為了保護兒童個人信息安全，促進兒童健康成長，根據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國未成年人保護法》等法律法規(guī)，制定本規(guī)定。

本規(guī)定所稱兒童，是指不滿十四周歲的未成年人。

在中華人民共和國境內(nèi)通過網(wǎng)絡從事收集、存儲、使用、轉移、披露兒童個人信息等活動，適用本規(guī)定。

任何組織和個人不得制作、發(fā)布、傳播侵害兒童個人信息安全的信息。

兒童監(jiān)護人應當正確履行監(jiān)護職責，教育引導兒童增強個人信息保護意識和能力，保護兒童個人信息安全。

鼓勵互聯(lián)網(wǎng)行業(yè)組織指導推動網(wǎng)絡運營者制定兒童個人信息保護的行業(yè)規(guī)范、行為準則等，加強行業(yè)自律，履行社會責任。

網(wǎng)絡運營者收集、存儲、使用、轉移、披露兒童個人信息的，應當遵循正當必要、知情同意、目的明確、安全保障、依法利用的原則。

網(wǎng)絡運營者應當設置專門的兒童個人信息保護規(guī)則和用戶協(xié)議，并指定專人負責兒童個人信息保護。

網(wǎng)絡運營者收集、使用、轉移、披露兒童個人信息的，應當以顯著、清晰的方式告知兒童監(jiān)護人，并應當征得兒童監(jiān)護人的同意。

網(wǎng)絡運營者征得同意時，應當同時提供拒絕選項，并明確告知以下事項：

（一）收集、存儲、使用、轉移、披露兒童個人信息的目的、方式和范圍；

（二）兒童個人信息存儲的地點、期限和到期后的處理方式；

（三）兒童個人信息的安全保障措施；

（四）拒絕的后果；

（五）投訴、舉報的渠道和方式；

（六）更正、刪除兒童個人信息的途徑和方法；

（七）其他應當告知的事項。

前款規(guī)定的告知事項發(fā)生實質性變化的，應當再次征得兒童監(jiān)護人的同意。

網(wǎng)絡運營者不得收集與其提供的服務無關的兒童個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集兒童個人信息。

網(wǎng)絡運營者存儲兒童個人信息，不得超過實現(xiàn)其收集、使用目的所必需的期限。

網(wǎng)絡運營者應當采取加密等措施存儲兒童個人信息，確保信息安全。

網(wǎng)絡運營者使用兒童個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方約定的目的、范圍。因業(yè)務需要，確需超出約定的目的、范圍使用的，應當再次征得兒童監(jiān)護人的同意。

網(wǎng)絡運營者對其工作人員應當以最小授權為原則，嚴格設定信息訪問權限，控制兒童個人信息知悉范圍。工作人員訪問兒童個人信息的，應當經(jīng)過兒童個人信息保護負責人或者其授權的管理人員審批，記錄訪問情況，并采取技術措施，避免違法復制、下載兒童個人信息。

網(wǎng)絡運營者委托第三方處理兒童個人信息的，應當對受委托方及委托行為等進行安全評估，簽署委托協(xié)議，明確雙方責任、處理事項、處理期限、處理性質和目的等，委托行為不得超出授權范圍。

前款規(guī)定的受委托方，應當履行以下義務：

（一）按照法律、行政法規(guī)的規(guī)定和網(wǎng)絡運營者的要求處理兒童個人信息；

（二）協(xié)助網(wǎng)絡運營者回應兒童監(jiān)護人提出的申請；

（三）采取措施保障信息安全，并在發(fā)生兒童個人信息泄露安全事件時，及時向網(wǎng)絡運營者反饋；

（四）委托關系解除時及時刪除兒童個人信息;

（五）不得轉委托；

（六）其他依法應當履行的兒童個人信息保護義務。

網(wǎng)絡運營者向第三方轉移兒童個人信息的，應當自行或者委托第三方機構進行安全評估。

網(wǎng)絡運營者不得披露兒童個人信息，但法律、行政法規(guī)規(guī)定應當披露或者根據(jù)與兒童監(jiān)護人的約定可以披露的除外。

兒童或者其監(jiān)護人發(fā)現(xiàn)網(wǎng)絡運營者收集、存儲、使用、披露的兒童個人信息有錯誤的，有權要求網(wǎng)絡運營者予以更正。網(wǎng)絡運營者應當及時采取措施予以更正。

兒童或者其監(jiān)護人要求網(wǎng)絡運營者刪除其收集、存儲、使用、披露的兒童個人信息的，網(wǎng)絡運營者應當及時采取措施予以刪除，包括但不限于以下情形：

（一）網(wǎng)絡運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、存儲、使用、轉移、披露兒童個人信息的；

（二）超出目的范圍或者必要期限收集、存儲、使用、轉移、披露兒童個人信息的；

（三）兒童監(jiān)護人撤回同意的；

（四）兒童或者其監(jiān)護人通過注銷等方式終止使用產(chǎn)品或者服務的。

網(wǎng)絡運營者發(fā)現(xiàn)兒童個人信息發(fā)生或者可能發(fā)生泄露、毀損、丟失的，應當立即啟動應急預案，采取補救措施；造成或者可能造成嚴重后果的，應當立即向有關主管部門報告，并將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的兒童及其監(jiān)護人，難以逐一告知的，應當采取合理、有效的方式發(fā)布相關警示信息。

網(wǎng)絡運營者應當對網(wǎng)信部門和其他有關部門依法開展的監(jiān)督檢查予以配合。

網(wǎng)絡運營者停止運營產(chǎn)品或者服務的，應當立即停止收集兒童個人信息的活動，刪除其持有的兒童個人信息，并將停止運營的通知及時告知兒童監(jiān)護人。

任何組織和個人發(fā)現(xiàn)有違反本規(guī)定行為的，可以向網(wǎng)信部門和其他有關部門舉報。

網(wǎng)信部門和其他有關部門收到相關舉報的，應當依據(jù)職責及時進行處理。

網(wǎng)絡運營者落實兒童個人信息安全管理責任不到位，存在較大安全風險或者發(fā)生安全事件的，由網(wǎng)信部門依據(jù)職責進行約談，網(wǎng)絡運營者應當及時采取措施進行整改，消除隱患。

違反本規(guī)定的，由網(wǎng)信部門和其他有關部門依據(jù)職責，根據(jù)《中華人民共和國網(wǎng)絡安全法》《互聯(lián)網(wǎng)信息服務管理辦法》等相關法律法規(guī)規(guī)定處理；構成犯罪的，依法追究刑事責任。

違反本規(guī)定被追究法律責任的，依照有關法律、行政法規(guī)的規(guī)定記入信用檔案，并予以公示。

通過計算機信息系統(tǒng)自動留存處理信息且無法識別所留存處理的信息屬于兒童個人信息的，依照其他有關規(guī)定執(zhí)行。

本規(guī)定自2019年10月1日起施行。