同意的规定

同意的例外

《网络安全法》

第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

N/A

《个人信息安全规范》

5.3　收集个人信息时的授权同意

5.5　收集个人敏感信息时的明示同意

c) 收集年满14的未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意。

以下情形中，个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意：

a) 与国家安全、国防安全直接相关的；

b) 与公共安全、公共卫生、重大公共利益直接相关的；

c) 与犯罪侦查、起诉、审判和判决执行等直接相关的；

d) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的；

e) 所收集的个人信息是个人信息主体自行向社会公众公开的；

f) 从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道；

g) 根据个人信息主体要求签订和履行合同所必需的；

h) 用于维护所提供的产品或服务的安全稳定运行所必需的，例如发现、处置产品或服务的故障；

i) 个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的；

j) 个人信息控制者为学术研究机构，出于公共利益开展统计或学术研究所必要，且其对外提供学术研究或描述的结果时，对结果中所包含的个人信息进行去标识化处理的；

k) 法律法规规定的其他情形。

同意的规定

同意的例外

《儿童个人信息网络保护规定（征求意见稿）》第七条

网络运营者收集、使用儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的明示同意。明示同意应当具体、清楚、明确，基于自愿。

《儿童个人信息网络保护规定（征求意见稿）》第十九条

网络运营者收集、使用、转移、披露儿童个人信息，有以下情形之一的，可以不经过儿童监护人的明示同意：

    （一）为维护国家安全或者公共利益；

    （二）为消除儿童人身或者财产上的紧急危险；

    （三）法律、行政法规规定的其他情形。

同意的规定【3】

同意的例外【4】

（A）要求向儿童收集个人信息的任何网站或提供在线服务的运营商或实际知晓其网站或服务向儿童收集个人信息的运营商或在线服务运营商，

（i）在其网站上通知，运营商向儿童收集了哪些信息，运营商如何使用这些信息，以及运营商对此类信息的披露的情形；并且

（ii）获取可验证的父母同意，以收集，使用或披露儿童的个人信息。

以下情况下，并不要求根据第（1）（A）（ii）款作出的可验证的父母同意：

（A）从儿童收集的在线联系信息，该信息仅用于一次性直接响应儿童的特定要求，不用于再次联系儿童，并且运营者不得以可检索的形式保存；

（B）父母或儿童的姓名或在线联系信息的请求，仅限于获得父母同意或根据本节提供通知的目的，如在合理的时间后没有获得父母同意，运营者不以可检索的形式保留此类信息；

（C）从儿童收集的在线联系信息，该信息仅用于直接针对儿童的特定请求作出一次以上的回复，并且不得重新联系该儿童将该信息用于该请求范围之外的目的：

（i）如果在对儿童作出初步回应之后的任何其他答复之前，运营者采取合理措施向父母提供从儿童收集的在线联系信息，其使用目的以及父母可以要求经营者不可进一步使用该等信息并且不能以可检索的形式留存该等信息；或

（ii）在委员会认为适当的情况下，根据在此规定的条例中，在没有通知父母时，结合儿童获得信息和服务的利益，以及对儿童的安全和隐私的风险；

（D）儿童的姓名和在线联系信息（在保护网站儿童参与者安全的合理必要范围内）：

（i）仅用于保护此类安全的目的；

（ii）不得用于重新联系儿童或任何其他用途；并且

（iii）如果运营者采取合理措施向父母提供从儿童收集的姓名和在线联系信息，使用目的以及父母可以要求经营者不可进一步使用该等信息并且不能以可检索的形式留存该等信息；或

（E）该网站的运营者或在线服务所需收集，使用或传播该等信息是以下所必需：

（i）保护其网站的安全性或完整性；

（ii）采取预防措施以避免责任；

（iii）回应司法程序；或

（iv）在其他法律规定允许的范围内，向执法机构提供信息或就与公共安全有关的事项进行调查。 

合规指南规定 ——“可验证的同意”

合规指南规定 —— 同意的例外

在收集、使用和披露儿童个人信息前，必须征得其父母的可验证的同意。COPPA将这个问题留给企业，但是须通过清晰可用的技术设计，合理选择一个方法以确保作出同意的是儿童的父母，而非儿童本人，这点非常重要。

可接受的方法包括：

（1）父母签署一个同意表格并通过传真、邮箱或电子扫描方式邮寄；

（2）让父母使用信用卡、借记卡或其他在线支付系统等可以向账户持有人提供每笔单独交易的通知的系统；

（3）使父母可以通过免费号码与经过相关知识培训的人员通话；

（4）使父母可以与经过相关知识培训的人员进行视频会议；

（5）使父母提供政府颁发的可在数据库中查询的ID复印件，但要在完成认证程序后删除认证记录；

（6）使父母回答一系列对于父母之外的人很难回答的问题；

（7）验证由父母提供的父母的驾照和父母本人照片，通过人脸识别技术进行对比。

如果仅将儿童的个人信息用于内部目的而不会披露，可以使用 “电子邮件+”的方法。根据该方法，向父母发送电子邮件并让他们回复以表示同意。然后，必须通过电子邮件，信件或电话向父母发送确认。如果使用“电子邮件+”，必须让父母知道他们可以随时撤销他们的同意。

必须让父母选择允许收集和使用他们孩子的个人信息，而不能捆绑式同时同意向第三方披露该信息。如果对父母已经同意的收集，使用或披露做法进行了更改，必须向父母发送新通知并征得父母的同意。

一般而言，在收集儿童的个人信息之前，必须获得家长的可验证同意。 但是，该要求有一些有限的例外情况，允许在未经父母同意的情况下收集信息。 但是在每个例外情况下可能收集的信息范围很窄。不能再收集任何例外之外的信息。 此外，如果根据其中一个例外收集信息，则不能将其用于任何其他目的或将其披露。

（1）事由：获得可验证的父母同意

可收集儿童和父母的姓名和在线联系信息，如果未在合理时间内获得同意，则必须删除其联系信息。必须在直接通知中告知父母相关信息（包括链接到隐私政策）；

（2）事由：主动向父母通知他们的儿童参与或接受不收集个人信息的网站或服务

可收集家长的在线联系信息，但必须在直接通知中告知父母相关信息（包括链接到隐私政策）；

（3）事由：直接回应儿童的特定一次性请求（例如，如果儿童想要参加比赛）

可收集儿童的在线联系信息，不能使用这些信息来再次联系该儿童，响应请求后，必须将其删除。无需直接通知；

（4）事由：直接回应儿童的多次特定要求（例如，如果儿童想要收到时事通讯）

可收集儿童和父母的在线联系信息，不能将此信息与从儿童收集的任何其他信息相结合。但必须在直接通知中告知父母相关信息（包括链接到隐私政策）；

（5）事由：为保护儿童的安全

可收集儿童和父母的姓名和在线联系信息，但必须在直接通知中告知父母相关信息（包括链接到隐私政策）；

（6）事由：保护您网站或服务的安全性或完整性，防范责任，回应司法程序，或在法律允许的情况下，向执法部门提供信息

可收集儿童的姓名和在线联系信息，无需直接通知；

（7）事由：为站点或服务的内部操作提供支持

包括：维护或分析网站的运作，执行网络通信，验证网站用户或个性化内容，提供内容相关广告或频次上限，保护用户或网站的安全性或完整性，法律或监管合规，或根据前文一次性联系或多次联系儿童的例外的请求。

可收集持久标识符（又称“单一标识符”），不能使用该信息与特定人员联系，包括通过行为广告，收集特定人员的个人资料或用于任何其他目的。如果收集持久标识符以外的个人信息，则不能使用此例外。无需直接通知；

（8）事由：如果确实知道某主体的信息是通过导向儿童的网站收集的，但他们之前的注册表明此该主体是13岁或以上，此例外仅适用于：只收集持久标识符而不收集其他个人信息;此主体已确定与网站或服务进行交互以触发收集; 并且已经对该主体进行了年龄筛选，表明他或她已经13岁或以上。可直接收集持久标识符而无需直接通知。

同意的规定

同意的例外

《保护规定》

监护人的明示同意

·  为维护国家安全或者公共利益；

·  为消除儿童人身或者财产上的紧急危险；

·  法律、行政法规规定的其他情形。

COPPA

父母的可验证的同意（并且在合规指引中明确了具体的实践方法）

·   出于通知以获得可验证同意的目的收集；

·   出于特定的响应儿童一次或多次请求的目的收集（目的和数据类型均有严格限制）；

·   保护儿童安全（目的和数据类型均有严格限制）；

·   保护其网站的安全性或完整性；采取预防措施以防范责任；回应司法程序；或在法律其他规定允许的范围内，向执法机构提供信息或就与公共安全有关的事项进行调查（目的和数据类型均有严格限制）。