《儿童个人信息网络保护规定》征求意见

2019年5月31日，国家互联网信息办公室（以下简称“网信办”）公布了《儿童个人信息网络保护规定》（征求意见稿））（“《征求意见稿》”），征求意见至2019年6月30日。这是我国首次针对儿童的专门性个人信息保护相关的法规。与未成年人在网络空间的权益保护相关，2017年1月，国务院法制办公室曾公布《未成年人网络保护条例》，但该条例尚未正式通过。

以下是《征求意见稿》值得关注的重点内容：

一、首次规定“儿童”的概念

《未成年人保护法》规定“未成年人是指未满十八周岁的公民”。《民法总则》结合年龄和辨认自己行为的能力两个标准区分十六周岁以上的未成年人，以自己的劳动收入为主要生活来源的，视为完全民事行为能力人；八周岁以上的未成年人为限制民事行为能力人，实施民事法律行为由其法定代理人代理或者经其法定代理人同意、追认，但是可以独立实施纯获利益的民事法律行为或者与其年龄、智力相适应的民事法律行为。

在网络环境之中，此前的相关标准与相关征求意见稿，如推荐性国家标准《个人信息保护规范》、《App违法违规收集使用个人信息行为认定方法》（征求意见稿）及《数据安全管理办法》（征求意见稿），已开始使用十四周岁作为区分是否需要其监护人同意收集个人信息的标准。

《征求意见稿》首次在网络环境下对“儿童”进行了法律定义，规定为“本规定所称儿童，是指不满十四周岁的未成年人”(第27条)，并在其中对于“儿童的个人信息”为保护客体做出了一系列规制。

二、更具体的处理要求和原则

《征求意见稿》遵循了《网络安全法》收集和处理个人信息的一般原则，要求“网络运营者收集、存储、使用、转移、披露儿童个人信息的，应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。”（第3条）

三、专门协议、专人负责

在原则性要求基础上，《征求意见稿》第5条首次提出，网络运营者应当设置专门的儿童个人信息保护规则和用户协议，并设立个人信息保护专员或者指定专人负责儿童个人信息保护。这一条对目前各企业的实践提出了全新的要求。

四、知情同意的特别要求

针对儿童个人信息的收集和处理，《征求意见稿》在《网络安全法》规定基础上提出更为细致、严格的要求，包括：

• 网络运营者收集、使用儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的明示同意；明示同意应当具体、清楚、明确，基于自愿（第7条）；

• 征得同意时同时提供拒绝选项；明确告知儿童个人信息的存储地点和到期后的处理方式、安全保障措施等；告知事项发生实质性变化时，再次征得儿童监护人的明示同意（第8条）；

• 如使用信息需超出约定目的和范围的，应当再次征得儿童监护人的明示同意（第11条）；

• 和第三方共同使用、向第三方转移儿童个人信息的，应当征得儿童监护人的明示同意（第13、14条）；

• 明示同意的例外情形包括：为维护国家安全或者公共利益、为消除儿童人身或者财产上的紧急危险及法律、行政法规规定的其他情形（第18条）。

五、信息主体权利的进一步规定

《征求意见稿》之中对于信息主体权利与《网络安全法》基本一致，但对于删除权特别规定下述适用之情形：

• 超出目的范围或者必要期限收集、存储、使用、转移或者披露儿童个人信息的；

• 儿童监护人撤回同意的；

• 儿童或者其监护人通过注销等方式终止使用产品或者服务的。

六、设立内部访问限制

《征求意见稿》首次提出应对内部工作人员最小授权，严格设定访问权限，控制知悉范围。并要求工作人员经过个人信息保护专员或授权的管理人员审批后方可访问儿童个人信息。访问情况应被记录，并采取技术措施，避免违法复制、下载儿童个人信息（第12条）。

七、委托处理的要求

委托处理儿童个人信息的，《征求意见稿》要求对受委托方及委托行为等进行安全评估、签署委托协议。《规定》还强制要求受委托方协助委托方回应儿童监护人提出的申请，采取措施保障信息安全，在发生儿童个人信息泄漏安全事件时，及时向委托方反馈；委托关系解除时及时删除；不得转委托。（第13条）

八、多方位的监管措施

《征求意见稿》规定了多种可能的监管方式：

• 检查

网络运营者应当对国家互联网信息办公室和其他有关部门依法开展的监督检查予以配合（第21条）。

• 举报

任何组织和个人发现有违反本规定行为的，可以向国家互联网信息办公室和其他有关部门举报（第23条）。

• 约谈

网络运营者落实儿童个人信息安全管理责任不到位，存在较大安全风险或者发生安全事件的，由国家互联网信息办公室依法进行约谈，网络运营者应当按照约谈要求及时采取措施，进行整改，消除隐患（第24条）。 

• 行政处罚

违反《规定》可能被视为违反《网络安全法》第六十四条的规定，被处以相应处罚（第25条）。

• 记入信用档案

违反本规定被追究法律责任的，依照有关法律、行政法规的规定记入信用档案，并予以公示（第26条）。

九、我们的观察

我们认为，《征求意见稿》在法规层面首次厘清了需要保护的信息主体的年龄即十四周岁的界限；对儿童个人信息保护提出了更为具体的要求，特别对于专人专管、专门政策和监护人的同意机制等新的要求，将需要落地到现在的个人信息保护框架之中。但仍有一系列实践之中落实的问题，例如，监护人的同意应以何种方式获得；专门政策如何实现等，仍值得进一步研究和观察。