《儿童个人信息网络保护规定》解读
个人信息保护备受未成年人是网络服务中的重要用户群体。相较于欧盟、美国,我国个人信息保护起步较晚,也没有针对儿童的信息保护进行单独规定。我国《个人信息安全规范》(下称“《国标》”)仅规定,收集14周岁以下儿童的信息需要征求监护人明示同意。在此背景下,六一儿童节前夕(2019年5月31日下午六点零一分),国家互联网信息办公室发布了《儿童个人信息网络保护规定(征求意见稿)》(下称“《征求意见稿》”)。本文将主要结合现行《国标》,并参考欧盟、美国对儿童个人信息的相关规定和实践,对《征求意见稿》进行解读。
1. 保护对象的年龄线设置
保护对象的年龄线设置可能因具体法域而异。美国COPPA法案设置的年龄线为13周岁,而欧盟GDPR则设置为16周岁(欧盟成员国可规定更低的年龄界限,但不得低于13周岁)。
我国法律法规及国标对处于不同年龄阶段的未成年人规定了不同的权利,可以分为以下两个角度讨论:
第一,从民事主体的角度,根据《中华人民共和国民法总则》第十七条“十八周岁以下的自然人均为未成年人,除特殊情况外,均属于限制民事行为能力人,只能实施与其智力、精神状况相适应的民事法律行为。否则,需要由其法定代理人代理或者经其法定代理人同意、追认”。
第二,从个人信息主体的角度,根据《国标》第5.5条第c)款“收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。”本次《征求意见稿》所保护的对象仅为儿童,根据征求意见稿第二十七条的规定,儿童指不满十四周岁的未成年人。《数据安全管理办法(征求意见稿)》第12条也规定“收集14周岁以下未成年人个人信息的,应当征得其监护人同意”,将保护的个人信息主体也定为14周岁以下的儿童。
2. 保护儿童个人信息的全生命周期
此次《征求意见稿》沿用了《国标》的基本框架,参考了保护个人信息全生命周期的思路,对儿童个人信息的收集、存储、使用、转移、披露均有完整的覆盖(第三条)。并且,在收集信息前要求获得监护人的明示同意,在收集后监护人有权要求删除或更正,这一点与COPPA和GDPR的规定是一致的。
首先,在信息收集、使用方面,《征求意见稿》明确了需要得到儿童监护人的明示同意,并且要求明示同意应当具体、清楚、明确和基于自愿(第七条)。此外,第十一条、第十四条和第十五条中,全方位详细规定了需要征得明示同意的各种情形,比如收集信息的目的、范围、方式、期限等发生变化,和第三方共用、向第三方转移时均需要获得监护人的明示同意。第八条还进一步要求在提供同意选项的同时,还需要向儿童监护人提供拒绝选项(第八条),这些都与《国标》是一脉相承的。需要注意的是,根据《征求意见稿》,收集、使用儿童个人信息,需要得到的是监护人的“明示”同意。但《数据安全管理办法(征求意见稿)》第十二条,收集14周岁以下未成年人个人信息的,应当征得其监护人同意,可能包括明示和默示同意两种情形。根据《国标》,明示同意是指个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。肯定性动作包括个人信息主体主动做出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写或提供等。因此,有待于不同法规之间的相互统一与协调适用。
其次,在信息存储、委托处理方面,与《国标》的相关规定没有实质性区别,同样要求不得超过实现收集、使用目的所必须的期限(第九条)。同时,明确要求采取加密措施存储(第十条),这条是对儿童信息的增强性保护措施的特殊规定。涉及儿童信息委托处理时,网络运营者需要进行安全评估。受托方的义务基本与《国标》规定保持一致,不得进行受托范围以外的处理(第十三条)。相较于《国标》,《征求意见稿》严格要求网络运营者与受托方应当签署委托协议来明确双方责任、处理事项、处理期限、处理性质和目的。并且在受委托方的义务中,增加了其协助网络运营者回应儿童监护人提出的申请,以及不得转委托的规定。
最后,个人信息主体权利实现方面,明确要求网络运营者对错误的儿童信息进行更正(第十七条);对于删除儿童个人信息,相较于《国标》,《征求意见稿》增加了当出现儿童监护人撤回同意,以及儿童或者其监护人通过注销等方式终止使用产品或者服务两种情形时,网络运营者应当及时采取措施予以删除。
3. 保护儿童个人信息的特殊规则
此次《征求意见稿》强调了网络运营者的行业规范。例如,《征求意见稿》第五条要求网络运营者应当设置专门的儿童个人信息保护规则和用户协议。该条与COPPA与GDPR的要求基本一致,COPPA规定网络运营者必须明示正在收集有关儿童的信息,并说明如何使用这些信息。GDPR进一步要求控制者使用清晰易懂的语言,将相关信息提供给未成年人。
另外,《征求意见稿》第五条还要求设立专人负责儿童信息保护。第十二条规定,工作人员访问儿童个人信息的,应当以“最小授权”为原则,设定严格的访问权限,需要经过个人信息保护专员或者其授权的管理人员审批。
网络运营者是否需要单独写一个针对儿童信息保护的隐私政策,还是用户协议里包含儿童信息保护的规则,目前在《征求意见稿》阶段还没有统一答案。但可能一般认为,专注于儿童内容和产品的运营者,需要设有专门针对儿童的隐私政策。但老少兼宜的产品或者服务,专门设计单独的儿童隐私政策成本较高也会造成用户多套版本查看的混乱,可以在总的用户协议中特别列出针对儿童规则这种方式来解决。
根据《国标》,儿童个人信息也是个人敏感信息的一类,一般企业要求敏感信息的审批也应当经过个人信息保护专员或者其授权的管理人员,记录访问情况,并采取技术措施,避免违法复制和下载。因此,所以对于网络运营者来说,第十二条其实没有额外增加负担。
4. 违法处理儿童个人信息的处罚
此次《征求意见稿》对侵犯儿童个人信息安全规定了惩罚措施,可以算作是一大亮点。
根据《征求意见稿》,违反相关规定,网信办会根据情节情重,采取约谈或者根据《中华人民共和国网络安全法》第六十四条根据情节单对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
《征求意见稿》的惩罚措施是对《国标》推荐性标准没有强制执行力的有利补充,对企业有很强的震慑力。关于更多《征求意见稿》与《国标》的比对,请详细参考附件。
5. 父母验证同意的机制
COPPA和GDPR对父母验证同意的机制进行了规定。根据GDPR的规定,考虑到现有的技术水平,信息者应当做出合理的努力,以核实在此种情况下相关同意是否由未成年人的监护人做出或授权。而COPPA也要求除特殊情况外,网络运营者必须事先取得可验证的父母的同意,通过合理努力使监护人能够收到授权申请并做出授权决定,并且如收集、使用、披露的方式有重大改变时,需要再次征得监护人同意。从国外目前的实践来看,大部分企业采用限制儿童注册、将监护人与儿童的账号进行关联等方式。
在我国,虽然《征求意见稿》已经出台,但是比较遗憾的是,此次《征求意见稿》并未对识别未成年人(游戏类另有规定除外)、监护人同意机制、控制机制方面进行规定。关于在互联网产品中如何落地保护未成年人,仍然是一个具有挑战性的话题。
作者简介 |
孟洁 北京市环球律师事务所北京办公室合伙人,其主要执业领域为网络安全与数据合规、个人信息隐私保护、电子商务与网络法。曾就职于Google和大众投资的AI独角兽公司(出门问问信息科技有限公司),任总法律顾问和数据保护官,负责法律、合规、知识产权、政策研究和政府关系等方面。曾就职于法国知名效果类互联网广告公司Criteo任中国区首席法律顾问和诺基亚通信(中国)有限公司任大中国区法律顾问。
|
殷坤 北京市环球律师事务所律师助理,其主要执业领域为网络安全与数据合规、个人信息隐私保护、电子商务与网络法。在中欧跨境电子商务法律政策、中欧数据保护相关法律法规方面有相关经验。
|
附录:《儿童个人信息网络保护规定(征求意见稿)》(以下简称“《征求意见稿》”)与《个人信息安全规范》横向对比表
《征求意见稿》 | 《个人信息安全规范》 | 差异说明 |
第一条 为了保护儿童个人信息安全,促进儿童健康成长,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律制定本规定。 | / | / |
第二条 在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动,适用本规定。 | / | / |
第三条 网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。 | 4 个人信息安全基本原则 个人信息控制者开展个人信息处理活动,应遵循以下基本原则: a) 权责一致原则 b) 目的明确原则 c) 选择同意原则 d) 最少够用原则 e) 公开透明原则 f) 确保安全原则 g) 主体参与原则 | 相较于《个人信息安全规范》,《征求意见稿》增加了正当必要原则、安全保障原则、依法利用原则。 |
第四条 鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等,加强行业自律,履行社会责任。 | / | 《征求意见稿》新增 |
第五条 网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并设立个人信息保护专员或者指定专人负责儿童个人信息保护。适用于儿童的用户协议应当简洁、易懂。 | 无相关规定。 | 《征求意见稿》新增 |
第六条 网络运营者不得收集与其提供的服务无关的儿童个人信息,不得违反法律、行政法规的规定和用户协议的约定收集儿童个人信息。 | 5.1 d) 不应收集法律法规明令禁止收集的个人信息; 5.2 a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联; | 《征求意见稿》此条规定对应了《个人信息保护规范》5.1条的规定。 |
第七条 网络运营者收集、使用儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的明示同意。明示同意应当具体、清楚、明确,基于自愿。 | 5.4 c) 收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意; | 《征求意见稿》的此条规定相较于《个人信息安全规范》,要求告知儿童监护人的方式需要显著、清晰,且对明示同意也规定了具体、清楚、明确和基于自愿的要求。 |
第八条 网络运营者征得同意时,应当同时提供拒绝选项,并明确告知以下事项: (一)收集、存储、使用、转移或者披露儿童个人信息的目的、范围、方式和期限; (二)儿童个人信息的存储地点和到期后的处理方式; (三)儿童个人信息的安全保障措施; (四)个人信息保护专员或者其他联系方式; (五)拒绝的后果和影响; (六)其他应当告知的事项。 前款规定的告知事项发生实质性变化的,应当再次征得儿童监护人的明示同意。 | 5.4 a) 收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围,并获得个人信息主体的授权同意; 5.5 a) 应制定隐私政策,内容应包括但不限于: 3) 个人信息收集方式、存储期限、涉及数据出境情况等个人信息处理规则; 4) 对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收; 7) 遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施,必要时可公开数据安全和个人信息保护相关的合规证明; C.2 a) 在基本业务功能开启前(如个人信息主体初始安装、首次使用、注册账号等),应通过交互界面或设计(如弹窗、文字说明、填写框、提示条、提示音等形式),向个人信息主体告知基本业务功能所必要收集的个人信息类型,以及个人信息主体拒绝提供或拒绝同意收集将带来的影响,并通过个人信息主体对信息收集主动作出肯定性动作(如勾选、点击“同意”或“下一步”等)征得其明示同意; | 《征求意见稿》的此条规定,对应了《个人信息安全规范》的5.4、5.5和附件C当中的相关规定,对于网络运营者征得同意时应当告知的事项里,《征求意见稿》增加了个人信息保护专员或者其他联系方式。《个人信息安全规范》没有要求披露个人信息保护专员的联系方式,但在其第9.2条中规定,在发生安全事件时,应当告知用户个人信息保护负责人和个人信息保护工作机构的联系方式。 |
第九条 网络运营者存储儿童个人信息,不得超过实现其收集、使用目的所必须的期限。 | 6.1 a) 个人信息保存期限应为实现个人信息主体授权使用的目的所必需的最短时间,法律法规另有规定或者个人信息主体另行同意的除外; | 《征求意见稿》此条规定对应了《个人信息保护规范》6.1条的规定。 |
第十条 网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。 | 无相关规定 | 《征求意见稿》新增 |
第十一条 网络运营者使用儿童个人信息,不得超出约定的目的和范围。因业务需要,确需超出目的和范围使用的,应当再次征得儿童监护人的明示同意。 | 7.3 a) 使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意; | 《征求意见稿》此条规定对应了《个人信息保护规范》7.3条的规定。 |
第十二条 网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过个人信息保护专员或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。 | 7.1 a) 对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最少够用的个人信息,且仅具备完成职责所需的最少的数据操作权限; | 在《个人信息安全规范》中,对于个人信息访问的规定,要求建立最小授权的控制策略,《征求意见稿》也强调了最小授权的原则。但在《征求意见稿》中,还新增了工作人员访问儿童个人信息,需要经过个人信息保护专员或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。 |
第十三条 网络运营者委托第三方处理儿童个人信息的,应当对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。 前款规定的受委托方,应当履行以下义务: (一)按照网络运营者的要求处理儿童个人信息; (二)协助网络运营者回应儿童监护人提出的申请; (三)采取措施保障信息安全,并在发生儿童个人信息泄露安全事件时,及时向网络运营者反馈; (四)委托关系解除时及时删除儿童个人信息; (五)不得转委托; (六)其他依法应当履行的儿童个人信息保护义务。 | 8.1 委托处理 委托处理个人信息时,应符合以下要求: a) 个人信息控制者作出委托行为,不应超出已征得个人信息主体授权同意的范围或应遵守本标准5.6所列情形; b) 个人信息控制者应对委托行为进行个人信息安全影响评估,确保受委托者达到本标准10.4的数据安全能力要求; c) 受委托者应: 1) 严格按照个人信息控制者的要求处理个人信息。受委托者因特殊原因未按照个人信息控制者的要求处理个人信息的,应及时向个人信息控制者反馈; 2) 受委托者确需再次委托时,应事先征得个人信息控制者的授权; 3) 协助个人信息控制者响应个人信息主体基于本标准7.8至7.13提出的请求; 4) 受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件的,应及时向个人信息控制者反馈; 5) 在委托关系解除时不再保存个人信息。 d) 个人信息控制者应对受委托者进行监督,方式包括但不限于: 1) 通过合同等方式规定受委托者的责任和义务; 2) 对受委托者进行审计。 e) 个人信息控制者应准确记录和保存委托处理个人信息的情况。 | 相较于《个人信息安全规范》,《征求意见稿》严格要求网络运营者与受托方应当签署委托协议来明确明确双方责任、处理事项、处理期限、处理性质和目的。并且在受委托方的义务中,增加了其协助网络运营者回应儿童监护人提出的申请,以及不得转委托的规定。 |
第十四条 网络运营者和第三方共同使用儿童个人信息的,应当征得儿童监护人的明示同意。 | 无相关规定。 | 《征求意见稿》新增 |
第十五条 网络运营者向第三方转移儿童个人信息的,应当自行或者委托第三方机构进行安全评估,并征得儿童监护人的明示同意。 | 8.2 个人信息控制者共享、转让个人信息时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组、破产原因的,应符合以下要求: a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施; b) 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别个人信息主体的除外; | 《征求意见稿》要求网络运营者转移儿童个人信息,要征得儿童监护人的明示同意。 |
第十六条 网络运营者不得披露儿童个人信息,但法律、行政法规规定应当披露或者根据与儿童监护人的约定需要披露的除外。 | 8.5 以下情形中,个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权同意: a) 与个人信息控制者履行法律法规规定的义务相关的; b) 与国家安全、国防安全直接相关的; c) 与公共安全、公共卫生、重大公共利益直接相关的; d) 与犯罪侦查、起诉、审判和判决执行等直接相关的; e) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的; f) 个人信息主体自行向社会公众公开的个人信息; g) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。 | 相较于《个人信息安全规范》,《征求意见稿》在披露儿童个人信息的例外情形里,增加了与儿童监护人的约定需要披露的情形。 |
第十七条 儿童或者其监护人发现网络运营者收集、存储的儿童个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。 | 7.9 个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的,个人信息控制者应为其提供请求更正或补充信息的方法。 | 《征求意见稿》此条对应了《个人信息保护规范》7.9条的规定,并增加了网络运营者及时采取措施予以更正的义务。 |
第十八条 儿童或者其监护人要求网络运营者删除其收集、存储、使用的儿童个人信息的,网络运营者应当及时采取措施予以删除,包括但不限于以下情形: (一)网络运营者违反法律、行政法规的规定或者用户协议的约定收集、存储、使用、转移或者披露儿童个人信息的; (二)超出目的范围或者必要期限收集、存储、使用、转移或者披露儿童个人信息的; (三)儿童监护人撤回同意的; (四)儿童或者其监护人通过注销等方式终止使用产品或者服务的。 | 7.10 对个人信息控制者的要求包括: a) 符合以下情形,个人信息主体要求删除的,应及时删除个人信息: 1) 个人信息控制者违反法律法规规定,收集、使用个人信息的; 2) 个人信息控制者违反与个人信息主体的约定,收集、使用个人信息的。 b) 个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并通知第三方及时删除; c) 个人信息控制者违反法律法规规定或违反与个人信息主体的约定,公开披露个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止公开披露的行为,并发布通知要求相关接收方删除相应的信息。 | 对于删除儿童个人信息的情形,相较于《个人信息安全规范》,《征求意见稿》增加了儿童监护人撤回同意,以及儿童或者其监护人通过注销等方式终止使用产品或者服务两种情形。 |
第十九条 网络运营者收集、使用、转移、披露儿童个人信息,有以下情形之一的,可以不经过儿童监护人的明示同意: (一)为维护国家安全或者公共利益; (二)为消除儿童人身或者财产上的紧急危险; (三)法律、行政法规规定的其他情形。 | 5.6 以下情形中,个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意: a) 与个人信息控制者履行法律法规规定的义务相关的; b) 与国家安全、国防安全直接相关的; c) 与公共安全、公共卫生、重大公共利益直接相关的; d) 与犯罪侦查、起诉、审判和判决执行等直接相关的; e) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的; f) 所涉及的个人信息是个人信息主体自行向社会公众公开的; g) 根据个人信息主体要求签订和履行合同所必需的; 注:隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不应将其视为本条中的合同。 h) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道; i) 维护所提供产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障; j) 个人信息控制者为新闻单位,且其开展合法的新闻报道所必需的;个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的。 8.5 以下情形中,个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权同意: a) 与个人信息控制者履行法律法规规定的义务相关的; b) 与国家安全、国防安全直接相关的; c) 与公共安全、公共卫生、重大公共利益直接相关的; d) 与犯罪侦查、起诉、审判和判决执行等直接相关的; e) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的; f) 个人信息主体自行向社会公众公开的个人信息; g) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。 | 《征求意见稿》此条规定都包含在了《个人信息保护规范》5.6和8.5条的规定中。 |
第二十条 网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,采取补救措施;造成或者可能造成严重后果的,应当立即向有关主管部门报告,并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人,难以逐一告知的,应当采取合理、有效的方式发布相关警示信息。 | 9.1 c) 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置: 1) 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门; 2) 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患; 3) 按照《国家网络安全事件应急预案》等有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式; 4) 个人信息泄露事件可能会给个人信息主体带来较大影响的,如个人敏感信息的泄露,照本标准9.2的要求实施安全事件的告知。 9.2 对个人信息控制者的要求包括: a) 应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息; b) 告知内容应包括但不限于: 1) 安全事件的内容和影响; 2) 已采取或将要采取的处置措施; 3) 个人信息主体自主防范和降低风险的建议; 4) 针对个人信息主体提供的补救措施; 5) 个人信息保护负责人和个人信息保护工作机构的联系方式。 | 《个人信息安全规范》规定在个人信息安全事件发生后,应当依据应急响应预案进行的处置,而《征求意见稿》则是要求儿童个人信息发生或者可能发生泄露、毁损、丢失的,应当立即启动应急预案,即《征求意见稿》启动应急预案的情形,不一定是在个人信息时间发生后,也可以是在有可能发生的时候。 |
第二十一条 网络运营者应当对国家互联网信息办公室和其他有关部门依法开展的监督检查予以配合。 | 无相关规定 | 《征求意见稿》新增 |
第二十二条 网络运营者停止运营产品或者服务的,应当立即停止收集儿童个人信息的活动,删除其持有的儿童个人信息,并将停止运营的通知及时告知儿童监护人。 | 6.4 当个人信息控制者停止运营其产品或服务时,应: a) 及时停止继续收集个人信息; b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体; c) 对其所持有的个人信息进行删除或匿名化处理。 | 《征求意见稿》此条规定对应了《个人信息保护规范》6.4条的规定. |
第二十三条 任何组织和个人发现有违反本规定行为的,可以向国家互联网信息办公室和其他有关部门举报。 国家互联网信息办公室和其他有关部门收到举报的,应当依据职责进行处理。 | 无相关规定 | 《征求意见稿》新增 |
第二十四条 网络运营者落实儿童个人信息安全管理责任不到位,存在较大安全风险或者发生安全事件的,由国家互联网信息办公室依法进行约谈,网络运营者应当按照约谈要求及时采取措施,进行整改,消除隐患。 | 无相关规定。 | 有关责任部分的问题,《征求意见稿》增加了相关规定。 |
第二十五条 违反本规定的,由国家互联网信息办公室和其他有关部门依据职责,根据《中华人民共和国网络安全法》第六十四条的规定责令改正,根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。 | 无相关规定。 | 有关责任部分的问题,《征求意见稿》增加了相关规定。 |
第二十六条 违反本规定被追究法律责任的,依照有关法律、行政法规的规定记入信用档案,并予以公示。 | / | / |
第二十七条 本规定所称儿童,是指不满十四周岁的未成年人。 | / | / |
第二十八条 本规定自2019年月日起施行。 | / | / |