全国第一案!一科技公司因侵害儿童个人信息被判赔150万
强化儿童个人信息网络保护
2021年3月11日,浙江省杭州市余杭区检察院诉国内某知名短视频公司(下称“某公司”)侵犯儿童个人信息民事公益诉讼案,经杭州互联网法院出具调解书后结案。该科技公司依调解书内容停止侵权、赔礼道歉,赔偿损失150万元,用于儿童个人信息安全保护等公益事项,并对这一短视频APP网络平台进行整改。
据悉,该案系民法典实施及未成年人保护法修订后,检察机关针对“未成年人网络保护”提起的民事公益诉讼全国第一案。
谁动了儿童个人信息的“奶酪”
近年来,在“眼球经济”“流量为王”的互联网经济背景下,未成年人特别是儿童因其年龄小、阅历浅、自我保护意识较弱,相关个人信息易泄露,受到网络骚扰、网络欺诈等侵害的案件时有发生。检察机关发现相关网络运营商、互联网企业存在疏于保护或违法获取使用未成年人个人信息问题,未充分履行企业的社会责任。
该案便是其中的典型案例。近年来,杭州市余杭区发生的几起相关违法犯罪案件反映,某公司在开发运营该公司APP的过程中,未以显著、清晰的方式告知并征得儿童监护人有效明示同意允许注册儿童账户,并收集、存储儿童个人信息。在未再次征得儿童监护人有效明示同意的情况下,向具有相关浏览喜好的用户直接推送含有儿童个人信息的短视频,同时也没有采取技术手段对儿童信息进行专门保护。
这一短视频APP没有对儿童用户采取区分管理措施,默认用户点击“关注”后,就可以和儿童账户私信联系,获取地理位置、面部特征等个人信息。在没有征得儿童监护人授权同意的情况下,运用后台算法,向具有浏览儿童内容视频喜好的用户直接推送含有儿童个人信息的短视频,从而让犯罪分子有机可乘。
“这些行为对不特定儿童人身安全、生活安宁等造成潜在风险,甚至若干儿童个人信息被不法分子利用后,产生了损害后果。”办案检察官说。
在一起猥亵儿童刑事案件中,公益诉讼起诉人发现,某科技公司运营的短视频APP,存在侵害众多不特定儿童个人信息的侵权行为。这个犯罪分子很喜欢浏览儿童类短视频,而在浏览的过程中平台就不断地给他推送相关的儿童的信息。他就通过平台私信,先加QQ,后通过线下约见面的方式,对小孩采取了不法的行为。
民事公益诉讼强化儿童
个人信息网络保护
根据互联网法院管辖规则,浙江省检察院指定杭州市余杭区检察院办理此案,经诉前公告,于2020年12月2日向杭州互联网法院提起民事公益诉讼,请求判令某公司立即停止实施利用该公司APP侵害儿童个人信息的侵权行为,赔礼道歉、消除影响,赔偿损失并将款项交至相关儿童保护公益组织,专门用于儿童个人信息保护公益事项。
诉讼期间,检察机关积极推动某公司立行立改,该公司积极配合,对所运营APP中儿童用户注册环节、儿童个人信息收集环节、儿童个人信息储存、使用和共享环节以及儿童网络安全主动性保护领域等四大方面细化出了34项整改措施,并明确了落实整改措施的具体时间表。双方依法达成和解协议。
2月7日,杭州互联网法院公开开庭审理该案。庭审中,某公司对检察机关依法履行公益诉讼职责,积极推动儿童个人信息网络保护,促进和帮助企业合法合规经营表示感谢。在法庭组织下,杭州市余杭区检察院与某公司就前期达成的和解协议进一步确认,形成了调解协议。2月9日,依照公益诉讼法定程序,由法院进行了公告。
《未成年人保护法》
第五章 网络保护
第六十四条 国家、社会、学校和家庭应当加强未成年人网络素养宣传教育,培养和提高未成年人的网络素养,增强未成年人科学、文明、安全、合理使用网络的意识和能力,保障未成年人在网络空间的合法权益。
《个人信息保护法》
第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
国家网信办《儿童个人信息网络保护规定》
第一条 为了保护儿童个人信息安全,促进儿童健康成长,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规,制定本规定。
第二条 本规定所称儿童,是指不满十四周岁的未成年人。
第三条 在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,适用本规定。
第四条 任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。
第五条 儿童监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全。
第六条 鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等,加强行业自律,履行社会责任。
第七条 网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。
第八条 网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。
第九条 网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。
第十条 网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项:
(一)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;
(二)儿童个人信息存储的地点、期限和到期后的处理方式;
(三)儿童个人信息的安全保障措施;
(四)拒绝的后果;
(五)投诉、举报的渠道和方式;
(六)更正、删除儿童个人信息的途径和方法;
(七)其他应当告知的事项。
前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的同意。
第十一条 网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。
第十二条 网络运营者存储儿童个人信息,不得超过实现其收集、使用目的所必需的期限。
第十三条 网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。
第十四条 网络运营者使用儿童个人信息,不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人的同意。
第十五条 网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。
第十六条 网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。
前款规定的受委托方,应当履行以下义务:
(一)按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息;
(二)协助网络运营者回应儿童监护人提出的申请;
(三)采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈;
(四)委托关系解除时及时删除儿童个人信息;
(五)不得转委托;
(六)其他依法应当履行的儿童个人信息保护义务。
第十七条 网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估。
第十八条 网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。
第十九条 儿童或者其监护人发现网络运营者收集、存储、使用、披露的儿童个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。
第二十条 儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的,网络运营者应当及时采取措施予以删除,包括但不限于以下情形:
(一)网络运营者违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露儿童个人信息的;
(二)超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的;
(三)儿童监护人撤回同意的;
(四)儿童或者其监护人通过注销等方式终止使用产品或者服务的。
第二十一条 网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。
第二十二条 网络运营者应当对网信部门和其他有关部门依法开展的监督检查予以配合。
第二十三条 网络运营者停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。
第二十四条 任何组织和个人发现有违反本规定行为的,可以向网信部门和其他有关部门举报。
网信部门和其他有关部门收到相关举报的,应当依据职责及时进行处理。
第二十五条 网络运营者落实儿童个人信息安全管理责任不到位,存在较大安全风险或者发生安全事件的,由网信部门依据职责进行约谈,网络运营者应当及时采取措施进行整改,消除隐患。
第二十六条 违反本规定的,由网信部门和其他有关部门依据职责,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规规定处理;构成犯罪的,依法追究刑事责任。
第二十七条 违反本规定被追究法律责任的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
第二十八条 通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的,依照其他有关规定执行。
第二十九条 本规定自2019年10月1日起施行。
