8月23日,国家互联网信息办公室发布《儿童个人信息网络保护规定》,规定将于2019年10月1日起施行。
规定指出, 网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。网络运营者应当设置专门的儿童个人信息保护规则和用户协议,并指定专人负责儿童个人信息保护。网络运营者使用儿童个人信息,不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人的同意。网络运营者应当采取加密等措施存储儿童个人信息,确保信息安全。
网络运营者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。
网络运营者征得同意时,应当同时提供拒绝选项,并明确告知收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围;儿童个人信息存储的地点、期限和到期后的处理方式;儿童个人信息的安全保障措施;拒绝的后果;投诉、举报的渠道和方式;更正、删除儿童个人信息的途径和方法等事项。
规定还提出,网络运营者落实儿童个人信息安全管理责任不到位,存在较大安全风险或者发生安全事件的,由网信部门依据职责进行约谈,网络运营者应当及时采取措施进行整改,消除隐患。违反该规定的,由网信部门和其他有关部门依据职责,根据网络安全法等相关法律法规规定处理;构成犯罪的,依法追究刑事责任。
