深度 | 从315曝光的儿童智能手表问题看儿童个人信息安全保护体系的构建

浏览: 来源: 时间:2022-03-28
儿童个人信息网络保护 儿童智能手表 熠数信息

2022年央视“3·15”晚会上曝光低配的儿童智能手表极其容易被攻击者利用,进而获取实时定位、人脸图像、录音等隐私信息,成为行走的偷窥器。虽然其直接原因为智能手表的操作系统版本过低,但其背后的另一层问题是,即使没有被攻击者利用,智能设备、儿童设备都能够收集到儿童的个人信息,对于儿童的个人信息与成人个人信息保护又有何不同呢?

熠数信息梳理新阶段儿童个人信息安全面临的风险,分析《儿童个人信息网络保护规定》(以下简称《规定》)中的特点和不足,希望为儿童个人信息安全保护体系的构建提供更多的对策。

1.1 儿童个人信息的安全风险

儿童是国家发展的未来和希望,其认知能力、危险识别能力和自我保护能力相对薄弱,在网络空间内容繁杂、违法违规收集使用个人信息问题层出不穷的形势下,儿童个人信息安全主要面临以下风险。

1. 儿童个人信息泄露的风险

儿童个人信息蕴含巨大的商业利益,诱使APP、“内鬼”使用各种手段收集、窃取。另一方面,儿童、监护人的安全意识不足,甚至无意识地将儿童个人信息,包括儿童的姓名、体貌、学校、轨迹等隐私内容暴露在网络中,使不法者的信息收集和信息窃取难度大大降低。

2. 儿童个人信息交易的风险

儿童经济的异军突起推动了黑灰产业链中儿童个人信息交易价值的水涨船高。在利益的驱动下,儿童个人信息在被窃取或泄露之后,通常还会面临被二次加工和非法买卖的风险。与信息泄露的环节相比,儿童个人信息在这一环节直接流入到公民个人信息非法交易的地下市场。

3. 儿童个人信息滥用的风险

儿童个人信息在上游环节的泄露和中游环节的流通为下游的信息滥用行为大开方便之门。利用儿童个人信息进行违法犯罪活动,直接威胁儿童及其监护人的人身和财产安全。相关的违法犯罪活动一旦得手,还可能会对儿童的心理健康和成长发育造成潜在的、难以估量的负面影响。

1.2 规定》的特殊保护与不足

2021年8月20日,全国人大常委会审议并通过《个人信息保护法》,首次明确不满十四周岁未成年人的个人信息为个人敏感信息,除了获取父母或者其他监护人的同意外,还要求个人信息处理者对此制定专门的个人信息处理规则以加强保护。

2019101日起正式施行的《儿童个人信息网络保护规定》比《个人信息保护法》足足早了两年,是我国首部针对儿童网络领域个人信息保护的规定,是国家推进儿童个人信息保护的重要举措,对保障未成年人网络空间合法权益具有里程碑意义。

儿童是特殊群体,需要给予特殊保护。《规定》在以下制度的设计上体现出了对儿童个人信息进行特殊保护的理念。

1. 对安全评估的要求更加具体

《规定》第十七条指出,网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估。在《个人信息保护法》中仅对需向境外提供的信息,应当通过安全评估,即使是敏感信息也未明确说明何时进行安全评估。

2. 对监护人知情同意原则进一步明确

《规定》中要求网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意;明确告知儿童个人信息的存储地点和到期后的处理方式、安全保障措施等事项;告知事项发生实质性变化时,需要再次征得儿童监护人的同意;因业务需要,确需超出约定的目的、范围使用儿童个人信息的,应当征得儿童监护人的同意。

3. 对网络运营者处理人员的要求和访问权限更加严格

《规定》第八条指出,网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责。此外,《规定》第十五条指出,网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。

《规定》虽然亮点颇多,但也存在不足。

1. 《规定》的法律效力位阶较低

《规定》由国家互联网信息办公室颁布,属于部门规章,相比《未成年人保护法》、《网络安全法》、《个人信息保护法》等由全国人大常委会审议通过的法律在法律效力位阶较低,导致在司法裁判中不能适用“新法优于旧法”和“特别法优于一般法”规则,最终可能导致《规定》适域过窄的困境,不能有效保护儿童个人信息的安全。

2. 同《未成年人保护法》的衔接不畅

在《未成年人保护法》中规定未成年人是指未满十八周岁的公民,在《关于进一步加强对网上未成年人犯罪和欺凌事件报道管理的通知》中也是以十八周岁为界,而《规定》未涵盖十四至十八周岁的未成年人,以不满十四周岁的儿童为保护对象,《规定》从立法层面存在衔接不畅的问题。

3. 儿童监护人同意方式不够严格

《规定》多次要求需要征得儿童监护人同意,但并未对儿童监护人同意方式以明确形式做规定。儿童监护人是儿童个人信息保护的“第一防火墙”,应明确规定采用儿童监护人的书面同意或监护人身份认证后同意等形式,进行更加准确和严格的管控。

1.3 儿童个人信息安全保护体系的构建

儿童个人信息保护体系的构建、优化和实施需要社会各界的共同努力,从政府、社会、企业到个人各个层面完善我国儿童个人信息安全防控体系,来提升儿童个人信息保护的实际效果。

1. 通过规范配置来完善法律法规政策体系

法律保护是儿童个人信息安全的最后一道防线、也是最为重要的防线,需要进一步完善儿童个人信息保护政策,使之在中国情境下与其他个人信息保护政策和未成年人保护政策相融合,做好顶层设计。此外刑法也应科学、合理地设置此类犯罪的入罪门槛和刑罚配置,通过完善司法解释适度降低侵犯儿童个人信息类犯罪的入罪门槛,将儿童信息真正作为敏感信息加以保护。此外,通过优化刑罚配置的方式,增加行为人的犯罪成本,预防侵犯儿童个人信息犯罪的发生。

2. 以合规监管、业务风险驱动企业数据安全建设

网络运营者若只制定一份个人信息保护政策已然无法满足儿童群体专门性的要求,网络运营者在制定儿童个人信息保护政策时应考虑进一步体现儿童群体的专门性,对于儿童的个人信息保护应设置专人管理、明确使用范围,定期风险评估等。同时采取相应的技术保障措施,如加密、脱敏、审计等技术增强存储和使用中的安全性。尤其是教育学习类平台、智能装备类企业更要加紧数据安全的建设,高度重视自身的合规路径从而在规避法律和业务风险的同时在社会层面上为切实保护儿童个人信息权益做出贡献。除行业自律外,监管机构要以合规监管带动企业合规经营,帮助企业更好地明晰法律要求和技术建设方向, 降低监管难度和企业合规成本,更好的推动数字经济的发展。

3. 通过持续、生动的宣传提升儿童及其监护人的安全意识

如何提升儿童及其监护人的网络安全意识是从源头提升儿童个人信息安全的关键。如今数字化已经渗透到社会的各个层面,但绝大多数的儿童及其监护人网络安全知识匮乏,导致他们不可能全然认识到各类儿童个人信息处置情景中的安全风险。学校属于儿童所接触社会环境的重要组成部分,学校应主动担负起教育、宣传的职责,配合其他相关主体维护儿童个人信息利益;监护人是儿童个人信息保护教育的根源,其需要认真学习儿童信息保护的政策,在正确教导儿童保护个人信息安全的基础上履行管控责任,贯彻落实知情同意的法律机制;对于儿童自身,需要加强网络安全意识和保护能力,才能安全地畅游网络世界。因此,儿童及其监护人的安全意识提升,需要政府、学校围绕儿童个人信息安全这一主题,主动地对儿童、监护人和教师等群体进行安全意识教育,弥补儿童及其监护人对于个人信息安全的认识误区和知识盲区。

 

参考文献

1. 张旭、朱笑延:《“全民触网”时代儿童个人信息安全的保护路径》,《青少年犯罪问题》,2020年第1期

2. 廖嘉琦:《网络平台儿童个人信息保护政策分析——基于儿童个人信息网络保护规定的框架》,《法治纵横》,2021年第2

3. 王勇旗:《儿童个人信息网络保护规定的意义及不足》,《新闻与法》,2020年第4

4. 周婉情:《宽严相济 儿童数据隐私保护的检视与反思——兼评我国儿童个人信息网络保护规定的相关条款》,《青少年学刊》,2020年第5

5. 刘新宇:《数据保护合规指引与规则解析》,中国法制出版社,2021