欢迎访问中国软件评测中心!

国家智能终端软件产品质量检验检测中心郑重提示 保护个人信息 要从保护“娃娃”做起

2022-05-13

阅读本文,大约需要10分钟左右,您将收获:

第一,了解《未成年人网络保护条例(征求意见稿)》(以下简称“条例”)里,关于未成年人个人信息保护的大概内容;

第二,获得我们对智能终端软件的生产者、运营者等未成年人个人信息处理者,提出的一些可落地的参考建议。

温馨提示:以下图片点击后可以显示大图阅览保存。


第一,条例里关于未成年人个人信息保护的大概内容。

2022年3月14日,国家互联网信息办公室在官方网站发布条例。

为什么这个时候提出来?

因为我国未成年人使用互联网的人数多,影响面广。根据《2020年全国未成年人互联网使用情况研究报告》,我国未成年网民规模达到1.83亿,未成年人的互联网普及率达到94.9%。身处数字经济时代,孩子们首次触网的年龄越来越小[]。保护孩子,就是保护我们的未来,所以,必须保护好孩子们在数字时代的切身利益。

早在2016年,国家就对《未成年人网络保护条例(草案征求意见稿)》征求过意见,并在2017年1月发布了《未成年人网络保护条例(送审稿)》。这次修订,是对标最新的《中华人民共和国未成年人保护法》《中华人民共和国个人信息保护法》等法律和社会公众反馈意见,对条例再次进行的修改完善。

条例共有七章六十七条,主要包括关于加强未成年人网络素养培育、网络信息内容规范、个人信息保护、网络沉迷防治,还对有关违法行为规定了相应的法律责任等。

针对未成年人个人信息被滥采滥用、保护不充分等问题,条例指出:

一是明确网络服务提供者收集未成年人真实身份信息相关要求。

FE78

二是规定个人信息处理者处理未成年人个人信息的基本原则、知情同意原则和告知规则等。

115F7

三是规定个人信息处理者处理未成年人敏感个人信息需要履行的特殊义务。

10941

四是明确监护人在未成年人个人信息保护中的监护职责。

8AD1

五是明确对个人信息处理者的安全事件应急处置要求、对未成年人个人信息访问权限限制和每年对个人信息合规审计的要求[2]。

19B9A

二.我们对智能终端软件的生产者、运营者等个人信息处理者提出的一些可落地的参考建议:

DCBE

一是要提高认识。一是要充分认识到,国家在未成年人个人信息保护方面的坚定决心和卓越治理能力,要坚守科技向善的底线;要牢记我们党是“始终坚持人民至上,以人民为中心”的,是为满足人民对美好生活的向往而努力奋斗的。二是要充分认识到,在做决策做计划时,坚持系统观念、统筹发展和安全的必要性和时代性,把短期利益和长期利益结合起来,提高认识指导实践。

二是要认真研究。一是要组织法务、研发及市场等部门人员认真学习与研究条例具体条款,将企业业务与条例内容相结合,确保技术规范与管理制度达到对未成人个人信息保护的要求,形成规范性文件,便于凝聚治理智慧。二是对现有隐私政策进行改版升级,补充相应条例中的相关要求,及时更新发布。三是要结合短期和长期利益,在软件产品规划、设计、研发、测试、运营、废弃等全生命周期管理过程中,认真研究落实条例的重点和难点,形成行动方案,促进业务发展,真正实现以保护未成年人个人信息为先手,促进产品和服务在未成年人用户群体中的竞争力,赢得更广阔的市场份额。

三是要系统落实。我们给出几点具体建议,供大家参考:

93FB

1.在管理上,宜采用内部约束和外部监督相结合的方式。内部约束建议增设个人信息保护岗位,明确保护职责,确保有专门部门或专人统筹管理。同步建立健全相应的管理制度,公布个人信息保护负责人的联系方式、投诉渠道;更加专业的,可以建立未成年人个人信息保护先行赔付基金;外部监督可委托第三方独立机构对个人信息保护情况进行监督测评认证等。

对要处理的未成年人个人信息,可以按照业务场景、信息主体年龄和信息内容敏感程度进行分类分级保护。如可以按照14岁以下、14岁-16岁,16岁-18岁进行分类。在级别方面,根据《个人信息保护法》和条例规定,不满14周岁未成年人的个人信息属于敏感个人信息,网络直播服务提供者不得为未满16周岁的未成年人提供网络直播发布者账号注册服务[2]。

2.在技术上,要综合应用加密、匿名化、去标识化、等安全保护技术;要防范Cookies信息外泄、网络钓鱼、黑客攻击、恶意软件入侵等。

3.在处理未成年个人信息时,可以从以下八个方面多加注意:

(1)一个动画版的个人信息隐私声明,更便于未成年人及监护人理解[];

(2)为16周岁以上的未成年人提供网络直播发布者账号注册服务的,须进行身份动态核验,并经其监护人同意;已经验明身份的,不得强制通过收集指纹、虹膜、人脸等生物识别信息重复验证[];

(3)坚持最小授权;坚持充分知情同意;坚持变更后重新取得同意;坚持允许撤回同意等;如取得监护人事先同意的,须保留取得同意的相关证据;

(4)基于个人同意处理14周岁以下未成年人个人信息的,须单独告知,取得监护人同意才可处理;并在事前出具个人信息保护影响评估报告,同时对处理情况进行记录,保存3年备查;报告内容至少包括三方面:个人信息处理的目的、处理方式等是否合法、正当、必要;对个人权益的影响和安全风险;采取的保护措施是否合法、有效并与风险程度相适应等[4]。

(5)要提前制定个人信息安全事件应急预案,在应急时使用;

(6)访问未成年人个人信息时,需严格授权,控制使用范围,记录访问情况使得全程可追溯;知情人员须签订保密协议,严格保密;

(7)采取加密、去标识化等安全技术手段保护;对未成年人发布的信息进行监测,发现私密信息时,要及时提示、采取停止传输等必要保护措施等;

(8)每年自行或委托独立第三方软件测评机构,进行未成年人个人信息处理的合规审计等。


智能终端软件测试实验室是目前国内唯一拥有“国家智能终端软件产品质量检验检测中心”资质的测试机构,多年来一直致力于移动互联网应用安全检测技术研究及标准制定,可以提供智能终端系统测试、移动互联网应用个人信息保护测评、应用安全检测及评估、源代码安全审计、数据安全风险评估等服务。

欢迎转发和交流:王老师13691322040  邮箱:wxq@cstc.org.cn

6123

816F  

240A6


[1] 共青团中央维护青少年权益部、中国互联网络信息中心(CNNIC):《2020年全国未成年人互联网使用情况研究报告》[EB/OL].(2021-07-20)[2022-04-01].http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/qsnbg/202107/t20210720_71505.htm

[2] 国家互联网信息办公室关于《未成年人网络保护条例(征求意见稿)》再次公开征求意见的通知[EB/OL].(2022-03-14)[2022-04-01].http://www.cac.gov.cn/2022-03/14/c_1648865100662480.htm

[3] 孙益武. 儿童个人信息保护是伪命题还是真难题——兼评《儿童个人信息网络保护规定》[J]. 青少年犯罪问题,2020(2):90-97.

[4] 浙江:打破部门“数据壁垒” 细化个人信息保护[EB/OL].(2022-01-25)[2022-04-22]. http://www.gov.cn/xinwen/2022-01/25/content_5670305.htm


3349381607