2022年3月14日,国家互联网信息办公室发布《未成年人网络保护条例(征求意见稿)》(以下简称《条例》),这是国家网信办自2016年9月就《未成年人网络保护条例(草案征求意见稿)》公开征求意见后,时隔五年再次向社会公开征求意见。
当前征求意见稿不但细化了《未成年人保护法》中有关“网络保护”相关内容,还纳入了《个人信息保护法》中关于个人信息保护等诸多新内容,与上位法呼应。本次《条例》的出台对于涉及未成年人用户的企业合规部署将具有重要参考意义。
《条例》主要内容包括加强未成年人网络素养培育、加强网络信息内容规范、加强未成年人个人信息保护、加强未成年人网络沉迷防治等。
一、《条例》重点内容介绍
综合来看,对于企业而言,《条例》下述要点值得重点关注:
1. 强调“重要互联网平台服务提供者”义务
●定期开展未成年人网络保护影响评估;
●提供青少年模式或者未成年人专区;
●成立主要由外部成员组成的独立监督机构;
●制定专门的平台规则,以显著方式提示救济途径;
●每年发布专门的未成年人网络保护社会责任报告(第二十条)。
2. 加强网络信息内容规范
●有可能影响未成年人身心健康信息的,应当在信息展示前予以显著提示,但不得在首页首屏弹窗热搜等处于产品或者服务醒目位置、易引起用户关注的重点环节呈现(第二十四条、第二十六条)。
●规制网络欺凌:
设置便利的保全未成年人遭受网络欺凌证据、行使通知权利的功能、渠道;
针对网络欺凌制定了通知-删除规则(第二十七条)。
●加强对用户发布信息的管理,采取有效防止措施及事后处置措施,保存记录并向有关部门报告(第三十条)。
3. 落实个人信息保护
●信息发布、即时通讯服务:应要求未成年人或者其监护人提供未成年人真实身份信息(第三十三条)。
●网络直播服务:不得为未满十六周岁的未成年人提供网络直播发布者账号注册服务;为十六周岁以上的未成年人提供网络直播发布者账号注册服务的,应当对其身份信息进行认证,并经其监护人同意(第三十三条)。
●遵循合法、正当、必要、诚信原则,公开专门的处理规则,明示处理目的、方式和范围 (第三十四条)。
●处理不满十四周岁未成年人个人信息的,应当取得未成年人的监护人同意。处理目的、处理方式和处理种类变更的,应当重新取得同意(第三十五条)。
●不得因未成年人或其监护人不同意处理非必要个人信息或者撤回同意,拒绝未成年人使用其基本功能服务(第三十六条)。
●敏感个人信息:
处理未成年人敏感个人信息,遵循特定目的+充分必要性+严格保护措施;
事前个人信息保护影响评估+处理情况记录;(至少保存三年)
告知必要性及对个人权益的影响+取得单独同意(第三十七条)。
●对外提供未成年人个人信息:
确有必要+事前个人信息保护影响评估+告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类+取得单独同意;
接收方变更原先的处理目的、处理方式的,应当依法重新取得同意(第三十八条)。
●权利保障:及时处理查阅、复制、转移、更正、补充或者删除未成年人个人信息的请求(第四十条)。
●发生或者可能发生未成年人个人信息泄露、篡改、丢失的,应当立即启动个人信息安全事件应急预案,采取补救措施,及时向网信部门和有关部门报告,并将事件情况告知受影响的未成年人及其监护人,难以逐一告知的,应当及时发布警示信息(第四十一条)。
●访问权限:以最小授权为原则,严格设定信息访问权限;访问应当经过审批,记录访问情况,并采取技术措施,避免违法处理(第四十二条)。
●私密信息识别机制:发现涉及未成年人私密信息的,应当及时提示,并采取停止传输等必要保护措施,防止信息扩散(第四十三条)。
●合规审计:应当自行或者委托专业机构每年开展合规审计(第四十四条)。
4. 防治网络沉迷
●青少年模式:设置青少年模式,并为监护人履行监护职责提供时间管理、权限管理、消费管理等功能(第五十条)。
●限制消费:限制未成年人单次消费数额和单日累计消费数额(第五十一条)。
●价值引导:管控应援集资、投票打榜、刷量控评(第五十二条)。
●网络实名制:采取国家统一未成年人网络游戏电子身份认证系统等必要手段验证(第五十三条)。
●落实适龄提示要求:在用户下载、注册、登录界面等位置显著提示(第五十四条)。
5. 法律责任
●罚款:网络产品和服务提供者在不同情况下可能需要承担5万元到100万元、违法所得1倍到10倍之间、5000万元以下或者上一年度营业额百分之五以下的不等的罚款;直接负责的主管人员和其他直接责任人员在不同情况下可能需要承担1万元到100万元之间不等的罚款。
●行为罚则:监管部门可责令暂停相关业务、停业整顿、关闭网站、吊销营业执照或者吊销相关许可证。
●从业禁止:网络产品和服务提供者违反本条例规定,受到关闭网站、吊销相关业务许可证或者吊销营业执照处罚的,5年内不得重新申请相关许可,其直接负责的主管人员和其他直接责任人员5年内不得从事同类网络产品和服务业务。
二、与《儿童个人信息网络保护规定》的衔接
整体来看,《条例》适用群体涵盖所有未成年人,少部分亦有针对未成年人特定年龄段的专门条款规定,由于儿童是特殊群体,需要给予特殊保护,《条例》第三十五条提到了处理不满十四周岁未成年人个人信息的知情同意规则。2019年实施的《儿童个人信息网络保护规定》明确“儿童,是指不满十四周岁的未成年人”,此次《条例》第三十五条再次强调有关儿童个人信息处理规则,可见监管机构对儿童个人信息的规制范围已经基本明确,且重视程度和保护力度在逐渐加深。
此外,《儿童个人信息网络保护规定》对《条例》的影响不仅体现在儿童个人信息保护方面,《条例》在制定专门平台规则、访问权限、评估审计、数据泄露应急措施等特色条款上也大量参考了《儿童个人信息网络保护规定》中的相关要求,并根据《条例》整体上适用所有未成年人主体的实际需求进行细化和调整。可以说《儿童个人信息网络保护规定》对《条例》的制定具有重要的借鉴意义。相关法规链接如下:
●制定专门平台规则
《未成年人网络保护条例(征求意见稿)》
第二十条 (四)遵循公开、公平、公正的原则,制定专门的平台规则……
《儿童个人信息网络保护规定》
第八条 网络运营者应当设置专门的儿童个人信息保护规则和用户协议……
●访问权限
《未成年人网络保护条例(征求意见稿)》
第四十二条 个人信息处理者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制未成年人个人信息知悉范围。工作人员访问未成年人个人信息的,应当经过相关负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法处理未成年人个人信息。
《儿童个人信息网络保护规定》
第十五条 网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。
●评估审计
《未成年人网络保护条例(征求意见稿)》
第四十四条 个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规和国家有关规定的情况进行合规审计。
《儿童个人信息网络保护规定》
第十七条 网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估。
●数据泄露应急措施
《未成年人网络保护条例(征求意见稿)》
第四十一条 发生或者可能发生未成年人个人信息泄露、篡改、丢失的,个人信息处理者应当立即启动个人信息安全事件应急预案,采取补救措施,按照规定及时向网信部门和有关部门报告,并将事件情况以邮件、信函、电话、推送通知等方式告知受影响的未成年人及其监护人,难以逐一告知的,应当采取合理、有效的方式及时发布相关警示信息。
《儿童个人信息网络保护规定》
第二十一条 网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。
三、合规建议
《条例》目前仍处于征求意见阶段,正式稿出台后意味着未成年人网络保护工作将迎来强监管时代,企业在落实合规要求时也将面临一定考验,对于那些仅仅涉及对未成年人服务,但又未构成“重要互联网平台服务提供者”的企业,本征求意见稿生效将会产生部分针对性影响,其中密切相关的部分包括:
● 未成年人实名制改造
●青少年模式的持续改造
● 针对可能影响未成年人身心健康信息的显著提示方式改造
● 网络欺凌行为行权渠道和必要措施改造
● 未成年人个人信息保护改造
● 未成年人私密信息识别机制改造
●年度合规审计内容扩充
或许您还想看
作者简介
毕静静
北京德和衡律师事务所实习律师
毕静静,北京德和衡律师事务所实习律师。曾参与某体育APP会员管理和电商应用场景专项数据合规法律服务,撰写隐私政策;参与某在线财商教育平台专项数据合规法律服务,进行合规体检,出具初步法律文件;参与某人寿保险公司APP产品和数据合规专项法律服务,进行数据合规、个人信息合规体检并出具风险评估报告以及配套管理制度;辅助各项工作的尽职调研。
专业领域:数据合规 互联网合规 个人信息保护
手机:17600693595
邮箱:bijingjing@wuxixirong.com