新京报记者罗亦丹实习生翁睿敏张卓
《儿童个人信息网络保护规定》发布;新京报记者实测发现,有App强制索权,多款App无隐私协议。
8月23日,国家互联网信息办公室发布《儿童个人信息网络保护规定》,将自2019年10月1日起施行。这意味着我国针对儿童的信息保护制度又完善了一步。
该规定为5月31日网信办发布《儿童个人信息网络保护规定(征求意见稿)》向社会公开征求意见后出台的正式版。规定强调,网络运营者应当设置专门的儿童个人信息保护规则和用户协议;网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意;网络运营者征得同意时,应当同时提供拒绝选项等。
新京报记者发现,目前大部分App会以提示隐私协议的方式向用户介绍其信息收集方式。结合该规定,即App在收集儿童信息时,需设置有隐私协议,且该协议需征得儿童监护人同意,App不得强制收集信息。
依据以上原则,新京报记者在9月3日至9月8日期间测试了30款针对儿童使用的App,发现其中有9款在儿童信息保护方面存在瑕疵,包括没有隐私协议、没有儿童监护人同意选项等。
“该规定的出台非常及时和必要。不过对于儿童信息保护仍然存在几个难点,因为现在许多儿童都通过父母手机来使用App,怎样识别什么属于‘儿童信息’,以及监护人明示同意制度是否有必要进行更加细化的分级,这些都需要讨论。”中国人民大学法学院副教授丁晓东对新京报记者表示。
13款儿童App索取位置权限,
快乐小鸡、小盒学生强制索权
9月3日至9月8日,新京报记者测试30款儿童App发现,有2个App涉及强制授权,6个无隐私协议,2个有隐私协议但没有监护人授权。由于有的App同时存在两个问题,最终一共有9款App在隐私规范上存在瑕疵。
这30款App中,伴鱼绘本、凯叔讲故事等15款App为七麦数据公布的“iOS免费榜排行”中排行前15的App,儿歌多多、快乐小鸡等15款App则是在华为应用市场“儿童”分类专区的热门推荐中选出,二者分别代表了iOS系统和安卓系统中儿童使用较多的App。
新京报记者测试发现,在强制授权上,绝大多数儿童App均能做到对收集的信息进行明示提醒并给用户提供可拒绝选项。如宝宝玩英语索取相机和录音权限,被拒绝后提示“需要这些权限才能让程序正常运行”,少儿趣配音在文件访问权限被拒绝后提示“拒绝将会导致App无法正常使用”,不过上述App在拒绝授予权限后,仍可打开。
上述30款App中,快乐小鸡在安装之时就索取了储存与地理位置权限,用户若选择拒绝就无法安装。而小盒学生则在安装之后首次打开时提示索取存储、位置、电话、拍照、麦克风权限,若拒绝就无法使用。对比来看,小盒学生有较为完善的隐私协议并要求填写“你或者爸爸妈妈的手机号”,快乐小鸡则较为简单,没有隐私协议。
根据App专项治理工作组发布的《App申请安卓系统权限机制分析与建议》,App不应采用“一揽子打包”“默认打开”“强制捆绑”“私自更改”“频繁打扰”等方式征得用户同意获取权限,如“在App安装时一次性申请多项或所有危险权限的授权,并在打开App后权限均为默认开启状态”。
记者登录“快乐小鸡”,在该App中未发现与地理位置相关的功能。实际上,有多款儿童App均索取了地理位置权限,如时尚小公主、奇妙的怪物朋友等,但这些App均提供了拒绝选项,并非强制安装。
需要注意的是,根据《网络安全法》第四十一条规定,网络运营者不得收集与其提供的服务无关的个人信息。但对于儿童类App中何种信息属于“与其提供的服务无关”,目前尚未有明确的标准出台。此前,全国信息安全标准化技术委员会曾发布《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》,依据个人信息收集最少够用的原则以及不同种类App的业务范围,对地图导航、网上购物、餐饮外卖等16类App收集个人信息的范围给出了参考,但目前尚无针对儿童App的明确标准。
不过仅从App要求索取的权限来看,30款儿童App中有13款索取了地理位置权限,地理位置是儿童App最爱收集的涉敏感权限。
6款儿童App无隐私协议,
8款未设置监护人同意选项
《儿童个人信息网络保护规定》强调,App在收集、使用、转移、披露儿童个人信息时,应当征得儿童监护人的同意。目前,在记者的测试中,共有8款App在隐私条款或运行界面中没有监护人同意的设置。
其中,有6款App直接没有隐私条款的设置,包括可可宝贝、人教版小学英语、宝宝爱连线、小企鹅乐园、快乐小鸡、DIY史莱姆制造者。其中,人教版小学英语或为配合教程使用的辅助App,而宝宝爱连线、DIY史莱姆制造者等为功能较为单一的游戏类App,不过可可宝贝获取了电话、照片等敏感权限,却没有隐私条款,存在的隐私规范瑕疵较大。
此外,少儿趣配音与晓黑板2款App虽然具备隐私政策,但没有监护人授权的选项。因此共有8款儿童App没有“征得监护人同意”的设置。
新京报记者发现,测试的30款儿童App中,监护人同意的表述大部分都写在隐私协议中,如宝宝玩英语在其隐私政策中表示,“若您是18周岁以下的未成年人,请在您的父母或监护人的指导下仔细阅读本《隐私政策》,并在征得您的父母或监护人同意的前提下提交您的个人信息。”而少数App具备家长设置儿童使用时间,以及通过算术题验证的方式验证家长身份等。
对于儿童类App“监护人同意”选项的设置方式,目前也有一些不同的声音。有不愿具名的早教类App从业者对新京报记者表示,在实际操作中,“征得监护人同意”的规定“较为死板”,“一般小孩子玩的App都是家长给下载好的,手机也是家长的,再在App里写一则隐私协议并标注‘监护人同意’也就是为了合规,即便写了,也怀疑家长会真正阅读。”她认为,一些规则较为简单的儿童游戏App的界面设计“非常简单,并不收集儿童信息,但再强行放置一个隐私协议或家长需知,有些没有必要”。
其认为,“通过做算术题或者填成语的方式验证家长身份比在隐私协议中标明家长需知更加能确保App收集信息的行为真正被监护人而不是儿童知晓。”
对此,中国人民大学法学院副教授丁晓东表示,在儿童领域,难点在于监护人同意的设置是否可以真正起到这个作用。“因为通知权限本身就容易被用户忽略,如果普通用户在使用App时已经习惯点击同意权限申请了,那么可以合理怀疑儿童使用App时,同样是普通用户的父母会不会更加在意。”
实际上,国外也有类似的“监护人同意”制度。如美国于1998年通过了《儿童网络隐私保护法》(COPPA),而联邦贸易委员会(FTC)则负责儿童网络隐私保护的执法。COPPA确定的重要原则就是要求特定网站和网络服务在收集、使用或透露不满13岁儿童个人信息前应履行“通知并取得同意”义务,即通知儿童父母并取得父母同意的事先义务。
在丁晓东看来,App采取“在产品开发和商业模式上做设计”的方式来进行儿童信息隐私保护可能会更为合理。比如,广告个性化推荐,应当对相关算法进行人工优化,避免对儿童进行个性化推荐。换句话说,就是对风险的控制应当在产品开发设计和商业模式规划阶段就考虑到,而不是通过监护人的同意机制来实现。
综合类App保护儿童信息陷困境
目前,对App用户年龄最精确的统计方式是直接统计App注册用户的年龄信息,但多个专家对新京报记者表示,对于儿童,这种方法无法做到。
有从事App大数据统计的人士对新京报记者表示,此次新规规定了App在收集儿童信息时的注意事项,但实际上,绝大多数App都不可避免的有儿童用户,此时如何判断用户为儿童是一大难点。“例如我们可以统计手机注册用户的年龄,但14岁以下的儿童基本没有手机,都是使用大人的,此时App也不知道对方的真实身份,因此难以统计。”
因此,在此次测试中,新京报记者采用在各大App商店中标明“儿童”标签且排名靠前的App作为测试标的。但对于主要用户是成年人,但也有儿童使用的App,《儿童个人信息网络保护规定》应如何发挥作用呢?
目前,多个国内热门App均上线了“青少年模式”,如bilibili在首页会弹出进入青少年模式的弹窗,但对于此类用户涵盖儿童及成人的App,《儿童个人信息网络保护规定》在实际操作方面或将遭遇难题。
“这是因为,在现实生活中,识别儿童很容易,禁止儿童购买烟酒也容易做到。但在网络上,对儿童的个人信息保护较为困难,商家很难在线上辨识用户是否为儿童,以及它收集的信息是否为儿童信息。”丁晓东表示。
中国互联网络信息中心(CNNIC)发布的第44次《中国互联网络发展状况统计报告》显示,截至2019年6月,我国网民规模达8.54亿,其中10岁以下网民占比4.0%,10-19岁网民占比16.9%。
事实上,有不少家长向新京报记者反映,孩子喜欢用自己的手机“玩吃鸡、刷抖音”等,对手机里的App“比家长还懂”。此时,App为进行定推收集到的信息是否属于儿童信息就容易引起争议。
收集儿童信息以判断儿童身份或增加问题
新京报记者测试发现,目前儿童类App主要分两类:游戏类与学习类。
其中,针对游戏类儿童App的规定实际早已有之。如2017年发布的《未成年人网络保护条例(送审稿)》第二十二条规定,“网络信息服务提供者提供网络游戏服务的,应当要求网络游戏用户提供真实身份信息进行注册,有效识别未成年人用户,并妥善保存用户注册信息。国家鼓励网络游戏服务提供者根据国家有关规定和标准开发网络游戏产品年龄认证和识别系统软件。”
北京青少年法律援助与研究中心2019年8月发布《中国未成年人网络保护法律政策研究报告》指出,自2012年起,《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》以及国家互联网信息办公室发布的规章等逐步要求“信息发布、即时通讯等服务”,通过“后台实名、前台自愿”的方式获取用户的真实身份信息。中国网络视听节目服务协会于2019年1月发布的《网络短视频平台管理规范》也明确提出要求网络短视频平台采用“用户画像、人脸识别、指纹识别等”新技术手段来落实账户实名制的要求。
北京青少年法律援助与研究中心对新京报记者表示,从上述法律政策要求可以看出,我国未成年人网络保护立法政策的基础是身份识别,“为了加强对未成年人的网络保护,我们首先强化了对其个人信息的收集,通过收集其各种信息以确认其是未成年人,千方百计避免未成年人虚报年龄以逃避特殊保护。但在收集儿童信息方面,必须提出的问题是:这个收集信息的过程也许就成为侵害未成年人隐私权的过程,就埋下了未成年人隐私权受到严重侵害的风险。”
在此次30款儿童App测试中,新京报记者并未发现有游戏App要求对儿童进行信息注册。目前,在实名注册方面做得较为完善的游戏App包括王者荣耀、和平精英等,但这些App的主要用户为成年人。
对此,腾讯守护者计划对新京报记者表示,其用户中也不乏使用家长手机进行注册并游戏的未成年人,而对于这批用户,腾讯采取一定的算法来进行识别,“比如查看用户的游戏时长以及操作习惯等,对判断为未成年人的用户,也会采取相对应的措施。”
不过,通过收集注册信息来判断儿童身份或许会带来负面影响。如2011年韩国国会通过了《未成年人保护法》,规定互联网游戏运营者向不满16周岁的未成年人提供互联网游戏服务的,应当征得其监护人的同意,且0点至6点之间,互联网游戏运营者不得向不满16周岁的未成年人提供互联网游戏服务。但根据韩国产业研究2014年的“文化产业全球竞争力提高方案”报告,推行游戏宵禁制度之后,青少年每日玩游戏的时间虽然减少了约16到20分钟,但这项制度也使40%的青少年通过盗用身份证号码的方式玩游戏,从而导致他们可能更多地接触面向成人的游戏。另外未满16岁的未成年人需要监护人的同意才能注册游戏账号,因此游戏公司需花高额费用建构个人信息收集系统,用于收集监护人的个人信息。这导致如何有效保护这些监护人的个人信息不被泄露成为了另外一个难题。
北京青少年法律援助与研究中心呼吁,目前未成年人网络保护问题上存在多重视角,政府希望通过推动立法、制定政策,不仅督促企业承担更多责任,也希望家长、学校发挥起有效作用;越来越多企业在承认自身要承担更多责任基础上,也希望政府、家长、学校要积极履责。因此对此问题,亟需多方共治。