我国第一部专门针对儿童网络保护的立法

《儿童个人信息网络保护规定》

（国家互联网信息办公室令第4号，以下简称《规定》）

针对中华人民共和国境内

通过网络收集、存储、使用、

转移、披露不满十四周岁的儿童

个人信息进行规范。

《规定》进一步充实了我国儿童个人信息网络保护的法律依据，标志着我国儿童个人信息保护工作正式进入轨道。作为国内第一部专门规范儿童个人信息网络保护的规定，有很多值得关注的地方。

八大亮点

【亮点一：首部立法】

《规定》是我国首部规定儿童个人信息网络保护的专门立法。与成年人相比，儿童心智发育尚不完全，在通过网络参与的活动中更极易泄露个人信息，而且儿童对于自己的行为性质和行为后果均缺乏必要的判断和识别能力，个人信息关系到其切实利益和健康成长，因此相关保护工作尤为重要，需要予以特别保护。

此前，我国涉及儿童个人信息网络保护的规定分散于不同的法律文件中，缺乏专门性保护立法。没有对儿童个人信息网络保护作出合理的制度安排，立法规定之间也缺乏整合与协调，法律法规体系的不健全制约了儿童网络环境治理，导致儿童个人信息网络保护力度不足。因此，《规定》的出台对保护儿童个人信息安全以及为儿童营造一个健康的数字成长环境意义重大。

【亮点二：儿童定义】

《规定》第二条明确了儿童的定义，即不满十四周岁的未成年人。《规定》参考了《刑法》中对刑事责任年龄的划分标准，《刑法》规定不满十四周岁的人不管实施何种危害社会的行为，都不负刑事责任，为完全不负刑事责任年龄。

可见，此次关于保护对象的规定体现出了立法者充分考虑我国行业发展诉求和现况。《规定》中对儿童个人信息网络保护的制度设计同时符合产业发展和权利保护的需要，实现了双重立法宗旨。

【亮点三：严格范围】

《规定》采用了属地管辖原则，以特定行为作为规制的对象，即只要在我国境内，通过网络这一载体对儿童个人信息从事了收集、存储、使用、转移、披露等涉及数据生命周期的任何一种行为，就要适用本《规定》。

《网络安全法》对“网络”的内涵已经进行了界定，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

【亮点四：明确原则】

《规定》明确了儿童个人信息网络保护的五大原则。儿童个人信息网络保护原则是指贯穿于儿童个人信息网络保护各个阶段的指导原理和准则。明确儿童个人信息网络保护原则，不仅可以规范网络运营者在儿童个人信息收集、使用、转移、披露等环节中的义务和责任，也有助于保障儿童的个人信息权利。在立法中明确个人信息保护保护原则，也是国际立法惯例。

《规定》在我国已有的相关原则的基础之上，充分吸收、借鉴域外的相关立法经验，同时考虑到我国的产业实践与国际差异，明确了儿童个人信息网络保护的正当必要、知情同意、目的明确、安全保障、依法利用五大原则。

【亮点五：知情同意】

这次立法者在《规定》中对知情同意原则进一步明确和细化，要求网络运营者收集、使用、转移、披露儿童个人信息的，应当以显着、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意；征得同意时同时提供拒绝选项；明确告知儿童个人信息的存储地点和到期后的处理方式、安全保障措施等事项；告知事项发生实质性变化时，需要再次征得儿童监护人的同意；因业务需要，确需超出约定的目的、范围使用儿童个人信息的，应当征得儿童监护人的同意。

【亮点六：特殊保护】

儿童是特殊群体，需要给予特殊保护。《规定》在以下五大制度的设计上体现出了对儿童个人信息进行特殊保护的理念。

• 一是设置儿童信息保护规则、用户协议和专人负责儿童个人信息网络保护的要求。

• 二是内部访问权限要求。

• 三是安全评估的要求。

• 四是不得披露儿童个人信息。

• 五是删除权的特别规定。

【亮点七：协同共治】

真正实现儿童个人信息网络保护是多方参与、齐抓共管的过程，既依赖于法律规范、政府监管，也依赖于儿童监护人、行业组织以及社会公众在其中发挥的作用。

在儿童监护人层面，《规定》要求儿童监护人应当正确履行监护义务，教育引导儿童增强个人信息网络保护意识和能力，保护儿童个人信息安全。

在行业组织层面，《规定》鼓励互联网行业组织指导推动网络运营者制定儿童个人信息网络保护的行业规范、行为准则等，加强行业自律，履行社会责任。

在社会公众层面，《规定》规定任何组织或者个人发现有违法《规定》的行为，可以向网信部门和其他有关部门举报。通过规定儿童监护人教育引导、行业自律以及公众监督相结合的综合管理体制，有利于确保对儿童个人信息网络保护达到最大、最好的社会效果。

【亮点八：法律衔接】

《规定》属于部门规章，根据《立法法》第八十条的规定，部门规章规定的事项应当属于执行法律或者国务院的行政法规、决定、命令的事项。《规定》在制定的过程中，注意到了立法依据和立法权限的问题，进一步具体化、明确化《网络安全法》《未成年人保护法》《互联网信息服务管理办法》等法律、行政法规中对未成年人保护和个人信息保护规定的较为模糊的内容，包括明确了同意的要求、具体的告知事项、数据泄露应急措施、安全保障等规定，以解决我国儿童个人信息网络保护法律制度规定不健全的问题。

《儿童个人信息网络保护规定》

（全文）

第一条 为了保护儿童个人信息安全，促进儿童健康成长，根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规，制定本规定。

第二条 本规定所称儿童，是指不满十四周岁的未成年人。

第三条 在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动，适用本规定。

第四条 任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。

第五条 儿童监护人应当正确履行监护职责，教育引导儿童增强个人信息保护意识和能力，保护儿童个人信息安全。

第六条 鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等，加强行业自律，履行社会责任。

第七条 网络运营者收集、存储、使用、转移、披露儿童个人信息的，应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。

第八条 网络运营者应当设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护。

第九条 网络运营者收集、使用、转移、披露儿童个人信息的，应当以显着、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意。

第十条 网络运营者征得同意时，应当同时提供拒绝选项，并明确告知以下事项：

（一）收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围；

（二）儿童个人信息存储的地点、期限和到期后的处理方式；

365封号余额怎么办_365bet知乎_365bet中文资讯网

（三）儿童个人信息的安全保障措施；

（四）拒绝的后果；

（五）投诉、举报的渠道和方式；

（六）更正、删除儿童个人信息的途径和方法；

（七）其他应当告知的事项。

前款规定的告知事项发生实质性变化的，应当再次征得儿童监护人的同意。

第十一条 网络运营者不得收集与其提供的服务无关的儿童个人信息，不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。

第十二条 网络运营者存储儿童个人信息，不得超过实现其收集、使用目的所必需的期限。

第十三条 网络运营者应当采取加密等措施存储儿童个人信息，确保信息安全。

第十四条 网络运营者使用儿童个人信息，不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要，确需超出约定的目的、范围使用的，应当再次征得儿童监护人的同意。

第十五条 网络运营者对其工作人员应当以最小授权为原则，严格设定信息访问权限，控制儿童个人信息知悉范围。工作人员访问儿童个人信息的，应当经过儿童个人信息保护负责人或者其授权的管理人员审批，记录访问情况，并采取技术措施，避免违法复制、下载儿童个人信息。

第十六条 网络运营者委托第三方处理儿童个人信息的，应当对受委托方及委托行为等进行安全评估，签署委托协议，明确双方责任、处理事项、处理期限、处理性质和目的等，委托行为不得超出授权范围。

前款规定的受委托方，应当履行以下义务：

（一）按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息；

（二）协助网络运营者回应儿童监护人提出的申请；

（三）采取措施保障信息安全，并在发生儿童个人信息泄露安全事件时，及时向网络运营者反馈；

（四）委托关系解除时及时删除儿童个人信息;

（五）不得转委托；

（六）其他依法应当履行的儿童个人信息保护义务。

第十七条 网络运营者向第三方转移儿童个人信息的，应当自行或者委托第三方机构进行安全评估。

第十八条 网络运营者不得披露儿童个人信息，但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。

第十九条 儿童或者其监护人发现网络运营者收集、存储、使用、披露的儿童个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。

第二十条 儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的，网络运营者应当及时采取措施予以删除，包括但不限于以下情形：

（一）网络运营者违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露儿童个人信息的；

（二）超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的；

（三）儿童监护人撤回同意的；

（四）儿童或者其监护人通过注销等方式终止使用产品或者服务的。

第二十一条 网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的，应当立即启动应急预案，采取补救措施；造成或者可能造成严重后果的，应当立即向有关主管部门报告，并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人，难以逐一告知的，应当采取合理、有效的方式发布相关警示信息。

第二十二条 网络运营者应当对网信部门和其他有关部门依法开展的监督检查予以配合。

第二十三条 网络运营者停止运营产品或者服务的，应当立即停止收集儿童个人信息的活动，删除其持有的儿童个人信息，并将停止运营的通知及时告知儿童监护人。

第二十四条 任何组织和个人发现有违反本规定行为的，可以向网信部门和其他有关部门举报。

网信部门和其他有关部门收到相关举报的，应当依据职责及时进行处理。

第二十五条 网络运营者落实儿童个人信息安全管理责任不到位，存在较大安全风险或者发生安全事件的，由网信部门依据职责进行约谈，网络运营者应当及时采取措施进行整改，消除隐患。

第二十六条 违反本规定的，由网信部门和其他有关部门依据职责，根据《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规规定处理；构成犯罪的，依法追究刑事责任。

第二十七条 违反本规定被追究法律责任的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

第二十八条 通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的，依照其他有关规定执行。

第二十九条 本规定自2019年10月1日起施行。