■ 蔡一博 吳 濤

(華東政法大學(xué) 法律學(xué)院，上海 201620；上海司法智庫學(xué)會，上海 200031)

在科技發(fā)展與數(shù)據(jù)洪流面前，對未成年人(1)聯(lián)合國《兒童權(quán)利公約》第1條規(guī)定：“本公約之目的，兒童系指18歲以下的任何人，除非對其適用之法律規(guī)定的成年年齡低于18歲?！蔽覈段闯赡耆吮Ｗo(hù)法》規(guī)定：“本法所稱未成年人是指未滿18周歲的公民?！辫b于年齡界定范圍具有一致性，只是表述習(xí)慣不同，并且本文將專門對年齡界限進(jìn)行闡述，因此本文所指“未成年人”與“兒童”同義。個人信息進(jìn)行專門保護(hù)是數(shù)字經(jīng)濟(jì)時代的一項(xiàng)世界性議題[1]，更是承載了成年父母對未成年子女關(guān)愛的普遍愿望。有鑒于此，本文將立足于實(shí)證研究，從未成年人個人信息的特殊屬性出發(fā)，圍繞我國未成年人個人信息法律保護(hù)的實(shí)踐困境展開討論，補(bǔ)強(qiáng)理論基礎(chǔ)，并結(jié)合《中華人民共和國未成年人保護(hù)法》(以下簡稱《未成年人保護(hù)法》)最新立法精神，通過明確《中華人民共和國民法典》(以下簡稱《民法典》)第1035條“監(jiān)護(hù)人同意”對未成年人個人信息保護(hù)的適用方式，有針對性地強(qiáng)化未成年人個人信息保護(hù)的制度建設(shè)。

一、問題提出

我國在未成年人個人信息保護(hù)的理論基礎(chǔ)、制度實(shí)踐方面沒有脫離以歐美為代表的國際通行做法[2]，但制度建設(shè)剛剛起步，規(guī)則設(shè)計過于籠統(tǒng)，體系性和可操作性并不理想。目前，我國關(guān)于未成年人個人信息保護(hù)采取的是分散立法模式，存在法律規(guī)范碎片化、尚未體系化建構(gòu)等問題。從微觀上看，現(xiàn)行立法主要從隱私的角度在特定法律領(lǐng)域?qū)ξ闯赡耆诉M(jìn)行專門保護(hù)。例如，刑事司法領(lǐng)域的多部規(guī)范對司法活動中未成年人個人資料、案卷材料等信息載體的保護(hù)做出了嚴(yán)格規(guī)定。請求權(quán)基礎(chǔ)涉及多部法律，相互之間可能存在競合關(guān)系，且專門領(lǐng)域的法律規(guī)范較多，缺乏統(tǒng)合性立法，正是這些原因造成了準(zhǔn)確適用法律的困難?！睹穹ǖ洹贰段闯赡耆吮Ｗo(hù)法》《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》均對監(jiān)護(hù)人同意和告知說明義務(wù)進(jìn)行了規(guī)定，但未明確取得監(jiān)護(hù)人同意的可驗(yàn)證方式，為實(shí)踐中確定監(jiān)護(hù)人知情同意的標(biāo)準(zhǔn)及行為效力帶來了困境，而這一問題關(guān)乎未成年人個人信息保護(hù)的力度與效果。因此，細(xì)化知情同意機(jī)制的法律適用，避免其在法律上和技術(shù)上欠缺實(shí)操性是有效保護(hù)未成年人合法權(quán)益的關(guān)鍵。當(dāng)前，我國在未成年人個人信息保護(hù)方面主要存在以下問題。

第一，身份識別機(jī)制缺乏實(shí)效性。為了識別未成年人，實(shí)踐中產(chǎn)生了額外的信息收集需要，但濫用身份識別規(guī)定可能造成未成年人個人信息的過度收集。如何妥善有效地識別未成年用戶的真實(shí)年齡成為實(shí)踐中的關(guān)鍵問題。目前，國家層面的規(guī)范逐步要求信息業(yè)者識別用戶身份，各類涉網(wǎng)機(jī)構(gòu)的規(guī)范性文件也陸續(xù)要求運(yùn)營商采取用戶畫像、生物識別等新技術(shù)落實(shí)賬戶實(shí)名制，但各個行業(yè)規(guī)范標(biāo)準(zhǔn)、尺度要求不同。自2007年游戲行業(yè)協(xié)會確立“網(wǎng)絡(luò)游戲防沉迷”機(jī)制，要求網(wǎng)游運(yùn)營商驗(yàn)證用戶年齡信息，通過防沉迷系統(tǒng)識別并限制未成年人用戶后，游戲、金融等特定領(lǐng)域也相繼確立了嚴(yán)格的未成年人實(shí)名認(rèn)證和識別標(biāo)準(zhǔn)，但是社交媒體、交友平臺、活動平臺、資訊和學(xué)習(xí)平臺等領(lǐng)域的標(biāo)準(zhǔn)則相對寬松。受商業(yè)利益的驅(qū)動，一般情況下由于缺乏主動識別未成年人的制度性激勵，即使隱私政策等文件規(guī)定了未成年人保護(hù)的內(nèi)容，但網(wǎng)絡(luò)運(yùn)營者往往被動依賴于用戶主動提供的注冊信息來識別其年齡，后續(xù)使用過程中也不會采取其他手段來驗(yàn)證用戶的真實(shí)年齡，使得針對未成年人的身份識別機(jī)制形同虛設(shè)。

第二，同意的效力界定不清。未成年人個人信息保護(hù)的規(guī)范性條款、政策性規(guī)定散落在民事立法、行政法規(guī)、部門規(guī)章及行業(yè)規(guī)定之中，制度設(shè)計交叉重疊，內(nèi)容過于原則且缺乏具體的操作規(guī)范，特別是知情同意的界定等需要予以完善。目前對于人格權(quán)的理解已經(jīng)從被動的“事后救濟(jì)”發(fā)展到主動的“自主決定”，但缺乏保障未成年人及其監(jiān)護(hù)人有效實(shí)現(xiàn)其權(quán)益的具體規(guī)范。此外，目前我國欠缺司法的重要案例，監(jiān)護(hù)人同意規(guī)則的應(yīng)用方式不明確，相關(guān)司法判例仍然停留在隱私權(quán)的司法保護(hù)范式。

第三，缺乏統(tǒng)一的技術(shù)標(biāo)準(zhǔn)。國家標(biāo)準(zhǔn)GB/T35273-2020《信息安全技術(shù) 個人信息安全規(guī)范》(以下簡稱《個人信息安全規(guī)范》)對未成年人個人信息的收集做出了技術(shù)性標(biāo)準(zhǔn)的限定，為網(wǎng)絡(luò)運(yùn)營者制定隱私政策及完善內(nèi)控提供了指引。但是該規(guī)范并無強(qiáng)制效力，而且對于不同行業(yè)背景下的商業(yè)行為沒有進(jìn)行具體區(qū)分，實(shí)際應(yīng)用效果欠佳。

二、未成年人個人信息保護(hù)的法益分析

未成年人個人信息保護(hù)遵從個人信息保護(hù)的一般性原理，將權(quán)利人同意作為信息處理的正當(dāng)性基礎(chǔ)之一。同意可能構(gòu)成契約關(guān)系以及交易行為的給付內(nèi)容(積極控制)，并在一定程度內(nèi)實(shí)現(xiàn)對民事不法性的排除(消極控制)。解決未成年人個人信息保護(hù)難的癥結(jié)，應(yīng)先就保護(hù)的客體屬性進(jìn)行認(rèn)知識別，再針對特殊客體適用特別保護(hù)規(guī)范，明確相關(guān)主體的特殊保護(hù)義務(wù)。同時在規(guī)則設(shè)計時，應(yīng)根據(jù)網(wǎng)絡(luò)時代下的利益衡量原理，就信息共享制度進(jìn)行體系性思考。

(一)監(jiān)護(hù)人同意制度的源頭與正當(dāng)性基礎(chǔ)

未成年人個人信息同時承載著子女本身利益和父母利益，監(jiān)護(hù)人制度與親權(quán)制度下的同意機(jī)制既有聯(lián)系又有區(qū)別?，F(xiàn)實(shí)生活中，未成年人受制于認(rèn)知能力和自我保護(hù)意識，面對具有多發(fā)性、隱蔽性、因果關(guān)系模糊性等特征的信息侵權(quán)行為，勢必需要監(jiān)護(hù)人或父母的代位保護(hù)和幫助。一方面，監(jiān)護(hù)人基于監(jiān)護(hù)關(guān)系，對未成年人個人信息具有知情權(quán)，并在對外行為方面具有代理權(quán)。監(jiān)護(hù)人的知情權(quán)和代理權(quán)在目的和行使方式上存在一定限制，服務(wù)于未成年人權(quán)益保護(hù)，通過彌補(bǔ)未成年人認(rèn)知能力、行為能力等方面的缺陷，為其做出更符合自身利益的選擇和創(chuàng)造更有利的成長環(huán)境[3]。另一方面，對父母而言，子女的個人信息在泄露后可能導(dǎo)致子女處于危險狀態(tài)的結(jié)果，使其陷入不安和痛苦。父母基于血緣關(guān)系對子女享有撫養(yǎng)權(quán)利，即享有作為身份權(quán)的親權(quán)[4]。親權(quán)制度更多體現(xiàn)的是倫理秩序，即使國家對父母的這項(xiàng)人權(quán)和基本權(quán)利進(jìn)行干預(yù)，也必須適用“比例原則”，避免對親子關(guān)系造成損害(2)Gnahoré v . France and Johansen v . Norway, Reports of Judgments and Decisions 1996-III,p.1008.?！坝H權(quán)”作為“親屬權(quán)”的關(guān)鍵內(nèi)容，“權(quán)”存在的基礎(chǔ)為“親”的身份，其含義經(jīng)歷了從“權(quán)力”到“權(quán)利”再到“義務(wù)性的權(quán)利”的歷史變遷。而監(jiān)護(hù)作為一項(xiàng)“監(jiān)督、照護(hù)”的義務(wù)，不與身份緊密連接，以責(zé)任內(nèi)容進(jìn)行限定，內(nèi)容遜色于親權(quán)[5]。未成年人個人信息保護(hù)不僅關(guān)涉未成年人的切身利益，也關(guān)乎父母的親權(quán)利益。

監(jiān)護(hù)人同意制度具備堅實(shí)的法律理論和規(guī)范基礎(chǔ)?！睹穹ǖ洹返?035條規(guī)定，處理未成年人個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并應(yīng)征得其監(jiān)護(hù)人同意。該款條文有三個重要的理論基礎(chǔ)。(1)《民法典》確立了未成年人最大利益原則。未成年人個人信息保護(hù)面臨著復(fù)雜的社會環(huán)境，為了在實(shí)踐中更好地貫徹最大利益的保護(hù)要求，需要完善監(jiān)護(hù)人同意制度的具體規(guī)則。(2)未成年人的理性瑕疵問題較為明顯，年齡限制了其認(rèn)知和行為能力，故法律保護(hù)未成年人的主要方式就是限制其自主性，由監(jiān)護(hù)人或家長替代未成年人做出控制行為[6]。(3)實(shí)現(xiàn)個人信息自決的核心是實(shí)現(xiàn)知情和同意兩項(xiàng)積極權(quán)能。未成年人民事行為能力不足，對網(wǎng)絡(luò)隱私條款的理解不及成年群體，知情同意的責(zé)任主體、適用對象、個人信息的可識別性和敏感性等問題又具有相當(dāng)?shù)奶厥庑浴Ｒ虼?，父母替代子女行使知情和同意?quán)成為未成年人個人信息保護(hù)的關(guān)鍵所在。未成年人個人信息保護(hù)是根植于信息自決基礎(chǔ)上的權(quán)利保護(hù)，并是由父母替代決定行使知情和同意權(quán)能的一種法律范式。

(二)法益保護(hù)的年齡界分

在確定特殊保護(hù)的制度規(guī)范時，需要采用成本收益分析的方法，綜合考慮經(jīng)濟(jì)社會的各類價值，選擇最高效、最可行的制度范式。“什么年齡的孩子可以同意處理其自身的數(shù)據(jù)”，這個問題被歐洲的數(shù)據(jù)法專家戲稱為“百萬歐元問題”。有專家指出：“為了確定獲得權(quán)利或失去保護(hù)的年齡，需要在未成年人作為權(quán)利主體的信息自決利益與國家特別保護(hù)的公共利益之間取得平衡，必須尊重未成年人不斷發(fā)展的能力?！盵7]目前，如何確定未成年人個人信息特殊保護(hù)的年齡分界線尚無定論。例如，美國《兒童網(wǎng)路隱私保護(hù)法》(Children's Online Privacy Protection Act，以下簡稱COPPA)認(rèn)定為13歲；歐盟《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，以下簡稱GDPR)授權(quán)各成員國自行確定需要特別保護(hù)的未成年人年齡，各國設(shè)置為13-16歲不等。

具體到實(shí)踐中，年齡界限設(shè)置的意義在于確定特殊保護(hù)的范圍。特殊保護(hù)的具體體現(xiàn)形式為限制性保護(hù)，故保護(hù)對象的信息自決權(quán)受限于監(jiān)護(hù)人同意制度等特殊規(guī)制。確定未成年人個人信息特殊保護(hù)的年齡界限應(yīng)當(dāng)綜合考慮立法設(shè)計的體系性、民事行為能力的規(guī)定、敏感信息的區(qū)分難度、未成年人個人信息保護(hù)的實(shí)踐困境等多方面因素。我國《個人信息安全規(guī)范》中將14周歲以下的未成年人個人信息列為“個人敏感信息”，雖然《個人信息安全規(guī)范》屬于推薦性國家標(biāo)準(zhǔn)，但具備較強(qiáng)的市場影響力，同時也是執(zhí)法部門重點(diǎn)參考的規(guī)范性文件之一。在我國未成年人保護(hù)的立法和司法實(shí)踐中，14周歲成為目前零散的法律規(guī)范中逐步明確起來的一條年齡線。例如，《中華人民共和國刑法》中兒童相關(guān)罪名以14周歲為認(rèn)定標(biāo)準(zhǔn)，14周歲是綜合了實(shí)踐中的案件特點(diǎn)和未成年人心智發(fā)展特征，進(jìn)行反復(fù)斟酌后設(shè)定的標(biāo)準(zhǔn)。這一點(diǎn)也得到了2020年10月公布的《中華人民共和國個人信息保護(hù)法(草案)》的回應(yīng)，該草案第15條明確規(guī)定未滿14周歲的未成年人個人信息處理應(yīng)當(dāng)取得監(jiān)護(hù)人同意，與《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》形成體系化銜接。

一是對于14周歲以下的未成年人個人信息，應(yīng)當(dāng)認(rèn)定為個人敏感信息，采取“替代決定”的監(jiān)護(hù)人同意規(guī)則。目前基于個人信息分級分類保護(hù)的原則，對個人信息保護(hù)的程度和方式難有定論，但對個人敏感信息的嚴(yán)格保護(hù)已成為共識。為了充分尊重未成年人的人格尊嚴(yán)以及信息權(quán)益，應(yīng)當(dāng)將14周歲以下的未成年人個人信息作為個人敏感信息予以保護(hù)，并設(shè)置一定的例外情形。例如，教育工作者、社會媒體等主體在遵守行為準(zhǔn)則的前提下，做出的符合促進(jìn)未成年人成長、提高社會效益標(biāo)準(zhǔn)的信息收集利用行為，可作為例外情形。

“替代決定”模式一般適用于監(jiān)護(hù)、保佐等行為，采取同意權(quán)、撤銷權(quán)、財產(chǎn)管理權(quán)以及代理權(quán)等方式，代替未成年人進(jìn)行事務(wù)行為，并代受意思表示，履行保護(hù)未成年人利益的職責(zé)?！疤娲鷽Q定”模式的基本特征是：(1)否定未成年人的行為能力，這種否定可以是局限于就某一具體事項(xiàng)做出決定的行為能力；(2)替代決定的做出源自于未成年人以外的其他人，這種決定有可能違背本人意愿；(3)替代決定做出的依據(jù)是未成年人的最大利益，而不是本人的意愿和選擇[8]。對14周歲以下的未成年人個人信息，考慮到未成年人無法正確理解和行使信息權(quán)益，出于前文已述信息時代的風(fēng)險隱憂，應(yīng)當(dāng)在個人信息領(lǐng)域否定其行為能力，采取嚴(yán)格的監(jiān)護(hù)人同意規(guī)則進(jìn)行約束和限制?！疤娲鷽Q定”的監(jiān)護(hù)人同意規(guī)則應(yīng)當(dāng)以監(jiān)護(hù)人代受、做出意思表示為核心，從14周歲以下未成年人“利益最大化”的角度進(jìn)行利益平衡。

二是對于14-18周歲之間的未成年人個人信息，基于監(jiān)護(hù)制度、親權(quán)制度的一般原理進(jìn)行保護(hù)，采取“協(xié)助決定”的監(jiān)護(hù)人保護(hù)模式?！皡f(xié)助決定”模式主要特征是由本人自主做出決定，而不是由監(jiān)護(hù)人替代本人決定?！皡f(xié)助決定”的監(jiān)護(hù)人保護(hù)模式應(yīng)當(dāng)是以未成年人直接做出、受領(lǐng)意思表示為核心，從14周歲以上未成年人“意志自由化”的角度進(jìn)行利益平衡。更進(jìn)一步地，結(jié)合民事行為能力的相關(guān)規(guī)定，16周歲以上且以自己勞動收入為主要來源的未成年人，可以行使完全獨(dú)立的信息自決權(quán)，以降低其直接參與社會生活的信息成本，同時也避免限制其社會參與權(quán)和勞動權(quán)。

新修訂的《未成年人保護(hù)法》增設(shè)網(wǎng)絡(luò)保護(hù)專章，在傳統(tǒng)的家庭保護(hù)、學(xué)校保護(hù)、社會保護(hù)、政府保護(hù)、司法保護(hù)體系基礎(chǔ)上，進(jìn)一步完善了未成年人個人信息保護(hù)的場景(網(wǎng)絡(luò)空間)，形成集強(qiáng)制性行政手段與教育引導(dǎo)等非強(qiáng)制性手段于一體的綜合治理模式。下一步應(yīng)繼續(xù)圍繞未成年人個人信息“替代決定”模式的監(jiān)護(hù)人同意制度，不斷完善各個場景下的協(xié)同保護(hù)和沖突規(guī)則，避免前文所述保護(hù)失當(dāng)、保護(hù)錯位等現(xiàn)象的發(fā)生。

三、破解困境：“替代決定”模式的監(jiān)護(hù)人同意機(jī)制

針對未成年人個人信息自我決定能力的不足，完善監(jiān)護(hù)人知情同意規(guī)則的適用是重要的實(shí)踐補(bǔ)充。由于未成年人的成長是不斷獲得民事行為能力的過程，其信息主體意識的增強(qiáng)會引發(fā)自我決定和未成年人最大利益之間的沖突?！爸橥狻痹瓌t在未成年人個人信息保護(hù)領(lǐng)域的有效性關(guān)乎其根本性的制度路徑設(shè)計，在遵循既有立法邏輯和司法保護(hù)方式基礎(chǔ)上，本文結(jié)合國內(nèi)外司法實(shí)踐，試圖進(jìn)一步探討如何通過規(guī)則設(shè)計，解決14周歲以下未成年人個人信息自決能力不足、監(jiān)護(hù)人同意法律地位不明確、制度規(guī)則可操作性不高等實(shí)踐難題。

同意的法律性質(zhì)是意思表示，對同意規(guī)則的規(guī)范構(gòu)造也應(yīng)當(dāng)遵從意思表示的基本分析思路，回歸傳統(tǒng)民法分析框架并通過規(guī)則設(shè)計落實(shí)私益保護(hù)。同意作為意思表示的實(shí)質(zhì)要求，需要衡量弱者保護(hù)、意思自治、知情同意三個方面的標(biāo)準(zhǔn)[9]。相對應(yīng)地，需要從三個層面完善監(jiān)護(hù)人同意制度的規(guī)則設(shè)計。

(一)健全身份識別規(guī)則，引入“弱者保護(hù)”標(biāo)準(zhǔn)

實(shí)踐中未成年人個人信息特別保護(hù)的前提條件，是能夠識別和確認(rèn)未成年主體，從而通過弱者保護(hù)的制度標(biāo)準(zhǔn)，進(jìn)行特殊規(guī)范的設(shè)計。參考?xì)W美立法例，應(yīng)當(dāng)對網(wǎng)絡(luò)服務(wù)運(yùn)營者的目標(biāo)群體是否包括未成年人做出判斷，結(jié)合其主觀意愿和客觀元素進(jìn)行綜合分析，包括網(wǎng)絡(luò)服務(wù)的具體主題、內(nèi)容、語言、廣告和實(shí)際瀏覽人群等元素。在認(rèn)定網(wǎng)絡(luò)服務(wù)目標(biāo)群體包括未成年人時，要求運(yùn)營者收集用戶的年齡信息，從而區(qū)分未成年用戶和成年用戶。為了盡可能減少運(yùn)營者接觸個人信息的環(huán)節(jié)，降低社會成本，在實(shí)際執(zhí)法中應(yīng)綜合對服務(wù)內(nèi)容、推廣方式、經(jīng)營策略等多方面關(guān)聯(lián)因素的審查，從而確定服務(wù)是否面向未成年人，進(jìn)而判斷是否適用違反監(jiān)護(hù)人同意規(guī)則的相應(yīng)罰則。由于純粹依賴未成年人主動申報在實(shí)踐中很難奏效，為了周延保護(hù)其權(quán)益，應(yīng)當(dāng)通過制度設(shè)計激勵運(yùn)營者主動作為。

一是確立未成年人個人信息保護(hù)的認(rèn)證機(jī)制。歐盟GDPR首次將個人數(shù)據(jù)認(rèn)證機(jī)制納入法律規(guī)范中。根據(jù)歐盟數(shù)據(jù)保護(hù)理事會指定的《認(rèn)證和認(rèn)證標(biāo)準(zhǔn)指南》，認(rèn)證機(jī)制指的是“數(shù)據(jù)處理規(guī)程的第三方證明”，作為一種商事外觀，證明信息業(yè)者在個人信息保護(hù)能力上達(dá)到了一定標(biāo)準(zhǔn)，包括合規(guī)標(biāo)準(zhǔn)、風(fēng)控標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)。將認(rèn)證機(jī)制應(yīng)用于未成年人個人信息保護(hù)領(lǐng)域，可以有效降低信任成本，提高交易效率。參考大陸法系國家，法國和德國采用了公權(quán)認(rèn)證模式，由信息保護(hù)方面的國家機(jī)構(gòu)作為認(rèn)證主體。例如，法國由“國家信息與自由委員會”制定認(rèn)證規(guī)則，并且具有評估權(quán)，負(fù)責(zé)授予認(rèn)證證書。認(rèn)證相當(dāng)于一項(xiàng)認(rèn)可和榮譽(yù)，為企業(yè)帶來商譽(yù)、社會認(rèn)可、公共部門嘉獎等多方面激勵，從而激發(fā)企業(yè)自發(fā)保護(hù)個人信息的動力?，F(xiàn)階段涉未成年人個人信息的行業(yè)具有較大的合規(guī)壓力，法律規(guī)則的模糊性和執(zhí)法的難以預(yù)測性成為市場主體的痛點(diǎn)，而信息保護(hù)認(rèn)證機(jī)制則另辟蹊徑，通過企業(yè)的實(shí)踐形成更高標(biāo)準(zhǔn)，以此來調(diào)動企業(yè)的主觀能動性，并貢獻(xiàn)大量可行、可操作的范例，這些范例經(jīng)過實(shí)踐檢驗(yàn)后可以成為法律規(guī)則設(shè)計的重要參照。

二是采取集約化驗(yàn)證的方式。公共部門應(yīng)致力于提供便于操作的合規(guī)方式。例如，歐洲數(shù)據(jù)保護(hù)委員會(European Data Protection Board，簡稱EDPB)認(rèn)為，可以引入可信賴的第三方驗(yàn)證機(jī)制，從而控制運(yùn)營者自身需要處理的個人信息量。在解決身份認(rèn)證難題時，為了既實(shí)現(xiàn)對未成年人身份的準(zhǔn)確識別，又避免對未成年人個人信息的過度收集，可以采取公共部門介入的手段，建立統(tǒng)一的識別平臺。建議由國家網(wǎng)信部門主導(dǎo)建立“一站式”未成年人身份識別管理平臺，并配套建立制度規(guī)范。通過人工智能等現(xiàn)代科技應(yīng)用識別用戶身份，但不進(jìn)行存儲和分析。當(dāng)識別出未成年人，并且未成年人認(rèn)可了對其信息的收集和使用時，應(yīng)當(dāng)即時告知監(jiān)護(hù)人并進(jìn)行顯著提示。監(jiān)護(hù)人可以事先在一站式平臺進(jìn)行備案和信息登記，從而及時有效地知曉未成年人的授權(quán)行為，也便利了運(yùn)營者以可驗(yàn)證的方式獲取監(jiān)護(hù)人同意，例如，當(dāng)場語音電話、郵件、短信等。同時，一站式平臺還可以賦予未成年人及監(jiān)護(hù)人負(fù)面清單管理權(quán)限。由于個人信息的收集行為紛繁復(fù)雜，未成年人及監(jiān)護(hù)人可以提前設(shè)置禁止收集的未成年人個人信息類型和范圍，并在身份認(rèn)證的前端環(huán)節(jié)予以排除，從而盡可能地避免敏感信息被商業(yè)化利用。

(二)明確同意效力規(guī)則，落實(shí)“意思自治”標(biāo)準(zhǔn)

取得同意不代表后續(xù)數(shù)據(jù)處理行為當(dāng)然合法有效，取得監(jiān)護(hù)人同意是信息業(yè)者應(yīng)盡的未成年人個人信息保護(hù)義務(wù)，是獲得法律正面評價的第一步而非最后一步。同意不僅存在無效的情形，基于同意進(jìn)行的后續(xù)數(shù)據(jù)處理行為也存在違法的可能性。例如，西班牙《數(shù)據(jù)保護(hù)法》要求數(shù)據(jù)管理員有責(zé)任制定核實(shí)程序，確保未成年人年齡和父母同意的真實(shí)性；荷蘭數(shù)據(jù)保護(hù)局《互聯(lián)網(wǎng)發(fā)布個人數(shù)據(jù)(指引)》要求數(shù)據(jù)控制者履行同意的證明義務(wù)和社會責(zé)任，并強(qiáng)調(diào)同意存在“無效”情形，以及后續(xù)處理個人數(shù)據(jù)的“非法”情形。

各國立法普遍采取監(jiān)護(hù)人同意制度作為未成年人個人信息保護(hù)的核心規(guī)則，美國和歐盟均是知情同意原則的積極支持者。美國通過COPPA項(xiàng)下的可驗(yàn)證的父母同意、處罰機(jī)制形成一種被動實(shí)現(xiàn)路徑，歐盟通過GDPR項(xiàng)下的兩條規(guī)定予以實(shí)踐。

美國主要依據(jù)COPPA進(jìn)行行政執(zhí)法活動以保護(hù)兒童信息權(quán)益，但通過司法判決確認(rèn)侵害兒童信息的案例并不多見。美國COPPA要求運(yùn)營者在識別出兒童用戶后，采取可驗(yàn)證的方式取得監(jiān)護(hù)人同意?？沈?yàn)證的監(jiān)護(hù)人同意形式包括監(jiān)護(hù)人簽名的郵件傳真或掃描件、銀行交易憑證、電話確認(rèn)、視頻確認(rèn)、身份認(rèn)證系統(tǒng)確認(rèn)、郵件回復(fù)雙重確認(rèn)等。在實(shí)踐中，執(zhí)法機(jī)關(guān)在判斷運(yùn)營者是否采取了合理方式獲取監(jiān)護(hù)人同意時，采取“比例尺”(sliding scale)標(biāo)準(zhǔn)，綜合運(yùn)營者為征求監(jiān)護(hù)人同意所采取的各項(xiàng)措施和做出的努力程度，是否與其處理兒童個人信息的范圍和程度相稱[10]。例如，對涉兒童信息的商業(yè)交易行為的標(biāo)準(zhǔn)趨嚴(yán)，而對僅作內(nèi)部使用(例如教學(xué)使用)的行為可以采取寬松的方法獲取監(jiān)護(hù)人同意。為了給行業(yè)一定的自律空間，平衡產(chǎn)業(yè)發(fā)展和兒童權(quán)益保護(hù)，COPPA規(guī)則引入了數(shù)據(jù)認(rèn)證制度，通過行業(yè)組織起草COPPA規(guī)則項(xiàng)下的合規(guī)指南，報經(jīng)美國聯(lián)邦貿(mào)易委員會(Federal Trade Commission,以下簡稱 FTC)批準(zhǔn)后，作為“安全港”(safe harbour)規(guī)則為經(jīng)營者提供指引。只要經(jīng)營者遵守了FTC批準(zhǔn)的“安全港”項(xiàng)目指南，即可被視為遵守了COPPA的規(guī)則。這樣既守住了兒童權(quán)益保護(hù)的底線，又尊重了社會生活的多樣性，允許在執(zhí)法部門監(jiān)督下的規(guī)則延伸，真正實(shí)現(xiàn)了可操作、可預(yù)期的法律規(guī)制，并進(jìn)一步強(qiáng)化了自律管理。

相類似地，歐盟GDPR也針對兒童監(jiān)護(hù)人同意機(jī)制，確定了較為細(xì)致的規(guī)則：(1)同意是自愿的，如果被認(rèn)為屬于“強(qiáng)迫同意”則觸犯罰則；(2)同意是具體的，應(yīng)當(dāng)明確授權(quán)處理信息的目的，并符合最小化原則；(3)同意是透明的，應(yīng)當(dāng)建立在完全知情的基礎(chǔ)上，并且范圍清楚、條款簡潔；(4)同意是明確的，監(jiān)護(hù)人的確認(rèn)行為需要足夠清晰。為了便于操作，GDPR也提供了類似于COPPA“安全港”規(guī)則，即行為準(zhǔn)則和認(rèn)證機(jī)制。如果經(jīng)過監(jiān)管機(jī)構(gòu)批準(zhǔn)，行業(yè)組織可以通過制定行業(yè)準(zhǔn)則實(shí)行自律管理，經(jīng)過監(jiān)管機(jī)構(gòu)認(rèn)可的認(rèn)證機(jī)構(gòu)可以提供GDPR合規(guī)認(rèn)證標(biāo)識和個人信息保護(hù)的專項(xiàng)標(biāo)識，展現(xiàn)其受到監(jiān)管部門認(rèn)可且個人信息保護(hù)力度較高，從而獲得區(qū)別于其他商業(yè)機(jī)構(gòu)的信譽(yù)。

雖然兩項(xiàng)規(guī)則的實(shí)踐效果類似于在“交通繁忙的信息高速公路上安裝的一個小減速帶”，但是卻承載了“承上啟下”的功能。特別是，可驗(yàn)證的同意(a verifiable parental consent)還面臨具體的問題。目前我國互聯(lián)網(wǎng)企業(yè)參照《個人信息安全規(guī)范》，一般在用戶注冊環(huán)節(jié)提供服務(wù)協(xié)議和隱私政策兩份文件。然而文件內(nèi)容描述往往較為繁雜，對成年人而言閱讀難度尚且較大，遑論未成年人；同時，文件的同意方式往往是主動勾選同意，否則無法注冊或使用服務(wù)。雖然隱私政策中一般包含未成年人保護(hù)，以及要求未成年人和監(jiān)護(hù)人共同閱讀并取得監(jiān)護(hù)人同意的政策內(nèi)容，但實(shí)踐中運(yùn)營者一般不會主動判斷服務(wù)對象是否涉及未成年人、是否提前獲得監(jiān)護(hù)人同意，再加上技術(shù)條件下信息收集的行為難以被發(fā)現(xiàn)，導(dǎo)致未成年人個人信息很可能在監(jiān)護(hù)人不知情的狀態(tài)下被廣泛收集。市場上的通行做法主要是被動地迎合形式上的規(guī)范，沒有采取實(shí)質(zhì)性措施來實(shí)現(xiàn)立法目的和規(guī)制目標(biāo)，缺乏主動保護(hù)的動機(jī)和激勵措施，使得實(shí)踐中的未成年人個人信息保護(hù)流于形式，難以真正實(shí)現(xiàn)有效識別未成年人并落實(shí)特別保護(hù)。

在實(shí)現(xiàn)多方利益平衡的過程中，如何獲得有效的監(jiān)護(hù)人同意、履行告知同意要求、便利當(dāng)事人行使知情權(quán)，成為最難解決的問題。立法應(yīng)當(dāng)建立可操作的監(jiān)護(hù)人同意機(jī)制，基于成本收益分析，考慮制度成本和保護(hù)力度之間的平衡。

我國的《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》中增加了監(jiān)護(hù)人明示同意的規(guī)定，要求監(jiān)護(hù)人同意機(jī)制必須達(dá)到明確、具體、透明、自愿的要求，與GDPR的要求在形式上相似。然而實(shí)質(zhì)上，目前我國缺乏對用戶識別、可驗(yàn)證同意方式的具體規(guī)定。因此建議將“合理程度”和“技術(shù)水平”作為參照因素，綜合運(yùn)用多種手段(例如郵件、收集驗(yàn)證、銀行記錄、人臉識別等)建立驗(yàn)證模式。監(jiān)護(hù)人同意機(jī)制最核心的三個環(huán)節(jié)分別是事前獲取、充分告知、明確同意。圍繞這三個環(huán)節(jié)，結(jié)合產(chǎn)業(yè)發(fā)展和未成年人保護(hù)的社會需求，合理設(shè)計制度規(guī)則。(1)在事前獲取環(huán)節(jié)，本質(zhì)上是“選擇進(jìn)入”(opt-in)機(jī)制在未成年人個人信息領(lǐng)域的具體表現(xiàn)。由使用人承擔(dān)獲取同意的特定義務(wù)，若權(quán)利人不能有效實(shí)施行為，則不能發(fā)生法律效果。目前通行的隱私政策和概括授權(quán)的做法無法周延保護(hù)未成年人信息，不能作為獲取監(jiān)護(hù)人同意的主要義務(wù)，僅能作為企業(yè)規(guī)范自身行為的準(zhǔn)則，以及履行合規(guī)義務(wù)的輔助性參考。因?yàn)槿绻隙诉@種“走過場”的形式可以產(chǎn)生抗辯效力，就會產(chǎn)生信息業(yè)者規(guī)避法律監(jiān)管的漏洞，從而造成利益失衡。(2)在充分告知環(huán)節(jié)，要求信息處理者將涉及當(dāng)事人權(quán)益的重要事項(xiàng)充分披露，包括擬收集和處理的個人信息內(nèi)容、范圍、用途、方法、當(dāng)事人權(quán)利和救濟(jì)方式，以及個人信息保護(hù)的重要性、消費(fèi)者教育等內(nèi)容，保障的是未成年人及監(jiān)護(hù)人的知情權(quán)和救濟(jì)權(quán)，避免因信息不對稱導(dǎo)致權(quán)益損害和不良競爭。(3)在明確同意環(huán)節(jié)，要求信息處理者必須依托身份識別機(jī)制，準(zhǔn)確識別出未成年人后履行充分告知義務(wù)。同時向監(jiān)護(hù)人及未成年人發(fā)出收集和處理個人信息的請求，由監(jiān)護(hù)人做出明示同意，做到?jīng)]有任何歧義，并且可被驗(yàn)證。針對特定領(lǐng)域和行業(yè)內(nèi)容，還需要采取與具體情境和技術(shù)手段相適應(yīng)的方式，使得監(jiān)護(hù)人同意的行為可以被確認(rèn)和回溯。

此外，還存在例外情形。在特殊情形下(例如公共利益與個人信息權(quán)益存在一定程度的沖突時)，由國家機(jī)關(guān)及授權(quán)部門依法獲取未成年人個人信息的(例如刑事案件偵查中偵查人員對兒童筆記本進(jìn)行翻閱等行為)，不需要經(jīng)過監(jiān)護(hù)人同意。但是這種基于公共利益的行為必須受到比例原則、合法原則的制約，在法定范圍內(nèi)按照法定程序進(jìn)行，并履行及時告知義務(wù)。

(三)建立撤回同意規(guī)則，完善“知情同意”標(biāo)準(zhǔn)

未成年人身心發(fā)展處于不斷塑造和完善的過程中，觀念和想法處于不穩(wěn)定狀態(tài)。由于未成年人特有的行為特征及情緒波動甚至沖動，在網(wǎng)絡(luò)上更容易受到傷害。未成年人授權(quán)處理信息后，當(dāng)發(fā)展到某一年齡階段，意識到曾經(jīng)的授權(quán)可能會侵犯其隱私、影響其聲譽(yù)，此時應(yīng)當(dāng)有權(quán)要求運(yùn)營者刪除相關(guān)信息，即實(shí)現(xiàn)撤回同意權(quán)以及刪除權(quán)。2020年7月，我國《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例(征求意見稿)》中規(guī)定了“撤回同意規(guī)則”，自然人可以隨時撤回同意，撤回同意后數(shù)據(jù)收集、處理者要及時有效地刪除存儲的相關(guān)數(shù)據(jù)。我國《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》設(shè)置了“刪除權(quán)”，除了越權(quán)收集和處理的事項(xiàng)以外，當(dāng)監(jiān)護(hù)人撤回同意、未成年人或監(jiān)護(hù)人終止使用產(chǎn)品服務(wù)時，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)及時有效刪除未成年人個人信息?？紤]到未成年人身心發(fā)展的特點(diǎn)，這樣的制度設(shè)計在未成年人保護(hù)領(lǐng)域尤為重要，直接決定了特定信息的生命周期能夠被公民“自決”，避免未成年人個人信息的收集和處理有始無終。因此在未成年人個人信息統(tǒng)合性立法中，應(yīng)當(dāng)統(tǒng)一設(shè)置撤回同意規(guī)則和刪除權(quán)的規(guī)定。

在實(shí)踐中，很多信息業(yè)的產(chǎn)品和服務(wù)尤其是手機(jī)APP等互聯(lián)網(wǎng)應(yīng)用會采取隱瞞的方式獲得用戶同意。例如，雖然在隱私政策中詳細(xì)列明個人信息收集范圍、用途等需要用戶同意的具體內(nèi)容，但實(shí)際處理中因業(yè)務(wù)環(huán)境變化、社會需求變更等各類因素，導(dǎo)致實(shí)際同意的內(nèi)容與隱私政策列明的不同，隱私政策失去意義。因此，法律還需要解決的一大難題是未成年人及監(jiān)護(hù)人如何實(shí)現(xiàn)知情權(quán)。在侵權(quán)后果發(fā)生后，通過現(xiàn)有的民事責(zé)任體系同樣可以要求刪除，但此時撤回同意和刪除規(guī)則的意義將大打折扣，故需要進(jìn)一步思考如何實(shí)時掌握未成年人個人信息的利用狀態(tài)，而不是被動消極地等待明顯的侵權(quán)后果發(fā)生后，再去要求刪除。在這類情況下，問題就從“我是否有權(quán)要求刪除”這一刪除權(quán)問題，變?yōu)椤拔矣袡?quán)要求刪除什么”這一知情權(quán)問題。

截至2020年6月，F(xiàn)TC在COPPA生效后的二十余年間，共公布了34起執(zhí)法決定，這些案件一般均具有行業(yè)規(guī)范的標(biāo)桿作用，其處罰焦點(diǎn)基本圍繞“知情同意”“告知說明”等問題。其中“違反透明度原則未向監(jiān)護(hù)人做出有效的說明”占絕大多數(shù)，即信息業(yè)者在未獲得父母同意的情況下收集和披露兒童的個人信息，并且未向家長和公眾對其收集、使用和披露的做法予以詳細(xì)說明。此外，“違反隱私政策處理兒童信息”現(xiàn)象也普遍存在，即未直接向父母提供其信息收集和使用的通知，并且未鏈接到從兒童那里收集個人信息的每個區(qū)域的隱私政策。

因此，未成年人個人信息的控制者應(yīng)當(dāng)建立主動的信息披露制度，定期向未成年人及監(jiān)護(hù)人披露控制的個人信息類型和范圍，或在賬戶管理中實(shí)現(xiàn)其可查閱(僅可查閱類型和范圍，不顯示具體內(nèi)容)，以保障未成年人及監(jiān)護(hù)人的信息知情權(quán)，以及撤回同意和刪除權(quán)。

除了主動披露義務(wù)，考慮到數(shù)字時代信息影響的即時性，信息業(yè)者在未成年人個人信息由私密領(lǐng)域過渡到公共領(lǐng)域時，應(yīng)當(dāng)具有一定程度的審慎要求以及審查義務(wù)，在可能(知道或者應(yīng)當(dāng)知道)涉及未成年人個人信息時，應(yīng)主動提示信息主體及其監(jiān)護(hù)人。這也是履行《未成年人保護(hù)法》社會保護(hù)、網(wǎng)絡(luò)保護(hù)原則的具體要求，以及更寬泛意義上踐行企業(yè)社會責(zé)任的做法。例如，對未成年人或其代理人通過網(wǎng)絡(luò)自行發(fā)布私密信息或可能導(dǎo)致未成年人遭受侵害的信息時，應(yīng)當(dāng)及時提示監(jiān)護(hù)人，部分內(nèi)容應(yīng)直接采取保護(hù)措施。