适用场景
面向海外市场、其产品或服务可能涉及或实际收集14岁以下未成年人个人信息的中国出海企业,在产品设计、隐私政策制定及日常运营阶段均需关注。
核心要点
1. 明确保护对象与核心义务
法规首次明确将“儿童”定义为14周岁以下的未成年人,并围绕其个人信息保护设立了一系列特殊义务。网络运营者需针对儿童个人信息制定专门的用户协议和内部管理规定,并指定专人负责。
2. 监护人同意是关键前提
收集、使用、转移或披露儿童个人信息,必须征得其监护人的同意。法规删除了“明示”的表述,但实践中为降低风险,建议仍参照相关国家标准,获取具体、清晰、自愿的明确同意。
3. 制定专门的儿童隐私政策
法规要求网络运营者在征得同意时,必须同时提供拒绝选项,并在隐私政策中详细说明信息处理的目的、方式、范围、存储位置与期限、安全措施、拒绝后果、投诉渠道、信息更正删除方法等具体事项。
4. 实施严格的内部访问控制
企业需遵循最小授权原则,严格设定内部员工访问儿童个人信息的权限,访问需经负责人审批并记录,并采取技术措施防止信息被非法复制或下载。
5. 规范委托处理行为
委托第三方处理儿童个人信息前,必须进行安全评估并签订书面协议。协议需明确受托方的安全保障义务、事件通知义务,并约定委托关系终止后信息的及时删除。委托关系不可转委托。
实务建议
- 立即审查您的产品或服务是否可能涉及14岁以下用户,并评估信息收集的必要性。
- 若业务涉及儿童,立即着手制定独立的《儿童个人信息保护规则》和用户协议。
- 在收集儿童信息前,设计并实施有效的监护人同意机制(如年龄验证、监护人单独同意流程)。
- 更新隐私政策,确保包含法规要求的全部特定事项,特别是存储位置、期限、安全措施和维权渠道。
- 在公司内部任命专门的儿童个人信息保护负责人,并建立严格的内部权限审批与访问日志记录制度。
- 如需委托第三方处理,务必事先进行安全评估并签订权责清晰的书面委托处理协议。
风险提示
- 误区:认为用户未主动声明是儿童就不适用该法规。注意:企业有责任通过技术手段(如年龄筛查)主动识别,对于系统自动存储但无法识别为儿童的信息,虽有一定灵活性,但仍需谨慎处理。
- 误区:认为获得一次同意即可一劳永逸。注意:若隐私政策中声明的核心事项发生重大变更,必须重新获得监护人同意。
- 注意事项:法规删除了豁免监护人同意的例外条款(如为保护儿童安全),这意味着在任何情况下收集儿童信息都需获得同意,操作上需更严谨。
- 注意事项:委托处理时,务必在协议中明确约定受托方在发生安全事件时的通知义务及委托终止后的信息删除义务,否则委托方仍需承担主体责任。