核心观点
1.《未成年人网络保护条例》贯彻坚持中国共产党的领导、坚持以社会主义核心价值观为引领、坚持最有利于未成年人的原则,是落实党和国家关于未成年人网络保护决策部署的重要举措。
2.《未成年人网络保护条例》以个人信息保护法等相关法律为立法依据,对未成年人在网络环境下的个人信息保护作出了专门规定。
3.《未成年人网络保护条例》对未成年人个人信息网络保护规定了具体的制度和机制,落实了个人信息保护法等相关法律的原则性规定。
4.《未成年人网络保护条例》对违反未成年人个人信息网络保护的行为作出了处罚规定,保障相关制度和机制的强有力实施。
2023年10月16日,国务院颁布《未成年人网络保护条例》(以下简称《条例》),自2024年1月1日起施行。《条例》是我国出台的第一部专门性的未成年人网络保护综合立法,对未成年人网络保护的指导思想和基本原则及制度、网络素养促进、网络信息内容规范、个人信息网络保护、网络沉迷防治、法律责任等重要方面作出了全面规定,为未成年人在网络空间的健康成长提供了坚实的法治保障。在个人信息保护方面,《条例》在个人信息保护法等相关法律的基础上,进一步健全了未成年人个人信息保护规则,强化了未成年人个人信息的网络保护。
一、《条例》是落实党和国家关于未成年人网络保护决策部署的重要举措
随着信息技术的快速发展,网络空间作为家庭、学校、社会等现实世界的延展,已经成为未成年人成长的新环境。据统计,截至2023年6月,我国网民规模已达10.79亿,未成年网民规模已突破1.91亿。互联网在拓展未成年人学习、生活空间的同时,也带来了一些问题,如未成年人安全合理使用网络的意识和能力不强、网上违法和不良信息影响未成年人身心健康、未成年人个人信息被滥采滥用、一些未成年人沉迷网络等,亟待通过立法加以制度性解决。
党中央、国务院高度重视未成年人网络保护工作。党的十八大以来,党中央、国务院多次提出要制定《条例》。《国家信息化发展战略纲要》《关于促进移动互联网健康有序发展的意见》《中长期青年发展规划(2016—2025年)》《法治社会建设实施纲要(2020—2025年)》等中央文件明确提出要制定出台《条例》,国务院自2014年起将《条例》纳入立法规划。2020年修订的未成年人保护法增设“网络保护”专章,目的在于充分保障未成年人在网络空间的合法权益,同时也为《条例》的制定提供了基本的制度框架。国务院及相关部门根据党和国家关于未成年人网络保护工作的决策部署,贯彻坚持中国共产党的领导、坚持以社会主义核心价值观为引领、坚持最有利于未成年人的原则,以未成年人保护法、网络安全法个人信息保护法等相关法律为依据,制定出台了《条例》这部重要的行政法规,体现了党和国家对未成年人成长成才的高度重视和亲切关怀。
二、个人信息保护法是《条例》的重要立法依据
《条例》第4章“个人信息网络保护”对未成年人在网络环境下的个人信息保护作出了专门规定,以贯彻落实相关法律的原则规定。个人信息保护法第28条第1款规定,不满十四周岁未成年人的个人信息为敏感个人信息。基于此,不满十四周岁未成年人的个人信息受法律更严格的保护。个人信息处理者处理不满十四周岁未成年人个人信息的,除适用个人信息保护法关于个人信息处理的一般规定外,还应当适用有关敏感个人信息的特别处理规则。例如,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息(个人信息保护法第28条第2款);处理敏感个人信息应当取得个人的单独同意(个人信息保护法第29条);个人信息处理者应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响(个人信息保护法第30条)。此外,个人信息保护法第31条规定:“个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。”“个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。”未成年人保护法第72条规定:“信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。”“未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的,信息处理者应当及时采取措施予以更正、删除,但法律、行政法规另有规定的除外。”未成年人保护法第73条规定:“网络服务提供者发现未成年人通过网络发布私密信息的,应当及时提示,并采取必要的保护措施。”这些规定都是《条例》的重要立法依据。
考虑到不同类型的敏感个人信息及其处理场景各有一定的特殊性,在法律实施过程中,通常需要针对不同类型的敏感个人信息作出与其基本特征和处理实践相适应的制度安排。例如,最高人民法院于2021年7月27日发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释〔2021〕15号),对生物识别信息中人脸信息的保护作出专门规定。中国人民银行发布的《个人金融信息保护技术规范》等规范性文件,是个人金融账户信息保护方面的专门规定。《条例》根据个人信息保护法关于个人信息处理的一般规定和敏感个人信息处理的特别规定,对未成年人个人信息的网络保护作出专门规定,具有推进个人信息保护法及相关法律规定落地实施的重要意义。
三、《条例》对个人信息保护法相关规定的具体化
《条例》第4章“个人信息网络保护”共计8个条文(第31条至第38条),其主要内容包括:其一,关于未成年人真实身份核验机制。为未成年人提供信息发布、即时通讯等服务的网络服务提供者应当依法要求未成年人或者其监护人提供未成年人真实身份信息,网络直播服务提供者应当建立网络直播发布者真实身份信息动态核验机制,不得向不符合法律规定情形的未成年人用户提供网络直播发布服务。其二,关于未成年人个人信息处理中的同意机制。个人信息处理者应当贯彻必要原则,不得强制要求未成年人或者其监护人同意非必要的个人信息处理行为。其三,关于未成年人监护人的职责。未成年人的监护人应当教育引导未成年人保护其个人信息,指导未成年人行使查阅、复制、更正、补充、删除等权利,保护未成年人个人信息权益。其四,关于未成年人个人信息保护请求权的行使。未成年人或者其监护人依法请求查阅、复制、转移、更正、补充、删除未成年人个人信息的,个人信息处理者应当依法提供相应途径,不得设置不合理条件;个人信息处理者拒绝未成年人或者其监护人行使权利的请求的,应当书面告知申请人并说明理由。其五,关于未成年人个人信息安全事件的应对与处理。发生或者可能发生未成年人个人信息泄露、篡改、丢失的,个人信息处理者应当落实应急预案与处置机制,并将事件情况告知受影响的未成年人及其监护人,或及时发布相关警示信息。其六,关于个人信息处理者对未成年人个人信息安全的保护义务。个人信息处理者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制未成年人个人信息知悉范围,同时设置相应的信息访问程序,避免违法处理未成年人个人信息。其七,关于未成年人个人信息处理的合规审计。个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。其八,关于未成年人私密信息的特殊保护。网络服务提供者发现未成年人私密信息或者未成年人通过网络发布的个人信息中涉及私密信息的,应当及时提示并防止信息扩散。网络服务提供者通过未成年人私密信息发现未成年人可能遭受侵害的,应当及时向公安机关报告。
《条例》第4章全面贯彻了个人信息保护法及相关法律的规定,并提出了具体的落实方案和机制,有助于基本法律制度的落地实施。例如,相较于个人信息保护法关于删除权的规定,《条例》第34条规定个人信息处理者不得对未成年人或者其监护人删除未成年人个人信息的请求设置不合理条件,同时强调个人信息处理者应当书面而非口头告知申请人并说明拒绝删除申请的理由。个人信息处理者发现未成年人通过网络发布的个人信息中涉及私密信息的,应当及时提示未成年人或者监护人,敦促其慎重考虑是否自行删除此等私密信息,同时还应当防止未成年人的私密信息在网络空间中不断扩散,避免对未成年人的人格尊严造成难以补救的严重损害。这些规定在个人信息保护法关于删除权规定的基础上为个人信息处理者设置了更为严格的保护义务,切实起到强化保护未成年人个人信息的作用。
四、《条例》对未成年人个人信息网络保护制度实施的保障作用
《条例》第6章“法律责任”是对违反本条例相关规定的法律责任之规定。《条例》第53条规定,个人信息处理者违反本条例第38条第2款(向公安机关报告之义务)规定的,由网信、新闻出版、电影、教育、电信、公安、民政、文化和旅游、市场监督管理、广播电视等部门依据各自职责责令改正;拒不改正或者情节严重的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。《条例》第56条规定,个人信息处理者违反本条例第31条第2款(未成年人身份核验)、第36条(“最小授权原则”)和第38条第1款(未成年人私密信息保护)规定的,由网信、新闻出版、电影、教育、电信、公安、文化和旅游、广播电视等部门依据各自职责责令改正,给予警告,没收违法所得,违法所得100万元以上的,并处违法所得1倍以上10倍以下罚款,没有违法所得或者违法所得不足100万元的,并处10万元以上100万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;拒不改正或者情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。《条例》作为有“牙齿”的行政法规,对违法处理未成年人个人信息规定了多种形式的行政处罚,对《条例》相关规定及个人信息保护法等相关法律的实施必将起到强有力的保障作用。
文稿编辑:杨程