逐条解读 | 儿童个人信息保护新规出台

2019年5月31日下午6点1分，国家互联网信息办公室提前送上了儿童节礼物——《国家互联网信息办公室关于<儿童个人信息网络保护规定（征求意见稿）>公开征求意见的通知》。继《网络安全审查办法（征求意见稿）》规制关键信息基础设施运营者采购网络产品和服务、《数据安全管理办法（征求意见稿）》保障个人信息和重要数据安全之后，《儿童个人信息网络保护规定（征求意见稿）》（以下简称“《儿童信息保护规定（征求意见稿）》” 、“本规定”）成为我国首个专门规定儿童个人信息保护的规定。

《儿童信息保护规定（征求意见稿）》全文共二十八条，系统地规定了应设置儿童专门用户协议、设置专人负责、征得儿童监护人明确同意、加密存储和最小授权访问等儿童个人信息保护要求，相较于14周岁以上的未成年人和成年人，其各项要求均更加严格。以下，将通过逐条解读的方式，帮助大家更好地理解《儿童信息保护规定（征求意见稿）》的内容。

本条明确了《儿童信息保护规定（征求意见稿）》的立法目的和制定依据。

儿童是国家发展的未来和希望，其认知能力、危险识别能力和自我保护能力相对薄弱，在网络空间内容繁杂、违法违规收集使用个人信息问题层出不穷的形势下，更需要加强对儿童个人信息安全的保护。2019年5月28日，国家网信办在前期试点3家小视频平台上线“青少年防沉迷系统”的基础上，统筹指导14家短视频平台和4家网络视频平台统一上线“青少年防沉迷系统”，“青少年防沉迷系统”得以全面推行。在《网络安全法》和《未成年人保护法》基础上制定的《儿童信息保护规定（征求意见稿）》，结合“青少年防沉迷系统”的全面推行，能够更好地保护儿童的健康成长，维护儿童在网络空间的合法权益。

本条明确了《儿童信息保护规定（征求意见稿）》的适用范围。

适用范围，具体包括三个要点：第一个要点，地域限制，中华人民共和国境内；第二个要点，手段限制，通过网络开展儿童个人信息相关活动。根据《网络安全法》第七十六条第一项规定，网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。第三个要点，具体适用情形，收集、存储、使用、转移、披露儿童个人信息等活动。也就是说，涉及儿童个人信息全生命周期的保护均适用本规定。

本条明确了儿童信息保护的原则。

在《网络安全法》明确收集使用个人信息应遵循“合法、正当、必要”原则的基础上，本条进一步提出了“知情同意、目的明确、安全保障、依法利用”的原则要求。根据《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。为了突出对儿童个人信息的保护，本规定从遵循的基本原则方面就提出了更高的要求。

本条明确了加强行业自律的要求。

作为政府监管的有益补充，行业自律的加强，有利于更好地推动行业内网络运营者制定儿童个人信息保护的行业规范、行为准则等。各行业协会可以根据《网络安全法》、《未成年人保护法》和本规定，组织制定适用于本行业的儿童个人信息保护规范和行为准则。

本条明确了网络运营者设置专门儿童信息保护规则、用户协议和专人负责儿童个人信息保护的要求。

从网络运营者设置专门的儿童信息保护规则、用户协议看，专门的儿童个人信息保护规则在《信息安全技术个人信息安全规范（征求意见稿）》（以下简称“《个人信息安全规范（征求意见稿）》”）已有相关规定，专门适用于儿童的用户协议则为首次提出。《个人信息安全规范（征求意见稿）》附录B指出“通常情况下，14岁以下（含）儿童的个人信息……属于个人敏感信息”，附录D隐私政策模板中要求设置“我们如何处理儿童的个人信息”版块并明确了相关内容要求。目前主流的互联网公司，大多已经在其隐私政策中明确了如何处理儿童个人信息的内容；设置专门的儿童用户协议，则为网络运营者提出了新的要求，在现有用户协议基础上，需要额外设置儿童用户协议，并且保障内容的易读性，即简洁、易懂，不可长篇大论、晦涩难懂。

从专人负责儿童个人信息保护的要求看，主要在于保障更好地推动和落实儿童个人信息保护。本条并未要求必须由个人信息保护专员负责儿童个人信息保护，而是可以由个人信息保护专员指定专人负责儿童个人信息保护。但暗含的要求在于，必须设置个人信息保护专员。在《网络安全法》第二十一条要求网络运营者设置网络安全负责人、第三十四条要求关键信息基础设施的运营者设置安全管理负责人、《个人信息安全规范（征求意见稿）》第10.1b条要求个人信息控制者设置个人信息保护负责人、《数据安全管理办法（征求意见稿）》第十七条要求以经营为目的收集重要数据或个人敏感信息的网络运营者设置数据安全责任人的基础上，本规定明确了设置个人信息保护专员的要求，即专职负责个人信息保护的具体工作人员。

本条明确了网络运营者收集儿童个人信息的合法性和必要性要求。

本条在《网络安全法》第四十一条对收集个人信息要求的基础上，针对儿童个人信息保护提出了细化要求。《网络安全法》第四十一条规定，……网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息……。《App违法违规收集使用个人信息行为认定方法（征求意见稿）》（以下简称“《App违法违规认定方法（征求意见稿）》”）第三条第9项和第四条也明确了收集个人信息的合法性和必要性要求。本条作为针对儿童个人信息保护的细化要求，强调网络运营者实际收集的儿童个人信息应为实现现有业务功能和服务所必需，并严格按照法律、法规和用户协议的约定收集儿童个人信息。

本条明确了网络运营者收集使用儿童个人信息应征得儿童监护人明示同意的要求。

在《App违法违规认定方法（征求意见稿）》第七条第1款和《数据安全管理办法（征求意见稿）》第十二条要求收集使用儿童个人信息应征得其监护人同意的基础上，参照《个人信息安全规范》（征求意见稿）第5.5c条的要求，本条强化了征得儿童监护人同意应为“明示同意”的要求。《App违法违规认定方法（征求意见稿）》第七条第1款将“未经监护人同意，收集使用14 周岁以下(含)未成年人个人信息”纳入违法违规情形。《数据安全管理办法（征求意见稿）》第十二条规定，收集14周岁以下未成年人个人信息的，应当征得其监护人同意。《个人信息安全规范》（征求意见稿）第5.5c条则明确“收集年满14的未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意。”本条明确了告知并征得监护人明示同意的方式必须显著、清晰，并强调了明示同意的基础，即“具体、清楚、明确，基于自愿”。从明示同意的基础看，与《个人信息安全规范（征求意见稿）》第5.5a条的要求“……明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示”基本保持一致。

本条明确了网络运营者征得同意应提供拒绝选项、明确告知收集使用规则和实质变化后再次征得明示同意的要求。

从网络运营者征得同意应同时提供拒绝选项看，主要在于保障用户自主选择的权利。《APP违法违规收集使用个人信息自评估指南》评估点第23点要求“APP收集个人信息前应提供由用户主动选择同意或不同意的选项……”。本条与前述评估点的思路保持一致。

从明确告知收集使用规则看，在《网络安全法》第四十一条、《App违法违规认定方法（征求意见稿）》第二条和《数据安全管理办法（征求意见稿）》第八条的基础上，本条提出了收集使用儿童个人信息应告知的重点内容。在《数据安全管理办法（征求意见稿）》第八条第二项要求突出网络运营者主要负责人、数据安全责任人的姓名及联系方式的要求的基础上，本条第（四）项提出了个人信息保护专员或者其他联系方式的明确告知要求。这里的“其他联系方式”，我们认为，可以理解为“网络运营者主要负责人、数据安全责任人的联系方式”，但具体认定范围有点监管部门进一步明确。

从告知事项发生实质变化后应再次征得明示同意的要求看，主要在于强调动态的儿童个人信息保护。随着市场环境、用户需求等的变化，网络运营者的业务发展方向等相关情况可能随之发生变化。在发生实质性变化的情况下，原有的儿童监护人对儿童个人信息的明示同意已经无法满足现有的需求。本条要求再次征得监护人的明示同意，有利于在重点告知事项发生实质变化的情况下动态保护儿童个人信息。

本条明确了存储儿童个人信息的最小化期限要求。

在《数据安全管理办法（征求意见稿）》第二十条的基础上，本条主要沿用了《个人信息安全规范（征求意见稿）》第6.1条关于个人信息保存时间的规定，对儿童个人信息保护的最小化期限要求进行了明确。《数据安全管理办法（征求意见稿）》第二十条规定，网络运营者保存个人信息不应超出收集使用规则中的保存期限。而《个人信息安全规范（征求意见稿）》第6.1条则明确“个人信息保存期限应为实现个人信息主体授权使用的目的所必需的最短时间，法律法规另有规定或者个人信息主体另行同意的除外”。本条采用实现收集、使用目的所必须的期限，与前述《个人信息安全规范（征求意见稿）》第6.1条的思路更相近，且没有留下例外情形，体现出对儿童个人信息存储的更严格的最小化期限要求。对于网络运营者而言，一旦超出收集、使用目的所必须的期限存储儿童个人信息，将很难证明其合法性和必要性。

本条明确了存储儿童个人信息的信息安全要求。

在《网络安全法》第二十一条的基础上，本条主要沿用了《数据安全管理办法（征求意见稿）》第十九条和《个人信息安全规范（征求意见稿）》第6.3a条的思路，强调采取加密等措施存储儿童个人信息。《网络安全法》第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务：……（四）采取数据分类、重要数据备份和加密等措施……。《数据安全管理办法（征求意见稿）》第十九条规定，网络运营者应当参照国家有关标准，采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。《个人信息安全规范（征求意见稿）》第6.3a条规定，传输和存储个人敏感信息时，应采用加密等安全措施。

值得注意的是，虽然本条并未明确网络运营者在采取前述措施时应参照的具体国家标准，但结合《网络安全法》第二十一条要求网络运营者履行安全保护义务应基于网络安全等级保护制度的要求，我们理解，网络运营者实际执行本条过程中，应重点参照最新发布的《信息安全技术网络安全等级保护基本要求》（ GB/T 22239-2019)、《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）和《信息安全技术网络安全等级保护安全设计技术要求》（GB/T 25070-2019）等网络安全等级保护制度系列国家标准，履行对个人信息特别是儿童个人信息的安全保护义务。

本条明确了使用儿童个人信息的范围限制和动态限制。

从范围限制看，本条沿用了《网络安全法》第四十一条的思路，结合《数据安全管理办法（征求意见稿）》第二十二条的规定，明确了使用儿童个人信息的范围限制。《网络安全法》第四十一条规定，……网络运营者……不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。《数据安全管理办法（征求意见稿）》第二十二条规定，网络运营者不得违反收集使用规则使用个人信息。本条对使用儿童个人信息保护的范围限制，与前述条款思路基本一致。

从动态限制看，相较于《数据安全管理办法（征求意见稿）》第二十二条的规定，本条沿用了《个人信息安全规范（征求意见稿）》第7.3c）条的思路，强调征得儿童监护人的“明示同意”。《数据安全管理办法（征求意见稿）》第二十二条规定，因业务需要，确需扩大个人信息使用范围的，应当征得个人信息主体同意。此处使用的是“同意”，而非“明示同意”。《个人信息安全规范（征求意见稿）》第7.3c条规定，因业务需要，确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意。从“同意”到明确“明示同意”，体现出对于儿童个人信息动态保护的要求更加严格。

本条明确了儿童个人信息的访问控制要求。

本条主要沿用了《个人信息安全规范（征求意见稿）》第7.1条“个人信息访问控制措施”和第10.2条“个人信息处理活动记录”的要求，明确了对于儿童个人信息访问控制的经审批访问、最小授权原则和记录处理活动的要求，主要防止“内鬼”违规窃取、对外提供和泄漏儿童个人信息。具体理解本条，需要进一步说明两个问题：

第一个问题，经审批访问。与《个人信息安全规范（征求意见稿）》第7.1c条要求重要操作设置内部审批流程、d条要求超权限处理个人信息才需由个人信息保护责任人或个人信息保护工作机构进行审批不同，本条对于儿童个人信息的访问审批要求，未区分是否为重要操作，也未区分是否超权限处理，只要访问儿童个人信息，均需经过个人信息保护专员或者其授权的管理人员审批。

第二个问题，“最小授权”的理解，参照《个人信息安全规范（征求意见稿）》第7.1a条,即访问职责所需的最少够用的个人信息，且仅具备完成职责所需的最少的数据操作权限。

本条明确了儿童个人信息的委托处理要求。

本条主要沿用了《个人信息安全规范（征求意见稿）》第8.1条“委托处理”的要求，明确了网络运营者进行安全评估、签署委托协议和受委托方应当履行的义务要求。

从网络运营者的角度，需要进行安全评估和签署委托协议。“安全评估”的评估对象主要是受委托方和委托行为，评估内容主要是是否在儿童监护人授权范围、受委托方是否具备适当的数据安全能力以及发生儿童个人信息泄露、损毁和丢失的风险等。“签署委托协议”，旨在强调通过协议明确双方责任、处理事项、处理期限、处理性质和目的等，构成对受委托方的有效约束，也一定程度上能够作为网络运营者豁免责任或减轻责任的证明。

从受委托方的角度，需要遵循委托协议的约定，并履行本条约定的六项义务要求。其中，需要指出的是，第（四）项要求“委托关系解除时及时删除儿童个人信息”，使用的措辞是“及时删除”，没有留下允许“匿名化处理”的口子，受委托方需要对此予以关注。

本条明确了共同使用儿童个人信息需征得监护人明示同意的要求。

具体理解本条，包括两个要点：第一个要点，“共同使用”。我们理解，这里的“共同使用”包括了《个人信息安全规范（征求意见稿）》第8.2条“个人信息共享、转让”的要求以及第8.6条“共同个人信息控制者”的要求。也就是说，与第三方共享儿童个人信息、共同收集使用儿童个人信息，均可能纳入“共同使用”的范畴。

第二个要点，“征得监护人明示同意”。“征得监护人明示同意”的内容，可以参考《个人信息安全规范（征求意见稿）》第8.2b条，即“向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型，并事先征得个人信息主体的授权同意。”

本条明确了转让儿童个人信息需进行安全评估和征得监护人明示同意的要求。

本条沿用了《网络安全法》第四十二条“未经被收集者同意，不得向他人提供个人信息”的要求。具体理解本条，需要进一步探讨两个问题：

第一个问题，怎么理解“转移儿童个人信息”中的 “转移”。《个人信息安全规范（征求意见稿）》第3.11条对“转让”的定义为“将个人信息控制权由一个控制者向另一个控制者转移的过程”。我们理解，本条规定的“转移”与该条规定的“转让”无实质性区别，宜作同义理解。而且，从安全评估和征得同意的规定看，本条与《个人信息安全规范（征求意见稿）》第8.2a、b条对个人信息转让要求的思路相近，也能说明将“转移”与“转让”作同义理解具有合理性。

第二个问题，“安全评估”。安全评估的主体，可以是网络运营者自行评估，也可以委托第三方机构进行评估；安全评估的标准，可以参考《信息安全技术 个人信息安全影响评估指南（征求意见稿）》。

本条明确了不得披露儿童个人信息的原则要求和例外情形。

本条主要沿用了《个人信息安全规范（征求意见稿）》第8.4条“个人信息公开披露”的要求。与该条一致的是，儿童个人信息原则上也是不得披露；比该条进一步细化的是，本条明确了例外的具体情形，即从“经法律授权或具备合理事由确需公开披露”细化为“法律、行政法规规定应当披露或者根据与儿童监护人的约定需要披露”；比该条略有不足也是本条未决的问题在于，披露儿童个人信息更易导致儿童个人信息的泄漏等安全风险，本条没有强调需进行安全影响评估和征得儿童监护人的明示同意，可能需要进一步商榷。

本条明确了更正错误儿童个人信息的权利。

本条主要沿用了《网络安全法》第四十三条更正错误个人信息的要求。《网络安全法》第四十三条规定“……发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以……更正”。本条增加了“及时”的要求，强调了对更正儿童个人信息更为紧迫的时间要求。

本条明确了儿童或其监护人在特定情况下享有对其个人信息进行删除的权利。

《网络安全法》第四十三条赋予用户对其个人信息进行更正、删除的权利。《个人信息安全规范（征求意见稿）》第7.8条关于个人信息删除的规定明确了个人信息主体在个人信息控制者违反法律法规或违反与个人信息主体的约定，收集、使用个人信息的，个人信息主体有权要求个人信息控制者及时删除其个人信息；《个人信息安全规范（征求意见稿）》第7.10条关于个人信息主体注销账户的规定明确了个人信息主体注销账户后，个人信息控制者应及时删除其个人信息或做匿名化处理。本条第一款和第四款规定的情形与《个人信息安全规范（征求意见稿）》第7.8条和第7.10条规定的情形大体一致。本条新增了第二款和第三款作为儿童或其监护人要求网络运营者删除其个人信息的特定情形，一是超出范围或必要性对儿童个人信息进行处理，二是儿童监护人撤回同意。根据新增的两款内容，特别是第三款“监护人撤回同意的”，实质上赋予了儿童或其监护人对于儿童个人信息享有更广泛的删除权，即当儿童或其监护人认为确有必要时，即可根据本条内容，要求网络运营者删除儿童个人信息，对儿童个人信息给予充分保护。

本条明确了网络运营者收集、使用、转移、披露儿童个人信息需经儿童监护人明示同意的例外情形。

本条内容基本与《个人信息安全规范（征求意见稿）》第8.5条关于共享、转让、公开披露个人信息时事先征得授权同意的例外的规定的内容一致，但是对第8.5条的相关内容进行了简化，仅采纳了与国家利益、公共利益相关，法律法规规定的情形，并在此基础上新增了为了消除儿童人身或财产上的紧急危险的情形。相较于《个人信息安全规范（征求意见稿）》第8.5条规定的例外情形，本条例外情形明显被缩限，有利于降低网络运营者通过例外情形排除对儿童个人信息的处理需经其监护人明示同意的要求，从而更有利于保护儿童个人权利。

本条明确了网络运营者在发生数据安全事件时的应急处置要求。

本条是对《网络安全法》第二十五条、第四十二条第二款的细化并结合了《个人信息安全规范（征求意见稿）》第9条的规定，明确了网络运营者发现儿童个人信息发生或可能发生泄露、毁损、丢失的，应当立即启动应急预案、采取补救措施，若造成或可能造成严重后果的，应及时向监管部门报告并将事件情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人，难以逐一告知的，应当采取合理、有效的方式发布相关警示信息。关于严重后果的判定标准，可以结合《国家网络安全事件应急预案》等有关规定进行判定。

本条明确了网络运营者配合有关部门开展监督检查的义务。

本条主要是对《网络安全法》第四十九条内容的呼应，明确网络运营者对国家互联网信息办公室和有关部门依法实施的监督检查，应当予以配合。

本条明确了网络运营者停止运营后的责任。

本条与《个人信息安全规范（征求意见稿）》第6.4条关于个人信息控制者停止运营的规定基本一致，将“个人信息”替换为“儿童个人信息”，但是从部分措辞明显可以看出相关部门对儿童个人信息采取更为严格的保护措施。一是本条强调了网络运营者停止运营其产品或服务时，应“立即停止”收集儿童个人信息的活动，而不是《个人信息安全规范（征求意见稿）》第6.4条规定的“及时停止”；二是网络运营者应删除其持有的儿童个人信息，第6.4条规定的匿名化处理方式被删除。

本条明确了公众向有关部门举报的渠道及相关部门收到举报的处理。

从公众向有关部门举报的渠道角度看，任何组织和个人发现有违反本规定行为的，可以向国家互联网信息办公室和其他有关部门举报，这里的“其他有关部门”参照《网络安全法》第十四条公众对危害网络安全行为的举报渠道，宜理解为包括“电信、公安等部门”。

从相关部门收到举报的处理角度看，有关部门“应当依据职责进行处理”包括两个要点，一是属于本部门职责的，应当依法及时作出处理，二是不属于本部门职责的，应当及时移送有权处理的部门。

值得注意的是，本条并未对举报人的信息保护进行说明，根据《网络安全法》第十四条的规定，“有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益”，本规定项下亦应按照《网络安全法》的规定，对举报人的信息予以保密保护。

本条明确了国家互联网信息办公室对网络运营者的主动监管职责。

根据《网络安全法》第五十六条的规定，“省级以上人民政府有关部门在履行网络安全监督管理职责中，发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患”。本条是对《网络安全法》第五十六条内容的升级版，与《数据安全管理办法（征求意见稿）》第三十三条思路更为一致。一方面将监管的主体从“省级以上人民政府有关部门”直接提升至“国家互联网信息办公室”，监管主体层级大幅提升，显示出国家对于儿童个人信息安全的重视；另一方面，网络运营者对约谈的反馈更为严格，从“应当按照要求采取措施，进行整改，消除隐患”提升至“应当按照约谈要求及时采取措施，进行整改，消除隐患”，新增了对网络运营者反馈的及时性要求。

本条明确了网络运营者违反本规定的法律责任。

《网络安全法》第六十四条是针对侵害个人信息依法得到保护的权利的法律责任，本条明确规定网络运营者违反本规定的，有关部门应直接援引《网络安全法》第六十四条的规定对网络运营者进行行政处罚，情节严重的，可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；构成犯罪的，还应承担刑事责任。

本条明确了网络运营者违反本规定除需要承担法律责任外，还会影响其信用档案。

一般情况下，网络运营者违反个人信息保护的相关规定主要需要承担行政、刑事等法律责任，本规定在运用法律责任调整网络运营者行为的同时，还发挥了“市场”的调节作用，新增了“将网络运营者违反本规定的行为记入信用档案，并予以公示”作为对网络运营者违反本规定的惩罚措施之一。众所周知，信用档案是企业信用状况的真实体现，是普通大众进行消费的指南，也是交易决策和企业获得融资、投资的重要参考，将对儿童的个人信息保护与信用档案挂钩，能够从商业角度影响网络运营者的经营管理，增加网络运营者的违规成本，从而能督促网络运营者开展合规运营。

本条明确了“儿童”的认定标准。

《联合国儿童权利公约》将儿童界定为18岁以下的任何人，而本规定中“儿童”的定义主要参考了《中华人民共和国刑法》中“刑事责任年龄”的划分，将无刑事责任的14周岁以下未成年人归于儿童的范围。原因主要有三，一是14周岁以下未成年人在知识、思想、价值观、世界观等均处于一个启蒙阶段，对周围事物缺乏准确的判断能力；二是14-18周岁未成年虽然认识能力和行为能力上确与成年人存在差距，但是生理、心理已趋于成熟，考虑到后续仍会出台针对其个人信息保护相关的《未成年人网络保护条例（送审稿）》，在本规定层面给予其对个人信息一定程度的自主权；三是本规定在儿童个人信息保护方面较为严格，对于网络运营者的合规负担较重，完全一刀切式将18周岁以下未成年人全部纳入儿童范围也将进一步增加网络运营者的负担。此次关于儿童定义的设计体现了立法者结合实际情况，较为灵活的平衡了实体权利保护和网络运营者的成本负担。

本条明确了《儿童信息保护规定（征求意见稿）》正式生效的具体时间。考虑到目前本规定仅处于征求意见稿阶段，具体实施时间有待正式稿出台时进一步明确。