标签:合规业务-网络安全与数据合规,数字经济,电信、传媒、娱乐与高科技-数据及隐私权保护
前言
近年来,随着互联网的迅速发展和普及,未成年人已经普遍接触和使用网络,且互联网的低龄化趋势明显。与此同时,不良信息接触、网络沉迷、网络欺凌、个人隐私泄露等风险随之而来。如何治理未成年人网络环境,一直是全社会关注的热点问题。
2023年10月16日,国务院总理李强签署第766号国务院令,公布《未成年人网络保护条例》(以下简称“《条例》”),自2024年1月1日起施行。《条例》历经七年两次公开征求意见,共七章60条,《条例》从四部分展开,包括未成年人的网络素养促进、网络信息内容规范、个人信息网络保护、网络沉迷防治。
作为第一部专门针对未成年人网络空间保护方面的专门行政法规,在平衡商业化利用和未成年人个人信息保护方面,《条例》一方面鼓励和支持研发、生产和使用以未成年人为服务对象、适应未成年人身心健康发展规律和特点的网络保护软件、智能终端产品和未成年人模式、未成年人专区等网络技术、产品、服务,另一方面对未成年人用户数量巨大或者对未成年人群体具有显著影响的大型网络平台提出了较高的合规义务。本文将从《条例》的主要内容以及合规要点进行介绍和解读,以便为企业提供可落地的实操建议。
一、我国未成年人数据保护法规概述
为了营造健康、文明、有序的网络环境,保障未成年人在网络空间的合法权益,我国近年来加速构建未成年人网络与数据保护法律体系。在《条例》出台之前,我国的未成年人网络与数据保护法律体系主要包括《未成年人保护法》《网络安全法》《个人信息保护法》《儿童个人信息网络保护规定》等相关法律法规。这些法律法规的制定和修订,旨在保护未成年人的合法权益,促进未成年人网络环境的健康发展。
其中,我国1991年颁布《未成年人保护法》,是针对未成年人身心健康和全面发展而制定的一部综合性法律。经2020年第三次修订,新增了“网络保护”专门章节,其中,涉及网络保护的内容主要包括对未成年人网络使用、网络安全、网络权益等方面的保障。该法的立法背景是为了解决现实生活中未成年人面临的各种网络问题,保护未成年人的身心健康和合法权益。
《网络安全法》在未成年人网络与数据保护方面,规定了未成年人网络保护的原则性要求,国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。
《个人信息保护法》作为针对个人信息保护的专门法律,针对不满十四周岁的未成年人的个人信息处理活动规定了应当取得未成年人的父母或者其他监护人的同意,应当制定专门的个人信息处理规则等特殊要求。
《儿童个人信息网络保护规定》是我国专门针对儿童个人信息网络保护的部门规章,旨在保护儿童的个人信息安全。《儿童个人信息网络保护规定》从全生命周期规定了对于儿童个人信息的收集、使用、处理等方面的要求,如不得泄露、不得过度收集等。该规定的保护对象为不满十四周岁的未成年人。
《条例》是我国的第一部专门性的未成年人网络保护综合立法,回应了社会各界对未成年人网络保护的关切,标志着我国未成年人网络保护法治建设进入新的阶段。《条例》进一步细化《网络安全法》《个人信息保护法》等上位法相关要求,从网络素养促进、网络信息内容规范、个人信息网络保护、网络沉迷防治等方面设置相应制度,明确网络产品和服务提供者等主体的未成年人网络保护义务,规范了相关管理要求。《条例》反映了我国对未成年人网络与数据保护的高度重视,同时也反映了我国在保障未成年人网络与数据安全方面所做出的努力。
二、《未成年人网络保护条例》关于未成年人保护责任义务
在法律义务上,《条例》基本延续了《未成年人保护法》的要求,并在“个人信息网络保护”章节对《个人信息保护法》的相关要求做出了进一步细化。
1. 促进网络素养
(1)学校义务
在未成年人网络素养促进方面,《条例》在《未成年人保护法》的基础之上,明确将网络素养教育纳入学校素质教育内容,国务院教育部门会同国家网信部门制定未成年人网络素养测评指标。
(2)监护人义务
强化未成年人的监护人的网络素养教育责任,监护人应当加强家庭家教家风建设,加强对未成年人使用网络行为的教育、示范、引导和监督。
(3)智能终端产品制造者、销售者的义务
明确未成年人网络保护软件、专门供未成年人使用的智能终端产品的功能要求。应当具有保护未成年人个人信息权益、预防未成年人沉迷网络等功能。
智能终端产品制造者应当在产品出厂前安装未成年人网络保护软件,或者采用显著方式告知用户安装渠道和方法。智能终端产品销售者在产品销售前应当采用显著方式告知用户安装未成年人网络保护软件的情况以及安装渠道和方法。
该条款延续了《未成年人保护法》第69条关于在智能终端产品上安装未成年人网络保护软件的规定,且在《未成年人保护法》的基础上进一步细化了智能终端产品制造者和销售者各自的责任范围。
(4)大型网络平台义务
规定未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者应当履行的未成年人网络保护义务。提出了定期开展未成年人网络保护影响评估、提供未成年人模式或者未成年人专区、制定专门的平台规则等要求。
对于各义务主体在促进网络素养方面的主要法律义务,详见下表:
2. 网络信息内容规范
(1)加强用户发布信息管理
《条例》明确了网络产品和服务提供者发现危害或者可能影响未成年人身心健康信息的处置措施和报告义务。《条例》与2022年3月14日征求意见稿相比,新增了网络产品和服务提供者不得通过自动化决策方式向未成年人进行商业营销的规定。《个人信息保护法》仅规定了通过自动化决策方式向个人进行商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式,并且应当事前开展个人信息保护影响评估。《条例》以禁止通过自动化决策方式向未成年人进行商业营销的规定对未成年人个人信息保护做出了相比《个人信息保护法》更为严格的规定。
(2)网络欺凌行为监测
《条例》在《个人信息保护法》《中华人民共和国未成年人保护法》等法律法规的基础上,进一步加强未成年人个人信息保护、完善网络欺凌防治机制。在2022年3月14日征求意见稿的基础上,《条例》新增了网络产品和服务提供者应当利用人工智能等技术加强对网络欺凌的识别监测的要求,网络产品和服务提供者应当建立健全网络欺凌行为的预警预防、识别监测和处置机制。同时,设置便利未成年人及其监护人保存遭受网络欺凌记录、行使通知权利的功能和渠道,提供便利未成年人设置屏蔽陌生用户、本人发布信息可见范围、禁止转载或者评论本人发布信息、禁止向本人发送信息等网络欺凌信息防护选项等,加强对未成年人网络欺凌的防范和对遭受网络欺凌的未成年人的保护。
此外,《条例》规定,网络产品和服务提供者应当建立健全网络欺凌信息特征库,优化相关算法模型,采用人工智能、大数据等技术手段和人工审核相结合的方式加强对网络欺凌信息的识别监测。
对于各义务主体在网络信息内容规范方面的主要法律义务,详见下表:
3. 个人信息网络保护
《条例》第四章进一步明确了未成年人个人信息的处理原则,并规定监护人应当教育引导未成年人增强个人信息保护意识和能力、指导未成年人行使相关权利,以及个人信息处理者及网络服务提供者的相关义务。
对于为未成年人提供信息发布、即使通讯等服务的网络服务提供者而言,《条例》第三十一条规定其应要求未成年人或其监护人提供未成年人真实身份信息,并以其作为未成年人提供相关服务的前提。值得注意的是,根据《条例》第三十八条,即使不是针对未成年人提供服务的网络服务提供者,在发现未成年人私密信息或未成年人通过网络发布的个人信息中涉及私密信息时也应当及时提示,并通过采取停止传输等必要措施,防止信息扩散。此外,《条例》新增了针对网络服务提供者对于未成年人人身保护的要求,第三十八条规定通过未成年人私密信息发现未成年人可能遭受侵害的,网络服务提供者应当采取必要措施保存有关记录,并向公安机关报告。
在原2022年3月14日征求建议稿的基础上,《条例》细化了针对个人信息处理者应如何响应未成年人及其监护人对于未成年人个人信息权利的要求。具体而言,《条例》参照《个人信息保护法》对于个人信息权利的相关规定,要求个人信息处理者对于未成年人或者其监护人提出的对于未成年人个人信息进行查阅、复制、更正、补充、删除请求应提供及时响应,并为未成年人或者其监护人提供便捷的行使机制。《条例》第三十五条明确了发生或者可能发生未成年人个人信息泄露、篡改、丢失时,个人信息处理者的安全事件应急处置要求,并针对个人信息处理者难以逐一告知受影响的未成年人及其监护人的情况进行了补充规定。在该情况下,个人信息处理者可通过采取合理、有效的方式及时发布警示信息,实现告知相关未成年人及其监护人的目的,体现了《条例》对于现实中个人信息处理者难以一一告知受影响的个人信息主体的考虑,提供了更加可操作的告知方式。
同时,《条例》第三十六条规定个人信息处理者应当严格设定未成年人个人信息访问权限,与《儿童个人信息网络保护规定》第十五条的要求相似,工作人员在访问未成年人个人信息前,应当经过相关负责人或其授权的管理人员审批,记录访问情况,并采取技术措施。值得注意的是,《条例》第三十七条规定个人信息处理者应当每年对其处理未成年人个人信息遵守法律法规的情况开展合规审计,并将审计情况及时报告网信等部门,对个人信息处理者提出了较高的合规要求。
对于各义务主体在个人信息网络保护方面的主要法律义务,详见下表:
4. 网络沉迷防治
在未成年人网络沉迷的预防和干预方面,延续了《未成年人保护法》的防沉迷治理框架,《条例》根据不同角色对于各义务主体的对应责任义务进行了规定,以全方位地协调各方力量,达到未成年人网络沉迷防治的目的。义务主体包括学校、监护人、网络产品和服务提供者及新闻出版、教育、卫生健康、文化和旅游、广播电视、市场监督管理、网信等部门。《条例》明确网络产品和服务提供者应设置防沉迷制度,除不得向未成年人提供诱导其沉迷的产品和服务外,还应及时修改可能造成未成年人沉迷的内容、功能和规则,并每年向社会公布防沉迷工作情况。在此基础上,《条例》进一步对于网络服务提供者进行了细分,包括网络游戏、网络直播、网络音视频、网络社交服务提供者等,前述相关网络服务提供者应当设置未成年人模式,并为监护人提供可供履行监护职责的醒目便捷的方式,并合理限制不同年龄阶段未成年人的在使用相关网络服务中的消费数额。《条例》第四十五条规定相关网络服务提供者不得设置以应援集资、投票打榜、刷量控评等为主题的网络社区,且除不得诱导未成年人参与相关活动外,还应预防和制止其用户诱导未成年人实施相关行为,体现了立法者对于当下流行现象的关注及考虑。此外,《条例》对于网络游戏服务提供者的义务进行了单独规定,包括通过必要手段验证未成年人用户真实身份信息,建立预防未成年人沉迷网络的游戏规则,明确游戏产品适合的未成年人用户年龄阶段并在合适的位置进行显著提示。
对于各义务主体在网络沉迷防治方面的主要法律义务,详见下表:
三、《未成年人网络保护条例》中部分重点变化
1. 大型平台企业需主动履行未成年人网络保护义务
考虑到有的平台未成年人用户数量巨大,或者其产品和服务对未成年人群体具有显著影响,是未成年人网络保护的重要主体和重要环节,《条例》在明确网络产品和服务提供者的一般性保护义务的基础上,针对未成年人用户数量巨大或者对未成年人群体具有显著影响的平台,提出了未成年人网络保护方面的特殊义务要求,以督促大型平台企业切实承担社会责任,守护未成年人健康发展。
《条例》第二十条规定了未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者(“大型平台企业”)还应当履行特定义务,包括:开展未成年人网络保护影响评估、提供未成年人模式或者设置未成年人专区、建立健全未成年人网络保护合规制度体系、制定未成年人网络保护专门平台规则、停止为侵犯未成年人合法权益的平台内产品或者服务提供者提供服务、每年发布未成年人网络保护社会责任报告等等。这些举措进一步强化了企业在未成年人网络空间保护中的责任,有利于进一步压紧压实大型网络平台主体责任,更好地促进平台经济持续健康发展。
其中,《条例》第二十条第一款第一项采纳了欧盟《通用数据保护条例》关于隐私保护设计(“Privacy by design”)的隐私保护理念,明确规定在网络平台服务的设计、研发、运营等阶段,充分考虑未成年人身心健康发展特点,这意味着在互联网产品设计之初,就要充分考虑未成年人的身心健康发展特点,设计相应的产品功能,并制定相应的平台规则,从法律上明确了大型平台企业针对未成年人网络空间保护的全链条、全产品周期的特殊责任。[1]
值得注意的是,《条例》提出大型平台企业应当建立健全未成年人网络保护合规制度体系,成立主要由外部成员组成的独立机构,对未成年人网络保护情况进行监督。针对“外部独立监督机构”,企业可参考《信息安全技术 大型互联网企业内设个人信息保护监督机构要求(征求意见稿)》的有关规定,建立相应的外部监督机构。
在法律责任方面,《条例》对大型平台企业规定了较重的法律责任,大型平台企业如果违反第二十条第一款第一项和第五项[2]规定,情节严重的,最高可能面临5000万元以下或者上一年度营业额百分之五以下罚款。并且《条例》确立了广泛的监管主体,若大型平台企业违反《条例》第二十条第一款的,网信、新闻出版、电信、公安、文化和旅游、广播电视等部门依据各自职责责令改正、给予警告、没收违法所得或处罚款。
《条例》并未规定“大型平台企业”的具体认定办法,该认定办法由国家网信部门会同有关部门另行制定。企业应当密切关注第二十条所规定的义务,并且积极关注有关部门的具体认定办法。
关于如何平衡保护未成年人网络权益的同时,不过分限制大型平台企业的发展,是未成年人网络保护立法的难点。10月27日,在国新办召开的国务院政策例行吹风会上,国家网信办网络法治局局长李长喜就如何统筹平台经济健康发展和未成年人网络保护回答了记者提问,提出《条例》在制定过程中,注重统筹平台经济健康发展和未成年人网络保护。在提升平台企业常态化监管水平,为促进企业健康有序发展提供指引的同时,《条例》也提出了鼓励支持平台企业健康发展的举措。例如,《条例》第十四条要求,县级以上地方人民政府为学生提供优质的网络素养教育课程,第十八条提出,鼓励和支持研发、生产和使用专门以未成年人为服务对象、适应未成年人身心健康发展规律和特点的网络技术、产品和服务。这些制度有利于吸引平台企业参与其中,进一步促进平台经济健康有序发展。
2. 明确和强化监护人义务
未成年人保护中,如何平衡企业与监护人义务关系一直是难题。实践中存在着大量监护人怠于履行监护义务,而造成未成年人在使用网络中身心受损的情况,因此大量企业作为产品和服务提供方如何厘清与监护人的义务边界是解决“发展与安全”平衡的重中之重。
《条例》规定监护人应当积极参与未成年人网络安全保护工作,并在《未成年人保护法》的基础上进一步明确和强化了监护人的义务。《未成年人保护法》第十七条规定了未成年人的父母或者其他监护人不得实施放任未成年人沉迷网络,接触危害或者可能影响其身心健康的图书、报刊、电影、广播电视节目、音像制品、电子出版物和网络信息等行为,而《条例》进一步明确和强化未成年人监护人的引导、监督、介入责任,明确监护人应当关注未成年人上网情况以及相关生理状况、心理状况、行为习惯,防范未成年人接触危害或者可能影响其身心健康的网络信息,指导未成年人安全合理使用网络,参与有益身心健康的活动,培养未成年人个人信息保护意识,指导未成年人行使其在个人信息处理活动中的查阅、复制、更正、补充、删除等权利,保护未成年人个人信息权益。在《个人信息保护法》的基础上,《条例》进一步明确了未成年人个人信息权利可由未成年人或其监护人行使。并且,《条例》明确规定了未成年人监护人不履行本条例的法律责任(批评教育、劝诫制止、督促)。
3. 未成年人个信息合规审计
《条例》对未成年人个人信息处理者规定了更重的合规义务,第三十七条规定,个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。《条例》要求个人信息处理者每年开展未成年人个人信息处理情况相关合规审计工作,并未对履行该义务设置数量上的门槛,形式上属于《个人信息保护法》第五十四条所规定的定期审计,并沿用了《个人信息保护法》对于审计内容的依据的规定,即依据“法律、行政法规”。
2023年8月3日,鉴于合规审计方面的规则空白,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《审计办法》”),进一步明确了开展审计工作的个人信息处理者、专业机构和履行个人信息保护职责部门的角色与义务。在开展合规审计的频率上,《条例》对于未成年人个人信息处理者的要求与《审计办法》中对于处理超过100万个人信息的个人信息处理者的合规审计要求相同,需每年开展,可见立法者对于未成年人个人信息保护工作的重视。
在个人信息保护合规审计的开展形式上,《条例》与《审计办法》相同,即明确可通过自行审计或委托第三方审计。对于在组织内部开展个人信息保护合规审计工作的,个人信息处理者可考虑制定内部个人信息保护合规审计制度,明确合规审计的具体开展流程和负责部门,制度化、体系化审计策略、审计操作方式、审计结果规范以及审计问题整改跟踪等内容,并确保负责在内部进行合规审计的人员具备相关专业知识,以确保内部合规审计的有效性。同时,个人信息处理者也可委托第三方专业机构开展合规审计,一方面,和内部审计相比,委托第三方专业机构审计更具中立性,且《审计办法》明确规定,如专业机构存在出具虚假、失实报告等违规行为,如属实,会被永久禁止列入个人信息保护合规审计专业机构推荐目录,督促第三方专业机构提供公正客观、高质量水准的个人信息保护合规审计服务;另一方面,《网络数据安全管理条例(征求意见稿)》第五十三条规定,大型互联网平台运营者在对平台个人信息保护情况进行每年的年度合规审计时,必须委托第三方进行审计,其“大型互联网平台运营者”的概念与《条例》第二十条中所规定的未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者(“大型平台企业”)具有一定相似性,企业应参考自身情况,并持续关注国家网信部门会同有关部门另行制定的判定标准,选择符合要求的合规审计方式。
4. 提供便捷的未成年人个人信息权利响应机制
在《个人信息保护法》的基础上,《条例》第三十四条对个人信息处理者提出了更为细致的要求。未成年人个人信息权利可由未成年人或其监护人行使,且对于合理请求而言,个人信息处理者应当为其提供便捷的行使途径并及时受理。具体而言,针对未成年人或者其监护人对于查阅未成年人个人信息的请求,个人信息处理者需提供便捷的支持其查阅未成年人个人信息种类、数量等的途径。与《个人信息保护法》第四十五条相似,对未成年人或者其监护人依法提出的转移未成年人个人信息的请求且符合国家网信部门规定条件的,《条例》第三十四条要求个人信息处理者应当提供转移的途径。同时,个人信息处理者需提供便捷的支持未成年人及其监护人复制、更正、补充、删除未成年人个人信息的功能,并及时受理未成年人或其监护人对于未成年人个人信息权利的相关申请,如拒绝相关请求,则个人信息处理者应书面告知申请人并说明理由。相较于《个人信息保护法》第五十条对于个人信息处理者拒绝个人行使权利的请求时应当说明理由的规定,《条例》进一步明确对于拒绝未成年人个人信息权利的行使而言,该说明应当以书面形式呈现,提高了对于未成年人个人信息处理者的要求。
同时,与《儿童个人信息网络保护规定》相比较,《条例》中对于个人信息处理者响应个人信息权利机制的要求更高。具体而言,《儿童个人信息网络保护规定》第十九、二十条规定的义务主体为网络运营者,仅对于其响应儿童或其监护人提出的更正、删除儿童个人信息的请求进行了规定,且未对于行使途径的便捷性进行明确规范。
5. 对网络产品和服务提供者实施双罚制和竞业禁止
《条例》第六章明确了对于各义务主体应承担的法律责任,体现了立法者对于未成年人网络保护的决心。值得注意的是,第一,对于监护人而言,在《条例》第五十二条中,明确规定了对于不履行本条例规定的监护职责或侵犯未成年人合法权益的监护人,应当由居民委员会、监护人所在单位、中小学校等有关密切接触未成年人的单位依法予以批评教育、劝诫制止等,落实监护人对于相关义务的履行;第二,《条例》实施双罚制,《条例》第五十四条规定,对于违反第二十条第一款第一项和第五项规定,情节严重的大型平台企业,在没收违法所得并处5000万元以下或者上一年度营业额百分之五以下罚款外,还可能被责令暂停相关业务或停业整顿、通报有关部门依法吊销相关业务许可证或营业执照,同时,其直接责任人员被处10万元以上100万元以下罚款,并可被禁止在一定期限内担任相关企业的董事、监事、高级管理人员和未成年人保护负责人;第三,《条例》第五十七条规定了对网络产品和服务提供者可处竞业禁止措施,若网络产品和服务提供者违反条例规定,受到关闭网站、吊销相关业务许可证或者吊销营业执照处罚的,5年内不得重新申请相关许可,且其直接责任人员5年内不得从事同类网络产品和服务业务。
结语
《条例》作为我国出台的第一部专门性的未成年人网络保护综合立法,一方面为企业提供了重要的合规指引,另一方面也为外界监督提供了有效的抓手,以实现为未成年人提供安全的网络空间、提高未成年人网络素养的目的。对于企业而言,应根据自身提供的服务或产品的性质,判断《条例》所规定的义务的适用性,并针对性地补足自身合规差距。就一般义务而言,企业应做到完善未成年人个人信息权利响应机制及个人信息安全事件应急预案,严格设定内部信息访问权限,定期开展未成年人个人信息相关合规审计工作。对于互联网企业而言,应注意建立健全对于有害未成年人身心健康的信息和未成年人私密信息的有效识别与处置流程、防沉迷制度及网络欺凌行为的预警预防、识别监测和处置机制,并根据《条例》要求实现身份验证等。
同时,企业应持续关注《条例》相关的最新监管要求与动态,包括对于“大型平台企业”的认定要求等,以进一步完善企业内部未成年人网络保护合规框架,肩负起自身社会责任。
扫码订阅“金杜律师事务所”,了解更多业务资讯
未成年人网络保护:平台越大,责任越大。https://www.thepaper.cn/newsDetail_forward_25086538。最后一次访问日期:2023年10月29日。
《条例》第二十条第一款:未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者,应当履行下列义务:(一)在网络平台服务的设计、研发、运营等阶段,充分考虑未成年人身心健康发展特点,定期开展未成年人网络保护影响评估;(五)对违反法律、行政法规严重侵害未成年人身心健康或者侵犯未成年人其他合法权益的平台内产品或者服务提供者,停止提供服务;