“个人信息保护法”系列解读——升级保护未成年人个人信息,给家长吃上“定心丸”
编者按:在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。8月20日,十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”),将于2021年11月1日起施行。出台个人信息保护法有何意义?未成年人个人信息安全,如何保障?对此,人民网《良法善治大家谈》栏目推出系列报道,邀请法律专家进行解读。
据中国互联网络信息中心今年2月3日发布的第47次《中国互联网络发展状况统计报告》显示,截至2020年12月,我国小学及以下网民群体占比由2020年3月的17.2%提升至19.3%。由此可见,未成年人已经逐渐成为我国网民的重要组成部分。
那么,如何保护未成年人的个人信息安全?8月20日通过的个人信息保护法,给家长和孩子们吃了一颗“定心丸”。
对未成年人个人信息进行升级保护
个人信息保护法将不满十四周岁未成年人的个人信息列为了敏感个人信息。该法第二十八条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
对此,中国政法大学副教授苑宁宁在接受人民网记者采访时表示,此前未成年人保护法或是《儿童个人信息网络保护规定》中都没有特别突出,这意味着个人信息保护法将不满十四周岁未成年人的所有个人信息都作为敏感信息进行了升级保护。
谈到升级保护的理由,苑宁宁认为,一方面是因为不满十四周岁未成年人的知情同意能力相对不成熟,对个人信息被收集、利用很难做出完全理性的判断和同意;另一方面,不满十四周岁未成年人往往自我保护意识能力和认识风险能力相对较弱。所以在实践当中,为了避免不满十四周岁未成年人由于个人信息泄露带来的线上或是线下的威胁或风险,个人信息保护法特别设置,将其列为敏感个人信息加以保护。
对未成年人个人信息处理者实行“双保险”
光是列为敏感个人信息还不够,个人信息保护法第三十一条第一款强调,个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
北京航空航天大学法学院教授、博士生导师周友军解释,这条规定主要是为了实现对不满十四周岁未成年人的特殊保护,贯彻宪法上保护未成年人的立法精神。我国宪法第四十九条第一款专门就未成年人保护作出了规定。这一规定的精神必须贯彻到个人信息保护领域。
周友军告诉记者,这一规定主要是考虑到两点:第一,不满十四周岁的未成年人,属于无民事行为能力人或者限制民事行为能力人,其对于个人信息处理的可能后果无法作出非常理性的判断,因此,需要引入其监护人的同意,以保护这些未成年人。第二,这与民法典和未成年人保护法的规定保持一致性。民法典第一千零三十五条第一款强调,未成年人的信息处理要得到其监护人的同意;未成年人保护法第七十二条第一款规定:“处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。”
建议出台行业规范和行业准则加强保护
个人信息保护法第三十一条第二款规定,个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
对此,周友军表示,这一规定主要是为了强化对未成年人的保护,以贯彻我国宪法、未成年人保护法等确立的未成年人利益最大化原则。另外,这一规定也与个人信息保护法第二十八条的规定保持了协调。
但此条规定中并没有展开说专门的个人信息处理规则。随着互联网行业的不断发展,未成年人个人信息保护可能需要方方面面的注意。
为了落实法律规定,苑宁宁认为,个人信息处理者应当在坚持正当必要、知情同意、目的明确、安全保障等原则基础上,出台不满十四周岁未成年人个人信息保护的行业规范和行业准则。
“不仅要有行业规范行业准则,其实针对个人信息的收集者来说,也应当有最低的要求。”苑宁宁提出,第一,个人信息处理者应当在收集不满十四周岁未成年人的个人信息时,设置专门的用户协议,并指定专人来负责处理不满十四周岁未成年人的个人信息。
第二,在收集个人信息过程当中应当坚持“最小授权”的原则。收集不满十四周岁未成年人的个人信息后,应当严格设定信息的访问权限,控制知悉范围,避免不必要、不相关的人员可以轻而易举地获取或访问信息。
第三,要坚持多次同意原则。当收集不满十四周岁未成年人信息的目的、使用方式、处理方式等内容发生实质性变化时,必须要再次征得未成年人本人和监护人的同意。
第四,处理或者保存不满十四周岁未成年人的个人信息时,应当加强技术保障,比如,加密措施或是在委托第三方处理时进行安全评估等,有效防止被非法窃取或者获取个人信息。
第五,当未成年人及其监护人要求个人信息撤回、删除时,应当优先受理和处理,并及时反馈。作为个人信息处理者来说,应当优先处理涉及不满十四周岁未成年人对个人信息的投诉举报,甚至可以考虑由专人来处理。
苑宁宁总结称,此次个人信息保护法,不但对不满十四周岁未成年人个人信息做了升格保护处理,更对个人信息处理者在处理不满十四周岁未成年人的个人信息方面,要求更高,力度更大。