中国政策档案 Governance Archive HOLDINGS 191,422 · FONDS 70
Record · 国家互联网信息办公室 ACC. 12694471

China Enters a New Phase of Online Protection for Children's Personal Information

中国开启儿童个人信息网络保护新阶段

Issuer
国家互联网信息办公室
Date
2019-08-25
Instrument
other
Cited by
0
This document introduces the 'Regulations on the Online Protection of Children's Personal Information,' which will take effect on October 1, 2019. It specifies the responsibilities of various entities, including network operators and guardians, and establishes rules for the collection, storage, use, transfer, and disclosure of children's personal data, marking a formal step in China's legal framework for child data protection.
Full text · 原文 2,066 字
8月23日,《儿童个人信息网络保护规定》(以下简称《规定》)正式出台,并将于2019年10月1日起施行。《规定》主要规范在中华人民共和国境内网上儿童个人信息的有关活动,规定了“任何组织和个人”“网络运营者”“儿童监护人”“互联网行业组织”等主体的责任和义务,覆盖了儿童个人信息的收集、存储、使用、转移、披露等全生命周期,确定了儿童个人信息网络保护的原则和具体处理规则,明确了网信部门和其他有关部门的监管职责,同时也规定了违法责任以及信用记录等内容。《规定》进一步充实了我国儿童个人信息网络保护的法律依据,标志着我国儿童个人信息保护工作正式进入轨道。<br> 首先,《规定》是《网络安全法》等法律的配套措施之一。《规定》是落实相关上位法规定,全面保护儿童个人信息的具体措施。根据《规定》第一条,其上位法依据包括《网络安全法》和《未成年人保护法》。《网络安全法》是我国网信法律体系的基础性立法,全面规定了网络安全各个领域的主要问题。《网络安全法》第十三条明确:国家支持研究开发有利于未成年人健康成长的网络产品和服务,依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。未成年人特别是儿童群体,生长在互联网时代,属于“互联网原住民”,互联网已经与新生代儿童的生活、学习等密不可分。我们既要保证儿童通过互联网学习知识、开拓眼界的权利,同时也要保护儿童在网络空间的合法权益不受侵害。以此为背景,营造安全的网络环境,对于保护儿童群体尤为必要。利用网络侵害儿童个人信息的行为,应当明确相关制度规定并依法予以打击。《网络安全法》也首次以法律层级的形式对个人信息保护的问题进行了规定,在“网络信息安全”一章对个人信息保护的原则和具体规则提出了明确的要求。《规定》以《网络安全法》为上位法依据,其调整对象与《网络安全法》一致,均为“网络运营者”,主要制度设计以《网络安全法》为基础,以儿童为保护对象,充分细化了《网络安全法》有关未成年人网络保护和个人信息保护的相关内容。同时,《未成年人保护法》第三十九条第一款规定:任何组织或者个人不得披露未成年人的个人隐私。这是有关儿童个人信息保护的首部也是唯一一部法律规定。《未成年人保护法》规定时间较早,没有对保护对象的年龄做进一步细化,同时保护范围也局限在隐私领域。随着互联网技术的发展,特别是移动互联网技术的发展,个人信息保护与隐私保护的内涵和外延都发生了变化。个人信息保护不完全是以隐私保护为基础,保护思路也存在差异。《规定》以此为原则,结合《网络安全法》相关要求,对儿童个人信息网络保护问题进行了专门规定,进一步完善了未成年人保护工作的具体内容和专门措施。<br> 其次,《规定》主要针对儿童群体提出专门性要求。《规定》所保护的“儿童”是指不满十四周岁的未成年人。结合国外立法经验,考虑到未成年人触网年龄趋低,新生代“互联网原住民”等特点,为了确保监管措施的针对性、有效性,在保护未成年人个人信息方面,一般会对被保护群体做进一步细分。国外有关儿童个人信息保护的规定,也采取了相应的做法。对于一定年龄以上的未成年人来说,互联网认知水平和操作水平已经不亚于成年人,适用一般的个人信息保护规则就能够满足实际需要。因此,《规定》以十四周岁为界限,主要保护不满十四周岁的未成年人。<br> 最后,《规定》体现了从严保护的总体思路。儿童受限于身心发展的阶段限制,需要予以特别保护,以有利于其健康成长,已经成为毋庸置疑的共识。《规定》秉持这一要求,对儿童个人信息保护的水平,相比一般个人信息保护,提出了更高的要求。除了遵从国际立法通行做法,在取得用户同意环节,要求儿童用户监护人同意,《规定》还提出了一系列专门性要求。一是要求专门的儿童个人信息保护规则和用户协议,并需要网络运营者指定专人来负责儿童个人信息保护工作;二是明确了征求同意过程中,应当同时提供拒绝选项;三是要求存储儿童个人信息时,应当采用加密等措施;四是规定网络运营者应当把控内部管理流程,严格设定内部信息访问权限和儿童个人信息知悉范围;五是要求委托第三方处理儿童个人信息时,应当进行安全评估,确定委托范围和相应权利责任;六是对删除权、数据泄露通知等制度做了细致要求。<br> 《规定》作为我国第一部专门针对儿童的个人信息保护的部门规章,具有配套性、针对性、严格性等特点,对落实《网络安全法》等法律规定具有实践意义,能够促进我国儿童个人信息保护体系建立和水平提升。继《网络安全法》出台后,《规定》是第一部个人信息领域的法律文件(部门规章)。目前,我国已经将《个人信息保护法》列入立法日程。通过《个人信息保护法》来进一步完善我国有关个人信息保护的法律规定,还有很多需要探索的问题。《规定》虽然以儿童为主要保护对象,但其中的原则、规则都反映了一般个人信息保护的重要理念。通过下一步的实践和相关的执法活动,能够更进一步积累我国个人信息保护的经验,为我国个人信息保护法律制度的全面构建提供有益探索。(中国信息通信研究院互联网法律研究中心主任 方禹)