国家网信办发布的《儿童个人信息网络保护规定》（以下简称《规定》）于2019年10月1日起施行，这是我国首部专门针对儿童个人信息保护的部门规章，充实了儿童个人信息权的法律依据。

　　解决儿童个人信息网络保护的现实需求

　　首先，儿童个人信息受到严重威胁是客观存在的社会现实。据联合国儿童基金会2017年的报告，全球互联网用户中1/3是儿童，每日新增逾17.5万名儿童网民。2016年，我国年龄低于10岁的网民已超过1800万，超过56%的儿童在5岁前已经“触网”。85.2%受访者遭遇个人信息泄露问题。《规定》第2条将儿童界定为不满14周岁的未成年人，主要参考了刑法对刑事责任年龄的划分标准，不满14周岁的人不负刑事责任。在未成年人中，14岁以下的儿童身心发育尚不成熟，因认知能力、危险识别能力和自我保护能力相对薄弱，个人信息一旦遭到不法者利用，将导致严重后果，需要立法给予特殊保护。

　　其次，我国虽然存在未成年人保护和个人信息保护的立法，但是关于儿童个人信息网络保护的规定过于原则。《未成年人保护法》第39条规定，任何组织或者个人不得披露未成年人的个人隐私。然而个人隐私不等同于个人信息，非隐私性的个人信息就无法得到该法的保护。《全国人大常委会关于加强网络信息保护的决定》规定了网络服务提供者和其他企事业单位在收集、使用个人信息时的基本原则。《民法总则》第111条规定了自然人的个人信息受法律保护。《网络安全法》中对个人信息收集、使用的原则和规则作了规定。上述规定当然也适用于儿童的个人信息，但过于笼统，不能解决儿童个人信息特殊保护的问题。因此，在这一背景下，对儿童个人信息网络保护出台专门性规章，可以落实并细化现行上位法的规定，明确儿童个人信息网络保护的特殊规则。

　　最后，共识性立法符合国际社会的普遍趋势。对儿童权利加强立法是国际社会的普遍趋势。1959 年《儿童权利宣言》把儿童权利保护的“最大利益原则”确认为保护儿童权利的一项国际性指导原则。对于儿童个人信息权利的网络保护，最具代表性的有美国模式和欧盟模式。例如，美国于1998年制定了《儿童在线隐私保护法》（Children’s Online Privacy Protection Act, COPPA），是世界上第一部关于儿童在线隐私保护的法律，具有标杆意义。COPPA适用于商业网站的经营者以及专门面向13岁以下儿童的网上服务，详细规定了网络运营商的义务以及儿童家长的权利。此外，作为执法机构的联邦贸易委员会（Federal Trade Commission, FTC）还出台了细则、问答清单、企业合规六步计划以及推进行业实际落地的安全港计划，来指导儿童信息保护。再比如，欧盟于2018年实施的《通用数据保护条例》（General Data Protection Regulation, GDPR）第8条明确引入儿童个人数据保护，规定儿童未满16周岁时，对数据的处理只有在征得有监护责任的父母同意或授权的情况下才是合法的。数据控制者应当作出合理的努力，结合现行技术可行性，确保获得对儿童有监护责任的父母的同意或授权。当然，欧盟的规定比较含糊，何为“合理的努力”“现行技术可行性”，都有很大的弹性空间，需要成员国结合国情进行细化，不如美国具体明确。

　　无论是美国还是欧盟模式，通过专门立法或立法中的专门条款对儿童的个人信息网络权利进行特别保护，是互联网时代的国际发展潮流，我国的规定契合了国际发展趋势，更接近于成熟的美国模式，具有积极意义。

　　严格保护、特殊保护与合作治理相结合

　　第一，《规定》延长了儿童个人信息保护的周期。《网络安全法》只规定网络运营者收集、使用个人信息应遵循的原则。《规定》第7条则规定网络运营者收集、存储、使用、转移、披露儿童个人信息的，应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则，体现了保护个人信息全生命周期的思路。同时，规定还要求网络运营者从五方面加大人力、物力、财力的投入，体现对儿童个人信息权的严格保护。一是制定专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护工作。二是对工作人员以最小授权为原则，严格设定信息访问权限，控制儿童个人信息知悉范围。三是采取加密等措施存储儿童个人信息，确保信息安全。四是委托第三方处理儿童个人信息时，应进行安全评估，确定委托范围和相应权利责任。五是发现儿童个人信息发生或者可能发生泄露、毁损、丢失的，应立即启动应急预案，向有关主管部门报告，并告知受影响的儿童及其监护人。

　　第二，一方面，《规定》细化了监护人知情—同意制度。监护人知情—同意是儿童个人信息保护的重点。《网络安全法》虽然对透明度和知情同意等内容作出了原则性规定，但可操作性不强。实践中，个人信息收集的透明度和“一揽子”同意成为个人信息保护存在的突出问题。《规定》第9、10、14条规定，网络运营者收集、使用、转移、披露儿童个人信息的，应以显著、清晰的方式告知儿童监护人，并征得儿童监护人的同意，同时提供拒绝选项；告知事项发生实质性变化的或者确需超出约定的目的、范围使用的，应再次征得儿童监护人的同意。因此，儿童监护人明示同意是对儿童个人信息进行全流程收集和利用的前提。需要指出的是，该制度落地最大的难点在于如何识别儿童、监护关系以及监护人的知情同意。如果要求获得全面、真实的监护人信息，可能需要采集身份证、户口簿、出生证甚至人脸信息，将会付出较大成本和面临更大信息安全风险。如何判断网络运营者已经在现有的技术条件下，尽到了履行知情—同意的义务将成为今后执法的难点问题。

　　另一方面，《规定》对儿童及监护人更正权和删除权的内涵作了扩展。第19条规定的更正权范围比《网络安全法》更宽，可以在数据全生命周期行使该权利，而不限于收集、存储环节。而第20条中的删除权则比《网络安全法》新增加了三种情形：第一，超出目的范围或者必要期限收集、存储、使用、转移、披露儿童个人信息；第二，儿童监护人撤回同意；第三，儿童或者其监护人通过注销等方式终止使用产品或者服务，体现了儿童应获得特殊保护的原则。

　　第三，合作治理是政府、社会、企业、公民等多方主体共同合作参与公共活动、共同实现公共利益的过程，在网络时代尤为必要。规定设计了一套发挥政府、儿童监护人、互联网行业组织、公民等主体作用的制度体系。政府应建立健全举报制度、约谈制度和信用档案公示制度。举报是监管部门发现违法线索的重要来源，监管部门应健全举报反馈处理机制，并给予举报者一定的奖励激励。约谈对于及时纠正违法行为，加强网络运营者和监管部门的沟通具有积极意义。《规定》把约谈主体从“省级以上人民政府有关部门”提升至“国家互联网信息办公室”，并特别要求网络运营者应按要求“及时”采取整改措施，体现国家对于儿童个人信息安全的重视。我国正在以信用监管为着力点，规范市场秩序，优化营商环境。信用档案公示制度有利于全社会信用制度的建设，但在具体实施的过程中，要注意手段和目的合乎比例，并给予相对人正当程序保障。儿童监护人应积极履行监护职责，教育、引导和保护儿童。互联网行业组织应指导推动网络运营者制定儿童个人信息保护的行业规范等，加强行业自律。多方共治，多管齐下，形成一张严密的儿童个人信息网络保护网，才能切实保障儿童个人信息权。

　　　（作者单位：中国传媒大学政法学院法律系）