日前,国家互联网信息办公室发布了《儿童个人信息网络保护规定》(以下简称《规定》),并将于10月1日起实施。这是中国第一部专门针对儿童网络保护的立法。
徐 骏作(新华社发)
儿童是特殊群体,需要给予特殊保护。现实社会里,《未成年人保护法》等法律法规对儿童呵护备至,但谁来为网上世界的儿童保驾护航?日前,国家互联网信息办公室发布了《儿童个人信息网络保护规定》(以下简称《规定》),并将于10月1日起实施。这是中国第一部专门针对儿童网络保护的立法。
儿童信息频遭泄露成为新痛点
玩电子游戏、戴智能手表、与智能机器人一起写作业……未成年人天生就是网上“原住民”,一举一动都能留下痕迹。他们的网上足迹生成了海量数据,很有可能成为不法分子牟利的工具。
过去,网络信息泄露多针对成年人。但近年来,各地儿童信息泄露事件屡见不鲜。在安徽,曾有大量新生儿住院视频出现在某视频网站上,画面里,“姓名”“年龄”“诊断病情”“入院日期”等信息一览无余;在山东,有人只需花3.2万元,就能买到济南市20多万条1-5岁的婴幼儿信息,内容之详细可以具体到每个家庭的门牌号……是什么原因导致儿童信息网上“裸奔”事件频繁发生,乃至成为社会新的痛点?
一方面,儿童作为特殊群体,心智尚未成熟,缺乏自我保护意识。有研究报告显示,中国未成年网民规模约为1.7亿,其上网大多是在学习、听音乐、玩游戏、聊天。
中国青少年研究中心少年儿童研究所所长孙宏艳表示,现在儿童对互联网的接触使用非常频繁,但大多数不会保护自己的个人信息。即使提升了防范意识,也未必能防止信息泄露。“毕竟,连成人都无法解决个人信息泄露的问题。”
另一方面,相关法律法规也不健全。由于缺乏专门针对儿童信息保护的法律法规,儿童网上信息保护工作存在规定过于笼统、条款不切实际、处罚不到位等问题。
比如,目前国内教育类手机应用总量超过7万个,这些软件几乎都带有记录儿童信息、追踪儿童位置的功能,它们在用户下载前通常会提供一份冗长的协议,同意后才能下载,为窃取儿童隐私带来隐患。
为儿童提供“真正的安全锁”
千呼万唤始出来,《规定》的出台有望为中国儿童网上信息保护提供一把“真正的安全锁”。
这是中国首部有关儿童个人信息网络保护的专门立法。此前,该领域的相关规定分散于不同法律文件中,而这次《规定》的出台,不仅填补了法律法规体系上的空白,更通过具体化的制度设计让儿童信息保护工作更具系统性、针对性和实操性。
《规定》首先确定了网络运营者收集、存储、使用、转移、披露儿童个人信息的“五大原则”,即正当必要、知情同意、目的明确、安全保障、依法利用。同时规定,对儿童个人信息的收集和使用等,应当以显著、清晰的方式告知儿童监护人,并征得儿童监护人的同意。针对网络运营者信息访问权限设定和内部管理制度以及委托第三方处理、向第三方转让、披露儿童个人信息等涉及儿童个人信息处理全链条的相关行为,《规定》也作出了全面而细致的义务性规定。
同时,《规定》还要求网络运营者应当在内部设立专门针对儿童的个人信息保护规则,对外应当制定专门的用户协议,网络运营者内部还应当设有专人负责儿童个人信息网络保护事宜。
记者注意到,《规定》尽可能地对运营者义务进行了细化,以防止“钻空子”。比如,国家网信办曾于5月31日发布《规定》的征求意见稿,待到正式发布时,针对征得监护人同意这一重要义务,《规定》特别在征求意见稿基础上增加了运营者应明确告知“投诉、举报的渠道和方式”“更正、删除儿童个人信息的途径和方法”两项条款。使明确告知的具体事项范围进一步扩大和细化。
北京邮电大学互联网治理与法律研究中心执行主任谢永江说,《规定》的出台,确立了儿童个人信息保护责任人,将有效遏制当前猖獗的儿童个人信息非法买卖现象。严格的“同意规则”等于给网络运营者信息收集加了一把大锁。
技术手段和数据资源应同步
不少法律界人士认为,《规定》的出台,赋予儿童及其监护人更为全面、有力的权能,有望为更多儿童保护的配套制度奠定基础。但是,出台《规定》只是第一步,儿童网上信息保护工作不可能一蹴而就。下一步,还需相关方面更多配合和行动,在实际执行层面建立具体可行的操作机制,在实践中不断完善。
《规定》中明确,“儿童监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全”。然而,在网络世界中,运营者要准确识别监护人及其知情同意的真实性,显然难度颇大,需要相关的技术手段、数据资源等予以协同配合。同时,是否要求所有儿童的网上使用场景都要贯彻监护人知情同意原则等还需进一步摸索,建立合理的知情同意机制。
“儿童个人信息保护的关键难点,在于如何识别儿童、监护关系和监护人的知情同意。如果要求所有的实践生活场景,都贯彻监护人知情同意原则,则意味着社会整体要为此付出相应的法律执行成本。”腾讯研究院专家王融表示。可见,《规定》的出台是一大进步,但如何落实仍需探索。