首頁 / 文章發布 / 君合法評 / 君合法評詳情

《兒童個人信息網絡保護規定》正式發布

2019.08.27 董瀟 袁瓊

2019年8月23日,國家互聯網信息辦公室(“網信辦”)正式發布《兒童個人信息網絡保護規定》(“《規定》”)。規定將于2019年10月1日起生效。這是我國首次針對兒童出臺的專門性的個人信息保護相關的法規,企業需要根據《規定》要求相應調整關于兒童個人信息保護的合規實踐。


一、相較《征求意見稿》的新變化


網信辦于今年5月23日公布《兒童個人信息網絡保護規定》(征求意見稿)(“《征求意見稿》”),征求意見1個月。相比《征求意見稿》,正式稿僅進行了有限的調整,主要的幾點變化包括:


1. 將收集、使用、轉移、披露兒童個人信息時應當征得兒童監護人的“明示同意”改為了“同意”。


《征求意見稿》中原來強調,收集、使用、轉移、披露兒童個人信息,均應當征得兒童監護人的明示同意。明示同意應當具體、清楚、明確,基于自愿。


《規定》第9條刪除了明示的要求,僅要求征得兒童監護人的同意。


盡管《網絡安全法》未規定同意的具體形式,但推薦性國家標準《信息安全技術個人信息安全規范》(“《信安規范》”) 將未成年人的個人信息列為個人敏感信息,并于5.5條規定,收集個人敏感信息時,應取得個人信息主體的明示同意,確保明示同意是在完全知情的基礎上自愿給出的、具體的、清晰明確的愿望表示。收集年滿14的未成年人的個人信息,應征得未成年人或其監護人的明示同意;不滿14周歲的,應征得其監護人的明示同意


《征求意見稿》原來的要求與《信安規范》一脈相承,而《規定》做出了如此調整后,企業是否還需要遵守《信安規范》的要求,是否可以采取其他方式獲取監護人關于兒童個人信息的收集和使用的同意,目前尚不清晰,有待于監管部門進一步的澄清。


2. 兒童隱私政策中增加了“投訴、舉報的渠道和方式”、“更正、刪除兒童個人信息的途徑和方法”兩項必需的內容。


《規定》第10條要求,“網絡運營者征得同意時,應當同時提供拒絕選項,并明確告知以下事項:


(一)收集、存儲、使用、轉移、披露兒童個人信息的目的、方式和范圍;

(二)兒童個人信息存儲的地點、期限和到期后的處理方式;

(三)兒童個人信息的安全保障措施;

(四)拒絕的后果;

(五)投訴、舉報的渠道和方式;

(六)更正、刪除兒童個人信息的途徑和方法;

(七)其他應當告知的事項。


前款規定的告知事項發生實質性變化的,應當再次征得兒童監護人的同意。”


該條對兒童版的專門隱私政策的內容提出了具體的要求。值得注意的是,網絡運營者應當對存儲地點、期限以及到期后的處理方式、安全保障措施、投訴舉報的渠道和方式、更正刪除的途徑和方法均作出明確的說明。目前《網絡安全法》對上述信息沒有強制性列舉要求,但《信安規范》附錄的隱私政策模板和《App違法違規收集使用個人信息自評估指南》分別涵蓋了以上部分要求。可見,《規定》在現有的標準、規范、指南的基礎上,對兒童版專門隱私政策的內容作了更全面的完整的梳理。網絡運營者在制定專門的隱私政策時,應特別注意內容的完備性要求。


取消了收集、使用、轉移、披露兒童個人信息時豁免監護人授權的例外情形。


《征求意見稿》規定,為維護國家安全或者公共利益,或為消除兒童人身或者財產上的緊急危險,或法律、行政法規規定的其他情形下,可以不經過兒童監護人的明示同意而收集、使用、轉移、披露兒童個人信息。但《規定》中刪除了該條規定。


新增第28條信息系統自動留存并且無法識別為兒童個人信息的特殊規定。


《規定》新增的第28條規定,“通過計算機信息系統自動存儲處理信息且無法識別所留存處理的信息屬于兒童個人信息的,依照其他有關規定執行”。可以看出,立法者希望通過這一條規定為企業解決系統自動存儲處理信息而無法識別是否為兒童個人信息時的困境。但具體如何操作和解釋,還有待于進一步觀察。


除以上重點變化外,我們還建議企業關注《規定》中的以下要求:


二、“兒童”的定義


《規定》首次從部門規章層面確立的“兒童”的概念,將《信安規范》提出的14周歲以法規的形式確立下來,明確說明“本規定所稱兒童,是指不滿十四周歲的未成年人”、“網絡運營者收集、使用兒童個人信息的,應當以顯著、清晰的方式告知兒童監護人,并應當征得兒童監護人的同意。”


三、專人負責、專門隱私政策


《規定》首次提出,網絡運營者應當設置專門的兒童個人信息保護規則和用戶協議,并指定專人負責兒童個人信息保護。這一條對目前各企業的實踐提出了全新的要求,如按此執行,各企業對于兒童個人信息的收集、使用規則均將重新梳理、考量和制定相應的專門規則。并且,要安排專人負責兒童個人信息保護。


四、最小授權


《規定》首次提出應對內部工作人員最小授權,嚴格設定訪問權限,控制知悉范圍。并要求工作人員經過兒童個人信息保護負責人或其授權的管理人員審批后方可訪問兒童個人信息。訪問情況應被記錄,并采取技術措施,避免違法復制、下載兒童個人信息。


這些實操層面保護個人信息的手段,被《規定》強制性要求,用于保護兒童個人信息。


五、委托處理的要求


委托處理兒童個人信息的,要求對受委托方及委托行為等進行安全評估、簽署委托協議。《規定》還強制要求受委托方協助委托方回應兒童監護人提出的申請,采取措施保障信息安全,在發生兒童個人信息泄漏安全事件時,及時向委托方反饋;委托關系解除時及時刪除;不得轉委托。


六、我們的觀察


《規定》對兒童個人信息的保護提出了相較于普通個人信息保護更高的要求。實踐中,對于不針對兒童提供服務的企業,如何避免收集兒童個人信息;對于針對兒童提供服務的企業,如何去完善合規,設置內部管理制度和外部隱私政策,《規定》都提出了新的疑問和挑戰。

君合是兩大國際律師協作組織Lex MundiMultilaw中唯一的中國律師事務所成員,同時還與亞歐主要國家最優秀的一些律師事務所建立Best Friends協作伙伴關系。通過這些協作組織和伙伴,我們的優質服務得以延伸至幾乎世界每一個角落。
K歌乐韵APP
江苏地区的麻将 湘娱湖南麻将官网 雷速体育进球图片 广西快乐双彩开奖公布 体彩p3 重庆麻将规则算账 大北农股票行情走势 好玩的正规的棋牌游戏平台 cba即时指数 幸运赛车开奖网址 850棋牌游戏官网 …? 今天湖北十一选五一 篮球比分直播qq 遇乐棋牌大厅安装 北京赛车pk10定位 内蒙古11选5奖金规则