2019年8月23日，国家互联网办公室（“网信办”）正式发布《儿童个人信息网络保护规定》，今年10月1日起生效，这意味着，K12在线教育培训机构仅有一个月多一点的时间消化和调整儿童个人信息网络保护的新规定，当然K12在线培训机构从今年5月31日《儿童个人信息网络保护规定（征求意见稿）》（下称“《儿童个人信息网络保护（征）》”）也可以窥见监管层对儿童个人信息保护的合规要点。很多人都没预想到监管层仅仅3个月不到就正式发布《儿童个人信息网络保护规定》，由此可见，儿童个人信息保护制度的建立已迫在眉睫，儿童个人信息在互联网层面的保护方面更是首当其冲，本文主要分析网信办发布《儿童个人信息网络保护规定》与征求意见稿的区别，以期为K12在线培训机构数据合规提供参考。

《儿童个人信息网络保护规定》和征求意见稿相比有何变化？

　　小结：《儿童个人信息网络保护规定》的亮点在于赋予监护人更加严格的义务，开篇第五条宣明监护人的义务，这是《儿童个人信息网络保护规定》与征求意见稿相比的最大亮点，第7条收集、使用、储存、转移、披露儿童个人信息的原则“应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则”。知情同意的主体主要指儿童的监护人，规定还有多处要求监护人同意或重新征得同意的规定，可以看出，单纯规定网络运营者义务难以实际保护儿童个人信息，儿童监护人知情同意是儿童个人信息保护的关键所在。

《儿童个人信息网络保护规定》的不足

一、线上如何识别儿童、监护关系没有细化规定

　　如前述，监护人的作用至关重要，但儿童个人信息保护要落实到位，难点还是在于如何做到监护人的知情同意，这涉及到线上如何识别儿童、监护关系，《儿童个人信息网络保护规定》没有具体规定，存在不足，如单纯地线上身份核验后，只能在最初阶段做到知情同意，但儿童个人信息的转移、储存、披露等恐怕难以在实际操作中做到知情同意，执行成本，执法成本都很高，《儿童个人信息网络保护规定》第6条将难题留给了行业规范和行为准则。

二、基于合法事由是否仍需遵守知情同意原则？

　　《儿童个人信息网络保护规定》删除了收集、使用、转移、披露儿童个人信息无需经监护人同意的例外的规定，这是否意味着即便因为国家利益、社会公共利益，紧急避险的情形下，也要征得监护人同意？

　　从一般规则来看，《数据安全管理办法（征）》）第27条规定，在个人执法机关依法履行职责所必需、维护国家安全、社会公共利益、个人信息主体生命安全所必需的情况下可以不征得个人信息主体的同意。

　　有中国GDPR（欧盟2018年5月生效的《通用数据保护条例》简称“GDPR”）之称的《信息安全技术个人信息安全规范》（GB/T 35273—2017）（下称“《个人信息安全规范》”）还规定了11种同意例外情形，《个人信息安全规范》虽然只是推荐性标准，但国家互联网信息办公室网络安全协调局明确了《个人信息安全规范》在行政执法中的指导性作用，互联网行业隐私政策制定通常参照《个人信息安全规范》制定，欧盟GDPR关于儿童个人信息保护规定也没有明确，通常也适用一般规定。

　　《儿童个人信息网络保护规定》没有明确，却删除了征求意见稿的相关规定，令人不解。但本文认为，确属于合法事由，该合法事由高于儿童个人信息保护的利益时，基于比例原则和利益衡量，应有例外，这样并不违反知情同意原则。

结语

　　K12在线教育机构要根据正式《儿童个人信息网络保护规定》的规定，结合《个人信息安全规范》对各自隐私政策和用户协议进行调整，指定专人负责儿童个人信息保护。

以下为《个人信息安全规范》

全文国家互联网信息办公室令
 

第4号

　　《儿童个人信息网络保护规定》已经国家互联网信息办公室室务会议审议通过，现予公布，自2019年10月1日起施行。

主任庄荣文2019年8月22日

儿童个人信息网络保护规定

　　第一条 为了保护儿童个人信息安全，促进儿童健康成长，根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规，制定本规定。第二条 本规定所称儿童，是指不满十四周岁的未成年人。第三条 在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动，适用本规定。第四条 任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。第五条 儿童监护人应当正确履行监护职责，教育引导儿童增强个人信息保护意识和能力，保护儿童个人信息安全。第六条 鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等，加强行业自律，履行社会责任。第七条 网络运营者收集、存储、使用、转移、披露儿童个人信息的，应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。第八条 网络运营者应当设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护。第九条 网络运营者收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意。第十条 网络运营者征得同意时，应当同时提供拒绝选项，并明确告知以下事项：（一）收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围；（二）儿童个人信息存储的地点、期限和到期后的处理方式；（三）儿童个人信息的安全保障措施；（四）拒绝的后果；（五）投诉、举报的渠道和方式；（六）更正、删除儿童个人信息的途径和方法；（七）其他应当告知的事项。前款规定的告知事项发生实质性变化的，应当再次征得儿童监护人的同意。第十一条 网络运营者不得收集与其提供的服务无关的儿童个人信息，不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。第十二条 网络运营者存储儿童个人信息，不得超过实现其收集、使用目的所必需的期限。第十三条 网络运营者应当采取加密等措施存储儿童个人信息，确保信息安全。第十四条 网络运营者使用儿童个人信息，不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要，确需超出约定的目的、范围使用的，应当再次征得儿童监护人的同意。第十五条 网络运营者对其工作人员应当以最小授权为原则，严格设定信息访问权限，控制儿童个人信息知悉范围。工作人员访问儿童个人信息的，应当经过儿童个人信息保护负责人或者其授权的管理人员审批，记录访问情况，并采取技术措施，避免违法复制、下载儿童个人信息。第十六条 网络运营者委托第三方处理儿童个人信息的，应当对受委托方及委托行为等进行安全评估，签署委托协议，明确双方责任、处理事项、处理期限、处理性质和目的等，委托行为不得超出授权范围。前款规定的受委托方，应当履行以下义务：（一）按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息；（二）协助网络运营者回应儿童监护人提出的申请；（三）采取措施保障信息安全，并在发生儿童个人信息泄露安全事件时，及时向网络运营者反馈；（四）委托关系解除时及时删除儿童个人信息;（五）不得转委托；（六）其他依法应当履行的儿童个人信息保护义务。第十七条 网络运营者向第三方转移儿童个人信息的，应当自行或者委托第三方机构进行安全评估。第十八条 网络运营者不得披露儿童个人信息，但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。第十九条 儿童或者其监护人发现网络运营者收集、存储、使用、披露的儿童个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当及时采取措施予以更正。第二十条 儿童或者其监护人要求网络运营者删除其收集、存储、使用、披露的儿童个人信息的，网络运营者应当及时采取措施予以删除，包括但不限于以下情形：（一）网络运营者违反法律、行政法规的规定或者双方的约定收集、存储、使用、转移、披露儿童个人信息的；（二）超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息的；（三）儿童监护人撤回同意的；（四）儿童或者其监护人通过注销等方式终止使用产品或者服务的。第二十一条 网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的，应当立即启动应急预案，采取补救措施；造成或者可能造成严重后果的，应当立即向有关主管部门报告，并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人，难以逐一告知的，应当采取合理、有效的方式发布相关警示信息。第二十二条 网络运营者应当对网信部门和其他有关部门依法开展的监督检查予以配合。第二十三条 网络运营者停止运营产品或者服务的，应当立即停止收集儿童个人信息的活动，删除其持有的儿童个人信息，并将停止运营的通知及时告知儿童监护人。第二十四条 任何组织和个人发现有违反本规定行为的，可以向网信部门和其他有关部门举报。网信部门和其他有关部门收到相关举报的，应当依据职责及时进行处理。第二十五条 网络运营者落实儿童个人信息安全管理责任不到位，存在较大安全风险或者发生安全事件的，由网信部门依据职责进行约谈，网络运营者应当及时采取措施进行整改，消除隐患。第二十六条 违反本规定的，由网信部门和其他有关部门依据职责，根据《中华人民共和国网络安全法》《互联网信息服务管理办法》等相关法律法规规定处理；构成犯罪的，依法追究刑事责任。第二十七条 违反本规定被追究法律责任的，依照有关法律、行政法规的规定记入信用档案，并予以公示。第二十八条 通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的，依照其他有关规定执行。第二十九条 本规定自2019年10月1日起施行。