儿童个人信息网络保护又有了“新动作”。日前,中央网信办正式发布《儿童个人信息网络保护规定》,明确任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息,网络运营者收集、使用、转移、披露儿童个人信息的,应征得儿童监护人的同意等。据悉,这是我国第一部专门针对儿童网络保护的立法。
平心而论,对于儿童保护,目前并不缺乏基本的法律制度。比如,未成年人保护法规定,未成年人享有生存权、发展权、受保护权、参与权等权利,国家根据未成年人身心发展特点给予特殊、优先保护。网络安全法规定,国家依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。但是,对儿童个人信息的网络保护尚为空白。
与之形成反差的是,在网络日益发展的今天,儿童个人信息正面临网络“围猎”,儿童权益受到前所未有的侵害。之前,杭州公安网警部门通过大数据分析,发现利用网络买卖儿童接种疫苗信息及家长联系方式,370多万条个人信息,几乎是浙江全省0到6岁打过疫苗的儿童数量。此外,上海市疾病预防控制中心一工作人员,每月从该控制中心里窃取新生婴儿信息1万多条,网络倒卖30万多条新生婴儿信息。这些案例,还仅仅是利用侵犯儿童个人信息乱象的冰山一角。
法律是社会的减震器,也是遏制社会乱象、保护公民权利的利器。从立法位阶看,这部最新《规定》属于部门规章,其效力虽低于法律和行政法规,但也属于大法律的范畴。根据网络安全法、未成年人保护法立法精神,《规定》对相对抽象的法律条款“再加工”,使之更加具体,也更富有可操作性,有利于规制网络侵犯儿童个人信息行为,有的放矢地展开网络安全保护。
审视这部征求意见后出炉的《规定》,“同意规则”和“最小原则”是两大亮点。根据“同意规则”,将儿童监护人明确同意作为基本前提,为儿童个人信息保护增添了一道坚固“安全锁”。根据“最小原则”,严格限定运营商的“帝王”权力,“不得收集与其提供的服务无关的儿童个人信息”“不得超过实现其收集、使用目的所必需的期限”“工作人员授权最小化”,体现了限制权力、增加权利的立法宗旨。
不仅如此,《规定》的另一大亮点,在于推行儿童个人信息的全生命周期网络保护。《规定》的内容,涵盖收集、存储、使用、转移、披露、删除等各个环节。儿童个人信息安全评估制度,堵住了“委托第三方处理儿童个人信息、向第三方转移儿童个人信息”漏洞;儿童个人信息删除制度,明确5种情形下须删除儿童个人信息,有利于避免相关信息为不法分子所侵蚀。
立法保护儿童就是保护我们的未来。随着《规定》的闪亮出台,还会有更多保护法规出台,与未成年人保护法、预防未成年人犯罪法等法律一道,为未成年人提供全方位的法治保护。
(作者系空军军医大学副教授)