第一条
为了保护儿童个人信息安全,促进儿童健康成长,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规,制定本规定。
【解读】
本条明确了《儿童个人信息网络保护规定》的立法目的和制定依据。
儿童是国家发展的未来和希望,其认知能力、危险识别能力和自我保护能力相对薄弱,在网络空间内容繁杂、违法违规收集使用个人信息问题层出不穷的形势下,更需要加强对儿童个人信息安全的保护。在《网络安全法》和《未成年人保护法》等法律作为制定依据的基础上,《儿童个人信息网络保护规定》新增法规作为制定依据,内容更加完善、细化。《儿童个人信息网络保护规定》的正式施行,结合“青少年防沉迷系统”的全面推行,能够更好地保护儿童的健康成长,维护儿童在网络空间的合法权益。
第二条
本规定所称儿童,是指不满十四周岁的未成年人。
【解读】
本条明确了“儿童”的认定标准。
本规定中“儿童”的定义参考了《刑法》中“刑事责任年龄”的划分,将无刑事责任的14周岁以下未成年人归于儿童的范围。此次关于儿童定义的设计体现了立法者结合实际情况,较为灵活的平衡了实体权利保护和网络运营者的成本负担。
第三条
在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,适用本规定。
【解读】
本条明确了《儿童个人信息网络保护规定》的适用范围。
适用范围,具体包括三个要点:第一个要点,地域限制,中华人民共和国境内;第二个要点,手段限制,通过网络开展儿童个人信息相关活动。根据《网络安全法》第七十六条第一项规定,网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统;第三个要点,具体适用情形,收集、存储、使用、转移、披露儿童个人信息等活动。也就是说,涉及儿童个人信息全生命周期的保护均适用本规定。
第四条
任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。
【解读】
本条明确了禁止制作、发布、传播侵害儿童个人信息安全信息的要求。
在网络环境下,儿童个人信息在受到侵害情况下,如被网络公开发布和传播,特别是被大量转发的情况下,因网络传播速度快、辐射范围广和影响大等特点的影响,可能会对儿童个人信息产生广泛的影响,造成更加严重的侵害后果。因此,《儿童个人信息网络保护规定》第四条新增要求任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息,也就意味着任何主体如果制作、发布、传播侵害儿童个人信息安全的信息,都会面临相应的违规后果。
第五条
儿童监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全。
【解读】
本条明确了监护人的正确履职、教育引导和保护儿童个人信息安全的要求。
一般来说,监护人与儿童最亲近,对儿童的影响最大,要想加强对儿童个人信息的保护,监护人认真履行监护职责必不可少。而且,很多监护人是孩子的家长,家长是孩子的第一任老师,儿童自我保护个人信息的意识和能力需要家长的教育和引导。因此,《儿童个人信息网络保护规定》第五条新增要求监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全。
第六条
鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等,加强行业自律,履行社会责任。
【解读】
本条明确了加强行业自律的要求。
作为政府监管的有益补充,行业自律的加强,有利于更好地推动行业内网络运营者制定儿童个人信息保护的行业规范、行为准则等。各行业协会可以根据《网络安全法》《未成年人保护法》《互联网信息服务管理办法》等相关法规和本规定,组织制定适用于本行业的儿童个人信息保护规范和行为准则。
第七条
网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。
【解读】
本条明确了儿童信息保护的原则。
在《网络安全法》明确收集使用个人信息应遵循“合法、正当、必要”原则的基础上,本条进一步提出了“知情同意、目的明确、安全保障、依法利用”的原则要求。根据《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。为了突出对儿童个人信息的保护,本规定从遵循的基本原则方面就提出了更高的要求。
第八条
网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。
【解读】
本条明确了网络运营者设置专门儿童信息保护规则、用户协议和专人负责儿童个人信息保护的要求。
从网络运营者设置专门的儿童信息保护规则、用户协议看,专门的儿童个人信息保护规则在《个人信息安全规范(征求意见稿)》中已有相关规定,专门适用于儿童的用户协议则为首次提出。目前主流的互联网公司,大多已经在其隐私政策中明确了如何处理儿童个人信息的内容;设置专门的儿童用户协议,则为网络运营者提出了新的要求,在现有用户协议基础上,需要额外设置儿童用户协议。从专人负责儿童个人信息保护的要求看,主要在于保障更好地推动和落实儿童个人信息保护。
第九条
网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。
【解读】
本条明确了网络运营者收集使用儿童个人信息应征得儿童监护人同意的要求。
本条明确了告知监护人的方式必须显著、清晰,保障了监护人的知情权,这意味着不得通过隐蔽、模糊展示等方式影响对监护人的有效告知。此外,在“收集、使用”之外将“转移、披露”儿童个人信息也纳入告知监护人并征得同意的范围,对儿童个人信息全生命周期的保护得以完善。
特别值得注意的是,在本条、第十条、第十四条都将收集使用儿童个人信息“明示同意”的要求调整为“同意”。这意味着放宽了对于监护人同意的条件要求,不再要求企业必须通过监护人主动勾选或者点击同意等积极主动方式获得监护人的同意。似乎可以认为,企业可以通过网站、APP等业务开展渠道设置隐私政策、通过向监护人发送邮件或者与监护人账号绑定等方式告知儿童个人信息收集使用情况并提供便捷的退出同意的选项即能满足“同意”的要求。
第十条
网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项:
(一)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;
(二)儿童个人信息存储的地点、期限和到期后的处理方式;
(三)儿童个人信息的安全保障措施;
(四)拒绝的后果;
(五)投诉、举报的渠道和方式;
(六)更正、删除儿童个人信息的途径和方法;
(七)其他应当告知的事项。
前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的同意。
【解读】
本条明确了网络运营者征得同意应提供拒绝选项、明确告知收集使用规则和实质变化后再次征得同意的要求。
从网络运营者征得同意应同时提供拒绝选项看,主要在于保障用户自主选择的权利。
从明确告知收集使用规则看,本条提出了收集使用儿童个人信息应告知的重点内容。值得注意的是,本条第(五)项规定“投诉、举报的渠道和方式”,意味着一直为企业所担心的公布个人信息保护专员或者其他个人联系方式会因人员变动、个人联系方式公开可能被骚扰等问题得以解决。此外,第(六)项规定“更正、删除儿童个人信息的途径和方法”,强化了对儿童个人信息主体权利的保障,方便儿童监护人更正、删除儿童个人信息。
从告知事项发生实质变化后应再次征得同意的要求看,主要在于强调动态的儿童个人信息保护。随着市场环境、用户需求等的变化,网络运营者的业务发展方向等相关情况可能随之发生变化。在发生实质性变化的情况下,原有的儿童监护人对儿童个人信息的同意已经无法满足现有的需求。本条要求再次征得监护人的同意,有利于在重点告知事项发生实质变化的情况下动态保护儿童个人信息。
第十一条
网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。
【解读】
本条明确了网络运营者收集儿童个人信息的合法性和必要性要求。
本条在《网络安全法》第四十一条对收集个人信息要求的基础上,针对儿童个人信息保护提出了细化要求。强调网络运营者实际收集的儿童个人信息应为实现现有业务功能和服务所必需,并严格按照法律、法规和双方的约定收集儿童个人信息。需要指出的是,本条拓宽了约定的适用范围,意味着用户协议、邮件约定、隐私政策等涉及双方约定的内容均可纳入约束企业收集儿童个人信息的要求。
第十二条
网络运营者存储儿童个人信息,不得超过实现其收集、使用目的所必需的期限。
【解读】
本条明确了存储儿童个人信息的最小化期限要求。
本条对儿童个人信息保护的最小化期限要求进行了明确,体现出对儿童个人信息存储的更严格的最小化期限要求。对于网络运营者而言,一旦超出收集、使用目的所必需的期限存储儿童个人信息,将很难证明其合法性和必要性。
第十三条
网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。
【解读】
本条明确了存储儿童个人信息的信息安全要求。
本条强调采取加密等措施存储儿童个人信息。值得注意的是,随着技术的不断发展,加密措施进步的同时,反加密措施也在发展,正如匿名化发展的同时,反匿名化也在发展同个道理。因此,如何真正确保信息的安全不泄露一直是难以彻底解决的难题。
第十四条
网络运营者使用儿童个人信息,不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人的同意。
【解读】
本条明确了使用儿童个人信息的范围限制和动态限制。
从范围限制看,本条明确了使用儿童个人信息的范围限制。从动态限制看,本条强调了应征得儿童监护人的“同意”,应当注意,此处使用的是“同意”,而非“明示同意”。
第十五条
网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。
【解读】
本条明确了儿童个人信息的访问控制要求。
本条明确了对于儿童个人信息访问控制的经审批访问、最小授权原则和记录处理活动的要求,主要防止“内鬼”违规窃取、对外提供和泄漏儿童个人信息。具体理解本条,需要进一步说明两个问题:
第一个问题,经审批访问。本条对于儿童个人信息的访问审批要求,未区分是否为重要操作,也未区分是否超权限处理,只要访问儿童个人信息,均需经过儿童个人信息保护负责人或者其授权的管理人员审批。
第二个问题,“最小授权”的理解。即访问职责所需的最少够用的个人信息,且仅具备完成职责所需的最少的数据操作权限。
第十六条
网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。
前款规定的受委托方,应当履行以下义务:
(一)按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息;
(二)协助网络运营者回应儿童监护人提出的申请;
(三)采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈;
(四)委托关系解除时及时删除儿童个人信息;
(五)不得转委托;
(六)其他依法应当履行的儿童个人信息保护义务。
【解读】
本条明确了儿童个人信息的委托处理要求,同时明确了网络运营者进行安全评估、签署委托协议和受委托方应当履行的义务要求。
从网络运营者的角度,需要进行安全评估和签署委托协议。“安全评估”的评估对象主要是受委托方和委托行为,评估内容主要是是否在儿童监护人授权范围、受委托方是否具备适当的数据安全能力以及发生儿童个人信息泄露、损毁和丢失的风险等。“签署委托协议”,旨在强调通过协议明确双方责任、处理事项、处理期限、处理性质和目的等,构成对受委托方的有效约束,也一定程度上能够作为网络运营者豁免责任或减轻责任的证明。
从受委托方的角度,需要遵循委托协议的约定,并履行本条约定的六项义务要求。其中,需要指出的是,第(四)项要求“委托关系解除时及时删除儿童个人信息”,使用的措辞是“及时删除”,没有留下允许“匿名化处理”的口子,受委托方需要对此予以关注。
第十七条
网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估。
【解读】
本条明确了转让儿童个人信息需进行安全评估的要求。理解本条,需要进一步探讨两个问题:
第一个问题,怎么理解“转移儿童个人信息”中的 “转移”。《个人信息安全规范(征求意见稿)》第3.11条对“转让”的定义为“将个人信息控制权由一个控制者向另一个控制者转移的过程”。可以理解为本条规定的“转移”与该条规定的“转让”无实质性区别,宜作同义理解。
第二个问题,“安全评估”。安全评估的主体,可以是网络运营者自行评估,也可以委托第三方机构进行评估。
第十八条
网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。
【解读】
本条明确了不得披露儿童个人信息的原则要求和例外情形。
本条规定儿童个人信息原则上也是不得披露,同时,本条明确了例外的具体情形,即“法律、行政法规规定应当披露或者根据与儿童监护人的约定需要披露”。
第十九条
儿童或者其监护人发现网络运营者收集、存储、使用、披露的儿童个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。
【解读】
本条明确了更正错误儿童个人信息的权利要求。
本条沿用了《网络安全法》第四十三条更正错误个人信息的要求。并将“使用、披露”儿童个人信息存在错误的情形纳入在内,强调了对更正儿童个人信息更为紧迫的时间要求,扩展了儿童个人信息更正权的适用范围,有利于有效降低在不同情形下因儿童个人信息错误对儿童产生的负面影响。
第二十条
儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的,网络运营者应当及时采取措施予以删除,包括但不限于以下情形:
(一)网络运营者违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露儿童个人信息的;
(二)超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的;
(三)儿童监护人撤回同意的;
(四)儿童或者其监护人通过注销等方式终止使用产品或者服务的。
【解读】
本条明确了儿童或其监护人在特定情况下享有对其个人信息进行删除的权利。
本条第一款和第四款明确了个人信息主体在个人信息控制者违反法律法规或违反与个人信息主体的约定,收集、使用个人信息的,个人信息主体有权要求个人信息控制者及时删除其个人信息;同时规定了个人信息主体注销账户后,个人信息控制者应及时删除其个人信息或做匿名化处理。
本条第二款和第三款作为儿童或其监护人要求网络运营者删除其个人信息的特定情形,一是超出范围或必要性对儿童个人信息进行处理,二是儿童监护人撤回同意。第三款实质上赋予了儿童或其监护人对于儿童个人信息享有更广泛的删除权,即当儿童或其监护人认为确有必要时,即可根据本条内容,要求网络运营者删除儿童个人信息,对儿童个人信息给予充分保证。
此外,本条将“披露”儿童个人信息纳入删除权的适用范围,进一步保障了在披露儿童个人信息情形下监护人删除权的行使。
第二十一条
网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。
【解读】
本条明确了网络运营者在发生数据安全事件时的应急处置要求。
本条明确了网络运营者发现儿童个人信息发生或可能发生泄露、毁损、丢失的,应当立即启动应急预案、采取补救措施;若造成或可能造成严重后果的,应及时向监管部门报告并将事件情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人;难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。
第二十二条
网络运营者应当对网信部门和其他有关部门依法开展的监督检查予以配合。
【解读】
本条明确了网络运营者配合有关部门开展监督检查的义务。
本条明确了网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。值得注意的是,规定了监管主体为“网信部门”,意味着除了国家网信办外,地方网信部门也有权受理举报、采取约谈、行政处罚等监管措施。
第二十三条
网络运营者停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。
【解读】
本条明确了网络运营者停止运营后的责任。
本条从部分措辞可以看出相关部门对儿童个人信息采取更为严格的保护措施。一是强调了网络运营者停止运营其产品或服务时,应“立即停止”收集儿童个人信息的活动;二是网络运营者应删除其持有的儿童个人信息,而第6.4条规定的匿名化处理方式被删除。
第二十四条
任何组织和个人发现有违反本规定行为的,可以向网信部门和其他有关部门举报。
网信部门和其他有关部门收到相关举报的,应当依据职责及时进行处理。
【解读】
本条明确了公众向有关部门举报的渠道及相关部门收到举报的处理。
从公众向有关部门举报的渠道角度看,任何组织和个人发现有违反本规定行为的,可以向网信部门和其他有关部门举报,这里的“其他有关部门”参照《网络安全法》第十四条公众对危害网络安全行为的举报渠道,宜理解为包括“电信、公安等部门”。
从相关部门收到举报的处理角度看,有关部门“应当依据职责进行处理”包括两个要点,一是属于本部门职责的,应当依法及时作出处理,二是不属于本部门职责的,应当及时移送有权处理的部门。
值得注意的是,本条并未对举报人的信息保护进行说明,根据《网络安全法》第十四条的规定,“有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益”,本规定项下亦应按照《网络安全法》的规定,对举报人的信息予以保密保护。
第二十五条
网络运营者落实儿童个人信息安全管理责任不到位,存在较大安全风险或者发生安全事件的,由网信部门依据职责进行约谈,网络运营者应当及时采取措施进行整改,消除隐患。
【解读】
本条明确了网信部门对网络运营者的主动监管职责。
本条将监管的主体确定为“网信部门”,显示出了国家对于儿童个人信息安全的重视;另一方面,网络运营者对约谈的反馈也更为严格,规定“应当按照约谈要求及时采取措施,进行整改,消除隐患”,强调了对网络运营者反馈的及时性要求。
第二十六条
违反本规定的,由网信部门和其他有关部门依据职责,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规规定处理;构成犯罪的,依法追究刑事责任。
【解读】
本条明确了网络运营者违反本规定的法律责任。
本条明确将《互联网信息服务管理办法》列举作为处理依据,并将相关法律法规纳入处理依据,且不再明确列举适用的处罚条款,意味着儿童个人信息保护方面适用的规定范围得以进一步扩展,违反本规定的后果更加严重,需要企业予以高度重视。
第二十七条
违反本规定被追究法律责任的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
【解读】
本条明确了网络运营者违反本规定除需要承担法律责任外,还会影响其信用档案。
一般情况下,网络运营者违反个人信息保护的相关规定主要需要承担行政、刑事等法律责任,本规定在运用法律责任调整网络运营者行为的同时,还发挥了“市场”的调节作用,新增了“将网络运营者违反本规定的行为记入信用档案,并予以公示”作为对网络运营者违反本规定的惩罚措施之一。
众所周知,信用档案是企业信用状况的真实体现,是普通大众进行消费的指南,也是交易决策和企业获得融资、投资的重要参考,将对儿童的个人信息保护与信用档案挂钩,能够从商业角度影响网络运营者的经营管理,增加网络运营者的违规成本,从而能督促网络运营者开展合规运营。
第二十八条
通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的,依照其他有关规定执行。
【解读】
本条明确了儿童个人信息保护的除外情形。
从具体适用条件看,需要满足两个条件:条件一、通过计算机信息系统自动留存处理信息,也就是说不需要用户主动填写和主动提供,APP等业务开展渠道自动收集的用户信息。条件二、无法识别所留存处理的信息属于儿童个人信息,也就是说采取了措施识别但限于现有技术等原因无法识别出属于儿童个人信息。
从适用规定看,依照其他有关规定执行,保留了弹性的适用空间。
综合来看,本条为企业保留了减轻或者豁免儿童个人信息保护责任的余地,但考虑到适用情形和适用规定尚待进一步明确,建议审慎对待本条,不要以本条规定作为唯一的“救命符”。
第二十九条
本规定自2019年10月1日起施行。
【解读】
本条明确了《儿童个人信息网络保护规定》正式生效的具体时间。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
