总第102期 企业合规视角下的《未成年人网络保护条例》解读
近日,《未成年人网络保护条例》(以下简称“《条例》”)正式发布。《条例》在充分吸收社会各界对于未成年人网络保护的意见和建议的基础上,对未成年人网络素养的培养、网络信息内容的规范、未成年人个人信息网络保护以及未成年人网络沉迷的防治等方面作出了细致、全面的规定。本期专题从《条例》的主要内容以及合规要点进行介绍和解读,以便为企业提供可落地的实操建议。
为了营造健康、文明、有序的网络环境,保障未成年人在网络空间的合法权益,我国近年来加速构建未成年人网络与数据保护法律体系。在《条例》出台之前,我国的未成年人网络与数据保护法律体系主要包括《未成年人保护法》《网络安全法》《个人信息保护法》《儿童个人信息网络保护规定》等相关法律法规。这些法律法规的制定和修订,旨在保护未成年人的合法权益,促进未成年人网络环境的健康发展。
《条例》是我国的第一部专门性的未成年人网络保护综合立法,回应了社会各界对未成年人网络保护的关切,标志着我国未成年人网络保护法治建设进入新的阶段。《条例》进一步细化《网络安全法》《个人信息保护法》等上位法相关要求,从网络素养促进、网络信息内容规范、个人信息网络保护、网络沉迷防治等方面设置相应制度,明确网络产品和服务提供者等主体的未成年人网络保护义务,规范了相关管理要求。《条例》反映了我国对未成年人网络与数据保护的高度重视,同时也反映了我国在保障未成年人网络与数据安全方面所做出的努力。
1. 监管主体的广泛性
2. 被规制主体的多样性
3. 法律责任的严苛性
1. 健全未成年人网络保护机制
《条例》明确国家网信部门负责统筹协调未成年人网络保护工作,并依据职责做好未成年人网络保护工作。国家新闻出版、电影部门和国务院教育、电信、公安、民政、文化和旅游、卫生健康、市场监督管理、广播电视等有关部门以及县级以上地方人民政府及其有关部门依据各自职责做好未成年人网络保护工作。共产主义青年团、妇女联合会、工会、残疾人联合会、关心下一代工作委员会、青年联合会、学生联合会、少年先锋队以及其他人民团体、有关社会组织、基层群众性自治组织,协助有关部门做好未成年人网络保护工作,维护未成年人合法权益。
2. 促进未成年人网络素养
(1)提供网络素养教育
《条例》规定国务院教育部门应当将网络素养教育纳入学校素质教育内容,并会同国家网信部门制定未成年人网络素养测评指标;学校围绕网络道德意识形成、网络法治观念培养、网络使用能力建设、人身财产安全保护等,开展未成年人网络素养教育,培育未成年人网络安全意识、文明素养、行为习惯和防护技能。
(2)改善未成年人上网条件和环境
《条例》要求县级以上人民政府加强提供公益性上网服务的公共文化设施建设,改善未成年人上网条件;学校、社区、图书馆、文化馆、青少年宫等场所通过安排专业人员、招募志愿者等方式,以及安装未成年人网络保护软件或者采取其他安全保护技术措施,为未成年人提供上网指导和安全、健康的上网环境。
(3)加强对未成年人使用网络行为的引导监督
《条例》要求学校建立健全学生在校期间上网的管理制度,依法规范管理未成年学生带入学校的智能终端产品,帮助学生养成良好上网习惯;未成年人的监护人应当加强家庭家教家风建设,加强对未成年人使用网络行为的教育、示范、引导和监督;规定未成年人网络保护软件以及专门供未成年人使用的智能终端产品应当具有保护未成年人个人信息权益、预防未成年人沉迷网络、便于监护人履行监护职责等功能;针对未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者,提出了定期开展未成年人网络保护影响评估、提供未成年人模式或者未成年人专区、建立健全未成年人网络保护合规制度体系、制定专门的平台规则、每年发布未成年人网络保护社会责任报告等要求。
3. 加强网络信息内容建设
《条例》规定国家鼓励和支持制作、复制、发布、传播有利于未成年人健康成长的网络信息。网络产品和服务提供者发现可能引发或者诱导未成年人模仿不安全行为、实施违反社会公德行为、产生极端情绪、养成不良嗜好等危害或者可能影响未成年人身心健康信息的处置措施和报告义务。禁止任何组织和个人对未成年人实施侮辱、诽谤、威胁或者恶意损害形象等网络欺凌行为。要求网络产品和服务提供者建立健全网络欺凌行为的预警预防、识别监测和处置机制,设置便利未成年人及其监护人保存遭受网络欺凌记录、行使通知权利的功能、渠道,提供便利未成年人设置屏蔽陌生用户、本人发布信息可见范围、禁止转载或者评论本人发布信息、禁止向本人发送信息等网络欺凌信息防护选项。
4. 保护未成年人个人信息
《条例》规定网络服务提供者不得为未提供真实身份信息的未成年人提供相关服务;网络直播服务提供者不得向不符合法律规定情形的未成年人用户提供网络直播发布服务;个人信息处理者不得强制要求未成年人或者其监护人同意非必要的个人信息处理行为。规定监护人应当教育引导未成年人增强个人信息保护意识和能力、指导未成年人行使相关权利。明确个人信息处理者对有关查阅、复制、更正、补充、删除未成年人个人信息请求的处理方式。明确发生或者可能发生未成年人个人信息泄露、篡改、丢失时,个人信息处理者的安全事件应急处置要求。规定个人信息处理者应当严格设定未成年人个人信息访问权限、开展个人信息合规审计。明确加强未成年人私密信息保护,如及时提示、停止传输、保存有关记录等。
5. 防治未成年人沉迷网络
《条例》要求提高教师对未成年学生沉迷网络的早期识别和干预能力。监护人应当对未成年人安全合理使用网络进行指导,合理安排未成年人使用网络的时间,预防和干预未成年人沉迷网络。网络产品和服务提供者不得向未成年人提供诱导其沉迷的产品和服务,及时修改可能造成未成年人沉迷的内容、功能和规则。规定网络服务提供者应当合理限制不同年龄阶段未成年人在使用其服务中的单次消费数额和单日累计消费数额,不得向未成年人提供与其民事行为能力不符的付费服务,不得诱导未成年人参与应援集资、投票打榜、刷量控评等网络活动,防范和抵制流量至上等不良价值倾向。要求网络游戏服务提供者验证未成年人用户真实身份信息,建立、完善预防未成年人沉迷网络的游戏规则,对游戏产品进行分类并予以适龄提示。
6. 法律责任
地方各级人民政府和县级以上有关部门,以及学校、社区、图书馆、文化馆、青少年宫等违反《条例》规定的,责令改正;拒不改正或者情节严重的,对负有责任的领导人员和直接责任人员依法给予处分。此外,针对违反《条例》的不同规定,可能面临警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、关闭网站、依法吊销相关业务许可证或者吊销营业执照等处罚。受到关闭网站、吊销相关业务许可证或者吊销营业执照处罚的,5年内不得重新申请相关许可,其直接负责的主管人员和其他直接责任人员5年内不得从事同类网络产品和服务业务。侵犯未成年人合法权益,给未成年人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
1. 大型平台企业需主动履行未成年人网络保护义务
考虑到有的平台未成年人用户数量巨大,或者其产品和服务对未成年人群体具有显著影响,是未成年人网络保护的重要主体和重要环节,《条例》在明确网络产品和服务提供者的一般性保护义务的基础上,针对未成年人用户数量巨大或者对未成年人群体具有显著影响的平台,提出了未成年人网络保护方面的特殊义务要求,以督促大型平台企业切实承担社会责任,守护未成年人健康发展。
《条例》第二十条规定了未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者(“大型平台企业”)还应当履行特定义务,包括:开展未成年人网络保护影响评估、提供未成年人模式或者设置未成年人专区、建立健全未成年人网络保护合规制度体系、制定未成年人网络保护专门平台规则、停止为侵犯未成年人合法权益的平台内产品或者服务提供者提供服务、每年发布未成年人网络保护社会责任报告等等。这些举措进一步强化了企业在未成年人网络空间保护中的责任,有利于进一步压紧压实大型网络平台主体责任,更好地促进平台经济持续健康发展。
值得注意的是,《条例》提出大型平台企业应当建立健全未成年人网络保护合规制度体系,成立主要由外部成员组成的独立机构,对未成年人网络保护情况进行监督。针对“外部独立监督机构”,企业可参考《信息安全技术 大型互联网企业内设个人信息保护监督机构要求(征求意见稿)》的有关规定,建立相应的外部监督机构。
在法律责任方面,《条例》对大型平台企业规定了较重的法律责任,大型平台企业如果违反第二十条第一款第一项和第五项规定,情节严重的,最高可能面临5000万元以下或者上一年度营业额百分之五以下罚款。并且《条例》确立了广泛的监管主体,若大型平台企业违反《条例》第二十条第一款的,网信、新闻出版、电信、公安、文化和旅游、广播电视等部门依据各自职责责令改正、给予警告、没收违法所得或处罚款。
《条例》并未规定“大型平台企业”的具体认定办法,该认定办法由国家网信部门会同有关部门另行制定。企业应当密切关注第二十条所规定的义务,并且积极关注有关部门的具体认定办法。
关于如何平衡保护未成年人网络权益的同时,不过分限制大型平台企业的发展,是未成年人网络保护立法的难点。
2. 未成年人个信息合规审计
《条例》对未成年人个人信息处理者规定了更重的合规义务,第三十七条规定,个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。《条例》要求个人信息处理者每年开展未成年人个人信息处理情况相关合规审计工作,并未对履行该义务设置数量上的门槛,形式上属于《个人信息保护法》第五十四条所规定的定期审计,并沿用了《个人信息保护法》对于审计内容的依据的规定,即依据“法律、行政法规”。
2023年8月3日,鉴于合规审计方面的规则空白,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》(以下简称“《审计办法》”),进一步明确了开展审计工作的个人信息处理者、专业机构和履行个人信息保护职责部门的角色与义务。在开展合规审计的频率上,《条例》对于未成年人个人信息处理者的要求与《审计办法》中对于处理超过100万个人信息的个人信息处理者的合规审计要求相同,需每年开展,可见立法者对于未成年人个人信息保护工作的重视。
在个人信息保护合规审计的开展形式上,《条例》与《审计办法》相同,即明确可通过自行审计或委托第三方审计。对于在组织内部开展个人信息保护合规审计工作的,个人信息处理者可考虑制定内部个人信息保护合规审计制度,明确合规审计的具体开展流程和负责部门,制度化、体系化审计策略、审计操作方式、审计结果规范以及审计问题整改跟踪等内容,并确保负责在内部进行合规审计的人员具备相关专业知识,以确保内部合规审计的有效性。同时,个人信息处理者也可委托第三方专业机构开展合规审计,一方面,和内部审计相比,委托第三方专业机构审计更具中立性,且《审计办法》明确规定,如专业机构存在出具虚假、失实报告等违规行为,如属实,会被永久禁止列入个人信息保护合规审计专业机构推荐目录,督促第三方专业机构提供公正客观、高质量水准的个人信息保护合规审计服务;另一方面,《网络数据安全管理条例(征求意见稿)》第五十三条规定,大型互联网平台运营者在对平台个人信息保护情况进行每年的年度合规审计时,必须委托第三方进行审计,其“大型互联网平台运营者”的概念与《条例》第二十条中所规定的未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者(“大型平台企业”)具有一定相似性,企业应参考自身情况,并持续关注国家网信部门会同有关部门另行制定的判定标准,选择符合要求的合规审计方式。
3. 提供便捷的未成年人个人信息权利响应机制
在《个人信息保护法》的基础上,《条例》第三十四条对个人信息处理者提出了更为细致的要求。未成年人个人信息权利可由未成年人或其监护人行使,且对于合理请求而言,个人信息处理者应当为其提供便捷的行使途径并及时受理。具体而言,针对未成年人或者其监护人对于查阅未成年人个人信息的请求,个人信息处理者需提供便捷的支持其查阅未成年人个人信息种类、数量等的途径。与《个人信息保护法》第四十五条相似,对未成年人或者其监护人依法提出的转移未成年人个人信息的请求且符合国家网信部门规定条件的,《条例》第三十四条要求个人信息处理者应当提供转移的途径。同时,个人信息处理者需提供便捷的支持未成年人及其监护人复制、更正、补充、删除未成年人个人信息的功能,并及时受理未成年人或其监护人对于未成年人个人信息权利的相关申请,如拒绝相关请求,则个人信息处理者应书面告知申请人并说明理由。相较于《个人信息保护法》第五十条对于个人信息处理者拒绝个人行使权利的请求时应当说明理由的规定,《条例》进一步明确对于拒绝未成年人个人信息权利的行使而言,该说明应当以书面形式呈现,提高了对于未成年人个人信息处理者的要求。
同时,与《儿童个人信息网络保护规定》相比较,《条例》中对于个人信息处理者响应个人信息权利机制的要求更高。具体而言,《儿童个人信息网络保护规定》第十九、二十条规定的义务主体为网络运营者,仅对于其响应儿童或其监护人提出的更正、删除儿童个人信息的请求进行了规定,且未对于行使途径的便捷性进行明确规范。
4. 对网络产品和服务提供者实施双罚制和竞业禁止
《条例》第六章明确了对于各义务主体应承担的法律责任,体现了立法者对于未成年人网络保护的决心。值得注意的是,第一,对于监护人而言,在《条例》第五十二条中,明确规定了对于不履行本条例规定的监护职责或侵犯未成年人合法权益的监护人,应当由居民委员会、监护人所在单位、中小学校等有关密切接触未成年人的单位依法予以批评教育、劝诫制止等,落实监护人对于相关义务的履行;第二,《条例》实施双罚制,《条例》第五十四条规定,对于违反第二十条第一款第一项和第五项规定,情节严重的大型平台企业,在没收违法所得并处5000万元以下或者上一年度营业额百分之五以下罚款外,还可能被责令暂停相关业务或停业整顿、通报有关部门依法吊销相关业务许可证或营业执照,同时,其直接责任人员被处10万元以上100万元以下罚款,并可被禁止在一定期限内担任相关企业的董事、监事、高级管理人员和未成年人保护负责人;第三,《条例》第五十七条规定了对网络产品和服务提供者可处竞业禁止措施,若网络产品和服务提供者违反条例规定,受到关闭网站、吊销相关业务许可证或者吊销营业执照处罚的,5年内不得重新申请相关许可,且其直接责任人员5年内不得从事同类网络产品和服务业务。
在未成年人网络保护中,网络产品和服务提供者以及智能终端产品制造者、销售者是重要的社会参与方。在《未成年人保护法》的基础上,《条例》针对不同社会主体的未成年人网络保护义务做了进一步的细化,并对不同行业和规模的网络产品和服务提供者提出了具体的要求。《条例》中特别值得相关企业注意的是: