Das chinesische Amt für die Verwaltung des Cyberspace hat kürzlich Vorschriften zum Schutz der persönlichen Daten von Kindern im Netz (《儿童个人信息网络保护规定》) erlassen, die am 1. Oktober 2019 in Kraft treten sollen. Diese Vorschriften enthalten allgemeine Regeln für die Online-Erfassung und -Verarbeitung von personenbezogenen Daten von Kindern unter 14 Jahren.
Allgemeine Pflichten des Netzbetreibers
Gemäß den Verordnungen müssen die Netzbetreiber:
- Festlegung von Regeln zum Schutz personenbezogener Daten.
- Verwenden Sie Benutzervereinbarungen.
- Benennen Sie eine Person, die für den Schutz der persönlichen Daten von Kindern verantwortlich ist.
- Einholung der elterlichen Zustimmung für die Erfassung, Verwendung, Weitergabe oder Offenlegung der personenbezogenen Daten von Kindern.
- Schützen Sie die persönlichen Daten von Kindern durch Verschlüsselung oder andere Mittel.
- alle Gesetze und Vorschriften sowie die Nutzungsvereinbarung hinsichtlich des Zwecks und des Umfangs der Erfassung und Verwendung personenbezogener Daten von Kindern einhalten.
- keine personenbezogenen Daten zu sammeln, die nicht für die von den Netzbetreibern angebotenen Dienste relevant sind.
- Wir geben keine personenbezogenen Daten von Kindern weiter, es sei denn, dies ist gesetzlich vorgeschrieben oder gemäß der Vereinbarung mit den Eltern des Kindes ausdrücklich erlaubt.
Die Netzbetreiber müssen auch den Zugang ihrer Mitarbeiter zu den personenbezogenen Daten von Kindern auf das notwendige Maß beschränken. Jeder Zugriff von Mitarbeitern auf personenbezogene Daten von Kindern muss von dem designierten Beauftragten für den Schutz personenbezogener Daten von Kindern genehmigt werden, und jeder solche Zugriff muss aufgezeichnet werden.
Zustimmung der Eltern
Um die erforderliche Zustimmung der Eltern zu erhalten, müssen die Netzbetreiber die Eltern darüber informieren, welche Informationen sie sammeln, wofür sie diese verwenden und wozu sie sie benötigen, und dies muss klar und deutlich zum Ausdruck gebracht werden:
- Zweck, Methode und Umfang der Erhebung, Speicherung, Verwendung, Übermittlung und Weitergabe von personenbezogenen Daten von Kindern.
- Wo und wie lange werden die Daten gespeichert?
- Wie die Daten nach Ablauf der Aufbewahrungsfrist behandelt werden.
- Die Maßnahmen, die zum Schutz der personenbezogenen Daten von Kindern ergriffen werden.
- Die Folgen einer fehlenden elterlichen Zustimmung.
- Wie man eine Beschwerde einreicht.
- Wie Sie die persönlichen Daten von Kindern ändern oder löschen können.
- Andere Angelegenheiten, die den Eltern bekannt sein sollten;
Ändert sich einer der oben genannten Punkte wesentlich oder geht die Nutzung oder Verarbeitung der personenbezogenen Daten über den zuvor vereinbarten Zweck oder Umfang hinaus, muss der Netzbetreiber die Eltern davon in Kenntnis setzen und eine neue Einwilligung der Eltern einholen.
Verarbeitung durch Dritte
Wenn ein Netzbetreiber einen Dritten mit der Verarbeitung personenbezogener Daten von Kindern beauftragt, muss er eine Sicherheitsbewertung des Dritten durchführen und eine Vereinbarung mit dem Dritten unterzeichnen sowie die Zustimmung der Eltern zur Nutzung des Dritten einholen. In der Vereinbarung zwischen dem Netzbetreiber und dem Drittverarbeiter müssen relevante Einzelheiten der Verarbeitung festgelegt werden, wie die Verantwortlichkeiten jeder Partei, die Dauer der Beziehung und die zu verarbeitenden Daten sowie der Zweck der Verarbeitung.
Rechtliche Verpflichtungen
Die Vorschriften sehen vor, dass im Falle eines Verstoßes das Cybersicherheitsgesetz und die Maßnahmen für die Verwaltung von Internet-Informationsdiensten gelten. Siehe Chinas neues Cybersicherheitsgesetz: Das 101. Es ist jedoch unklar, wie die Maßnahmen für Informationsdienste auf Verstöße gegen die Vorschriften über persönliche Daten von Kindern anwendbar sind, zumal sich die Maßnahmen für Internet-Informationsdienste auf die Regulierung von Informationsdienstaktivitäten konzentrieren (z. B. die Genehmigungspflicht für bestimmte Websites), aber keine Hinweise auf den Schutz persönlicher Daten enthalten.
Wie bei so vielen anderen Gesetzen und Vorschriften im Zusammenhang mit der Cybersicherheit und dem Datenschutz in China müssen auch bei diesen neuen Vorschriften noch viele Fragen geklärt werden. Nichtsdestotrotz sind diese Vorschriften für personenbezogene Daten von Kindern ein erster Schritt Chinas zum Schutz der Online-Privatsphäre von Kindern, und Netzbetreiber, die personenbezogene Daten von Kindern sammeln und verarbeiten, müssen sich darauf vorbereiten.
