2019年8月23日，国家互联网信息办公室（以下称“国家网信办”）发布了《儿童个人信息网络保护规定》。全文共二十九条，系统地规定了儿童个人信息保护的相关要求，受到社会各界的广泛关注。本文从解读这部专门规定“小”朋友个人信息保护有关要求的法规入手，并由此引申到对于“大”的广泛一般主体个人信息保护有关法律制度动向的理解和判断，为相关企业和个人提供参考和借鉴。

为什么出台《儿童个人信息网络保护规定》？

1、 个人信息保护是信息时代的必然要求

随着互联网技术和应用的普及与迅猛发展，网络应用已经几乎与每个人的生活息息相关。一方面，诸如“微博”“微信”“QQ”等社交媒体、“支付宝”“微信支付”等电子支付、“淘宝”“京东”等电子商务、“美团”“饿了么”等饮食外卖、“滴滴”打车等电子出行的手机应用已经相当成熟和发达，人们的工作、生活都已经习惯甚至离不开这些带来极大便利的网络应用。与此同时，无人驾驶等人工智能的开发和利用也正方兴未艾。另一方面，诸如此类网络应用无一例外都离不开大量的个人信息和庞大的数据支持。毋庸置疑，信息与数据已经成为当今信息时代必不可少的重要资源，无论企业还是个人，也不论经营管理还是日常生活，都少不了对信息和数据的收集和利用。

人们在享受信息时代给生活带来便利的同时，也越来越关注和希望防范信息的滥用，其中由于个人信息的非法收集、使用等给个人可能带来的危害特别值得警惕。遗憾的是，由于信息的资源属性，针对个人信息的非法行为屡见不鲜，甚至愈演愈烈。

因此，对于个人信息进行法律保护，规范收集、使用、保管等相关各个环节的义务、责任，惩治违法犯罪行为正是这个时代的必然要求。

2、 对儿童的个人信息进行保护迫在眉睫

根据共青团中央维护青少年权益部、中国互联网络信息中心（CNNIC）共同组织调查发布的《2018年全国未成年人互联网使用情况研究报告》显示，截至2018年7月31日，我国未成年网民（不包括6岁以下群体和非学生）规模达1.69亿，未成年人的互联网普及率达到93.7%，其中小学、初中学生上网比例分别达到89.5%和99.4%，其数据明显高于同期全国人口的互联网普及率（57.7%）。[1]同时，14周岁以下的儿童由于心智发育尚不完全，对自己的行为性质和后果的判断、识别能力相对欠缺，而互联网的使用又如此之普及的情况下，泄露个人信息或被误导、个人信息被窃取的的风险尤为显著，也就迫切需要国家、社会对此给与特别的关注与保护。

个人信息保护法律制度体系与《儿童个人信息网络保护规定》

鉴于前述个人信息的重要性，我国也一直致力于建立和健全个人信息保护的相关法律制度。2017年3月公布的《民法总则》中确立了个人信息作为自然人的民事权益，并原则性规定了个人信息保护的有关内容。2012年12月全国人大常委会公布的《关于加强网络信息保护的决定》，特别是2017年6月1日正式实施的《网络安全法》，明确了个人信息的基本概念、保护原则和基本制度，是迄今为止有关个人信息保护的核心法律制度。另外，在刑法层面上，《刑法修正案（七）》开始正式增加了侵犯个人信息罪。《刑法修正案（九）》将侵犯个人信息罪的犯罪主体范围由国家机关及金融、通信、交通、教育、医疗等特定单位及其工作人员进一步扩大到所有主体。2017年6月开始实施的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》进一步明确了侵犯信息罪犯罪构成、定罪量刑标准等法律适用问题。同时，据有关研究显示，我国还有涉及个人信息的各类法律法规、规章文件100余件。在制定主体上除全国人大常委会外，还包括国务院各部委、地方政府、行业协会、科研机构等，涵盖的行业范围遍布互联网、电信、征信、证券、银行、保险、医疗等各领域。[2]

但是另一方面，现阶段我国缺乏对于个人信息保护的专门性、统一性的立法，现行有关个人信息的法律法规仍然存在着立法层次混乱、制度内容交叉混杂、法律实施指向不清、权责界定不明等诸多问题，个人信息保护法律制度体系的全面构建亟待完善。为此，在2018年9月7日公布的《十三届全国人大常委会立法规划》中已经明确将《个人信息保护法》列入条件比较成熟、任期内拟提请审议的法律草案的第一类项目。2019年8月21日，全国人大常委会法工委就建立发言人机制举行的第一次记者会上，全国人大常委会法工委发言人臧铁伟表示，个人信息保护法已经列入了本届全国人大常委会的立法规划，目前法工委正在会同有关部门研究论证，加紧推进起草工作，将按照立法工作计划，适时提请常委会审议。[3]此外，有关主管部门从2017年《网络安全法》正式实施以后，密集地制定和公布了《个人信息安全规范》（（GB/T　35273-2017））、《互联网个人信息安全保护指南》《数据安全管理办法》（征集意见稿）、《网络安全等级保护条例》（征集意见稿）、《个人信息出境安全评估办法》（征集意见稿）等一系列关于个人信息保护的国家标准和法规的征集意见稿。

本次的《儿童个人信息网络保护规定》是作为负责全国互联网信息内容管理工作，并负责监督管理执法的主管部门——国家网信办在2019年以来公布的第一部个人信息保护规定的正式稿。该规定根据《网络安全法》《未成年人保护法》等法律法规制定，在个人信息保护法律制度体系内是《网络安全法》的配套规定。该规定不仅对儿童个人信息保护的专门领域有着重要意义，其中所规定的原则和内容在一定程度上所反映的主管部门对个人信息保护领域的普遍的立法思路和理念，以及规定的执行和执法过程中经验的积累等也都势必将对下一步制定和完善个人信息保护的法律制度体系有重要的借鉴价值。

《儿童个人信息网络保护规定》的重点解读

1、 专门性

《儿童个人信息网络保护规定》是专门针对儿童的个人信息保护而制定的，规定通篇处处彰显专门性的特点。包括（1）规定开宗明义，明确针对主体为不满十四周岁的未成年人；（2）明确了监护人的责任，即儿童监护人应当正确履行监护职责，教育引导儿童增强个人信息保护意识和能力，保护儿童个人信息安全（第5条）；（3）确立了针对儿童个人信息的专门针对性保护措施，例如：规定网络运营者应当设置专门的儿童个人信息保护规则和用户协议，制定专人负责儿童信息保护（第8条），收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意（第9条），等等。

规定的专门性既保障了针对儿童这一特殊主体给与个人信息保护规制的针对性和有效性，同时明确保护主体范围，一定程度降低了企业合规成本。

2、 全面性

《儿童个人信息网络保护规定》在彰显专门性的同时，兼顾了规定必要的覆盖范围，从而具有全面性的特点。具体体现为，（1）规定涵盖了涉及个人信息活动的全过程，包括在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动（第3条）；（2）作为《网络安全法》的配套规定，在强调网络运营者责任的同时，在规定正式稿中追加了任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息（第4条），增加了主体的义务范围；（3）规定既包括儿童个人信息保护的原则性要求，同时包括实施过程中各个关键环节的具体要求、保护措施、责任和处罚等，体现了规定内容的全面性；（4）为了保障规定的落实，建立了相对全面的追责制度，其中包括监管部门的依任何组织和个人的举报进行及时处理的监管职责（第24条）、通过约谈要求整改和消除隐患的监管方式（第25条），也包括根据《网络安全法》《互联网信息服务管理办法》等相关法律法规规定进行处理的处罚依据和法律责任形式（第26条）以及记入信用档案进行公示的其他违法后果（第7条）。规定的全面性既保证了可实施性，同时也给一般性个人信息保护的合规提供了可供参考的具体内容，其实施的结果也必然会为个人信息保护的法律制度提起的构建提供借鉴和启发。

3、 细化原则

《网络安全法》中针对个人信息保护确立了收集、使用的合法性、正当性、必要性的基本原则。《儿童个人信息网络保护规定》则进一步明确网络运营者收集、存储、使用、转移、披露儿童个人信息的，应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则（第7条）。这是对《网络安全法》确立原则的进一步细化，使得原则更加明确和可操作。对于规定中具体措施内容的落实具有明确的引领作用，同时为实践中复杂问题的具体处理提供了指导。显而易见，该原则除了对儿童这一特殊主体之外，同样适用于对一般性个人信息保护，因而具有普遍的参考价值。

4、 明确保护措施

《网络安全法》确立了个人信息保护的基本要求和措施，但是相关规定基本限于于原则性规定，缺乏实践指导的具体内容。在前文所述监管部门后续制定和公布的一系列？国家标准和法规征求意见稿中对于相关基本要求和措施的具体运用进行了细化。特别是在《个人信息安全规范》（（GB/T　35273-2017））中进行了大量具体明确的规定，相关内容也被监管部门在实践中所引用。例如，2018年1月，国家互联网信息办公室网络安全协调局约谈了支付宝（中国）网络技术有限公司、芝麻信用管理有限公司的有关负责人。网络安全协调局负责人指出，支付宝、芝麻信用收集使用个人信息的方式，不符合刚刚发布的《个人信息安全规范》国家标准的精神等，要求支付宝平台进行专项整顿，切实采取有效措施，防止类似事件再次发生。[4]但是，《个人信息安全规范》毕竟属于为非强制性的国家标准，不具有直接的法律约束效力，而且该规范的修改版目前还在征求意见的阶段。

本次，《儿童个人信息网络保护规定》中系统地规定了应设置专门的儿童个人信息保护规则与用户协议、指定专人负责（第8条）、征得儿童监护人同意并提供拒绝选项（第9、10条）、收集信息的必要限度、必要期限以及超出限度需再次取得同意（第11、12、14条）、加密等措施存储（第13条）、最小授权访问（第15条）、委托处理及向第三方转移的安全评估（第16、17条）、个人信息的更正与删除（第19、20条）、应急预案及补救措施（第21条）等儿童个人信息的保护要求和保护措施。这些确立的具体规定无疑更具可执行性和可操作性。

结语

随着我国法制建设的强化以及企业的发展壮大，合规已经成为越来越多企业防范风险的必然选择。合规已经成为衡量企业成熟度的重要指标，成功企业不仅把合规作为防御性的有效工具，还可以通过合理有效的合规体系建立实施，形成企业核心竞争力的组成部分，并作为确保公司持续健康发展的经营方式。

反贿赂、反垄断协议、出口管制和个人信息保护已经成为全球范围企业重点关注的合规领域。我国企业在强化合规体制的过程中，也必然面临同样的问题。在个人信息的重要程度日益凸显并越来越被关注的当下，个人信息保护合规的重要性更是不言自明了。

《儿童个人信息网络保护规定》将于10月1日起正式实施。可以预想监管部门根据有关规定进行监督执法的力度也会进一步加强。企业应当对照规定的相关内容对涉及儿童个人信息处理的制度、措置等尽快进行调整，同时对于一般性个人信息保护的领域也可以以小见大，参照实施。对于重点领域和新问题，建议企业与包括外部专业人士保持沟通，随时关注有关法律制度制定和实施的动向，并适时进行研究调整。

[1] http://www.100ec.cn/detail--6504976.html

[2] 张新宝:《 <民法总则>个人信息保护条文研究》 《中外法学》2019年第1期 

[3] https://finance.sina.com.cn/china/gncj/2019-08-21/doc-ihytcitn0784481.shtml

[4] https://finance.sina.com.cn/roll/2018-01-10/doc-ifyqptqv6682847.shtml