首页> 图书频道> 政法> 法学

《儿童个人信息网络保护规定》逐条解读

2026年03月09日
版权
七、《儿童 个人信息网络保护规定》逐条解读

2019年8月23日下午6点1分,国家互联网信息办公室正式发布《儿童个人信息网络保护规定》(国家互联网信息办公室令第4号),成为国家网信办2019年正式发布的第一个个人信息保护相关规定的正式版。

从2019年5月31日下午6点1分发布《国家互联网信息办公室关于〈儿童个人信息网络保护规定(征求意见稿)〉公开征求意见的通知》到今天发布正式版,时间仅仅间隔84天,可见国家网信办对于儿童个人信息保护的高度重视。

《儿童个人信息网络保护规定》全文共29条,系统地规定了应设置儿童专门用户协议、指定专人负责、征得儿童监护人同意、加密存储和最小授权访问等儿童个人信息保护要求,相较于14周岁以上的未成年人和成年人,其各项要求均更加严格。接下来将先行通过与征求意见稿重点变化对比方便大家快速掌握正式版的变化(文末附逐条对比表格),接着对正式版进行逐条解读,帮助大家快速、全面理解本规定的内容。

七大重点变化

重点变化一:增加法规作为制定和适用依据

《儿童个人信息网络保护规定》第1条新增法规作为制定依据,并在第26条明确将《互联网信息服务管理办法》列举作为处理依据,将相关法律法规纳入处理依据,且不再明确列举适用的处罚条款,意味着儿童个人信息保护方面适用的规定范围得以进一步扩展,违反本规定的后果更加严重,需要企业予以高度重视。

重点变化二:新增不得制作、发布、传播侵害儿童个人信息安全信息要求

在网络环境下,儿童个人信息在受到侵害情况下,如被网络公开发布和传播,特别是被大量转发的情况下,因网络传播速度快、辐射范围广和影响大等特点,可能会对儿童个人信息产生广泛的影响,造成更加严重的侵害后果。因此,《儿童个人信息网络保护规定》第4条新增要求任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息,也就意味着任何主体如果制作、发布、传播侵害儿童个人信息安全的信息,都会面临相应的违规后果。

重点变化三:强化监护人对儿童个人信息保护的职责

一般来说,监护人与儿童最亲近,对儿童的影响最大,要想加强对儿童个人信息的保护,监护人认真履行监护职责必不可少。而且,很多监护人是孩子的家长,家长是孩子的第一任老师,儿童自我保护个人信息的意识和能力需要家长的教育和引导。因此,《儿童个人信息网络保护规定》第5条新增要求监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全。

重点变化四:收集使用儿童个人信息的要求从“明示同意”调整为“同意”

相较于《儿童个人信息网络保护(征求意见稿)》,《儿童个人信息网络保护规定》在第9条、第10条、第14条都将收集使用儿童个人信息“明示同意”的要求调整为“同意”。这意味着放宽了对于监护人同意的条件要求,不再要求企业必须通过监护人主动勾选或者点击同意等积极主动方式获得监护人的同意。似乎可以认为,企业可以通过网站、App等业务开展渠道设置隐私政策、通过向监护人发送邮件或者与监护人账号绑定等方式告知儿童个人信息收集使用情况并提供便捷的退出同意的选项即能满足“同意”的要求,但具体是否符合规定的要求,还有待主管部门的进一步认定和实践的进一步探索。

重点变化五:删除可不经监护人同意即收集、使用、转移、披露儿童个人信息的三种例外情形

《儿童个人信息网络保护规定》删除了《儿童个人信息网络保护(征求意见稿)》第19条对于可不经监护人同意即收集、使用、转移、披露儿童个人信息的例外情形的规定。这意味着为维护国家安全或者公共利益、为消除儿童人身或者财产上的紧急危险和法律、行政法规规定的其他情形可能都无法成为未取得监护人同意收集、使用、转移、披露儿童个人信息的豁免情形,需要企业予以关注。

重点变化六:将多处“国家网信办”调整为“网信部门”,赋予地方网信部门相应监管权力

相较于《儿童个人信息网络保护(征求意见稿)》,《儿童个人信息网络保护规定》将第22条、第24条、第25条和第26条的监管主体从“国家互联网信息办公室”调整为“网信部门”,意味着除了国家网信办以外,地方网信部门也有权受理举报、采取约谈、行政处罚等监管措施。

重点变化七:新增信息系统自动留存且无法识别属于儿童个人信息的特殊规定

《儿童个人信息网络保护规定》新增第28条关于计算机信息系统自动留存处理信息且无法识别属于儿童个人信息的特殊规定,意味着对于不需要用户主动填写和主动提供,App等业务开展渠道自动收集的用户信息,且企业采取措施进行识别但限于技术发展等原因无法识别属于儿童个人信息的,可以适用其他规定。需要指出的是,虽然该条为企业保留了作为减轻或者豁免儿童个人信息保护责任的余地,但考虑到适用情形和适用规定尚待进一步明确,建议审慎对待该条规定,不要以该条规定作为唯一的“救命符”。

接下来对《儿童个人信息网络保护规定》进行逐条解读。

第1条 为了保护儿童个人信息安全,促进儿童健康成长,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规,制定本规定。

【解读】

本条明确了《儿童个人信息网络保护规定》的立法目的和制定依据。

儿童是国家发展的未来和希望,其认知能力、危险识别能力和自我保护能力相对薄弱,在网络空间内容繁杂、违法违规收集使用个人信息问题层出不穷的形势下,更需要加强对儿童个人信息安全的保护。2019年5月28日,国家网信办在前期试点3家小视频平台上线“青少年防沉迷系统”的基础上,统筹指导14家短视频平台和4家网络视频平台统一上线“青少年防沉迷系统”,使该系统得以全面推行。在《网络安全法》和《未成年人保护法》等法律作为制定依据的基础上,《儿童个人信息网络保护规定》新增法规作为制定依据,内容更加完善、细化。本规定的正式施行,结合“青少年防沉迷系统”的全面推行,能够更好地保护儿童的健康成长,维护儿童在网络空间的合法权益。

第2条 本规定所称儿童,是指不满十四周岁的未成年人。

【解读】

本条明确了“儿童”的认定标准。

《联合国儿童权利公约》将儿童界定为18周岁以下的任何人,而本规定中“儿童”的定义参考了《刑法》中“刑事责任年龄”的划分,将无刑事责任的14周岁以下未成年人归于儿童的范围。原因主要有三,一是14周岁以下未成年人在知识、思想、价值观、世界观等均处于一个启蒙阶段,对周围事物缺乏准确的判断能力;二是14-18周岁未成年人虽然认识能力和行为能力上确与成年人存在差距,但是生理、心理已趋于成熟;三是本规定在儿童个人信息保护方面较为严格,对于网络运营者的合规负担较重,完全一刀切式将18周岁以下未成年人全部纳入儿童范围也将进一步增加网络运营者的负担。此次关于儿童定义的设计体现了立法者结合实际情况,较为灵活地平衡了实体权利保护和网络运营者的成本负担。

第3条 在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,适用本规定。

【解读】

本条明确了《儿童个人信息网络保护规定》的适用范围。

适用范围,具体包括三个要点:第一个要点,地域限制,中华人民共和国境内;第二个要点,手段限制,通过网络开展儿童个人信息相关活动。根据《网络安全法》第76条第1项规定,网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统;第三个要点,具体适用情形,收集、存储、使用、转移、披露儿童个人信息等活动。也就是说,涉及儿童个人信息全生命周期的保护均适用本规定。

第4条 任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。

【解读】

本条明确了禁止制作、发布、传播侵害儿童个人信息安全信息的要求。

在网络环境下,儿童个人信息在受到侵害情况下,如被网络公开发布和传播,特别是被大量转发的情况下,因网络传播速度快、辐射范围广和影响大等特点,可能会对儿童个人信息产生广泛的影响,造成更加严重的侵害后果。因此,本条新增要求任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息,也就意味着任何主体如果制作、发布、传播侵害儿童个人信息安全的信息,都会面临相应的违规后果。

第5条 儿童监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全。

【解读】

本条明确了监护人的正确履职、教育引导和保护儿童个人信息安全的要求。

一般来说,监护人与儿童最亲近,对儿童的影响最大,要想加强对儿童个人信息的保护,监护人认真履行监护职责必不可少。而且,很多监护人是孩子的家长,家长是孩子的第一任老师,儿童自我保护个人信息的意识和能力需要家长的教育和引导。因此,本条新增要求监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全。

第6条 鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等,加强行业自律,履行社会责任。

【解读】

本条明确了加强行业自律的要求。

作为政府监管的有益补充,行业自律的加强,有利于更好地推动行业内网络运营者制定儿童个人信息保护的行业规范、行为准则等。各行业协会可以根据《网络安全法》《未成年人保护法》《互联网信息服务管理办法》等相关法规和本规定,组织制定适用于本行业的儿童个人信息保护规范和行为准则。

第7条 网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。

【解读】

本条明确了儿童信息保护的原则。

在《网络安全法》明确收集使用个人信息应遵循“合法、正当、必要”原则的基础上,本条进一步提出了“知情同意、目的明确、安全保障、依法利用”的原则要求。根据《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。为了突出对儿童个人信息的保护,本规定从遵循的基本原则方面就提出了更高的要求。

第8条 网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。

【解读】

本条明确了网络运营者设置专门的儿童信息保护规则、用户协议和专人负责儿童个人信息保护的要求。

从网络运营者设置专门的儿童信息保护规则、用户协议看,专门的儿童个人信息保护规则在《个人信息安全规范(征求意见稿)》已有相关规定,专门适用于儿童的用户协议则为首次提出。《个人信息安全规范(征求意见稿)》附录B指出“通常情况下,14岁以下(含)儿童的个人信息……属于个人敏感信息”,附录D隐私政策模板中要求设置“我们如何处理儿童的个人信息”版块并明确了相关内容要求。目前主流的互联网公司,大多已经在其隐私政策中明确了如何处理儿童个人信息的内容;设置专门的儿童用户协议,则为网络运营者提出了新的要求,在现有用户协议基础上,需要额外设置儿童用户协议。需要注意的是,相较于《儿童个人信息网络保护(征求意见稿)》,本条删除了“适用于儿童的用户协议应当简洁、易懂”的要求,但结合《个人信息安全规范》及其征求意见稿和App专项治理相关要求,建议用户协议仍然要保障内容的易读性,不可晦涩难懂。

从专人负责儿童个人信息保护的要求看,主要在于保障更好地推动和落实儿童个人信息保护。相较于《儿童个人信息网络保护(征求意见稿)》,本条删除了要求个人信息保护专员负责儿童个人信息保护的规定,而只保留要求指定专人负责儿童个人信息保护,不再在本规定暗含设置个人信息保护专员的要求。

第9条 网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。

【解读】

本条明确了网络运营者收集使用儿童个人信息应征得儿童监护人同意的要求。

本条沿用了《App违法违规认定方法(征求意见稿)》第7条第1款和《数据安全管理办法(征求意见稿)》第12条要求收集使用儿童个人信息应征得其监护人同意的要求。《App违法违规认定方法(征求意见稿)》第7条第1款将“未经监护人同意,收集使用14周岁以下(含)未成年人个人信息”纳入违法违规情形。《数据安全管理办法(征求意见稿)》第12条规定,收集14周岁以下未成年人个人信息的,应当征得其监护人同意。本条明确了告知监护人的方式必须显著、清晰,保障了监护人的知情权,这意味着不得通过隐蔽、模糊展示等方式影响对监护人的有效告知。此外,相较于《儿童个人信息网络保护征求意见稿》,本条在“收集、使用”之外将“转移、披露”儿童个人信息也纳入告知监护人并征得同意的范围,对儿童个人信息全生命周期的保护得以完善。

特别值得注意的是,相较于《儿童个人信息网络保护(征求意见稿)》,本条、第10条、第14条都将收集使用儿童个人信息“明示同意”的要求调整为“同意”。这意味着放宽了对于监护人同意的条件要求,不再要求企业必须通过监护人主动勾选或者点击同意等积极主动方式获得监护人的同意。似乎可以认为,企业可以通过网站、App等业务开展渠道设置隐私政策、通过向监护人发送邮件或者与监护人账号绑定等方式告知儿童个人信息收集使用情况并提供便捷的退出同意的选项即能满足“同意”的要求,但具体是否符合本规定的要求,还有待主管部门的进一步认定和实践的进一步探索。

第10条 网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项:

(一)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;

(二)儿童个人信息存储的地点、期限和到期后的处理方式;

(三)儿童个人信息的安全保障措施;

(四)拒绝的后果;

(五)投诉、举报的渠道和方式;

(六)更正、删除儿童个人信息的途径和方法;

(七)其他应当告知的事项。

前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的同意。

【解读】

本条明确了网络运营者征得同意应提供拒绝选项、明确告知收集使用规则和实质变化后再次征得同意的要求。

从网络运营者征得同意应同时提供拒绝选项看,主要在于保障用户自主选择的权利。《APP自评估指南》评估点第23点要求“APP收集个人信息前应提供由用户主动选择同意或不同意的选项……”本条与前述评估点的思路保持一致。

从明确告知收集使用规则看,在《网络安全法》第41条、《App违法违规认定方法(征求意见稿)》第2条和《数据安全管理办法(征求意见稿)》第8条的基础上,本条提出了收集使用儿童个人信息应告知的重点内容。值得注意的是,本条第5项删除了《儿童个人信息网络保护(征求意见稿)》对个人信息保护专员或者其他联系方式的明确告知要求,代之以“投诉、举报的渠道和方式”,意味着一直为企业所担心的公布个人信息保护专员或者其他个人联系方式会因人员变动、个人联系方式公开可能被骚扰等问题得以解决。此外,新增第6项告知要求,即告知“更正、删除儿童个人信息的途径和方法”,强化了对儿童个人信息主体权利的保障,方便儿童监护人根据本规定第19条、第20条要求更正、删除儿童个人信息。

从告知事项发生实质变化后应再次征得同意的要求看,主要在于强调动态的儿童个人信息保护。随着市场环境、用户需求等的变化,网络运营者的业务发展方向等相关情况可能随之发生变化。在发生实质性变化的情况下,原有的儿童监护人对儿童个人信息的同意已经无法满足现有的需求。本条要求再次征得监护人的同意,有利于在重点告知事项发生实质性变化的情况下动态保护儿童个人信息。

第11条 网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。

【解读】

本条明确了网络运营者收集儿童个人信息的合法性和必要性要求。

本条在《网络安全法》第41条对收集个人信息要求的基础上,针对儿童个人信息保护提出了细化要求。《网络安全法》第41条规定……网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息……《App违法违规认定方法(征求意见稿)》第3条第9项和第4条也明确了收集个人信息的合法性和必要性要求。本条作为针对儿童个人信息保护的细化要求,强调网络运营者实际收集的儿童个人信息应为实现现有业务功能和服务所必需,并严格按照法律、法规和双方的约定收集儿童个人信息。需要指出的是,相较于《儿童个人信息网络保护(征求意见稿)》,本条将“用户协议的约定”调整为“双方的约定”,与《网络安全法》第41条的表述保持一致,拓宽了约定的适用范围,意味着用户协议、邮件约定、隐私政策等涉及双方约定的内容均可纳入约束企业收集儿童个人信息的要求。

第12条 网络运营者存储儿童个人信息,不得超过实现其收集、使用目的所必需的期限。

【解读】

本条明确了存储儿童个人信息的最小化期限要求。

在《数据安全管理办法(征求意见稿)》第20条的基础上,本条主要沿用了《个人信息安全规范(征求意见稿)》第6.1条关于个人信息保存时间的规定,对儿童个人信息保护的最小化期限要求进行了明确。《数据安全管理办法(征求意见稿)》第20条规定,网络运营者保存个人信息不应超出收集使用规则中的保存期限……而《个人信息安全规范(征求意见稿)》第6.1条则明确规定“个人信息保存期限应为实现个人信息主体授权使用的目的所必需的最短时间,法律法规另有规定或者个人信息主体另行同意的除外”。本条采用实现收集、使用目的所必需的期限,与前述《个人信息安全规范(征求意见稿)》第6.1条的思路更相近,且没有留下例外情形,体现出对儿童个人信息存储的更严格的最小化期限要求。对于网络运营者而言,一旦超出收集、使用目的所必需的期限存储儿童个人信息,将很难证明其合法性和必要性。此外,相较于《儿童个人信息网络保护(征求意见稿)》,本条将“必须”改为“必需”,措辞更加严谨。

第13条 网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。

【解读】

本条明确了存储儿童个人信息的信息安全要求。

在《网络安全法》第21条的基础上,本条主要沿用了《数据安全管理办法(征求意见稿)》第19条和《个人信息安全规范(征求意见稿)》第6.3a)条的思路,强调采取加密等措施存储儿童个人信息。《网络安全法》第21条规定,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务……(四)采取数据分类、重要数据备份和加密等措施……《数据安全管理办法(征求意见稿)》第19条规定,网络运营者应当参照国家有关标准,采用数据分类、备份、加密等措施加强对个人信息和重要数据的保护。《个人信息安全规范(征求意见稿)》第6.3a)条规定,传输和存储个人敏感信息时,应采用加密等安全措施。

值得注意的是,虽然本条并未明确网络运营者在采取前述措施时应参照的具体国家标准,但结合《网络安全法》第21条要求网络运营者履行安全保护义务应基于网络安全等级保护制度的要求,我们理解,网络运营者实际执行本条过程中,应重点参照最新发布的《网络安全等级保护基本要求》( GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)和《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)等网络安全等级保护制度系列国家标准,履行对个人信息特别是儿童个人信息的安全保护义务。

第14条 网络运营者使用儿童个人信息,不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人的同意。

【解读】

本条明确了使用儿童个人信息的范围限制和动态限制。

从范围限制看,本条沿用了《网络安全法》第41条的思路,参考了《数据安全管理办法(征求意见稿)》第22条的规定,明确了使用儿童个人信息的范围限制。《网络安全法》第41条规定……网络运营者……不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。《数据安全管理办法(征求意见稿)》第22条规定,网络运营者不得违反收集使用规则使用个人信息。本条对使用儿童个人信息保护的范围限制,与前述条款思路基本一致。

从动态限制看,相较于《儿童个人信息网络保护(征求意见稿)》的“明示同意”要求,本条沿用了《数据安全管理办法(征求意见稿)》第22条的规定,强调征得儿童监护人的“同意”。《数据安全管理办法(征求意见稿)》第22条规定,因业务需要,确需扩大个人信息使用范围的,应当征得个人信息主体同意。此处使用的是“同意”,而非“明示同意”。此外,本条将《儿童个人信息网络保护(征求意见稿)》要求的“约定”调整为“法律、行政法规的规定和双方约定”,措辞更加严谨,适用范围得以更好的明确。

第15条 网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。

【解读】

本条明确了儿童个人信息的访问控制要求。

本条主要沿用了《个人信息安全规范(征求意见稿)》第7.1条“个人信息访问控制措施”和第10.2条“个人信息处理活动记录”的要求,明确了对于儿童个人信息访问控制的经审批访问、最小授权原则和记录处理活动的要求,主要防止“内鬼”违规窃取、对外提供和泄露儿童个人信息。具体理解本条,需要进一步说明两个问题:

第一个问题,经审批访问。与《个人信息安全规范(征求意见稿)》第7.1c)条要求重要操作设置内部审批流程、d)条要求超权限处理个人信息才需由个人信息保护责任人或个人信息保护工作机构进行审批不同,本条对于儿童个人信息的访问审批要求,未区分是否为重要操作,也未区分是否超权限处理,只要访问儿童个人信息,均需经过儿童个人信息保护负责人或者其授权的管理人员审批。

第二个问题,“最小授权”的理解,参照《个人信息安全规范(征求意见稿)》第7.1a)条,即访问职责所需的最少够用的个人信息,且仅具备完成职责所需的最少的数据操作权限。

第16条 网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。

前款规定的受委托方,应当履行以下义务:

(一)按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息;

(二)协助网络运营者回应儿童监护人提出的申请;

(三)采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈;

(四)委托关系解除时及时删除儿童个人信息;

(五)不得转委托;

(六)其他依法应当履行的儿童个人信息保护义务。

【解读】

本条明确了儿童个人信息的委托处理要求。

本条主要沿用了《个人信息安全规范(征求意见稿)》第8.1条“委托处理”的要求,明确了网络运营者进行安全评估、签署委托协议和受委托方应当履行的义务要求。

从网络运营者的角度,需要进行安全评估和签署委托协议。“安全评估”的评估对象主要是受委托方和委托行为,评估内容主要是是否在儿童监护人授权范围、受委托方是否具备适当的数据安全能力以及发生儿童个人信息泄露、损毁和丢失的风险等。“签署委托协议”,旨在强调通过协议明确双方责任、处理事项、处理期限、处理性质和目的等,构成对受委托方的有效约束,也一定程度上能够作为网络运营者豁免责任或减轻责任的证明。

从受委托方的角度,需要遵循委托协议的约定,并履行本条约定的六项义务要求。其中,需要指出的是,第4项要求“委托关系解除时及时删除儿童个人信息”,使用的措辞是“及时删除”,没有留下允许“匿名化处理”的口子,受委托方需要对此予以关注。此外,相较于《儿童个人信息网络保护(征求意见稿)》,本条在“按照网络运营者的要求”之外增加“法律、行政法规的规定”要求,进一步明确了受委托方处理儿童个人信息应遵循的要求,需要予以注意。

第17条 网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估。

【解读】

本条明确了转让儿童个人信息需进行安全评估的要求。

本条沿用了《网络安全法》第42条“未经被收集者同意,不得向他人提供个人信息”的要求。需要指出的是,相较于《儿童个人信息网络保护(征求意见稿)》,本条删除了“征得儿童监护人的明示同意”要求,但并非不要征得监护人的同意,而是将该要求统一规定至本规定第9条。具体理解本条,需要进一步探讨两个问题:

第一个问题,怎么理解“转移儿童个人信息”中的“转移”。《个人信息安全规范(征求意见稿)》第3.11条对“转让”的定义为“将个人信息控制权由一个控制者向另一个控制者转移的过程”。我们理解,本条规定的“转移”与该条规定的“转让”无实质性区别,宜作同义理解。而且,从安全评估和征得同意的规定看,本条与《个人信息安全规范(征求意见稿)》第8.2a)条、b)条对个人信息转让要求的思路相近,也能说明将“转移”与“转让”作同义理解具有合理性。

第二个问题,“安全评估”。安全评估的主体,可以是网络运营者自行评估,也可以委托第三方机构进行评估;安全评估的标准,可以参考《个人信息安全影响评估指南(征求意见稿)》。

第18条 网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。

【解读】

本条明确了不得披露儿童个人信息的原则要求和例外情形。

本条主要沿用了《个人信息安全规范(征求意见稿)》第8.4条“个人信息公开披露”的要求。与该条一致的是,儿童个人信息原则上也是不得披露;比该条进一步细化的是,本条明确了例外的具体情形,即从“经法律授权或具备合理事由确需公开披露”细化为“法律、行政法规规定应当披露或者根据与儿童监护人的约定需要披露”。此外,相较于《儿童个人信息网络保护(征求意见稿)》未要求披露儿童个人信息需征得监护人同意,本规定在第9条要求披露儿童个人信息需征得监护人同意,内容得以完善。

第19条 儿童或者其监护人发现网络运营者收集、存储、使用、披露的儿童个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。

【解读】

本条明确了更正错误儿童个人信息的权利要求。

本条沿用了《网络安全法》第43条更正错误个人信息的要求。《网络安全法》第43条规定“……发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以……更正”。

本条增加了“及时”的要求,并将“使用、披露”儿童个人信息存在错误的情形纳入,强调了对更正儿童个人信息更为紧迫的时间要求,扩展了儿童个人信息更正权的适用范围,有利于有效降低在不同情形下因儿童个人信息错误对儿童产生的负面影响。

第20条 儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的,网络运营者应当及时采取措施予以删除,包括但不限于以下情形:

(一)网络运营者违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露儿童个人信息的;

(二)超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的;

(三)儿童监护人撤回同意的;

(四)儿童或者其监护人通过注销等方式终止使用产品或者服务的。

【解读】

本条明确了儿童或其监护人在特定情况下享有对其个人信息进行删除的权利。

《网络安全法》第43条赋予用户对其个人信息进行更正、删除的权利。《个人信息安全规范(征求意见稿)》第7.8条关于个人信息删除的规定明确了个人信息主体在个人信息控制者违反法律法规或违反与个人信息主体的约定,收集、使用个人信息的,个人信息主体有权要求个人信息控制者及时删除其个人信息;《个人信息安全规范(征求意见稿)》第7.10条关于个人信息主体注销账户的规定明确了个人信息主体注销账户后,个人信息控制者应及时删除其个人信息或做匿名化处理。

本条第1款和第4款规定的情形与《个人信息安全规范(征求意见稿)》第7.8条和第7.10条规定的情形大体一致。本条新增了第2款和第3款作为儿童或其监护人要求网络运营者删除其个人信息的特定情形,一是超出范围或必要性对儿童个人信息进行处理,二是儿童监护人撤回同意。根据新增的两款内容,特别是第3款“监护人撤回同意的”,实质上赋予了儿童或其监护人对于儿童个人信息享有更广泛的删除权,即当儿童或其监护人认为确有必要时,即可根据本条内容,要求网络运营者删除儿童个人信息,对儿童个人信息给予充分保证。

此外,本条将“披露”儿童个人信息纳入删除权的适用范围,进一步保障了在披露儿童个人信息情形下监护人删除权的行使。

第21条 网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。

【解读】

本条明确了网络运营者在发生数据安全事件时的应急处置要求。

本条是对《网络安全法》第25条、第42条第2款的细化并结合《个人信息安全规范(征求意见稿)》第9条的规定,明确了网络运营者发现儿童个人信息发生或可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施,若造成或可能造成严重后果的,应及时向监管部门报告并将事件情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。关于严重后果,可以结合《国家网络安全事件应急预案》等有关规定的判定标准进行判定。

第22条 网络运营者应当对网信部门和其他有关部门依法开展的监督检查予以配合。

【解读】

本条明确了网络运营者配合有关部门开展监督检查的义务。

本条主要是对《网络安全法》第49条内容的呼应,明确网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。

值得注意的是,相较于《儿童个人信息网络保护(征求意见稿)》,本条、第24条、第25条和第26条的监管主体从“国家互联网信息办公室”调整为“网信部门”,意味着除了国家网信办外,地方网信部门也有权受理举报、采取约谈、行政处罚等监管措施。

第23条 网络运营者停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。

【解读】

本条明确了网络运营者停止运营后的责任。

本条与《个人信息安全规范(征求意见稿)》第6.4条关于个人信息控制者停止运营的规定基本一致,将“个人信息”替换为“儿童个人信息”,但是从部分措辞明显可以看出相关部门对儿童个人信息采取更为严格的保护措施。一是本条强调了网络运营者停止运营其产品或服务时,应“立即停止”收集儿童个人信息的活动,而不是《个人信息安全规范(征求意见稿)》第6.4条规定的“及时停止”;二是网络运营者应删除其持有的儿童个人信息,第6.4条规定的匿名化处理方式被删除。

第24条 任何组织和个人发现有违反本规定行为的,可以向网信部门和其他有关部门举报。

网信部门和其他有关部门收到相关举报的,应当依据职责及时进行处理。

【解读】

本条明确了公众向有关部门举报的渠道及相关部门收到举报的处理。

从公众向有关部门举报的渠道角度看,任何组织和个人发现有违反本规定行为的,可以向网信部门和其他有关部门举报,这里的“其他有关部门”参照《网络安全法》第14条公众对危害网络安全行为的举报渠道,宜理解为包括“电信、公安等部门”。

从相关部门收到举报的处理角度看,有关部门“应当依据职责进行处理”包括两个要点,一是属于本部门职责的,应当依法及时作出处理;二是不属于本部门职责的,应当及时移送有权处理的部门。

值得注意的是,本条并未对举报人的信息保护进行说明,根据《网络安全法》第14条的规定,“有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益”,本规定下亦应按照《网络安全法》的规定,对举报人的信息予以保密保护。

第25条 网络运营者落实儿童个人信息安全管理责任不到位,存在较大安全风险或者发生安全事件的,由网信部门依据职责进行约谈,网络运营者应当及时采取措施进行整改,消除隐患。

【解读】

本条明确了网信部门对网络运营者的主动监管职责。

根据《网络安全法》第56条的规定,“省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患”。本条是对《网络安全法》第56条内容的升级版,与《数据安全管理办法(征求意见稿)》第33条思路更为一致。一方面将监管的主体从“省级以上人民政府有关部门”直接调整至“网信部门”,监管主体范围拓宽,显示出国家对于儿童个人信息安全的重视;另一方面对网络运营者对约谈的反馈更为严格,从“应当按照要求采取措施,进行整改,消除隐患”提升至“应当按照约谈要求及时采取措施,进行整改,消除隐患”,新增了对网络运营者反馈的及时性要求。

第26条 违反本规定的,由网信部门和其他有关部门依据职责,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规规定处理;构成犯罪的,依法追究刑事责任。

【解读】

本条明确了网络运营者违反本规定的法律责任。

本条明确将《互联网信息服务管理办法》列举作为处理依据,并将相关法律法规纳入处理依据,且不再明确列举适用的处罚条款,意味着儿童个人信息保护方面适用的规定范围得以进一步扩展,违反本规定的后果更加严重,需要企业予以高度重视。

第27条 违反本规定被追究法律责任的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

【解读】

本条明确了网络运营者违反本规定除需要承担法律责任外,还会影响其信用档案。

一般情况下,网络运营者违反个人信息保护的相关规定主要需要承担行政、刑事等法律责任,本规定在运用法律责任调整网络运营者行为的同时,还发挥了“市场”的调节作用,新增了“将网络运营者违反本规定的行为记入信用档案,并予以公示”作为对网络运营者违反本规定的惩罚措施之一。众所周知,信用档案是企业信用状况的真实体现,是普通大众进行消费的指南,也是交易决策和企业获得融资、投资的重要参考,将儿童的个人信息保护与信用档案挂钩,能够从商业角度影响网络运营者的经营管理,增加网络运营者的违规成本,从而能督促网络运营者开展合规运营。

第28条 通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的,依照其他有关规定执行。

【解读】

本条明确了儿童个人信息保护的除外情形。

从具体适用条件看,需要满足两个条件:条件一、通过计算机信息系统自动留存处理信息,也就是说不需要用户主动填写和主动提供,App等业务开展渠道自动收集用户信息;条件二、无法识别所留存处理的信息属于儿童个人信息,也就是说采取了措施识别但限于现有技术等原因无法识别出儿童个人信息。

从适用规定看,依照其他有关规定执行,保留了弹性的适用空间。具体指向哪些规定,有待主管部门的进一步明确。

综合来看,本条为企业保留了减轻或者豁免儿童个人信息保护责任的余地,但考虑到适用情形和适用规定尚待进一步明确,建议审慎对待本条,不要将本条规定作为唯一的“救命符”。

第29条 本规定自2019年10月1日起施行。

【解读】

本条明确了《儿童个人信息网络保护规定》正式生效的具体时间。

意味着在本规定正式生效前企业只有1个多月的合规准备时间,时间紧,任务重,需要企业高度重视并按照本规定迅速采取合规措施。

作为国家网信办2019年正式发布的第一个个人信息保护相关规定的正式版,《儿童个人信息网络保护规定》系统地规定了儿童个人信息保护的相关要求。相较于征求意见稿,其正式版变化相对可控,从预留的合规准备时间看,仅保留1个多月的合规准备时间。如果企业未提前参照征求意见稿进行基本的合规安排,面临的局面就是时间紧、任务重,需要高度重视,尽快进行合规调整,避免潜在的监管风险。