首页
□何鑫 高阳
今年4月29日,全国人大常委会就《个人信息保护法(草案二次审议稿)》 (以下简称“《个保法(二审稿)》”)公开征求意见。在征求意见结束后,全国人大常委会法制工作委员会发言人臧铁伟在记者会上表示,加强对未成年人个人信息和敏感个人信息的保护是社会各界提出的主要意见之一。结合6月1日修订生效的《未成年人保护法》新增未成年人个人信息保护条款以及6月6日国务院未成年人保护工作领导小组发布的《国务院未成年人保护工作领导小组关于加强未成年人保护工作的意见》,可以明确,未成年人个人信息的保护将成为未来个人信息保护工作的重点。
《个保法(二审稿)》第十五条主要变化
在原《个人信息保护法(草案)》中,第十五条对未成年人个人信息保护的要求为,“个人信息处理者知道或者应当知道其处理的个人信息为不满十四周岁未成年人个人信息的,应当取得其监护人的同意。”而在《个保法(二审稿)》中,则删去了“知道或者应当知道”这一要件。这意味着对于不满十四周岁未成年人(以下简称“儿童”)的识别标准由主观标准转变为客观标准。
这一标准的变化使得个人信息处理者识别义务的加重,可以看出调整的目的在于使得个人信息处理者能够实质上实现对儿童的识别,从而加强对其个人信息的保护。
第十五条变化可能产生的影响
虽然主观标准向客观标准的变化目的在于加强对儿童个人信息的保护,但却可能产生两方面的影响。
一方面,确立客观标准将扩大收集儿童个人信息的潜在范围,增加个人信息安全风险。目前部分个人信息处理者识别儿童的方式是在进行账号注册时要求其勾选是否为未成年人或要求其输入出生年月。在主观标准的要求下,该种识别措施或可以认为满足了对于儿童的识别要求,即仅有当个人信息处理者明知或应知其在处理儿童个人信息但仍视而不见的情况下,其才可能承担相应的责任。
然而当客观标准确立后,由于个人信息处理者需要实际识别其处理个人信息的主体是否为儿童,这就使得原有的识别手段或不能满足变化后的标准要求。这会使得个人信息处理者需要获取额外的个人信息以完成对用户身份的核验。而由于获取的个人信息类型及范围不同,这就产生了因收集了不必要的个人信息或个人敏感信息,从而违反处理个人信息应遵循最小必要原则的可能。
虽然某些行业(如网络游戏行业)通过强制性要求(游戏账号实名制要求)使得个人信息处理者可以通过与公安部身份查询中心对接实现对儿童的识别,但对于多数行业而言并无类似要求。因此,个人信息处理者为实现对儿童的准确识别,或需要通过其他渠道收集个人信息,这会产生同第三方处收集个人信息的问题。若此时其他渠道收集的个人信息未经授权、未授权进行共享或存在其他不合法的情形,则个人信息处理者收集个人信息后进行的识别行为将会进一步扩大对儿童个人信息权益的侵害。
此外,虽然在目前已经存在部分个人信息处理者采取更进一步的措施,收集更多的个人信息来对儿童进行准确识别,如腾讯即要求游戏玩家在触发特定条件的情况下需进行人脸识别,验证其并非儿童后方可继续游戏,但这仅是部分个人信息处理者在具备一定的个人信息保护能力的前提下采取的措施。若要求个人信息保护能力参差不齐的个人信息处理者均需收集更多个人信息以实现对儿童的识别,则无疑将会增加潜在的个人信息安全风险。而这都与第十五条加强对儿童个人信息保护的立法目的相背离。
另一方面,确立客观标准将会增加个人信息处理者的工作成本,损害其开展商业活动的积极性。结合《个保法(二审稿)》第六十五条对个人信息处理者法律责任的规定,客观标准的确立将会使得个人信息处理者一旦无法准确识别儿童,则无论主观是否存在过错,则均需要承担责任。这使得个人信息处理者需要付出更多的人力、物力以实现对儿童的实际识别,这将产生巨大的经营成本,给个人信息处理者造成较大的负担。虽然个人信息处理者加大投入主动承担社会责任的行为值得鼓励与肯定,但对于大多数中小个人信息处理者而言,要求其负担巨大的经营成本以实现对儿童个人信息的进一步保护未免有些强人所难。
此外,仍需注意的是,即使个人信息处理者投入了巨大的成本以对儿童进行识别,但仍不能确保识别结果百分百的准确,则此时其后续对个人信息处理的合法性将处于不确定的状态。这将损害个人信息处理者参与经济活动、向社会提供产品或服务的积极性,最终不利于社会福利的增长。
解决建议
如前所述,第十五条删除“知道或者应当知道”,不仅对加强儿童个人信息保护的作用有限,而且会给个人信息处理者增加过重的负担。鉴于此,笔者认为《个保法》不宜删除该要件,仍应确立识别儿童的主观标准。同时,笔者认同应强化对儿童识别对加强对儿童个人信息保护的重要意义,但这应当通过完善儿童个人信息保护立法,引导、鼓励涉儿童个人信息行业制定儿童个人信息保护行业规范来实现。以制度化的方式明确个人信息处理者识别或筛选儿童的有效机制或流程,这一方面可以为个人信息处理者提供更为明确且可操作的指引,另一方面对于不履行或消极履行相关要求的个人信息处理者,也可以此结合《个保法》确立的主观标准作为认定个人信息处理者“知道或应当知道”的依据对其进行处罚。对于如何有效进行儿童识别,笔者认为,具体而言可包括如下方面内容:
第一,根据行业特点明确儿童识别标准。参考域外规则, 《美国儿童在线隐私保护法》 (Children's Online Privacy Protection Act以下简称“COPPA”)将企业分为直接面向儿童的网站或在线服务运营者与实际知道其收集的个人信息来自与儿童的运营者。对于前者,COPPA将其用户均视为儿童,而后者则基于“实际知道”,要求其采取措施以实现对儿童的筛选。笔者认为可参考COPPA规定,对个人信息处理者进行分类,并对不同类型的个人信息处理者提出不同的儿童识别要求。如对于主要受众为儿童的产品或服务的提供者(如教育类服务提供者),可以默认其用户均为儿童,要求其履行儿童个人信息保护的相关义务。而对于受众为一般群体,但存在儿童用户的产品或服务的提供者,则要求其采取实际有效的措施以实现对儿童用户的准确识别。
第二,推进公共数据开放,为个人信息处理者识别儿童提供有效、便利的查询、验证渠道。行将生效的《数据安全法》第四十二条规定,“国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。”这为推进公共数据开放提供了法律依据。与此同时,地方层面,立法也在逐步推进公共数据开放,《深圳经济特区数据条例》即设专章规定公共数据开放若干要求。《国务院未成年人保护工作领导小组关于加强未成年人保护工作的意见》指出,“加强防止未成年人网络沉迷工作……严格实行网络游戏用户账号实名注册制度,推动建立统一的未成年人网络游戏电子身份认证系统。”对此,笔者认为,出于加强儿童个人信息保护的目的,上述公共数据的开放范围可以向其他行业延伸,在可行的行业、平台(如网络直播平台、视频平台等)内,允许个人信息处理者对接公安部身份查询中心,以完成对儿童的准确识别。而需要注意的是,鉴于儿童身份的特殊性,也应当采取措施确保公共数据开放过程中的儿童个人信息安全,如对开放的公共数据范围进行严格限制、对个人信息处理者个人信息保护能力提出特殊要求等。
第三,构建安全可信数据流渠道,作为前述公共数据开放渠道的有效补充。 《数据安全法》第十九条规定,“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。”在无法通过查询公共数据实现儿童识别的情况下,未实现儿童用户的有效识别,一方面可以鼓励个人信息处理者与诸如电信运营商等可实现对用户身份进行识别的主体在安全可信的前提下开展对接或合作,另一方面,可以推进数据交易市场建设,允许个人信息处理者与其他主体在交易市场内进行交易。而为在这一过程中确保儿童个人信息安全,国家应组织并制定数据流通相关标准,鼓励行业制定行业内的流通标准,同时支持企业、社会团体和教育、科研机构等参与标准制定,确定数据流通的技术要求、管理要求等内容。此外,也应提供给个人信息处理者以在该路径无法实现的情况下可行的其他儿童识别路径,给个人信息处理者以更多选择。
若之后颁布的《个人信息保护法》的第十五条仍确立了识别儿童的主观标准,则笔者建议在第十五条中设置第二款作为例外情形,以减轻个人信息处理者可能面临的法律责任。如确因不可归责于个人信息处理者的原因无法识别儿童的,可经父母或监护人通知并采取补救措施或未经通知且举证其确实不知道也不应当知道其正在处理儿童个人信息时可免除责任等。 (作者简介:高阳,上海对外经贸大学。本文是上海市全面依法治市调研课题“大数据资源治理中市场竞争规则的完善研究”阶段性研究成果。)
SourcePh" style="display:none">
放大
上一版
