為未成年人個人信息提供全方位保護
近日,國務院公布《未成年人網絡保護條例》(以下簡稱《條例》)。《條例》共七章六十條,除“總則”和“附則”外,包括網絡素養促進、網絡信息內容規范、個人信息網絡保護、網絡沉迷防治和法律責任,自2024年1月1日起施行。
從《條例》的立法目的看,主要涉及兩大內容:一是營造有利于未成年人身心健康的網絡環境;二是保障未成年人合法權益。《條例》第四章專章規定了未成年人“個人信息網絡保護”,強化了對未成年人個人信息的保護,是《網絡安全法》和《個人信息保護法》的重要配套性法規。
確立未成年人真實身份信息驗證制度
《條例》規定,網絡服務提供者為未成年人提供信息發布、即時通信等服務的,應當依法要求未成年人或者其監護人提供未成年人真實身份信息。
這項規定包含兩項內容:一是要求具備完全行為能力的未成年人本人提供真實身份信息。根據我國《民法典》的規定,十六周歲以上的未成年人,以自己的勞動收入為主要生活來源的,視為完全民事行為能力人;二是要求限制民事行為能力或無行為能力的未成年人的監護人提供未成年人真實身份信息。如果未成年人或者其監護人不提供未成年人真實身份信息的,網絡服務提供者不得為未成年人提供相關服務。
不得處理未成年人的非必要個人信息
所謂“必要個人信息”是指一旦缺少這些必要的信息,將導致網絡產品或服務無法實現或無法正常運行。目前,一些網絡產品或服務,特別是移動互聯網應用程序存在強制一攬子授權、過度索權、超范圍收集個人信息的情形,尤其是違法違規使用個人信息的問題十分突出。
《條例》明確提出兩項禁止性規定:一是不得強制要求未成年人或者其監護人同意非必要的個人信息處理行為;二是不得因為未成年人或者其監護人不同意處理未成年人非必要個人信息或者撤回同意,拒絕未成年人使用其基本功能服務。針對不同意處理個人信息,網絡產品和服務拒絕提供服務的情形,《條例》的上位法《個人信息保護法》也明確規定,個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務。
未成年人或其監護人行使個人信息權利的法律保障
我國《個人信息保護法》確立的個人信息權的行使,主要指個人信息處理者在對自然人的個人信息進行收集、存儲、使用、加工、傳輸、提供、公開、刪除過程中,自然人個人所享有的請求權,這種請求權是一種消極權利,大部分是包括排除個人信息的處理者違法侵害的消極請求權。
《條例》規定,在未成年人或者其監護人依法請求查閱、復制、更正、補充、刪除未成年人個人信息的時候,個人信息處理者應當遵守三項規定:一是提供便捷的支持未成年人或者其監護人查閱未成年人個人信息種類、數量等的方法和途徑,不得對未成年人或者其監護人的合理請求進行限制;二是提供便捷的支持未成年人或者其監護人復制、更正、補充、刪除未成年人個人信息的功能,不得設置不合理條件;三是要及時受理并處理未成年人或者其監護人查閱、復制、更正、補充、刪除未成年人個人信息的申請,如果拒絕未成年人或者其監護人行使權利的請求,應當書面告知申請人并說明理由。
未成年人個人信息安全事件的應急處置機制
《條例》第三十五條規定,發生或者可能發生未成年人個人信息泄露、篡改、丟失的,個人信息處理者應當立即啟動個人信息安全事件應急預案,采取補救措施,及時向網信等部門報告,并按照國家有關規定將事件情況以郵件、信函、電話、信息推送等方式告知受影響的未成年人及其監護人。
該條有四層意思:一是網絡產品或服務提供者應針對未成年人的個人信息安全制定緊急預案;二是在發生未成年人個人信息安全事件時(包括但不限于泄露、篡改、丟失等),應當依法立即啟動應急預案;三是采取最有效的應急處置措施,采取補救措施,防止危害擴大,特別是要消除安全隱患,同時要及時向網信等部門報告;四是要按照國家有關規定將事件情況以郵件、信函、電話、信息推送等方式告知受影響的未成年人及其監護人,這主要是為了讓未成年人及其監護人了解個人信息安全事件的真相,并及時采取自我保護的措施。
嚴格限制對未成年人個人信息的知悉范圍
根據《個人信息保護法》的規定,不滿十四周歲未成年人的個人信息屬于“敏感個人信息”,“敏感個人信息”是指一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息。
《條例》嚴格限制個人信息處理者對未成年人個人信息知悉范圍。首先,個人信息處理者對其工作人員應當以最小授權為原則,最小授權原則是指個人信息處理者將其工作人員處理未成年人個人信息的權限降至最低,即滿足其實體工作所需的最低權限;其次,嚴格設定信息訪問權限,個人信息處理者應該實施分級訪問控制制度,并要經過相關負責人或者其授權的管理人員審批,以確保被授權的員工訪問所需要的未成年人信息,同時要記錄訪問情況;最后,要采取技術措施,切實避免違法處理未成年人的個人信息,比如對未成年人個人信息進行加密,確保加密后的信息只能在嚴格動態授權的環境下處理。
嚴格執行未成年人個人信息的合規審計制度
《條例》規定,個人信息處理者應當自行或者委托專業機構每年對其處理未成年人個人信息遵守法律、行政法規的情況進行合規審計,并將審計情況及時報告網信等部門。
關于未成年人個人信息的合規審計,一般應在年度結束時,對其處理未成年人個人信息的合規活動進行審計,審計的主體可以選擇內部審計,也可以委托外部專業機構審計。在年度實施必要合規審計程序后,應及時將未成年人個人信息保護合規審計報告報送網信等部門。未成年人個人信息保護合規審計報告應當由本單位履行未成年人保護的合規審計負責人或第三方專業機構負責人簽字,并加蓋本單位或專業機構公章。
根據《條例》的要求,審計的內容主要是遵守法律、行政法規的情況,涉及的法律主要包括《未成年人保護法》《網絡安全法》《個人信息保護法》等,涉及的行政法規主要指《未成年人網絡保護條例》。
在審計處理限制行為能力和無行為能力的未成年人個人信息時,應當重點審查以下三項內容:首先,個人信息處理者是否制定專門的未成年人個人信息處理規則;其次,是否向未成年人及其監護人告知未成年人個人信息的處理目的、處理方式、處理必要性及處理個人信息的種類、所采取的保護措施等;最后,是否存在強制要求未成年人或者其監護人同意非必要的個人信息處理的行為。
