胡梅 劉征峰

互聯(lián)網(wǎng)技術(shù)近年來(lái)飛速發(fā)展，由此帶來(lái)的不良后果是自然人的個(gè)人信息被收集、使用的風(fēng)險(xiǎn)增加。個(gè)人信息的收集、使用既可能是信息主體本人自主選擇提供，也可能是互聯(lián)網(wǎng)企業(yè)采用各種信息技術(shù)抓取、跟蹤、被動(dòng)收集的結(jié)果。以cookie為例，其可以儲(chǔ)存小型計(jì)算機(jī)上的程序信息，比如用戶名、密碼。如果網(wǎng)站經(jīng)營(yíng)者將cookie放置在用戶硬盤上，其實(shí)質(zhì)上充當(dāng)了電子跟蹤設(shè)備的作用，可以跟蹤用戶訪問的每個(gè)網(wǎng)站，記錄偏好信息，并將該信息提供給原始網(wǎng)站經(jīng)營(yíng)者，①See Lauren A. Matecki, Update: Coppa Is Ineffective Legislation! Next Steps for Protecting Youth Privacy Rights in the Social Networking Era, 5 Nw. J. L. & Soc.Pol'y 369,372 (2010).之后經(jīng)營(yíng)者既可以將數(shù)據(jù)出售或披露給第三方進(jìn)行盈利，也可以對(duì)用戶進(jìn)行畫像，實(shí)施精準(zhǔn)化營(yíng)銷和廣告的定向投放，從而謀取巨額廣告收入。用戶在不知情的情況下，個(gè)人信息被記錄、收集甚至使用、共享。大數(shù)據(jù)時(shí)代下，自然人的個(gè)人信息利益岌岌可危，收集、處理信息等行為理應(yīng)受到法律規(guī)制。

在此背景下，我國(guó)立法開始逐漸關(guān)注個(gè)人信息保護(hù)的議題，不僅2017年公布了專門規(guī)制個(gè)人信息保護(hù)的法案《個(gè)人信息保護(hù)法（草案）》，在《網(wǎng)絡(luò)安全法》《電子商務(wù)法》《消費(fèi)者權(quán)益保護(hù)法》以及新公布的《民法典（草案）》中也都強(qiáng)調(diào)了自然人的個(gè)人信息保護(hù)與利用的問題，②《網(wǎng)絡(luò)安全法》第22 條、41-45 條、64 條；《電子商務(wù)法》第23 條、79 條；《消費(fèi)者權(quán)益保護(hù)法》第14 條、29 條；2019 年12 月28 日公布的《民法典（草案）》第110 條、第1034-1038 條。明確收集、處理個(gè)人信息需要經(jīng)過信息主體的同意，此即為知情-同意規(guī)則。但立法上對(duì)于未成年人的個(gè)人信息保護(hù)卻鮮有提及，專門性規(guī)定僅有國(guó)家網(wǎng)信辦發(fā)布的《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》（下稱《規(guī)定》），①《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》系國(guó)家網(wǎng)信辦于2019年8 月公布的保護(hù)兒童個(gè)人信息安全、促進(jìn)兒童健康成長(zhǎng)的部委規(guī)章。但該規(guī)定屬于部委規(guī)章，位階較低，約束力也有限。2019年11月公布的《未成年人保護(hù)法（修訂草案）》（下稱《草案》）中的第63條規(guī)定：“網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng)當(dāng)提示未成年人保護(hù)其個(gè)人信息，并對(duì)未成年用戶使用其個(gè)人信息進(jìn)行保護(hù)性限制。網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者通過網(wǎng)絡(luò)收集、使用、保存未成年人個(gè)人信息的，應(yīng)當(dāng)符合國(guó)家有關(guān)規(guī)定，且經(jīng)過未成年人及其父母或者其他監(jiān)護(hù)人同意”，彌補(bǔ)了這一立法空白。63條是我國(guó)首次從法律層面賦予網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者保護(hù)未成年人個(gè)人信息的義務(wù)，②《未成年人保護(hù)法》修訂草案第63 條中的“網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者”是收集、控制、管理信息的主體，本文統(tǒng)稱為“信息控制者”。是立法者對(duì)當(dāng)前未成年人個(gè)人信息受到濫用的潛在問題的回應(yīng)。該規(guī)定在原有知情-同意規(guī)則的基礎(chǔ)上對(duì)其進(jìn)行創(chuàng)新和調(diào)整，以更符合未成年人個(gè)人信息保護(hù)的實(shí)踐，但同時(shí)也存在些許不足和缺陷，需要在未來(lái)加以完善。

一、未成年人個(gè)人信息保護(hù)的特殊性

個(gè)人信息，系指以電子等方式記載的能夠單獨(dú)或與其他信息結(jié)合以識(shí)別出信息主體身份的各類信息，③《網(wǎng)絡(luò)安全法》第76 條第五項(xiàng)：“個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等?！北举|(zhì)特征為可識(shí)別性，常見的個(gè)人信息例如姓名、出生日期、身份證號(hào)、個(gè)人生物識(shí)別信息、家庭住址、電話號(hào)碼等。個(gè)人信息關(guān)乎信息主體的人格尊嚴(yán)與人格自由，一旦泄露或被不當(dāng)使用，極有可能引發(fā)人格尊嚴(yán)受損、不公平對(duì)待、形象被歪曲、社會(huì)評(píng)價(jià)降低、甚至損及名譽(yù)權(quán)等不良后果，阻礙人格發(fā)展。此外，個(gè)人信息也與隱私權(quán)息息相關(guān)，個(gè)人信息中的私密信息屬于隱私信息，適用隱私權(quán)保護(hù)的有關(guān)規(guī)定。④《民法典（草案）》第1034 條第三款規(guī)定：“個(gè)人信息中的私密信息，同時(shí)適用隱私權(quán)保護(hù)的有關(guān)規(guī)定?！倍[私權(quán)包括私生活安寧與私生活秘密兩大內(nèi)容，如果私密信息被非法利用會(huì)極大威脅信息主體的私生活安寧、暴露私生活秘密；個(gè)人信息同時(shí)也內(nèi)含巨大經(jīng)濟(jì)價(jià)值，存在利益空間，例如明星的個(gè)人信息被明碼標(biāo)價(jià)在網(wǎng)絡(luò)上出售。據(jù)此，個(gè)人信息上不僅附著人格權(quán)益，還包括財(cái)產(chǎn)利益，保護(hù)個(gè)人信息安全實(shí)質(zhì)上是對(duì)個(gè)人信息背后各項(xiàng)利益的保護(hù)。⑤參見丁曉東：《個(gè)人信息的雙重屬性與行為主義規(guī)制》，載《法學(xué)家》2020 年第1 期。

與成年人相比，未成年人的個(gè)人信息保護(hù)有其特殊性所在，分為主體特殊和個(gè)人信息特殊兩個(gè)方面。

就主體特殊而言，未成年人因其年齡、智力發(fā)展尚未成熟，無(wú)法獨(dú)立實(shí)施民事法律行為，因此《民法總則》以八周歲為分界線，將其分為限制民事行為能力人與無(wú)民事行為能力人，由監(jiān)護(hù)人代理其為部分或全部法律行為。我國(guó)《消費(fèi)者權(quán)益保護(hù)法》《網(wǎng)絡(luò)安全法》《刑事訴訟法》等基本法律對(duì)未成年人進(jìn)行特殊了規(guī)定，體現(xiàn)優(yōu)先保護(hù)、側(cè)重保護(hù)的立法理念；同時(shí)，還出臺(tái)了專門法律——《未成年人保護(hù)法》和《預(yù)防未成年人犯罪法》突出對(duì)未成年主體的特別對(duì)待。另外，在復(fù)雜的網(wǎng)絡(luò)世界中，即使是成年人也往往難以抵制網(wǎng)絡(luò)誘惑、辨別網(wǎng)絡(luò)環(huán)境，遑論不具備完全民事行為能力的未成年人。由于網(wǎng)絡(luò)世界的虛擬性與實(shí)際的差距，在個(gè)人信息受到侵害之后，未成年人難以舉證證明信息控制者實(shí)施了侵權(quán)行為以及 行為與損害之間的因果關(guān)系，且維權(quán)成本過高。因此，基于未成年人主體的有限理性與權(quán)利救濟(jì)障礙，需要法律對(duì)其加以特殊保護(hù)。

就未成年用戶的個(gè)人信息特殊而言，個(gè)人信息分為個(gè)人敏感信息與個(gè)人一般信息，前者指的是“一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或非歧視性待遇等的個(gè)人信息”，⑥《信息安全技術(shù)個(gè)人信息安全規(guī)范》3.2 個(gè)人敏感信息。包括但不限于個(gè)人身份證號(hào)、個(gè)人生物識(shí)別信息、銀行賬戶、通信記錄、住宿信息、地理位置信息、交易信息等等。而后者則是個(gè)人敏感信息之外的、即使泄露對(duì)個(gè)人影響也比較輕微的、仍然具有可識(shí)別性的個(gè)人信息，故敏感信息與個(gè)人信息的保護(hù)力度及損害后果存在較大差異。至于未成年人的個(gè)人信息屬于何種性質(zhì)，2019年10月24日公布的《信息安全技術(shù)個(gè)人信息安全規(guī)范（征求意見稿）》（下稱《安全規(guī)范》）中將14周歲以下兒童的個(gè)人信息作為敏感信息的一類加以認(rèn)定，但也有學(xué)者主張將所有未成年人的個(gè)人信息作為個(gè)人敏感信息予以特殊保護(hù)。①參見傅宏宇：《我國(guó)未成年人個(gè)人信息保護(hù)制度構(gòu)建問題與解決對(duì)策》，載《蘇州大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）》2018 年第3 期。本文贊同后一觀點(diǎn)，未成年人的個(gè)人信息具有高度敏感性與私密性，泄露之后的損害是長(zhǎng)期的、難以挽回的，且基于主體的脆弱性，其個(gè)人信息被不法利用的可能性也比較大。前述《安全規(guī)范》可能是顧及14周歲以上的未成年人已然具有相應(yīng)的辨別能力，其個(gè)人信息與一般信息無(wú)異，無(wú)需特殊保護(hù)；也可能是出于與《規(guī)定》②《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第二條明確該規(guī)定中的兒童指的是不滿14 周歲的未成年人。保持立法上一致的考量。但無(wú)論基于何種考慮，該《安全規(guī)范》僅僅是一種推薦性國(guó)家標(biāo)準(zhǔn)，不具備法律約束力和強(qiáng)制執(zhí)行力?；谖闯赡曛黧w的特殊性和網(wǎng)絡(luò)的復(fù)雜性，14周歲至18周歲的未成年人依然屬于限制行為能力人，不具備保護(hù)自己的能力和意識(shí)，同樣需要予以特殊對(duì)待。故，所有未成年人的個(gè)人信息宜統(tǒng)一作為敏感信息予以保護(hù)。

據(jù)此，未成年用戶由于其主體的特殊性和個(gè)人信息的特殊性，應(yīng)當(dāng)在其個(gè)人信息保護(hù)上予以特殊規(guī)定。

二、知情-同意規(guī)則的調(diào)整適用

欲收集、使用、保存自然人個(gè)人信息，必須事先將有關(guān)事項(xiàng)告知信息主體并征得其同意，此謂知情-同意規(guī)則。知情-同意規(guī)則是信息控制者收集、使用、保存信息的合法性來(lái)源和正當(dāng)性基礎(chǔ)，③參見鄭佳寧：《知情同意原則在信息采集中的適用與規(guī)則構(gòu)建》，載《東方法學(xué)》2020 年第2 期。未經(jīng)信息主體知情、同意的，屬于非法收集、利用。前已提及，該規(guī)則被我國(guó)立法予以肯定，例如《網(wǎng)絡(luò)安全法》第22條第三款規(guī)定：“網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意。”該規(guī)則實(shí)際上源于“理性人”觀念，該觀念假設(shè)自然人均為完全理性人，能夠依據(jù)現(xiàn)實(shí)情況作出使得自身利益最大化的決策，并據(jù)此承擔(dān)相應(yīng)的后果及責(zé)任。④參見郭春鎮(zhèn)、馬磊：《大數(shù)據(jù)時(shí)代個(gè)人信息問題的回應(yīng)型治理》，載《法制與社會(huì)發(fā)展》2002 年第2 期。此外，人應(yīng)該自治、自決，自然人有權(quán)對(duì)涉及自身人格發(fā)展的情事作出決定，并在此范圍內(nèi)排除他治和他決，誰(shuí)可以接近個(gè)人資料，誰(shuí)就可以收集、使用甚至對(duì)個(gè)人形象予以歪曲。⑤參見齊愛民：《個(gè)人信息保護(hù)法研究》，載《河北法學(xué)》2008 年第4 期。個(gè)人信息作為直接關(guān)系到權(quán)利主體人格尊嚴(yán)的信息，應(yīng)當(dāng)由權(quán)利主體在知悉具體情事的基礎(chǔ)上作出是否同意的決定。

傳統(tǒng)知情-同意規(guī)則針對(duì)的是權(quán)利主體本人，且實(shí)踐中也存在諸多問題。在未成年人個(gè)人信息保護(hù)機(jī)制下，該規(guī)則需要進(jìn)行相應(yīng)的調(diào)整與優(yōu)化，以更好地適應(yīng)和指導(dǎo)保護(hù)未成年用戶個(gè)人信息的實(shí)踐。

（一）知情

自然人作出同意與否的決定之前首先需要知悉有關(guān)情事的具體內(nèi)容。信息控制者應(yīng)當(dāng)明確告知，例如收集、使用、保存?zhèn)€人信息的目的、方式、范圍，個(gè)人信息的存儲(chǔ)地點(diǎn)與存儲(chǔ)期限，個(gè)人信息的安全保障措施（加密措施、匿名化處理等等），信息主體的權(quán)利及實(shí)現(xiàn)方式（例如信息更正權(quán)、刪除權(quán)、撤回同意的途徑、投訴機(jī)制、賬戶注銷的方式），提供個(gè)人信息后可能存在的安全風(fēng)險(xiǎn)以及拒絕同意對(duì)使用該網(wǎng)絡(luò)產(chǎn)品的影響等。⑥《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第10 條規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者征得同意時(shí)，應(yīng)當(dāng)同時(shí)提供拒絕選項(xiàng)，并明確告知以下事項(xiàng)：（一）收集、存儲(chǔ)、使用、轉(zhuǎn)移、披露兒童個(gè)人信息的目的、方式和范圍（二）兒童個(gè)人信息存儲(chǔ)的地點(diǎn)、期限和到期后的處理方式；（三）兒童個(gè)人信息的安全保障措施；（四）拒絕的后果；（五）投訴、舉報(bào)的渠道和方式；（六）更正、刪除兒童個(gè)人信息的途徑和方法；（七）其他應(yīng)當(dāng)告知的事項(xiàng)。前款規(guī)定的告知事項(xiàng)發(fā)生實(shí)質(zhì)性變化的，應(yīng)當(dāng)再次征得兒童監(jiān)護(hù)人的同意?！?/p>

上述告知事項(xiàng)一般通過隱私政策、隱私指引、鏈接等方式進(jìn)行，然而受多種因素的影響，用戶很難知悉隱私政策的真正內(nèi)容。例如，信息控制者基于逐利心理，期望快速取得用戶同意，展示的隱私政策內(nèi)容要么用語(yǔ)過于晦澀難懂、長(zhǎng)篇大論，要么遮蓋重點(diǎn)內(nèi)容、設(shè)置各種誤導(dǎo)性鏈接。①參見鄭佳寧：《知情同意原則在信息采集中的適用與規(guī)則構(gòu)建》，載《東方法學(xué)》2020 年第2 期。缺乏專業(yè)知識(shí)的用戶往往無(wú)法理解其含義，對(duì)于個(gè)人信息被收集的風(fēng)險(xiǎn)與危害后果難以全面知悉，知情權(quán)大打折扣，此種形式上的知情使得原本就極不平等的信息主體與信息控制者之間的天平進(jìn)一步失衡。

為了糾正上述弊端、保障未成年用戶及監(jiān)護(hù)人的知情權(quán)，信息控制者應(yīng)當(dāng)通過合理的方式展示隱私政策的內(nèi)容。首先，可以采用鏈接、彈窗等多種方式、在位置醒目處展示隱私政策，保障隱私政策的易于訪問和閱讀；其次，由于未成年用戶專業(yè)知識(shí)缺乏、認(rèn)知存在局限，無(wú)法理解過于晦澀的內(nèi)容。因此在用語(yǔ)上應(yīng)當(dāng)清晰、簡(jiǎn)潔、凝練、易懂、突出重點(diǎn)，比如明示信息控制者的主體信息、收集個(gè)人信息的類型以及關(guān)聯(lián)的業(yè)務(wù)功能、顯著標(biāo)識(shí)收集敏感信息的內(nèi)容和類型。②參見《App 違法違規(guī)收集使用個(gè)人信息自評(píng)估指南》，該指南用于App 經(jīng)營(yíng)者對(duì)收集個(gè)人信息的情況進(jìn)行自查自糾，評(píng)估內(nèi)容可作為參考。最后，隱私政策實(shí)質(zhì)上是信息控制者向用戶發(fā)出的以收集個(gè)人信息為主要內(nèi)容的要約，當(dāng)用戶點(diǎn)擊“同意”“繼續(xù)”“下一步”“接受”時(shí)即表明其作出相應(yīng)的承諾，雙方之間的合同就此成立。③參見王葉剛：《論網(wǎng)絡(luò)隱私政策的效力》，載《比較法研究》2020 年第1 期。然而合同的締結(jié)建立在雙方地位平等的基礎(chǔ)上，信息控制者與信息主體本就地位和實(shí)力較為懸殊，且實(shí)踐中不少信息控制者采用“使用即同意”的格式條款逃避責(zé)任承擔(dān)，④參見陸青：《個(gè)人信息保護(hù)中“同意”規(guī)則的規(guī)范構(gòu)造》，載《武漢大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）》2019 年第5 期。加劇了雙方之間的不平等，因此為了解決這一問題，信息控制者提供的隱私政策中如果有免責(zé)聲明或者免除自身責(zé)任的格式條款的，應(yīng)當(dāng)視情形認(rèn)定為無(wú)效。

（二）同意

傳統(tǒng)的知情-同意規(guī)則中同意分為兩種：Optin與Opt-out。前者系指信息開始被收集之前，用戶有權(quán)自由作出肯定信息被收集的意思表示，換言之，信息控制者收集信息的前提是用戶的明示同意，未作出同意之前，不得收集；后者指的是信息控制者有權(quán)在信息主體同意之前開展信息收集，在收集過程中，信息主體有權(quán)自主選擇退出，實(shí)質(zhì)上是信息控制者基于信息主體默示的意思表示推定其同意，從而開展收集業(yè)務(wù)。⑤參見鄭佳寧：《知情同意原則在信息采集中的適用與規(guī)則構(gòu)建》，載《東方法學(xué)》2020 年第2 期。兩類同意機(jī)制的運(yùn)作機(jī)理是信息主體的私人自治與信息產(chǎn)業(yè)的快速發(fā)展之間的矛盾，Opt-in強(qiáng)調(diào)用戶的明示同意，更傾向于保障用戶信息利益，而Optout則側(cè)重促進(jìn)信息產(chǎn)業(yè)的發(fā)展，提高信息控制者的運(yùn)營(yíng)效率。

在未成年人個(gè)人信息保護(hù)模式下，不宜以犧牲未成年人人格尊嚴(yán)為代價(jià)來(lái)?yè)Q取謀求信息產(chǎn)業(yè)的利潤(rùn)。前已提及，未成年人的個(gè)人信息應(yīng)當(dāng)作為敏感信息加以特殊保護(hù)，因此宜采用Opt-in的同意機(jī)制，信息收集必須事先經(jīng)過未成年用戶及監(jiān)護(hù)人的明示同意，默示同意無(wú)法作為信息控制者信息收集行為的正當(dāng)性來(lái)源。⑥歐盟在2016 年生效的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation）中在第8 條規(guī)定了處理16 周歲以下兒童的個(gè)人數(shù)據(jù)，需要經(jīng)過監(jiān)護(hù)主體的同意或授權(quán)，第7 條明確了同意的條件，將數(shù)據(jù)主體同意的證明責(zé)任交由控制者承擔(dān)。因此其傾向于采用Opt-in 的同意模式以更好的保護(hù)數(shù)據(jù)主體利益，See Regulation 2016/679 on the protection of natural persons with regard to the processing of personal data and the free movement of such data, Celex No.32016R0679, Article 7, Article 8.美國(guó)的《兒童在線隱私保護(hù)法》也規(guī)定控制者應(yīng)當(dāng)采用有效的方式獲得監(jiān)護(hù)人可驗(yàn)證的同意，來(lái)保護(hù)信息主體利益。然而，前述提及的《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》卻給出了不同看法，其公布的正式版本中刪除了征求意見稿中的“明示”二字，規(guī)定強(qiáng)調(diào)、收集、使用兒童個(gè)人信息的，應(yīng)當(dāng)征得監(jiān)護(hù)人同意?！毒W(wǎng)絡(luò)安全法》等基本法中已經(jīng)規(guī)定需要明示同意，兒童作為特殊主體，更應(yīng)當(dāng)需要明示同意，沒有理由刪除“明示”二字，默示同意的意思表示無(wú)法作為收集兒童個(gè)人信息的合法來(lái)源，因此上述規(guī)定存在疑問。

1．未成年人同意

用戶知悉有關(guān)情事之后需要作出同意與否的決定，因同意系意思表示的一種，其有效作出依賴于主體的完全民事行為能力；未成年人因缺乏民事行為能力或民事行為能力受到限制，因此需要征得監(jiān)護(hù)人同意?！恫莅浮返?3條第二款規(guī)定：“網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者通過網(wǎng)絡(luò)收集、使用、保存未成年人個(gè)人信息的，應(yīng)當(dāng)符合國(guó)家有關(guān)規(guī)定，且經(jīng)過未成年人及其父母或者其他監(jiān)護(hù)人同意”，此前我國(guó)法律文件中并未提及信息收集是否需要征得未成年人本人同意，《草案》此規(guī)定實(shí)屬創(chuàng)新。私以為，之所以需要未成年人本人同意，原因有二。一是《民法典（草案）》第109條明確自然人的人格尊嚴(yán)依法受到保護(hù)，①《民法典（草案）》第109 條規(guī)定：“自然人的人身自由、人格尊嚴(yán)受法律保護(hù)”。未成年人作為自然人，依法也應(yīng)當(dāng)保護(hù)其人格尊嚴(yán)和自由，故其當(dāng)然有權(quán)知悉與自己人格發(fā)展相關(guān)的有關(guān)情事，并作出相應(yīng)決定，這也是私人自治的應(yīng)有之義。立法者限制其民事行為能力是出于保護(hù)其利益不受非法侵害的考量，且是否需要征得其同意與其同意所能夠產(chǎn)生的效力系兩種不同的規(guī)定，需要區(qū)分開來(lái)。二是處于特定年齡階段的未成年人智力、心理已然發(fā)展到一定階段，對(duì)社會(huì)實(shí)踐已經(jīng)產(chǎn)生自己的認(rèn)知，因此從這個(gè)角度來(lái)看也應(yīng)當(dāng)征得其同意。獲得未成年人本人及監(jiān)護(hù)人同意實(shí)質(zhì)上提供了雙重保護(hù)，如果未成年用戶本人不同意收集的，則信息控制者亦無(wú)需再支出額外成本尋求監(jiān)護(hù)人同意；而如果本人點(diǎn)擊了“同意”，那么信息控制者還需征得監(jiān)護(hù)人同意，由監(jiān)護(hù)人作出最終是否同意的決定。

2．監(jiān)護(hù)人同意

監(jiān)護(hù)人同意是保護(hù)未成年人個(gè)人信息的最后一道屏障，是監(jiān)護(hù)人依法履行其監(jiān)護(hù)職責(zé)的體現(xiàn)，因此至關(guān)重要。然而，基于互聯(lián)網(wǎng)的匿名性特點(diǎn)，如何驗(yàn)證監(jiān)護(hù)人身份、取得可核實(shí)的監(jiān)護(hù)人同意是個(gè)難題。無(wú)論是《草案》第63條抑或是傳統(tǒng)的知情-同意機(jī)制，并未闡明取得監(jiān)護(hù)人同意的方式有哪些，學(xué)理上關(guān)于此問題的探討亦少之又少。私以為，該問題的解決可以適當(dāng)參考、借鑒美國(guó)法上的做法。

美國(guó)法上關(guān)于未成年人個(gè)人信息保護(hù)經(jīng)歷了較長(zhǎng)的過程，從1996年國(guó)會(huì)頒布的《通信規(guī)范法》（Communication Decency Act）和《兒童在線保護(hù)法》（Child Online Protect Act）因用語(yǔ)過于含糊而威脅到互聯(lián)網(wǎng)作為自由表達(dá)、教育和政治言論手段的存在，因此被美國(guó)法院宣布違憲；②See Sasha Grandison, The Child Online Privacy Protection Act: The Relationship Between Constitutional Rights and the Protection of Children, 14 University of the District of Columbia Law Review 209,215-217(2011).到后來(lái)國(guó)會(huì)采用迂回辦法解決違憲問題，從限制互聯(lián)網(wǎng)內(nèi)容轉(zhuǎn)為約束向兒童提供服務(wù)的學(xué)校、圖書館及網(wǎng)站服務(wù)商，據(jù)此頒布《兒童網(wǎng)絡(luò)保護(hù)法案》（Children’s Internet Protect Act，簡(jiǎn)稱為“CIPA”）和《兒童在線隱私保護(hù)法》（Children’s Online Privacy Protection Act，簡(jiǎn)稱為“COPPA”），③參見白凈、趙蓮：《中美兒童網(wǎng)絡(luò)隱私保護(hù)研究》，載《新聞界》2014 年第4 期。再到后來(lái)以COPPA作為保護(hù)兒童個(gè)人信息的主要法案，由該法案的執(zhí)行機(jī)構(gòu)美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）發(fā)布指導(dǎo)性文件，④FTC 發(fā)布了《企業(yè)六步合規(guī)計(jì)劃》（A Six-Step Compliance Plan for Your Business）以及《常見問題解答》等文件，《企業(yè)六步合規(guī)計(jì)劃》通過六個(gè)步驟使得信息收集行為合乎規(guī)定：第一步，確定企業(yè)收集的是13 歲以下兒童個(gè)人信息；第二步，企業(yè)需要發(fā)布符合COPPA 的隱私政策；第三步，從兒童那里收集個(gè)人信息之前直接通知父母；第四步，收集兒童個(gè)人信息之前先獲取父母的可驗(yàn)證的同意；第五步，尊重父母對(duì)其孩子個(gè)人信息所享有的持續(xù)性權(quán)利；第六步，通過實(shí)施合理的程序來(lái)保護(hù)兒童個(gè)人信息的安全?！冻Ｒ妴栴}解答》則是FTC 針對(duì)企業(yè)合規(guī)問題作出的解答，可作為企業(yè)收集兒童信息時(shí)的參考。形成了完善、嚴(yán)密的兒童個(gè)人信息保護(hù)體系。

關(guān)于信息控制者如何取得監(jiān)護(hù)人同意，COPPA采取了滑動(dòng)比例法，此種方法相對(duì)靈活，以期在信息控制者的運(yùn)營(yíng)成本與兒童個(gè)人信息保護(hù)之間保持平衡。所謂滑動(dòng)比例法，是指信息控制者為征求監(jiān)護(hù)人同意所作出的努力與其收集、處理兒童個(gè)人信息的范圍及程度成正比。①See Lauren A. Matecki, Update: Coppa Is Ineffective Legislation! Next Steps for Protecting Youth Privacy Rights in the Social Networking Era, 5 Nw. J. L. & Soc.Pol'y 369,377(2010).具言之，如果信息控制者收集信息系為了內(nèi)部使用，則其可以采取相對(duì)容易、高效的方式取得監(jiān)護(hù)人同意，例如通過電子郵件或者電話確認(rèn)父母是否同意。但如果其收集兒童個(gè)人信息是為了與第三方共享或向第三方披露，則可以采用如下幾種相對(duì)復(fù)雜的方式：（1）由監(jiān)護(hù)人簽署同意書之后通過郵寄、傳真、電子掃描等方式發(fā)送給信息控制者；（2）由監(jiān)護(hù)人提供其在電子貨幣交易中使用的信用卡或其他在線支付工具，以此確認(rèn)“同意”的主體；（3）信息控制者配備有經(jīng)過培訓(xùn)的專門人員，監(jiān)護(hù)人可以向?qū)ｉT人員撥打免費(fèi)電話或者進(jìn)行視頻會(huì)議表達(dá)同意；（4）檢查政府發(fā)布的信息數(shù)據(jù)庫(kù)以驗(yàn)證監(jiān)護(hù)人身份及信息，例如使用數(shù)字證書、PIN碼等進(jìn)行核實(shí)。②See 16 C.F.R. § 312.5.

因此，為了防止未成年用戶假冒監(jiān)護(hù)人身份進(jìn)行同意，信息控制者可以參照上述COPPA規(guī)定的方式獲得可驗(yàn)證的監(jiān)護(hù)人同意。應(yīng)當(dāng)認(rèn)為，如果信息控制者所采用的方式是同等條件下、理性經(jīng)營(yíng)者均能夠采取的方式，則即使之后查明該同意并非源自真實(shí)監(jiān)護(hù)人，也應(yīng)當(dāng)能夠減輕或免除其責(zé)任，否則一味追求監(jiān)護(hù)人同意，可能會(huì)極大阻礙網(wǎng)絡(luò)相關(guān)產(chǎn)業(yè)的發(fā)展。至于是否存在監(jiān)護(hù)人同意豁免的情形，《草案》未加以明確，而《規(guī)定》則在公布的正式文本中刪除了征求意見稿中提及的豁免同意的情形，③2019 年6 月國(guó)家網(wǎng)信辦公布的《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定（征求意見稿）》第19 條規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用、轉(zhuǎn)移、披露兒童個(gè)人信息，有以下情形之一的，可以不經(jīng)過兒童監(jiān)護(hù)人的明示同意：（一）為維護(hù)國(guó)家安全或者公共利益；（二）為消除兒童人身或者財(cái)產(chǎn)上的緊急危險(xiǎn)；（三）法律、行政法規(guī)規(guī)定的其他情形”。《個(gè)人信息保護(hù)法》（草案）2017 年版第37 條也規(guī)定：“除非符合下列條件之一，非國(guó)家機(jī)關(guān)信息處理主體不得超出特定目的利用個(gè)人信息：1. 為保護(hù)公共利益；2. 為免除信息主體人身或財(cái)產(chǎn)上的緊迫危險(xiǎn)；3. 防止他人權(quán)益的重大危害而有必要的；4. 信息主體書面同意或授權(quán)；5. 履行法定義務(wù)的。6. 為個(gè)人信息保護(hù)檢查、個(gè)人信息安全、確保個(gè)人信息處理設(shè)備的正常運(yùn)轉(zhuǎn)目的而存儲(chǔ)的個(gè)人信息，僅可依其目的而利用”。美國(guó)的COPPA 也有類似的例外規(guī)定，see 16 C.F.R. §312.5(c).刪除的原因不得而知；但應(yīng)當(dāng)認(rèn)為，特殊情形下，未成年的個(gè)人信息利益應(yīng)當(dāng)讓步于國(guó)家安全和公共利益等法益，在未來(lái)，對(duì)于監(jiān)護(hù)人同意的豁免情形應(yīng)當(dāng)予以規(guī)定。

三、其他特殊保護(hù)機(jī)制

信息控制者欲合法收集、處理未成年用戶的個(gè)人信息，需經(jīng)過三個(gè)階段：同意之前、獲得同意、同意之后。知情-同意規(guī)則僅僅屬于中間獲得同意階段，由于獲得監(jiān)護(hù)人同意的成本較高，且需要耗費(fèi)大量時(shí)間，與互聯(lián)網(wǎng)發(fā)展的高效、快速不相容。因此，也應(yīng)當(dāng)從同意之前與同意之后兩個(gè)階段入手，設(shè)立特殊保護(hù)機(jī)制，以創(chuàng)建連貫、完善的未成年用戶個(gè)人信息保護(hù)體系。

（一）同意前的保護(hù)機(jī)制

同意之前的保護(hù)義務(wù)實(shí)質(zhì)上根源于安全保障義務(wù)。傳統(tǒng)的安全保障義務(wù)針對(duì)的是物理空間中從事服務(wù)性行業(yè)或社會(huì)活動(dòng)的經(jīng)營(yíng)者、管理者、組織者，主張開啟、控制某類空間的經(jīng)營(yíng)者和管理者應(yīng)當(dāng)對(duì)進(jìn)入該空間的其他人的合法權(quán)益加以保護(hù)。表面上看，傳統(tǒng)的安全保障義務(wù)并不適用于網(wǎng)絡(luò)空間，但隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)空間已然脫離原始意義上的私密、封閉的特性，網(wǎng)絡(luò)空間中也不乏各類公共場(chǎng)所和大型活動(dòng)，其中發(fā)生的侵害有形的財(cái)產(chǎn)權(quán)與無(wú)形的人格權(quán)情形均不在少數(shù)，④比較典型的如盜竊網(wǎng)游用戶的虛擬財(cái)產(chǎn)加以出售、網(wǎng)友對(duì)特定主體的“人肉搜索”行為等，參見劉文杰：《網(wǎng)絡(luò)服務(wù)提供者的安全保障義務(wù)》，載《中外法學(xué)》2012 年第2 期。因此傳統(tǒng)的安全保障義務(wù)在數(shù)據(jù)時(shí)代下，適用范圍已經(jīng)延伸至網(wǎng)絡(luò)空間。此外，基于危險(xiǎn)控制、信賴?yán)?、?jié)約成本、風(fēng)險(xiǎn)與收益相一致的考量，信息控制者有義務(wù)也有能力對(duì)進(jìn)入其控制、管理范圍內(nèi)的未成年用戶的個(gè)人信息加以保護(hù)。⑤參見王思源：《論網(wǎng)絡(luò)運(yùn)營(yíng)者的安全保障義務(wù)》，載《當(dāng)代法學(xué)》2017 年第1 期。

《草案》第63條規(guī)定了信息控制者針對(duì)未成年用戶的提示和保護(hù)性限制的義務(wù)，是獲得同意之前信息控制者所負(fù)有的義務(wù)，是安全保障義務(wù)的內(nèi)容。

為了凈化網(wǎng)絡(luò)環(huán)境，我國(guó)目前已經(jīng)逐步從電信增值服務(wù)提供商、網(wǎng)絡(luò)服務(wù)提供者實(shí)名制轉(zhuǎn)變?yōu)槿W(wǎng)用戶實(shí)名制，①參見張新寶：《從隱私到個(gè)人信息：利益再衡量的理論與制度安排》，載《中國(guó)法學(xué)》2015 年第3 期。換言之，網(wǎng)絡(luò)用戶須進(jìn)行實(shí)名制注冊(cè)及登錄方可使用網(wǎng)絡(luò)產(chǎn)品、享受網(wǎng)絡(luò)服務(wù)，未成年人也不例外。實(shí)名制通常不僅要求提供姓名，還需要提供出生日期、身份證號(hào)，故借助實(shí)名制可以有效識(shí)別出未成年用戶。為了降低承擔(dān)責(zé)任的風(fēng)險(xiǎn)同時(shí)防止未成年用戶個(gè)人信息受到侵害，信息控制者應(yīng)當(dāng)對(duì)識(shí)別出的未成年用戶進(jìn)行有效提示，提示內(nèi)容囊括個(gè)人信息的類型、個(gè)人信息可能受侵害的方式以及受侵害之后的嚴(yán)重后果；提示方式可采用提示條、提示音、彈窗、文字說(shuō)明等，②《信息安全技術(shù)個(gè)人信息安全規(guī)范》中規(guī)定對(duì)于基本業(yè)務(wù)功能的告知，可以在開啟之前通過彈窗、文字說(shuō)明、提示音、提示條等形式進(jìn)行。信息控制者對(duì)未成年人進(jìn)行個(gè)人信息保護(hù)的提示時(shí)，也可采用上述形式。用語(yǔ)需要簡(jiǎn)潔、明確，以幫助用戶準(zhǔn)確理解提示含義；提示目的是為了向未成年用戶宣傳個(gè)人信息保護(hù)的重要性、強(qiáng)化其在網(wǎng)絡(luò)世界中保護(hù)個(gè)人信息的意識(shí)。提醒未成年人保護(hù)其個(gè)人信息能夠有效降低未成年用戶個(gè)人信息被侵害的風(fēng)險(xiǎn)。

保護(hù)性限制也是《草案》規(guī)定的特殊保護(hù)機(jī)制的一種，在征得未成年人及監(jiān)護(hù)人的同意之前，應(yīng)當(dāng)對(duì)用戶的權(quán)限及使用進(jìn)行相應(yīng)的限制。在保護(hù)性限制下，未成年用戶無(wú)法使用或者只能有限使用某些需要提供個(gè)人信息的業(yè)務(wù)或功能，近年來(lái)各大視頻網(wǎng)站和直播平臺(tái)推出的青少年模式就是例證。③比如著名短視頻應(yīng)用抖音就設(shè)置了青少年模式，由專門團(tuán)隊(duì)精選一批教育類、知識(shí)類的內(nèi)容展示在首頁(yè)，該模式下無(wú)法進(jìn)行充值、打賞等操作，并且每日晚22時(shí)至次日6 時(shí)無(wú)法使用抖音；開啟之后，自動(dòng)開啟時(shí)間鎖，單日使用時(shí)長(zhǎng)超過默認(rèn)設(shè)置40 分鐘的，需輸入密碼方可繼續(xù)使用。不僅是抖音，騰訊視頻、嗶哩嗶哩等其他視頻、社交應(yīng)用均上線了青少年模式。在青少年模式下，用戶只能夠?yàn)g覽由團(tuán)隊(duì)精選出的適合青少年觀看的、以教育為主的內(nèi)容，打賞、充值、提現(xiàn)等功能則無(wú)法使用，盡管該模式推出的本意是預(yù)防青少年不當(dāng)沉迷網(wǎng)絡(luò)，但不可否認(rèn)，其同時(shí)也能夠有效保護(hù)未成年用戶及家庭賬戶的銀行卡、信用卡等個(gè)人信息，防止不當(dāng)泄露或遭到濫用。

（二）同意后的保護(hù)機(jī)制

如前所述，信息控制者通過各種方式將隱私政策的內(nèi)容告知未成年用戶及監(jiān)護(hù)人，由其決定是否同意。在其同意之后，信息控制者便取得合法性來(lái)源，可以收集、使用、保存未成年用戶的個(gè)人信息；拒絕同意的，不得為收集行為，也不得泄露個(gè)人信息。信息控制者征得同意之后，可以從如下幾個(gè)方面規(guī)范收集行為，對(duì)個(gè)人信息進(jìn)行特殊保護(hù)。

首先，《民法典（草案）》第1035條規(guī)定，在收集、處理自然人個(gè)人信息時(shí)，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則。④《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第7 條也規(guī)定了收集兒童個(gè)人信息應(yīng)當(dāng)遵循的原則：“網(wǎng)絡(luò)運(yùn)營(yíng)者收集、存儲(chǔ)、使用、轉(zhuǎn)移、披露兒童個(gè)人信息的，應(yīng)當(dāng)遵循正當(dāng)必要、知情同意、目的明確、安全保障、依法利用的原則”，是對(duì)合法、正當(dāng)、必要原則的細(xì)化，下文也會(huì)提及，因此在此不再贅述。因此，在收集、處理未成年用戶的個(gè)人信息時(shí)也需要遵循該三類原則。合法原則是指收集、處理的行為應(yīng)當(dāng)符合法律規(guī)定，不得非法收集、使用、加工、傳輸，也不得非法買賣、提供、公開、披露他人個(gè)人信息。⑤《民法典（草案）》第110 條規(guī)定：“自然人的個(gè)人信息受法律保護(hù)。任何組織或者個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息?！闭?dāng)原則是指收集、處理個(gè)人信息的方式與目的正當(dāng)，宜采取合理方式進(jìn)行收集，同時(shí)收集、處理的目的應(yīng)當(dāng)明確、清晰、具體，⑥《信息安全技術(shù)個(gè)人信息安全規(guī)范》4：個(gè)人信息安全基本原則。不得含糊其辭。必要原則系指收集、處理的信息應(yīng)當(dāng)在滿足信息主體同意的目的范圍內(nèi)所需的最少信息類型和數(shù)量，獲取的信息量以滿足使用目的為必要，比如當(dāng)提供某種網(wǎng)絡(luò)產(chǎn)品或服務(wù)時(shí)可以使用也可以不使用，則應(yīng)當(dāng)不使用個(gè)人信息；必須使用時(shí)，應(yīng)當(dāng)盡量少使用。①參見王利明：《論個(gè)人信息權(quán)在人格權(quán)法中的地位》，載《蘇州大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）》2012 年第6 期。此外，《民法典（草案）》第1038條還規(guī)定了信息控制者在收集信息之后也負(fù)有相應(yīng)的安全保障義務(wù)，采用技術(shù)措施保障信息安全，防止泄露、丟失；發(fā)生泄露、丟失的應(yīng)當(dāng)及時(shí)采取補(bǔ)救措施，防止損害的進(jìn)一步擴(kuò)大。

其次，信息控制者還應(yīng)當(dāng)嚴(yán)格遵循隱私政策中約定的內(nèi)容和范圍進(jìn)行個(gè)人信息的收集、使用、保存。前已述及，隱私政策系要約，用戶及監(jiān)護(hù)人作出的同意系承諾，雙方之間成立以隱私政策為內(nèi)容的合同法上的權(quán)利義務(wù)關(guān)系。信息控制者需要按照約定的方式和范圍來(lái)收集信息，而用戶在作出同意之時(shí)也已經(jīng)對(duì)控制者依照約定內(nèi)容收集信息產(chǎn)生了合理信賴與期待，因此信息控制者不宜超范圍收集、超目的使用信息主體的個(gè)人信息；確有必要超出的，需要重新獲得監(jiān)護(hù)人及本人的同意，如果其拒絕同意，則信息控制者不再享有合法收集的權(quán)利。

再次，即使獲得了信息主體及監(jiān)護(hù)人同意，信息控制者收集、處理信息的行為也不得違背誠(chéng)實(shí)信用與公序良俗、不得損害國(guó)家利益。因社群性的強(qiáng)化，個(gè)人數(shù)據(jù)的收集并非僅關(guān)乎信息主體的單個(gè)信息，而是可能涉及到其他主體的信息從而形成數(shù)據(jù)集，這是大數(shù)據(jù)技術(shù)的本質(zhì)及應(yīng)用的必然結(jié)果，②參見姚佳：《知情同意原則抑或信賴授權(quán)原則——兼論數(shù)字時(shí)代的信用重建》，載《暨南學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）》2020 年第2 期。因此收集信息不得以損害他人信息利益為代價(jià)，不得違背誠(chéng)實(shí)信用與公序良俗。此外有些信息屬于敏感數(shù)據(jù)，關(guān)乎國(guó)家安全，比如公民的種族、民族、宗教信仰、政治立場(chǎng)等，收集時(shí)應(yīng)當(dāng)注意保護(hù)國(guó)家利益。

最后，《草案》第67條規(guī)定：“網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng)當(dāng)結(jié)合本單位提供的未成年人相關(guān)服務(wù)，建立便捷的舉報(bào)渠道，通過顯著方式公示舉報(bào)途徑和舉報(bào)方法，配備與服務(wù)規(guī)模相適應(yīng)的專職人員，及時(shí)受理并處置相關(guān)舉報(bào)”?！兑?guī)定》第8條也明確網(wǎng)絡(luò)經(jīng)營(yíng)者應(yīng)當(dāng)指定專人負(fù)責(zé)兒童個(gè)人信息保護(hù)。因此對(duì)于未成年用戶個(gè)人信息的收集，信息控制者應(yīng)當(dāng)配備專職人員，并明確舉報(bào)渠道，以期及時(shí)、有效的救濟(jì)權(quán)利。此外，信息控制者對(duì)專職人員應(yīng)當(dāng)賦以最小授權(quán)原則，嚴(yán)格設(shè)定訪問權(quán)限和內(nèi)容，控制知悉范圍，防止未成年用戶個(gè)人信息被違法復(fù)制、下載。③《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第15 條規(guī)定：“網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)其工作人員應(yīng)當(dāng)以最小授權(quán)為原則，嚴(yán)格設(shè)定信息訪問權(quán)限，控制兒童個(gè)人信息知悉范圍。工作人員訪問兒童個(gè)人信息的，應(yīng)當(dāng)經(jīng)過兒童個(gè)人信息保護(hù)負(fù)責(zé)人或者其授權(quán)的管理人員審批，記錄訪問情況，并采取技術(shù)措施，避免違法復(fù)制、下載兒童個(gè)人信息?！?/p>

四、《草案》關(guān)于未成年人個(gè)人信息保護(hù)規(guī)定的不足及完善

“舉事必循法以動(dòng)，變法者因時(shí)而化?！蔽闯赡耆嗽诰W(wǎng)絡(luò)上主要面臨幾大威脅：網(wǎng)絡(luò)沉迷、個(gè)人信息泄露、網(wǎng)絡(luò)暴力與網(wǎng)絡(luò)欺凌。本次修訂的《未成年人保護(hù)法》針對(duì)上述威脅作出了回應(yīng)，增改刪并舉，強(qiáng)化問題導(dǎo)向，④新華時(shí)評(píng)：《增改刪之間盡顯未成年人保護(hù)要義》，載中國(guó)人大網(wǎng)，http：//www.npc.gov.cn/npc/c30834/20 1910/738809993e114aedac15cefed8f3e2e2.shtml，2020 年4 月4 日訪問。圍繞社會(huì)關(guān)切的未成年人議題進(jìn)行一一規(guī)定，值得肯定。同時(shí)，也應(yīng)當(dāng)看到《草案》中關(guān)于未成年人個(gè)人信息保護(hù)的規(guī)定尚有些許不足，存在進(jìn)步的空間。

首先，63條之規(guī)定確實(shí)可以在取得監(jiān)護(hù)人同意之后對(duì)未成年人個(gè)人信息進(jìn)行有效保護(hù)，然而其無(wú)法解決未成年人偽造年齡、謊稱其為成年人進(jìn)行網(wǎng)站注冊(cè)、登錄的行為。事實(shí)上，這也是美國(guó)COPPA法案飽受詬病的原因之一，F(xiàn)TC此后針對(duì)該問題也作出了努力：認(rèn)為信息控制者應(yīng)當(dāng)注意合理設(shè)計(jì)年齡屏幕，在邀請(qǐng)用戶創(chuàng)建ID或提供個(gè)人信息時(shí)，應(yīng)當(dāng)以中立的方式詢問年齡信息，比如允許用戶自由、準(zhǔn)確地輸入出生日期，故應(yīng)在下拉菜單中列出所有日期，包括13周歲以下的出生日期，以此避免鼓勵(lì)兒童使用虛假年齡。⑤FTC. Complying with COPPA： Frequently Asked Questions, in FTC website, https：//www.ftc.gov/tipsadvice/business-center/guidance/complying-coppafrequently-asked-questions，2020 年4 月2 日訪問。然而，該方法依然無(wú)法從根本上解決偽造年齡的問題，在當(dāng)前的數(shù)據(jù)時(shí)代下，可以借助人臉識(shí)別、指紋驗(yàn)證等方式識(shí)別未成年人和監(jiān)護(hù)人。

其次，《草案》63條并未限縮或者定義信息控制者的范圍，換言之，所有的信息控制者均需進(jìn)行自我審查，以避免不當(dāng)收集和處理未成年人的個(gè)人信息，否則存在承擔(dān)民事及行政責(zé)任的風(fēng)險(xiǎn)。但此種規(guī)定過于籠統(tǒng)，缺乏針對(duì)性，反而不易引起信息控制者的重視；一刀切的規(guī)定也無(wú)形中提高了運(yùn)營(yíng)商的運(yùn)營(yíng)成本、降低了運(yùn)營(yíng)效率。因此，應(yīng)當(dāng)確立明確、具體的分類方法對(duì)各類信息控制者進(jìn)行劃分，例如COPPA在確定網(wǎng)站或在線服務(wù)是否針對(duì)兒童時(shí)，就依據(jù)該網(wǎng)站或在線服務(wù)的主題、內(nèi)容、使用的語(yǔ)言以及是否使用游戲、木偶、動(dòng)畫角色等功能，對(duì)網(wǎng)站進(jìn)行定位。如果目標(biāo)受眾系兒童，則該企業(yè)就應(yīng)當(dāng)滿足COPPA的合規(guī)性要求。①See Joseph A. Zavaletta, Coppa, Kids, Cookies &Chat Rooms: We're from the Government and We're Here to Protect Your Children, 17 Santa Clara Computer &High Tech. L.J. 249,256(2001).

再次，《草案》僅賦予了信息控制者的信息保護(hù)義務(wù)。但是，未成年人的個(gè)人信息保護(hù)不僅僅在于信息控制者，還涉及到家庭學(xué)校、政府部門等主體。例如監(jiān)護(hù)人應(yīng)當(dāng)依法履行監(jiān)護(hù)職責(zé)，有效保護(hù)未成年人的個(gè)人信息，防止泄露；學(xué)校也應(yīng)當(dāng)與監(jiān)護(hù)人相互協(xié)作、配合，定期開展網(wǎng)絡(luò)安全和個(gè)人信息的安全教育，加強(qiáng)個(gè)人信息保護(hù)宣傳，提高未成年人自我保護(hù)意識(shí)；各級(jí)政府部門應(yīng)當(dāng)各司其職，明確主要監(jiān)管部門，統(tǒng)一監(jiān)管標(biāo)準(zhǔn)。未成年人個(gè)人信息保護(hù)關(guān)涉多方利益主體，《草案》63條僅規(guī)定了信息控制者的義務(wù)，未免過于單薄。②《未成年人保護(hù)法（修訂草案）》除94 條規(guī)定了任何人和組織不得泄露涉案未成年人及未成年被害人的個(gè)人信息之外，在家庭保護(hù)、學(xué)校保護(hù)與政府保護(hù)章中對(duì)于監(jiān)護(hù)人、學(xué)校及政府部門保護(hù)一般未成年用戶個(gè)人信息的義務(wù)并未提及。

最后，《草案》63條盡管規(guī)定了信息控制者保護(hù)未成年人個(gè)人信息的義務(wù)，但對(duì)于違反該義務(wù)所需要承擔(dān)的責(zé)任卻是空白，責(zé)任承擔(dān)是促使義務(wù)主體及時(shí)履行義務(wù)的有效手段，《草案》中未規(guī)定相關(guān)責(zé)任承擔(dān)，則信息保護(hù)義務(wù)的規(guī)定等同虛設(shè)，對(duì)信息控制者的約束力較小。盡管在《網(wǎng)絡(luò)安全法》第64條和《刑法修正案九》中規(guī)定了相應(yīng)的行政責(zé)任和刑事責(zé)任，但關(guān)于個(gè)人信息受侵害的民事責(zé)任我國(guó)立法中并無(wú)規(guī)定。民事責(zé)任是救濟(jì)受害人的重要途徑，且未成年人的個(gè)人信息保護(hù)具有特殊性，應(yīng)當(dāng)在《草案》中加以特別規(guī)定，凸顯重要性的同時(shí)也能夠震懾信息控制主體保護(hù)個(gè)人信息，降低未成年人信息受侵害的風(fēng)險(xiǎn)。

五、結(jié)語(yǔ)

傳統(tǒng)的知情-同意規(guī)則淵源于“理性人”觀念，以實(shí)現(xiàn)個(gè)人自治、維護(hù)人格尊嚴(yán)。知情-同意規(guī)則在保護(hù)未成年人個(gè)人信息這個(gè)特殊問題上應(yīng)當(dāng)進(jìn)行適當(dāng)調(diào)整，糾正現(xiàn)存弊端。知情作為有效同意的前置要件，考慮到未成年用戶理解和認(rèn)知的局限，應(yīng)當(dāng)在隱私政策的用語(yǔ)、展現(xiàn)方式以及條款的合理性上進(jìn)行優(yōu)化，保障未成年用戶準(zhǔn)確理解隱私政策的含義。因未成年用戶的個(gè)人信息屬于敏感信息，因此采用Opt-in的同意模式，只有用戶本人及監(jiān)護(hù)人明示同意之后，信息控制者方可收集信息。

除傳統(tǒng)的知情-同意規(guī)則之外，還應(yīng)當(dāng)從同意之前和同意之后兩個(gè)階段設(shè)立特殊保護(hù)機(jī)制，《草案》63條規(guī)定的提示與保護(hù)性限制義務(wù)屬于同意之前的保護(hù)機(jī)制；在征得同意之后、不違背誠(chéng)實(shí)信用與公序良俗、不損及國(guó)家利益的前提下，信息控制者不僅需要滿足有關(guān)規(guī)定的要求，還應(yīng)當(dāng)按照雙方約定內(nèi)容進(jìn)行信息的收集、處理，不得超范圍收集，也不得超目的使用；同時(shí)設(shè)立專職人員負(fù)責(zé)信息收集，并對(duì)其采用最小授權(quán)原則。未成年人個(gè)人信息保護(hù)機(jī)制在傳統(tǒng)的知情-同意規(guī)則的基礎(chǔ)上，通過《草案》第63條進(jìn)一步完善，對(duì)于《草案》存在的不足，可適當(dāng)借鑒美國(guó)COPPA的有關(guān)規(guī)定， 在未來(lái)予以修正。