国家网信办发布儿童个人信息网络保护规定

　　全生命周期保护儿童个人信息

　　近日，国家互联网信息办公室正式发布《儿童个人信息网络保护规定》(以下简称《规定》)，明确任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息，网络运营者收集、使用、转移、披露儿童个人信息的，应征得儿童监护人的同意。《规定》自今年10月1日起施行。

　　《法制日报》记者就公众关切的问题采访了业内相关专家。

　　侵权行为屡见不鲜

　　规定出台恰逢其时

　　据中国传媒大学法律系副主任郑宁介绍，这是我国第一部专门针对儿童个人信息保护的部门规章，是网络安全法的配套规章。

　　我国未成年网民数量庞大。共青团中央维护青少年权益部、中国互联网络信息中心发布的《2018年全国未成年人互联网使用情况研究报告》显示，截至2018年7月31日，我国未成年网民(不包括6岁以下群体和非学生)规模达1.69亿，未成年人的互联网普及率达到93.7%，超过同期全国人口的互联网普及率36个百分点。

　　郑宁说：“儿童的判断力和控制力较弱，所以对儿童的网络信息保护有一定的特殊性。并且在实践中，侵犯儿童个人信息的行为屡见不鲜，《规定》出台恰逢其时。”

　　在中国劳动关系学院教授、安全与职业卫生工程研究所副所长任国友看来，《规定》是根据网络安全法、未成年人保护法等法律法规制定的针对儿童个人信息保护的重要法律。

　　任国友分析称，《规定》出台的背景主要有三个：

　　一是互联网时代儿童个人信息保护不力。儿童是国家发展的未来和希望，其认知能力、危险识别能力和自我保护能力相对薄弱，在网络空间内容繁杂、违法违规收集使用个人信息问题层出不穷的形势下，更要加强对儿童个人信息安全的保护。

　　二是互联网时代儿童个人信息保护法律缺失。早在1991年9月4日，第七届全国人民代表大会常务委员会第二十一次会议通过《中华人民共和国未成年人保护法》；2006年12月29日，第十届全国人民代表大会常务委员会第二十五次会议第一次修订通过及2012年10月26日第十一届全国人民代表大会常务委员会第二十九次会议通过第二次修正。未成年人保护法的立法目的主要为了保护未成年人的身心健康，保障未成年人的合法权益，虽经历两次修改，但仍缺少互联网时代儿童个人信息保护规定。《规定》则填补了互联网时代儿童个人信息保护的法律空白。

　　三是开展前期试点及全面推行青少年防沉迷系统。今年5月28日，国家网信办在前期试点3家小视频平台上线青少年防沉迷系统的基础上，统筹指导14家短视频平台和4家网络视频平台统一上线青少年防沉迷系统，青少年防沉迷系统得以全面推行。在网络安全法和未成年人保护法基础上制定的《规定》，结合青少年防沉迷系统的全面推行，能够更好地保护儿童的健康成长，维护儿童在网络空间的合法权益。

　　严格设定访问权限

　　采用加密保护措施

　　《规定》全文共29条，其中有哪些亮点？

　　任国友分析称，其亮点主要表现在四个方面：

　　第一，为儿童个人信息提供全生命周期的保护。明确了任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息，确定了儿童个人信息网络保护的具体原则，以及网信部门和其他有关部门的监管职责。

　　第二，明确了儿童个人信息保护的原则。在网络安全法明确收集使用个人信息应遵循“合法、正当、必要”原则的基础上，进一步提出“知情同意、目的明确、安全保障、依法利用”的原则要求。

　　第三，明确了儿童个人信息保护的规则。从网络运营者设置专门的儿童信息保护规则、用户协议来看，专门的儿童个人信息保护规则在《信息安全技术个人信息安全规范(征求意见稿)》已有相关规定，专门适用于儿童的用户协议则为首次提出。

　　第四，明确了使用儿童个人信息的范围。从范围限制看，沿用了网络安全法第四十一条的思路，结合《数据安全管理办法(征求意见稿)》第二十二条规定，明确使用儿童个人信息的范围限制。网络安全法第四十一条规定，网络运营者不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。《数据安全管理办法(征求意见稿)》第二十二条规定，网络运营者不得违反收集使用规则使用个人信息。《规定》对使用儿童个人信息保护的范围限制，与前述条款思路基本一致。

　　在郑宁看来，《规定》体现了对儿童个人信息权的严格保护理念。她认为《规定》的亮点主要有六个方面：一是要求网络运营者制定专门的儿童个人信息保护规则和用户协议，并需要网络运营者指定专人来负责儿童个人信息保护工作；二是明确了征求同意过程中，应当同时提供拒绝选项；三是要求存储儿童个人信息时，应当采用加密等措施；四是规定网络运营者应当把控内部管理流程，严格设定内部信息访问权限和儿童个人信息知悉范围；五是要求委托第三方处理儿童个人信息时，应当进行安全评估，确定委托范围和相应权利责任；六是对删除权、数据泄露通知等制度作了细致要求。

　　营造安全网络环境

　　守护儿童健康成长

　　谈到《规定》出台的意义，郑宁说：“进一步充实了我国儿童个人信息网络保护的法律依据，标志着我国儿童个人信息保护工作进入了一个新的阶段。”

　　任国友则认为，《规定》出台主要有三个方面的意义：

　　一是有利于督促网络运营者做好儿童个人信息保护的相关工作。长期以来，我国高度重视对青少年合法权益的保护，积极受理处置侵犯儿童姓名权、肖像权、名誉权和隐私权的有害信息。《规定》的出台为进一步压实企业责任、畅通举报渠道提供了法律依据，可更好地督促各网络运营者做好儿童个人信息保护的相关工作。

　　二是有利于全社会信用制度的建设。《规定》第二十四条规定，网络运营者落实儿童个人信息安全管理责任不到位，存在较大安全风险或者发生安全事件的，由国家互联网信息办公室依法进行约谈，网络运营者应当按照约谈要求及时采取措施，进行整改，消除隐患。这是网络安全法第五十六条内容的升级版。一方面将监管的主体从“省级以上人民政府有关部门”直接提升至“国家互联网信息办公室”，监管主体层级大幅提升，显示出国家对于儿童个人信息安全的重视；另一方面，网络运营者对约谈的反馈更严格，从“应当按照要求采取措施，进行整改，消除隐患”提升至“应当按照约谈要求及时采取措施，进行整改，消除隐患”，新增了对网络运营者反馈的及时性要求，这将有利于全社会信用制度的建设。

　　三是为儿童健康成长营造安全的网络环境。通过《规定》的宣传普法，进一步推动广大网民关注儿童个人信息网络保护，全社会共同努力，为儿童健康成长营造安全的网络环境。

　　“总之，《规定》首次系统地规定了儿童个人信息网络保护的要求，相较于14周岁以上的未成年人和成年人，其各项要求均更加严格，有利于更有效地保护儿童在网络空间的合法权益。作为网络安全和个人信息保护方面的重点立法之一，《规定》的出台将积极推动相关部门联动配合，在《规定》的指引下开展儿童个人信息保护的执法工作。”任国友说。

　　郑宁则补充说，《规定》实施后，各方主体都要进行相应的调整。

　　“首先，在政府监管方面，要加强监督检查、接受举报，信用档案公示；其次，网络运营者对儿童个人信息的收集、存储、使用、转移、披露全流程加强保护，完善内部规章制度，并指派专人负责儿童信息保护；第三，监护人应主动学习网络安全知识，具备基本的网络保护能力；最后，互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等，加强行业自律。”郑宁说。

　　本报记者 韩丹东 本报实习生 姜 珊