安全合规--48--基于国内法律法规的企业数据合规体系建设经验总结(六)
作者:隨亦
本篇介紹:兒童個(gè)人信息保護(hù)的額外要求
本篇為第6篇/共9篇
上一篇:基于國內(nèi)法律法規(guī)的企業(yè)數(shù)據(jù)合規(guī)體系建設(shè)經(jīng)驗(yàn)總結(jié)(五)
下一篇:基于國內(nèi)法律法規(guī)的企業(yè)數(shù)據(jù)合規(guī)體系建設(shè)經(jīng)驗(yàn)總結(jié)(七)
引子
在離開前公司之后(2020.06),我來到新的公司擔(dān)任安全部負(fù)責(zé)人,負(fù)責(zé)新公司的安全架構(gòu)設(shè)計(jì)與安全體系建設(shè),由于新公司的業(yè)務(wù)都是面向國內(nèi)的,因此在建設(shè)隱私合規(guī)體系時(shí),參照的都是國內(nèi)的法律法規(guī)標(biāo)準(zhǔn)。本系列即以國內(nèi)法律法規(guī)為基準(zhǔn),拋磚引玉,來探討純國內(nèi)業(yè)務(wù)企業(yè)的隱私合規(guī)體系建設(shè)。
前言
兒童是國家發(fā)展的未來和希望,其認(rèn)知能力、危險(xiǎn)識(shí)別能力和自我保護(hù)能力都相對薄弱,因此,為了加強(qiáng)對兒童個(gè)人信息安全的保護(hù),國家互聯(lián)網(wǎng)信息辦公室頒布了《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》,其系統(tǒng)的規(guī)定了應(yīng)設(shè)置兒童專門用戶協(xié)議、指定專人負(fù)責(zé)、征得兒童監(jiān)護(hù)人同意等兒童個(gè)人信息保護(hù)要求。
接下來,我將從兒童認(rèn)定的標(biāo)準(zhǔn)、專門文本與專人負(fù)責(zé)、監(jiān)護(hù)人同意、委托處理兒童個(gè)人信息的安全評估要求、向第三方轉(zhuǎn)移兒童個(gè)人信息的安全評估要求、兒童個(gè)人信息保護(hù)的除外情形等六方面來探討對兒童個(gè)人信息保護(hù)的合規(guī)化。
一、兒童認(rèn)定的標(biāo)準(zhǔn)
根據(jù)《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第2條,兒童是指不滿十四周歲的未成年人。
在國際上,兒童的界定是18周歲以下的任何人,而我們本篇所討論的兒童,則是參考了刑法中刑事責(zé)任年齡的劃分,將無刑事責(zé)任的14周歲以下的未成年人歸于兒童的范疇。
在實(shí)踐中,從識(shí)別兒童身份的角度,建議網(wǎng)絡(luò)運(yùn)營者建立完善年齡篩選機(jī)制,進(jìn)行兒童身份識(shí)別的基礎(chǔ)動(dòng)作,如身份證號碼的年齡識(shí)別等。同時(shí),通過網(wǎng)站頁面、相關(guān)服務(wù)協(xié)議、隱私政策等顯著提示,兒童用戶使用產(chǎn)品或服務(wù)需要獲得父母同意。
二、專門文本與專人負(fù)責(zé)
根據(jù)《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第8條,網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)設(shè)置專門的兒童個(gè)人信息保護(hù)規(guī)則和用戶協(xié)議,并指定專人負(fù)責(zé)兒童個(gè)人信息保護(hù)。
在實(shí)踐中,目前主流的互聯(lián)網(wǎng)公司,大多數(shù)已經(jīng)在隱私政策中明確了如何處理兒童個(gè)人信息的內(nèi)容;但設(shè)置專門的兒童用戶協(xié)議,則是首次提出的,即在現(xiàn)有用戶協(xié)議的基礎(chǔ)上,額外設(shè)置兒童用戶協(xié)議。對于需要專人負(fù)責(zé)兒童個(gè)人信息保護(hù),主要是為了更好的推動(dòng)和落實(shí)兒童個(gè)人信息保護(hù)。
三、監(jiān)護(hù)人同意
根據(jù)《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第9條,網(wǎng)絡(luò)運(yùn)營者收集、使用、轉(zhuǎn)移、披露兒童個(gè)人信息的,應(yīng)當(dāng)以顯著、清晰的方式告知兒童監(jiān)護(hù)人,并應(yīng)當(dāng)征得兒童監(jiān)護(hù)人的同意。
在實(shí)踐中,網(wǎng)絡(luò)運(yùn)營者不得通過隱蔽、模糊展示等方式影響對監(jiān)護(hù)人的有效告知。同時(shí),網(wǎng)絡(luò)運(yùn)營者可以通過網(wǎng)站、APP等渠道設(shè)置隱私政策、通過向監(jiān)護(hù)人發(fā)送郵件、與監(jiān)護(hù)人賬號綁定等方式告知兒童個(gè)人信息收集情況,并提供便捷的退出同意的選項(xiàng)。
那么如何獲得可驗(yàn)證的監(jiān)護(hù)人同意呢?關(guān)鍵點(diǎn)包括3個(gè):
1、基于現(xiàn)有技術(shù)盡可能合理的獲得可驗(yàn)證的監(jiān)護(hù)人同意;
2、確保提供同意的人為兒童的監(jiān)護(hù)人;
3、權(quán)利的行使不會(huì)對監(jiān)護(hù)人造成不適當(dāng)?shù)呢?fù)擔(dān)。
從具體操作而言,可以通過以下5種方式:
1、讓監(jiān)護(hù)人提供身份證明,以供網(wǎng)絡(luò)運(yùn)營者對照核實(shí),在網(wǎng)絡(luò)運(yùn)營者完成驗(yàn)證后刪除該身份信息;
2、讓監(jiān)護(hù)人回答一系列知識(shí)型挑戰(zhàn)問題,這些問題對于監(jiān)護(hù)人之外的人來說很難回答;
3、通過面部識(shí)別等相關(guān)技術(shù)比較、識(shí)別監(jiān)護(hù)人所提交的照片;
4、由監(jiān)護(hù)人撥打?qū)iT人員負(fù)責(zé)的免費(fèi)電話號碼;
5、由監(jiān)護(hù)人通過視頻會(huì)議聯(lián)系專門人員。
四、委托處理兒童個(gè)人信息的安全評估要求
根據(jù)《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第16條,網(wǎng)絡(luò)運(yùn)營者委托第三方處理兒童個(gè)人信息的,應(yīng)當(dāng)對受委托方及委托行為等進(jìn)行安全評估,簽署委托協(xié)議,明確雙方責(zé)任、處理事項(xiàng)、處理期限、處理性質(zhì)和目的等,委托行為不得超出授權(quán)范圍。
前款規(guī)定的受委托方,應(yīng)當(dāng)履行以下義務(wù):1、按照法律、行政法規(guī)的規(guī)定和網(wǎng)絡(luò)運(yùn)營者的要求處理兒童個(gè)人信息;2、協(xié)助網(wǎng)絡(luò)運(yùn)營者回應(yīng)兒童監(jiān)護(hù)人提出的申請;3、采取措施保障信息安全,并在發(fā)生兒童個(gè)人信息泄露安全事件時(shí),及時(shí)向網(wǎng)絡(luò)運(yùn)營者反饋;4、委托關(guān)系解除時(shí)及時(shí)刪除兒童個(gè)人信息;5、不得轉(zhuǎn)委托;6、其他依法應(yīng)當(dāng)履行的兒童個(gè)人信息保護(hù)義務(wù)。
在實(shí)踐中,網(wǎng)絡(luò)運(yùn)營者需要對受委托方進(jìn)行安全評估,并與受委托方簽署委托協(xié)議。安全評估的對象主要是受委托方和委托行為,評估內(nèi)容主要是是否在兒童監(jiān)護(hù)人授權(quán)范圍、受委托方是否具備適當(dāng)?shù)臄?shù)據(jù)安全能力,以及發(fā)生兒童個(gè)人信息泄露、損毀和丟失的風(fēng)險(xiǎn)等。
簽署委托協(xié)議,主要是為了通過協(xié)議明確雙方責(zé)任、處理事項(xiàng)、處理期限、處理性質(zhì)和目的等,構(gòu)成對受委托方的有效約束,也一定程度上能夠作為網(wǎng)絡(luò)運(yùn)營者豁免責(zé)任或減輕責(zé)任的證明。
五、向第三方轉(zhuǎn)移兒童個(gè)人信息的安全評估要求
根據(jù)《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第17條,網(wǎng)絡(luò)運(yùn)營者向第三方轉(zhuǎn)移兒童個(gè)人信息的,應(yīng)當(dāng)自行或者委托第三方機(jī)構(gòu)進(jìn)行安全評估。
在實(shí)踐中,應(yīng)當(dāng)謹(jǐn)慎向第三方轉(zhuǎn)移兒童個(gè)人信息,如果確實(shí)因?yàn)闃I(yè)務(wù)需要而進(jìn)行轉(zhuǎn)移的,應(yīng)開展安全評估并根據(jù)安全評估結(jié)果采取相應(yīng)的安全保障措施,在確保風(fēng)險(xiǎn)可控的情況下再進(jìn)行轉(zhuǎn)移。同時(shí),安全評估可以由網(wǎng)絡(luò)運(yùn)營者自行開展,也可以委托第三方機(jī)構(gòu)進(jìn)行。
六、兒童個(gè)人信息保護(hù)的除外情形
根據(jù)《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第28條,通過計(jì)算機(jī)信息系統(tǒng)自動(dòng)留存處理信息且無法識(shí)別所留存處理的信息屬于兒童個(gè)人信息的,依照其他有關(guān)規(guī)定執(zhí)行。
在實(shí)踐中,如果要滿足兒童個(gè)人信息保護(hù)的除外情形,需要滿足兩個(gè)條件:
1、通過計(jì)算機(jī)信息系統(tǒng)自動(dòng)留存處理信息,也就是說不需要用戶主動(dòng)填寫和主動(dòng)提供,APP等業(yè)務(wù)開展渠道自動(dòng)收集的用戶信息;
2、無法識(shí)別所留存處理的信息屬于兒童個(gè)人信息,也就是說采取了措施識(shí)別但限于現(xiàn)有技術(shù)等原因無法識(shí)別出屬于兒童的個(gè)人信息。
同時(shí),對于兒童個(gè)人信息保護(hù)的除外情形應(yīng)謹(jǐn)慎使用,不要將其作為唯一的救命稻草。
本篇介紹:兒童個(gè)人信息保護(hù)的額外要求
本篇為第6篇/共9篇
上一篇:基于國內(nèi)法律法規(guī)的企業(yè)數(shù)據(jù)合規(guī)體系建設(shè)經(jīng)驗(yàn)總結(jié)(五)
下一篇:基于國內(nèi)法律法規(guī)的企業(yè)數(shù)據(jù)合規(guī)體系建設(shè)經(jīng)驗(yàn)總結(jié)(七)
總結(jié)
以上是生活随笔為你收集整理的安全合规--48--基于国内法律法规的企业数据合规体系建设经验总结(六)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: feed是什么意思
- 下一篇: CIH病毒-邹丹注释