中国网络空间管理办公室最近发布了《儿童个人信息网络保护规定 》,将于2019年10月1日起生效。这些条例规定了关于在线收集和处理14岁以下儿童个人信息的一般规则。
网络运营者的一般职责
根据规定,网络运营商应:
- 建立个人信息保护规则。
- 利用用户协议。
- 指定一个人负责保护儿童的个人信息。
- 在收集、使用、转让或披露儿童的个人信息时,要征得家长的同意。
- 通过加密或其他方式保护儿童的个人信息。
- 遵守所有法律和法规,并遵守其关于收集和使用儿童个人信息的目的和范围的用户协议。
- 不收集任何与网络运营商提供的服务不相关的个人信息。
- 不披露儿童的个人信息,除非法律要求或根据与儿童父母的同意协议明确允许。
网络运营商还必须限制其员工对儿童个人信息的访问,只能在必要的范围内访问。雇员对儿童个人信息的任何访问都必须得到指定的儿童个人信息保护官员的授权,任何此类访问都必须进行记录。
父母的同意
为了获得所需的家长同意,网络运营商必须告知家长他们将收集的信息,他们将把这些信息用于何种用途,以及他们需要这些信息的原因,这一点必须清楚和明显地传达给家长,包括以下内容:
- 收集、储存、使用、传输和披露儿童个人信息的目的、方法和范围。
- 数据将被储存在哪里以及储存多长时间。
- 在保留期满后,将如何处理这些数据。
- 将采取哪些措施来保护儿童的个人信息。
- 没有得到父母同意的后果。
- 如何提出投诉。
- 如何修改或删除儿童的个人信息。
- 父母应该知道的其他事项;
如果上述任何一项发生了实质性的变化,或者对个人信息的使用或处理超出了之前约定的目的或范围,网络运营商必须如此通知家长并获得新的家长同意。
第三方处理
如果网络运营商聘请第三方来处理儿童的个人信息,必须对第三方进行安全评估,并与第三方签订协议,此外还要征得家长的同意来利用第三方。网络运营商与其第三方处理者之间的协议必须明确处理的相关细节,如各方的责任、关系的持续时间以及要处理的内容和处理的目的。
法律责任
该条例规定,如有违反,将适用《网络安全法》和《互联网信息服务管理办法》。见 中国的新网络安全法:The 101. 然而,目前尚不清楚《信息服务管理办法》将如何适用于违反《儿童个人信息保护条例》的行为,尤其是《互联网信息服务管理办法》侧重于规范信息服务活动(如要求对某些网站进行审批),但没有提到个人信息保护。
正如中国与网络安全和数据隐私有关的许多其他法律和法规一样,这些新法规中的许多问题都需要澄清。尽管如此,这些《儿童个人信息保护条例》标志着中国在保护儿童网络隐私方面迈出了第一步,收集和处理儿童个人信息的网络运营商需要为此做好准备。
