2019年8月23日，为了规范收集使用儿童个人信息等行为，保护儿童合法权益，为儿童健康成长创造良好的网上环境，国家互联网信息办公室正式发布《儿童个人信息网络保护规定》(以下简称《规定》)。此前，为提高立法公众参与度，广泛凝聚社会共识，推进科学立法、民主立法、开门立法，国家互联网信息办公室今年5月发布《规定》征求意见稿，面向大众公开征求意见。在充分听取、吸纳各方意见的基础上，发布了本《规定》，为我国完善儿童个人信息网络保护相关工作提供了依据。作为国内第一部专门规范儿童个人信息网络保护的规定，有很多值得关注的地方。<br> 亮点一：首部立法<br> 《规定》是我国首部规定儿童个人信息网络保护的专门立法。与成年人相比，儿童心智发育尚不完全，在通过网络参与的活动中更极易泄露个人信息，而且儿童对于自己的行为性质和行为后果均缺乏必要的判断和识别能力，个人信息关系到其切实利益和健康成长，需要予以特别保护，因此相关保护工作尤为重要。此前，我国涉及儿童个人信息网络保护的规定分散于不同的法律文件中，缺乏专门性保护立法。《民法总则》《网络安全法》《全国人大常委会关于加强网络信息保护的决定》等法律法规对个人信息的收集、使用、保护等作出了规定，《未成年人保护法》《北京市未成年人保护条例》《重庆市未成年人保护条例》等法律以及地方性法规中的相关条款，对未成年人的隐私权进行了规定。但上述立法都没有对儿童个人信息网络保护作出合理的制度安排，立法规定之间也缺乏整合与协调，法律法规体系的不健全制约了儿童网络环境治理，导致儿童个人信息网络保护力度不足。因此，《规定》的出台对保护儿童个人信息安全以及为儿童营造一个健康的数字成长环境意义重大。<br> 亮点二：儿童定义<br> 《规定》第二条明确了儿童的定义，即不满十四周岁的未成年人。《规定》参考了《刑法》中对刑事责任年龄的划分标准，《刑法》规定不满十四周岁的人不管实施何种危害社会的行为，都不负刑事责任，为完全不负刑事责任年龄。《规定》之所以将保护对象规定为不满十四周岁未成年人的个人信息，是出于以下考量：首先，十四周岁以下未成年人的身心发育尚不成熟，人生观、价值观、世界观等思想体系也正处在形成之中，自我保护意识和能力较弱，个人信息一旦遭到不法者利用，可能导致极为严重的后果，需要立法给予特殊保护；其次，十四到十八周岁的未成年虽然认识能力和行为能力上与成年人存在一定差距，但是其生理和心理已趋于成熟，而且全国信息安全标准化技术委员会发布的《信息安全技术个人信息安全规范》将十四周岁以下的未成年人的个人信息进行了特别保护要求，《规定》考虑到了网络运营者对于标准的已执行情况，一定程度上与标准进行了对接，以减少网络运营者的合规负担；最后，除《规定》对儿童进行特殊保护外，正在制定修订的《个人信息保护法》、《未成年人保护法》(修订)以及《未成年人网络保护条例》均将对未成年人个人信息保护作出明确规定，未来，这些法律法规将与《规定》一道，共同为维护未成年人个人信息安全织起严密保护网，为未成人个人信息提供根据针对性、系统性和有效性的法律保障。<br> 亮点三：严格范围<br> 《规定》采用了属地管辖原则，以特定行为作为规制的对象，即只要在我国境内，通过网络这一载体对儿童个人信息从事了收集、存储、使用、转移、披露等涉及数据生命周期的任何一种行为，就要适用《规定》。《网络安全法》对“网络”的内涵已经进行了界定，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。可以看出，《规定》并未采用属人管辖原则，《规定》的空间效力仅限于我国境内，而且《规定》并不适用于在线下从事的儿童个人信息收集、存储、使用、转移、披露等行为。<br> 亮点四：明确原则<br> 《规定》明确了儿童个人信息网络保护的五大原则。儿童个人信息网络保护原则，是指贯穿于儿童个人信息网络保护各个阶段的指导原理和准则。明确儿童个人信息网络保护原则，不仅可以规范网络运营者在儿童个人信息收集、使用、转移、披露等环节中的义务和责任，也有助于保障儿童的个人信息权利。在立法中明确个人信息保护保护原则，也是国际立法惯例。例如，《一般数据保护条例》(GDPR)明确了个人数据处理应遵循合法、公正、透明原则、目的限制原则、最小数据原则、准确原则、存储限制原则、完整、保密原则、责任原则。我国涉及个人信息保护的法律文件中也规定了相应的保护原则。《网络安全法》规定了网络运营者收集、使用个人信息应遵循的原则，第四十一条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”该条文中包含了合法正当原则、目的特定原则、收集限制原则、知情同意原则、公开透明原则的内涵。可见，《规定》在我国已有的相关原则的基础之上，充分吸收、借鉴域外的相关立法经验，同时考虑到我国的产业实践与国际差异，明确了儿童个人信息网络保护的正当必要、知情同意、目的明确、安全保障、依法利用五大原则。<br> 亮点五：知情同意<br> 一直以来，由于缺乏专门性的个人信息保护法律，我国个人信息保护规则尚未形成环环相扣的系统化制度体系，存在规则不够集中、规定过于笼统的问题。《网络安全法》等立法虽然对透明度和知情同意等内容作出了原则性规定，但不够明确，导致立法可操作性不强。实践中，个人信息收集的透明度和“一揽子”同意也是个人信息保护存在的突出问题。对此，监管机构格外注重对主体知情同意权利的保护。例如，2019年1月，中央网信办、工业和信息化部、公安部、市场监管总局联合发布的《关于开展App违法违规收集使用个人信息专项治理的公告》，规定了收集个人信息时要以通俗易懂、简单明了的方式展示个人信息收集使用规则，并经个人信息主体自主选择同意；不以默认、捆绑、停止安装使用等手段变相强迫用户授权，不得违反法律法规和与用户的约定收集使用个人信息。这次立法者在《规定》中对知情同意原则进一步明确和细化，要求网络运营者收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意；征得同意时同时提供拒绝选项；明确告知儿童个人信息的存储地点和到期后的处理方式、安全保障措施等事项；告知事项发生实质性变化时，需要再次征得儿童监护人的同意；因业务需要，确需超出约定的目的、范围使用儿童个人信息的，应当征得儿童监护人的同意。<br> 亮点六：特殊保护<br> 儿童是特殊群体，需要给予特殊保护。《规定》在以下五大制度的设计上体现出了对儿童个人信息进行特殊保护的理念。一是设置儿童信息保护规则、用户协议和专人负责儿童个人信息网络保护的要求。《规定》要求网络运营者应当在内部设立专门针对儿童的个人信息保护规则，对外应当制定专门的用户协议，网络运营者内部还应当设有专人负责儿童个人信息网络保护事宜。《规定》参考了《网络安全法》第二十一条要求网络运营者设置网络安全负责人以及第三十四条要求关键信息基础设施的运营者设置安全管理负责人的规定，制定应当设有专人负责儿童个人信息网络保护的条款。二是内部访问权限要求。实践中存在不少网络运营者内部工作人员违规窃取、对外提供和泄漏个人信息的情况。对此《规定》提出网络运营者应当对工作人员最小授权，严格设定访问权限，控制知悉范围，还规定了审批要求，即工作人员经过审批后方可访问儿童个人信息，访问情况也应被记录，还应当通过采取技术措施，避免违法复制、下载儿童个人信息。三是安全评估的要求。网络运营者在存在以下两种情形时应当进行安全评估：一种是委托第三方处理儿童个人信息的，应当对受托方及委托行为进行安全评估，另一种是向第三方转移儿童个人信息的，应当进行安全评估，评估的方式包括自行评估或者委托第三方机构进行评估。四是不得披露儿童个人信息。披露儿童个人信息是指，在网络上对社会公众公开儿童个人信息的过程。考虑到对儿童的特殊保护，《规定》要求原则上网络运营者一律不得披露儿童个人信息，但也设置了例外情形，包括法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露，一定程度上体现了立法的灵活性。五是删除权的特别规定。《规定》明确了儿童或者监护人享有要求网络运营者删除儿童信息的权利，并明确了可以行使删除权的具体情形，包括网络运营者违法或违约、超出目的范围或者必要期限、儿童监护人撤回同意的、儿童或者监护人通过注销等方式终止使用产品的以及委托关系解除时受托方应当及时删除儿童个人信息。值得一提的是，规定“儿童监护人撤回同意”情形，实质上赋予了删除权更广泛的内涵，即当监护人认为有必要删除儿童个人信息时，即可要求网络运营者删除相应的儿童个人信息，体现了对儿童个人信息给予充分和特殊保护的立法目的。<br> 亮点七：协同共治<br> 真正实现儿童个人信息网络保护是多方参与、齐抓共管的过程，既依赖于法律规范、政府监管，也依赖于儿童监护人、行业组织以及社会公众在其中发挥的作用。《规定》的第五条、第六条以及第二十四条体现出了在儿童个人信息网络保护这一问题上的协同共治理念。在儿童监护人层面，《规定》要求儿童监护人应当正确履行监护义务，教育引导儿童增强个人信息网络保护意识和能力，保护儿童个人信息安全。在行业组织层面，《规定》鼓励互联网行业组织指导推动网络运营者制定儿童个人信息网络保护的行业规范、行为准则等，加强行业自律，履行社会责任。在社会公众层面，《规定》规定任何组织或者个人发现有违法《规定》的行为，可以向网信部门和其他有关部门举报。通过规定儿童监护人教育引导、行业自律以及公众监督相结合的综合管理体制，有利于确保对儿童个人信息网络保护达到最大、最好的社会效果。<br> 亮点八：法律衔接<br> 《规定》属于部门规章，根据《立法法》第八十条的规定，部门规章规定的事项应当属于执行法律或者国务院的行政法规、决定、命令的事项。《规定》在制定的过程中，注意到了立法依据和立法权限的问题，进一步具体化、明确化《网络安全法》《未成年人保护法》《互联网信息服务管理办法》等法律、行政法规中对未成年人保护和个人信息保护规定的较为模糊的内容，包括明确了同意的要求、具体的告知事项、数据泄露应急措施、安全保障等规定，以解决我国儿童个人信息网络保护法律制度规定不健全的问题。(中国信息通信研究院互联网法律研究中心 杨婕)