2019年8月22日，《兒童個人信息網絡保護規定》（國家互聯網信息辦公室令第4號，以下簡稱《規定》）公布，自10月1日起正式施行，針對中華人民共和國境內通過網絡收集、存儲、使用、轉移、披露不滿十四周歲的兒童個人信息進行規范。

　　一、主要內容

　　《規定》的主要內容包括以下幾個方面：

　　一是針對兒童個人信息的全生命周期提出更為嚴格審慎的規范原則，并落實在具體規則中。明確兒童個人信息的收集、存儲、使用、轉移行為應當遵循正當必要、知情同意、目的明確、安全保障、依法利用的原則。

　　二是進一步明確兒童及其監護人針對兒童個人信息享有的各項權能。包括在收集、使用、轉移、披露環節，兒童監護人的知情權、同意權，及上述環節中相關要素發生實質性變更時的再次授權；兒童及其監護人發現兒童個人信息存在誤差時的信息更正權；以及發現網絡運營者違法、違規收集、存儲、使用、轉移、披露，或撤回同意、停止服務時的信息刪除權。

　　三是明確網絡運營者針對兒童個人信息的專門性、特設性保護義務。包括專條、專員——設置專門的兒童個人信息保護規則和用戶協議，指定專員負責兒童個人信息保護；知情同意——提供更加詳細、靈活的用戶協議（隱私條款）并以顯著、清晰的方式告知監護人并征得監護人同意，且發生實質性變化時需再次征得同意；最小存儲——存儲兒童個人信息不得超過實現其收集、使用目的所必須的期限，停止運營產品或者服務時應當立即停止收集并刪除其持有的兒童個人信息；最小訪問——內部工作人員嚴格按照權限、經過審批訪問數據，嚴控知悉范圍、記錄訪問情況、防止非法獲取；泄露及停業通知——兒童個人信息發生泄露、毀損、丟失，造成或者可能造成嚴重后果的，應當報告主管部門，并逐一告知兒童及其監護人或發布公告，停止服務的應當告知監護人；安全存儲——存儲兒童個人信息應當采取加密等措施；共享、披露限制——涉及向第三方轉移兒童個人信息的，需經安全評估，涉及委托第三方處理兒童個人信息的，簽署委托協議，規范雙方權利義務。

　　四是自動例外。即通過計算機信息系統自動留存處理信息且無法識別所留存處理的信息屬于兒童個人信息的，不需按照本規定操作。

　　總體來看，《規定》在《網絡安全法》等個人信息保護立法一般規則的基礎上，針對兒童這一特殊保護主體，規定了更為嚴格的信息保護義務，賦予兒童及其監護人更為全面、更為有力的權能。

　　二、亮點解析

　　從全球兒童個人信息保護總體形勢來看，兒童逐步成為隱私泄露和身份盜竊的高危人群。在美國，每年有130萬兒童信息被盜用，是成年人的51倍，近年來，澳大利亞、韓國等國家也紛紛出臺兒童個人信息保護專門規定，美國也曾討論修訂《兒童在線隱私保護法》（以下簡稱COPPA）,強化未成年人個人信息保護。總體來看，各國兒童數據保護呈加嚴趨勢。

　　從我國實踐情況來看，未成年人的互聯網普及率達到93.7%，不滿18周歲網民數量高達1.69億，但普遍缺乏個人信息保護意識，其中11歲以下的兒童對隱私設置的了解較少，11至16歲兒童中僅26%的兒童采取網上隱私保護措施。在此背景下，通過專門規定加強對兒童個人信息的保護是十分必要且有益的，從《規定》的具體內容來看，以下亮點值得深入分析：

　　（一）保護對象范圍的劃定

　　作為專門針對兒童的信息保護規范，《規定》首先需要解決的問題為劃定保護對象的范圍。第二條將本《規定》中的“兒童”明確為不滿十四周歲的未成年人。事實上，對于“兒童”的界定，各國根據其文化傳統和立法需求存在較大差異，美國COPPA的主要保護對象為13周歲以下的兒童，歐盟《通用數據保護條例》允許各成員國保留設定本國受規定保護兒童年齡的權限——在13至16周歲之間，此外韓國14周歲，澳大利亞13周歲，因此從各國立法規定來看，通常將保護對象限定于13至16歲之間。

　　回歸我國現實情況，一方面，《刑法》第二百六十二條“拐騙兒童罪”已經對“兒童”作出年齡界定——“不滿十四周歲的未成年人”；另一方面，隨著信息網絡的逐漸普及，兒童心智成熟的年齡段普遍提前，十四周歲的兒童通常已經具備一定的認知能力，在一定程度上能夠判斷和把控自身行為，此外，立法還需考慮執法的成本及對互聯網產業發展的長遠影響，因此從保護立法統一性、合理性、科學性角度出發，將保護對象界定為不滿十四周歲的未成年人是較為符合我國立法現狀、監管需求及產業發展實踐的。

　　（二）知情同意的補全

　　從《規定》明確的主體權能來看，兒童監護人在兒童信息被收集、存儲、使用、轉移過程中享有知情同意的權能。從該項權能的來源來看，《民法總則》規定不滿八周歲的未成年人，需由監護人代理實施民事法律行為，已滿八周歲不滿十四周歲的，除純獲利益的民事法律行為或者與其年齡、智力相適應的民事法律行為，須經監護人同意、追認。

　　在此基礎上，當涉及《網絡安全法》等個人信息保護立法所設置的知情同意規則時，由于不滿十四周歲的兒童尚不具備完全的民事行為能力，對其自身權利的認知不足，處分自身權益的意思表示存在瑕疵，需要監護人的補全，因此各國普遍在立法中規定了由其監護人代行同意的措施，《規定》也吸收借鑒了上述規則，此外，《規定》還規定了停止服務及信息泄露時的告知義務，確保了監護人及兒童在數據全生命周期事前、事中、事后的知情和決定權能。

　　（三）分級分類和強化保護

　　兒童作為特殊主體，一方面由于其心智尚不成熟，對其個人信息的價值及被違法收集、使用的后果缺乏清晰的認知，另一方面，由于兒童本身的自我保護能力不足，難以主動核對其信息的準確性、安全性，一旦信息泄露后也更加容易成為非法侵害的重災區。因此需要網絡運營者采取更加具體、更加有力的措施對其進行專門保護。

　　知情同意原則的有效性問題長期受到詬病，針對該問題，《規定》細化了告知事項，并提供拒絕同意選項，保障兒童及監護人享有更高的透明度和自由選擇權；此外在兒童個人信息的全生命周期，相較于數據流通、共享等自由價值，《規定》更加強調安全、穩定等秩序價值，包括貫穿始終的目的限定、最小夠用、訪問限制以及及時刪除等規則，確保兒童個人信息獲得更高程度的安全保障。

　　（四）例外條款

　　最后，《規定》設置了例外條款，排除了通過計算機信息系統自動留存處理且無法識別是否兒童的個人信息，減輕了網絡運營者對于非主動收集信息的普遍保護義務，但對于其中能夠識別為兒童個人信息的，當然仍需適用《規定》，適當的平衡了企業的安全保障義務與合規運行成本。

　　總體來看，《規定》是在當前形勢下，對兒童個人信息保護的有力保障，同時也是有益探索。據悉，相關部門正在研究修訂《未成年人保護法》、推動《未成年人網絡保護條例》出臺，以進一步加強未成年人網絡保護，《規定》的實施能夠在積累有益經驗的基礎上，為未來立法的出臺貢獻力量。

未經允許不得轉載：網信浙江 » 《兒童個人信息網絡保護規定》亮點解讀