适用场景
面向不满14周岁儿童提供在线服务、或可能收集儿童个人信息的中国出海企业,在产品设计、运营及隐私政策制定阶段需重点关注。
核心要点
1. 明确儿童定义与同意要求
法规将“儿童”明确定义为不满14周岁的未成年人。收集、使用、转移或披露儿童个人信息,必须征得其监护人的同意。虽然正式规定将“明示同意”调整为“同意”,但鉴于相关国家标准仍建议采取明示同意,企业为稳妥起见,建议继续获取清晰、具体的明示同意。
2. 制定专门隐私政策与专人负责
企业必须为儿童用户制定专门的个人信息保护规则和用户协议。隐私政策需明确包含信息存储地点、期限、到期处理方式、安全措施、投诉举报渠道、信息更正删除方法等完整内容。同时,必须指定专人负责儿童个人信息保护工作。
3. 实施最小授权与访问控制
企业内部对儿童个人信息的访问必须遵循最小授权原则,严格设定访问权限。工作人员访问需经负责人审批,并记录访问日志。需采取技术措施防止信息被非法复制或下载,严格控制知悉范围。
4. 严格管理委托处理行为
委托第三方处理儿童个人信息前,必须进行安全评估并签订委托协议。协议需明确受委托方有义务协助回应监护人请求、保障安全、发生泄露时及时告知,并在委托关系结束时删除信息。禁止受委托方进行转委托。
实务建议
- 立即审查产品与服务,判断是否涉及儿童用户,并据此制定或更新专门的儿童隐私政策。
- 在产品设计中嵌入年龄验证机制,并设置清晰的监护人同意流程,建议保留获取“明示同意”的证据。
- 任命儿童个人信息保护负责人,并建立内部最小授权访问制度和审批流程。
- 对所有涉及处理儿童个人信息的第三方供应商进行安全评估并签订合规委托协议。
- 在隐私政策中明确列出投诉举报渠道以及信息更正、删除的具体操作路径。
风险提示
- 误区:认为“同意”可替代“明示同意”。虽然法规措辞变化,但为避免风险,仍建议按更高标准的“明示同意”操作。
- 注意:专门隐私政策内容必须完备,缺少法规要求的任何一项(如存储期限、删除方法)都可能构成违规。
- 警告:取消了无需同意的例外情形(如紧急情况),意味着在任何情况下收集使用儿童信息都需监护人同意,无例外条款。
- 注意:对于系统自动留存且无法识别为儿童的信息,法规留有特殊规定空间,但具体解释尚不明确,需保持关注。