解读《儿童个人信息网络保护规定》

《儿童个人信息网络保护规定》

（国家互联网信息办公室令第4号，以下简称《规定》）

将于10月1日起正式施行，

针对中华人民共和国境内

通过网络收集、存储、使用、

转移、披露不满十四周岁的儿童

个人信息进行规范。

国家网信办发布《儿童个人信息网络保护规定》 网站收集儿童信息应经监护人同意

       国家互联网信息办公室23日发布《儿童个人信息网络保护规定》。规定自2019年10月1日起施行，并明确任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。

       规定指出，网络运营者应当设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护。

       根据规定，儿童监护人应当正确履行监护职责，教育引导儿童增强个人信息保护意识和能力，保护儿童个人信息安全。网络运营者收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意。

       网络运营者征得同意时，应当同时提供拒绝选项，并明确告知收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围；儿童个人信息存储的地点、期限和到期后的处理方式；儿童个人信息的安全保障措施；拒绝的后果；投诉、举报的渠道和方式；更正、删除儿童个人信息的途径和方法等事项。

       规定还提出，网络运营者落实儿童个人信息安全管理责任不到位，存在较大安全风险或者发生安全事件的，由网信部门依据职责进行约谈，网络运营者应当及时采取措施进行整改，消除隐患。违反该规定的，由网信部门和其他有关部门依据职责，根据网络安全法等相关法律法规规定处理；构成犯罪的，依法追究刑事责任。

       《规定》进一步充实了我国儿童个人信息网络保护的法律依据，标志着我国儿童个人信息保护工作正式进入轨道。作为国内第一部专门规范儿童个人信息网络保护的规定，有很多值得关注的地方。

八大亮点

【亮点一：首部立法】

       《规定》是我国首部规定儿童个人信息网络保护的专门立法。与成年人相比，儿童心智发育尚不完全，在通过网络参与的活动中更极易泄露个人信息，而且儿童对于自己的行为性质和行为后果均缺乏必要的判断和识别能力，个人信息关系到其切实利益和健康成长，因此相关保护工作尤为重要，需要予以特别保护。

       此前，我国涉及儿童个人信息网络保护的规定分散于不同的法律文件中，缺乏专门性保护立法。没有对儿童个人信息网络保护作出合理的制度安排，立法规定之间也缺乏整合与协调，法律法规体系的不健全制约了儿童网络环境治理，导致儿童个人信息网络保护力度不足。因此，《规定》的出台对保护儿童个人信息安全以及为儿童营造一个健康的数字成长环境意义重大。

【亮点二：儿童定义】

       《规定》第二条明确了儿童的定义，即不满十四周岁的未成年人。《规定》参考了《刑法》中对刑事责任年龄的划分标准，《刑法》规定不满十四周岁的人不管实施何种危害社会的行为，都不负刑事责任，为完全不负刑事责任年龄。

       可见，此次关于保护对象的规定体现出了立法者充分考虑我国行业发展诉求和现况。《规定》中对儿童个人信息网络保护的制度设计同时符合产业发展和权利保护的需要，实现了双重立法宗旨。

【亮点三：严格范围】

       《规定》采用了属地管辖原则，以特定行为作为规制的对象，即只要在我国境内，通过网络这一载体对儿童个人信息从事了收集、存储、使用、转移、披露等涉及数据生命周期的任何一种行为，就要适用本《规定》。

       《网络安全法》对“网络”的内涵已经进行了界定，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

【亮点四：明确原则】

       《规定》明确了儿童个人信息网络保护的五大原则。儿童个人信息网络保护原则是指贯穿于儿童个人信息网络保护各个阶段的指导原理和准则。明确儿童个人信息网络保护原则，不仅可以规范网络运营者在儿童个人信息收集、使用、转移、披露等环节中的义务和责任，也有助于保障儿童的个人信息权利。在立法中明确个人信息保护保护原则，也是国际立法惯例。

       《规定》在我国已有的相关原则的基础之上，充分吸收、借鉴域外的相关立法经验，同时考虑到我国的产业实践与国际差异，明确了儿童个人信息网络保护的正当必要、知情同意、目的明确、安全保障、依法利用五大原则。

【亮点五：知情同意】

       这次立法者在《规定》中对知情同意原则进一步明确和细化，要求网络运营者收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意；征得同意时同时提供拒绝选项；明确告知儿童个人信息的存储地点和到期后的处理方式、安全保障措施等事项；告知事项发生实质性变化时，需要再次征得儿童监护人的同意；因业务需要，确需超出约定的目的、范围使用儿童个人信息的，应当征得儿童监护人的同意。

【亮点六：特殊保护】

       儿童是特殊群体，需要给予特殊保护。《规定》在以下五大制度的设计上体现出了对儿童个人信息进行特殊保护的理念。

       一是设置儿童信息保护规则、用户协议和专人负责儿童个人信息网络保护的要求。

       二是内部访问权限要求。

       三是安全评估的要求。

       四是不得披露儿童个人信息。

       五是删除权的特别规定。

【亮点七：协同共治】

亮点

       真正实现儿童个人信息网络保护是多方参与、齐抓共管的过程，既依赖于法律规范、政府监管，也依赖于儿童监护人、行业组织以及社会公众在其中发挥的作用。

       在儿童监护人层面，《规定》要求儿童监护人应当正确履行监护义务，教育引导儿童增强个人信息网络保护意识和能力，保护儿童个人信息安全。

       在行业组织层面，《规定》鼓励互联网行业组织指导推动网络运营者制定儿童个人信息网络保护的行业规范、行为准则等，加强行业自律，履行社会责任。

       在社会公众层面，《规定》规定任何组织或者个人发现有违法《规定》的行为，可以向网信部门和其他有关部门举报。通过规定儿童监护人教育引导、行业自律以及公众监督相结合的综合管理体制，有利于确保对儿童个人信息网络保护达到最大、最好的社会效果。

【亮点八：法律衔接】

       《规定》属于部门规章，根据《立法法》第八十条的规定，部门规章规定的事项应当属于执行法律或者国务院的行政法规、决定、命令的事项。《规定》在制定的过程中，注意到了立法依据和立法权限的问题，进一步具体化、明确化《网络安全法》《未成年人保护法》《互联网信息服务管理办法》等法律、行政法规中对未成年人保护和个人信息保护规定的较为模糊的内容，包括明确了同意的要求、具体的告知事项、数据泄露应急措施、安全保障等规定，以解决我国儿童个人信息网络保护法律制度规定不健全的问题。