为了规范收集使用儿童个人信息等行为,保护儿童合法权益,为儿童健康成长创造良好的网上环境,我办起草了《儿童个人信息网络保护规定(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见:

  1.电子邮件:law@cac.gov.cn。

  2.通信地址:北京市西城区车公庄大街11号国家互联网信息办公室政策法规局,收件人:李民、许修安,邮编:100044。来函请在信封上注明“儿童个人信息网络保护规定征求意见”。

  意见反馈截止日期为2019年6月30日。

  附件:《儿童个人信息网络保护规定(征求意见稿)》

国家互联网信息办公室

2019年5月31日

儿童个人信息网络保护规定

(征求意见稿)

    第一条 为了保护儿童个人信息安全,促进儿童健康成长,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律制定本规定。

    第二条 在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,适用本规定。

    第三条 网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。

    第四条 鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等,加强行业自律,履行社会责任。

    第五条 网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并设立个人信息保护专员或者指定专人负责儿童个人信息保护。适用于儿童的用户协议应当简洁、易懂。

    第六条 网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和用户协议的约定收集儿童个人信息。

    第七条 网络运营者收集、使用儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的明示同意。明示同意应当具体、清楚、明确,基于自愿。

    第八条 网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项:

  (一)收集、存储、使用、转移或者披露儿童个人信息的目的、范围、方式和期限;

  (二)儿童个人信息的存储地点和到期后的处理方式;

  (三)儿童个人信息的安全保障措施;

  (四)个人信息保护专员或者其他联系方式;

  (五)拒绝的后果和影响;

  (六)其他应当告知的事项。

  前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的明示同意。

    第九条 网络运营者存储儿童个人信息,不得超过实现其收集、使用目的所必须的期限。

    第十条 网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。

    第十一条 网络运营者使用儿童个人信息,不得超出约定的目的和范围。因业务需要,确需超出目的和范围使用的,应当再次征得儿童监护人的明示同意。

    第十二条 网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过个人信息保护专员或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。

    第十三条 网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。

  前款规定的受委托方,应当履行以下义务:

  (一)按照网络运营者的要求处理儿童个人信息;

  (二)协助网络运营者回应儿童监护人提出的申请;

  (三)采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈;

  (四)委托关系解除时及时删除儿童个人信息;

  (五)不得转委托;

  (六)其他依法应当履行的儿童个人信息保护义务。

    第十四条 网络运营者和第三方共同使用儿童个人信息的,应当征得儿童监护人的明示同意。

    第十五条 网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估,并征得儿童监护人的明示同意。

    第十六条 网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定需要披露的除外。

    第十七条 儿童或者其监护人发现网络运营者收集、存储的儿童个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。

    第十八条 儿童或者其监护人要求网络运营者删除其收集、存储、使用的儿童个人信息的,网络运营者应当及时采取措施予以删除,包括但不限于以下情形:

  (一)网络运营者违反法律、行政法规的规定或者用户协议的约定收集、存储、使用、转移或者披露儿童个人信息的;

  (二)超出目的范围或者必要期限收集、存储、使用、转移或者披露儿童个人信息的;

  (三)儿童监护人撤回同意的;

  (四)儿童或者其监护人通过注销等方式终止使用产品或者服务的。

    第十九条 网络运营者收集、使用、转移、披露儿童个人信息,有以下情形之一的,可以不经过儿童监护人的明示同意:

  (一)为维护国家安全或者公共利益;

  (二)为消除儿童人身或者财产上的紧急危险;

  (三)法律、行政法规规定的其他情形。

    第二十条 网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。

    第二十一条 网络运营者应当对国家互联网信息办公室和其他有关部门依法开展的监督检查予以配合。

    第二十二条 网络运营者停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。

    第二十三条 任何组织和个人发现有违反本规定行为的,可以向国家互联网信息办公室和其他有关部门举报。

    国家互联网信息办公室和其他有关部门收到举报的,应当依据职责进行处理。

    第二十四条 网络运营者落实儿童个人信息安全管理责任不到位,存在较大安全风险或者发生安全事件的,由国家互联网信息办公室依法进行约谈,网络运营者应当按照约谈要求及时采取措施,进行整改,消除隐患。

    第二十五条 违反本规定的,由国家互联网信息办公室和其他有关部门依据职责,根据《中华人民共和国网络安全法》第六十四条的规定责令改正,根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。

    第二十六条 违反本规定被追究法律责任的,依照有关法律、行政法规的规定记入信用档案,并予以公示。

    第二十七条 本规定所称儿童,是指不满十四周岁的未成年人。

    第二十八条 本规定自2019年 月 日起施行。