手机网站
手机网站
国家互联网信息办公室法令。
第4号
《儿童个人信息网络保护规定》已经国家互联网信息办公室办公会议审议通过,现予公布,自2019年10月1日起施行
庄主任
2年8月22日019
《儿童个人信息网络保护规定》第一条为了保护儿童个人信息安全,促进儿童健康成长,根据《中华人民共和国互联网安全法》、《中华人民共和国未成年人保护法》等法律法规,制定本规定。
第二条本规定所称儿童,是指14岁以下的未成年人。
第三条在中华人民共和国境内通过互联网收集、储存、使用、传递和披露儿童个人信息,适用本规定。
第四条任何组织或者个人不得制作、发布或者传播侵犯儿童个人信息安全的信息。
第五条儿童监护人应当正确履行监护职责,教育和引导儿童增强个人信息保护意识和能力,保护儿童个人信息安全。
第六条鼓励互联网行业组织引导和促进网络运营商制定保护儿童个人信息的行业规范和行为准则,加强行业自律,履行社会责任。
第七条网络经营者收集、存储、使用、传递和披露儿童个人信息,应当遵循合法必要性、知情同意、目的明确、安全保障、合法使用的原则。
第八条网络经营者应当建立保护儿童个人信息的专门规则和用户协议,并指定专人负责保护儿童个人信息。
第九条网络经营者收集、使用、转移或者披露儿童个人信息的,应当明显、清晰地告知儿童监护人,并征得儿童监护人的同意。
第十条网络运营商在获得同意的同时,应提供拒绝选项,并明确告知以下事项:
(1)收集、存储、使用、转移和披露儿童个人信息的目的、方法和范围;
(2)儿童个人信息存储期满后的地点、期限和处理方式;
(3)儿童个人信息安全措施;
(4)拒绝的后果;
(5)投诉举报的渠道和方式;
(6)纠正和删除儿童个人信息的方式方法;
(7)其他应通知的事项
前款规定的通知事项发生实质性变化的,应当再次征得子女监护人的同意
第十一条网络经营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和双方的约定收集儿童个人信息
第十二条网络经营者储存儿童个人信息不得超过收集和使用的期限。
第十三条网络运营商应当采取加密等措施存储儿童个人信息,确保信息安全
第十四条网络经营者使用儿童个人信息不得违反法律、行政法规的规定和双方约定的目的和范围。因业务需要确需超出约定用途和范围使用的,应当再次征得孩子监护人的同意。
第十五条网络运营商应严格设定信息访问权限,按照对员工最低授权的原则控制儿童个人信息知识的范围。查阅儿童个人信息的工作人员应当经过儿童个人信息保护负责人或者其授权的管理人员的审批,并记录查阅情况,采取技术措施,防止非法复制和下载儿童个人信息。
第十六条网络经营者委托第三方处理儿童个人信息的,应当对受委托人和受委托行为进行安全评估,签订委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等。委托行为不得超出授权范围。
前款规定的受托方应当履行下列义务:
(1)按照法律、行政法规的规定和网络运营商的要求处理儿童个人信息;
(2)协助网络运营商回应儿童监护人的申请;
(3)在发生儿童个人信息泄露安全事件时,采取措施确保信息安全并及时反馈给网络运营商;
(4)委托关系终止时及时删除子女个人信息;
(5)不得委派;
(6)依法应当履行的其他保护儿童个人信息的义务
第十七条网络经营者将儿童个人信息转让给第三方的,应当自行或者委托第三方机构进行安全评估。
第十八条网络经营者不得泄露儿童个人信息,但法律、行政法规要求或者与儿童监护人约定的除外。
第十九条儿童或其监护人有权要求网络经营者改正网络经营者收集、存储、使用和披露的儿童个人信息中的错误。网络运营商应及时采取措施予以纠正。
第二十条儿童或其监护人要求网络经营者删除收集、存储、使用和披露的儿童个人信息的,网络经营者应当及时采取措施予以删除,包括但不限于以下情形:
(1)网络经营者违反法律、行政法规的规定或双方约定,收集、存储、使用、转移和披露儿童个人信息的;
(2)收集、储存、使用、转移或披露超出目的范围或在必要期限内的儿童个人信息;
(3)儿童监护人撤回其同意;
(4)儿童或其监护人通过取消或其他方式终止产品或服务的使用
第二十一条网络运营商发现儿童个人信息已经发生或者可能发生泄露、损坏或者丢失的,应当立即启动应急预案,并采取补救措施。造成或者可能造成严重后果的,应当立即向有关主管部门报告,并通过邮件、信函、电话、推送通知等方式告知受影响儿童及其监护人相关信息。难以逐一告知的,应当采取合理有效的方法发布相关警示信息
第二十二条网络经营者应当配合网络信息部门和其他有关部门依法实施的监督检查
第二十三条网络经营者停止经营产品或者服务的,应当立即停止收集儿童个人信息,删除其持有的儿童个人信息,并及时通知其监护人停止经营。
第二十四条任何组织和个人发现违反本规定的行为,可以向互联网和其他有关部门举报。
网信部等相关部门接到相关报告后,应按职责及时处理
第二十五条网络经营者未履行儿童个人信息安全管理职责,存在较大安全风险或安全事故的,网络信息部门应当按照职责进行约谈。网络经营者应当及时采取措施,整改和消除隐患。第二十六条违反本规定的
,由互联网信息主管部门和其他有关部门按照各自职责,依照《中华人民共和国互联网安全法》、《互联网信息服务管理办法》等有关法律法规进行处理。构成犯罪的,依法追究刑事责任。
第27条违反本规定应追究法律责任的,应记入信用档案,并按有关法律、行政法规进行公示。
第二十八条经处理的信息通过计算机信息系统自动留存,留存的经处理的信息不能认定为儿童个人信息的,适用其他有关规定。
第二十九条本规定自2019年10月1日起施行
