---

作者：隨亦
本篇介紹：兒童個人信息保護的額外要求
本篇為第6篇/共9篇
上一篇：基于國內法律法規的企業數據合規體系建設經驗總結（五）
下一篇：基于國內法律法規的企業數據合規體系建設經驗總結（七）

---

引子

在離開前公司之后（2020.06），我來到新的公司擔任安全部負責人，負責新公司的安全架構設計與安全體系建設，由于新公司的業務都是面向國內的，因此在建設隱私合規體系時，參照的都是國內的法律法規標準。本系列即以國內法律法規為基準，拋磚引玉，來探討純國內業務企業的隱私合規體系建設。

前言

兒童是國家發展的未來和希望，其認知能力、危險識別能力和自我保護能力都相對薄弱，因此，為了加強對兒童個人信息安全的保護，國家互聯網信息辦公室頒布了《兒童個人信息網絡保護規定》，其系統的規定了應設置兒童專門用戶協議、指定專人負責、征得兒童監護人同意等兒童個人信息保護要求。

接下來，我將從兒童認定的標準、專門文本與專人負責、監護人同意、委托處理兒童個人信息的安全評估要求、向第三方轉移兒童個人信息的安全評估要求、兒童個人信息保護的除外情形等六方面來探討對兒童個人信息保護的合規化。

一、兒童認定的標準

根據《兒童個人信息網絡保護規定》第2條，兒童是指不滿十四周歲的未成年人。

在國際上，兒童的界定是18周歲以下的任何人，而我們本篇所討論的兒童，則是參考了刑法中刑事責任年齡的劃分，將無刑事責任的14周歲以下的未成年人歸于兒童的范疇。

在實踐中，從識別兒童身份的角度，建議網絡運營者建立完善年齡篩選機制，進行兒童身份識別的基礎動作，如身份證號碼的年齡識別等。同時，通過網站頁面、相關服務協議、隱私政策等顯著提示，兒童用戶使用產品或服務需要獲得父母同意。

二、專門文本與專人負責

根據《兒童個人信息網絡保護規定》第8條，網絡運營者應當設置專門的兒童個人信息保護規則和用戶協議，并指定專人負責兒童個人信息保護。

在實踐中，目前主流的互聯網公司，大多數已經在隱私政策中明確了如何處理兒童個人信息的內容；但設置專門的兒童用戶協議，則是首次提出的，即在現有用戶協議的基礎上，額外設置兒童用戶協議。對于需要專人負責兒童個人信息保護，主要是為了更好的推動和落實兒童個人信息保護。

三、監護人同意

根據《兒童個人信息網絡保護規定》第9條，網絡運營者收集、使用、轉移、披露兒童個人信息的，應當以顯著、清晰的方式告知兒童監護人，并應當征得兒童監護人的同意。

在實踐中，網絡運營者不得通過隱蔽、模糊展示等方式影響對監護人的有效告知。同時，網絡運營者可以通過網站、APP等渠道設置隱私政策、通過向監護人發送郵件、與監護人賬號綁定等方式告知兒童個人信息收集情況，并提供便捷的退出同意的選項。

那么如何獲得可驗證的監護人同意呢？關鍵點包括3個：

1、基于現有技術盡可能合理的獲得可驗證的監護人同意；
2、確保提供同意的人為兒童的監護人；
3、權利的行使不會對監護人造成不適當的負擔。

從具體操作而言，可以通過以下5種方式：

1、讓監護人提供身份證明，以供網絡運營者對照核實，在網絡運營者完成驗證后刪除該身份信息；
2、讓監護人回答一系列知識型挑戰問題，這些問題對于監護人之外的人來說很難回答；
3、通過面部識別等相關技術比較、識別監護人所提交的照片；
4、由監護人撥打專門人員負責的免費電話號碼；
5、由監護人通過視頻會議聯系專門人員。

四、委托處理兒童個人信息的安全評估要求

根據《兒童個人信息網絡保護規定》第16條，網絡運營者委托第三方處理兒童個人信息的，應當對受委托方及委托行為等進行安全評估，簽署委托協議，明確雙方責任、處理事項、處理期限、處理性質和目的等，委托行為不得超出授權范圍。

前款規定的受委托方，應當履行以下義務：1、按照法律、行政法規的規定和網絡運營者的要求處理兒童個人信息；2、協助網絡運營者回應兒童監護人提出的申請；3、采取措施保障信息安全，并在發生兒童個人信息泄露安全事件時，及時向網絡運營者反饋；4、委托關系解除時及時刪除兒童個人信息；5、不得轉委托；6、其他依法應當履行的兒童個人信息保護義務。

在實踐中，網絡運營者需要對受委托方進行安全評估，并與受委托方簽署委托協議。安全評估的對象主要是受委托方和委托行為，評估內容主要是是否在兒童監護人授權范圍、受委托方是否具備適當的數據安全能力，以及發生兒童個人信息泄露、損毀和丟失的風險等。

簽署委托協議，主要是為了通過協議明確雙方責任、處理事項、處理期限、處理性質和目的等，構成對受委托方的有效約束，也一定程度上能夠作為網絡運營者豁免責任或減輕責任的證明。

五、向第三方轉移兒童個人信息的安全評估要求

根據《兒童個人信息網絡保護規定》第17條，網絡運營者向第三方轉移兒童個人信息的，應當自行或者委托第三方機構進行安全評估。

在實踐中，應當謹慎向第三方轉移兒童個人信息，如果確實因為業務需要而進行轉移的，應開展安全評估并根據安全評估結果采取相應的安全保障措施，在確保風險可控的情況下再進行轉移。同時，安全評估可以由網絡運營者自行開展，也可以委托第三方機構進行。

六、兒童個人信息保護的除外情形

根據《兒童個人信息網絡保護規定》第28條，通過計算機信息系統自動留存處理信息且無法識別所留存處理的信息屬于兒童個人信息的，依照其他有關規定執行。

在實踐中，如果要滿足兒童個人信息保護的除外情形，需要滿足兩個條件：

1、通過計算機信息系統自動留存處理信息，也就是說不需要用戶主動填寫和主動提供，APP等業務開展渠道自動收集的用戶信息；

2、無法識別所留存處理的信息屬于兒童個人信息，也就是說采取了措施識別但限于現有技術等原因無法識別出屬于兒童的個人信息。

同時，對于兒童個人信息保護的除外情形應謹慎使用，不要將其作為唯一的救命稻草。

---

本篇介紹：兒童個人信息保護的額外要求
本篇為第6篇/共9篇
上一篇：基于國內法律法規的企業數據合規體系建設經驗總結（五）
下一篇：基于國內法律法規的企業數據合規體系建設經驗總結（七）

---

總結

以上是生活随笔為你收集整理的安全合规--48--基于国内法律法规的企业数据合规体系建设经验总结（六）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。