本文共 2356 字,大约阅读时间需要 7 分钟。
本篇介绍:儿童个人信息保护的额外要求
本篇为第6篇/共9篇 上一篇: 下一篇:在离开前公司之后(2020.06),我来到新的公司担任安全部负责人,负责新公司的安全架构设计与安全体系建设,由于新公司的业务都是面向国内的,因此在建设隐私合规体系时,参照的都是国内的法律法规标准。本系列即以国内法律法规为基准,抛砖引玉,来探讨纯国内业务企业的隐私合规体系建设。
儿童是国家发展的未来和希望,其认知能力、危险识别能力和自我保护能力都相对薄弱,因此,为了加强对儿童个人信息安全的保护,国家互联网信息办公室颁布了《儿童个人信息网络保护规定》,其系统的规定了应设置儿童专门用户协议、指定专人负责、征得儿童监护人同意等儿童个人信息保护要求。
接下来,我将从儿童认定的标准、专门文本与专人负责、监护人同意、委托处理儿童个人信息的安全评估要求、向第三方转移儿童个人信息的安全评估要求、儿童个人信息保护的除外情形等六方面来探讨对儿童个人信息保护的合规化。
根据《儿童个人信息网络保护规定》第2条,儿童是指不满十四周岁的未成年人。
在国际上,儿童的界定是18周岁以下的任何人,而我们本篇所讨论的儿童,则是参考了刑法中刑事责任年龄的划分,将无刑事责任的14周岁以下的未成年人归于儿童的范畴。
在实践中,从识别儿童身份的角度,建议网络运营者建立完善年龄筛选机制,进行儿童身份识别的基础动作,如身份证号码的年龄识别等。同时,通过网站页面、相关服务协议、隐私政策等显著提示,儿童用户使用产品或服务需要获得父母同意。
根据《儿童个人信息网络保护规定》第8条,网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。
在实践中,目前主流的互联网公司,大多数已经在隐私政策中明确了如何处理儿童个人信息的内容;但设置专门的儿童用户协议,则是首次提出的,即在现有用户协议的基础上,额外设置儿童用户协议。对于需要专人负责儿童个人信息保护,主要是为了更好的推动和落实儿童个人信息保护。
根据《儿童个人信息网络保护规定》第9条,网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。
在实践中,网络运营者不得通过隐蔽、模糊展示等方式影响对监护人的有效告知。同时,网络运营者可以通过网站、APP等渠道设置隐私政策、通过向监护人发送邮件、与监护人账号绑定等方式告知儿童个人信息收集情况,并提供便捷的退出同意的选项。
那么如何获得可验证的监护人同意呢?关键点包括3个:
1、基于现有技术尽可能合理的获得可验证的监护人同意;
2、确保提供同意的人为儿童的监护人; 3、权利的行使不会对监护人造成不适当的负担。从具体操作而言,可以通过以下5种方式:
1、让监护人提供身份证明,以供网络运营者对照核实,在网络运营者完成验证后删除该身份信息;
2、让监护人回答一系列知识型挑战问题,这些问题对于监护人之外的人来说很难回答; 3、通过面部识别等相关技术比较、识别监护人所提交的照片; 4、由监护人拨打专门人员负责的免费电话号码; 5、由监护人通过视频会议联系专门人员。根据《儿童个人信息网络保护规定》第16条,网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。
前款规定的受委托方,应当履行以下义务:1、按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息;2、协助网络运营者回应儿童监护人提出的申请;3、采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈;4、委托关系解除时及时删除儿童个人信息;5、不得转委托;6、其他依法应当履行的儿童个人信息保护义务。
在实践中,网络运营者需要对受委托方进行安全评估,并与受委托方签署委托协议。安全评估的对象主要是受委托方和委托行为,评估内容主要是是否在儿童监护人授权范围、受委托方是否具备适当的数据安全能力,以及发生儿童个人信息泄露、损毁和丢失的风险等。
签署委托协议,主要是为了通过协议明确双方责任、处理事项、处理期限、处理性质和目的等,构成对受委托方的有效约束,也一定程度上能够作为网络运营者豁免责任或减轻责任的证明。
根据《儿童个人信息网络保护规定》第17条,网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估。
在实践中,应当谨慎向第三方转移儿童个人信息,如果确实因为业务需要而进行转移的,应开展安全评估并根据安全评估结果采取相应的安全保障措施,在确保风险可控的情况下再进行转移。同时,安全评估可以由网络运营者自行开展,也可以委托第三方机构进行。
根据《儿童个人信息网络保护规定》第28条,通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的,依照其他有关规定执行。
在实践中,如果要满足儿童个人信息保护的除外情形,需要满足两个条件:
1、通过计算机信息系统自动留存处理信息,也就是说不需要用户主动填写和主动提供,APP等业务开展渠道自动收集的用户信息;
2、无法识别所留存处理的信息属于儿童个人信息,也就是说采取了措施识别但限于现有技术等原因无法识别出属于儿童的个人信息。
同时,对于儿童个人信息保护的除外情形应谨慎使用,不要将其作为唯一的救命稻草。
本篇介绍:儿童个人信息保护的额外要求
本篇为第6篇/共9篇 上一篇: 下一篇:转载地址:http://ugeaf.baihongyu.com/