全國第一案!一科技公司因侵害兒童個人信息被判賠150萬
強化兒童個人信息網絡保護
2021年3月11日,浙江省杭州市余杭區檢察院訴國內某知名短視頻公司(下稱“某公司”)侵犯兒童個人信息民事公益訴訟案,經杭州互聯網法院出具調解書后結案。該科技公司依調解書內容停止侵權、賠禮道歉,賠償損失150萬元,用于兒童個人信息安全保護等公益事項,并對這一短視頻APP網絡平臺進行整改。
據悉,該案系民法典實施及未成年人保護法修訂后,檢察機關針對“未成年人網絡保護”提起的民事公益訴訟全國第一案。
誰動了兒童個人信息的“奶酪”
近年來,在“眼球經濟”“流量為王”的互聯網經濟背景下,未成年人特別是兒童因其年齡小、閱歷淺、自我保護意識較弱,相關個人信息易泄露,受到網絡騷擾、網絡欺詐等侵害的案件時有發生。檢察機關發現相關網絡運營商、互聯網企業存在疏于保護或違法獲取使用未成年人個人信息問題,未充分履行企業的社會責任。
該案便是其中的典型案例。近年來,杭州市余杭區發生的幾起相關違法犯罪案件反映,某公司在開發運營該公司APP的過程中,未以顯著、清晰的方式告知并征得兒童監護人有效明示同意允許注冊兒童賬戶,并收集、存儲兒童個人信息。在未再次征得兒童監護人有效明示同意的情況下,向具有相關瀏覽喜好的用戶直接推送含有兒童個人信息的短視頻,同時也沒有采取技術手段對兒童信息進行專門保護。
這一短視頻APP沒有對兒童用戶采取區分管理措施,默認用戶點擊“關注”后,就可以和兒童賬戶私信聯系,獲取地理位置、面部特征等個人信息。在沒有征得兒童監護人授權同意的情況下,運用后臺算法,向具有瀏覽兒童內容視頻喜好的用戶直接推送含有兒童個人信息的短視頻,從而讓犯罪分子有機可乘。
“這些行為對不特定兒童人身安全、生活安寧等造成潛在風險,甚至若干兒童個人信息被不法分子利用后,產生了損害后果。”辦案檢察官說。
在一起猥褻兒童刑事案件中,公益訴訟起訴人發現,某科技公司運營的短視頻APP,存在侵害眾多不特定兒童個人信息的侵權行為。這個犯罪分子很喜歡瀏覽兒童類短視頻,而在瀏覽的過程中平臺就不斷地給他推送相關的兒童的信息。他就通過平臺私信,先加QQ,后通過線下約見面的方式,對小孩采取了不法的行為。
民事公益訴訟強化兒童
個人信息網絡保護
根據互聯網法院管轄規則,浙江省檢察院指定杭州市余杭區檢察院辦理此案,經訴前公告,于2020年12月2日向杭州互聯網法院提起民事公益訴訟,請求判令某公司立即停止實施利用該公司APP侵害兒童個人信息的侵權行為,賠禮道歉、消除影響,賠償損失并將款項交至相關兒童保護公益組織,專門用于兒童個人信息保護公益事項。
訴訟期間,檢察機關積極推動某公司立行立改,該公司積極配合,對所運營APP中兒童用戶注冊環節、兒童個人信息收集環節、兒童個人信息儲存、使用和共享環節以及兒童網絡安全主動性保護領域等四大方面細化出了34項整改措施,并明確了落實整改措施的具體時間表。雙方依法達成和解協議。
2月7日,杭州互聯網法院公開開庭審理該案。庭審中,某公司對檢察機關依法履行公益訴訟職責,積極推動兒童個人信息網絡保護,促進和幫助企業合法合規經營表示感謝。在法庭組織下,杭州市余杭區檢察院與某公司就前期達成的和解協議進一步確認,形成了調解協議。2月9日,依照公益訴訟法定程序,由法院進行了公告。
《未成年人保護法》
第五章 網絡保護
第六十四條 國家、社會、學校和家庭應當加強未成年人網絡素養宣傳教育,培養和提高未成年人的網絡素養,增強未成年人科學、文明、安全、合理使用網絡的意識和能力,保障未成年人在網絡空間的合法權益。
《個人信息保護法》
第三十一條 個人信息處理者處理不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監護人的同意。
個人信息處理者處理不滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理規則。
國家網信辦《兒童個人信息網絡保護規定》
第一條 為了保護兒童個人信息安全,促進兒童健康成長,根據《中華人民共和國網絡安全法》《中華人民共和國未成年人保護法》等法律法規,制定本規定。
第二條 本規定所稱兒童,是指不滿十四周歲的未成年人。
第三條 在中華人民共和國境內通過網絡從事收集、存儲、使用、轉移、披露兒童個人信息等活動,適用本規定。
第四條 任何組織和個人不得制作、發布、傳播侵害兒童個人信息安全的信息。
第五條 兒童監護人應當正確履行監護職責,教育引導兒童增強個人信息保護意識和能力,保護兒童個人信息安全。
第六條 鼓勵互聯網行業組織指導推動網絡運營者制定兒童個人信息保護的行業規范、行為準則等,加強行業自律,履行社會責任。
第七條 網絡運營者收集、存儲、使用、轉移、披露兒童個人信息的,應當遵循正當必要、知情同意、目的明確、安全保障、依法利用的原則。
第八條 網絡運營者應當設置專門的兒童個人信息保護規則和用戶協議,并指定專人負責兒童個人信息保護。
第九條 網絡運營者收集、使用、轉移、披露兒童個人信息的,應當以顯著、清晰的方式告知兒童監護人,并應當征得兒童監護人的同意。
第十條 網絡運營者征得同意時,應當同時提供拒絕選項,并明確告知以下事項:
(一)收集、存儲、使用、轉移、披露兒童個人信息的目的、方式和范圍;
(二)兒童個人信息存儲的地點、期限和到期后的處理方式;
(三)兒童個人信息的安全保障措施;
(四)拒絕的后果;
(五)投訴、舉報的渠道和方式;
(六)更正、刪除兒童個人信息的途徑和方法;
(七)其他應當告知的事項。
前款規定的告知事項發生實質性變化的,應當再次征得兒童監護人的同意。
第十一條 網絡運營者不得收集與其提供的服務無關的兒童個人信息,不得違反法律、行政法規的規定和雙方的約定收集兒童個人信息。
第十二條 網絡運營者存儲兒童個人信息,不得超過實現其收集、使用目的所必需的期限。
第十三條 網絡運營者應當采取加密等措施存儲兒童個人信息,確保信息安全。
第十四條 網絡運營者使用兒童個人信息,不得違反法律、行政法規的規定和雙方約定的目的、范圍。因業務需要,確需超出約定的目的、范圍使用的,應當再次征得兒童監護人的同意。
第十五條 網絡運營者對其工作人員應當以最小授權為原則,嚴格設定信息訪問權限,控制兒童個人信息知悉范圍。工作人員訪問兒童個人信息的,應當經過兒童個人信息保護負責人或者其授權的管理人員審批,記錄訪問情況,并采取技術措施,避免違法復制、下載兒童個人信息。
第十六條 網絡運營者委托第三方處理兒童個人信息的,應當對受委托方及委托行為等進行安全評估,簽署委托協議,明確雙方責任、處理事項、處理期限、處理性質和目的等,委托行為不得超出授權范圍。
前款規定的受委托方,應當履行以下義務:
(一)按照法律、行政法規的規定和網絡運營者的要求處理兒童個人信息;
(二)協助網絡運營者回應兒童監護人提出的申請;
(三)采取措施保障信息安全,并在發生兒童個人信息泄露安全事件時,及時向網絡運營者反饋;
(四)委托關系解除時及時刪除兒童個人信息;
(五)不得轉委托;
(六)其他依法應當履行的兒童個人信息保護義務。
第十七條 網絡運營者向第三方轉移兒童個人信息的,應當自行或者委托第三方機構進行安全評估。
第十八條 網絡運營者不得披露兒童個人信息,但法律、行政法規規定應當披露或者根據與兒童監護人的約定可以披露的除外。
第十九條 兒童或者其監護人發現網絡運營者收集、存儲、使用、披露的兒童個人信息有錯誤的,有權要求網絡運營者予以更正。網絡運營者應當及時采取措施予以更正。
第二十條 兒童或者其監護人要求網絡運營者刪除其收集、存儲、使用、披露的兒童個人信息的,網絡運營者應當及時采取措施予以刪除,包括但不限于以下情形:
(一)網絡運營者違反法律、行政法規的規定或者雙方的約定收集、存儲、使用、轉移、披露兒童個人信息的;
(二)超出目的范圍或者必要期限收集、存儲、使用、轉移、披露兒童個人信息的;
(三)兒童監護人撤回同意的;
(四)兒童或者其監護人通過注銷等方式終止使用產品或者服務的。
第二十一條 網絡運營者發現兒童個人信息發生或者可能發生泄露、毀損、丟失的,應當立即啟動應急預案,采取補救措施;造成或者可能造成嚴重后果的,應當立即向有關主管部門報告,并將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的兒童及其監護人,難以逐一告知的,應當采取合理、有效的方式發布相關警示信息。
第二十二條 網絡運營者應當對網信部門和其他有關部門依法開展的監督檢查予以配合。
第二十三條 網絡運營者停止運營產品或者服務的,應當立即停止收集兒童個人信息的活動,刪除其持有的兒童個人信息,并將停止運營的通知及時告知兒童監護人。
第二十四條 任何組織和個人發現有違反本規定行為的,可以向網信部門和其他有關部門舉報。
網信部門和其他有關部門收到相關舉報的,應當依據職責及時進行處理。
第二十五條 網絡運營者落實兒童個人信息安全管理責任不到位,存在較大安全風險或者發生安全事件的,由網信部門依據職責進行約談,網絡運營者應當及時采取措施進行整改,消除隱患。
第二十六條 違反本規定的,由網信部門和其他有關部門依據職責,根據《中華人民共和國網絡安全法》《互聯網信息服務管理辦法》等相關法律法規規定處理;構成犯罪的,依法追究刑事責任。
第二十七條 違反本規定被追究法律責任的,依照有關法律、行政法規的規定記入信用檔案,并予以公示。
第二十八條 通過計算機信息系統自動留存處理信息且無法識別所留存處理的信息屬于兒童個人信息的,依照其他有關規定執行。
第二十九條 本規定自2019年10月1日起施行。
