兒童個人信息網絡保護規定

國(guó)家互聯網信息辦公室令

第4号

　　《兒童個人信息網絡保護規定》已經(jīng)國(guó)家互聯網信息辦公室室務會議審議通過(guò)，現予公布，自2019年10月1日起(qǐ)施行。

主任 莊榮文

2019年8月22日

兒童個人信息網絡保護規定

    第一條 爲了保護兒童個人信息安全，促進(jìn)兒童健康成(chéng)長(cháng)，根據《中華人民共和國(guó)網絡安全法》《中華人民共和國(guó)未成(chéng)年人保護法》等法律法規，制定本規定。

    第二條 本規定所稱兒童，是指不滿十四周歲的未成(chéng)年人。

    第三條 在中華人民共和國(guó)境内通過(guò)網絡從事(shì)收集、存儲、使用、轉移、披露兒童個人信息等活動，适用本規定。

    第四條 任何組織和個人不得制作、發(fā)布、傳播侵害兒童個人信息安全的信息。

    第五條 兒童監護人應當正确履行監護職責，教育引導兒童增強個人信息保護意識和能(néng)力，保護兒童個人信息安全。

    第六條 鼓勵互聯網行業組織指導推動網絡運營者制定兒童個人信息保護的行業規範、行爲準則等，加強行業自律，履行社會責任。

    第七條 網絡運營者收集、存儲、使用、轉移、披露兒童個人信息的，應當遵循正當必要、知情同意、目的明确、安全保障、依法利用的原則。

    第八條 網絡運營者應當設置專門的兒童個人信息保護規則和用戶協議，并指定專人負責兒童個人信息保護。

    第九條 網絡運營者收集、使用、轉移、披露兒童個人信息的，應當以顯著、清晰的方式告知兒童監護人，并應當征得兒童監護人的同意。

    第十條 網絡運營者征得同意時，應當同時提供拒絕選項，并明确告知以下事(shì)項：

    （一）收集、存儲、使用、轉移、披露兒童個人信息的目的、方式和範圍；

    （二）兒童個人信息存儲的地點、期限和到期後(hòu)的處理方式；

    （三）兒童個人信息的安全保障措施；

    （四）拒絕的後(hòu)果；

    （五）投訴、舉報的渠道(dào)和方式；

    （六）更正、删除兒童個人信息的途徑和方法；

    （七）其他應當告知的事(shì)項。

　　前款規定的告知事(shì)項發(fā)生實質性變化的，應當再次征得兒童監護人的同意。

    第十一條 網絡運營者不得收集與其提供的服務無關的兒童個人信息，不得違反法律、行政法規的規定和雙方的約定收集兒童個人信息。

    第十二條 網絡運營者存儲兒童個人信息，不得超過(guò)實現其收集、使用目的所必需的期限。

    第十三條 網絡運營者應當采取加密等措施存儲兒童個人信息，确保信息安全。

    第十四條 網絡運營者使用兒童個人信息，不得違反法律、行政法規的規定和雙方約定的目的、範圍。因業務需要，确需超出約定的目的、範圍使用的，應當再次征得兒童監護人的同意。

    第十五條 網絡運營者對(duì)其工作人員應當以最小授權爲原則，嚴格設定信息訪問權限，控制兒童個人信息知悉範圍。工作人員訪問兒童個人信息的，應當經(jīng)過(guò)兒童個人信息保護負責人或者其授權的管理人員審批，記錄訪問情況，并采取技術措施，避免違法複制、下載兒童個人信息。

    第十六條 網絡運營者委托第三方處理兒童個人信息的，應當對(duì)受委托方及委托行爲等進(jìn)行安全評估，簽署委托協議，明确雙方責任、處理事(shì)項、處理期限、處理性質和目的等，委托行爲不得超出授權範圍。

　　前款規定的受委托方，應當履行以下義務：

    （一）按照法律、行政法規的規定和網絡運營者的要求處理兒童個人信息；

    （二）協助網絡運營者回應兒童監護人提出的申請；

    （三）采取措施保障信息安全，并在發(fā)生兒童個人信息洩露安全事(shì)件時，及時向(xiàng)網絡運營者反饋；

    （四）委托關系解除時及時删除兒童個人信息;

    （五）不得轉委托；

    （六）其他依法應當履行的兒童個人信息保護義務。

    第十七條 網絡運營者向(xiàng)第三方轉移兒童個人信息的，應當自行或者委托第三方機構進(jìn)行安全評估。

    第十八條 網絡運營者不得披露兒童個人信息，但法律、行政法規規定應當披露或者根據與兒童監護人的約定可以披露的除外。

    第十九條 兒童或者其監護人發(fā)現網絡運營者收集、存儲、使用、披露的兒童個人信息有錯誤的，有權要求網絡運營者予以更正。網絡運營者應當及時采取措施予以更正。

    第二十條 兒童或者其監護人要求網絡運營者删除其收集、存儲、使用、披露的兒童個人信息的，網絡運營者應當及時采取措施予以删除，包括但不限于以下情形：

    （一）網絡運營者違反法律、行政法規的規定或者雙方的約定收集、存儲、使用、轉移、披露兒童個人信息的；

    （二）超出目的範圍或者必要期限收集、存儲、使用、轉移、披露兒童個人信息的；

    （三）兒童監護人撤回同意的；

    （四）兒童或者其監護人通過(guò)注銷等方式終止使用産品或者服務的。

    第二十一條 網絡運營者發(fā)現兒童個人信息發(fā)生或者可能(néng)發(fā)生洩露、毀損、丢失的，應當立即啓動應急預案，采取補救措施；造成(chéng)或者可能(néng)造成(chéng)嚴重後(hòu)果的，應當立即向(xiàng)有關主管部門報告，并將(jiāng)事(shì)件相關情況以郵件、信函、電話、推送通知等方式告知受影響的兒童及其監護人，難以逐一告知的，應當采取合理、有效的方式發(fā)布相關警示信息。

    第二十二條 網絡運營者應當對(duì)網信部門和其他有關部門依法開(kāi)展的監督檢查予以配合。

    第二十三條 網絡運營者停止運營産品或者服務的，應當立即停止收集兒童個人信息的活動，删除其持有的兒童個人信息，并將(jiāng)停止運營的通知及時告知兒童監護人。

    第二十四條 任何組織和個人發(fā)現有違反本規定行爲的，可以向(xiàng)網信部門和其他有關部門舉報。

　　網信部門和其他有關部門收到相關舉報的，應當依據職責及時進(jìn)行處理。

    第二十五條 網絡運營者落實兒童個人信息安全管理責任不到位，存在較大安全風險或者發(fā)生安全事(shì)件的，由網信部門依據職責進(jìn)行約談，網絡運營者應當及時采取措施進(jìn)行整改，消除隐患。

    第二十六條 違反本規定的，由網信部門和其他有關部門依據職責，根據《中華人民共和國(guó)網絡安全法》《互聯網信息服務管理辦法》等相關法律法規規定處理；構成(chéng)犯罪的，依法追究刑事(shì)責任。

    第二十七條 違反本規定被(bèi)追究法律責任的，依照有關法律、行政法規的規定記入信用檔案，并予以公示。

    第二十八條 通過(guò)計算機信息系統自動留存處理信息且無法識别所留存處理的信息屬于兒童個人信息的，依照其他有關規定執行。

    第二十九條 本規定自2019年10月1日起(qǐ)施行。