环球律师事务所

2019年第四季度以来，法律圈频出各类新法，那么在数据保护领域就更不例外了，也是持续出台或更新立法，代表了国家对网络安全和个人信息保护执法与监管的不断重视，同时也为企业落地数据合规实践提出了更高的要求与责任。

本文将梳理第四季度较为企业与大众关心的六部代表性法律法规（《儿童个人信息网络保护规定》、《网络信息内容生态治理规定》、《网络音视频信息服务管理规定》、《中国人民银行金融消费者权益保护实施办法》、《民法典（草案）》以及《App违法违规收集使用个人信息行为认定方法》），并通过条文层面上的分析与立法背景上的洞察，提供实践操作层面的解读，帮助企业在2020年适应并把握好网络安全与个人信息保护方面这些新规的立法本意与合规要求。

一、新规解读之一：未成年人网络保护系列规定（2019年10月1日 / 11月1日 / 11月5日 / 11月13日）

2019年不容忽略的一个法律热点就是国家加大了对未成年人的保护力度。首先，在儿童个人信息保护方面，国家互联网信息办公室于8月22日审议通过了《儿童个人信息网络保护规定》，该规定于10月1日起正式生效。其次，11月1日，由全国人民代表大会常务委员会发布了《未成年人保护法》和《预防未成年人犯罪法》两部法律的修订草案；其中，《未成年人保护法（修订草案）》还设立了“网络保护”专章。紧接着，国家新闻出版署于11月5日下发了《关于防止未成年人沉迷网络游戏的通知》；教育部办公厅于11月13日印发了《教育移动互联网应用程序备案管理办法》。下半年来，对未成年人（含儿童）保护方面法律的系列出台，是国家对危害未成年人行为的频频亮剑，体现出对未成年人网络保护的重视和关注。下文我们以《未成年人保护法（修订草案）》中的网络保护专章为分析维度，结合其他未成年人保护相关新规，简要评述未成年人网络保护的合规重点。

1. 明确各方职责与义务

《儿童个人信息网络保护规定》明确了儿童监护人、互联网行业组织、网络运营者各方的职责。《未成年人保护法（修订草案）》进一步明确了国家、学校和家庭在未成年人网络保护方面的义务。根据《未成年人保护法（修订草案）》第五十七条和第五十九条规定，国家保护未成年人依法使用网络的权利，鼓励和支持有利于未成年人健康成长的网络内容的创作和传播，鼓励和支持以未成年人为服务对象、适合未成年人身心发展的技术和产品。

根据《未成年人保护法（修订草案）》第五十八条，家庭和学校应当开展网络安全和网络文明教育，提高未成年人安全合理使用网络的意识和能力，增强未成年人的自我保护意识。《儿童个人信息网络保护规定》第五条规定了监护人的职责，正是对《未成年人保护法（修订草案）》中家庭管教义务的呼应。

值得注意的是，鉴于教育类App的受众及使用对象多为未成年人，对于此类App，教育部新颁布的《教育移动互联网应用程序备案管理办法》要求网络运营者对教育类App进行备案，也体现了国家对于网络运营者，关于其与未成年人相关的产品与服务，国家有统一管理的要求。因此，建议相关企业，应当根据该管理办法尽早进行ICP以及网络等级保护备案的工作。

2. 上网保护软件

根据《未成年人保护法（修订草案）》第六十条和第六十一条，网络产品和服务提供者、智能终端产品制造者和销售者、为未成年人提供公益性互联网上网服务设施的学习、社区、图书馆等场所的组织需要履行特别的义务。其中，为未成年人提供公益性互联网上网服务设施的场所，例如学校、社区、图书馆、文化馆、青少年宫等，应当安装未成年人上网保护软件。智能终端产品制造者和销售者也应当安装此类软件，或者采用显著方式向用户告知安装渠道和方法。

3. 适龄内容提示

《未成年人保护法（修订草案）》第六十二条禁止利用网络制作、复制、发布、传播含有法律法规禁止内容的信息。对于有可能影响未成年人身心健康的信息，相关组织和个人应当在信息展示前予以提示。根据国家新闻出版署发布的《关于防止未成年人沉迷网络游戏的通知》，在网络游戏场景下，网络游戏企业必须探索适龄提示制度，根据游戏功能和内容的对抗激烈程度与使用者心里可接受程度等多维度综合进行衡量，做出适合不同年龄段用户的提示。

4. 个人信息保护

《未成年人保护法（修订草案）》第六十三条新增网络产品和服务提供者的义务，即应当提示未成年人用户保护自身个人信息，并对其使用个人信息进行保护性限制。此外，该条还呼应了已生效的《儿童个人信息网络保护规定》，要求依照有关规定收集、使用、保存未成年人个人信息，并经过监护人同意。对于这一点，如此前文章【新规】《儿童个人信息网络保护规定》正式发布和《儿童个人信息保护实证调研篇》及YOUTUBE被罚案例解读。所述，如何有效识别未成年人以及如何征得监护人同意，是整个合规落地过程中需要思考的问题。目前，很多企业已经结合了自身情况，加大对儿童个人信息的保护力度。例如，不少企业已在隐私政策中增加了未成年人个人信息保护相关条款，或者设置了单独的儿童隐私保护指引。根据我们的调研，对于识别未成年人年龄以及征求监护人同意方面，企业也做出不少努力，目前的操作模式大体上分为以下几种：

1）用户自认。要求用户在注册账号时填写出生年月，如用户填写的年龄小于14周岁，则无法注册。

2）要求用户提供年龄证明文件。在实名制要求的前提下（例如游戏行业），用户在创建账号时需提供身份证号码，以此来判断用户年龄。有些情况下，企业还可以要求提供监护人邮箱进行验证，或者根据用户面部特征和使用行为进行综合判断，但采取这类方法的，还是建议谨慎操作，并且需要提前做出个人信息影响评估，不然反而会增加收集用户个人信息的范围。

3）监护人代为创建账号。将儿童的账号与监护人的账号进行关联，如某些产品的用户虽为儿童，但需要监护人通过自己的账号帮助儿童创建儿童账号，这样，监护人就可以通过自身账号对儿童的使用行为进行监控与保护。

5. 家长控制模式

《未成年人保护法（修订草案）》第六十四条要求网络产品和服务提供者避免提供可能诱导未成年人沉迷的内容，并设置相应功能，为监护人预防和干预未成年人沉迷网络提供便利。根据我们的调研，在产品设计方面，目前很多企业都设置了单独的未成年人模式，例如抖音、腾讯、bilibili等提供了“时间锁”、“儿童/青少年模式”、“亲子平台”、“成长守护平台”、青少年模式等功能。如前所述，通过这些功能，家长可以查询、控制儿童使用时长，筛选适合儿童阅读的内容，限制儿童充值消费等，实现对儿童使用行为的管理。爱奇艺还专门为儿童设计了儿童版App，为儿童提供适合儿童阅读和观看的内容。

此外，针对网络游戏场景，《未成年人保护法（修订草案）》第六十五条还做出了特别规定，主要涉及两方面的内容：1）内容管理。即不得让未成年人接触不适宜其接触的游戏或游戏功能；2）时间管理。在该方面，国家新闻出版署在近日发布的《关于防止未成年人沉迷网络游戏的通知》中提到，每日22时至次日8时，网络游戏企业不得以任何形式为未成年人提供游戏服务。网络游戏企业在法定节假日向未成年人提供游戏服务每日累计不得超过3小时，其他时间每日累计不得超过1.5小时。这一举措也因此与网络游戏中的实名制要求相关。根据教育部于2007年4月15日发布了《关于保护未成年人身心健康实施网络游戏防沉迷系统的通知》，所有网络游戏运营企业必须在其运营的所有网络游戏中，按新闻出版总署及相关组织制定的《网络游戏防沉迷系统实名认证方案》实施实名制认证，而根据《网络游戏防沉迷系统实名认证方案》中的流程示意图，识别成年人及未成年人则是实名认证流程的重要一环。

6. 禁止网络欺凌

《未成年人保护法（修订草案）》第六十六条禁止任何组织和个人通过网络侮辱、诽谤、威胁未成年人或者恶意扭曲、损害未成年人形象。如发现前述情况的，监护人可要求网络信息服务提供者及时删除相关内容。

7. 举报投诉机制

《未成年人保护法（修订草案）》第六十七条要求网络产品和服务提供者结合自身提供未成年人相关服务，通过显著方式公示举报途径和举报方法，并配备与服务规模相适应的专职人员及时受理并处置相关举报。这一点要求可能与《儿童个人信息网络保护规定》要求企业需要确保有员工能够负责处理未成年人保护相关的投诉和举报以及未成年人个人信息保护的相关事宜一脉相承。

综上可见，未成年人网络保护这一话题涉及防沉迷、适龄分级分类、个人信息保护等诸多方面的内容。其中，在儿童个人信息保护方面，《儿童个人信息网络保护规定》已生效3月有余，并且对未履行要求规定了明确的罚则。建议相关企业，特别是专门为儿童提供产品与服务或者涉及儿童个人信息处理的企业，以此为契机，重视未成年人保护这一问题，尽早采取合规举措。

相关法规链接：

《儿童个人信息网络保护规定》：
http://www.cac.gov.cn/2019-08/23/c_1124913903.htm
《未成年人保护法（修订草案）》：
http://www.npc.gov.cn/npc/wcnrbhfxdca/wcnrbhfxdca.shtml
《预防未成年人犯罪法（修订草案）》：
http://www.npc.gov.cn/npc/yfwcnrfzfxdca/yfwcnrfzfxdca.shtml
《教育移动互联网应用程序备案管理办法》：
http://www.gov.cn/fuwu/2019-11/27/content_5456067.htm

二、新规解读之二：《网络信息内容生态治理规定》（2019年12月15日）

2019年12月15日，国家互联网信息办公室正式发布《网络信息内容生态治理规定》（以下简称“《规定》”），是对2019年9月10日颁布的征求意见稿(我们此前也进行过相关解读 )的进一步调整，同时也对具体内容进行了强化与突出，主要呈现出以下几点特征：

1. 强调规制网络信息内容，弘扬社会主义核心价值观

根据《规定》第二条，《规定》以网络信息内容为主要治理对象，这一点与征求意见稿一致。特别地，《规定》在标题及条文的表述中增加了“信息内容”（即《网络信息内容生态治理规定》）四个字以示强调，彰显了本次立法对实践中网络信息内容乱象进行整治的核心目的。

此外，《规定》第二条、第五条、第二十六条等强调，《规定》以培育和践行社会主义核心价值观为根本，倡导网络信息内容生产者、网络信息内容服务平台、网络信息内容使用者唱响主旋律，弘扬正能量，反对违法信息，防范和抵制不良信息。我们理解，整治网络信息内容乱象、维护清朗的网络环境、建立良好的网络生态，将有利于建设文明、和谐、自由、平等、诚信、友善的社会风气，是对践行社会主义核心价值观的积极响应。

2. 扩大规制主体范围，增多承担责任主体

根据《规定》第四十一条，“网络信息内容生产者”的内涵扩大，不仅指制作网络信息内容的组织或个人，复制、发布网络信息内容的组织或个人也将包括在规制范围内。据此，网络信息内容使用者可能更容易转换身份为网络信息内容生产者，例如，普通网民复制、转发网络信息的行为都可能视为生产网络信息，需要承担网络信息生产者相应的义务。

此外，《规定》第二十一条至第二十五条尽管落入了第四章“网络信息服务使用者”一节，但是规定了网络信息服务生产者、服务平台及使用者三方都应承担不侮辱诽谤、散布谣言，不利用网络信息、网络技术侵害他人合法权益、破坏网络生态等责任。这一点改变了征求意见稿只要求网络信息服务生产者承担该部分责任的局面，对网络信息乱象的治理更为全面。

3. 强调网络信息服务平台管理职责，加强行业组织自治力量

《规定》第九条、第十五条要求网络信息服务平台建立网络信息内容生态治理机制，制定本平台网络信息内容生态治理细则、平台管理规则和平台公约，并完善用户协议。与征求意见稿相比，《规定》除了要求订立用户协议外，还强调制定平台生态治理细则、平台管理规则、平台公约，重点突出平台对用户行为的监督和管理作用。此外，《规定》还要求平台在重点环节对网络信息内容进行审核、建立应急处置方案、对平台从业人员进行考核，提升整体素质等。

《规定》新增第二十六条，鼓励行业组织发挥服务指导和桥梁纽带作用。与征求意见稿相比，《规定》除了要求建立行业自律机制外，第二十七条还鼓励行业组织制定网络信息内容生态治理行业规范和自律公约、内容审核标准细则，指导会员单位建立健全服务规范。这一规定进一步细化了行业组织制定自治规范的要求，并强调其对会员单位的指导作用。

这一动向也体现了弱化政府直接监管的思路，符合政府一直以来倡导的“放管服”的监管目标--要求网络信息内容平台和行业组织承担更多的责任，缓解政府监管压力的同时，取得更高效的监管效果。

4. 建立用户账号信用管理制度，与建构社会信用体系理念相一致

目前，我国正在加快社会信用体系的建设。《国务院办公厅关于加快推进社会信用体系建设构建以信用为基础的新型监管机制的指导意见》（2019.07.09）指出，国家要以依法依规、改革创新、协同共治为基本原则，以加强信用监管为着力点，创新监管理念、监管制度和监管方式，不断提升监管能力和水平。关于个人信用，《国务院办公厅关于加强个人诚信体系建设的指导意见》（2016.12.23）等法律文件亦强调了个人诚信体系建设和个人信用水平提高等。

值得注意的是，《规定》第十五条、第二十九条规定，网络信息内容服务平台应当建立用户账号信用管理制度，行业组织应当推动行业信用评价体系建设。针对用户和企业建立信用管理及评价制度，体现了立法对社会信用体系建设方针的贯彻。同时提及用户账号信用、行业信用评价体系的建设，有利于推动监管机关的监管水平，促进网络信息内容治理效率的提升。（待续）