2019年8月22日，《兒童個人信息網(wǎng)絡保護規(guī)定》(國家互聯(lián)網(wǎng)信息辦公室令第4號，以下簡稱《規(guī)定》)公布，自10月1日起正式施行，針對中華人民共和國境內(nèi)通過網(wǎng)絡收集、存儲、使用、轉移、披露不滿十四周歲的兒童個人信息進行規(guī)范。

一、主要內(nèi)容

　　《規(guī)定》的主要內(nèi)容包括以下幾個方面：

　　一是針對兒童個人信息的全生命周期提出更為嚴格審慎的規(guī)范原則，并落實在具體規(guī)則中。明確兒童個人信息的收集、存儲、使用、轉移行為應當遵循正當必要、知情同意、目的明確、安全保障、依法利用的原則。

　　二是進一步明確兒童及其監(jiān)護人針對兒童個人信息享有的各項權能。包括在收集、使用、轉移、披露環(huán)節(jié)，兒童監(jiān)護人的知情權、同意權，及上述環(huán)節(jié)中相關要素發(fā)生實質性變更時的再次授權；兒童及其監(jiān)護人發(fā)現(xiàn)兒童個人信息存在誤差時的信息更正權；以及發(fā)現(xiàn)網(wǎng)絡運營者違法、違規(guī)收集、存儲、使用、轉移、披露，或撤回同意、停止服務時的信息刪除權。

　　三是明確網(wǎng)絡運營者針對兒童個人信息的專門性、特設性保護義務。包括專條、專員——設置專門的兒童個人信息保護規(guī)則和用戶協(xié)議，指定專員負責兒童個人信息保護；知情同意——提供更加詳細、靈活的用戶協(xié)議(隱私條款)并以顯著、清晰的方式告知監(jiān)護人并征得監(jiān)護人同意，且發(fā)生實質性變化時需再次征得同意；最小存儲——存儲兒童個人信息不得超過實現(xiàn)其收集、使用目的所必須的期限，停止運營產(chǎn)品或者服務時應當立即停止收集并刪除其持有的兒童個人信息；最小訪問——內(nèi)部工作人員嚴格按照權限、經(jīng)過審批訪問數(shù)據(jù)，嚴控知悉范圍、記錄訪問情況、防止非法獲??；泄露及停業(yè)通知——兒童個人信息發(fā)生泄露、毀損、丟失，造成或者可能造成嚴重后果的，應當報告主管部門，并逐一告知兒童及其監(jiān)護人或發(fā)布公告，停止服務的應當告知監(jiān)護人；安全存儲——存儲兒童個人信息應當采取加密等措施；共享、披露限制——涉及向第三方轉移兒童個人信息的，需經(jīng)安全評估，涉及委托第三方處理兒童個人信息的，簽署委托協(xié)議，規(guī)范雙方權利義務。

　　四是自動例外。即通過計算機信息系統(tǒng)自動留存處理信息且無法識別所留存處理的信息屬于兒童個人信息的，不需按照本規(guī)定操作。

　　總體來看，《規(guī)定》在《網(wǎng)絡安全法》等個人信息保護立法一般規(guī)則的基礎上，針對兒童這一特殊保護主體，規(guī)定了更為嚴格的信息保護義務，賦予兒童及其監(jiān)護人更為全面、更為有力的權能。

二、亮點解析

　　從全球兒童個人信息保護總體形勢來看，兒童逐步成為隱私泄露和身份盜竊的高危人群。在美國，每年有130萬兒童信息被盜用，是成年人的51倍，近年來，澳大利亞、韓國等國家也紛紛出臺兒童個人信息保護專門規(guī)定，美國也曾討論修訂《兒童在線隱私保護法》(以下簡稱COPPA),強化未成年人個人信息保護?？傮w來看，各國兒童數(shù)據(jù)保護呈加嚴趨勢。

　　從我國實踐情況來看，未成年人的互聯(lián)網(wǎng)普及率達到93.7%，不滿18周歲網(wǎng)民數(shù)量高達1.69億，但普遍缺乏個人信息保護意識，其中11歲以下的兒童對隱私設置的了解較少，11至16歲兒童中僅26%的兒童采取網(wǎng)上隱私保護措施。在此背景下，通過專門規(guī)定加強對兒童個人信息的保護是十分必要且有益的，從《規(guī)定》的具體內(nèi)容來看，以下亮點值得深入分析：

　　(一)保護對象范圍的劃定

　　作為專門針對兒童的信息保護規(guī)范，《規(guī)定》首先需要解決的問題為劃定保護對象的范圍。第二條將本《規(guī)定》中的“兒童”明確為不滿十四周歲的未成年人。事實上，對于“兒童”的界定，各國根據(jù)其文化傳統(tǒng)和立法需求存在較大差異，美國COPPA的主要保護對象為13周歲以下的兒童，歐盟《通用數(shù)據(jù)保護條例》允許各成員國保留設定本國受規(guī)定保護兒童年齡的權限——在13至16周歲之間，此外韓國14周歲，澳大利亞13周歲，因此從各國立法規(guī)定來看，通常將保護對象限定于13至16歲之間。

　　回歸我國現(xiàn)實情況，一方面，《刑法》第二百六十二條“拐騙兒童罪”已經(jīng)對“兒童”作出年齡界定——

　　“不滿十四周歲的未成年人”；另一方面，隨著信息網(wǎng)絡的逐漸普及，兒童心智成熟的年齡段普遍提前，十四周歲的兒童通常已經(jīng)具備一定的認知能力，在一定程度上能夠判斷和把控自身行為，此外，立法還需考慮執(zhí)法的成本及對互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的長遠影響，因此從保護立法統(tǒng)一性、合理性、科學性角度出發(fā)，將保護對象界定為不滿十四周歲的未成年人是較為符合我國立法現(xiàn)狀、監(jiān)管需求及產(chǎn)業(yè)發(fā)展實踐的。

　　(二)知情同意的補全

　　從《規(guī)定》明確的主體權能來看，兒童監(jiān)護人在兒童信息被收集、存儲、使用、轉移過程中享有知情同意的權能。從該項權能的來源來看，《民法總則》規(guī)定不滿八周歲的未成年人，需由監(jiān)護人代理實施民事法律行為，已滿八周歲不滿十四周歲的，除純獲利益的民事法律行為或者與其年齡、智力相適應的民事法律行為，須經(jīng)監(jiān)護人同意、追認。

　　在此基礎上，當涉及《網(wǎng)絡安全法》等個人信息保護立法所設置的知情同意規(guī)則時，由于不滿十四周歲的兒童尚不具備完全的民事行為能力，對其自身權利的認知不足，處分自身權益的意思表示存在瑕疵，需要監(jiān)護人的補全，因此各國普遍在立法中規(guī)定了由其監(jiān)護人代行同意的措施，《規(guī)定》也吸收借鑒了上述規(guī)則，此外，《規(guī)定》還規(guī)定了停止服務及信息泄露時的告知義務，確保了監(jiān)護人及兒童在數(shù)據(jù)全生命周期事前、事中、事后的知情和決定權能。

　　(三)分級分類和強化保護

　　兒童作為特殊主體，一方面由于其心智尚不成熟，對其個人信息的價值及被違法收集、使用的后果缺乏清晰的認知，另一方面，由于兒童本身的自我保護能力不足，難以主動核對其信息的準確性、安全性，一旦信息泄露后也更加容易成為非法侵害的重災區(qū)。因此需要網(wǎng)絡運營者采取更加具體、更加有力的措施對其進行專門保護。

　　知情同意原則的有效性問題長期受到詬病，針對該問題，《規(guī)定》細化了告知事項，并提供拒絕同意選項，保障兒童及監(jiān)護人享有更高的透明度和自由選擇權；此外在兒童個人信息的全生命周期，相較于數(shù)據(jù)流通、共享等自由價值，《規(guī)定》更加強調(diào)安全、穩(wěn)定等秩序價值，包括貫穿始終的目的限定、最小夠用、訪問限制以及及時刪除等規(guī)則，確保兒童個人信息獲得更高程度的安全保障。

　　(四)例外條款

　　最后，《規(guī)定》設置了例外條款，排除了通過計算機信息系統(tǒng)自動留存處理且無法識別是否兒童的個人信息，減輕了網(wǎng)絡運營者對于非主動收集信息的普遍保護義務，但對于其中能夠識別為兒童個人信息的，當然仍需適用《規(guī)定》，適當?shù)钠胶饬似髽I(yè)的安全保障義務與合規(guī)運行成本。

　　總體來看，《規(guī)定》是在當前形勢下，對兒童個人信息保護的有力保障，同時也是有益探索。據(jù)悉，相關部門正在研究修訂《未成年人保護法》、推動《未成年人網(wǎng)絡保護條例》出臺，以進一步加強未成年人網(wǎng)絡保護，《規(guī)定》的實施能夠在積累有益經(jīng)驗的基礎上，為未來立法的出臺貢獻力量。(來源：中國網(wǎng)信網(wǎng)　中國信息通信研究院互聯(lián)網(wǎng)法律研究中心　李雅文)