多数儿童不会保护个人信息 专家:建议设专章保护(2)
“同时,儿童个人信息保护还是一个更深层次的保护,就是对儿童心理健康和价值观的保护。儿童个人信息泄露后,不仅会危害到他们的心理健康,还会给他们造成一种‘信息泄露无碍’的错觉,不利于他们养成正确的价值观。”孙宏艳说。
网络运营者应建儿童信息管理制度
专家认为,在互联网时代,企业掌握的个人信息最多,有义务也有能力承担起保护个人信息的重任。
“在互联网时代,无论是论坛、微博等社区,还是微信、支付宝、抖音等App,或者是淘宝、京东等网购平台,都掌握了大量的个人信息。而且,其中一些企业的产品使用频次还很高。可以说,保护企业所掌握的个人信息,是个人信息保护工作的重中之重。”朱巍说。
朱巍介绍说,2018年5月25日,欧盟的《通用数据保护条例》正式生效,旨在限制互联网及大数据企业对个人信息和敏感数据的处理,从而保护数据主体权利。可以看出,意见稿也是采用了这样的立法思路。
在意见稿中,绝大多数的条款,都强调了网络运营者所要承担的责任。
意见稿要求,在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,适用本规定。
意见稿还提出,网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。
对于这样的立法思路,张雪梅认为非常有必要。
意见稿拟规定,网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并设立个人信息保护专员或者指定专人负责儿童个人信息保护。适用于儿童的用户协议应当简洁、易懂。
“除此之外,网络运营者还应当建立专门的档案,制定儿童信息的管理制度,明确保密职责,落实保密责任,严格信息档案管理和信息处理。”张雪梅说。
要明确儿童个人信息授权主体
近日,全国人大常委会法工委经济法室副主任杨合庆向媒体介绍,十三届全国人大常委会已将制定个人信息保护法列入了立法规划,常委会法制工作机构正同有关方面在深入总结现行法律实施经验的基础上,对个人信息保护立法的有关问题进行研究论证,抓紧立法相关工作。
朱巍认为,无论是《通用数据保护条例》的实施,还是意见稿的制定,从中都可以看出,加大对儿童信息的保护力度,在全球范围内都是一个大的趋势。因此,应当抓住个人信息保护法正在制定这个契机,加大儿童个人信息的保护力度。
朱巍认为,对于儿童个人信息的保护,除了要强调网络运营者的责任,还要明确监护人的作用。
《通用数据保护条例》专门作出规定,只有在儿童年满16周岁时,基于同意的数据处理才是合法的。如果儿童未满该年龄,则只有在有监护权的父母同意(或授权)的情况下,数据处理才是合法的。
意见稿规定,网络运营者收集、使用儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的明示同意。明示同意应当具体、清楚、明确,基于自愿。
“立法时必须要明确儿童个人信息的授权主体,除了儿童以外,必须要有监护人。儿童属于限制民事行为能力人,他们在个人信息保护方面的意识是不足的。因此,网络运营者在收集儿童信息时,必须征得监护人的同意,而不能交由儿童来授权。”朱巍说。
专家认为,立法还要明确一个重点内容:处理儿童个人信息时应当遵守的规则。