专题 | 美国《儿童在线隐私保护法》的适用与商业合规
一、《儿童在线隐私保护法》概要及出台背景
由于儿童在社会生活中处于一种弱势群体的地位,相对于一般人的个人信息隐私保护而言,美国社会普遍认为关于儿童的个人信息隐私保护更应当放在优先地位。一方面,13岁以下的儿童的行为辨识力和心智成熟度明显较低,同时由于后天经验、社会阅历不足,他们对涉及自身的一些个人信息难以具有清晰的利害关系认识,意识不到哪些信息可以公开而哪些不可以告知他人,此时即需要法定代理人加以辅助;另一方面,一些线上网站或在线服务者会基于获取利益的目的,对缺乏自我保护意识的儿童群体进行个人信息数据收集时往往采取诱导、引诱的方式来进行,如提供玩具、发放线上卡贴等,这些网络商家获得儿童的姓名、生日、住址、性格爱好、日常消费取向等信息后加以汇总整合来进一步牟取商业利益,有时甚至还间接涉及儿童父母的个人信息,如父母的姓名、工作岗位、工资薪酬等内容。逐渐地,这种情况引发了美国相关社会团体、组织机构的高度重视。
美国国会在1998年出台的《儿童在线隐私保护法》要求包括线上网站和在线服务机构等在内的网络从业者要明确其隐私权政策并加以公告,尤其是在收集13岁以下儿童的个人信息数据之前要通知其儿童父母,并征得其明确同意方可进行信息收集。《儿童在线隐私保护法》于2000年4月正式实行后,包括America Online在内的众多网络服务提供商将其之前所收集到的涉及13岁以下儿童的个人信息数据全部清除,此后,线上网站和在线服务提供商在涉及需获取13岁以下儿童个人信息数据的业务时,必须统一使用一种能够处于儿童父母监控之下的信息数据登记表,同时对儿童在网络环境下的活动范围加以合理限制,避免其接触到超出年龄段以外的不良信息、诱惑而遭受不法侵害。
二、《儿童在线隐私保护法》的实施细则要旨
实施细则详细阐述了《儿童在线隐私保护法》的调整适用范围和相关法律责任。首先,《儿童在线隐私保护法》旨在保护13岁以下儿童在进行网上活动时免受来自网站或在线服务提供商的非法侵害,保护儿童相关法益,但其调整范围不涉及儿童之间的正常交流与信息互动,联邦贸易委员会在出台实施细则时确保了儿童进行在线交流的合理权限,比如允许面向13岁以下儿童的在线网络服务提供商可以提供正常的线上交流或社交互动等服务应用,而不必事先征得儿童家长的许可,但前提是要确保它们交流内容的隐私权不能非法公开或允许外人自行获取。此类法律保留避免了对儿童法益的过度保护,而变相限制儿童进行正常网络活动的权利,为《儿童在线隐私保护法》的实施划定了一个合理的范围和适用限度,在保障他们个人信息数据隐私权的同时,也保障了他们正常线上交流、社交互动等合法权利,此外还顾及到了相关网站或在线服务提供商开展合法业务获取商业利益的经营权。
此外尤其需要注意的是,联邦贸易委员会在吸纳社会媒体、群众舆论等多方意见的基础上,出台《儿童在线隐私保护法》实施细则时改订完善了部分关于妨碍儿童参与、发表言论和要求在线信息服务等权利的定义。这体现出了联邦贸易委员会出台该细则时的多方考虑与兼收并蓄,也侧面反映出该实施细则的实际可适用性和可操作性。
(1)COPPA实施细则的相关规定
《儿童在线隐私保护法》的规定适用于面向13岁以下儿童的线上网站和在线服务提供商,及那些明知对方是儿童的一般网站。
所谓儿童的“个人信息”。“个人信息”在 COPPA规则下,以下各项内容皆被视为个人信息:全名;家庭住址或其他实际地址,包括街道名称和城镇;在线联系信息,包括电子邮箱或其他允许某人直接联系特定人员的标识符,例如IM标识符、VoIP标识符或视频聊天标识符;可用作在线联系信息的屏幕名称或用户名、电话号码;社会保障号码;可永久性并跨越不同网站识别某一用户的永久性标识符,包括 cookie号码、IP地址、处理器或设备序列号,或唯一设备标识符;包含儿童图像或声音的照片、视频或音频文件,足以识别街道名称和城镇的地理位置信息;或者从儿童收集的以及与上述标识符之一结合的有关该儿童或其家长的其他信息。
尽管为了保障儿童的线上隐私权该法要求服务商在提供服务前收集儿童个人信息的环节要求其事先征得儿童父母同意,但仍有3个例外:在不经儿童父母同意的情况下,允许儿童通过电子邮件进行提问;在不经儿童父母同意的情况下,允许儿童获取线上即时信息,但需要通知其父母有权取消这些信息;在不经儿童父母同意的情况下,允许儿童从事联邦贸易委员会认为的其他必要活动。
细则指出,提供电子邮件账号、保留被注册的电子地址记录和相关信息的行为,都属于本法规定的“收集电子地址”的行为,而相关网站和在线服务提供商在进行此类活动时都需要事先通知儿童父母并征得其同意。
此外,细则还规定,相关网站和在线服务提供商在面向儿童提供聊天等线上交流服务时有两种途径:在发布相关信息数据前,把涉及儿童个人信息的内容从中筛选、过滤掉,并从网站记录中彻底删除;或者通过传真、信件、免费电话、信用卡认证、数字识别或设密码的电子邮箱等方式提前联系儿童父母并得到其许可。
(2)COPPA的适用范围
COPPA并不适用于所有的运营网站或其他在线服务的经营者,简单来说,COPPA适用于收集13以下儿童个人信息的网站和在线服务运营商,若存在以下情况则必须遵守COPPA:网站或在线服务针对13岁以下儿童,并且向他们收集个人信息;网站或在线服务针对13岁以下儿童,并且让其他人向他们收集个人信息;网站或在线服务针对普通人群,但明确知晓自己会收集到13岁以下儿童的个人信息;公司运行例如广告网络或插件等程序,并且明确知晓自己会从13岁以下儿童的网站或服务用户那里收集个人信息。
由此可见,COPPA在“儿童网站”的认定上有很大的灵活性,相关网站的大部分特性都可以被纳入考虑范围。细则指出该法不适用于纯粹的通道提供商,所谓“通道提供商”,是指那些本身不接触个人信息,而在收集到儿童个人信息后传向其他网站或在线服务平台的相关线上服务提供商。
(3)相关权利和义务
《儿童在线隐私保护法》主要面向13岁以下儿童提供线上服务或产品的网站和在线服务者,要求此类网站或在线服务机构在涉及收集儿童个人信息的业务时,要提前向儿童父母发出相关通知并征得其同意,若儿童的父母明确表示反对或未予认可,则这些网站或在线服务机构即不可要求或引诱儿童填写提交相关个人信息数据,同时该法还要求相关网站和在线服务机构保障儿童的父母享有即时修改、删除有关儿童信息的权利。保护儿童隐私是该法的主要目标之一,此外该法还在网络言论、资料搜集和线上知识产权等方面对儿童的合法权利予以保障。
三、《儿童在线隐私保护法》与商业合规计划
在收集13岁以下儿童个人信息时,《儿童在线隐私保护法》将控制权交由家长来行使。美国联邦贸易委员会强制执行COPPA规则,该规则阐明了网站和在线服务运营商必须采取哪些措施来保护儿童的在线隐私和安全:
(1)确定公司是否为收集13岁以下儿童个人信息网站或在线服务商
在这里必须提一点,保护法中关于“网站或在线服务”这一术语的定义比较广泛,除了标准网站外,该规则涵盖的其他实例包括:在线发送或接收信息的移动应用(例如互联网游戏、社交网络应用或者提供定向广告的应用),启用互联网连接的游戏平台;插件;广告网络;启用互联网连接的定位服务,基于IP的语音传输服务、网络玩具或其他物联网设备。
联邦贸易委员会通过多种不同因素确定一个网站或服务是否针对13岁以下儿童,包括该网站或服务的主题、视觉和音频内容、使用动画角色或其他针对儿童的活动和举措、模特年龄、是否出现儿童偶像或吸引儿童的名人、网站或服务上针对儿童的广告,以及其他关于实际或预期受众年龄的可靠数据。如果网站并未以儿童为主要受众,但基于上述因素被视为“针对13岁以下的儿童”,可以选择仅将COPPA保护措施应用于13岁以下的用户,并不得在收集信息之前向任何用户收集个人信息,对于小于13岁的用户则不能收集他们的个人信息,除非已获得可验证的家长的同意。
(2)发布符合COPPA的隐私政策
该政策必须明确完整地描述如何处理在线收集的13岁以下儿童的个人信息。通知不仅必须要描述自身的操作惯例,还应描述在网站或服务上收集个人信息的任何第三方的惯例。
隐私政策必须包含收集个人信息的所有运营商名单,列出通过网站或服务收集或维护儿童个人信息的所有第三方运营商,例如广告网络或社交网络插件等。对于每个运营商需要提供名称和地址、电话号码或电子邮箱等联系信息,如果有多个运营商收集信息,可以只提供其中一个的联系信息,只要该运营商会答复家长关于网站或服务操作惯例的所有质询。
对于收集的个人信息的使用方式,隐私政策中必须包含:收集的儿童个人信息的类型,如姓名、地址、电子邮箱、爱好等;收集个人信息的方式,如直接还是间接、是否通过cookie等;将会如何使用个人信息,例如用于向儿童进行营销、通知竞赛获得者或者选择通过聊天室公开信息。同时还应当包括是否将收集的儿童个人信息披露给第三方,如果是,隐私政策则必须列出接受这些信息的企业类型以及他们将会如何使用等情况。
(3)在收集儿童个人信息之前,将信息操作惯例直接告知家长
COPPA要求在收集儿童信息之前将信息操作惯例“直接通知”其家长。此外,如果对家长之前已同意的惯例做出重大变更,则需重新发送一份更新后的惯例。
该通知必须明确且易读,不能包含任何不相关或难以理解的信息,且必须告知家长如下内容:收集家长的在线联系是为获得他们的同意以及希望收集其孩子个人信息的意思表示;在收集、使用和披露这些信息之前必须获得家长同意以及要收集的具体信息、可能披露给第三方的方式;如果家长未在合理时间内同意,则将在记录中删除该家长的在线联系信息。在特定情况下,COPPA规则允许可以收集少部分特定类型的个人信息而无需获得家长同意,但仍然需要事先通知家长。
(4)在收集儿童个人信息之前,获得家长的可验证同意
在收集、使用或披露儿童个人信息之前,必须获得其家长的可验证同意,此时需选择一种以当前技术合理设计的可确保授予同意的人确实是儿童家长的方法。
如果明确知晓从面向13岁以下儿童的网站或服务收集个人信息,可以直接获取同意或通过该面向儿童的网站或服务获取同意。可接受的方法包括让家长签署一份同意书,并通过传真、邮件或电子扫描方式发送反馈;使用信用卡、借记卡或其他在线支付系统向账户持有人提供每笔单独交易的通知;拨打由经过培训的人员接听的免费电话通过视频会议与经过培训的人员联系;提供一份政府颁发的身份证明副本,可以通过数据库进行检查,只要在完成验证过程后从记录中删除该身份识别信息。
(5)尊重家长对已收集的有关其孩子的个人信息拥有的持续权利
即使家长已经同意收集其孩子的信息,家长仍然拥有持续权利,且需要继续遵守相关义务。如果家长提出要求,则必须为家长提供如下便利:为家长提供一种方式以查看收集的有关其孩子的个人信息;为家长提供一种方式以撤销授予的同意并拒绝继续使用或收集其孩子的个人信息;以及删除其孩子的个人信息。
无论何时,当与一名家长讨论有关已经收集的儿童个人信息时,都要采取合理步骤以确保与之沟通的确实是孩子的家长。同时,确保提供合理的方式,以让家长能够轻松访问已收集的有关其孩子的信息。在 COPPA规则下,如果家长撤销同意,则可以终止为其孩子提供服务,但前提是拒绝提供的这些信息是该儿童参与相关活动所合理必要的。
(6)采取合理措施保护儿童个人信息的安全
COPPA要求建立并维护合理的程序,来保护从儿童那里收集的个人信息之私密性、安全性和完整性。因此需从一开始就尽量减少收集信息的范围。需要采取合理的步骤,仅向有能力维护个人信息私密性、安全性和完整性的服务提供商和第三方披露这些个人信息。同时确保他们会遵守相应职责,保留个人信息的时间不得超过收集目的所合理必要的期限,并当不再有正当理由保留个人信息时能够安全地处置它们。
四、结语
总之,COPPA的出台是在网络环境下加强对儿童隐私权保障的一个里程碑事件。它的出台适应了网络技术发展的时代大潮,其旨在保障儿童在上网过程中免遭在线网站或线上服务提供商的非法侵害,同时在法律适用范围上加以限定,避免滥用。COPPA的成功实施深刻影响着网络环境下的隐私保护、自由言论和线上商业活动等公众行为。当下,随着对COPPA相关规则的更新与调整,可能会带来法律适用以及具体规制方式等方面的相应改变,这也为相关网站和在线服务提供商的商业合规计划提供了良好指引。
作者:北京师范大学法学院副教授 吴沈括 北京师范大学法学院硕士研究生 黄伟庆
(本文是国家社会科学基金项目(批准号:15CFX035)的阶段性成果
刊登于《中国信息安全》杂志2019年第10期)