隐私合规动态

智能终端——保护个人信息 要从娃娃抓起

发布日期:2022-04-06      点击数:

第一,条例里关于未成年人个人信息保护的大概内容。

2022年3月14日,国家互联网信息办公室在官方网站发布条例征求意见稿。

为什么这个时候提出来?

因为我国未成年人使用互联网的人数多,影响面广。根据《2020年全国未成年人互联网使用情况研究报告》,我国未成年网民规模达到1.83亿,未成年人的互联网普及率达到94.9%[]。身处数字经济时代,孩子们首次触网的年龄越来越小。所以,必须保护好。

早在2016年,国家就对《未成年人网络保护条例(草案征求意见稿)》征求过意见,并在2017年1月发布了《未成年人网络保护条例(送审稿)》。这次修订,是对标最新的《中华人民共和国未成年人保护法》《中华人民共和国个人信息保护法》等法律和社会公众反馈意见,对条例再次进行的修改完善。

条例共有七章六十七条,主要包括关于加强未成年人网络素养培育、网络信息内容规范、个人信息保护、网络沉迷防治,还对有关违法行为规定了相应的法律责任等。

针对未成年人个人信息被滥采滥用、保护不充分等问题,条例指出:

一.是明确网络服务提供者收集未成年人真实身份信息相关要求。

二.是规定个人信息处理者处理未成年人个人信息的基本原则、知情同意原则、告知规则和提供规则。

三.是规定个人信息处理者处理未成年人敏感个人信息需要履行的特殊义务。

四.是明确监护人在未成年人个人信息保护中的监护职责。

五.是明确个人信息处理者的配合义务、安全事件应急处置要求、未成年人个人信息访问权限限制和个人信息合规审计要求。

六.是强化对未成年人私密信息的保护[]

第二,我们对智能终端软件的生产者、运营者等个人信息处理者提出的一些可落地的参考建议:

首先,是要提高认识。一是要充分认识到,国家在个人信息保护方面的坚定决心和卓越治理能力,万不可心存侥幸,坚守科技向善的底线。要牢记我们党是“始终坚持人民至上,以人民为中心”的,是为满足人民对美好生活的向往而努力奋斗的。二是充分认识到,在做决策做计划时,要坚持系统观念,统筹发展和安全,把短期利益和长期利益结合起来,不可贪图眼前利益忽略长期利益,到时后悔莫及。

其次,是要认真研究。一是要组织法务、研发、市场等部门人员力量对条例中的个人信息保护具体条款认真学习与研究,将企业业务与条例内容结合进行内部讨论确定研发技术规范与管理制度上未成人个人信息保护要达到的要求,并形成文件。结合已有的隐私政策内容进行改版升级;二是要对标内容规定,在软件产品规划、设计、研发、测试、运营等全生命周期和管理过程中,全员全方位学习、培训、整改、落实、考核、审计落实未成年人个人信息保护技术规范与管理制度要求,并贯彻审计、考核及整改机制三是基于已有的隐私政策内容进行改版升级,补充未成年人网络保护条例中所要求的相关内容。

最后,是要系统落实。我们给出几点建议,供大家参考:

一、在管理上,宜采用内部约束和外部监督相结合的方式。内部增设个人信息保护岗或职责,确保有部门或专人统筹管理。同步建立健全相应的管理制度,公布个人信息保护负责人的联系方式、投诉渠道;更加专业的,可以建立未成年人个人信息保护先行赔付基金,外部可委托第三方独立机构对个人信息保护情况进行监督测评认证等。

要根据业务场景全面梳理可能或者已经收集的个人信息清单、共享给第三方的信息清单,制成“双清单[]”;并帮助重要岗位人员学习认识区分哪些信息属于个人信息和敏感个人信息,私密信息和非私密信息等;对将要处理的未成年人个人信息进行分级分类,同时根据年龄分类保护。可以按照业务场景和用户年龄对应分类,便于对未成年人个人信息处理和内容提供服务;最基本的,也可以按照14岁以下、14岁-16岁,16岁-18岁进行分类,因为不满14周岁未成年人的个人信息属于敏感个人信息[],网络直播服务提供者不得为未满16周岁的未成年人提供网络直播发布者账号注册服务[2]

二、在技术上,要深入综合应用研究加密、匿名化、去标识化、防数据泄露系统安全保护技术;能够防范cookies信息、网络钓鱼、黑客技术攻击、恶意软件入侵、自动安全策略实施机制(automated security policy enforcement mechanisms)、数据起源(data provenance)技术、全时风险感知平台[]

三、在具体处理未成年个人信息时,可以从以下8个方面多加注意:

1.一个动画版的个人信息隐私声明,或许更加便于未成年人及监护人理解[]

2.身份核验应当通过国家统一建设的公民身份认证基础设施;为16周岁以上的未成年人提供网络直播发布者账号注册服务的,须进行身份动态核验,并经其监护人同意;已经验明身份的,不得强制通过收集指纹、虹膜、人脸等生物识别信息重复验证[]

2.坚持最小授权;充分知情同意;变更后重新取得同意;允许撤回同意等;

3.基于个人同意处理14周岁以下未成年人个人信息的,属于处理敏感个人信息;须单独告知,取得监护人同意才可处理;并在事前出具个人信息保护影响评估报告,并对处理情况记录,保存3年备查;报告内容至少包括3方面:个人信息处理的目的、处理方式等是否合法、正当、必要;对个人权益的影响和安全风险;采取的保护措施是否合法、有效并与风险程度相适应等[4]

4.要提前制定个人信息安全事件应急预案,保留未成年人及其监护人的联系方式,在应急时使用;

5.访问未成年人个人信息时,需严格授权,控制使用范围,记录访问情况使得全程可追溯;知情人员须签订保密协议,严格保密,以便管理;

6.采取加密、去标识化等安全技术手段保护;对未成年人发布的信息进行监测,发现私密性信息时,要及时提示、采取停止传输等必要保护措施等;

7.每年自行或委托第三方进行未成年人个人信息处理的合规审计等;

8.个人信息应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估[4]

(全文完)

——————————————

智能终端软件测试实验室是目前国内唯一拥有“国家智能终端软件产品质量检验检测中心”资质的测试机构,多年来一直致力于移动互联网应用安全检测技术研究及标准制定,可以提供智能终端系统测试、移动互联网应用个人信息保护测评、应用安全检测及评估、源代码安全审计、数据安全风险评估等服务。

欢迎转发和交流:王老师13691322040 邮箱:wxq@cstc.org.cn