未来网北京9月5日电(记者 朱延生)近日,国家互联网信息办公室正式印发《儿童个人信息网络保护规定》(以下简称《规定》),中国网信网、中国信息通信研究院互联网法律研究中心研究员李雅文今日在国家互联网信息办公室官方微信“网信中国”上刊文称,《规定》是在当前形势下,对儿童个人信息保护的有力保障,同时也是有益探索。

　　今年5月31日,网信办发布通知称,为了规范收集使用儿童个人信息等行为,保护儿童合法权益,为儿童健康成长创造良好的网上环境,起草了《儿童个人信息网络保护规定(征求意见稿)》。

　　8月23日,经国家互联网信息办公室室务会议审议通过,《规定》正式公布,并从2019年10月1日起施行。

　　中国网信网、中国信息通信研究院互联网法律研究中心研究员李雅文解读《儿童个人信息网络保护规定》亮点。(图片来自:国家互联网信息办公室官方微信“网信中国”)

　　据央视网消息,美国联邦贸易委员会4日宣布,谷歌公司因在YouTube视频服务上“非法收集儿童个人信息”而遭指控,被罚1.7亿美元、约合12.14亿元人民币。

　　从全球儿童个人信息保护总体形势来看,儿童逐步成为隐私泄露和身份盗窃的高危人群。而在我国,未成年人的互联网普及率达到93.7%,不满18周岁网民数量高达1.69亿,但普遍缺乏个人信息保护意识,其中11岁以下的儿童对隐私设置的了解较少,11至16岁儿童中仅26%的儿童采取网上隐私保护措施。

　　李雅文表示,儿童作为特殊主体,一方面由于其心智尚不成熟,对其个人信息的价值及被违法收集、使用的后果缺乏清晰的认知,另一方面,由于儿童本身的自我保护能力不足,难以主动核对其信息的准确性、安全性,一旦信息泄露后也更加容易成为非法侵害的重灾区。因此需要网络运营者采取更加具体、更加有力的措施对其进行专门保护。

　　而此次出台的《规定》正是针对在中华人民共和国境内通过网络收集、存储、使用、转移、披露不满十四周岁的儿童个人信息进行规范。

　　对儿童个人信息全生命周期进行保护

　　《规定》提出,针对儿童个人信息的全生命周期提出更为严格审慎的规范原则,并落实在具体规则中。明确儿童个人信息的收集、存储、使用、转移行为应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。

　　《规定》进一步明确儿童及其监护人针对儿童个人信息享有的各项权能。包括在收集、使用、转移、披露环节,儿童监护人的知情权、同意权,及上述环节中相关要素发生实质性变更时的再次授权;儿童及其监护人发现儿童个人信息存在误差时的信息更正权;以及发现网络运营者违法、违规收集、存储、使用、转移、披露,或撤回同意、停止服务时的信息删除权。

　　《规定》明确网络运营者针对儿童个人信息的专门性、特设性保护义务。包括专条、专员——设置专门的儿童个人信息保护规则和用户协议,指定专员负责儿童个人信息保护;知情同意——提供更加详细、灵活的用户协议(隐私条款)并以显著、清晰的方式告知监护人并征得监护人同意,且发生实质性变化时需再次征得同意;最小存储——存储儿童个人信息不得超过实现其收集、使用目的所必须的期限,停止运营产品或者服务时应当立即停止收集并删除其持有的儿童个人信息;最小访问——内部工作人员严格按照权限、经过审批访问数据,严控知悉范围、记录访问情况、防止非法获取;泄露及停业通知——儿童个人信息发生泄露、毁损、丢失,造成或者可能造成严重后果的,应当报告主管部门,并逐一告知儿童及其监护人或发布公告,停止服务的应当告知监护人;安全存储——存储儿童个人信息应当采取加密等措施;共享、披露限制——涉及向第三方转移儿童个人信息的,需经安全评估,涉及委托第三方处理儿童个人信息的,签署委托协议,规范双方权利义务。

　　同时,《规定》提出自动例外概念。即通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的,不需按照本规定操作。　

　　“四大亮点”保护儿童个人信息

　　在“网信中国”的文章中,李雅文介绍,此次推出的《规定》包含了四大亮点:

　　亮点一:明确受保护对象范围

　　根据我国《刑法》第二百六十二条“拐骗儿童罪”已经对“儿童”作出年龄界定—— “不满十四周岁的未成年人”。

　　李雅文表示,作为专门针对儿童的信息保护规范,《规定》将“儿童”明确为不满十四周岁的未成年人。除了基于《刑法》,另一方面,也是考虑到随着信息网络的逐渐普及,儿童心智成熟的年龄段普遍提前,十四周岁的儿童通常已经具备一定的认知能力,在一定程度上能够判断和把控自身行为。

　　此外,立法还需考虑执法的成本及对互联网产业发展的长远影响,因此从保护立法统一性、合理性、科学性角度出发,将保护对象界定为不满十四周岁的未成年人是较为符合我国立法现状、监管需求及产业发展实践的。

　　亮点二:知情同意的补全

　　《规定》明确的主体权能来看,儿童监护人在儿童信息被收集、存储、使用、转移过程中享有知情同意的权能。

　　李雅文表示,从该项权能的来源来看,《民法总则》规定不满八周岁的未成年人,需由监护人代理实施民事法律行为,已满八周岁不满十四周岁的,除纯获利益的民事法律行为或者与其年龄、智力相适应的民事法律行为,须经监护人同意、追认。

　　在此基础上,当涉及《网络安全法》等个人信息保护立法所设置的知情同意规则时,由于不满十四周岁的儿童尚不具备完全的民事行为能力,对其自身权利的认知不足,处分自身权益的意思表示存在瑕疵,需要监护人的补全,因此各国普遍在立法中规定了由其监护人代行同意的措施,《规定》也吸收借鉴了上述规则,此外,《规定》还规定了停止服务及信息泄露时的告知义务,确保了监护人及儿童在数据全生命周期事前、事中、事后的知情和决定权能。

　　亮点三:分级分类和强化保护

　　李雅文表示,知情同意原则的有效性问题长期受到诟病,针对该问题,《规定》细化了告知事项,并提供拒绝同意选项,保障儿童及监护人享有更高的透明度和自由选择权;此外在儿童个人信息的全生命周期,相较于数据流通、共享等自由价值,《规定》更加强调安全、稳定等秩序价值,包括贯穿始终的目的限定、最小够用、访问限制以及及时删除等规则,确保儿童个人信息获得更高程度的安全保障。

　　亮点四:例外条款

　　此外,《规定》提出自动例外概念。即通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的,不需按照本规定操作。

　　李雅文表示,《规定》设置了例外条款,排除了通过计算机信息系统自动留存处理且无法识别是否儿童的个人信息,减轻了网络运营者对于非主动收集信息的普遍保护义务,但对于其中能够识别为儿童个人信息的,当然仍需适用《规定》,适当的平衡了企业的安全保障义务与合规运行成本。