張繼紅 尹 菡

引 言

未成年人特別是兒童群體，出生和成長于數(shù)字時(shí)代，屬于“互聯(lián)網(wǎng)原住民”，互聯(lián)網(wǎng)、大數(shù)據(jù)已經(jīng)與新生代未成年人的生活、學(xué)習(xí)密不可分。中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《青少年上網(wǎng)行為調(diào)查報(bào)告》顯示，截至2019年底，中國青少年網(wǎng)民規(guī)模約為2.77億，占整體網(wǎng)民20%左右，占青少年總體79.6%。在我國的網(wǎng)民群體中，學(xué)生數(shù)量最多，占比為26%。學(xué)生特別是未成年人群體比重較大，并且呈現(xiàn)低齡化趨勢，6-11歲網(wǎng)民在青少年網(wǎng)民比例中占11.6%。未成年人尚處于成長階段，其辨識(shí)能力和自控能力較成人更弱，防范意識(shí)也較差，更易遭受來自數(shù)字空間的不法侵害。加之復(fù)雜、隱蔽的數(shù)字環(huán)境，未成年人個(gè)人信息被泄露、非法使用甚至批量販賣等問題頻發(fā)，保護(hù)迫在眉睫。歐盟及美國都有針對未成年人信息或隱私保護(hù)的相關(guān)規(guī)定，我國2019年8月出臺(tái)《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》和2020年10月修訂《未成年人保護(hù)法》，其中如何構(gòu)建行之有效的未成年人信息保護(hù)法律框架體系已經(jīng)成為各方關(guān)注的焦點(diǎn)。

一、數(shù)字時(shí)代未成年人個(gè)人信息保護(hù)的特殊性

數(shù)字時(shí)代背景下，大數(shù)據(jù)、云計(jì)算、互聯(lián)網(wǎng)等技術(shù)的應(yīng)用，個(gè)人信息被傳播、存儲(chǔ)、利用的成本更低，流動(dòng)也更加頻繁、便捷。然而，數(shù)字環(huán)境下未成年人遭受個(gè)人信息泄露的風(fēng)險(xiǎn)也呈現(xiàn)幾何式上升。未成年人不僅僅是信息的接收者和使用者，同樣是信息的傳播者和發(fā)布者。我國目前對未成年人的傳統(tǒng)教育范式是一種家長、老師的單向灌輸式，未成年人在成長過程中往往是被動(dòng)聽取者和接受者，缺乏表達(dá)的機(jī)會(huì)。數(shù)字世界的虛擬性和隱蔽性使得未成年人暫時(shí)脫離了這種來自現(xiàn)實(shí)生活的束縛，更容易在互聯(lián)網(wǎng)空間釋放和展示自己，更喜歡在虛擬的數(shù)字空間里與陌生人分享其生活點(diǎn)滴，從而獲得相對平等的溝通交流機(jī)會(huì)。在“快手”“抖音”等短視頻APP中，隨處可見未成年人的身影，一些家長也熱衷于在社交軟件或網(wǎng)絡(luò)上分享自己的“育娃經(jīng)驗(yàn)”以及各種“花式曬娃”，這些行為無意間導(dǎo)致未成年人的“數(shù)字身份”信息完全暴露在網(wǎng)絡(luò)世界，而忽視了可能存在的危險(xiǎn)。數(shù)字時(shí)代背景下，未成年人的數(shù)字身份極易被其擴(kuò)散和傳播，未成年人及其父母正在不經(jīng)意之中，逐漸失去對兒童數(shù)字身份的控制。管理數(shù)字身份對成年人而言都并非易事，未成年人則更加困難。與此同時(shí)，人類大腦的運(yùn)轉(zhuǎn)過程中，遺忘是常態(tài)、記憶是例外。然而，在數(shù)字時(shí)代記憶則成為常態(tài)，一旦在虛擬空間留下影像、圖片及個(gè)人資料信息，就很難被徹底刪除，這些“數(shù)字痕跡”都有可能對未成年人之后的學(xué)習(xí)、工作及生活帶來負(fù)面影響。

另一方面，各種游戲、短視頻以及在線教育網(wǎng)絡(luò)運(yùn)營商以及網(wǎng)站要求用戶注冊使用其應(yīng)用程序時(shí)，會(huì)要求其盡可能提供更多的個(gè)人信息。而未成年人信息對于一些商家而言，更像是一把實(shí)現(xiàn)用戶精準(zhǔn)營銷的利器。他們可以根據(jù)未成年人的年齡、性別、愛好、上網(wǎng)習(xí)慣、父母職業(yè)、家庭收入等進(jìn)行大數(shù)據(jù)分析和畫像，從而有針對性地向用戶推出個(gè)性化的服務(wù)或者定向推送廣告。更為嚴(yán)重的是，一些未成年人信息進(jìn)入地下交易市場進(jìn)行非法買賣，此時(shí)數(shù)字身份的泄露及非法利用就變成了線下侵害的前置風(fēng)險(xiǎn)，對未成年人的信息安全構(gòu)成了極大威脅。

未成年人正處于從無知到有知、不成熟到成熟的轉(zhuǎn)變時(shí)期，理解能力和認(rèn)知能力明顯不足，缺乏生活經(jīng)驗(yàn)和社會(huì)經(jīng)驗(yàn)，在自我控制和自我保護(hù)方面更顯稚嫩，無法辨識(shí)來自外界的風(fēng)險(xiǎn)。(1)Ilene R.Berson & Michael J.Berson,Children and Their Digital Dossiers: Lessons in Privacy Rights in the Digital Age, International Journal of Social Education ,47-135(2006).加之，未成年人身心發(fā)育尚未成熟，心理較為脆弱，一旦其個(gè)人信息受到不法侵害，會(huì)對其未來成長造成巨大陰影和傷害。而且，未成年人的個(gè)人信息往往與其父母信息有所關(guān)聯(lián)。當(dāng)未成年人的信息被泄露或非法使用時(shí)，還可能給整個(gè)家庭帶來財(cái)產(chǎn)甚至是人身安全風(fēng)險(xiǎn)。不法分子往往利用未成年人的信息對其父母進(jìn)行詐騙、勒索等，由此造成的財(cái)產(chǎn)及人身損害案例不勝枚舉。

應(yīng)該說，我國立法層面對未成年人個(gè)人信息保護(hù)的關(guān)注與保護(hù)力度明顯提升。2017年1月，國務(wù)院法制辦公布《未成年人網(wǎng)絡(luò)保護(hù)條例(送審稿)》，以專章明確對未成年人個(gè)人信息予以保護(hù)(明確了通過網(wǎng)絡(luò)收集、使用未成年人個(gè)人信息所應(yīng)遵循的基本原則；網(wǎng)絡(luò)信息服務(wù)提供者的刪除、屏蔽義務(wù)以及其他禁止性規(guī)定)，是針對未成年人信息保護(hù)邁出的關(guān)鍵一步。2019年8月，網(wǎng)信辦出臺(tái)《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》(以下簡稱《規(guī)定》)，其作為首部專門性規(guī)章就兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)作了具體規(guī)范，明確了兒童個(gè)人信息的收集和處理應(yīng)當(dāng)遵循明示同意原則，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)設(shè)置專門的兒童個(gè)人信息保護(hù)規(guī)則和用戶協(xié)議，指定專人負(fù)責(zé)兒童個(gè)人信息保護(hù)工作，體現(xiàn)了從嚴(yán)保護(hù)的總體思路。2020年3月，國家市場監(jiān)管總局與國家標(biāo)準(zhǔn)化委員會(huì)發(fā)布的《個(gè)人信息安全規(guī)范》(GB/T 35273-2020)將14歲以下(含)兒童的個(gè)人信息列入“敏感個(gè)人信息”。2020年10月修訂后的《未成年人保護(hù)法》遵循“最有利于未成年人”的保護(hù)原則，明確對“未成年人隱私權(quán)和個(gè)人信息”的保護(hù)，設(shè)立“網(wǎng)絡(luò)保護(hù)”專章(第五章)，其中第72條規(guī)定“信息處理者通過網(wǎng)絡(luò)處理未成年人個(gè)人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)和必要原則”。應(yīng)該說，我國對于未成年人個(gè)人信息的法律保護(hù)水平明顯提升，形成了未成年人個(gè)人信息保護(hù)的規(guī)范體系。然而，從內(nèi)容上看，上述法律規(guī)范仍然相對零散且大多為原則性、框架性規(guī)定，在具體規(guī)則方面仍存在不足。

從世界范圍來看，不同國家及地區(qū)對未成年人個(gè)人信息保護(hù)的監(jiān)管思路，主要從三個(gè)方面著手：一是未成年人信息自決的年齡界限標(biāo)準(zhǔn)；二是監(jiān)護(hù)人同意制度；三是網(wǎng)絡(luò)運(yùn)營商的信息保護(hù)義務(wù)及責(zé)任。各國立法者雖然都意識(shí)到未成年人個(gè)人信息保護(hù)的緊迫性和必要性，但不同國家地區(qū)對于未成年人信息隱私及其被侵害的容忍程度存在較大差異，有時(shí)甚至實(shí)用主義會(huì)占上風(fēng)。政策制定者面對眾多的游說集團(tuán)和各種消費(fèi)者協(xié)會(huì)的力量，不得不在消費(fèi)者個(gè)人信息保護(hù)和行業(yè)經(jīng)濟(jì)利益之間進(jìn)行平衡。(2)參見[德]尼古拉·杰因茨：《金融隱私—征信制度國際比較》，萬存知譯，中國金融出版社2009年版，第108頁。

二、未成年人個(gè)人信息保護(hù)的前提條件：年齡界限

如何判定是否為未成年人，即年齡標(biāo)準(zhǔn)問題，是適用未成年人信息保護(hù)的前提條件。未成年人年齡界限標(biāo)準(zhǔn)直接關(guān)系到其信息保護(hù)特殊機(jī)制的適用與否，達(dá)到什么年齡可以由孩子自行決定其信息的處理，是啟動(dòng)后續(xù)監(jiān)護(hù)人同意制度必經(jīng)程序。年齡界限標(biāo)準(zhǔn)劃分不統(tǒng)一，將導(dǎo)致針對未成年人這一類特殊群體保護(hù)范圍不一致，進(jìn)而造成法律適用上的沖突和矛盾。如果賦予未成年人過多的自決權(quán)，有可能會(huì)導(dǎo)致對未成年人權(quán)益保護(hù)不力；如果保護(hù)性規(guī)定過多，則可能又會(huì)限制其自我決策權(quán)?！百x權(quán)與保護(hù)”困境不能被徹底消除，只能在“賦權(quán)”與“保護(hù)”之間尋求一定的平衡。因此，如何平衡兩者之間的關(guān)系，在給予未成年人充分保護(hù)的同時(shí)，如何避免過度保護(hù)是決定未成年人信息自決年齡界限面臨的最大難題。換言之，年齡界限標(biāo)準(zhǔn)關(guān)乎未成年人個(gè)人信息保護(hù)問題，亦牽涉父母與子女之間的信息控制權(quán)的平衡問題?！百x權(quán)與保護(hù)”困境亦引發(fā)了“個(gè)性化與平均年齡”困境。換言之，未成年人成熟度評估可以幫助解決“賦權(quán)與保護(hù)”困境面臨的部分問題，即對達(dá)到一定成熟度的未成年人賦予其自我決策的權(quán)利，對未達(dá)到一定成熟度的未成年人則引入監(jiān)護(hù)制度進(jìn)行保護(hù)。目前，對未成年人進(jìn)行成熟度評估主要有兩種方法：一是劃定一個(gè)明確的年齡界限作為所有兒童是否成熟的分界線；二是對每個(gè)未成年人的成熟度進(jìn)行個(gè)性化地評估。從法律適用的角度來看，采用明確的年齡界限可以限制司法者的自由裁量權(quán)且執(zhí)行起來更為容易，但也容易造成“一刀切”，忽視未成年人的個(gè)體差異。

從已有的規(guī)定看，我國目前沒有統(tǒng)一的未成年人信息保護(hù)年齡界限標(biāo)準(zhǔn)?！秱€(gè)人信息安全規(guī)范》(第5.5條)和《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》(第2條)僅規(guī)范了“兒童個(gè)人信息”，將年齡界限設(shè)定為14周歲；《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》(第5.2.7條)則規(guī)定，向16周歲以下未成年人收集敏感信息要監(jiān)護(hù)人同意；而《民法典》第17條及《未成年人保護(hù)法》第2條均采用“未成年人”的概念，即“不滿18周歲”。

國外立法，目前也沒有統(tǒng)一的年齡標(biāo)準(zhǔn)。美國《兒童在線隱私保護(hù)法案》(Children’sOnlinePrivacyProtectionAct,COPPA)適用于針對13歲以下兒童的商業(yè)網(wǎng)站和在線服務(wù)，以及實(shí)際知道他們可能收集了兒童數(shù)據(jù)的一般網(wǎng)站，旨在禁止與在線兒童收集、使用和披露個(gè)人信息有關(guān)的不公平和欺騙性行為。(3)是否構(gòu)成“實(shí)際知道”需要綜合判斷在下列情形下，經(jīng)營者可能被認(rèn)為實(shí)際知道其存在兒童用戶：收到來自父母的投訴；用戶發(fā)來的郵件內(nèi)容中可以明確看出其為兒童；用戶發(fā)帖暴露了自己的年齡，而運(yùn)營者對其網(wǎng)站的帖子采取監(jiān)控措施。用戶發(fā)帖暴露了自己的年齡，而有證據(jù)表明運(yùn)營者的相關(guān)負(fù)責(zé)人員看到了帖子。2018年《兒童反追蹤法案》(DoNotTrackKidsActof2018)對于COPPA中兒童年齡的限制進(jìn)行了修訂，將原先僅涉及13周歲以下兒童的保護(hù)制度擴(kuò)大到了“12-16歲的青少年”。加州第568號(hào)法案又稱為“橡皮擦法案”，規(guī)定加州不滿18周歲的未成年人享有永久刪除網(wǎng)站或其他在線服務(wù)上的個(gè)人數(shù)據(jù)的權(quán)利。(4)Katherine P. McGrath,Developing a First Amendment Framework for the Regulation of Online Educational Data: Examining California's Student Online Personal Information Protection Act, UC Davis Law Review,1149-1181(2016).歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)規(guī)定了兒童同意數(shù)據(jù)處理的年齡門檻：將兒童的年齡設(shè)定為16歲，且成員國可以設(shè)定不低于13歲的年齡門檻(第8條)。英國和法國以“軟”法取代了立法者干預(yù)，網(wǎng)上商業(yè)通訊業(yè)務(wù)守則提供了有關(guān)14歲以下兒童在線隱私的具體規(guī)定。(5)Daniel J.Solove,Privacy Self-management and the Consent Dilemma, Harvard Law Review, 1880-1903(2013).

應(yīng)該說，未成年人有關(guān)信息自決的年齡界限與各國本國的歷史文化傳統(tǒng)密切相關(guān)。事實(shí)上，各國在未成年人的年齡界分問題上，確實(shí)存在很大爭議。2010年，美國在對COPPA進(jìn)行修訂時(shí)，電子隱私信息中心曾經(jīng)建議國會(huì)將年齡要求提高到18歲，主要是因?yàn)椤吧缃痪W(wǎng)絡(luò)的出現(xiàn)以及強(qiáng)大的商業(yè)力量正試圖從使用這些服務(wù)的所有用戶(尤其是兒童)中提取個(gè)人數(shù)據(jù)。這一作法帶來了新的挑戰(zhàn)，而COPPA最初根本沒有考慮到這一點(diǎn)?！狈磳φ邉t認(rèn)為，將COPPA擴(kuò)展到青少年領(lǐng)域?qū)p少隱私和匿名性，因?yàn)樾枰獙Υ罅砍赡耆诉M(jìn)行年齡驗(yàn)證和數(shù)據(jù)收集，并可能引發(fā)言論自由問題。(6)EPIC, Testimony of Marc Rotenberg before the Senate Commerce Committee(sept.20,2020), https://epic.org/privacy/kids/EPIC_COPPA_Testimony_042910.pdf.如果完全遵照COPPA的要求來執(zhí)行，對于網(wǎng)絡(luò)服務(wù)商和兒童父母而言，都必須付出高額的成本。而美國及歐盟的年齡界限標(biāo)準(zhǔn)幾乎都受到了其域內(nèi)學(xué)者的批判，有學(xué)者認(rèn)為有足夠的證據(jù)證明其所設(shè)置的年齡界限門檻太高，與互聯(lián)網(wǎng)上兒童行為的大量研究不一致；(7)Bart W. Schermer, Bart H. Custers et al. The Crisis of Consent, How Stronger Legal Protection may Lead to Weaker Consent in Data Protection, Ethics & Information Technology, 171-196(2014).有學(xué)者認(rèn)為統(tǒng)一設(shè)定年齡界限本身即是不合理的。(8)Lee Rainie & Maeve Duggan,Privacy and Information Sharing, Villanova Law Review,951-980(2016).

結(jié)合域外未成年人年齡界分標(biāo)準(zhǔn)看，13歲以下未成年人屬于絕對的未成年人信息保護(hù)期間已經(jīng)達(dá)成共識(shí)。這一階段的未成年人，其人格尚處于培育發(fā)展過程中，對隱私和信息的期待并不明確，對個(gè)人信息的處分行為也缺乏足夠理性的判斷，應(yīng)當(dāng)作為特殊群體加以保護(hù)，主要由監(jiān)護(hù)人和學(xué)校監(jiān)督控制未成年人的網(wǎng)絡(luò)行為。

進(jìn)入13-16歲區(qū)間段，未成年人成長的內(nèi)生要求需要行使信息自決權(quán)，未成年人能夠在一定程度上自主決定自己的個(gè)人信息，原先由監(jiān)護(hù)人行使的監(jiān)督和控制權(quán)逐步回歸未成年人自己。在這一年齡區(qū)間，法律應(yīng)根據(jù)其個(gè)人信息的具體應(yīng)用場景再作進(jìn)一步的細(xì)分，允許未成年人對其個(gè)人信息權(quán)進(jìn)行一定的處分和決定。對于16-18歲區(qū)間未成年人相比更低齡的人來說，確實(shí)具有一定的自我控制能力和防控風(fēng)險(xiǎn)能力。對于那些可以通過自己的勞動(dòng)收入獨(dú)立工作和生活的未成年人而言，完全可以自主決定其個(gè)人信息的處理，等同于成年人。除此之外，對于其他仍不能獨(dú)立工作的未成年人，依然應(yīng)處于受保護(hù)階段。但從我國修訂后的《未成年人保護(hù)法》規(guī)定看，事實(shí)上放寬了未成年人決定其個(gè)人信息的年齡。也就是說，只有不滿14周歲的未成年人，才需征得監(jiān)護(hù)人同意，而對于14周歲以上的未成年人，則可以自主決定其個(gè)人信息。上述規(guī)定雖然充分考慮了未成年人對其個(gè)人信息的獨(dú)立處分權(quán)，但也存在高年齡段未成年人信息保護(hù)不足的問題。(9)騰訊視頻針對不滿14歲與已滿14歲的未成年人制定了不同的政策：不滿14周歲的未成年人在使用騰訊視頻服務(wù)或向其提供個(gè)人信息前，應(yīng)當(dāng)事先取得監(jiān)護(hù)人的授權(quán)同意；已滿14周歲不滿18周歲的未成年人，可以事先取得監(jiān)護(hù)人同意或自行授權(quán)同意。也就是說，騰訊視頻為代表的一些網(wǎng)絡(luò)經(jīng)營者已經(jīng)按照《個(gè)人信息安全規(guī)范》賦予了已滿14周歲未成年人自行決定個(gè)人信息的權(quán)利。

筆者認(rèn)為，應(yīng)當(dāng)通過制度設(shè)計(jì)并結(jié)合應(yīng)用場景平衡未成年人信息保護(hù)與其獨(dú)立人格之間的沖突，而不是一刀切式地限定年齡標(biāo)準(zhǔn)。也就是說，在18周歲以內(nèi)普遍予以特殊保護(hù)的同時(shí)，應(yīng)采用年齡分段并結(jié)合個(gè)人信息的類型，區(qū)別設(shè)計(jì)不同年齡階段的保護(hù)制度，對低齡未成年人嚴(yán)格保護(hù)，對高齡未成年人則在最大限度給予其自主決定權(quán)。如果是私密性相對較弱的個(gè)人信息，比如在社交網(wǎng)站、在線教育等注冊虛擬賬號(hào)而需要授權(quán)收集但不進(jìn)行披露的個(gè)人信息(如性別、昵稱、手機(jī)號(hào)碼等)，對于此種類型的年齡界限可設(shè)定為14周歲，從而使該年齡段的未成年人可以正常的進(jìn)行其社交及學(xué)習(xí)活動(dòng)，更有利于其獨(dú)立人格的成長。然而，對于類似抖音等可能公開未成年人的肖像、形體及其他信息的視頻資料，屬于私密性較強(qiáng)的個(gè)人信息，則應(yīng)該設(shè)定18周歲的嚴(yán)格年齡界限，需經(jīng)過監(jiān)護(hù)人同意，從而使未成年人的個(gè)人信息得到有效保護(hù)。上述分場景進(jìn)行規(guī)制的思路，也部分體現(xiàn)在《未成年人保護(hù)法》中。比如，針對未成年人的網(wǎng)絡(luò)直播活動(dòng)，提出了更高的年齡限制。網(wǎng)絡(luò)直播服務(wù)提供者為年滿16周歲的未成年人提供網(wǎng)絡(luò)直播發(fā)布者賬號(hào)注冊服務(wù)時(shí)，應(yīng)當(dāng)對其身份信息進(jìn)行認(rèn)證，并征得其父母或者其他監(jiān)護(hù)人同意。

三、未成年人個(gè)人信息保護(hù)的基礎(chǔ)制度：監(jiān)護(hù)人同意

(一)比較法視角：美國及歐盟的“監(jiān)護(hù)人同意制度”

美國COPPA是未成年人個(gè)人信息保護(hù)立法中的典范。其中，“可驗(yàn)證的父母同意”是COPPA對未成年人在線個(gè)人信息保護(hù)的主要貢獻(xiàn)之一。(10)Simone V. Hof.,I Agree, or Do I: A Rights-Based Analysis of the Law on Children's Consent in the Digital World, Wisconsin International Law Journal,409-445(2016) .COPPA規(guī)定：在收集、使用或披露兒童的個(gè)人信息前，網(wǎng)絡(luò)服務(wù)提供商必須獲得可驗(yàn)證的父母的同意。符合COPPA要求的驗(yàn)證方法，包括以下六種：(1)通過傳真、郵遞、電子掃描等方式向運(yùn)營商提供父母簽署的同意書；(2)使用信用卡、借記卡或其他網(wǎng)絡(luò)支付手段并向父母發(fā)送通知；(3)父母電話同意；(4)與專業(yè)的工作人員視頻通話；(5)通過政府頒發(fā)的身份證件復(fù)印件用于驗(yàn)證；(6)運(yùn)用面部識(shí)別技術(shù)進(jìn)行驗(yàn)證等。在運(yùn)營者對兒童信息進(jìn)行非披露性的內(nèi)部使用時(shí)，可以采用較為簡單的“加強(qiáng)型電子郵件”的驗(yàn)證方式，即通過電子郵件取得父母同意后，再以郵件、電話等形式發(fā)送第二次通知，并告知父母有隨時(shí)撤回同意的權(quán)利。(11)當(dāng)然，也有學(xué)者認(rèn)為美國COPPA“可驗(yàn)證的父母同意”確實(shí)有效阻止了未成年人個(gè)人數(shù)據(jù)的濫用，然而父母同意的驗(yàn)證方法可能輕易被兒童偽造而使其達(dá)不到可驗(yàn)證的目的，這也與即時(shí)訪問網(wǎng)絡(luò)相矛盾。如此一來，不僅會(huì)使想要訪問的未成年人望而卻步，也會(huì)影響網(wǎng)站經(jīng)營者的經(jīng)濟(jì)利益。

歐盟GDPR第8條同樣引入了“父母同意”制度(Parental consent)，明確規(guī)定網(wǎng)絡(luò)服務(wù)的提供者在收集、使用或處理未滿16周歲的兒童的個(gè)人網(wǎng)絡(luò)信息前，需要獲得父母的同意或者授權(quán)。該條款規(guī)定的目的在于充分保護(hù)兒童，考慮到兒童可能在沒有充分意識(shí)到自己分享個(gè)人數(shù)據(jù)后果的情形下，賦予家長一定的控制措施。(12)European Commission ( EC) .Stronger Data Protection Rules for Europe(Sept.8,2017), http: //Europa.eu/rapid/pressrelease_MEMO-15 -5170_en.htm.然而，該規(guī)定也成為了GDPR最有爭議的條款之一。GDPR要求所有的收集和處理關(guān)涉兒童的個(gè)人數(shù)據(jù)條款都需要得到家長的同意，這一要求的規(guī)定不僅增加網(wǎng)絡(luò)服務(wù)提供者同意收集的難度，同時(shí)也極大地限制了兒童在網(wǎng)絡(luò)上的活動(dòng)。有學(xué)者指出，GDPR要求的“家長同意”不僅是一個(gè)授權(quán)，而且是要讀懂網(wǎng)絡(luò)用戶提供者提供的專業(yè)化的服務(wù)條款和法律授權(quán)，對于家長的數(shù)字素養(yǎng)而言都將是一個(gè)極大的挑戰(zhàn)。(13)McCullagh Karen, The General Data Protection Regulation: A Partial Success for Children on Social Network Sites? (Sept.25,2020),https://ssrn.com/abstract=2985724.

我國《個(gè)人信息安全規(guī)范》第5條第4款規(guī)定，收集年滿14周歲未成年人的個(gè)人信息前，應(yīng)征得未成年人或監(jiān)護(hù)人的明示同意；不滿14周歲，應(yīng)征得其監(jiān)護(hù)人的明示同意。《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第9條規(guī)定，網(wǎng)絡(luò)運(yùn)營者收集、使用、轉(zhuǎn)移、披露兒童個(gè)人信息的，應(yīng)當(dāng)以顯著、清晰的方式告知兒童監(jiān)護(hù)人，并應(yīng)當(dāng)征得兒童監(jiān)護(hù)人的同意?！段闯赡耆吮Ｗo(hù)法》第72條規(guī)定，處理不滿14周歲未成年人個(gè)人信息的，應(yīng)當(dāng)征得未成年人的父母或者其他監(jiān)護(hù)人同意。上述規(guī)定雖然都需要經(jīng)監(jiān)護(hù)人同意，但對于同意的方式卻沒有作出進(jìn)一步的具體規(guī)定。

(二)實(shí)踐應(yīng)用：來自網(wǎng)絡(luò)運(yùn)營商的隱私政策考察

2019年《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》出臺(tái)后，各大平臺(tái)均調(diào)整了各自的“隱私政策”，并特設(shè)“未成年人信息”條款內(nèi)容。例如，百度和搜狐等大型門戶網(wǎng)站明確規(guī)定了只有在取得監(jiān)護(hù)人同意的情況下，未成年人方可提供其個(gè)人信息，但并未明確未成年人的年齡范圍。從《未成年人保護(hù)法》的規(guī)定來看，可以默認(rèn)為不滿14周歲未成年人的個(gè)人信息獲取，都需要明確取得監(jiān)護(hù)人的同意。然而，大部分網(wǎng)站對于如何獲得監(jiān)護(hù)人的授權(quán)并沒有作出更具操作性的規(guī)定，僅在同意條款之前必須讓監(jiān)護(hù)人明確閱讀其“隱私政策”。值得注意的是，上述“隱私政策”還規(guī)定了如果監(jiān)護(hù)人不同意隱私政策，可以立即通知網(wǎng)絡(luò)運(yùn)營商，網(wǎng)絡(luò)運(yùn)營商會(huì)采取相應(yīng)的措施終止服務(wù)并提供了通知途徑。實(shí)際上，這相當(dāng)于一項(xiàng)事后同意制度，即在監(jiān)護(hù)人同意之前，網(wǎng)絡(luò)運(yùn)營商就有資格向未成年人提供相應(yīng)的服務(wù)并且獲取其個(gè)人信息。如前所述，數(shù)字環(huán)境會(huì)形成永久性的“數(shù)字痕跡”，一旦發(fā)布很難刪除，這種事后同意方式顯然不利于未成年人的個(gè)人信息保護(hù)。

與上述門戶網(wǎng)站不同的是，騰訊視頻在相關(guān)未成年人條款中做到了明確的年齡區(qū)分，不滿14周歲的未成年人，按照《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》的規(guī)定，使用服務(wù)或者提供個(gè)人信息的時(shí)候，需要取得監(jiān)護(hù)人的授權(quán)同意；而在14周歲到18周歲區(qū)間的未成年人，規(guī)定相對寬松，獲得監(jiān)護(hù)人的同意授權(quán)或自行授權(quán)。愛奇藝視頻“隱私政策”同樣詳細(xì)，特別增設(shè)附則說明對于兒童個(gè)人信息的收集和使用規(guī)則，包括“兒童虛擬子賬號(hào)創(chuàng)建”功能；“家長控制”功能以及其他信息如上網(wǎng)操作記錄等。其中，收集“兒童虛擬子賬號(hào)”的兒童信息包括昵稱、生日、性別和頭像。雖愛奇藝也明確說明，如沒有必要無需提供兒童個(gè)人真實(shí)信息，但也未設(shè)置明確的家長同意機(jī)制。愛奇藝隱私附則的內(nèi)容，更多的體現(xiàn)在強(qiáng)調(diào)監(jiān)護(hù)人的保護(hù)義務(wù)方面，而對于網(wǎng)絡(luò)運(yùn)營商在授權(quán)通知上的操作準(zhǔn)則卻很少涉及。同樣地，抖音“兒童/青少年使用需知”專設(shè)了未成年人特殊保護(hù)條款，并制定了“抖音親子平臺(tái)服務(wù)協(xié)議”，但對于兒童個(gè)人信息的收集也未明確通過何種途徑向監(jiān)護(hù)人獲取授權(quán)的相關(guān)內(nèi)容，而僅為籠統(tǒng)性概括。

事實(shí)上，很多未成年人往往因某些原因在披露個(gè)人信息時(shí)謊報(bào)年齡或冒充父母的同意，如何確保提供的同意真正來自監(jiān)護(hù)人。具體到社交活動(dòng)領(lǐng)域，作為監(jiān)護(hù)人的父母真的有能力代替其子女而非濫用其監(jiān)護(hù)權(quán)作出更適當(dāng)?shù)臎Q定？而網(wǎng)絡(luò)運(yùn)營商征得監(jiān)護(hù)人同意到何種程度才算是真正意義上公允的同意？如果要確認(rèn)監(jiān)護(hù)人同意的真實(shí)性，通常需要對其身份的真實(shí)性進(jìn)行驗(yàn)證，這不僅與數(shù)字世界的普遍匿名化傳統(tǒng)難以兼容，亦容易引發(fā)人們對身份信息泄露的焦慮。也有部分家長甚至認(rèn)為，如果可以促進(jìn)家庭溝通或強(qiáng)化子女的社會(huì)互動(dòng)，那么他們就可以接受違反年齡限制的做法，甚至幫助他們的孩子通過說謊來規(guī)避來自網(wǎng)站的年齡限制。(14)Danah Boyd, Why Parents Help Their Children Lie to Facebook About Age: Unintended Consequences of the 'Children’s Online Privacy Protection Ac,First Monday, 31(2011).

(三)監(jiān)護(hù)人同意制度的完善

正因?yàn)槲闯赡耆诵闹巧胁怀墒欤瑹o法與成人一樣擁有完全的行為能力，法律上才創(chuàng)設(shè)了親權(quán)和監(jiān)護(hù)制度，即由監(jiān)護(hù)人撫養(yǎng)、教育、照顧未成年人，代理未成年人實(shí)施一定的民事行為，以保護(hù)未成年人的人身權(quán)利、財(cái)產(chǎn)權(quán)利和其他合法權(quán)益。這也是目前收集和處理未成年人個(gè)人信息需要取得監(jiān)護(hù)人同意的理論基礎(chǔ)。監(jiān)護(hù)人基于監(jiān)護(hù)關(guān)系對未成年人個(gè)人信息享有知情權(quán)和決定權(quán)，甚至包括獲取未成年人敏感的、隱私的個(gè)人信息，以及在網(wǎng)絡(luò)、學(xué)校等各種環(huán)境或社交途徑中的個(gè)人信息。(15)參見尹志強(qiáng)：《未成年人監(jiān)護(hù)制度中的監(jiān)護(hù)人范圍及監(jiān)護(hù)類型》，載《華東政法大學(xué)學(xué)報(bào)》2018年第6期。

監(jiān)護(hù)人同意制度的預(yù)設(shè)前提是未成年人與父母利益的一致性和統(tǒng)一性。但事實(shí)上，子女與父母之間存在一定的價(jià)值沖突，特別是當(dāng)子女隨著年齡的增長，自我意識(shí)不斷強(qiáng)化，父母監(jiān)護(hù)本身也是對子女權(quán)利的一種約束和控制，目前已經(jīng)發(fā)生多起父母在社交平臺(tái)曬娃導(dǎo)致親情關(guān)系緊張的事件。有學(xué)者認(rèn)為，父母同意條款可能本身就侵犯了兒童的隱私權(quán)。這些條款引發(fā)了父母與子女之間的緊張關(guān)系，父母同意條款可能實(shí)際上鼓勵(lì)過度廣泛的父母監(jiān)督。(16)Benjamin Shmueli&Ayelet B.Prigat, Privacy for Children ,Columbia Human Rights Law Review, 759-796(2011) .然而，目前關(guān)于兒童隱私及信息保護(hù)的法律規(guī)范都是從傳統(tǒng)單向式父母對子女的控制為出發(fā)點(diǎn)，認(rèn)為父母作為監(jiān)護(hù)人在未成年人個(gè)人信息的公開和使用方面擁有控制和監(jiān)督權(quán)。但作為成長中的個(gè)體，未成年人也應(yīng)該有針對父母的個(gè)人隱私及信息權(quán)。因此，監(jiān)護(hù)人對未成年人個(gè)人信息的介入權(quán)和知情權(quán)在目的和行使方式上應(yīng)當(dāng)有一定的限制，即應(yīng)遵循“最有利于未成年人的原則”服務(wù)于未成年人權(quán)益的保護(hù)，尊重被監(jiān)護(hù)人的自我決定權(quán)，在彌補(bǔ)未成年人在行為能力上不足的同時(shí)，代理未成年人作出更符合其自身利益的選擇，從而避免監(jiān)護(hù)權(quán)的濫用。

雖然我國現(xiàn)有法律規(guī)范及網(wǎng)絡(luò)運(yùn)營商的隱私政策中都有針對未成年人信息收集的監(jiān)護(hù)人同意條款，但對于征得同意的方式卻沒有做出具體的規(guī)定，這使得監(jiān)護(hù)人同意條款的施行效果被大打折扣。這里，可以借鑒美國COPPA中的“可驗(yàn)證的父母同意”，如通過電子郵箱等方式向運(yùn)營商提供父母簽署的同意書，或者采取父母電話同意告知、視頻通話等方式，使未成年人難以偽造或刻意規(guī)避，切實(shí)發(fā)揮對監(jiān)護(hù)人同意的監(jiān)督作用。

四、未成年人個(gè)人信息保護(hù)的保障制度：網(wǎng)絡(luò)運(yùn)營商的信息保護(hù)義務(wù)和責(zé)任

網(wǎng)絡(luò)運(yùn)營商的主要義務(wù)是隱私政策的制定、個(gè)人信息保護(hù)措施的落實(shí)以及響應(yīng)父母要求終止服務(wù)等。美國COPPA和歐盟GDPR對此都做了規(guī)定，我國《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》也明確規(guī)定了網(wǎng)絡(luò)平臺(tái)的主體責(zé)任。

歐盟GDPR采用獨(dú)特的“賦權(quán)”模式，以此強(qiáng)化數(shù)據(jù)主體對其個(gè)人數(shù)據(jù)的有效控制。一是數(shù)據(jù)可攜權(quán)(Right to data portability)。GDPR第20條的規(guī)定，數(shù)據(jù)主體有權(quán)收取一份關(guān)于其個(gè)人數(shù)據(jù)的復(fù)制件(該復(fù)制件應(yīng)以通常機(jī)器可讀形式制作)，并將其個(gè)人數(shù)據(jù)從某數(shù)據(jù)控制者移交至另一數(shù)據(jù)控制者，或要求在兩個(gè)數(shù)據(jù)控制者之間直接傳送?？蓴y帶權(quán)的基本含義，即賦予數(shù)據(jù)主體要求將其數(shù)據(jù)從某數(shù)據(jù)控制者轉(zhuǎn)移至另一數(shù)據(jù)控制者的權(quán)利。例如，社交媒體用戶可以要求Facebook其賬戶內(nèi)的一切個(gè)人數(shù)據(jù)移交至Twitter。該權(quán)利實(shí)際上有助于網(wǎng)絡(luò)平臺(tái)之間的保護(hù)升級(jí)，強(qiáng)化了數(shù)據(jù)控制者之間的競爭。(17)Macenaite M, From Universal Towards Child-Specific Protection of the Right to Privacy Online: Dilemmas in the EU General Data Protection Regulation. New Media & Society,765-799(2017).二是被遺忘權(quán)(Right to be forgotten)，GDPR第17條詳細(xì)闡述了被遺忘權(quán)的內(nèi)容。由于網(wǎng)上數(shù)據(jù)一旦收集后，很難被刪除的。所以即便當(dāng)監(jiān)護(hù)人行使刪除權(quán)利時(shí)，也很難保證兒童個(gè)人信息能夠被徹底刪除。被遺忘權(quán)的設(shè)定注重于保護(hù)兒童，允許他們刪除會(huì)損害他們個(gè)人的數(shù)據(jù)，即便當(dāng)他們要求行使這項(xiàng)權(quán)利的時(shí)候已經(jīng)成年。

與歐盟相比，美國則采用了典型的“義務(wù)設(shè)定型”監(jiān)管模式。美國COPPA首次制定關(guān)于平臺(tái)主體責(zé)任，通過立法明確了網(wǎng)絡(luò)服務(wù)提供者的義務(wù)。第一，發(fā)布隱私政策。通過在公眾平臺(tái)上制定關(guān)于平臺(tái)服務(wù)的隱私政策，必須包含收集個(gè)人信息的類型、使用途徑以及關(guān)于這些信息是否會(huì)與第三方平臺(tái)共享等內(nèi)容。其所制定的隱私政策，必須明確、具體，且鏈接要位于網(wǎng)站的主頁，方便查看。第二，提供直接通知家長的策略，此方式則是讓家長了解并且同意網(wǎng)絡(luò)服務(wù)提供者在收集兒童個(gè)人信息的內(nèi)容。第三，可以讓家長審核子女的信息。家長有權(quán)在任何情況下，向平臺(tái)調(diào)取他們收集的兒童個(gè)人信息。網(wǎng)絡(luò)服務(wù)提供者必須有義務(wù)去核實(shí)調(diào)取信息的確實(shí)為該兒童家長，審核的方式必須簡潔有效，不能故意設(shè)置不必要的步驟來增加家長的負(fù)擔(dān)。第四，家長撤銷同意權(quán)。當(dāng)家長明確要求刪除平臺(tái)上收集的關(guān)于兒童的個(gè)人信息時(shí)，網(wǎng)絡(luò)服務(wù)提供者必須立即將兒童個(gè)人信息從網(wǎng)站數(shù)據(jù)庫中刪除。第五，建立安全保障措施及程序，以保護(hù)兒童個(gè)人信息的完整和安全。(18)The Rule’s Sliding Scale for Obtaining Parental Consent was Set to Expire on April 21, 2002. In October 2001, the FTC Published a Federal Register Notice Proposing to Amend the Rule and Extend the Sliding. 66 Fed. Reg.54,963(October 31,2001).

雖然美國在聯(lián)邦層面并未賦予用戶以“刪除權(quán)”及“可攜帶權(quán)”，但在州立法層面可以采用比聯(lián)邦法律更嚴(yán)格的消費(fèi)者隱私權(quán)保護(hù)制度。比如，加州“橡皮擦法案”規(guī)定了被遺忘權(quán)，即加州不滿18周歲的未成年人享有永久刪除網(wǎng)站或其他在線服務(wù)的個(gè)人數(shù)據(jù)的權(quán)利，運(yùn)營商的義務(wù)包括信息刪除、通知、解釋說明、提醒義務(wù)。但該法案所確立的被遺忘權(quán)的效力范圍十分有限，未成年人只可以刪除自己發(fā)布的信息，對于其他人發(fā)布或自己發(fā)布被其他人轉(zhuǎn)載的個(gè)人信息卻無權(quán)要求刪除。(19)Lee J, Does California’s Online Eraser Button Protect the Privacy of Minors?University of California Davis Law Review, 1173-1206(2015).需要注意的是，歐盟GDRP和加州“橡皮擦法案”雖然都確立了被遺忘權(quán)制度，但在具體規(guī)則上仍存在差異。GDRP采取的是混合模式，即不區(qū)分成年人和未成年人而統(tǒng)一給予被遺忘權(quán)，此種模式簡潔但缺乏針對性，難以體現(xiàn)出對未成年人這一特殊群體的保護(hù)。加州則采用單列模式，即專門規(guī)定了未成年人的被遺忘權(quán)，雖然該模式操作性強(qiáng)，內(nèi)容具體明確，但立法成本相對也更高一些。

在責(zé)任方面，無論是歐盟還是美國對于侵害未成年人個(gè)人信息的違法行為都不約而同地施以重罰，以強(qiáng)化網(wǎng)絡(luò)運(yùn)營商的主體責(zé)任。GDPR被稱為“史上最嚴(yán)數(shù)據(jù)保護(hù)法”，針對違法行為具體列舉了監(jiān)管機(jī)構(gòu)在實(shí)施行政處罰時(shí)應(yīng)考慮的因素，如故意還是過失、先前違法行為、被侵害的個(gè)人數(shù)據(jù)的種類、是否采取了減輕損害的措施等。同時(shí)，明確了罰款額的上限標(biāo)準(zhǔn)，并按照違法行為類別將罰款額分為兩檔：第一檔針對那些不能履行條例規(guī)定義務(wù)的數(shù)據(jù)控制者及數(shù)據(jù)處理者等，將被處以1000萬歐元或者前一年度全球營業(yè)額的2%，以兩者中較高者為準(zhǔn)。第二檔針對未能說明如何獲得了用戶的同意、違反數(shù)據(jù)處理之一般性原則、侵害數(shù)據(jù)主體的合法權(quán)利以及拒絕服從監(jiān)管機(jī)構(gòu)的執(zhí)法命令等性質(zhì)更為嚴(yán)重的違法行為，違法者將被處以兩千萬歐元或者企業(yè)前一年度全球營業(yè)額4%，以兩者中較高者為準(zhǔn)(第83條)。美國聯(lián)邦貿(mào)易委員會(huì)(FTC)對于不遵守COPPA規(guī)則的企業(yè)，也采取了更嚴(yán)厲的懲罰性措施。2019年2月28日，F(xiàn)TC發(fā)布了一項(xiàng)裁決，以違反美國兒童在線隱私保護(hù)法案(COPPA)為由對TikTok(抖音海外版)罰款 570萬美元。除了巨額罰款之外，F(xiàn)TC 與TikTok還達(dá)成了一項(xiàng)和解協(xié)議，即 TikTok必須引入年齡控制措施，應(yīng)用不會(huì)排除 13歲以下用戶，但這些兒童必須被引導(dǎo)至不同的應(yīng)用區(qū)域內(nèi)，從而限制對兒童用戶個(gè)人信息的收集。(20)美國聯(lián)邦貿(mào)易委員會(huì)網(wǎng)站，https://www.ftc.gov/news-events/press-releases/2019/02/video-social-networking-app-musically-agrees,2020年4月20日訪問。這是FTC在美國保護(hù)兒童隱私的案件中開出的最大一筆民事罰款，美國參議員Ed Markey在一份聲明中表示，“盡管對違反該法的公司來說，這筆罰款可能是創(chuàng)紀(jì)錄的歷史最高水平，但對于對兒童造成的傷害和阻止其他公司未來違反該法的行為來說，這還遠(yuǎn)遠(yuǎn)不夠”。

美國模式提供明確的行為指引，設(shè)定多種“監(jiān)護(hù)人同意”的獲取方法，供網(wǎng)絡(luò)運(yùn)營商參考和借鑒。同時(shí)，網(wǎng)絡(luò)運(yùn)營商在確保自身隱私政策及信息保護(hù)措施符合法律基本要求的前提下，亦擁有一定的自主權(quán)，他們可以在規(guī)則之下建立新的、更有效的方式來取得“監(jiān)護(hù)人同意”。只有當(dāng)法律和政策給予網(wǎng)絡(luò)運(yùn)營商更大的自我管理和規(guī)制空間時(shí)，才更有助于推動(dòng)未成年人個(gè)人信息更完善的保護(hù)制度的形成。相比之下，歐盟正是因?yàn)镚DPR對于兒童信息保護(hù)的規(guī)制性措施十分嚴(yán)格，導(dǎo)致了很多外資企業(yè)退出了歐洲市場。在數(shù)字經(jīng)濟(jì)快速發(fā)展的背景下，合理設(shè)定網(wǎng)絡(luò)運(yùn)營者的義務(wù)和責(zé)任負(fù)擔(dān)，如何把握其中的“度”是立法者亟需解決的問題。

相比歐盟GDPR的賦權(quán)模式與美國“義務(wù)設(shè)定”模式，我國立法則兼容并包，多管齊下，既規(guī)定了未成年人及其監(jiān)護(hù)人的更正、刪除權(quán)，也對網(wǎng)絡(luò)運(yùn)營商及其他相關(guān)信息處理者施以相應(yīng)的義務(wù)和責(zé)任，以此提升我國未成年人個(gè)人信息的保護(hù)基準(zhǔn)?！秱€(gè)人信息安全規(guī)范》在附錄D“個(gè)人信息保護(hù)政策模板”規(guī)定，“如果我們發(fā)現(xiàn)自己在未事先獲得可證實(shí)的父母同意的情況下收集了兒童的個(gè)人信息,則會(huì)設(shè)法盡快刪除相關(guān)數(shù)據(jù)”?！秲和瘋€(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第20條規(guī)定：“兒童或者其監(jiān)護(hù)人要求網(wǎng)絡(luò)運(yùn)營者刪除其收集、存儲(chǔ)、使用的兒童個(gè)人信息的，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)及時(shí)采取措施予以刪除。”《未成年人保護(hù)法》第72條第2款規(guī)定，未成年人、父母或者其他監(jiān)護(hù)人要求信息處理者更正、刪除未成年人個(gè)人信息的，信息處理者應(yīng)當(dāng)及時(shí)采取措施予以更正、刪除。也就是說，我國現(xiàn)有法律規(guī)范已經(jīng)確立了“更正、刪除權(quán)”，即當(dāng)未成年人或其父母撤回同意或者控制者不再有合法理由繼續(xù)處理數(shù)據(jù)等情形時(shí)，用戶有權(quán)要求刪除數(shù)據(jù)。

值得注意的是，剛剛修訂的《未成年人保護(hù)法》設(shè)定并明確了網(wǎng)絡(luò)經(jīng)營者的未成年人信息保護(hù)義務(wù)。一是提示及報(bào)告義務(wù)。網(wǎng)絡(luò)服務(wù)提供者發(fā)現(xiàn)未成年人通過網(wǎng)絡(luò)發(fā)布私密信息的，應(yīng)當(dāng)及時(shí)提示，并采取必要的保護(hù)措施(第73條)；網(wǎng)絡(luò)服務(wù)提供者發(fā)現(xiàn)用戶發(fā)布、傳播含有危害未成年人身心健康內(nèi)容的信息的，應(yīng)當(dāng)立即停止傳輸相關(guān)信息，采取刪除、屏蔽、斷開鏈接等處置措施，保存有關(guān)記錄，并向網(wǎng)信、公安等部門報(bào)告(第80條)。二是鏈接和廣告推送等禁止性義務(wù)。以未成年人為服務(wù)對象的在線教育網(wǎng)絡(luò)產(chǎn)品和服務(wù)，不得插入網(wǎng)絡(luò)游戲鏈接，不得推送廣告等與教學(xué)無關(guān)的信息(第74條)。三是響應(yīng)父母請求等義務(wù)。未成年人、父母或者其他監(jiān)護(hù)人要求信息處理者更正、刪除未成年人個(gè)人信息的，信息處理者應(yīng)當(dāng)及時(shí)采取措施予以更正、刪除(第72條)；遭受網(wǎng)絡(luò)欺凌的未成年人及其父母或者其他監(jiān)護(hù)人有權(quán)通知網(wǎng)絡(luò)服務(wù)提供者采取刪除、屏蔽、斷開鏈接等措施。網(wǎng)絡(luò)服務(wù)提供者接到通知后，應(yīng)當(dāng)及時(shí)采取必要的措施制止網(wǎng)絡(luò)欺凌行為，防止信息擴(kuò)散(第77條)?！秲和瘋€(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》同時(shí)也對網(wǎng)絡(luò)服務(wù)提供者的義務(wù)進(jìn)行了具體界定，如應(yīng)設(shè)置專門的兒童個(gè)人信息保護(hù)規(guī)則和用戶協(xié)議，并指定專人負(fù)責(zé)兒童個(gè)人信息保護(hù)。

在責(zé)任方面，《未成年人保護(hù)法》第127條規(guī)定，由公安、網(wǎng)信、電信、新聞出版、廣播電視、文化和旅游等有關(guān)部門按照職責(zé)分工責(zé)令改正，給予警告，沒收違法所得，違法所得100萬元以上的，并處以違法所得1倍以上10倍以下罰款，沒有違法所得或者違法所得不足100萬元的，并處10萬元以上100萬元以下罰款，對直接負(fù)責(zé)的主管人員和其他責(zé)任人員處1萬元以上10萬元以下罰款；拒不改正或者情節(jié)嚴(yán)重的，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷營業(yè)執(zhí)照或者吊銷相關(guān)許可證。這個(gè)處罰力度與《網(wǎng)絡(luò)安全法》并無太大差異，與前述歐盟GDPR或美國的天價(jià)罰款相比，并不算過分嚴(yán)格。

從救濟(jì)渠道來看，我國目前對個(gè)人信息的法律保護(hù)以刑事及行政處罰為主，民事救濟(jì)仍存在維權(quán)成本高、舉證困難、賠償數(shù)額低等問題。在個(gè)人信息侵權(quán)案件中，原告與被告之間的“能力天平”明顯傾斜，兩者的實(shí)力差距懸殊。而未成年人由于缺乏相應(yīng)的網(wǎng)絡(luò)基礎(chǔ)知識(shí)、技術(shù)手段和信息獲取能力，在發(fā)現(xiàn)侵權(quán)行為、限制侵權(quán)后果等方面處于相對弱勢的地位，舉證難度會(huì)更大，并且舉證過程還可能對未成年人造成二次傷害。雖然《民法典》已經(jīng)明確了對自然人個(gè)人信息的法律保護(hù)，但在舉證責(zé)任方面并未作相應(yīng)的調(diào)整。建議可在《未成年人保護(hù)法》公益訴訟條款當(dāng)中，將社交平臺(tái)內(nèi)容管理義務(wù)不履行行為明確納入公益訴訟的法定類型，通過人民檢察院提起公益訴訟的方式以強(qiáng)化對未成年人個(gè)人信息的程序法保護(hù)。

從《未成年人保護(hù)法》《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》相關(guān)義務(wù)規(guī)則內(nèi)容來看，以往網(wǎng)絡(luò)經(jīng)營者僅制定一份個(gè)人信息保護(hù)政策已經(jīng)無法滿足保護(hù)未成年人等群體的特殊需求。除了在組織機(jī)構(gòu)上需設(shè)置專門負(fù)責(zé)保護(hù)未成年人個(gè)人信息的工作人員，網(wǎng)絡(luò)運(yùn)營商還需制定針對未成年人的隱私政策，并充分考慮不同年齡階段未成年人的心智與認(rèn)知能力，對未成年人個(gè)人信息保護(hù)政策內(nèi)容依不同年齡階段分別加以設(shè)定。同時(shí)，還需進(jìn)一步明確未成年人信息使用范圍，細(xì)化隱私政策。例如，愛奇藝在隱私保護(hù)政策中提到的兒童信息使用范圍應(yīng)當(dāng)包括兒童App的核心業(yè)務(wù)所必需的信息和附加業(yè)務(wù)功能可能需要收集的信息，具體包括“兒童虛擬賬號(hào)創(chuàng)建”功能、“家長控制”功能等。在兒童個(gè)人信息安全保障措施方面，網(wǎng)絡(luò)運(yùn)營商可進(jìn)一步采取與服務(wù)所關(guān)聯(lián)的安全保障技術(shù)，對兒童個(gè)人信息進(jìn)行加密存儲(chǔ)并使用隔離技術(shù)進(jìn)行隔離。同時(shí)，在使用未成年人個(gè)人信息時(shí)，如兒童個(gè)人信息展示、兒童個(gè)人信息關(guān)聯(lián)計(jì)算時(shí)，應(yīng)采用包括內(nèi)容替換、加密脫敏等技術(shù)以增強(qiáng)使用信息過程中的安全性。

五、代結(jié)語：數(shù)字時(shí)代我國未成年人個(gè)人信息保護(hù)規(guī)則的完善

數(shù)字技術(shù)迅猛發(fā)展，已全方位深入到社會(huì)活動(dòng)的各個(gè)領(lǐng)域，引發(fā)了生產(chǎn)方式、活動(dòng)方式、思維方式的改變。伴隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、人工智能等一系列信息技術(shù)的迭代發(fā)展以及相應(yīng)的新業(yè)態(tài)的不斷成熟，數(shù)字世界已經(jīng)成為獨(dú)立于物理世界的第二空間，并且兩者相互影響、融合共生。技術(shù)進(jìn)步和業(yè)態(tài)創(chuàng)新推動(dòng)了更深層次的變革，人類行為的全面數(shù)字化、數(shù)字流動(dòng)的實(shí)時(shí)化與網(wǎng)絡(luò)化、決策執(zhí)行的自動(dòng)化與智能化，都預(yù)示著一個(gè)獨(dú)立的數(shù)字世界即將誕生。然而，新興技術(shù)帶來的不僅是數(shù)字經(jīng)濟(jì)的迅速發(fā)展，還會(huì)引發(fā)數(shù)字身份的泄露以及無法刪除的“數(shù)字痕跡”，這些都對未成年人個(gè)人信息保護(hù)提出了新的挑戰(zhàn)。為適應(yīng)數(shù)字技術(shù)的發(fā)展，美國、歐州都在主動(dòng)調(diào)整其未成年人信息保護(hù)法律規(guī)則，雖然在年齡界分認(rèn)定、監(jiān)護(hù)人同意以及網(wǎng)絡(luò)經(jīng)營者義務(wù)和責(zé)任設(shè)定方面上還存在一定監(jiān)管分歧，但都認(rèn)識(shí)到未成年人個(gè)個(gè)信息保護(hù)在未成年人成長過程中的關(guān)鍵作用，都不斷完善和細(xì)化相關(guān)具體行為規(guī)范，加大執(zhí)法力度，使法律規(guī)范真正得以有效施行。(21)Emmanuelle Bartoli,Children’s Data Protection vs Marketing Companies,International Review of Law Computers & Technology,35-45(2009).同時(shí)，還積極通過行為守則等形式，(22)例如，英國和法國則是通過“網(wǎng)上商業(yè)通訊業(yè)務(wù)守則”等行為守則形式，以“軟”規(guī)則取代直接立法干預(yù)。對網(wǎng)絡(luò)經(jīng)營者的信息合規(guī)提供具體指引，以自律規(guī)范填補(bǔ)強(qiáng)制性規(guī)范過于剛性的不足，采用“軟硬兼施”的管理模式更能有效激發(fā)企業(yè)自覺遵守行為規(guī)范的內(nèi)在動(dòng)力。目前，我國未成年人信息保護(hù)已經(jīng)形成以《未成年人保護(hù)法》為基礎(chǔ)、《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》為抓手、《個(gè)人信息安全規(guī)范》為標(biāo)準(zhǔn)的體系框架，但并未給予信息處理者、網(wǎng)絡(luò)經(jīng)營者等更多的自我管理權(quán)限。由于自治精神的長期缺位，雖然上述規(guī)范中也明確寫入了“鼓勵(lì)相關(guān)行業(yè)組織參與未成年人網(wǎng)絡(luò)保護(hù)工作，制定關(guān)于未成年人網(wǎng)絡(luò)保護(hù)的行業(yè)自律規(guī)范，引導(dǎo)行業(yè)組織成員加強(qiáng)對未成年人的網(wǎng)絡(luò)保護(hù)”等條款，并在實(shí)踐中逐步擴(kuò)大行業(yè)自律組織進(jìn)行自我管理的權(quán)限，但這并未根本性改變行業(yè)組織受到政府及有關(guān)主管部門管控的本質(zhì)，獨(dú)立性也被弱化。(23)參見張繼紅：《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)行業(yè)自律的困境與出路》，載《財(cái)經(jīng)法學(xué)》2018年第6期。今后很長一段時(shí)間里，我們要著重建設(shè)個(gè)人信息保護(hù)領(lǐng)域的自律能力，作為政府監(jiān)管的重要補(bǔ)充。同時(shí)，還需開展未成年信息保護(hù)方面的宣傳教育，這不僅可以提升未成年人的自我保護(hù)意識(shí)，還能提高父母等監(jiān)護(hù)人的網(wǎng)絡(luò)素養(yǎng)，熟悉網(wǎng)絡(luò)經(jīng)營者的隱私政策，學(xué)會(huì)謹(jǐn)慎分享或征得同意分享未成年人個(gè)人信息，并以“最有利于未成年人的原則”適時(shí)行使拒絕權(quán)。

綜上，未成年人作為心智尚不成熟、正處于成長期的特殊群體，其權(quán)益更容易受到來自數(shù)字虛擬世界的侵害，有必要針對未成年人在法律保護(hù)規(guī)則上做專門的考量和設(shè)計(jì)，區(qū)別不同類型的個(gè)人信息，并結(jié)合具體應(yīng)用場景做同意事項(xiàng)上年齡的進(jìn)一步界分，以最大限度的平衡未成年人相對獨(dú)立人格與個(gè)人信息保護(hù)之間的沖突。應(yīng)該說，未成年人個(gè)人信息保護(hù)從來都不只是某一方主體的責(zé)任，需要政府、社會(huì)、企業(yè)和家庭共同努力，分別發(fā)揮政府監(jiān)管、社會(huì)監(jiān)督、企業(yè)保障、家庭教育的積極作用，共同建構(gòu)數(shù)字時(shí)代未成年人個(gè)人信息保護(hù)的法制屏障。