线上教育运营商数据安全责任加重——从个人信息保护视角解读六部门新规

 

作者:曾雯雯 朱宣烨 王伟 王丹阳

 

引言

2019年7月12日,教育部、中央网络安全和信息化委员会办公室(“网信办”)、工业和信息化部(“公信部”)、公安部、国家广播电视总局、全国扫黄打非工作小组(合称“六部委”)发布教基函[2019]8号《关于规范校外线上培训的实施意见》(“8号文”),从多个维度对校外线上培训活动提出了监管要求。特别的,在信息安全方面,要求按照《中华人民共和国网络安全法》(“《网络安全法》”)的要求,落实互联网平台信息数据交互及处理能力和个人信息保护制度、网络安全管理制度、安全保护技术措施、网络安全等级保护,确保信息安全。

 

一、线上教育行业及其个人信息保护现状


近年来,线上教育产业发展十分迅猛。线上教育因政策红利及市场刚需,成为投资风口,诸多线上教育平台纷纷受到资本青睐,据鲸媒体统计,2018年全年教育行业融资达196起,融资总额约117亿元。据前瞻产业研究院发布的测算数据,2019年我国线上教育市场规模将突破3000亿元。线上教育的发展,也随着技术的迭代升级,从数字化、互联网+,发展到移动+、智能+,包括信息安全、未成年人保护在内的多维度的合规要求,也给线上教育平台的运营带来了挑战。

 

以此前监管和整改发现的不合规情况为例,有多家线上教育的app缺乏未成年人隐私保护条款、未在用户协议中提到未成年人用户的相关规定;未对未成年人提供信息的场景、目的、用途以及信息类型进行列明;对学生提供个人信息的风险缺乏明确详细的提示;缺乏可操作性的防止数据泄漏的保护措施。这些无疑都存在巨大的信息安全隐患。

 

健康的商业模式,必须是合规的商业模式。以下,我们将在8号文的基础上,通过梳理涉及个人信息和隐私保护的相关法规和指引,结合监管情况,就线上教育平台涉及到的个人信息和隐私保护的相关法律风险进行分析,并提出我们的合规建议。

 

二、线上教育平台涉及个人信息和隐私保护的监管情况

 

1.2018年12月25日,教育部办公厅发布《关于严禁有害APP进入中小学校园的通知》,要求建立学习类APP进校园备案审查制度和“双审查”责任制,“凡进必审”“谁选用谁负责”“谁主管谁负责”。


2. 2018年10月,根据全国“扫黄打非”办公室要求,上海市“扫黄打非”部门对互联网站“纳米盒网”及APP“纳米盒”的违法违规经营问题进行查处,约谈该APP运营者相关负责人并要求其整改;北京市“扫黄打非”部门对“互动作业”APP违法违规经营问题进行查处,并作出行政处罚。


3. 2018年12月7日至2019年1月30日,广西壮族自治区按照全国“扫黄打非”办公室的部署和要求,开展学习类APP等移动应用程序专项整治行动,对 “作业盒子”“小猿搜题”“作业帮”“阿凡题”等8款存在付费游戏的内容的学习类APP进行关停。


4. 2019年5月27日,广东省教育厅发布《广东省面向中小学生校园学习类APP管理暂行办法》,对学习类APP实行黑灰白名单、红黄牌动态管理制度。

 

三、个人信息和隐私保护法律问题

 

  1. 个人信息和隐私保护


《网络安全法》明确规定“未经被收集者同意,不得向他人提供个人信息。”、“任何个人和组织不得窃取或者以其他非法方式获取个人信息”。


其后于2018年5月1日正式实施的《信息安全技术:个人信息安全规范》(“《个人信息安全规范》”)对《网络安全法》中有关个人信息保护的内容进一步制定了指引性标准,主要包括个人信息以及个人敏感信息的范围界定、个人信息处理的基本原则、个人信息流转环节的要求(收集、保存、使用、委托处理、共享、转让和公开披露),以及与个人信息安全事件处置有关的内控管理。《个人信息安全规范》虽非强制性国家标准,但监管部门在制定规章和规范性文件,以及监管和执法时,多参考《个人信息安全规范》。


同时,教育部办公厅2019年2月27日印发的《2019年教育信息化和网络安全工作要点》提出了研究制定教育部直属机关数据安全管理办法的工作要求,要求加强数据全生命周期管理,开展数据专项整治行动,全面排查个人信息保护存在的安全隐患。


此次8号文,则进一步明确:(1)按照“后台实名、前台自愿”的原则,经培训对象及其监护人同意后,对培训对象进行真实身份信息认证。(2)做好培训对象信息和数据安全防护,防止泄露隐私,不得非法出售或者非法向他人提供培训对象信息。(3)用户行为日志须留存1年以上。

 

2. 未成年人隐私保护


教育行业所掌握的信息中,未成年的个人信息占有很大比重。由于未成年人的特殊性,国内外对于未成年人的个人信息都给予了特殊的保护。在我国,未成年人(尤其是儿童)个人信息的系统保护制度正在逐步建立过程中。

目前有关我国关于未成年人个人信息保护的有关规定分散在各种法律文件中。其中《民法总则》、《网络安全法》和《未成年人保护法》对未成年人个人信息的保护还集中隐私保护方面;而直接规制未成年人个人信息且已经生效的规范,见于《个人信息保护安全规范》在5.5“收集个人敏感信息时的明示同意”一节项下。该规范规定,“收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意,不满14周岁的,应征得其监护人的明示同意”。


2019年6月,国家网信办发布了《儿童个人信息网络保护规定(征求意见稿)》,其中提到了设置专门的儿童个人信息保护规则和用户协议;设立个人信息保护专员或者指定专人负责儿童个人信息保护;超出目的和范围使用时,应当再次征得儿童监护人的明示同意的制度;紧急预案制度等。


尽管目前我国对于未成年人个人信息保护的法规仍待完善,但是可以预见,在不久的将来,关于未成年人个人信息保护的力度会进一步加强。

 

3. 等级保护(“等保”)


此次8号文明确规定:应落实网络安全等级保护制度,要求线上培训机构备案提交网络安全等级保护定级备案的证明。因此,等保也是线上教育平台信息安全合规的重中之重。


自2007年《信息安全等级保护管理办法》发布、等保制度开始施行以来,教育行业是为数不多的、主管部门发文要求行业主体开展登记保护工作的领域。此后,2009年《教育部办公厅关于开展信息系统安全等级保护工作的通知》、2011年《教育部办公厅关于进一步加强网络信息系统安全保障工作的通知》等相关文件,体现出教育行业等级保护制度的如下特点:


1)双管制:实行教育部和公安部的共同管理。


具体体现为:(1)四步流程。“自主定级、专家评审、主管部门审批、公安机关审核”的步骤,参照教育信息系统定级有关规范开展定级备案工作;(2)双备案制度。高校及地市级以上教育行政部门三级以上的信息系统要在教育部教育管理信息中心和当地公安部门同时办理备案手续;(3)教育部教育管理信息中心(教育信息安全等级保护测评中心)作为公安部批准的教育行业信息安全等级保护测评专业机构。


2)定期进行安全等级评测。


对三级教育信息系统每年进行一次安全等级测评,四级教育信息系统每半年进行一次等级测评。


2016年出台的《网络安全法》把等保制度提到了法律的层面,而且从信息安全等级保护的等保1.0时代,迈向了网络安全等级保护的等保2.0时代。同时,公安部、中央网信办、国家保密局、国家密码管理局联合起草的《网络安全等级保护条例》(征求意见稿)发布、《网络安全等级保护测评机构管理办法》等国家标准的发布及一系列国家标准进入修订程序,也说明了等保2.0时代的到来。


此外,2019年2月27日发布的《2019年教育信息化和网络安全工作要点》也要求深入落实网络安全等级保护制度的要求,持续推进网络安全检测预警通报机制。具体的操作细节有待配套措施的出台。

 

4. 数据出境


线上教育最大的优势是突破国界,链接教、学两端,把优质教育项目推向国际教育市场。在此过程中若数据收集、传输、存储等环节涉及到数据出境,就应重点关注数据出境的合规要求。


针对数据出境,网信办会同相关部门起草的《个人信息和重要数据出境安全评估办法(征求意见稿)》、信安标委公布的《信息安全技术 数据出境安全评估指南(征求意见稿)》、《信息安全技术 个人信息安全规范(草案)》、《个人信息出境安全评估办法(征求意见稿)》等均作出了界定。一言以概之,数据出境(data cross-border transfer)是指网络运营者(即网络的所有者、管理者和网络服务提供者)通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。


除此之外,以下情形也被视为数据出境:(1)向本国境内但不属于本国司法管辖或未在境内注册的主体提供个人信息;(2)数据虽未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页访问除外);(3)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息的。


另外,此次8号文规定各部门将于2019年12月底前完成对线上教育的排查,并对存在的问题提出整改意见,并限定了整改期限。对逾期未完成整改或整改不到位的校外线上培训机构,省级教育行政部门将联合网信、电信、公安等部门进行查处,视情节暂停或停止培训平台运营、下架培训应用、关闭微信公众号(小程序)、依法进行经济处罚等。因此,涉及到上述合规风险和问题的线上教育平台应立即着手进行合规审查,刻不容缓。

 

四、域外司法辖区监管问题


在教育人员、教育内容国际化,跨境教育融合的趋势下,部分线上教育势必涉及到收集、使用欧盟、美国或其它司法辖区居民的个人信息,例如:(1)向其它司法辖区的居民提供线上教育内容和服务并收集此类数据主体的个人数据;或(2)收集、使用其它司法辖区的培训人员个人基本信息(例如境外外籍人员提供姓名、照片、学习和工作经历、教学资质证书等)。上述行为均可能受该等司法辖区个人信息保护和未成年人保护等的监管,若不遵守相应法规,将导致高额处罚和商誉的贬损。