2019年5月31日，儿童节的前一天，国家互联网信息办公室发布《儿童个人信息网络保护规定（征求意见稿）》（以下简称“征求意见稿”），为儿童节送出一份大礼。根据国务院2019年5月11日发布的《国务院2019年立法工作计划》，《未成年人网络保护条例》位列其中，反映出国家对保护未成年人网络合法权益的重视和关切，此时在儿童节前夕出台《征求意见稿》，尤应值得网络运营者关注。

国家网信办在六一前夕送来的儿童大礼包，须附上使用说明书才更显得情真意切。因此，笔者将在下文对该《征求意见稿》做相应解读，尝试为网络运营者提供指导和帮助。

第一，适用对象、立法目的、适用范围和适用原则。《征求意见稿》规定所谓的儿童，是指不满十四周岁的未成年人，从而界定了本规定的适用对象；《征求意见稿》的立法目的在于“保护儿童个人信息安全，促进儿童健康成长”，适用范围主要是“在中华人民共和国境内通过网络从事收集、存储、使用、转移、披露儿童个人信息等活动”，《征求意见稿》规定网络运营者的收集、使用、存储等活动应遵循“正当必要、知情同意、目的明确、安全保障、依法利用的原则。”

第二，收集儿童信息。《征求意见稿》第5条、第6条、第7条和第8条规定网络运营者应该设置保护儿童个人信息的规则或者用户协议，规则须具体明确、通俗易懂，不得收集与目的无关的个人信息，同时并应设置个人信息保护专员。收集儿童信息须征得监护人的明示同意，并且应设置“拒绝”选项。

其中，如何理解设置收集儿童个人信息的规则或者用户协议？须知，当前的隐私政策大多数都有设置“未成年信息保护”的条款，用户协议也有适当说明，对于儿童信息的收集并非全无告知。因此，笔者分析，此处的制定规则应是专设收集儿童信息的规则或者专门设置与儿童用户之间的用户协议，网络运营者应重视该条款的规定。

此外，《征求意见稿》规定针对儿童要设置个人信息保护专员，根据《数据安全管理办法》（征求意见稿）规定，收集个人敏感信息和重要数据要设置数据安全责任人，《网络安全法》第34条要求关键基础设施设置安全管理负责人，《个人信息安全规范（征求意见稿）》规定要任命个人信息保护负责人。如何理解这四者的关系？个人信息专员、数据安全责任人、安全管理负责人和个人信息保护负责人是否可以同一个人。笔者认为，如果可以是同个人，那么此人最好“具有相关管理工作经历和数据安全专业知识的人员担任，参与有关数据活动的重要决策，直接向网络运营者的主要负责人报告工作。”

第三，保存儿童信息。《征求意见稿》规定应采取加密措施保存儿童信息，并且存储的期限不得违反实现收集、使用儿童信息的目的。

第四，使用儿童信息。《征求意见稿》规定网络运营者使用儿童个人信息，不得超出约定的目的和范围。因业务需要，超出目的使用儿童信息的，须再次征得监护人的明示同意。同时，《征求意见稿》进一步规定使用儿童信息的工作人员应遵循最小授权原则，严守儿童秘密，访问时要经审批手续等。

该条规定从内部控制的角度规定了一线工作人员使用儿童数据的规范操作，一定程度上有利于保障儿童的信息安全。然而，由于一线工作人员多以技术人员为主，采取技术手段避免工作人员复制、下载个人信息时，也需警惕技术人员的反技术措施。因此，笔者建议该条规定还需进一步规定，网络运营者应制定措施，规定一线工作人员如违反操作要求应受惩罚。

第五，委托第三方处理数据。《征求意见稿》规定网络运营者委托前要进行安全评估，评估安全后，应签订委托协议，明晰双方责任和义务，受委托人不得再转委托，应负担对儿童信息的保护义务。

第六，数据转移。《征求意见稿》规定网络经营者在转移儿童信息时，应进行安全评估，并征得儿童监护人的明示同意。

第七，数据共享。《征求意见稿》规定网络运营者和第三方共同使用儿童个人信息的，应当征得儿童监护人的明示同意。

《征求意见稿》在数据转移和共享上，均要求网络运营者应进行安全评估。其中，《信息安全技术 个人信息安全规范》对于如何安全评估，有做出相应规定，网络运营者可参考该标准。笔者想讨论的是，何为儿童监护人的“明示同意”？如何确定已经得到了监护人的“明示同意”？“明示”的意思应是儿童监护人基于主观自愿的原则，以具体、明确、可被第三人确知的方式允许网络经营者收集儿童信息。但这种“明示”的表达如何以互联技术的方式确认下来？同时，网络运营者如何确认屏幕另一侧点进同意按钮的一方就是儿童的监护人？种种问题都有待继续探讨。

第八，数据披露。《征求意见稿》规定除例外规定，网络运营者不得披露儿童个人信息。

第九，停止产品或服务运营。《征求意见稿》规定出现该种情况后，网络运营者应当立即停止收集儿童个人信息的活动，删除其持有的儿童个人信息，并将停止运营的通知及时告知儿童监护人。

《信息安全技术 个人信息安全规范（征求意见稿）》明确规定网络运营者发生兼并、重组、破产的，数据承接方应承接原网络运营者数据安全责任与义务。《数据安全管理办法（征求意见稿）》进一步规定，在没有数据承接方，应对数据作删除处理。该《征求意见稿》在两者的基础上，规定网络运营者不仅应删除儿童个人信息，还应将“停止运营的通知及时告知儿童监护人”，该规定更进一步保障了儿童的信息安全。但笔者顾虑之处在于在产品或者服务已经停止运营情况下，多数情况下意味着公司的倒闭或者破产。在这种情况下，网络运营者是否有动力做后续的处理措施呢？因为一旦公司破产清算注销，意味着公司的市场主体身份已经灭失，如果网络运营者未通知儿童监护人，往后如何确定承担责任的主体？笔者认为立法者应进一步理清该问题。

第十，儿童信息主体权利。《征求意见稿》规定儿童或者其监护人有以合理理由要求网络运营者更正、删除儿童信息的权利。

第十一，监督处罚。《征求意见稿》规定网信部门在“网络运营者落实儿童个人信息安全管理责任不到位，存在较大安全风险或者发生安全事件”情况下，有约谈、督促网络运营者整改的权力。当网络运营者有违反本规定的情况，网信部门和有关部门有权“根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任”，并将网络运营者的行为记入诚信档案。

《数据安全管理办法（征求意见稿）》规定违反本办法，将“根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚；构成犯罪的，依法追究刑事责任。”《征求意见稿》进一步规定了罚金措施和信用惩戒措施，有助于网络运营者的规范运营。

综上所述，《征求意见稿》在儿童信息的收集、存储、使用、委托、共享、转移、披露等方面都做了规定，并设置了相应的惩处措施，规定完整、脉络清晰。当然，没有一部法律尽善尽美，《征求意见稿》也存在着不少问题，正式稿将对该规定做何调整，有待进一步观察。