敬老慈幼:互联网产品数据合规的新标尺
发布时间:2021-04-28
文 | 史宇航 汇业律师事务所 顾问
一、背景
随着当前互联网产品(服务)获得新用户的难度越来越高,未成年人与长者正在逐渐成为新用户的增长点。未成年人是网民群体的生力军,而长者则是中国老龄化趋势下任何互联网产品不应回避的一个群体。根据2021年2月中国互联网信息中心(CNNIC)发布的第47次《中国互联网络发展状况统计报告》,19周岁以下与60周岁以上的网民比例已经占据全部网民的27.8%。
合规从来都不仅是对法律义务的遵从,也包括对监管机构执法重点的关注。近期一系列新法与执法趋势显示,长者、未成年人、残障人士等弱势人群的权益保障已经成为互联网产品(服务)合规新的标尺。
未成年人与长者相对而言对网络空间更加陌生,也更容易陷入各种网络骗局,并更难有效利用互联网的便捷性。在2021年央视315晚会中,曝光一批App,这些App表面上看起来是在清理手机垃圾,但背地里实则在不断偷偷大量获取手机里的信息,甚至将带有欺骗套路的广告和内容源源不断地推送到老人的手机上,使得一些长者上当受骗。因此,修订后的《未成年人保护法》即将于6月1日儿童节正式施行,设置了“网络保护”专章。再加上近日工业和信息化部(“工信部”)印发通知,部署进一步抓好互联网应用适老化及无障碍改造专项行动实施工作。
二、适用范围与合规思路
未成年人保护与适老化合规主要针对面向消费者的互联网产品(服务),如网站、App、终端设备等。在具体领域方面,未成年人保护合规与适老化合规存在差异。
未成年人保护的合规重点在教育类、游戏类等未成年人可能频繁接触的互联网产品(服务)。适老化合规的重点在于互联网平台以及与日常生活相关的互联网产品(服务)。
在各版本中:未成年人版本的重点是内容合规以及确保监护权;长者版则会成为合规的加分项,在“企业信用评价”中予以信用加分。在这一的背景下,部分平台类互联网产品(服务)甚至可能需要设置三个版本:未成年人版、普通版与长者版(无障碍版),以满足不同的合规的需求。
未成年人保护与适老化合规的出发点都是对弱势人群的保护,但在具体思路方面体现出两个人群的不同特点。未成年人保护合规的出发点是落实监护人的监护职责,避免互联网产品(服务)的设计误导自控能力较弱的未成年人。适老化合规的出发点是对长者与残障人士在视力、听力、反应时间的补偿,并且对长者与残障人士不熟悉互联网产品(服务)的补偿。
三、未成年人保护背景下的“告知-同意”
在个人信息保护领域,不同年龄主体的义务、责任主体存在差异,可以进行一个简单的划分:
在实践中,如何获取父母或监护人的同意并加以证明是一个难题。在此可以借鉴一些域外的先进经验。
关于儿童个人信息保护,美国的《儿童在线隐私保护法》(“COPPA”)可能是最为严格的儿童个人信息保护法律之一。COPPA要求同意必需是“可验证的父母同意”(verifiable parental consent)。COPPA规则并没有规定机构必须使用何种方法来获得父母的同意,而是规定经营者必须根据现有技术合理设计方法,确保给予同意的人是父母。COPPA所认可的“可验证的父母同意”主要包括:
签署同意书,并通过传真、邮寄或电子扫描的方式寄回给家长;
使用信用卡、借记卡或其他在线支付系统,向账户持有人提供每次交易的通知;
拨打由受过培训的人员提供的免费电话;
通过视频会议与受过培训的人员联系;
提供政府颁发的身份证复印件,并与数据库进行核对,只要家长在完成核对过程后从记录中删除该身份证即可;
回答一系列基于知识的挑战问题,这些问题对父母以外的人来说很难回答;或
核实父母提交的驾照和其他有照片的身份证件的照片,然后将该照片与父母提交的第二张照片进行比较,使用面部识别技术。
对我国来说,如何验证家长的同意也是一个重要课题,尤其是在网络游戏等需要实名验证的领域,需要统筹权限获取、未成年人个人信息保护、网络实名等诸多合规控制点。这要求互联网产品(服务)的合规不能止步于文本,而是应当在产品功能上予以体现。
四、适老化背景下的“告知-同意”
隐私政策通常字数众多,不利于阅读。但大多数的个人信息处理是基于“告知”而展开。在《加州消费者隐私保护法》(“CCPA”)中,专门要求隐私政策等文件应该能够“无障碍”获取,具体而言是要求所有与CCPA相关的通知均应使残疾消费者能够访问,并符合万维网联盟(“W3C”)颁布的《网络内容无障碍指南》(“WCAG”)2.1版(https://www.w3.org/Translations/WCAG21-zh/)中的标准。
WCAG是一份跨越国界的技术标准,也可以为我国企业在开展适老化合规进行借鉴。WCAG从可感知性、可操作性、可理解性、健壮性、一致性等角度对网络内容无障碍提出了要求。举例来说,WCAG要求不得设计可能导致癫痫或身体反应的内容,网页中每秒不包含任何闪光超过3次的内容;为时基媒体(音视频)内容提供替代;验证码需要提供标识和描述非文本内容的文本,以及适合于不同类型感觉的输出模型。诸如此类的要求不一而足。
CCPA中关于通知“无障碍”的要求提升了个人信息处理的合法性门槛。只要机构依赖“告知-同意”为法律基础处理个人信息,就需要考虑长者与残障人士能否与普通人一样有机会了解隐私政策的内容,并选择是否同意。
我国在无障碍访问方面也有一系列的标准或规范:
《信息技术 互联网内容无障碍可访问性技术要求与测试方法》(GB/T 37668-2019)
《信息无障碍 身体机能差异人群 网站无障碍评级测试方法》(YD/T1822-2008)
《互联网网站适老化通用设计规范》
《移动互联网应用(APP)适老化通用设计规范》
这些合规义务,已经不止是数据合规的附加题,正在逐渐成为必答题。随着我国个人信息保护领域争议数量的不断增加,如果机构不考虑长者与残障人士对获取隐私政策及相关操作的无障碍要求,那么相关协议条款与法律对长者与残障人士可能是无效的,即针对该长者、残障人士个人信息的收集可能构成违法。
五、嵌入产品设计的合规措施
“告知-同意”只是未成年人保护与适老化合规的一个细微剖面,更为重要的是从产品(服务)的功能角度提供儿童保护与适老化措施。
比如某App运营企业在IPO的过程中,监管部门关注了该App未成年用户的特殊保护措施。根据该公司答复:
(1)新用户注册时填写年龄,或已填写年龄的老用户更新APP,会识别未成年用户自动进入青少年模式;
(2)所有资讯内容在入库时会通过技术手段与人工审核相结合的方式进行评级,识别有害低质内容,低质内容在分发时会被屏蔽或者限制分发;
(3)青少年模式与普通模式主要在工具、资讯、搜索、社区与部分功能开关状态等存在区别。
可见,对未成年人保护的合规,绝不仅是制定一份《儿童个人信息保护规范》与《儿童用户协议》那么简单,需要在互联网产品(服务)最底层的逻辑就将未成年人保护纳入考虑。法律法规与监管无不反映了这一趋势。在即将实施的《未成年人保护法》第69条第2款中要求:“智能终端产品的制造者、销售者应当在产品上安装未成年人网络保护软件,或者以显著方式告知用户未成年人网络保护软件的安装渠道和方法。”在2020年8月《教育部等六部门关于联合开展未成年人网络环境专项治理行动的通知》中,明确“进一步推动网络直播和视频平台开发使用青少年网络防沉迷模式,完善实名实人验证、功能限制、时长限定、内容审核、算法推荐等运行机制。”
适老化合规要求严禁出现广告内容及插件,也不能随机出现广告或临时性的广告弹窗。提供适老化服务的网页或独立的适老化网站中无诱导下载、诱导付款等诱导式按键。并且对文字与行间距进行扩大。对上市企业的年度社会责任报告来说,对互联网产品(服务)的适老化改造也会成为亮点。比如在《强生控股2020年度社会责任报告》中,专门提到企业的适老化改造:“公司全力开发62580预约叫车系统(APP/小程序)‘一键叫车’功能:在原有‘普通模式’的基础上,‘一键叫车’功能对每一个细节都进行了适老化改造,大字号简洁设计,方便老年人操作使用。”成为年度社会责任报告的亮点之一。
六、合规启示
互联网产品(服务)开展未成年人保护与适老化合规是一项崭新的课题。根据我们的经验,企业可以重点关注以下角度:
梳理已有用户年龄属性,判断是否具有大量未成年人或长者使用自己的产品(服务)。
如产品(服务)有大量未成年人用户,或是面向未成年人,则需要建立完善的家长控制机制,确保家长能够有效了解、掌控未成年人对产品的使用。如果属于游戏、直播、视频等领域,则需要部署防沉迷措施。
互联网产品(服务)的未成年人版本与无障碍版本,需要对产品(服务)的全部内容进行更加严格审核,其中包括来自第三方推广内容,避免误导消费、欺诈信息等可能引发误判的信息。
如果产品(服务)有大量长者用户,或是具有公共属性,则需要充分考虑长者或残障人士无障碍使用的问题,对字体、行间距进行优化,并且从功能层面简化逻辑,方便长者或残障人士理解。
企业需要将未成年人保护与适老化合规纳入产品日常维护流程,在产品(服务)、功能设计伊始就开始考虑相关合规要求。
未成年人保护与适老化合规不仅是企业合规的重要组成部分,也是企业社会责任的体现。