中国政策档案 Governance Archive HOLDINGS 191,801 · FONDS 70
Record · 国家互联网信息办公室 ACC. 12694472

Regulations on the Protection of Children's Personal Information Online Officially Issued: A Milestone in Children's Online Protection Legislation

《儿童个人信息网络保护规定》正式出台:儿童网络保护立法的里程碑

Issuer
国家互联网信息办公室
Date
2019-08-24
Instrument
other
Cited by
0
This document announces the official release of China's first specialized regulation on the protection of children's personal information online, establishing comprehensive rules for the full lifecycle protection of data for minors under 14, including consent requirements, data minimization principles, and security assessment obligations.
Full text · 原文 2,066 字
8月23日,中央网信办正式发布《儿童个人信息网络保护规定》(以下简称《规定》),这是我国第一部专门针对儿童网络保护的立法,具有里程碑意义。<br> 当前,儿童的触网年龄越来越低,越来越多的未成年人使用网络进行学习和娱乐。根据共青团中央维护青少年权益部、中国互联网络信息中心(CNNIC)发布的《2018年全国未成年人互联网使用情况研究报告》,截至2018年7月31日,我国未成年网民(不包括6岁以下群体和非学生)规模达1.69亿,未成年人的互联网普及率达到93.7%,其中小学、初中学生上网比例分别达到89.5%和99.4%,远远高于同期全国人口的互联网普及率(57.7%)。未成年人拥有独自上网设备的比例达到77.6%,其中69.7%有手机,24.6%有平板电脑,13.9%有笔记本电脑。<br> 由此可见,使用互联网是当今未成年人的重要权利和基本技能,高达87.4%的未成年人利用互联网进行学习,许多中小学校都在利用学习类App开展学习。如果完全拒绝互联网,毫无疑问将严重影响未成年人的发展权。同时,网络信息内容良莠不齐,网络暴力、网络违法和不良信息仍然存在,一些网站和App非法收集、滥用、买卖未成年人个人信息的事件频频发生,严重威胁未成年人,特别是14岁以下儿童的身心健康和安全。这已经成为一个严重的社会性问题。<br> 我国《网络安全法》规定,国家依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。《未成年人保护法》规定,未成年人享有生存权、发展权、受保护权、参与权等权利,国家根据未成年人身心发展特点给予特殊、优先保护,保障未成年人的合法权益不受侵犯。据此,《规定》针对14岁以下未成年人的个人信息进行特殊、优先保护,非常及时和必要。<br> 作为一部专门立法,《规定》对儿童个人信息进行全生命周期保护,包括收集、存储、使用、转移、披露、删除等环节。《规定》明确了以下重要制度,以强化对儿童个人信息的保护。<br> 首先,设置儿童个人信息保护的专门规则、协议和责任人。《规定》明确,网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护,这充分体现了对儿童的特殊保护、优先保护的原则。特别是儿童个人信息保护责任人的确立,十分有利于责任的追究,将有效遏制当前猖獗的儿童个人信息非法买卖现象。<br> 其次,实行严格的“同意规则”。对于儿童个人信息的收集、使用、转移、披露,《规定》要求网络运营者应当以显著、清晰的方式告知儿童监护人,并应当征得其同意,并同时提供拒绝选项。网络运营者征得同意时,应明确告知:收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;儿童个人信息的存储地点、期限和到期后的处理方式;儿童个人信息的安全保障措施;拒绝的后果;投诉、举报渠道和方式;更正、删除儿童个人信息的途径和方法等事项。如果上述告知事项发生实质性变化的,还应当再次征得儿童监护人的同意。<br> 第三,明确了儿童个人信息保护的“最小原则”。一是,运营商对儿童个人信息的收集范围和数量应遵循最小原则,不得收集与其提供的服务无关的儿童个人信息。二是,网络运营者存储儿童个人信息应遵循最短期限原则,不得超过实现其收集、使用目的所必需的期限。三是,网络运营者对其工作人员的授权应遵循最小原则,严格设定信息访问权限,控制儿童个人信息知悉范围,并要求工作人员访问儿童个人信息应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,采取技术措施,避免违法复制、下载儿童个人信息。<br> 第四,确立了儿童个人信息安全评估制度。《规定》明确,网络运营者委托第三方处理儿童个人信息、向第三方转移儿童个人信息的,均应当进行安全评估。经评估达不到安全保护要求的,不得进行委托和转移,否则应承担法律责任。<br> 第五,进一步明确了儿童个人信息的删除制度。《规定》对儿童个人信息的删除进行了细化,明确规定了以下5种情形:网络运营者违法或者违约收集、存储、使用、转移、披露儿童个人信息的;超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的;儿童监护人撤回同意的;儿童或其监护人通过注销等方式终止使用产品或服务的;另外,当网络运营者停止运营产品或服务时,也应当删除其持有的儿童个人信息。<br> 此外,《规定》还明确了监护人的责任。父母作为监护人,是孩子的第一任老师和第一责任人。《规定》特别明确,儿童监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,维护儿童个人信息安全。为此,父母应当主动学习网络安全知识,增强网络安全意识,具备基本的网络保护能力,这样才能更好地保护好自己的孩子,成为网络信息时代的合格父母。<br> 保护未成年人,就是保护我们的未来。《规定》颁布后,网络运营者应当积极主动进行自查,检视有关儿童个人信息保护的规定和做法,建章立制,查漏补缺,确保符合《规定》的要求,共同为儿童的健康成长营造一个清朗网络空间。(北京邮电大学互联网治理与法律研究中心执行主任 谢永江)