2019年8月22日，《儿童个人信息网络保护规定》(国家互联网信息办公室令第4号，以下简称《规定》)公布，自10月1日起正式施行，针对中华人民共和国境内通过网络收集、存储、使用、转移、披露不满十四周岁的儿童个人信息进行规范。

一、主要内容

  一是针对儿童个人信息的全生命周期提出更为严格审慎的规范原则，并落实在具体规则中。明确儿童个人信息的收集、存储、使用、转移行为应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。

  二是进一步明确儿童及其监护人针对儿童个人信息享有的各项权能。包括在收集、使用、转移、披露环节，儿童监护人的知情权、同意权，及上述环节中相关要素发生实质性变更时的再次授权；儿童及其监护人发现儿童个人信息存在误差时的信息更正权；以及发现网络运营者违法、违规收集、存储、使用、转移、披露，或撤回同意、停止服务时的信息删除权。

  三是明确网络运营者针对儿童个人信息的专门性、特设性保护义务。包括专条、专员——设置专门的儿童个人信息保护规则和用户协议，指定专员负责儿童个人信息保护；知情同意——提供更加详细、灵活的用户协议(隐私条款)并以显著、清晰的方式告知监护人并征得监护人同意，且发生实质性变化时需再次征得同意；最小存储——存储儿童个人信息不得超过实现其收集、使用目的所必须的期限，停止运营产品或者服务时应当立即停止收集并删除其持有的儿童个人信息；最小访问——内部工作人员严格按照权限、经过审批访问数据，严控知悉范围、记录访问情况、防止非法获取；泄露及停业通知——儿童个人信息发生泄露、毁损、丢失，造成或者可能造成严重后果的，应当报告主管部门，并逐一告知儿童及其监护人或发布公告，停止服务的应当告知监护人；安全存储——存储儿童个人信息应当采取加密等措施；共享、披露限制——涉及向第三方转移儿童个人信息的，需经安全评估，涉及委托第三方处理儿童个人信息的，签署委托协议，规范双方权利义务。

  四是自动例外。即通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的，不需按照本规定操作。

二、亮点解析

  (一)保护对象范围的划定

  《规定》第二条将“儿童”明确为不满十四周岁的未成年人。一方面，《刑法》第二百六十二条“拐骗儿童罪”已经对“儿童”作出年龄界定——“不满十四周岁的未成年人”；另一方面，随着信息网络的逐渐普及，儿童心智成熟的年龄段普遍提前，十四周岁的儿童通常已经具备一定的认知能力，在一定程度上能够判断和把控自身行为，因此从保护立法统一性、合理性、科学性角度出发，将保护对象界定为不满十四周岁的未成年人。

  (二)知情同意的补全

由于不满十四周岁的儿童尚不具备完全的民事行为能力，对其自身权利的认知不足，处分自身权益的意思表示存在瑕疵，需要监护人的补全，因此各国普遍在立法中规定了由其监护人代行同意的措施，《规定》也吸收借鉴了上述规则。

  (三)分级分类和强化保护

  知情同意原则的有效性问题长期受到诟病，针对该问题，《规定》细化了告知事项，并提供拒绝同意选项，保障儿童及监护人享有更高的透明度和自由选择权；此外在儿童个人信息的全生命周期，相较于数据流通、共享等自由价值，《规定》更加强调安全、稳定等秩序价值，包括贯穿始终的目的限定、最小够用、访问限制以及及时删除等规则，确保儿童个人信息获得更高程度的安全保障。

  (四)例外条款

  最后，《规定》设置了例外条款，排除了通过计算机信息系统自动留存处理且无法识别是否儿童的个人信息，减轻了网络运营者对于非主动收集信息的普遍保护义务，但对于其中能够识别为儿童个人信息的，当然仍需适用《规定》，适当的平衡了企业的安全保障义务与合规运行成本。