2019年5月31日，儿童节的前一天，国家互联网信息办公室发布《儿童个人信息网络保护规定》（征求意见稿），为儿童节送出一份大礼。时隔不到3个月，在2019年8月22日，国家互联网信息办公室正式发布《儿童个人信息网络保护规定》，这个规定将于2019年10月1日正式施行，这是我国第一部专门针对儿童网络保护的立法，具有里程碑意义。今天，我们就跟大家分享一下有关儿童个人信息网络保护规定方面的法律知识。

未成年人保护现状

 

对于儿童保护，目前并不缺乏基本的法律制度。比如《未成年人保护法》，《未成年人保护法》规定未成年人享有生存权、发展权、受保护权、参与权等权利，国家根据未成年人身心发展特点给予特殊、优先保护。还有《网络安全法》，《网络安全法》规定国家依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。

但是，在《儿童个人信息网络保护规定》出台之前，我国对于儿童个人信息的网络保护规定还是空白。

在网络日益发展的今天，儿童个人信息正面临网络“围猎”，儿童权益受到前所未有的侵害。之前，杭州公安网警部门通过大数据分析，发现利用网络买卖儿童接种疫苗信息及家长联系方式，370多万条个人信息，几乎是浙江全省0到6岁打过疫苗的儿童数量。此外，上海市疾病预防控制中心一工作人员，每月从该控制中心里窃取新生婴儿信息1万多条，网络倒卖30万多条新生婴儿信息。这些案例，还仅仅是侵犯儿童个人信息乱象的冰山一角。

 

相关法律规定

存在问题

首先是保护对象的年龄线设置问题，作为专门针对儿童的信息保护规范，《规定》第二条将“儿童”明确为不满十四周岁的未成年人。事实上，对于“儿童”的界定，各国根据其文化传统和立法需求存在较大差异，《美国儿童在线隐私权保护法》的主要保护对象为13周岁以下的儿童，欧盟《通用数据保护条例》允许各成员国保留设定本国受规定保护儿童年龄的权限——在13至16周岁之间，此外韩国14周岁，澳大利亚13周岁，因此从各国立法规定来看，通常将保护对象上限，限定于13至16岁之间。回看我国的现实情况，一方面，《刑法》第二百六十二条“拐骗儿童罪”已经对“儿童”作出年龄界定—— “不满十四周岁的未成年人”；另一方面，随着信息网络的逐渐普及，儿童心智成熟的年龄段普遍提前，十四周岁的儿童通常已经具备一定的认知能力，在一定程度上能够判断和把控自身行为，此外，立法还需考虑执法的成本及对互联网产业发展的长远影响，因此从保护立法统一性、合理性、科学性角度出发，将保护对象界定为不满十四周岁的未成年人是较为符合我国立法现状、监管需求及产业发展实践的。

在网络化时代，未成年人在商家的花样营销面前几乎是毫无抵抗力的，很容易在外界的诱惑之下向他人披露其个人信息，从而使其暴露在商业或性侵害的风险之下。据了解，在我国有15.6%的未成年人表示曾遭遇网络暴力，最常见的是在网上被讽刺或谩骂、自己或亲友在网上被恶意骚扰、个人信息在网上被公开。儿童个人信息泄露后，不仅会危害到他们的心理健康，还会给他们造成一种“信息泄露无碍”的错觉，不利于他们养成正确的价值观。而大多数家长面对这种情况时，也很是无可奈何。

 

法律规定

针对这种情况，《规定》明确，网络运营者收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意。网络运营者使用儿童个人信息，不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需求，确需超出约定的目的、范围使用的，应当再次征得儿童监护人的同意。此外，《规定》还规定了停止服务及信息泄露时的告知义务，确保了监护人及儿童在数据全生命周期事前、事中、事后的知情和决定权能。

存在问题

现在有一种非常普遍的现象，只要孩子报过培训班，就会收到培训机构的精准推送！开学了，很多家长也会给孩子报几门课，但注册时必须对“使用协议”点“同意”，不点就用不了。同意条款特别长，家长也没空看。而且，不同意就报不了班。除了培训班，给孩子买保险后，每年也会接到大量不同保险公司的推销骚扰，甚至连孩子的姓名都知道得一清二楚，很显然，这些信息都被泄露了。

法律规定

针对这种情况，《规定》明确：网络运营者不得收集与其提供的服务无关的儿童个人信息，不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。网络运营者存储儿童个人信息，不得超过实现其收集、使用目的所必需的期限。网络运营者应当采取加密等措施存储儿童个人信息，确保信息安全。

《规定》的一大亮点就是规定了最小授权原则，《规定》第十五条明确：“网络运营者对其工作人员应当以最小授权为原则，严格设定信息访问权限，控制儿童个人信息知悉范围。工作人员访问儿童个人信息的，应当经过儿童个人信息保护负责人或者其授权的管理人员审批，记录访问情况，并采取技术措施，避免违法复制、下载儿童个人信息”。这就要求网络运营者应积极主动进行自查，检视有关儿童个人信息保护的规定和做法，建章立制，查漏补缺。

存在问题

如果完全遵照这样的要求来执行，对于网路服务提供者和对儿童父母而言，都必须付出额外的成本，这些成本有时会显得非常高，以至于有些网络服务提供者会想尽各种办法来规避。此外，如果要保证父母同意的真实性，还需要对父母身份进行验证，这不仅与网络世界的匿名化系统难以兼容，也引发了人们对身份信息泄露的担忧。

法律规定

针对这个问题，其实不只在中国，美国的《儿童网上隐私保护法》中也作出了“网络服务提供者在从儿童那里搜集信息之前应当先经过儿童父母同意”等规定，但在实施过程中也产生了许多争议。因此，从国外目前的实践来看，大部分企业采用限制儿童注册、将监护人与儿童的账号进行关联等方式。同时，为了新规落实到位，有关监管部门应及时组织执法监管，宜于适时开展专项监督检查行动，集中就普遍存在、重点突出的儿童个人信息网络保护问题，开展针对性执法活动，实现我国向儿童个人信息网络保护新阶段的顺利转变。

 

儿童保护责任人

 

在儿童个人信息保护责任人方面，《规定》则要求，网络运营者应当设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护。并且，网络运营者委托第三方处理儿童个人信息、向第三方转移儿童个人信息的，均应当进行安全评估。经评估达不到安全保护要求的，不得进行委托和转移，否则应承担法律责任。

这部法规出台后，将大大地提高了网络运营者的安全保障义务和运行成本，网络运营者需要承担的责任也越来越重。

在互联网时代，企业掌握的个人信息最多，有义务也有能力承担起保护个人信息的重任。此外，《规定》设置了例外条款，排除了通过计算机信息系统自动留存处理且无法识别是否儿童的个人信息，减轻了网络运营者对于非主动收集信息的普遍保护义务，但对于其中能够识别为儿童个人信息的，当然仍需适用《规定》，适当地平衡了企业的安全保障义务与合规运行成本。

而在现实中，也存在一些家长也不太注意或不懂得保护儿童个人信息，商家施以小恩小惠，便扫码，将孩子的个人信息一股脑地透露给商家。还有一些监护人放纵孩子上网，孩子自我保护能力不强，家长也懒得监管。父母作为监护人，是孩子的第一任老师和第一责任人。《规定》特别明确，儿童监护人应教育引导儿童增强个人信息保护意识和能力，维护儿童个人信息安全。

保护儿童个人网络信息，不仅需要网络运营者遵纪守法，也需要监护人提高法治意识和保护儿童的基本责任。作为新网络信息时代的父母，应当主动学习网络安全知识，增强网络安全意识，具备基本的网络保护能力，这样才能更好地保护好自己的孩子，成为网络信息时代的合格父母。