兒童個人信息網路保護規定

（徵求意見稿）

第一條 為了保護兒童個人信息安全，促進兒童健康成長，根據《中華人民共和國網路安全法》《中華人民共和國未成年人保護法》等法律制定本規定。

第二條 在中華人民共和國境內通過網路從事收集、存儲、使用、轉移、披露兒童個人信息等活動，適用本規定。

第三條 網路運營者收集、存儲、使用、轉移、披露兒童個人信息的，應當遵循正當必要、知情同意、目的明確、安全保障、依法利用的原則。

第四條 鼓勵網際網路行業組織指導推動網路運營者制定兒童個人信息保護的行業規範、行為準則等，加強行業自律，履行社會責任。

第五條 網路運營者應當設定專門的兒童個人信息保護規則和用戶協定，並設立個人信息保護專員或者指定專人負責兒童個人信息保護。適用於兒童的用戶協定應當簡潔、易懂。

第六條 網路運營者不得收集與其提供的服務無關的兒童個人信息，不得違反法律、行政法規的規定和用戶協定的約定收集兒童個人信息。

第七條 網路運營者收集、使用兒童個人信息的，應當以顯著、清晰的方式告知兒童監護人，並應當徵得兒童監護人的明示同意。明示同意應當具體、清楚、明確，基於自願。

第八條 網路運營者徵得同意時，應當同時提供拒絕選項，並明確告知以下事項：

（一）收集、存儲、使用、轉移或者披露兒童個人信息的目的、範圍、方式和期限；

（二）兒童個人信息的存儲地點和到期後的處理方式；

（三）兒童個人信息的安全保障措施；

（四）個人信息保護專員或者其他聯繫方式；

（五）拒絕的後果和影響；

（六）其他應當告知的事項。

前款規定的告知事項發生實質性變化的，應當再次徵得兒童監護人的明示同意。

第九條 網路運營者存儲兒童個人信息，不得超過實現其收集、使用目的所必須的期限。

第十條 網路運營者應當採取加密等措施存儲兒童個人信息，確保信息安全。

第十一條 網路運營者使用兒童個人信息，不得超出約定的目的和範圍。因業務需要，確需超出目的和範圍使用的，應當再次徵得兒童監護人的明示同意。

第十二條 網路運營者對其工作人員應當以最小授權為原則，嚴格設定信息訪問許可權，控制兒童個人信息知悉範圍。工作人員訪問兒童個人信息的，應當經過個人信息保護專員或者其授權的管理人員審批，記錄訪問情況，並採取技術措施，避免違法複製、下載兒童個人信息。

第十三條 網路運營者委託第三方處理兒童個人信息的，應當對受委託方及委託行為等進行安全評估，簽署委託協定，明確雙方責任、處理事項、處理期限、處理性質和目的等，委託行為不得超出授權範圍。

前款規定的受委託方，應當履行以下義務：

（一）按照網路運營者的要求處理兒童個人信息；

（二）協助網路運營者回應兒童監護人提出的申請；

（三）採取措施保障信息安全，並在發生兒童個人信息泄露安全事件時，及時向網路運營者反饋；

（四）委託關係解除時及時刪除兒童個人信息；

（五）不得轉委託；

（六）其他依法應當履行的兒童個人信息保護義務。

第十四條 網路運營者和第三方共同使用兒童個人信息的，應當徵得兒童監護人的明示同意。

第十五條 網路運營者向第三方轉移兒童個人信息的，應當自行或者委託第三方機構進行安全評估，並徵得兒童監護人的明示同意。

第十六條 網路運營者不得披露兒童個人信息，但法律、行政法規規定應當披露或者根據與兒童監護人的約定需要披露的除外。

第十七條 兒童或者其監護人發現網路運營者收集、存儲的兒童個人信息有錯誤的，有權要求網路運營者予以更正。網路運營者應當及時採取措施予以更正。

第十八條 兒童或者其監護人要求網路運營者刪除其收集、存儲、使用的兒童個人信息的，網路運營者應當及時採取措施予以刪除，包括但不限於以下情形：

（一）網路運營者違反法律、行政法規的規定或者用戶協定的約定收集、存儲、使用、轉移或者披露兒童個人信息的；

（二）超出目的範圍或者必要期限收集、存儲、使用、轉移或者披露兒童個人信息的；

（三）兒童監護人撤回同意的；

（四）兒童或者其監護人通過註銷等方式終止使用產品或者服務的。

第十九條 網路運營者收集、使用、轉移、披露兒童個人信息，有以下情形之一的，可以不經過兒童監護人的明示同意：

（一）為維護國家安全或者公共利益；

（二）為消除兒童人身或者財產上的緊急危險；

（三）法律、行政法規規定的其他情形。

第二十條 網路運營者發現兒童個人信息發生或者可能發生泄露、毀損、丟失的，應當立即啟動應急預案，採取補救措施；造成或者可能造成嚴重後果的，應當立即向有關主管部門報告，並將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的兒童及其監護人，難以逐一告知的，應當採取合理、有效的方式發布相關警示信息。

第二十一條 網路運營者應當對國家網際網路信息辦公室和其他有關部門依法開展的監督檢查予以配合。

第二十二條 網路運營者停止運營產品或者服務的，應當立即停止收集兒童個人信息的活動，刪除其持有的兒童個人信息，並將停止運營的通知及時告知兒童監護人。

第二十三條 任何組織和個人發現有違反本規定行為的，可以向國家網際網路信息辦公室和其他有關部門舉報。

國家網際網路信息辦公室和其他有關部門收到舉報的，應當依據職責進行處理。

第二十四條 網路運營者落實兒童個人信息安全管理責任不到位，存在較大安全風險或者發生安全事件的，由國家網際網路信息辦公室依法進行約談，網路運營者應當按照約談要求及時採取措施，進行整改，消除隱患。

第二十五條 違反本規定的，由國家網際網路信息辦公室和其他有關部門依據職責，根據《中華人民共和國網路安全法》第六十四條的規定責令改正，根據情節單處或者並處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款；情節嚴重的，並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照；構成犯罪的，依法追究刑事責任。

第二十六條 違反本規定被追究法律責任的，依照有關法律、行政法規的規定記入信用檔案，並予以公示。

第二十七條 本規定所稱兒童，是指不滿十四周歲的未成年人。

第二十八條本規定自2019年 月 日起施行。

對於網路運營者，《徵求意見稿》要求，網路運營者收集、存儲、使用、轉移、披露兒童個人信息的，應當遵循正當必要、知情同意、目的明確、安全保障、依法利用的原則，應當設定專門的兒童個人信息保護規則和用戶協定，並設立個人信息保護專員或者指定專人負責兒童個人信息保護。適用於兒童的用戶協定應當簡潔、易懂。

網路運營者不得收集與其提供的服務無關的兒童個人信息，不得違反法律、行政法規的規定和用戶協定的約定收集兒童個人信息。網路運營者收集、使用兒童個人信息的，應當以顯著、清晰的方式告知兒童監護人，並應當徵得兒童監護人的明示同意。明示同意應當具體、清楚、明確，基於自願。

同時，網路運營者徵得同意時，應當同時提供拒絕選項，並明確告知以下事項：（一）收集、存儲、使用、轉移或者披露兒童個人信息的目的、範圍、方式和期限；（二）兒童個人信息的存儲地點和到期後的處理方式；（三）兒童個人信息的安全保障措施；（四）個人信息保護專員或者其他聯繫方式；（五）拒絕的後果和影響；（六）其他應當告知的事項。

網路運營者存儲兒童個人信息，不得超過實現其收集、使用目的所必須的期限。網路運營者應當採取加密等措施存儲兒童個人信息，確保信息安全。

《徵求意見稿》還表示，網路運營者委託第三方處理兒童個人信息的，應當對受委託方及委託行為等進行安全評估，簽署委託協定，明確雙方責任、處理事項、處理期限、處理性質和目的等，委託行為不得超出授權範圍。

前款規定的受委託方，應當履行以下義務：

（一）按照網路運營者的要求處理兒童個人信息；

（二）協助網路運營者回應兒童監護人提出的申請；

（三）採取措施保障信息安全，並在發生兒童個人信息泄露安全事件時，及時向網路運營者反饋；

（四）委託關係解除時及時刪除兒童個人信息;

（五）不得轉委託；

（六）其他依法應當履行的兒童個人信息保護義務。

網路運營者和第三方共同使用兒童個人信息的，應當徵得兒童監護人的明示同意。網路運營者向第三方轉移兒童個人信息的，應當自行或者委託第三方機構進行安全評估，並徵得兒童監護人的明示同意。

《徵求意見稿》表示，兒童或者其監護人發現網路運營者收集、存儲的兒童個人信息有錯誤的，有權要求網路運營者予以更正。兒童或者其監護人要求網路運營者刪除其收集、存儲、使用的兒童個人信息的，網路運營者應當及時採取措施予以刪除。

此外，《徵求意見稿》明確指出，違反本規定的，由國家網際網路信息辦公室和其他有關部門依據職責，根據《中華人民共和國網路安全法》第六十四條的規定責令改正，根據情節單處或者並處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款；情節嚴重的，並可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照；構成犯罪的，依法追究刑事責任。