2019年8月23日，為了規(guī)范收集使用兒童個人信息等行為，保護兒童合法權(quán)益，為兒童健康成長創(chuàng)造良好的網(wǎng)上環(huán)境，國家互聯(lián)網(wǎng)信息辦公室正式發(fā)布《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》（以下簡稱《規(guī)定》）。此前，為提高立法公眾參與度，廣泛凝聚社會共識，推進科學(xué)立法、民主立法、開門立法，國家互聯(lián)網(wǎng)信息辦公室今年5月發(fā)布《規(guī)定》征求意見稿，面向大眾公開征求意見。在充分聽取、吸納各方意見的基礎(chǔ)上，發(fā)布了本《規(guī)定》，為我國完善兒童個人信息網(wǎng)絡(luò)保護相關(guān)工作提供了依據(jù)。作為國內(nèi)第一部專門規(guī)范兒童個人信息網(wǎng)絡(luò)保護的規(guī)定，有很多值得關(guān)注的地方。
    亮點一：首部立法

    《規(guī)定》是我國首部規(guī)定兒童個人信息網(wǎng)絡(luò)保護的專門立法。與成年人相比，兒童心智發(fā)育尚不完全，在通過網(wǎng)絡(luò)參與的活動中更極易泄露個人信息，而且兒童對于自己的行為性質(zhì)和行為后果均缺乏必要的判斷和識別能力，個人信息關(guān)系到其切實利益和健康成長，需要予以特別保護，因此相關(guān)保護工作尤為重要。此前，我國涉及兒童個人信息網(wǎng)絡(luò)保護的規(guī)定分散于不同的法律文件中，缺乏專門性保護立法?！睹穹倓t》《網(wǎng)絡(luò)安全法》《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》等法律法規(guī)對個人信息的收集、使用、保護等作出了規(guī)定，《未成年人保護法》《北京市未成年人保護條例》《重慶市未成年人保護條例》等法律以及地方性法規(guī)中的相關(guān)條款，對未成年人的隱私權(quán)進行了規(guī)定。但上述立法都沒有對兒童個人信息網(wǎng)絡(luò)保護作出合理的制度安排，立法規(guī)定之間也缺乏整合與協(xié)調(diào)，法律法規(guī)體系的不健全制約了兒童網(wǎng)絡(luò)環(huán)境治理，導(dǎo)致兒童個人信息網(wǎng)絡(luò)保護力度不足。因此，《規(guī)定》的出臺對保護兒童個人信息安全以及為兒童營造一個健康的數(shù)字成長環(huán)境意義重大。

    亮點二：兒童定義

    《規(guī)定》第二條明確了兒童的定義，即不滿十四周歲的未成年人?！兑?guī)定》參考了《刑法》中對刑事責(zé)任年齡的劃分標(biāo)準(zhǔn)，《刑法》規(guī)定不滿十四周歲的人不管實施何種危害社會的行為，都不負(fù)刑事責(zé)任，為完全不負(fù)刑事責(zé)任年齡?！兑?guī)定》之所以將保護對象規(guī)定為不滿十四周歲未成年人的個人信息，是出于以下考量：首先，十四周歲以下未成年人的身心發(fā)育尚不成熟，人生觀、價值觀、世界觀等思想體系也正處在形成之中，自我保護意識和能力較弱，個人信息一旦遭到不法者利用，可能導(dǎo)致極為嚴(yán)重的后果，需要立法給予特殊保護；其次，十四到十八周歲的未成年雖然認(rèn)識能力和行為能力上與成年人存在一定差距，但是其生理和心理已趨于成熟，而且全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》將十四周歲以下的未成年人的個人信息進行了特別保護要求，《規(guī)定》考慮到了網(wǎng)絡(luò)運營者對于標(biāo)準(zhǔn)的已執(zhí)行情況，一定程度上與標(biāo)準(zhǔn)進行了對接，以減少網(wǎng)絡(luò)運營者的合規(guī)負(fù)擔(dān)；最后，除《規(guī)定》對兒童進行特殊保護外，正在制定修訂的《個人信息保護法》、《未成年人保護法》（修訂）以及《未成年人網(wǎng)絡(luò)保護條例》均將對未成年人個人信息保護作出明確規(guī)定，未來，這些法律法規(guī)將與《規(guī)定》一道，共同為維護未成年人個人信息安全織起嚴(yán)密保護網(wǎng)，為未成人個人信息提供根據(jù)針對性、系統(tǒng)性和有效性的法律保障。

    亮點三：嚴(yán)格范圍

    《規(guī)定》采用了屬地管轄原則，以特定行為作為規(guī)制的對象，即只要在我國境內(nèi)，通過網(wǎng)絡(luò)這一載體對兒童個人信息從事了收集、存儲、使用、轉(zhuǎn)移、披露等涉及數(shù)據(jù)生命周期的任何一種行為，就要適用《規(guī)定》?！毒W(wǎng)絡(luò)安全法》對“網(wǎng)絡(luò)”的內(nèi)涵已經(jīng)進行了界定，是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng)?？梢钥闯?，《規(guī)定》并未采用屬人管轄原則，《規(guī)定》的空間效力僅限于我國境內(nèi)，而且《規(guī)定》并不適用于在線下從事的兒童個人信息收集、存儲、使用、轉(zhuǎn)移、披露等行為。

    亮點四：明確原則

    《規(guī)定》明確了兒童個人信息網(wǎng)絡(luò)保護的五大原則。兒童個人信息網(wǎng)絡(luò)保護原則，是指貫穿于兒童個人信息網(wǎng)絡(luò)保護各個階段的指導(dǎo)原理和準(zhǔn)則。明確兒童個人信息網(wǎng)絡(luò)保護原則，不僅可以規(guī)范網(wǎng)絡(luò)運營者在兒童個人信息收集、使用、轉(zhuǎn)移、披露等環(huán)節(jié)中的義務(wù)和責(zé)任，也有助于保障兒童的個人信息權(quán)利。在立法中明確個人信息保護保護原則，也是國際立法慣例。例如，《一般數(shù)據(jù)保護條例》（GDPR）明確了個人數(shù)據(jù)處理應(yīng)遵循合法、公正、透明原則、目的限制原則、最小數(shù)據(jù)原則、準(zhǔn)確原則、存儲限制原則、完整、保密原則、責(zé)任原則。我國涉及個人信息保護的法律文件中也規(guī)定了相應(yīng)的保護原則?！毒W(wǎng)絡(luò)安全法》規(guī)定了網(wǎng)絡(luò)運營者收集、使用個人信息應(yīng)遵循的原則，第四十一條規(guī)定：“網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息。”該條文中包含了合法正當(dāng)原則、目的特定原則、收集限制原則、知情同意原則、公開透明原則的內(nèi)涵?？梢?，《規(guī)定》在我國已有的相關(guān)原則的基礎(chǔ)之上，充分吸收、借鑒域外的相關(guān)立法經(jīng)驗，同時考慮到我國的產(chǎn)業(yè)實踐與國際差異，明確了兒童個人信息網(wǎng)絡(luò)保護的正當(dāng)必要、知情同意、目的明確、安全保障、依法利用五大原則。

    亮點五：知情同意

    一直以來，由于缺乏專門性的個人信息保護法律，我國個人信息保護規(guī)則尚未形成環(huán)環(huán)相扣的系統(tǒng)化制度體系，存在規(guī)則不夠集中、規(guī)定過于籠統(tǒng)的問題?！毒W(wǎng)絡(luò)安全法》等立法雖然對透明度和知情同意等內(nèi)容作出了原則性規(guī)定，但不夠明確，導(dǎo)致立法可操作性不強。實踐中，個人信息收集的透明度和“一攬子”同意也是個人信息保護存在的突出問題。對此，監(jiān)管機構(gòu)格外注重對主體知情同意權(quán)利的保護。例如，2019年1月，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局聯(lián)合發(fā)布的《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》，規(guī)定了收集個人信息時要以通俗易懂、簡單明了的方式展示個人信息收集使用規(guī)則，并經(jīng)個人信息主體自主選擇同意；不以默認(rèn)、捆綁、停止安裝使用等手段變相強迫用戶授權(quán)，不得違反法律法規(guī)和與用戶的約定收集使用個人信息。這次立法者在《規(guī)定》中對知情同意原則進一步明確和細化，要求網(wǎng)絡(luò)運營者收集、使用、轉(zhuǎn)移、披露兒童個人信息的，應(yīng)當(dāng)以顯著、清晰的方式告知兒童監(jiān)護人，并應(yīng)當(dāng)征得兒童監(jiān)護人的同意；征得同意時同時提供拒絕選項；明確告知兒童個人信息的存儲地點和到期后的處理方式、安全保障措施等事項；告知事項發(fā)生實質(zhì)性變化時，需要再次征得兒童監(jiān)護人的同意；因業(yè)務(wù)需要，確需超出約定的目的、范圍使用兒童個人信息的，應(yīng)當(dāng)征得兒童監(jiān)護人的同意。

    亮點六：特殊保護

    兒童是特殊群體，需要給予特殊保護?！兑?guī)定》在以下五大制度的設(shè)計上體現(xiàn)出了對兒童個人信息進行特殊保護的理念。一是設(shè)置兒童信息保護規(guī)則、用戶協(xié)議和專人負(fù)責(zé)兒童個人信息網(wǎng)絡(luò)保護的要求。《規(guī)定》要求網(wǎng)絡(luò)運營者應(yīng)當(dāng)在內(nèi)部設(shè)立專門針對兒童的個人信息保護規(guī)則，對外應(yīng)當(dāng)制定專門的用戶協(xié)議，網(wǎng)絡(luò)運營者內(nèi)部還應(yīng)當(dāng)設(shè)有專人負(fù)責(zé)兒童個人信息網(wǎng)絡(luò)保護事宜?！兑?guī)定》參考了《網(wǎng)絡(luò)安全法》第二十一條要求網(wǎng)絡(luò)運營者設(shè)置網(wǎng)絡(luò)安全負(fù)責(zé)人以及第三十四條要求關(guān)鍵信息基礎(chǔ)設(shè)施的運營者設(shè)置安全管理負(fù)責(zé)人的規(guī)定，制定應(yīng)當(dāng)設(shè)有專人負(fù)責(zé)兒童個人信息網(wǎng)絡(luò)保護的條款。二是內(nèi)部訪問權(quán)限要求。實踐中存在不少網(wǎng)絡(luò)運營者內(nèi)部工作人員違規(guī)竊取、對外提供和泄漏個人信息的情況。對此《規(guī)定》提出網(wǎng)絡(luò)運營者應(yīng)當(dāng)對工作人員最小授權(quán)，嚴(yán)格設(shè)定訪問權(quán)限，控制知悉范圍，還規(guī)定了審批要求，即工作人員經(jīng)過審批后方可訪問兒童個人信息，訪問情況也應(yīng)被記錄，還應(yīng)當(dāng)通過采取技術(shù)措施，避免違法復(fù)制、下載兒童個人信息。三是安全評估的要求。網(wǎng)絡(luò)運營者在存在以下兩種情形時應(yīng)當(dāng)進行安全評估：一種是委托第三方處理兒童個人信息的，應(yīng)當(dāng)對受托方及委托行為進行安全評估，另一種是向第三方轉(zhuǎn)移兒童個人信息的，應(yīng)當(dāng)進行安全評估，評估的方式包括自行評估或者委托第三方機構(gòu)進行評估。四是不得披露兒童個人信息。披露兒童個人信息是指，在網(wǎng)絡(luò)上對社會公眾公開兒童個人信息的過程?？紤]到對兒童的特殊保護，《規(guī)定》要求原則上網(wǎng)絡(luò)運營者一律不得披露兒童個人信息，但也設(shè)置了例外情形，包括法律、行政法規(guī)規(guī)定應(yīng)當(dāng)披露或者根據(jù)與兒童監(jiān)護人的約定可以披露，一定程度上體現(xiàn)了立法的靈活性。五是刪除權(quán)的特別規(guī)定?！兑?guī)定》明確了兒童或者監(jiān)護人享有要求網(wǎng)絡(luò)運營者刪除兒童信息的權(quán)利，并明確了可以行使刪除權(quán)的具體情形，包括網(wǎng)絡(luò)運營者違法或違約、超出目的范圍或者必要期限、兒童監(jiān)護人撤回同意的、兒童或者監(jiān)護人通過注銷等方式終止使用產(chǎn)品的以及委托關(guān)系解除時受托方應(yīng)當(dāng)及時刪除兒童個人信息。值得一提的是，規(guī)定“兒童監(jiān)護人撤回同意”情形，實質(zhì)上賦予了刪除權(quán)更廣泛的內(nèi)涵，即當(dāng)監(jiān)護人認(rèn)為有必要刪除兒童個人信息時，即可要求網(wǎng)絡(luò)運營者刪除相應(yīng)的兒童個人信息，體現(xiàn)了對兒童個人信息給予充分和特殊保護的立法目的。

    亮點七：協(xié)同共治

    真正實現(xiàn)兒童個人信息網(wǎng)絡(luò)保護是多方參與、齊抓共管的過程，既依賴于法律規(guī)范、政府監(jiān)管，也依賴于兒童監(jiān)護人、行業(yè)組織以及社會公眾在其中發(fā)揮的作用。《規(guī)定》的第五條、第六條以及第二十四條體現(xiàn)出了在兒童個人信息網(wǎng)絡(luò)保護這一問題上的協(xié)同共治理念。在兒童監(jiān)護人層面，《規(guī)定》要求兒童監(jiān)護人應(yīng)當(dāng)正確履行監(jiān)護義務(wù)，教育引導(dǎo)兒童增強個人信息網(wǎng)絡(luò)保護意識和能力，保護兒童個人信息安全。在行業(yè)組織層面，《規(guī)定》鼓勵互聯(lián)網(wǎng)行業(yè)組織指導(dǎo)推動網(wǎng)絡(luò)運營者制定兒童個人信息網(wǎng)絡(luò)保護的行業(yè)規(guī)范、行為準(zhǔn)則等，加強行業(yè)自律，履行社會責(zé)任。在社會公眾層面，《規(guī)定》規(guī)定任何組織或者個人發(fā)現(xiàn)有違法《規(guī)定》的行為，可以向網(wǎng)信部門和其他有關(guān)部門舉報。通過規(guī)定兒童監(jiān)護人教育引導(dǎo)、行業(yè)自律以及公眾監(jiān)督相結(jié)合的綜合管理體制，有利于確保對兒童個人信息網(wǎng)絡(luò)保護達到最大、最好的社會效果。

    亮點八：法律銜接

    《規(guī)定》屬于部門規(guī)章，根據(jù)《立法法》第八十條的規(guī)定，部門規(guī)章規(guī)定的事項應(yīng)當(dāng)屬于執(zhí)行法律或者國務(wù)院的行政法規(guī)、決定、命令的事項。《規(guī)定》在制定的過程中，注意到了立法依據(jù)和立法權(quán)限的問題，進一步具體化、明確化《網(wǎng)絡(luò)安全法》《未成年人保護法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》等法律、行政法規(guī)中對未成年人保護和個人信息保護規(guī)定的較為模糊的內(nèi)容，包括明確了同意的要求、具體的告知事項、數(shù)據(jù)泄露應(yīng)急措施、安全保障等規(guī)定，以解決我國兒童個人信息網(wǎng)絡(luò)保護法律制度規(guī)定不健全的問題。（中國信息通信研究院互聯(lián)網(wǎng)法律研究中心 楊婕）