律谈|教师微信群发儿童照片在欧盟被罚:随手将儿童个人信息发布在微信群上的风险
观点/研究- 原创
- 广东盈隆律师事务所
- 刊載日
- 2021-05-12
01
西班牙某文化协会使用微信群发儿童照片在欧盟被罚
西班牙的数据保护机关(AEPD)于2021年3月发布了一份处罚文书,对西班牙的一家文化协会违反欧盟《通用数据保护条例》(GDPR)的规定,违法处理儿童个人信息的行为处以3000欧元的罚款。
根据该处罚文书,在西班牙注册的该文化协会(该文书未公布该协会名称,尚不清楚该协会是否为我国官方或西班牙当地的华人机构注册的协会)在西班牙开设中文课,在未经家长同意的前提下,该协会的老师通过微信群发送了一名四岁儿童的照片,随后,家长要求该协会删除微信群上的照片并公开道歉,但该协会没有回应家长的要求。
之后,该四岁儿童的家长向西班牙的数据保护机关投诉称,2019年5月31日,该协会的老师未经其同意,将其孩子的照片发在三个平均有400人的微信群上,该照片上虽然是先经过编辑处理,使用贴纸遮盖了儿童的脸部位置后才发上微信群,但投诉人称其他在微信群里的家长仍可通过该照片识别出该儿童。在该儿童家长投诉要求处理该协会的行为后,西班牙的数据保护机关驳回了家长的投诉申请。随后,家长提出复议,提交文件拟证明微信群上除了该照片外,还有对该儿童的不良行为的评价。针对西班牙的数据保护机关的调查,该协会未按期答辩。
02
打码遮盖儿童面部后的照片是否属于个人信息
我国《个人信息保护法(草案)》第四条也规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
因此,一个数据/信息能否起到“识别”到具体个人是判断该数据/信息是否是个人信息的重要标准。随手拍摄的一张有儿童的整个脸部的清晰的照片,若未经妥善地打码等方式进行匿名化处理,该儿童显然能够被他人通过该照片识别,属于个人信息,因此对该照片的存储、传输、公开等处理行为属于被欧盟《通用数据保护条例》(GDPR)及我国个人信息保护方面的法律的规制对象。
本案的特殊性在于,从该案的处罚通知书来看,该教师似乎存在一定的个人信息保护的意识,对儿童照片的面部进行了打码处理后(部分照片打码后已完全遮挡面部,也存在部分照片未完全遮挡脸部),才将该照片群发至三个微信群。但家长称照片存在未完全打码遮盖住儿童的脸部的情况,且其他在微信群里的家长仍可通过该照片识别出该儿童,且在发出照片后还存在对该儿童的负面评价。
从西班牙的数据保护机关的认定来看,即使该教师采取了对儿童面部进行了打码的措施,如果未妥善充分地对照片中的儿童进行打码等处理就发布在微信群,特定的人群(如微信群中同班同学的家长等)仍可通过照片的内容可以认出这名儿童,那么该教师对照片的打码措施未被视为完成了“匿名化处理”,该教师未经儿童的父母或监护人同意群发照片的行为,为违法处理个人信息的行为。
03
在中国法下对照片匿名化处理的评价
西班牙的该案例提示在欧盟,未经家长同意,在微信等社交平台发布未完全打码的儿童照片存在未完成“匿名化”而被视为违法处理儿童个人信息的风险。类似西班牙的协会的教师的行为,在我国,尤其是在《个人信息保护法》颁布后,该如何评价呢?
首先,根据我国《个人信息保护法(草案)》第4条规定,个人信息不包括匿名化处理后的信息。也就是说,如果该教师的匿名化措施是有效的,那么其在群里发送该照片的行为即不属于个人信息的处理,不适用个人信息保护的相关规定。在本案中虽然照片中儿童脸部已经被遮挡,但是其他家长还是可以根据照片中的其它信息特定出某个儿童。那么这张照片被“匿名”了吗?
对于匿名化的定义,在我国现行的法律中还没有明确的定义。但在《个人信息保护法(草案)》及《信息安全技术个人信息安全规范(2020)》中定义如下:
*******************************************
《个人信息保护法(草案)》第69条4项:
(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。
《信息安全技术个人信息安全规范(2020)》3.14项:
匿名化 anonymization
通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。
注:个人信息经匿名化处理后所得的信息不属于个人信息。
*******************************************
两者定义虽然表述有所差异,但是内涵基本一致。需要注意的是,两个定义中都没有对识别主体的范围做出描述,因此从文面上理解的话,匿名化后的信息应该是任何一个主体都无法识别的信息,即包括某些特定的主体(如本案中的其他家长等)。所以,如果该案件发生在中国,该教师仅遮盖人物脸部的匿名化处理,也很有可能不被支持。
笔者认为,如果未取得这名四岁儿童家长或监护人同意,要实现对该儿童的个人信息(照片)的匿名化,需要对照片中涉及该儿童的全脸及面部周围进行深度覆盖,无法被认识该儿童的人识别出这张照片中包括了这名儿童,才符合个人信息的处理要求,当然这也有待《个人信息保护法》实施后的司法案例的进一步检验。这也提示,如果小学、幼儿园未取得学生家长同意,擅自在网络平台发布学生照片;商家未取得商业活动的参加者的同意,擅自在网络平台发布包含可识别参加者的活动照片,都可能被视为违法处理个人信息。
04
关于处理未成年人个人信息的取得特别同意原则
近年来,我国对儿童个人信息保护的力度在不断增大,2019年的8月23日国家互联网信息办公室出台了《儿童个人信息网络保护规定》,该规定第九条规定,“网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。”并进一步规定了针对未成年人制定专门的用户许可协议与许可程序、规则等,例如充分告知儿童及其监护人收集处理个人信息、数据的规则原则、获得儿童父母或监护人的明示授权同意以及对亲属关系、监护关系的有效性识别程序等。
在2021年4月29日发布的《个人信息保护法》(草案)第二次审议稿中,也再次明确了 “个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。”。
此外,《个人信息保护法》(草案)第二次审议稿第六十八条规定:“个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。”该审议稿明确个人信息侵权行为的归责原则为过错推定,减轻了个人信息主体的举证责任,对个人信息处理者的抗辩举证要求更高。
对于不满十四周岁未成年人个人信息,个人信息处理者需取得父母或监护人的同意,且需识别亲属关系、监护关系的有效性,这将给个人信息处理者(学校、商家等)增加合规成本,如果个人信息处理者(学校、商家等)无法做到确保已获得儿童的父母或者其他监护人的完整、充分的授权,那么存在违法处理儿童个人信息的风险。
05
本案处罚之外的思考:儿童照片被群发到微信群是不是跨境传输个人信息?
既然本案中微信群发的儿童照片被西班牙数据保护机关认定为个人信息,那么如果涉事的三个平均有400人的微信群中有成员居住在欧盟以外(如中国),该协会的老师擅自将该儿童照片发布在微信群上,群内成员在中国接收到了该群的信息,可能被视为欧盟境内产生的个人信息的跨境传输。
而对于个人信息向欧盟外的跨境传输,欧盟《通用数据保护条例》(GDPR)要求对欧盟外的接收国对个人信息的保护充分性进行评估,确定接受国具有充分的保护后,才可向该国自由流动,但我国尚未在欧盟认定的充分保护“白名单”内。因此,欧盟的个人信息只能采取GDPR中规定的“适当的保护措施”或得到数据主体(如儿童的家长或其他监护人)的明确同意后才可跨境传输,否则在情节严重的情况下,可能违反欧盟《通用数据保护条例》(GDPR)的规定,面临被处罚的风险。同样的,我国《个人信息保护法(草案)》也对个人信息的跨境传输设置了条件,《个人信息保护法》生效后,随手将个人信息发布在微信群上被境外个人或企业等接收,也可能将受到法律规制。
盈隆律师事务所TMT业务团队
盈隆律师事务所TMT(Technology Media Telecom,科技媒体通讯)业务团队紧跟粤港澳大湾区与海南自由贸易港的发展大势,深耕科技、媒体、通讯以及医药健康领域,由多名项目经验丰富的合伙人律师与资深律师集结而成。
团队致力于整合企业合规与风控、涉外法律事务、境内外投资、医疗健康产业以及“一带一路”等业务优势与项目经验,为境内外客户提供包括网络数据安全与运营合规、个人信息与隐私保护、行政审批与检查应对、跨境数据传输、智能医疗、知识产权、以及合规培训等多层次的法律服务。
盈隆律师事务所已为国内政府部门、大型企事业单位、跨国企业集团、初创科技企业等大量客户提供法律服务。团队具有丰富的法律实务经验,包括为国内省级某中外合作超级计算中心的设立与运营提供全程法律服务、承办国内某数据科技公司不正当竞争纠纷案件、为日本某物联网(IoT)行业的公司在中国的数据合规提供法律服务等。
#团队成员
特别声明:
以上所刊登的文章不代表盈隆律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请联系沟通授权事宜,并于转载时在文章开头处注明来源。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。 
联系方式:zhanghui@winlonglawfirm.com