儿童个人信息网络保护规定国家互联网信息办公室令第号儿童个人信息网络保护规定已经国家互联网信息办公室室务会议审议通过现予公布自年月日起施行主任庄荣文年月日儿童个人信息网络保护规定第一条为了保护儿童个人信息安全促进儿童健康成长根据中华人民共和国网络安全法中华人民共和国未成年人保护法等法律法规制定本规定第二条本规定所称儿童是指不满十四周岁的未成年人第三条在中华人民共和国境内通过网络从事收集存储使用转移披露儿童个人信息等活动适用本规定第四条息第五条任何组织和个人不得制作发布传播侵害儿童个人信息安全的信儿童监护人应当正确履行监护职责教育引导儿童增强个人信息保护意识和能力保护儿童个人信息安全第六条鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范行为准则等加强行业自律履行社会责任第七条网络运营者收集存储使用转移披露儿童个人信息的应当遵循正当必要知情同意目的明确安全保障依法利用的原则第八条网络运营者应当设置专门的儿童个人信息保护规则和用户协议并指定专人负责儿童个人信息保护第九条网络运营者收集使用转移披露儿童个人信息的应当以显著清晰的方式告知儿童监护人并应当征得儿童监护人的同意第十条网络运营者征得同意时应当同时提供拒绝选项并明确告知以下事项一收集存储使用转移披露儿童个人信息的目的方式和范围二儿童个人信息存储的地点期限和到期后的处理方式三儿童个人信息的安全保障措施四拒绝的后果五投诉举报的渠道和方式六更正删除儿童个人信息的途径和方法七其他应当告知的事项前款规定的告知事项发生实质性变化的应当再次征得儿童监护人的同意第十一条网络运营者不得收集与其提供的服务无关的儿童个人信息不得违反法律行政法规的规定和双方的约定收集儿童个人信息第十二条网络运营者存储儿童个人信息不得超过实现其收集使用目的所必需的期限第十三条网络运营者应当采取加密等措施存储儿童个人信息确保信息安全第十四条网络运营者使用儿童个人信息不得违反法律行政法规的规定和双方约定的目的范围因业务需要确需超出约定的目的范围使用的应当再次征得儿童监护人的同意第十五条网络运营者对其工作人员应当以最小授权为原则严格设定信息访问权限控制儿童个人信息知悉范围工作人员访问儿童个人信息的应当经过儿童个人信息保护负责人或者其授权的管理人员审批记录访问情况并采取技术措施避免违法复制下载儿童个人信息第十六条网络运营者委托第三方处理儿童个人信息的应当对受委托方及委托行为等进行安全评估签署委托协议明确双方责任处理事项处理期限处理性质和目的等委托行为不得超出授权范围前款规定的受委托方应当履行以下义务一按照法律行政法规的规定和网络运营者的要求处理儿童个人信息二协助网络运营者回应儿童监护人提出的申请三采取措施保障信息安全并在发生儿童个人信息泄露安全事件时及时向网络运营者反馈四委托关系解除时及时删除儿童个人信息五不得转委托六其他依法应当履行的儿童个人信息保护义务第十七条网络运营者向第三方转移儿童个人信息的应当自行或者委托第三方机构进行安全评估第十八条网络运营者不得披露儿童个人信息但法律行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外第十九条儿童或者其监护人发现网络运营者收集存储使用披露的儿童个人信息有错误的有权要求网络运营者予以更正网络运营者应当及时采取措施予以更正第二十条儿童或者其监护人要求网络运营者删除其收集存储使用披露的儿童个人信息的网络运营者应当及时采取措施予以删除包括但不限于以下情形一网络运营者违反法律行政法规的规定或者双方的约定收集存储使用转移披露儿童个人信息的二超出目的范围或者必要期限收集存储使用转移披露儿童个人信息的三儿童监护人撤回同意的四儿童或者其监护人通过注销等方式终止使用产品或者服务的第二十一条网络运营者发现儿童个人信息发生或者可能发生泄露毁损丢失的应当立即启动应急预案采取补救措施造成或者可能造成严重后果的应当立即向有关主管部门报告并将事件相关情况以邮件信函电话推送通知等方式告知受影响的儿童及其监护人难以逐一告知的应当采取合理有效的方式发布相关警示信息第二十二条网络运营者应当对网信部门和其他有关部门依法开展的监督检查予以配合第二十三条网络运营者停止运营产品或者服务的应当立即停止收集儿童个人信息的活动删除其持有的儿童个人信息并将停止运营的通知及时告知儿童监护人第二十四条任何组织和个人发现有违反本规定行为的可以向网信部门和其他有关部门举报网信部门和其他有关部门收到相关举报的应当依据职责及时进行处理第二十五条网络运营者落实儿童个人信息安全管理责任不到位存在较大安全风险或者发生安全事件的由网信部门依据职责进行约谈网络运营者应当及时采取措施进行整改消除隐患第二十六条违反本规定的由网信部门和其他有关部门依据职责根据中华人民共和国网络安全法互联网信息服务管理办法等相关法律法规规定处理构成犯罪的依法追究刑事责任第二十七条违反本规定被追究法律责任的依照有关法律行政法规的规定记入信用档案并予以公示第二十八条通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的依照其他有关规定执行第二十九条本规定自年月日起施行