8月23日,中央网信办正式发布《儿童个人信息网络保护规定》(以下简称《规定》),这是我国第一部专门针对儿童网络保护的立法,具有里程碑意义。
当前,儿童的触网年龄越来越低,越来越多的未成年人使用网络进行学习和娱乐。根据共青团中央维护青少年权益部、中国互联网络信息中心(CNNIC)发布的《2018年全国未成年人互联网使用情况研究报告》,截至2018年7月31日,我国未成年网民(不包括6岁以下群体和非学生)规模达1.69亿,未成年人的互联网普及率达到93.7%,其中小学、初中学生上网比例分别达到89.5%和99.4%,远远高于同期全国人口的互联网普及率(57.7%)。未成年人拥有独自上网设备的比例达到77.6%,其中69.7%有手机,24.6%有平板电脑,13.9%有笔记本电脑。
由此可见,使用互联网是当今未成年人的重要权利和基本技能,高达87.4%的未成年人利用互联网进行学习,许多中小学校都在利用学习类App开展学习。如果完全拒绝互联网,毫无疑问将严重影响未成年人的发展权。同时,网络信息内容良莠不齐,网络暴力、网络违法和不良信息仍然存在,一些网站和App非法收集、滥用、买卖未成年人个人信息的事件频频发生,严重威胁未成年人,特别是14岁以下儿童的身心健康和安全。这已经成为一个严重的社会性问题。
我国《网络安全法》规定,国家依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、健康的网络环境。《未成年人保护法》规定,未成年人享有生存权、发展权、受保护权、参与权等权利,国家根据未成年人身心发展特点给予特殊、优先保护,保障未成年人的合法权益不受侵犯。据此,《规定》针对14岁以下未成年人的个人信息进行特殊、优先保护,非常及时和必要。
作为一部专门立法,《规定》对儿童个人信息进行全生命周期保护,包括收集、存储、使用、转移、披露、删除等环节。《规定》明确了以下重要制度,以强化对儿童个人信息的保护。
首先,设置儿童个人信息保护的专门规则、协议和责任人。《规定》明确,网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护,这充分体现了对儿童的特殊保护、优先保护的原则。特别是儿童个人信息保护责任人的确立,十分有利于责任的追究,将有效遏制当前猖獗的儿童个人信息非法买卖现象。
其次,实行严格的“同意规则”。对于儿童个人信息的收集、使用、转移、披露,《规定》要求网络运营者应当以显著、清晰的方式告知儿童监护人,并应当征得其同意,并同时提供拒绝选项。网络运营者征得同意时,应明确告知:收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;儿童个人信息的存储地点、期限和到期后的处理方式;儿童个人信息的安全保障措施;拒绝的后果;投诉、举报渠道和方式;更正、删除儿童个人信息的途径和方法等事项。如果上述告知事项发生实质性变化的,还应当再次征得儿童监护人的同意。
第三,明确了儿童个人信息保护的“最小原则”。一是,运营商对儿童个人信息的收集范围和数量应遵循最小原则,不得收集与其提供的服务无关的儿童个人信息。二是,网络运营者存储儿童个人信息应遵循最短期限原则,不得超过实现其收集、使用目的所必需的期限。三是,网络运营者对其工作人员的授权应遵循最小原则,严格设定信息访问权限,控制儿童个人信息知悉范围,并要求工作人员访问儿童个人信息应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,采取技术措施,避免违法复制、下载儿童个人信息。
第四,确立了儿童个人信息安全评估制度。《规定》明确,网络运营者委托第三方处理儿童个人信息、向第三方转移儿童个人信息的,均应当进行安全评估。经评估达不到安全保护要求的,不得进行委托和转移,否则应承担法律责任。
第五,进一步明确了儿童个人信息的删除制度。《规定》对儿童个人信息的删除进行了细化,明确规定了以下5种情形:网络运营者违法或者违约收集、存储、使用、转移、披露儿童个人信息的;超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的;儿童监护人撤回同意的;儿童或其监护人通过注销等方式终止使用产品或服务的;另外,当网络运营者停止运营产品或服务时,也应当删除其持有的儿童个人信息。
此外,《规定》还明确了监护人的责任。父母作为监护人,是孩子的第一任老师和第一责任人。《规定》特别明确,儿童监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,维护儿童个人信息安全。为此,父母应当主动学习网络安全知识,增强网络安全意识,具备基本的网络保护能力,这样才能更好地保护好自己的孩子,成为网络信息时代的合格父母。
儿童个人信息网络保护规定
第一条 为了保护儿童个人信息安全,促进儿童健康成长,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规,制定本规定。
第二条 本规定所称儿童,是指不满十四周岁的未成年人。
第三条 在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,适用本规定。
第四条 任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。
第五条 儿童监护人应当正确履行监护职责,教育引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全。
第六条 鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等,加强行业自律,履行社会责任。
第七条 网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。
第八条 网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。
第九条 网络运营者收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。
第十条 网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项:
(一)收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;
(二)儿童个人信息存储的地点、期限和到期后的处理方式;
(三)儿童个人信息的安全保障措施;
(四)拒绝的后果;
(五)投诉、举报的渠道和方式;
(六)更正、删除儿童个人信息的途径和方法;
(七)其他应当告知的事项。
前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的同意。
第十一条 网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。
第十二条 网络运营者存储儿童个人信息,不得超过实现其收集、使用目的所必需的期限。
第十三条 网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。
第十四条 网络运营者使用儿童个人信息,不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人的同意。
第十五条 网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。
第十六条 网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。
前款规定的受委托方,应当履行以下义务:
(一)按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息;
(二)协助网络运营者回应儿童监护人提出的申请;
(三)采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈;
(四)委托关系解除时及时删除儿童个人信息;
(五)不得转委托;
(六)其他依法应当履行的儿童个人信息保护义务。
第十七条 网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估。
第十八条 网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。
第十九条 儿童或者其监护人发现网络运营者收集、存储、使用、披露的儿童个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。
第二十条 儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的,网络运营者应当及时采取措施予以删除,包括但不限于以下情形:
(一)网络运营者违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露儿童个人信息的;
(二)超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的;
(三)儿童监护人撤回同意的;
(四)儿童或者其监护人通过注销等方式终止使用产品或者服务的。
第二十一条 网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。
第二十二条 网络运营者应当对网信部门和其他有关部门依法开展的监督检查予以配合。
第二十三条 网络运营者停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。
第二十四条 任何组织和个人发现有违反本规定行为的,可以向网信部门和其他有关部门举报。
网信部门和其他有关部门收到相关举报的,应当依据职责及时进行处理。
第二十五条 网络运营者落实儿童个人信息安全管理责任不到位,存在较大安全风险或者发生安全事件的,由网信部门依据职责进行约谈,网络运营者应当及时采取措施进行整改,消除隐患。
第二十六条 违反本规定的,由网信部门和其他有关部门依据职责,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规规定处理;构成犯罪的,依法追究刑事责任。
第二十七条 违反本规定被追究法律责任的,依照有关法律、行政法规的规定记入信用档案,并予以公示。
第二十八条 通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的,依照其他有关规定执行。
第二十九条 本规定自2019年10月1日起施行。
保护未成年人,就是保护我们的未来。《规定》颁布后,网络运营者应当积极主动进行自查,检视有关儿童个人信息保护的规定和做法,建章立制,查漏补缺,确保符合《规定》的要求,共同为儿童的健康成长营造一个清朗网络空间。