原标题：国家互联网信息办公室发布《儿童个人信息网络保护规定》

国家互联网信息办公室令

第4号

　　《儿童个人信息网络保护规定》已经国家互联网信息办公室室务会议审议通过，现予公布，自2019年10月1日起施行。

　　主任庄荣文

　　2019年8月22日

　　儿童个人信息网络保护规定

　　第一条为了保护儿童个人信息安全，促进儿童健康成长，根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》等法律法规，制定本规定。

　　第二条本规定所称儿童，是指不满十四周岁的未成年人。

　　第三条在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动，适用本规定。

　　第四条任何组织和个人不得制作、发布、传播侵害儿童个人信息安全的信息。

　　第五条儿童监护人应当正确履行监护职责，教育引导儿童增强个人信息保护意识和能力，保护儿童个人信息安全。

　　第六条鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等，加强行业自律，履行社会责任。

　　第七条网络运营者收集、存储、使用、转移、披露儿童个人信息的，应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。

　　第八条网络运营者应当设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护。

　　第九条网络运营者收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意。

　　第十条网络运营者征得同意时，应当同时提供拒绝选项，并明确告知以下事项：

　　（一）收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围；

　　（二）儿童个人信息存储的地点、期限和到期后的处理方式；

　　（三）儿童个人信息的安全保障措施；

　　（四）拒绝的后果；

　　（五）投诉、举报的渠道和方式；

　　（六）更正、删除儿童个人信息的途径和方法；

　　（七）其他应当告知的事项。

　　前款规定的告知事项发生实质性变化的，应当再次征得儿童监护人的同意。

　　第十一条网络运营者不得收集与其提供的服务无关的儿童个人信息，不得违反法律、行政法规的规定和双方的约定收集儿童个人信息。

　　第十二条网络运营者存储儿童个人信息，不得超过实现其收集、使用目的所必需的期限。

　　第十三条网络运营者应当采取加密等措施存储儿童个人信息，确保信息安全。

　　第十四条网络运营者使用儿童个人信息，不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要，确需超出约定的目的、范围使用的，应当再次征得儿童监护人的同意。

　　第十五条网络运营者对其工作人员应当以最小授权为原则，严格设定信息访问权限，控制儿童个人信息知悉范围。工作人员访问儿童个人信息的，应当经过儿童个人信息保护负责人或者其授权的管理人员审批，记录访问情况，并采取技术措施，避免违法复制、下载儿童个人信息。

　　第十六条网络运营者委托第三方处理儿童个人信息的，应当对受委托方及委托行为等进行安全评估，签署委托协议，明确双方责任、处理事项、处理期限、处理性质和目的等，委托行为不得超出授权范围。

　　前款规定的受委托方，应当履行以下义务：

　　（一）按照法律、行政法规的规定和网络运营者的要求处理儿童个人信息；

　　（二）协助网络运营者回应儿童监护人提出的申请；

　　（三）采取措施保障信息安全，并在发生儿童个人信息泄露安全事件时，及时向网络运营者反馈；

　　（四）委托关系解除时及时删除儿童个人信息;

　　（五）不得转委托；

　　（六）其他依法应当履行的儿童个人信息保护义务。

　　第十七条网络运营者向第三方转移儿童个人信息的，应当自行或者委托第三方机构进行安全评估。

　　第十八条网络运营者不得披露儿童个人信息，但法律、行政法规规定应当披露或者根据与儿童监护人的约定可以披露的除外。