导航

中伦观点

未成年人个人信息保护:案例、监管与合规 作者:陈际红 韩璐 薛泽涵 2019-09-29

前言

 

 

2019年8月22日,国家互联网信息办公室(“网信办”)发布了《儿童个人信息网络保护规定》[1],作为《中华人民共和国网络安全法》(“《网络安全法》”)的配套法规,对14周岁以下未成年人[2]的个人信息保护进行规范,并将于10月1日实施。

 

随着以教育、学习为主要应用场景的移动互联网应用(“APP”)快速发展,在提高教学水平、满足学生个性化学习需求的同时,一些数据滥用、强制授权、平台垄断等乱象也日益凸显。2019年8月10日教育部等八部门联合发布了《关于引导规范教育移动互联网应用有序健康发展的意见》[3],针对近两年教育类APP的监管工作提出了总体部署方案,从备案管理、内容审核、数据保护、网络安全等多个层面提出了规范性意见。

 

我们就近期密集出台的未成年人个人信息保护立法与监管动态进行了梳理,为面向未成年人尤其是在校学生提供产品或服务的运营者提供借鉴。 

 

在校学生个人信息保护焦点事件不断

近期,国内外均发生了学校部署人脸识别系统用于日常考勤及纪律管理,从而引发较大争议的事件。人脸识别技术的合理运用、学生个人信息(尤其是面部识别特征等个人敏感信息)收集及使用的合规性问题值得相关企业重点关注。

 

 

1. 国内某大学利用人脸识别技术管理学生日常考勤引起舆论关注

国内某大学于今年8月下旬在学校各大校门、学生公寓、试点教室等部分场所安装了人脸识别系统收集学生的面部识别特征等个人敏感信息,以支持门禁管理、日常考勤等管理目的,引发了社会舆论的高度关注[4]。从个人信息保护角度出发,该应用场景涉及的个人信息主体数量较大、数据类型高度敏感、数据使用目的多样,主要存在以下争议:

 

(1)通过收集学生面部识别特征等个人敏感信息以实现日常考勤与课堂纪律管理,是否满足《网络安全法》规定的正当、必要的原则[5],以及《GB/T 35273-2017 信息安全技术-个人信息安全规范》(“《个人信息安全规范》”)规定的最小必要要求[6]

 

(2) 学校及相应系统供应商对学生面部识别特征等个人敏感信息的收集和使用是否已具备合法基础,即是否获得学生或其监护人[7]的授权同意。进一步来说,面对学校与学生之间“不对等”的主体关系,如何满足相应授权同意的真实有效;

 

(3)学校在收集个人信息前是否履行了对相应系统供应商数据安全能力的审核义务,是否明确规定了第三方供应商的数据保护义务。

 

 

2.瑞典某学校利用人脸识别技术统计学生课程考勤违反GDPR

2019年8月21日,瑞典数据保护机构根据欧盟通用数据保护条例(General Data Protection Regulation, “GDPR”)对瑞典一所学校利用人脸识别系统收集学生面部识别特征等个人信息的行为处以200,000瑞典克朗(约人民币15万元)的罚款[8],这也成为了瑞典历史上的第一个GDPR处罚案例。

 

在这一事件中,该校收集了参与课堂学习的22名学生的面部识别特征以进行自动化课程登记,相应数据均存储在未连接互联网的本地计算机中,在收集此类生物识别数据前也已征得学生监护人的明确同意。尽管如此,瑞典数据保护机构经调查认为,该校所获得的学生监护人的“同意”在学校和学生之间构成的“不对等”关系下作出,不应视为自愿的“同意”,因此不能作为个人数据处理合法化的依据。同时,该校为统计课堂出勤记录可以采取保护学生个人数据的其他方式进行,为此收集面部识别特征等高度敏感性数据超出了实现目的所必需,并不满足GDPR对于个人数据处理的目的限制和数据最小必要基本原则。此外,瑞典数据保护机构认为学校在进行相应个人数据处理活动前,未进行任何数据保护影响评估,尤其缺乏此类数据处理行为对数据主体权利影响的评估。

 

目前国内个人信息保护相关立法及执法态度均借鉴了域外数据保护相关法律的立法原则。尽管该事件为域外执法案例,但对于向境外提供产品或服务的境内企业,以及利用新兴技术从事教育行业的相关企业而言,其指导意义是不言而喻的。对于收集个人信息尤其是学生的个人信息,一刀切的授权同意已经不再满足日趋严格的执法要求,建议企业结合数据应用场景、使用目的、手段必要性、授权同意的真实意思表示、双方权利分配等因素,多方位综合判断数据处理合法依据是否有效。同时,在收集个人信息之前,相关企业应当进行数据保护影响评估工作,以明确风险并采取一定技术和制度措施有效降低风险。 

 

国内有关未成年人个人信息保护的立法及监管趋严

 

 

1.《儿童个人信息网络保护规定》于2019年10月1日正式生效

2019年8月22日,网信办发布了《儿童个人信息网络保护规定》,作为《网络安全法》的配套法规对14周岁以下未成年人(“儿童”)的个人信息保护进行了统一规范,其作为国家层面发布的儿童个人信息保护专门立法对各行业各领域涉及儿童个人信息的收集、处理活动的企业均具有约束力。该规定将于2019年10月1日正式生效。

 

从立法框架及其内容上看,该规定沿袭了《网络安全法》对个人信息保护的基本原则,吸纳了《个人信息安全规范》对于个人信息收集、使用、转移、共享、存储、披露、删除等全生命周期的合规保护逻辑及规范要求,突出了儿童个人信息保护的特殊监管要求,同时强调了儿童监护人的监护职责,网络运营者与监护人协同共治的管理思路。对于违反该规定的相关企业,网信部门可依据职责进行约谈,作出处罚并记入信用档案,予以公示。

 

可以预见,即将生效的《儿童个人信息网络保护规定》将作为执法检查的合规重点,相关企业应当及时排查风险,部署相应的合规措施。为此,我们梳理了儿童个人信息保护核心排查重点如下:

合规要点

具体要求

规则设定及专岗设置

【规则】设置专门的儿童个人信息保护规则和用户协议;

【岗位】指定专人负责儿童个人信息保护。

告知及授权同意

【基本要求】收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意;

【拒绝】向儿童监护人征得同意时,应当同时提供拒绝选项;

【告知】向儿童监护人明确告知以下事项:收集处理目的、方式和范围;存储地点、期限和超期存储方式;信息安全保障措施;拒绝后果;用户反馈渠道和方式;用户行权途径和方式,等等。如前述事项发生实质性变化的,需再次征得同意。

数据收集

【约定目的及范围】不得违反法律及行政法规规定和双方约定的目的和范围收集、使用儿童个人信息。因业务需要确需超出约定目的和使用范围的,应当再次征得儿童监护人同意。

数据存储

【期限】不得超过实现其收集、处理目的所必需的存储期限

【加密】采取加密等措施存储儿童个人信息。

内部管理

【权限管理】以最小授权为原则,严格设定内部信息访问权限,控制儿童个人信息知悉范围,记录数据访问情况;

【审批及记录】工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。

数据转移

【事前安全评估】向委托方/第三方转移儿童个人信息的,应自行或者委托第三方机构进行安全评估;

【签署数据处理协议】与委托方/第三方合作处理儿童个人信息的,应当通过签署数据处理协议明确双方责任、处理事项、处理期限、处理性质和目的等儿童个人信息保护相关义务,委托行为不得超出授权范围。

个人信息主体权利

【更正权】积极采取措施响应、更正儿童或其监护人发现的已收集、处理的个人信息中的错误;

【删除权】当以下情形发生时,积极响应儿童或其监护人提出的个人信息删除要求:

  • 企业违反法律、行政法规规定或者双方约定目的范围;

  • 超出目的范围或者必要期限收集、处理儿童个人信息;

  • 儿童监护人撤回同意;

  • 儿童或者监护人通过注销方式终止使用企业提供的产品或者服务的。

安全事件应对

【数据主体告知+主管部门报告】当发生儿童个人信息泄露、损毁、丢失等信息安全事件的,启动应急预案,立即向主管部门报告,并以任何可能方式向受影响的儿童及其监护人告知。

 

 

2.《关于引导规范教育移动互联网应用有序健康发展的意见》

2019年8月10日,教育部、中央网信办、工业和信息化部、公安部、民政部、市场监管总局、国家新闻出版署、全国“扫黄打非”工作小组办公室等八个部门联合发布了《关于引导规范教育移动互联网应用有序健康发展的意见》,并于同日生效。

 

作为国家层面发布的首个全面规范教育App的政策文件[9],相比于此前发布的《教育部办公厅关于严禁有害APP进入中小学校园的通知》[10]以及《教育部等六部门关于规范校外线上培训的实施意见》[11],该意见不止于中小学,也不局限于校外,而是覆盖各学段教育和各类应用场景的教育移动互联网应用,包括APP、公众号和小程序等移动互联网平台(统称为教育APP”)。 

 

(1)监管对象及责任主体

 

从监管对象来看,该意见界定了教育App的内涵和外延,提出教育App是以教职工、学生、家长为主要用户,以教育、学习为主要应用场景,服务于学校教学与管理、学生学习与生活以及家校互动等方面的教育移动互联网应用。从使用场景来看,教育App大致分为三类:1)市场竞争提供、师生自主选用;2)学校企业合作、学校组织应用;3)学校自主开发、部署校内使用。

 

从责任主体来看,该意见不仅针对教育移动应用提供者(即教育APP运营者),提出了备案管理、内容审核、数据保护、网络安全等多个层面的规范性要求,同时针对教育、网信、电信、公安、市场监管、扫黄打非等职能部门进行协同联动的监管体系建设和“互联网+教育”领域的集中治理工作的整体部署。此外,该意见明确了教育行政部门和学校在教育App推荐、选用及运维中的责任。

 

(2)近两年“互联网+教育”领域的立法及监管安排

 
  • 教育部将于近期制定并出台教育移动互联网应用备案管理办法,明确备案方式、内容、对象和时间,实现“一省备案、全国有效”和全程网上办理,并于2019年底,落实并完成教育APP的备案工作。

     

  • 由教育行政部门牵头,会同网信部门、电信主管部门、公安部门等多部门开展教育移动应用专项治理行动,集中治理利益绑架、信息泄露、低俗信息等问题。

     

  • 教育行政部门将着手建立推荐机制,形成推荐名单,并向社会公开。同时,建立常态化的监测预警通报机制,教育移动应用的选用退出机制、负面清单和黑名单制度,推动将黑名单信息纳入全国信用信息共享平台。

     

  • 2020年底,建立健全教育移动应用管理制度、规范和标准,形成常态化的多部门协同治理监管机制,各部门执法重点如下:

监管部门

“互联网+教育”领域执法重点

教育行政部门

  • 牵头负责教育APP治理工作,统筹协调;

  • 指导和监督教育APP进校管理,健全教育APP选用机制。

网信部门

  • 依据职责重点做好教育APP提供者、应用商店等APP分发平台提供者、移动终端制造商的内容审核、数据保护监管工作。

电信主管部门

  • ICP备案等相关电信业务经营许可资质的审批及监管工作。

新闻出版部门

  • 教材、教辅等网络出版物的监管工作。

民政部门

  • 教育类民办非企业单位的登记管理工作。

市场监管部门

  • 线上盈利性教育机构的登记管理;依法查处违法收费、虚假、违法广告等行为。

公安部门

  • 持续开展“净网”专项行动;

  • 网络安全等级保护的监管工作;

  • 网络实名制的监管工作;

  • 打击整治侵犯公民个人信息罪、发布、传播涉黄涉赌等违法有害信息等相关违法犯罪活动。

全国“扫黄打非”工作小组办公室

  • 将查处教育App纳入低俗信息专项整治行动,作为“净网”专项行动工作重点进行部署;

  • 对相关应用侵权盗版行为予以打击;对传播低俗等不良信息行为予以整治。

 

(3)教育APP提供者的合规要求

 

该意见针对教育APP提供者、应用商店等APP分发平台提供者、移动终端制造商提出了备案管理、内容审核、数据保护、网络安全等多个层面的规范性要求,具体如下:

合规要点

具体要求

备案管理

  •  获得ICP备案等相关电信业务经营许可;

  • 取得网络安全等级保护定级备案证明、等级测评报告;

  • 向机构住所地的省级教育行政部门进行教育业务备案,登记单位基本信息和所开发的教育移动应用信息。

内容审核

  • 以未成年人为主要用户的教育移动应用应当限制使用时长、明确适龄范围,对内容进行严格把关;

  • 具备论坛、社区、留言等功能的教育移动应用应当建立信息审核制度。

数据保护

  • 遵循《网络安全法》基本要求,建立个人信息自收集到使用的全生命周期管理机制;

  • 按照“后台实名、前台自愿”的原则,对注册用户进行身份信息认证(实名制要求);

  • 收集使用未成年人信息应当取得监护人同意、授权;

  • 收集使用个人信息应当明示收集使用信息的目的、方式和范围,并经用户同意;

  • 不得以默认、捆绑、停止安装使用等手段变相强迫用户授权。

网络安全保障

  • 教育APP及后台系统应当统一落实网络安全等级保护要求;

  • 鼓励参加网络安全认证及检测。

广告发布管理

  • 广告应与服务内容相契合;

  • 如为教学、管理工具要求统一使用的教育APP,不得植入商业广告和游戏。

进校合作管理

  • 推荐使用的教育移动应用应当遵循自愿原则,不得与教学管理行为绑定,不得与学分、成绩和评优挂钩。

  • 如为教学、管理工具要求统一使用的教育APP,不得向学生及家长收取任何费用。

  • 确需选用第三方应用的,不得签订排他协议,或实际由单一应用垄断业务。

 

合规举措与应对策略

纵观2019年网络安全与数据保护领域的执法行动,自2019年1月中央网信办、工信部、公安部、市场监管总局四部门联合开展App个人信息专项治理工作[12]以来,从全国范围到地方监管的执法力度日益加强。2019年7月, App专项治理工作组先后两次向社会公布了50款违法违规收集使用个人信息的App[13]。2019年6月至9月,上海市通信管理局共监测处置了App应用12000余个,分批次对44家运营单位进行了约谈通报[14]。2019年9月,国家计算机病毒应急处理中心公布《移动APP违法违规问题及治理举措》,曝光多个APP涉嫌超范围收集个人信息、恶意扣费、远程控制等违法违规行为[15]。2019年9月16日至22日,由中央宣传部、中央网信办等十部门联合主办的国家网络安全宣传周活动举办,更加显现出国家对网络安全、数据保护的高度重视。

 

面对日趋严格的网络安全与数据保护执法大环境,尤其是近期密集出台的有关未成年人、个人信息保护的立法与监管活动,对产品及服务提供者如何平衡商业发展与网络安全与数据保护合规风险提出了严峻挑战。结合上述国内外未成年人个人信息保护立法及监管趋势,我们建议相关企业优化个人信息授权机制,以“制度+技术”双重保障防范风险,具体如下: 

 

(1)结合《网络安全法》、《互联网个人信息安全保护指南》、《儿童个人信息网络保护规定》、《个人信息安全规范》等法律法规及配套国家标准,针对以儿童为主要对象的产品或服务,尤其在使用人脸识别等新兴技术时,应以合规高标准设计个人信息收集、使用的授权同意机制,包括充分告知收集处理规则、获取儿童监护人的明示授权同意,识别监护关系和监护人授权同意的有效性,并通过一定技术措施满足业务功能的逐一授权。企业应当从自身业务模式特点入手,设计有效的识别及身份认证机制,确保相应个人信息处理活动具备合法依据。

 

(2)在收集个人信息之前,相关企业应当针对数据处理活动的全流程进行数据保护影响评估,并采取一定技术和制度措施有效降低风险,充分保障数据安全。

 

(3)对于面向儿童提供的产品及服务,还应当采取一定的有害内容预防措施进行内容过滤,同时采取网络使用时长控制等网络沉迷防控手段。对于面向全年龄段用户的产品及服务建议设置儿童模式,并将相应儿童个人信息分割独立存储,以降低网络安全和儿童个人信息保护合规风险。

 

(4)对于非APP的教育类产品,相关企业也应当对标教育APP的最新监管要求,完善网络安全及个人信息保护制度并优化相应技术措施,以从容应对教育行业的监管变化。

 

 

结语

 

 

为帮助企业更好的理解中国复杂的执法监管环境,更有效的降低法律风险,我们将结合在网络安全与数据保护领域的广泛实践经验,持续推出系列文章,对立法及政策走向及时进行解读,以期对企业的合规工作有所帮助。