文 | 手游那点事 | 张昌倩、王琪珺
《“游”法可依》是手游那点事与广东广悦互联网与高新科技杨杰律师团队联合推出的游戏相关法律知识栏目,该栏目会列举当下游戏市场中最受关注的法律纠纷案例,由杨杰律师团队中的资深律师进行法律层面上的解读。在第五十三期的《“游”法可依》当中,杨杰律师团队将为大家带来——《儿童个人信息网络保护规定》颁布,未成年人保护再次升级!
2019年8月23日,国家互联网信息办公室公布了《儿童个人信息网络保护规定》。由于我国当前并没有针对儿童个人信息网络安全问题的单独立法,因此作为第一部关于互联网环境下针对儿童个人信息安全问题制定的部门规章,该规定自征求意见稿发布之日时就曾引发社会关注。目前已知的是,该规定将从今年10月1日起正式施行,那么这一规定将给互联网公司带来何种影响?互联网公司是否需要应对以及如何应对?本文将从以下几方面进行分析及探讨。
PART1“草案”与“正本”的主要差别
PART2关于主要修订内容的归纳
(一)将“用户协议的约定”修改为“双方的约定”。
正式规定中,明确网络运营者在收集、使用儿童个人信息时,不得违反法律法规及双方的约定(注:征求意见稿为“不得违反法律法规及用户协议的约定”)。
这里需要探讨的是“双方”和“约定”两个问题:
第一,从法律关系上分析,提供服务的一方(即运营者)和实际接受服务的一方(即儿童用户)构成网络运营服务法律关系中的事实“双方”。由于新规的适用对象是“不满十四周岁的未成年用户”,该部分用户作为限制民事行为能力人,在接受互联网服务的过程中可能会遇到不能与其年龄、智力适配,需要获得其监护人同意的特殊情形。正因如此,该规定强调网络运营者在收集、使用、转移、披露儿童信息时,应当清晰告知其监护人并或其同意。严格来说,监护人是否同意这一关键点将影响“事实双方”法律关系的存续效力,此时的监护人将与未成年人共同组成法律关系中不可或缺的“一方”。
第二,除了双方直接签署的用户协议,运营者还会不定期面向用户发布各类单方公告、通知等信息。通常情况下,运营者会根据用户是否继续使用网络服务来推定用户是否接受单方公告及通知,一旦用户持续使用网络服务,则用户协议、单方公告、通知等都可能成为双方的“约定”。
换言之,将“用户协议的约定”修改为“双方的约定”,实际上是扩大了网络运营者在收集、使用、转移、披露儿童信息时的义务与责任,不仅要对与其直接签署用户协议的未成年人用户负责,还要对其监护人负责。
(二)将监护人的“明示同意”全部修订为“同意”。
尽管《儿童个人信息网络保护规定》在信息收集、存储、使用、转移、披露等各环节均有涉及,然而基于互联网特性,要想获得监护人的“明示同意”,从执行层面上来说确有诸多障碍。
因此该规定在正式版公布时,将监护人的“明示同意”全部修订为“同意”,这可以理解为是对网络运营者的一种“仁慈”,毕竟从字面意思上看,“同意”与“明示同意”相比,其判断标准将更加宽泛、灵活。
不过,标准放宽并不全然是好事。对于网络运营者来说,可以选择最适合自己商业运作模式的技术方案去实现“监护人同意”这一要求;但反过来看,监管机构其实也掌握了对“监护人同意”这一要求的绝对解释权。
(三)将地方网信部门明确纳入监管主体。
与征求意见稿相比,《儿童个人信息网络保护规定》将监管职权由“国家互联网信息办公室”调整为“网信部门”,这意味着从中央网信办到地方网信办都将拥有对儿童用户个人信息网络保护的监管职权。
(四)取消了可以不经监护人同意的例外情形。
在征求意见稿中存在可以不经监护人同意而收集、使用、转移、披露儿童个人信息的特殊情形规定,例如出于维护国家安全和公共利益的目的等。但在正式颁布的《儿童个人信息网络保护规定》中已全面取消了相关规定。这意味着儿童个人信息的网络安全意义无须为其他任何事由让路,保护未成年人的个人信息安全将不受任何例外情况的制约或限制。
PART3哪些信息属于“个人信息”
尽管在《网络安全法》、《儿童个人信息网络保护规定》中都提到了“个人信息”,但究竟哪些信息属于个人信息,目前在民法领域尚未有明确法律界定,但我们可以参考《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中关于“公民个人信息”在刑事犯罪领域的认定。根据以上司法解释中的规定,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
如果以这个界定作为参考,那么网络用户的姓名、身份证件信息、电话、住址、支付银行卡、登陆IP等信息均可能属于“个人信息”的范畴。
PART4《儿童个人信息网络保护规定》对互联网公司的影响
《儿童个人信息网络保护规定》的适用对象是未满十四周岁的未成年人,凡是在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,均适用本规定。
根据上述规定,大部分提供互联网应用服务(包括游戏应用、社交应用等)、平台服务的互联网公司,或者说涉及到提供用户注册服务时,需要收集用户姓名、证件信息、电话、住址、支付银行卡、登陆IP等信息的互联网公司都应当严格遵守《儿童个人信息网络保护规定》。
从该规定的条款出发,我们建议互联网公司应当要在10月1日前完成以下部署:
(一)设置专门的儿童个人信息保护规则和用户协议,指定专人负责儿童个人信息保护,并从内部控制获取该类信息的权限。
根据新规规定,后续互联网公司应当要区分成年人与未成年人的用户协议与隐私服务协议,同时应当设置专人负责对接儿童个人信息保护。此外,由于儿童个人信息的特殊性,公司内部还应当建立完善的获取及访问权限制度,严格控制获取及访问该类儿童信息的人员数量。
(二)以显著、清晰的方式告知儿童监护人,应当征得儿童监护人的同意,并提供拒绝选项。
尽管目前并不存在一种百分之百有效的方法去鉴别“真正”的成年或未成年用户,但至少对于那些直接使用未成年人身份证信息的用户来说,互联网公司需要提前安排、部署相应的技术方案。例如,使用未成年人证件注册的账户需要与其监护人的邮箱或手机绑定,在注册时向其监护人通讯地址发送验证信息,提醒其进行二次确认。同时,在进行上述监护人同意的技术设置时,互联网公司要将“拒绝”的选择权提供给监护人
(三)提供投诉举报的方式以及更正、删除儿童个人信息的方法。
互联网公司应设立投诉举报通道,以便接收用户投诉举报,并及时响应用户关于更正、删除有误/未经监护人同意的儿童个人信息的要求。
由于《儿童个人信息网络保护规定》刚刚颁布,尚未进入施行阶段。未来针对该规定的监管落地力度如何尚未可知。我们将持续关注新规的落地执行情况,也欢迎大家后续能与我们分享对新规的施行意见与执行经验。
更多游戏公司合规内容,可见杨杰律师团队新作《网络游戏公司合规指南》一书,京东、当当、天猫商城均有销售。