作者:金茂律师事务所 万波 律师 王书玥 律师助理
一、问题的引出
8月11日,杭州互联网法院公布了典型案例,其中就包括全国首例儿童个人信息、网络安全保护民事公益诉讼案。
在一起猥亵儿童刑事案件中,公益诉讼起诉人发现,某知名短视频公司(下称“某公司”)运营的短视频APP,存在侵害众多不特定儿童个人信息的侵权行为。某公司在开发运营短视频APP的过程中,未以显著、清晰的方式告知并征得儿童监护人有效明示同意允许注册儿童账户,并收集、存储儿童个人信息。在未再次征得儿童监护人有效明示同意的情况下,向具有相关浏览喜好的用户直接推送含有儿童个人信息的短视频,同时也没有采取技术手段对儿童信息进行专门保护。这一短视频APP没有对儿童用户采取区分管理措施,默认用户点击“关注”后,就可以和儿童账户私信联系,获取地理位置、面部特征等个人信息。在没有征得儿童监护人授权同意的情况下,运用后台算法,向具有浏览儿童内容视频喜好的用户直接推送含有儿童个人信息的短视频,从而让犯罪分子有机可乘。
在诉讼期间,检察机关积极推动某公司立行立改,该公司积极配合,对所运营APP中儿童用户注册环节、儿童个人信息收集环节、儿童个人信息储存、使用和共享环节以及儿童网络安全主动性保护领域等四大方面细化出了34项整改措施,并明确了落实整改措施的具体时间表。双方依法达成和解协议。
2021年3月11日,浙江省杭州市余杭区检察院诉某公司侵犯儿童个人信息民事公益诉讼案,经杭州互联网法院出具调解书后正式结案。该科技公司依调解书内容停止侵权、赔礼道歉,赔偿损失150万元,用于儿童个人信息安全保护等公益事项,并对这一短视频APP网络平台进行整改。
该案为《民法典》实施及《未成年人保护法》修订后,检察机关针对“未成年人网络保护”提起的民事公益诉讼的全国第一案,也给个人信息处理者们敲响了警钟。那么我们在收集处理儿童个人信息时,应注意哪些要点?
二、相关法规
我国《个人信息保护法》将14周岁以下儿童的信息作为敏感个人信息,其第三十一条规定:“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。”
另外,国家网信办曾颁布《儿童个人信息网络保护规定》,并于2019年10月1日起实施,其中提出了若干更为具体和严格的要求,譬如:
(1)网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。
(2)网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。
(3)网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。
另外,2021年修订的《未成年人节目管理规定》中也有“网络用户上传含有未成年人形象、信息的节目且未经未成年人法定监护人同意的,未成年人的法定监护人有权通知网络视听节目服务机构采取删除、屏蔽、断开链接等必要措施。网络视听节目服务机构接到通知并确认其身份后应当及时采取相关措施”等特定要求。
但实际上,我国的儿童个人信息保护规定与法律体系尚且处于起步的阶段,还不尽完善。相较而言,美国的未成年人个人信息保护立法则走在了各国前列,其于1998年就通过了《儿童网络隐私保护法》(Children's Online Privacy Protection Act,简称“COPPA”),此后联邦贸易委员会(Federal Trade Commission,简称FTC)还陆续颁布了COPPA rules、A Six-Step Compliance Plan for Your Business、COPPA FAQs等官方文件 。
目前,对于儿童个人信息的收集和处理的关键点在于:(1)在某个特定的个人信息处理场景下,正确认识到区分儿童与非儿童的必要性;(2)其次则是正确识别儿童以及识别监护关系。
三、案例分析
从文章开头的公益诉讼案件的办理过程中可以得知,某公司运营的短视频App在收集、存储、使用儿童个人信息过程中,未遵循正当必要、知情同意、目的明确、安全保障、依法利用原则,其行为违反了民法总则、未成年人保护法、网络安全法关于未成年人民事行为能力、个人信息保护、对未成年人给予特殊优先保护、网络经营者应当依法收集使用个人信息等相关规定,违反了国家互联网信息办公室《儿童个人信息网络保护规定》中“网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意”“网络运营者因业务需要,确需超出约定的目的、范围使用儿童个人信息的,应当再次征得儿童监护人的同意”等相关规定,属于违法违规收集、使用儿童个人信息、侵犯儿童个人信息的行为。
据该公司提供的数据显示,2020年,平台14岁以下实名注册用户数量约为7.8万,14至18岁实名注册用户数量约为62万,18岁以下未实名注册未成年人用户数量以头像、简介、背景等基础维度模型测算约为1000余万。该App的行为致使众多儿童个人信息权益被侵犯,相关信息面临被泄露、违法使用的风险,给儿童人身、财产安全造成威胁,严重损害了社会公共利益。同年12月2日,杭州市余杭区人民检察院经公告无其他适格主体提起民事公益诉讼后,向杭州互联网法院提起了民事公益诉讼。
2021年2月7日,杭州互联网法院公开开庭审理了此案。北京某公司对公益诉讼诉求均予认可,对检察机关依法履行公益诉讼职责、促进企业完善管理表示感谢。在法庭组织下,双方在确认相关事实证据的基础上达成调解协议:一是被告停止对儿童个人信息权益的侵权行为,对涉案App按照双方确认的整改方案、时间推进表执行整改;二是被告完成整改后,对整改情况及效果进行评估,并向公益诉讼起诉人、人民法院出具报告书;三是被告将整改方案及整改完成情况报送网信部门,接受审查;四是被告在《法治日报》及涉案App首页公开赔礼道歉。经30日公告,2021年3月11日,杭州互联网法院出具调解书结案。
通过此次公益诉讼,某公司实施的整改措施包括:制定单独的《儿童个人信息保护规则》和《用户协议》、开发儿童用户实名认证流程、增加14岁以下用户实名认证一致性校验环节、对平台内高疑似度未成年用户实施主动保护、建立专门的儿童信息保护池、创建涉未成年人内容推送的独立算法等等。以上整改措施也为其他互联网企业在实践中落实对儿童个人信息的保护措施,提供了参考与示范。
四、小结
早在2019年,海外版抖音就曾被FTC指控违反了COPPA,侵犯了儿童隐私。FTC称,抖音国际版要求用户提供电子邮件地址、电话号码、用户名、姓名、个人简介和头像等资料。该应用还允许用户通过评论视频和发送直接信息与他人互动。此外,用户帐号默认是公开的,这意味着孩子的个人资料、用户名、照片和视频可以被其他用户看到。
TikTok于2020年2月同意支付570万美元(近3812万人民币)罚款,与FTC达成和解。这是FTC在孩童隐私案中处以的最大笔民事罚款。
对于国内的互联网企业来说,首例侵害儿童个人信息公益诉讼案已经公布,有关部门的监管措施与检察院的履职工作也在同步推进中,想必之后的执法监管措施将会越来越严格,因此除了参照上述公益诉讼案例中某公司的整改措施,进一步落实国内现行法律法规的要求外,还可以参照国外的儿童个人信息保护规定,提升企业的儿童个人信息保护水平。而对于业务范围涉及国外的互联网企业来说,更应严格遵照当地法律的规定,如美国COPPA等,该法规定面向孩童的网站和线上服务在收集未满13岁孩童的个人信息前需取得父母同意,以规避被监管部门处以罚款或面临诉讼的风险。