《实施意见》监管思路和总体安排

　　2.增值电信营业许可证。根据《电信条例》、《电信业务分类目录》规定，线上培训机构经营业务应属于互联网信息服务，结合《互联网信息服务管理办法》和《非经营性互联网信息服务备案管理办法》规定，一般线上培训机构是营利性的，通常要取得增值业务许可中的B25类许可证，即ICP证（基于互联网，一般会在增值电信业务经营许可证的业务种类处标明“仅限互联网信息服务业务”）。

　　3.其它尚未明确的是否必须取得的资质：

　　①《信息网络传播视听节目许可证》（AVSP证）

　　线上培训机构通常需要通过线上向学生提供直播或录播的教学视频，根据《互联网视听节目服务管理规定》规定，“向公众提供互联网视听节目服务活动”需要取得AVSP证，虽然线上培训机构培训对象是中小学生，概念范围虽比公众要小，实质也属于不特定多数人，这有灵活处理的空间，但按照目前的监管口径来看，暂时不用取得AVSP证。

　　②网络出版服务许可证

　　在线培训机构如果通过网络提供教材或课件，也可能被视为从事《网络出版服务管理规定》第二条规定的“通过信息网络向公众提供网络出版物”中的“网络出版服务”，但是否要网络出版服务许可证目前也尚未明确。

　　在线培训机构对象是中小学生，大概是6至18岁年龄段，是民事行为能力和限制民事行为能力人，他们不能或不能完全理解对外民事交往行为的含义，需要监护人代理或同意，所以对他们个人信息保护应该有一些特别的规则，而不仅仅是达到淘宝或一般App的个人信息保护标准即可。

　　监管层也已注意到这点，今年5月31日，国家互联网信息办公室发布的《关于<儿童个人信息网络保护规定>（征求意见稿）》专门针对互联网中儿童个人信息保护进行了规定，但《儿童信息保护规定（征）》的儿童与《实施意见》中的中小学生并非完全重合。

　　《儿童信息保护规定（征）》第27条“本规定所称儿童，是指不满十四周岁的未成年人”，《数据安全管理办法（征求意见稿）》也规定收集14周岁以下未成年人的信息需要征得监护人的同意，可见监管层在这个问题上意见基本一致，但是否意味着14周岁以上至18周岁的中小学生的个人信息保护是否直接适用成年人信息保护规则、可以不征得其监护人的同意即可？

　　我们认为，18周岁以下的未成年人对个人信息对外适用等需要监护人的介入，统一适用《儿童信息保护规定（征）》保护规则。具体理由如下：

　　第一，监管层的依据可能来源于刑法及《最高人民法院关于审理拐卖妇女儿童犯罪案件具体应用法律若干问题的解释》，可这是刑法特别保护14周岁以下未成年人，不能当然得出民法框架下14周岁以上的未成年人有单独作出个人信息授权和处分能力。

　　第二，个人信息从隐私权引申而来，虽然与个人隐私权不同，仍属于人格权范畴，个人对其个人信息具有自决权，单个个体的个人信息虽不具有独立的经济价值，但众多个人信息的汇集而经过特定处理形成的大数据是难以估量的财产，这些特征说明个人信息权利属性复杂，其形式规则也不容易理解，这和购买学习用具这类简单的民事法律行为具显著不同，个人信息的处理还是要经过法定代理人的追认或同意的，以充分保护其个人信息。

与成年人个人信息保护有何不同

　　第一，基本原则方面。与成年人的“正当、合法和必要原则”不同，《儿童信息保护规定（征）》规定收集、存储、使用、转移、披露儿童个人信息遵循“正当必要、知情同意、目的明确、安全保障、依法利用的原则”。

　　这主要体现在线上培训机构的隐私政策和个人信息收集使用协议，收集、使用儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的明示同意。明示同意应当具体、清楚、明确，基于自愿。同时，还要提供拒绝选项，并告知：（1）收集、存储、使用、转移或者披露儿童个人信息的目的、范围、方式和期限；（2）儿童个人信息的存储地点和到期后的处理方式；（3）儿童个人信息的安全保障措施；（4）个人信息保护专员或者其他联系方式；（5）拒绝的后果和影响；隐私政策还需列明专人联系和负责个人信息的处理。

　　需要注意的是，与《网络安全法》安全责任人不同，个人信息保护专员专门是为了儿童个人信息保护专门而设的，虽然两者可以为同一人。

　　第二，个人信息使用方面。《儿童信息保护规定（征）》规定要对儿童信息进行加密处理，要以最小授权原则，严格设定访问权限，控制儿童个人信息知悉范围。培训机构的工作人员访问儿童个人信息的，应当经过个人信息保护专员或者其授权的管理人员审批，记录访问情况，并采取技术措施，避免违法复制、下载儿童个人信息。

　　在与其他机构等共享儿童个人信息时，要再次征得儿童监护人的同意，在转移儿童个人信息的，应当自行或者委托第三方机构进行安全评估，并征得儿童监护人的明示同意，校外在线机构停止运营的，应当立即停止收集儿童个人信息的活动，删除其持有的儿童个人信息，并将停止运营的通知及时告知儿童监护人。

　　第三，儿童或其监护人权利方面。若发现收集、存储的儿童个人信息有错误的，儿童或监护人有权要求予以更正，培训机构应当及时采取措施予以更正；发现培训机构违反法律、行政法规的规定或者用户协议的约定收集、存储、使用、转移或者披露儿童个人信息的，超出目的范围或者必要期限收集、存储、使用、转移或者披露儿童个人信息的，儿童或监护人有权要求删除个人信息；若儿童或监护人撤回同意的，注销或停止使用培训机构的产品或服务的，也有权要求培训机构其所收集的个人信息。但，如何实现监护人同意有待进一步讨论。 

　　根据《信息安全等级保护管理办法》第七条，信息安全划分为五个等级，校外线上培训机构在运营过程中收集的中小学生、家长及家庭有关信息，这些信息一旦泄露可能影响社会稳定，故至少要达到《信息等级办法》规定的“第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全的保护标准。

　　依照该标准，校外线上培训机构应当聘请有资质的测评机构对其信息系统进行测评，取得报告后，应在30天内向所在地设区的市级以上公安机关办理备案手续，系统日常运营的维护按照全国信息安全标准化技术委员会制定的《信息安全技术　信息系统安全等级保护实施指南》进行日常维护，公安机关收到等级报告材料后，对符合要求的，应当在10个工作日颁发信息系统安全等级保护备案证明，同样地，《广东校园学习App管理办法》也是要求建立二级或以上的安全等级。

　　网络安全内部控制制度，对于初创校外在线培训机构而言，要求并不算太高，只要有技术和管理制度两个维度，前述网络安全等级属于内部控制制度的技术层，为了更好防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施上还必须符合行业的基本要求。

　　除了技术层面，还要有安全操作规章制度和专门人员的配置，也是监管的新要求，在《网络安全法》未生效前，大型互联网企业和关系国计民生的行业都已建立成体系的网络安全内部控制制度，人员+技术+安全制度，形成一个闭环，能够有效应对内外安全风险，完成网络系统安全正常运转，《实施意见》中的网络安全管理制度、安全保护技术措施都是为了保障网络安全所设，诸如培训内容和培训数据信息须留存1年以上，其中直播教学的影像须留存至少6个月等规定为了备监管查询。网络安全内控制度是一个很大的话题，限于篇幅，本文不再赘述。

　　互联网时代，数据的价值在交互中体现，网络平台之间信息实时共享以及数据交互处理能力，使数据通信具备良好的保密性与抗干扰能力具有非常重要的价值，但何谓互联网平台信息数据交互和处理能力？目前暂无统一的标准，不同行业也会有不同的要求。

　　目前可参照的是《网络预约出租汽车经营服务管理暂行办法》。其中第2章第5条规定：“申请从事网约车经营的，应当具备线上线下服务能力，符合下列条件：（二）具备开展网约车经营的互联网平台和与拟开展业务相适应的信息数据交互及处理能力，具备供交通、通信、公安、税务、网信等相关监管部门依法调取查询相关网络数据信息的条件，网络服务平台数据库接入出租汽车行政主管部门监管平台，服务器设置在中国内地，有符合规定的网络安全管理制度和安全保护技术措施”；第6条规定“申请从事网约车经营，应当根据经营区域向相应的出租汽车行政主管部门提出申请，并提交以下材料：（五）具备互联网平台和信息数据交互及处理能力的证明材料，具备供交通、通信、公安、税务、网信等相关监管部门依法调取查询相关网络数据信息条件的证明材料，数据库接入情况说明，服务器设置在中国内地的情况说明，依法建立并落实网络安全管理制度和安全保护技术措施的证明材料”。

　　从上述规定中，就网络车平台互联网平台信息数据交互及处理能力要求有一个大致的了解，即“网络平台+数据交互和处理能力”。两层含义，一是互联网平台自身信息数据交互和处理的技术能力，如数据与第三方共享和稳定性、流畅性和安全性，以及大量数据分析和处理能力，也就是大数据精准度问题，二是，必须具备与交通、通信、公安、税务、网信等监管部门实时交互数据的能力，以便监管部门的监督管理。

　　最后，《网约车管理暂行办法》也没有明确具体证明材料审查机关，《实施意见》没有明确此项资质的审查机关，故意味着暂时没有具体的审批机关。总之，关于互联网平台信息数据交互及处理能力的资质，没有明确的标准，未来各省的实施细则可能会进一步明确，我们拭目以待。