征集儿童个人信息需监护人同意
《规定》指出,网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意
在大数据时代,关于儿童个人信息保护的案例很多见,其信息安全保护的法律规范很急需。以随身携带的儿童智能手表为例,曾在2017年被德国禁止销售,并将其称为“监听设备”。国内媒体也曾曝光多个品牌的儿童智能手表存在严重安全漏洞,能被黑客精准地掌握手表所处的位置并窃听儿童对话及周围声音。
2018年,美国联邦贸易委员会(简称FTC)宣布,视频社交网络应用程序Musical.ly(抖音海外版TikTok的运营商)已同意支付570万美元罚金,以解决FTC关于该公司非法收集儿童个人信息的指控。
上述 《规定》强调,儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的,网络运营者应当及时采取措施予以删除。
同时《规定》指出,儿童或者其监护人发现网络运营者收集、存储、使用、披露的儿童个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。
武汉的段女士告诉21世纪经济报道,现在很多家长都让孩子戴上儿童智能手表,一方面是为了及时联系到孩子,一方面是确定孩子的位置定位,但孩子的GPS定位数据是否会被泄露,是否会危及孩子的安全,也是家长们担忧的。
腾讯研究院资深专家王融指出,尊重和保障儿童权利是被广泛认可的基本通识,各国个人信息保护法律中也逐步引入儿童个人信息保护。并且,基于传统的知情同意原则,在涉及儿童个人信息的场景,考虑到儿童心智不成熟,其很难对个人信息被收集利用的后果和风险做出理性判断,因此建立了需要征得其父母(监护人)同意的法律机制。
《规定》应提供拒绝选项
《规定》强调,网络运营者征得同意时,应当同时提供拒绝选项,并明确告知信息收集使用的目的。
近年来,网友接连爆料多个app的用户协议中没有拒绝选项,影响用户的日常使用。《规定》提出,网络运营者应明确告知用户拒绝的后果;并在协议规定的告知事项发生实质性变化的,应当再次征得儿童监护人的同意。
《规定》指出,网络运营者应当采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈。存在较大安全风险或者发生安全事件的,应由网信部门依据职责进行约谈,网络运营者应当及时采取措施进行整改,消除隐患。
《规定》强调,网络运营者对其工作人员应当以最小授权为原则,工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。
从目前各国的立法实践来看,王融指出,即使是部分数据保护做的很好的国家,在这一领域的经验也乏善可陈。欧盟1995年《数据保护指令》和美国1998年的《儿童在线隐私保护法》都没有写入儿童个人信息保护。直到2016年欧盟出台的《通用数据保护条例》才明确引入儿童个人数据保护,但也仅有一条原则性条款。
王融提醒,儿童个人信息保护的关键难点,在于如何识别儿童、监护关系和监护人的知情同意。如果要求所有的实践生活场景,都贯彻监护人知情同意原则,则意味着社会整体要为此付出相应的法律执行成本。儿童个人信息网络保护规定涉及到权利主体和权利行使主体的相分离,依赖于监护人知情同意的保护机制在实践中将遭遇巨大挑战。
在王融看来,这种制度规范的设计不仅仅应该有效,而且实施成本不应太高,从而导致与社会生活相脱节而,沦为束之高阁的无用条框。她建议,面对复杂多变的网络形势,儿童安全保护应当在实践中探寻多种解决方案。
