或者上一年度营业额百分之五的罚款,可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员可处最高一百万元的罚款。

2.未履行儿童个人信息安全保障义务,企业可能违反《数据安全法》第二十七条与第二十九条,最高可对企业处以二百万元罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员最高可处二十万元罚款。

那么作为儿童智能终端企业如何规避前述合规风险?北源数据合规团队结合实务经验,总结出以下4步数据合规法供儿童智能终端企业参考使用。

第1步合规法——核验儿童身份

《儿童个人信息网络保护规定》第二条规定,儿童是指不满十四周岁的未成年人,且《个人信息保护法》第二十八条将未满14周岁的儿童个人信息纳入敏感个人信息范围。企业应当首先核验用户是否属于14周岁以下儿童,并在此基础上开展后续合规工作。

对于儿童移动智能终端这类产品,其受众基本属于未成年人群体,因此笔者认为可以默认用户均为儿童。但仍应当在首次打开移动智能终端的售后弹出是否非14岁以下儿童的选项,并同时对选择“非14岁以下儿童”的用户真实年龄开展必要的核验工作,例如要求个人信息主体输入生日信息(精确到年月日)、身份证号,或采取人脸识别技术进行用户年龄识别,但企业采用人脸识别方案核验身份应当注意核验完毕后立即删除人脸图片与特征值等信息,不得进行非法留存,且不能将人脸识别作为唯一核验方式,否则可能违反个人信息处理的必要原则。

第2步合规法——设置专门的儿童隐私政策与专人负责

根据《儿童个人信息网络保护规定》第八条,企业应当设置专门的儿童个人信息保护规则,同时指定专人负责儿童个人信息保护工作。

对于“专门的儿童个人信息保护规则”,企业可以采取单独设立儿童隐私政策或者在隐私政策中专章规定儿童个人信息保护规则的形式进行。儿童个人信息保护规则中应当主要阐明应当获取监护人的授权同意与企业关于保护儿童个人信息所采取的措施等事项。

此外,企业应当指定专人负责儿童个人信息保护工作,主要从事儿童个人信息保护、投诉以及儿童相关个人信息主体权利行使回复等工作。

第3步合规法——获取监护人的有效授权同意

处理儿童个人信息最大的不同在于应当获取监护人的有效授权同意。《个人信息保护法》第三十一条和《儿童个人信息网络保护规定》第九条均规定,收集、使用、转移、披露等方式处理儿童个人信息前,均应当征得儿童父母或者其他监护人同意。

因此,企业需要对监护人的身份进行必要核验,可以采取包括但不限于短信验证、电话验证、邮箱验证、超链接验证等方案。例如,通过让该未成年人在终端界面输入监护人的手机号码,将验证监护人身份的内容发送至监护人的手机上,监护人可通过回复特定字段以表示是否为该未成年人的监护人,从而达到核验监护人身份的目的。

第4步合规法——采取必要技术与管理措施保障儿童信息安全

《个人信息保护法》第五十一条、《数据安全法》第二十七条均要求企业确保个人信息(数据)安全。而未满14岁儿童个人信息属于敏感个人信息,其泄露或者被非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,因此企业应当采取必要手段保证儿童个人信息安全,防止个人信息未经授权的泄露与毁损。

首先,企业应当严格依据《网络安全法》第二十一条要求,开展网络安全等级保护测评工作,做好基本的网络安全措施。

其次,对于移动智能终端类型的产品,使用过程中可能遭受窃听、窃录和位置泄露等安全风险,如本次315中爆出的智能手表,主要因节省成本的原因,采用10年前的Android操作系统,而该版本系统并不存在任何的权限管控措施,从而安装在智能手表内的木马程序可以在用户毫不知情情况下,窃取通讯率、录音、摄像头和GPS定位信息。因此企业应当针对移动智能终端产品特性,从硬件、操作系统、外围接口、应用层与用户数据等维度全面提升安全防护能力。

在隐私保护合规立法和执法日趋严格的背景下,遵守数据隐私保护法律法规要求是企业正常运转的必然要求,而儿童个人信息保护更是重中之重。随着今年315爆出儿童智能手表的隐私安全风险,后续相关领域的监管执法趋严也是必然趋势。该行业内企业应当提前布局,开展儿童个人信息保护安全与合规工作,这不仅是法律合规的要求,也是建立客户信任的基础、提升企业商誉的有效手段。

 

参考资料:

1. 低配儿童智能手表成行走的偷窥器 监听聊天 窥视隐私毫无顾忌,

https://haokan.baidu.com/v?pd=wisenatural&vid=12596428435797583189,2022年3月17日;

2. 《中国儿童发展纲要(2011—2020年)》,http://www.scio.gov.cn/ztk/xwfb/46/11/Document/976030/976030.htm,2022年3月17日;

3. 2020年中国儿童智能手表行业市场现状分析,需求量、市场规模不断上升,

https://m.huaon.com/detail/758855.html,2022年3月17日;

 

作者:植吕梅、李黎

(文中观点不代表北源律师事务所的观点或法律意见)

 

返回列表
儿童移动智能终端企业数据合规4步法
2022-03-18

央视2022年“315晚会”(以下简称“315”)曝光“低配儿童智能手表成行走的偷窥器”,通过一个测试显示,操作系统版本低的儿童手表,遭受恶意程序的侵入,无需用户授权即可调取定位、通讯录、麦克风、摄像头等多种敏感权限,自动获取儿童的位置、人脸图像、录音等隐私信息。

该事件一方面暴露儿童智手表易于引发权限威胁、恶意代码威胁、远程控制威胁等安全风险,一方面说明对儿童个人信息保护亟待重视及解决。

根据华经产业研究院的数据,近年来我国儿童智能手表需求量保持较快增长,2020年已达到2990万件。而近年来,儿童智能手表所引发的安全防护漏洞不绝于耳,甚至发生过冒充儿童诈骗家长的案例。

结合《中国儿童发展纲要(2011-2020年)》,儿童权益保护法律法规体系更加完善,体现在智能终端产品对儿童个人信息保护方面的相关规定主要如下:

2021年6月1日全国人大常委会发布的新修订《未成年人保护法》正式施行,专门增设“网络保护”一章,对智能终端产品的制造者、销售者、信息处理者提出了要求。

第六十九条:智能终端产品的制造者、销售者应当在产品上安装未成年人网络保护软件,或者以显著方式告知用户未成年人网络保护软件的安装渠道和方法。

第七十二条:信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。

未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。

2021年11月1日施行全国人大常委会发布的《个人信息保护法》。

第三十一条:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。

个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。

2022年3月14日国家互联网信息办公室发布《未成年人网络保护条例(征求意见稿》,增设了加强未成年人个人信息保护等方面的内容。

第十九条:未成年人上网保护软件、专门供未成年人使用的智能终端产品应当具有有效识别违法信息和可能影响未成年人身心健康的信息、保护未成年人个人信息权益、预防未成年人沉迷网络、便于监护人履行监护职责等功能。

国家网信部门会同国务院有关部门根据未成年人网络保护工作的需要,明确未成年人上网保护软件、专门供未成年人使用的智能终端产品的相关技术标准或者要求,指导相关行业组织对未成年人上网保护软件、专门供未成年人使用的智能终端产品的使用效果进行评估,并向社会公布评估结果。

智能终端产品制造者应当在产品出厂前安装未成年人上网保护软件,或者采用显著方式告知用户安装渠道和方法。智能终端产品销售者在产品销售前应当采用显著方式告知用户安装未成年人上网保护软件的情况以及安装渠道和方法。

未成年人的监护人应当合理使用并指导未成年人使用上网保护软件、智能终端产品等,创造良好的网络使用家庭环境。

2021年4月16日工业和信息化部信息通信管理局发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。

第十一条:移动智能终端生产企业应当履行以下个人信息保护义务:

(一)完善终端权限管控机制,及时弥补权限管理漏洞,持续优化和规范敏感行为的记录能力,主动为用户权限申请和告知提供便利;

(二)建立终端启动和关联启动App管理机制,为用户提供关闭自启动和关联启动的功能选项;

(三)持续优化个人信息权限在用状态,特别是录音、拍照、视频等敏感权限在用状态的显著提示机制,帮助用户及时准确了解个人信息权限的使用状态;

(四)建立重点App关注名单管理机制,完善移动智能终端App管理措施;

(五)对预置App进行审核,持续监测预置App的个人信息安全风险;

(六)在安装过程中以显著方式告知用户App申请的个人信息权限列表;

(七)完善终端设备标识管理机制;

(八)国家规定的其他个人信息保护义务。

2018年5月1日施行中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会的发布《信息安全技术 移动智能终端个人信息保护技术要求》。

5 移动智能终端个人信息保护原则

在对移动智能终端个人信息进行处理时,一般应按GB/Z28828-2012中4.2的要求,遵循其目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确八项原则合理的利用个人信息。

6.1 概述

在移动智能终端个人信息的处理中可分为收集、加工、转移和删除四个主要环节。对个人信息的保护贯彻于四个阶段中......

 

315儿童智能手表事件曝光后,工信部于3月16日发布消息称将组织开展全面排查与专项治理。我们预计,其他监管部门也将在儿童移动智能终端领域开展执法检查行动。

不可忽视的是,违反儿童个人信息保护相关规定,企业可能遭受行政处罚、民事诉讼,甚至在未获取监护人同意的前提下,收集或者对外提供儿童个人信息,可能构成“侵犯公民个人信息罪”,或企业未依法采集必要且适当的安全措施保证儿童个人信息安全,在经监管部门责令采取改正措施而拒不改正的前提下造成个人信息泄露等严重后果的,可能构成“拒不履行信息网络安全管理义务罪”。

行政处罚

1.未履行儿童个人信息合规相关义务,企业可能违反《个人信息保护法》,最高可对企业处以处五千万元或者上一年度营业额百分之五的罚款,可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员可处最高一百万元的罚款。

2.未履行儿童个人信息安全保障义务,企业可能违反《数据安全法》第二十七条与第二十九条,最高可对企业处以二百万元罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员最高可处二十万元罚款。

那么作为儿童智能终端企业如何规避前述合规风险?北源数据合规团队结合实务经验,总结出以下4步数据合规法供儿童智能终端企业参考使用。

第1步合规法——核验儿童身份

《儿童个人信息网络保护规定》第二条规定,儿童是指不满十四周岁的未成年人,且《个人信息保护法》第二十八条将未满14周岁的儿童个人信息纳入敏感个人信息范围。企业应当首先核验用户是否属于14周岁以下儿童,并在此基础上开展后续合规工作。

对于儿童移动智能终端这类产品,其受众基本属于未成年人群体,因此笔者认为可以默认用户均为儿童。但仍应当在首次打开移动智能终端的售后弹出是否非14岁以下儿童的选项,并同时对选择“非14岁以下儿童”的用户真实年龄开展必要的核验工作,例如要求个人信息主体输入生日信息(精确到年月日)、身份证号,或采取人脸识别技术进行用户年龄识别,但企业采用人脸识别方案核验身份应当注意核验完毕后立即删除人脸图片与特征值等信息,不得进行非法留存,且不能将人脸识别作为唯一核验方式,否则可能违反个人信息处理的必要原则。

第2步合规法——设置专门的儿童隐私政策与专人负责

根据《儿童个人信息网络保护规定》第八条,企业应当设置专门的儿童个人信息保护规则,同时指定专人负责儿童个人信息保护工作。

对于“专门的儿童个人信息保护规则”,企业可以采取单独设立儿童隐私政策或者在隐私政策中专章规定儿童个人信息保护规则的形式进行。儿童个人信息保护规则中应当主要阐明应当获取监护人的授权同意与企业关于保护儿童个人信息所采取的措施等事项。

此外,企业应当指定专人负责儿童个人信息保护工作,主要从事儿童个人信息保护、投诉以及儿童相关个人信息主体权利行使回复等工作。

第3步合规法——获取监护人的有效授权同意

处理儿童个人信息最大的不同在于应当获取监护人的有效授权同意。《个人信息保护法》第三十一条和《儿童个人信息网络保护规定》第九条均规定,收集、使用、转移、披露等方式处理儿童个人信息前,均应当征得儿童父母或者其他监护人同意。

因此,企业需要对监护人的身份进行必要核验,可以采取包括但不限于短信验证、电话验证、邮箱验证、超链接验证等方案。例如,通过让该未成年人在终端界面输入监护人的手机号码,将验证监护人身份的内容发送至监护人的手机上,监护人可通过回复特定字段以表示是否为该未成年人的监护人,从而达到核验监护人身份的目的。

第4步合规法——采取必要技术与管理措施保障儿童信息安全

《个人信息保护法》第五十一条、《数据安全法》第二十七条均要求企业确保个人信息(数据)安全。而未满14岁儿童个人信息属于敏感个人信息,其泄露或者被非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,因此企业应当采取必要手段保证儿童个人信息安全,防止个人信息未经授权的泄露与毁损。

首先,企业应当严格依据《网络安全法》第二十一条要求,开展网络安全等级保护测评工作,做好基本的网络安全措施。

其次,对于移动智能终端类型的产品,使用过程中可能遭受窃听、窃录和位置泄露等安全风险,如本次315中爆出的智能手表,主要因节省成本的原因,采用10年前的Android操作系统,而该版本系统并不存在任何的权限管控措施,从而安装在智能手表内的木马程序可以在用户毫不知情情况下,窃取通讯率、录音、摄像头和GPS定位信息。因此企业应当针对移动智能终端产品特性,从硬件、操作系统、外围接口、应用层与用户数据等维度全面提升安全防护能力。

在隐私保护合规立法和执法日趋严格的背景下,遵守数据隐私保护法律法规要求是企业正常运转的必然要求,而儿童个人信息保护更是重中之重。随着今年315爆出儿童智能手表的隐私安全风险,后续相关领域的监管执法趋严也是必然趋势。该行业内企业应当提前布局,开展儿童个人信息保护安全与合规工作,这不仅是法律合规的要求,也是建立客户信任的基础、提升企业商誉的有效手段。

 

参考资料:

1. 低配儿童智能手表成行走的偷窥器 监听聊天 窥视隐私毫无顾忌,

https://haokan.baidu.com/v?pd=wisenatural&vid=12596428435797583189,2022年3月17日;

2. 《中国儿童发展纲要(2011—2020年)》,http://www.scio.gov.cn/ztk/xwfb/46/11/Document/976030/976030.htm,2022年3月17日;

3. 2020年中国儿童智能手表行业市场现状分析,需求量、市场规模不断上升,

https://m.huaon.com/detail/758855.html,2022年3月17日;

 

作者:植吕梅、李黎

(文中观点不代表北源律师事务所的观点或法律意见)