第一 条 为了 保护 儿童 个人 信息 安全 , 促进 儿童 健康 成长 , 根据 《中华人民共和国 网络 安全 法》 《中华人民共和国 未成年 人 保护 法》 等 法律 法规 , 制定 本 规定。
第二 条 本 规定 所称 儿童 , 是 指 不满 十四 周岁 的 未成年 人。
第三 条 在 中华人民共和国 境内 通过 网络 从事 收集 、 存储 、 使用 、 转移 、 披露 儿童 个人 信息 等 活动 , 适用 本 规定。
第四 条 任何 组织 和 个人 不得 制作 、 发布 、 传播 侵害 儿童 个人 信息 安全 的 信息。
第五 条 儿童 监护人 应当 正确 履行 监护 职责 , 教育 引导 儿童 增强 个人 信息 保护 意识 和 能力 , 保护 儿童 个人 信息 安全。
第六 条 鼓励 互联网 行业 组织 指导 推动 网络 运营 者 制定 儿童 个人 信息 保护 的 行业 、 行为 准则 等 , 加强 行业 自律 , 履行 社会 责任。
第七 条 网络 运营 者 收集 、 存储 、 使用 、 转移 、 披露 儿童 个人 信息 的 , 应当 遵循 正当 必要 、 知情 同意 、 目的 明确 、 安全 保障 、 依法 利用 的 原则。
第八 条 网络 运营 者 应当 设置 专门 的 儿童 个人 信息 保护 规则 和 用户 协议 , 并 指定 专人 负责 儿童 个人 信息 保护。
第九条 网络 运营 者 收集 、 使用 、 转移 、 披露 儿童 个人 信息 的 , 应当 以 显 著 、 清晰 的 方式 告知 儿童 监护人 , 并 应当 征得 儿童 监护人 的 同意。
第十 条 网络 运营 者 征得 同意 时 , 应当 同时 提供 拒绝 选项 , 并 明确 告知 以下 事项 :
(一) 收集 、 存储 、 使用 、 转移 、 披露 儿童 个人 信息 的 目的 、 方式 和 范围 ;
(二) 儿童 个人 信息 存储 的 地点 、 期限 和 到期 后 的 处理 方式 ;
(三) 儿童 个人 信息 的 安全 保障 措施 ;
(四) 拒绝 的 后果 ;
(五) 投诉 、 举报 的 渠道 和 方式 ;
(六) 更正 、 删除 儿童 个人 信息 的 途径 和 方法 ;
(七) 其他 应当 告知 的 事项。
前款 规定 的 告知 事项 发生 实质性 变化 的 , 应当 再次 征得 监护人 的 同意。
第十一条 网络 运营 者 不得 收集 与其 提供 的 服务 无关 的 儿童 个人 信息 , 不得 违反 法律 、 行政 法规 的 规定 和 双方 的 约定 收集 儿童 个人 信息。
第十二 条 网络 运营 者 存储 儿童 个人 信息 , 不得 超过 实现 其 收集 、 使用 目的 所 必需 的 期限。
第十三 条 网络 运营 者 应当 采取 加密 等 措施 存储 儿童 个人 信息 , 确保 信息 安全。
第十四 条 网络 运营 者 使用 儿童 个人 信息 , 不得 违反 法律 、 行政 法规 的 规定 双方 约定 的 目的 、 范围 因 业务 需要 , 确需 超出 约定 的 目的 、 范围 使用 的 应当 再次 征得 , , 的 应当同意。
第十五 条 网络 运营 者 对其 工作 人员 应当 以 最小 授权 为 原则 , 严格 设定 信息 访问 权限 , 控制 儿童 个人 信息 知悉 范围。 工作 人员 访问 儿童 个人 信息 的 , 应当 经过 儿童 个人 信息 保护 负责 人 其 其授权 的 管理 人员 审批 , 记录 访问 情况 , 并 采取 技术 措施 , 避免 违法 复制 、 下载 儿童 个人 信息。
第十六 条 网络 运营 者 委托 第三方 处理 儿童 个人 信息 的 , 应当 对 受 委托 方 及 委托 行为 等 进行 安全 评估 , 签署 委托 协议 , 明确 双方 责任 、 处理 事项 、 处理 期限 、 处理 性质 和 目的 , 委托行为 不得 超出 授权 范围。
前款 规定 的 受 委托 方 , 应当 履行 以下 义务 :
(一) 按照 法律 、 行政 法规 的 规定 和 网络 运营 者 的 要求 处理 儿童 个人 信息 ;
(二) 协助 网络 运营 者 回应 儿童 监护人 提出 的 申请 ;
(三) 采取 措施 保障 信息 安全 , 并 在 发生 儿童 个人 信息 泄露 安全 事件 时 , 及时 向 网络 运营 者 反馈 ;
(四) 委托 关系 解除 时 及时 删除 儿童 个人 信息;
(五) 不得 转 委托 ;
(六) 其他 依法 应当 履行 的 儿童 个人 信息 保护 义务。
第十七 条 网络 运营 者 向 第三方 转移 儿童 个人 信息 的 , 应当 自行 或者 委托 第三方 机构 进行 安全 评估。
第十八 条 网络 运营 者 不得 披露 儿童 个人 信息 , 但 法律 、 行政 法规 规定 应当 披露 或者 根据 与 儿童 监护人 的 约定 可以 披露 的 除外。
第十九 条 儿童 或者 其 监护人 发现 网络 运营 者 收集 、 存储 、 使用 、 披露 的 儿童 个人 信息 有 错误 的 , 有权 要求 网络 运营 者 予以 更正。 网络 运营 者 应当 及时 采取 措施 予以 更正。
第二十条 儿童 或者 其 监护人 要求 网络 运营 者 删除 其 收集 、 存储 、 使用 、 披露 的 儿童 个人 信息 的 , 网络 运营 者 应当 及时 采取 措施 予以 删除 , 包括 但 不限 于 以下 情形 :
(一) 网络 运营 者 违反 法律 、 行政 法规 的 规定 或者 双方 的 约定 收集 、 存储 、 使用 、 转移 、 披露 儿童 个人 信息 的 ;
(二) 超出 目的 范围 或者 必要 期限 收集 、 存储 、 使用 、 转移 、 披露 儿童 个人 信息 的 ;
(三) 儿童 监护人 撤回 同意 的 ;
(四) 儿童 或者 其 监护人 通过 注销 等 方式 终止 使用 产品 或者 服务 的。
第二十 一条 网络 运营 者 发现 儿童 个人 信息 发生 或者 可能 发生 泄露 、 毁损 、 丢失 的 , 应当 立即 启动 应急 预案 , 采取 补救 措施 ; 造成 或者 可能 造成 严重 后果 的 , 应当 立即 向 有关 主管 部门 , 并将 事件 相关 情况 以 邮件 、 信函 、 电话 、 推送 通知 等 方式 告知 受 影响 的 儿童 及其 监护人 , 难以 逐一 告知 的 , 应当 采取 合理 、 有效 的 方式 发布 相关 警示 信息。
第二十 二条 网络 运营 者 应当 对 网 信 部门 和 其他 有关部门 依法 开展 的 监督 检查 予以 配合。
第二十 三条 网络 运营 者 停止 运营 产品 或者 服务 的 , 应当 立即 停止 收集 儿童 个人 信息 的 活动 , 删除 其 持有 的 儿童 个人 信息 , 并将 停止 运营 的 通知 及时 告知 儿童 监护人。
第二十 四条 任何 组织 和 个人 发现 有 违反 本 规定 行为 的 , 可以 向 网 信 部门 和 其他 有关部门 举报。
网 信 部门 和 其他 有关部门 收到 相关 举报 的 , 应当 依据 及时 进行 处理。
第二十 五条 网络 运营 者 落实 儿童 个人 信息 安全 管理 责任 不 到位 , 存在 较大 安全 风险 或者 发生 安全 事件 的 , 由 网 信 部门 依据 职责 进行 约谈 , 网络 运营 者 应当 及时 采取 措施 进行 整改 , 消除隐患。
第二十 六条 违反 本 规定 的 , 由 网 信 部门 和 其他 有关部门 依据 职责 , 根据 《中华人民共和国 网络 安全 法》 《互联网 信息 服务 管理 办法》 等 相关 法律 法规 规定 处理 ; 犯罪 的 , 依法 追究刑事责任。
第二 十七 条 违反 本 规定 被 追究 法律 责任 的 , 依照 有关 法律 、 行政 法规 的 规定 记 入 信用 档案 , 并 予以 公示。
第二 十八 条 通过 计算机 信息 系统 自动 留存 处理 信息 且 无法 识别 所 留存 处理 的 信息 属于 儿童 个人 信息 的 , 依照 其他 有关 规定 执行。
第二 十九 条 本 规定 自 2019 年 10 月 1 日 起 施行。