赛博时代,每个个体均成为互联网的一环,生活在互联网时代的未成年人,往往在能够对其自身的个人信息做出自主决定之前,就需要频繁地接触网络产品或服务,在这个过程中,对儿童或未成年人个人信息的各种处理将不可避免。根据《个人信息保护法》第28条规定,未满十四周岁的未成年人个人信息属于敏感个人信息,这也就意味着在处理此类个人信息时,需要事先取得未成年人父母或者其他监护人的同意,且需要制定专门的个人信息处理规则,并遵循《个人信息保护法》中其他关于敏感个人信息处理的规定。又根据此前《儿童个人信息网络保护规定》,个人信息处理者还需要指定专人负责儿童个人信息保护,并且应当以显著、清晰的方式履行告知义务。
教育、游戏、医疗等诸多行业,在生产经营过程中会涉及到大量儿童/未成年人个人信息处理活动。对于线下场景,个人信息处理者可以直接接触到服务对象,因此可以较为便捷地履行关于儿童/未成年人个人信息保护的义务。而在线上处理此类儿童/未成年人个人信息,对儿童/未成年人身份进行识别往往会增加企业运营成本,且难以保障百分之百的精确度。也就是说,对于可能涉及线上处理儿童/未成年人个人信息业务场景的企业来说,尤其在自身业务并非主要面向儿童/未成年人用户群体的时候,个人信息处理者面临的最大问题便是如何有效识别用户的儿童/未成年人身份并获取其监护人的有效同意。
对于这一问题,我国目前只是规定了个人信息处理者处理儿童个人信息需要取得其监护人同意。这就意味着处理者承担了双重验证义务:第一,处理者需要验证个人信息主体的儿童/未成年人身份,如果没有该项验证,其所取得的常规授权同意将被认定为无效或效力待定,增加了处理行为被认为非法的风险。第二,需要验证该儿童监护人所作出的授权同意的有效性。但对于如何识别儿童身份并获得其父母或监护人的有效同意,以及需要承担何种程度的证明义务,目前尚未出台详细的落地细则。
在儿童身份的验证问题上,美国《儿童在线隐私保护规则》(COPPA)及其配套的实施细则是将个人信息处理者区分为三类。一类是直接面向儿童的网络运营者,例如提供儿童动画、漫画等服务的网络运营商。另一类则是面向普通用户的运营者,但是实际知晓(actual knowledge)会收集到13岁以下儿童的个人信息或者有意识地通过面向儿童的第三方运营者收集信息。例如专门收到了来自儿童父母的投诉,或者用户发布的信息明显包含儿童信息。针对这两类企业,COPPA提出了不同的验证义务标准:对于直接面向儿童的网络运营者,应将其所有用户视为儿童;而对于后者,则需要通过年龄筛选的方式确认其用户的儿童身份,例如引导用户自主输入年龄或生日等方式。而对于其余面向普通用户且无法也没有动机识别其用户儿童身份的网络运营者,便可以不受COPPA规制,仅需在事后发现(例如通过用户举报等方式)正在处理儿童信息时,启动COPPA合规程序。此类做法一方面可以降低网络运营者的合规成本,增加其合规意愿,另一方面也可以避免为了验证用户身份而超出其业务必要范围收集个人信息这种本末倒置的情形。
对于验证监护人授权同意真实性的问题,美国联邦贸易委员会(FTC)在其发布的企业合规六步骤(CHILDREN’S ONLINE PRIVACY PROTECTION RULE: A SIX-STEP COMPLIANCE PLAN FOR YOUR BUSINESS)中同样给出了清晰的路径指引,其中被认为有效的验证方式包括:【1】
■家长签署一个同意表格并通过传真、邮箱或电子扫描方式邮寄;
■家长在进行涉及金钱交易时使用信用卡、借记卡或其他在线支付系统,向主要账户持有人提供每笔单独交易的通知;
■家长拨打经专业培训的专员电话号码;
■家长通过视频方式与专员取得联系;
■通过对照此类信息的数据库,检查政府签发的身份证明以验证家长身份;
■回答一些除家长本人外难以给出答案的验证问题;
■使用面部识别技术验证家长的驾照照片。
如果企业采用了上述方式获取监护人的授权同意,但仍无法确定做出同意的人是否为监护人本人。针对此种情况下企业是否需要收集额外信息以进一步确认监护人身份,FTC给出了明确的答复:企业采用上述合理方式对监护人身份进行验证即视为充分履行其义务。
在中国语境下,企业可参考上述域外实践经验,设计自身的识别和验证机制。在儿童/未成年人个人信息处理方面,还需要注意以下合规要点。
1、有效识别
■主要面向14岁以下的未成年人的产品或服务提供者,需要严格遵守《个人信息保护法》《未成年人保护法》《儿童个人信息网络保护规定》,开展相关的合规工作。
■其他容易确认或已经知晓在业务经营过程中很可能涉及未成年人个人信息处理的,假装不知的“鸵鸟政策”并不可取,宜引导注册用户通过填写其年龄信息、弹窗询问等方式确认其是否属于未成年人。
■网络直播、游戏等产品/服务提供者,需要遵循相关法律法规、监管规定,通过验证身份证号码、人脸识别、银行卡实名认证等方式进行身份验证。【2】
■其他面向一般用户的服务或产品提供者,建议在首次登陆时以弹窗或其他有效形式提示用户,如其身份为未满十四周岁的未成年人,应取得其监护人对隐私政策授权同意后方可继续使用该服务/产品。
2、告知并取得同意
企业宜制定专门的未成年人个人信息处理规则,且保证该处理规则清晰易懂,并取得未满十四周岁的未成年人监护人针对此项协议的单独同意。实践中有若干种落地方式,企业可根据自身的用户群体来判断具体采取哪一种形式展示其儿童个人信息处理规则:
■专门面向儿童/未成年人开发或者明确知晓有儿童/未成年人用户的产品或服务提供者,宜设置独立的隐私政策,例如在普通用户的隐私政策中设置单独的文本链接或者设置独立的H5页面;
■面向普通用户群体的产品或服务提供者,可以在隐私政策中以专章形式或附件形式介绍其针对儿童用户的隐私保护政策;
■对于提供网络直播、游戏等特殊类型产品或服务的,宜通过专门的隐私政策以及监护人告知同意书或监护人填写邮箱等形式来取得其监护人的同意。
对于如何获得监护人有效授权同意的问题,由于我国目前尚无可参考执行的细则规定,企业可结合自身业务实际,在评估技术、产品设计可行性的基础上,参考域外经验(如美国COPPA)来验证监护人授权同意的有效性。
3、最小必要
收集儿童/未成年人个人信息应严格遵循最小必要原则,避免为了达到儿童个人信息保护的目的,而超出必要范围收集儿童个人信息。
■尽量避免收集儿童/未成年人个人信息,尤其是儿童的生物识别等个人信息,例如,可通过监护人创建账号,并为儿童通过设立子账号的形式使用产品/服务;
■采取模糊化收集策略,尽量避免收集与个人身份直接关联的信息;
■如自动采集个人信息,应确保自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
■对提供产品或服务所需的数据进行分类,例如功能实现绝对必要类、功能改善或提升产品体验类、数据分析类等,确保数据收集的类型和所提供的功能直接相关。【3】
参考文献:
1.除有效的验证同意的路径外,该文件同样给出了若干种无需验证同意的情形供个人信息处理者参考,具体内容可登陆https://www.ftc.gov/tips-advice/business-center/guidance/childrens-online-privacy-protection-rule-six-step-compliance#step4查看。
2.如《关于进一步严格管理切实防止未成年人沉迷网络游戏的通知》《未成年人保护法》等。
3.可参考《常见类型移动互联网应用程序必要个人信息范围规定》。
本文来源于北源律师事务所《个人信息保护合规白皮书》