当前位置:儿童保育 >> 组织领导 >> 声驰著述企业如何做好儿童信息保护

声驰著述企业如何做好儿童信息保护

我国对个人信息的保护力度逐日增大,年8月23日,为了规范收集、使用儿童个人信息等行为,保护儿童合法权益,为儿童健康成长创造良好的网上环境,国家互联网信息办公室正式发布《儿童个人信息网络保护规定》(以下简称《规定》)。该《规定》是我国首部规定儿童个人信息网络保护的专门立法,在科学、民主立法的背景下,该规定的出台具有重大意义。儿童个人信息网络保护原则,是指贯穿于儿童个人信息网络保护各个阶段的指导原理和准则。明确儿童个人信息网络保护原则,不仅可以规范网络运营者在儿童个人信息收集、使用、转移、披露等环节中的义务和责任,也有助于保障儿童的个人信息权利。

回顾之前我国立法对儿童信息的历程,可知此次规定的出台具有里程碑式的意义。《民法总则》、《网络安全法》、《全国人大常委会关于加强网络信息保护的决定》等法律法规对个人信息的收集、使用、保护等作出了规定。《未成年人保护法》、《北京市未成年人保护条例》等法律以及地方性法规中的相关条款,对未成年人的隐私权进行了规定。但上述立法都没有对儿童个人信息网络保护作出合理的制度安排,立法规定之间也缺乏整合与协调,法律法规体系的不健全制约了儿童网络环境治理,导致儿童个人信息网络保护力度不足。因此,《规定》的出台对保护儿童个人信息安全以及净化整个网络环境都有重大意义。

《网络安全法》规定了网络运营者收集、使用个人信息应遵循的原则,第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”该条文中包含了合法正当原则、目的特定原则、收集限制原则、知情同意原则、公开透明原则的内涵。《儿童个人信息网络保护规定》延续上述原则,明确了儿童个人信息网络保护的正当必要、知情同意、目的明确、安全保障、依法利用五大原则。

其中“同意规则”和“最小原则”是此次两大亮点。根据“同意规则”,将儿童监护人明确同意作为基本前提,为儿童个人信息保护增添了一道坚固“安全锁”。根据“最小原则”,严格限定运营商的“帝王”权力,“不得收集与其提供的服务无关的儿童个人信息”“不得超过实现其收集、使用目的所必需的期限”“工作人员授权最小化”,体现了限制权力、增加权利的立法宗旨。根据最小原则”,实践中存在不少网络运营者内部工作人员违规窃取、对外提供和泄漏个人信息的情况。对此《规定》提出网络运营者应当对工作人员最小授权,严格设定访问权限,控制知悉范围,还规定了审批要求,即工作人员经过审批后方可访问儿童个人信息,访问情况也应被记录,还应当通过采取技术措施,避免违法复制、下载儿童个人信息。

此次立法者尤其注意对主体知情同意权利的保护。年1月,中央网信办、工业和信息化部、公安部、市场监管总局联合发布的《关于开展App违法违规收集使用个人信息专项治理的公告》,规定了收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则,并经个人信息主体自主选择同意;不以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得违反法律法规和与用户的约定收集使用个人信息。这次立法者在《规定》中对知情同意原则进一步明确和细化,要求网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意;征得同意时同时提供拒绝选项;明确告知儿童个人信息的存储地点和到期后的处理方式、安全保障措施等事项;告知事项发生实质性变化时,需要再次征得儿童监护人的同意;因业务需要,确需超出约定的目的、范围使用儿童个人信息的,应当征得儿童监护人的同意。

上述原则对相关企业在网络安全和信息保护合规性上具有重大启示。即企业在具体业务中需要搜集、使用、或对外提供关于儿童个人信息的,应当树立儿童信息保护的强烈意识,并在公司内部建立专项儿童个人信息保护的规章制度,《规定》要求网络运营者应当在内部设立专门针对儿童的个人信息保护规则,对外应当制定专门的用户协议,网络运营者内部还应当设有专人负责儿童个人信息网络保护事宜。此外还应安排专人进行负责保护,并遵循上述“同意规则”和“最小原则”两大原则,使各项事项在法律界定的范围内更具有可操作性和合规性。

此外,《规定》涵盖儿童个人信息的全生命周期网络保护。企业尤其要注意,不仅在收集、存储、使用等环节应注意信息安全,另外在对外向其他合作商或服务商提供相关信息,“委托第三方处理儿童个人信息、向第三方转移儿童个人信息”的环节,尤其要注意转移、披露信息的合规性。按照《规定》要求,企业应建立“安全评估”制度。即存在以下两种情形时应当进行安全评估:一种是委托第三方处理儿童个人信息的,应当对受托方及委托行为进行安全评估,另一种是向第三方转移儿童个人信息的,应当进行安全评估,评估的方式包括自行评估或者委托第三方机构进行评估。

最后企业应特别注意《规定》中的“删除权”制度。《规定》明确了儿童或者监护人享有要求网络运营者删除儿童信息的权利,并明确了可以行使删除权的具体情形,包括网络运营者违法或违约、超出目的范围或者必要期限、儿童监护人撤回同意的、儿童或者监护人通过注销等方式终止使用产品的以及委托关系解除时受托方应当及时删除儿童个人信息。值得一提的是,规定“儿童监护人撤回同意”情形,实质上赋予了删除权更广泛的内涵,即当监护人认为有必要删除儿童个人信息时,即可要求网络运营者删除相应的儿童个人信息,体现了对儿童个人信息给予充分和特殊保护的立法目的。

综上,立法对儿童及未成年人的权益保护日益完善,对违反相关法律的经营者也予以更严重的惩处,在此背景下,建议网络运营者密切

转载请注明:http://www.zhangxunbuy.com/zzld/6987.html

最新文章
热点文章
  • 没有热点文章
推荐文章
  • 没有推荐文章
网站简介| 发布优势| 服务条款| 隐私保护| 广告合作| 网站地图| 版权申明

当前时间: