首部儿童个人信息网络保护规定亮点
点击数:10 更新时间:2025-02-18
首部儿童个人信息网络保护规定是针对儿童信息保护的首次立法。由于儿童心智发育尚不完全,他们在通过网络参与的活动中更容易泄露个人信息。该法的设立旨在保护儿童的合法信息不受非法侵犯。
该规定明确了儿童的定义,指的是不满十四周岁的未成年人。这一规定明确了该法的保护对象。
该规定适用于在中国境内通过网络进行儿童个人信息的收集、存储、使用、转移、披露等涉及数据生命周期的任何行为。
该规定明确了儿童个人信息网络保护的原则。根据第七条的规定,网络运营者在收集、存储、使用、转移、披露儿童个人信息时,应遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。
该规定明确规定,网络运营者在收集、使用、转移、披露儿童个人信息时,应以显著、清晰的方式告知儿童的监护人,并征得其同意。
该规定明确规定了网络运营者委托第三方处理儿童个人信息时的安全评估和技术措施,以避免违法复制、下载儿童个人信息。
第一条:为了保护儿童个人信息安全,促进儿童健康成长,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规,制定本规定。
第二条:本规定所称儿童,是指不满十四周岁的未成年人。
第三条:在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,适用本规定。
第四条:任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。
第五条:儿童监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全。
第六条:鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等,加强行业自律,履行社会责任。
第七条:网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。
第八条:网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。
第九条:网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。
第十条:网络运营者征得同意时,应当同时提供拒绝选项,并明确告知收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围,儿童个人信息存储的地点、期限和到期后的处理方式,儿童个人信息的安全保障措施,拒绝的后果,投诉、举报的渠道和方式,更正、删除儿童个人信息的途径和方法,以及其他应当告知的事项。如上述告知事项发生实质性变化,应当再次征得儿童监护人的同意。
第十一条:网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。
第十二条:网络运营者存储儿童个人信息,不得超过实现其收集、使用目的所必需的期限。
第十三条:网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。
第十四条:网络运营者使用儿童个人信息时,不得违反法律、行政法规的规定和双方约定的目的、范围。如因业务需要确需超出约定的目的、范围使用,应当再次征得儿童监护人的同意。
第十五条:网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息时,应经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。
第十六条:网络运营者委托第三方处理儿童个人信息时,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。受委托方应当按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息,协助网络运营者回应儿童监护人提出的申请,采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈,解除委托关系时及时删除儿童个人信息,不得转委托,以及其他依法应当履行的儿童个人信息保护义务。
第十七条:网络运营者向第三方转移儿童个人信息时,应当自行或委托第三方机构进行安全评估。
第十八条:网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或根据与儿童监护人的约定可以披露的除外。
第十九条:儿童或其监护人发现网络运营者收集、存储、使用、披露的儿童个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。
第二十条:儿童或其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的,网络运营者应当及时采取措施予以删除。包括但不限于以下情形:网络运营者违反法律、行政法规的规定或双方的约定收集、存储、使用、转移、披露儿童个人信息的;超出目的范围或必要期限收集、存储、使用、转移、披露儿童个人信息的;儿童监护人撤回同意的;儿童或其监护人通过注销等方式终止使用产品或服务的。
第二十一条:网络运营者发现儿童个人信息发生或可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施。如造成或可能造成严重后果,应当立即向有关主管部门报告,并以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。
第二十二条:网络运营者应当配合网信部门和其他有关部门依法开展的监督检查。
第二十三条:网络运营者停止运营产品或服务时,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并及时告知儿童监护人停止运营的通知。
第二十四条:任何组织和个人发现有违反本规定行为的,可以向网信部门和其他有关部门举报。相关部门收到举报后,应当依据职责及时进行处理。
第二十五条:网络运营者未能落实儿童个人信息安全管理责任,存在较大安全风险或发生安全事件的,网信部门有权依据职责约谈,并要求网络运营者及时采取措施进行整改,消除隐患。
第二十六条:违反本规定的行为,网信部门和其他有关部门依据职责,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规进行处理。构成犯罪的,依法追究刑事责任。
第二十七条:违反本规定被追究法律责任的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
第二十八条:对于通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的情况,依照其他有关规定执行。
第二十九条:本规定自2019年10月1日起施行。