第一条 为了保护儿童个人信息安全，促进儿童健康成长，依据《中国互联网安全法》《中国未成年人保护法》等法律法规，拟定本规定。

第二条 本规定所称儿童，是指不满十四周岁的未成年人。

第三条 在中国境内通过互联网从事采集、存储、用、转移、披露儿童个人信息等活动，适用本规定。

第四条 任何组织和个人不能制作、发布、传播侵害儿童个人信息安全的信息。

第五条 儿童监护人应当正确履行监护职责，教育引导儿童增强个人信息保护意识和能力，保护儿童个人信息安全。

第六条 鼓励网络行业组织指导推进互联网运营者拟定儿童个人信息保护的行业规范、行为准则等，加大行业自律，履行社会责任。

第七条 互联网运营者采集、存储、用、转移、披露儿童个人信息的，应当遵循正当必要、知情赞同、目的明确、安全保障、依法借助的原则。

第八条 互联网运营者应当设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护。

第九条 互联网运营者采集、用、转移、披露儿童个人信息的，应当以显著、明确的方法告知儿童监护人，并应当征得儿童监护人的赞同。

第十条 互联网运营者征得赞同时，应当同时提供拒绝选项，并明确告知以下事情：

采集、存储、用、转移、披露儿童个人信息的目的、方法和范围;

儿童个人信息存储的地址、期限和到期后的处置方法;

儿童个人信息的安全保障手段;

拒绝的后果;

投诉、举报的途径和方法;

更正、删除儿童个人信息的渠道和办法;

其他应当告知的事情。

前款规定的告知事情发生实质性变化的，应当第三征得儿童监护人的赞同。

第十一条 互联网运营者不能采集与其提供的服务无关的儿童个人信息，不能违反法律、行政法规的规定和双方的约定采集儿童个人信息。

第十二条 互联网运营者存储儿童个人信息，不能超越达成其采集、用目的所必需的期限。

第十三条 互联网运营者应当采取加密等手段存储儿童个人信息，确保信息安全。

第十四条 互联网运营者用儿童个人信息，不能违反法律、行政法规的规定和双方约定的目的、范围。因业务需要，确需超出约定的目的、范围用的，应当第三征得儿童监护人的赞同。

第十五条 互联网运营者对其员工应当以最小授权为原则，严格设定信息访问权限，控制儿童个人信息了解范围。员工访问儿童个人信息的，应当经过儿童个人信息保护负责人或者其授权的管理职员审批，记录访问状况，并采取技术手段，防止违法复制、下载儿童个人信息。

第十六条 互联网运营者委托第三方处置儿童个人信息的，应当对受委托方及委托行为等进行安全评估，签署委托协议，明确双方责任、处置事情、处置期限、处置性质和目的等，委托行为不能超出授权范围。

前款规定的受委托方，应当履行以下义务：

根据法律、行政法规的规定和互联网运营者的需要处置儿童个人信息;

帮助互联网运营者回话儿童监护人提出的申请;

采取手段保障信息安全，并在发生儿童个人信息泄露安全事件时，准时向互联网运营者反馈;

委托关系解除时准时删除儿童个人信息;

不能转委托;

其他依法应当履行的儿童个人信息保护义务。

第十七条 互联网运营者向第三方转移儿童个人信息的，应当自行或者委托第三方机构进行安全评估。

第十八条 互联网运营者不能披露儿童个人信息，但法律、行政法规规定应当披露或者依据与儿童监护人的约定可以披露的除外。

第十九条 儿童或者其监护人发现互联网运营者采集、存储、用、披露的儿童个人信息有错误的，有权需要互联网运营者予以更正。互联网运营者应当准时采取手段予以更正。

第二十条 儿童或者其监护人需要互联网运营者删除其采集、存储、用、披露的儿童个人信息的，互联网运营者应当准时采取手段予以删除，包含但不限于以下情形：

互联网运营者违反法律、行政法规的规定或者双方的约定采集、存储、用、转移、披露儿童个人信息的;

超出目的范围或者必要期限采集、存储、用、转移、披露儿童个人信息的;

儿童监护人撤回赞同的;

儿童或者其监护人通过注销等方法终止用商品或者服务的。

第二十一条 互联网运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的，应当立即启动应对预案，采取弥补手段;导致或者可能导致紧急后果的，应当立即向有关主管部门报告，并将事件有关状况以邮件、信函、电话、推送公告等方法告知受影响的儿童及其监护人，很难逐一告知的，应当采取合理、有效的方法发布有关警示信息。

第二十二条 互联网运营者应当对网信部门和其他有关部门依法拓展的监督检查予以配合。

第二十三条 互联网运营者停止运营商品或者服务的，应当立即停止采集儿童个人信息的活动，删除其持有些儿童个人信息，并将停止运营的公告准时告知儿童监护人。

第二十四条 任何组织和个人发现有违反本规定行为的，可以向网信部门和其他有关部门举报。

网信部门和其他有关部门收到有关举报的，应当依据职责准时进行处置。

第二十五条 互联网运营者落实儿童个人信息安全管理责任不到位，存在较大安全风险或者发生安全事件的，由网信部门依据职责进行约谈，互联网运营者应当准时采取手段进行整改，消除隐患。

第二十六条 违反本规定的，由网信部门和其他有关部门依据职责，依据《中国互联网安全法》《网络信息服务管理方法》等有关法律法规规定处置;构成犯罪的，依法追究刑事责任。

第二十七条 违反本规定被追究法律责任的，根据有关法律、行政法规的规定记入信用档案，并予以公示。

第二十八条 通过计算机信息管理软件自动留存处置信息且没办法辨别所留存处置的信息是儿童个人信息的，根据其他有关规定实行。

第二十九条 本规定自2019年十月1日起实行。