基于《個人信息保護法》完善未成年人個人信息法律保護體制

■江雯菁，李 鑫

（福建師范大學，福建 福州 350000）

一、域外未成年人個人信息保護的立法現狀——以歐盟和美國為例

（一）歐盟《一般數據保護條例》（GDPR）

《一般數據保護條例》是歐盟出臺的一部關于數據和隱私保護的法規，其中包含未成年人個人信息保護條款。其通過對未成年人提供服務的年齡限制、特殊的同意規則，以及賦予數據主體權利等方式保護未成年人個人信息[1]。

1.年齡的限制

《一般數據保護條例》將16周歲作為未成年人數據處理合法的年齡界限，同時賦予各成員國一定的自主權，可以根據現實社會情況降低年齡界限，但不得低于13周歲。

歐盟以13周歲為年齡底線，認為13周歲以下的未成年人身心不夠成熟，不具有充分的個人信息處理能力，需要通過對監護人、數據處理者加以特殊的責任來進行未成年人個人信息保護。

2.特殊的同意規則

由于未成年人不具有成熟的個人信息自我決定能力，需要國家通過法律方式特別保護，規定了特殊的同意規則。若未成年用戶未達到規定的年齡，則只有在父母或其他監護人的同意或授權下，數據控制者對未成年用戶的數據處理才是合法的。同時，數據控制者要證明其獲得了父母或監護人的同意，以避免矛盾發生時的責任糾紛。

監護人的同意是數據控制者處理未成年人數據的前提，但條例并未明確規定同意的核實方式，讓此條款難以在實踐中得以落實。

3.賦予個人權利

歐盟采用的是統一立法的模式，將未成年人與一般主體的個人信息保護納入同一法律，故在條例中賦予數據主體的個人權利同樣適用于未成年人。

《一般數據保護條例》賦予用戶廣泛的權利，包括數據透明權、拒絕權、被遺忘權、修正權、限制權、數據便攜權等。諸多權利中，數據透明權、被遺忘權與兒童個人信息保護息息相關。數據透明權要求相關信息要以兒童易于理解為標準，采用清楚明晰的表達方式。被遺忘權是數據主體不希望個人數據繼續被數據控制者進行處理、儲存，不允許在信息發布后的很長時間內可以隨意查詢的權利。被遺忘權屬于一般主體的權利，但應著重保護未成年人，原因在于兒童即使同意數據控制商收集、儲存、處理其數據，但不能完全等同于兒童的真實意愿，因為他們尚不能夠完全意識到數據處理的危害性。

（二）美國《兒童在線隱私保護法》（COPPA）

美國與歐盟的統一立法方式不同，其采用分散立法，專門頒布與未成年人個人信息保護相關的《兒童在線隱私保護法》，提高了對未成年人個人信息保護的立法水平，完善了對監護人同意的核實手段，強化數據控制者的義務與責任[2]。

1.年齡的限制

《兒童在線隱私保護法》將13周歲作為年齡的界限，認為13周歲以下的兒童不具有完全的信息處理能力，應通過法律格外保護。從整體上看，美國與歐盟相比降低了年齡的界限，認為歐盟16周歲的界限一定程度上限制了部分有信息自決能力兒童的自由。

2.可驗證的父母同意制度

美國與歐盟相同，對未滿規定年齡的兒童的信息處理，需要獲得監護人的同意，但在此基礎上完善對監護人同意的核實。數據控制者對于父母的同意，可以通過郵件、電話等多種方式進行驗證。

同時，《兒童在線隱私保護法》規定了監護人同意的例外情形，在保護未成年人個人信息的基礎上，尊重未成年人的言論自由、信息檢索和發表的權利。

3.數據控制者的義務

美國《兒童在線隱私保護法》通過強化數據控制者的義務責任，加強監管，提高兒童個人信息保護水平。法律規定數據控制者的首要責任是獲得可驗證的監護人同意，這是數據控制者提供服務給13周歲以下兒童的前提；其次是履行告知義務，告知父母相關的信息，提供相關途徑和方式便利父母知曉兒童信息處理情況；最后是保障父母權利的行使，父母有權審核數據控制者的信息處理情況，對威脅兒童隱私的信息有權要求刪除。

二、我國未成年人個人信息保護的立法現狀

（一）在民法體系構建下產生

早期，我國規范個人信息的法律法規少之又少，專門保護未成年人個人信息的法律更是處于空白狀態。我國的個人信息領域治理主要是以《民法典》為核心，配合其他的部門法加以管制。

《民法典》在人格權編中規定了個人信息保護的相關內容，明確了個人信息的概念、處理原則以及相關民事責任。《民法典》中將個人信息與隱私權歸為同一章，共同歸屬于人格權編，并未將其單列為獨立的權利進行保護。

2020年，《未成年人保護法》通過修訂，新增網絡保護內容，我國未成年人網絡保護發展到一個新的階段[3]。新增內容中規定了數據控制者對于不滿14周歲未成年人個人信息的處理，除特殊情況外，應征得監護人的同意；同時要求網絡服務提供者履行提示義務，對未成年人私密信息采取必要的保護措施。《未成年人保護法》相較于《民法典》強調了監護人與網絡服務提供者的義務責任，進一步細化未成年人個人信息保護的規定。

《民法典》及《未成年人保護法》對未成年人的保護多是現實生活的保護，關于虛擬網絡空間的個人信息保護并未專門獨立進行立法，而是以部分條款的形式分散于民法體系中。

（二）在《個人信息保護法》推進下完善

《兒童個人信息網絡保護規定》是互聯網發展催生的產物，以網絡空間為背景，是我國首部有關兒童個人信息網絡保護的專門立法，努力實現對未成年人各領域保護的全覆蓋。但《兒童個人信息網絡保護規定》的內容在一定程度上多是籠統性的意見，部分規定較不成熟，還缺少具體可行的操作機制。而且《規定》屬于部門規章，法律效力位階較低，在實際適用上不具有較大的影響力。

2021年11月1日，《個人信息保護法》施行。《個人信息保護法》對個人信息進行分類，將不滿14周歲未成年人的個人信息劃分為敏感個人信息，實施特別的保護規則。特殊保護規則主要體現在個人信息處理者要取得未成年人父母或者其他監護人的同意，同時要制定專門的個人信息處理規則，區別對一般主體的處理規則。

《個人信息保護法》雖彌補了《兒童個人信息網絡保護規定》效力低的缺陷，但二者在內容上都是一般規定，實際操作性較低。總體上看，二者都適應了大數據時代的快速發展，將視野從現實社會轉向虛擬空間，初步制定了較全面、有力的未成年人個人信息保護規則，為我國不斷完善未成年人個人信息法律保護體制奠定基礎。

三、完善未成年人個人信息法律保護體制的必要性

（一）大數據時代的現實需求：兒童信息頻遭泄露

近年來的報告顯示，我國未成年網民達到1.83億人，互聯網普及率為94.9%。“互聯網+”時代延伸至未成年群體。未成年人通過網絡游戲、智能手機、智能手表等形成海量的數據信息，成為數據控制者牟利的工具，未成年人個人信息在網絡上“裸奔”，花錢買信息的現象屢見不鮮。

1.網游實名制收集個人信息，未成年隱私保護存在隱患

為了更好地管理網絡空間，網絡實名制應運而生，在此基礎上，更為嚴格的網游實名制產生。未成年人是網絡游戲的主要用戶，構建未成年人防沉迷系統是網游實名制的推力之一，每個用戶都必須完成實名認證，對未成年用戶提供有限制的服務。在網游實名制下，游戲運營商收集未成年用戶的個人信息，包括個人姓名、出生年月、身份證號碼、電話號碼等，這些個人信息具有高度可識別性。個人信息關系用戶隱私，且游戲運營商存在規模參差不齊的問題，在高利潤誘惑面前，不少運營商違法販賣未成年的個人信息，未成年人隱私保護存在隱患。

2.算法自動化決策處理數據，影響未成年人信息自決權利

近年來，隨著大數據時代不斷深入，以算法自動化決策為代表的數據處理技術廣泛運用于生活當中，在帶來便利與個性化信息的同時，個人信息的私密與安全性遭到威脅。

2021年3月，快手公司侵犯兒童個人信息案公開審判，作為我國首例未成年人網絡保護民事公益訴訟案件，具有指導性意義。該案反映了現在多數APP運營商沒有按照相關法律規定在征得監護人同意的前提下收集、儲存未成年人個人信息，且在沒有監護人授權的情況下向具有相關瀏覽喜好的用戶直接推送含有未成年人個人信息的內容，同時也沒有采取技術手段對兒童信息進行專門保護。

（二）體系完善的制度需求：規定籠統可操作性不強

目前我國關于未成年人個人信息保護的法律法規，主要是以條款的形式在《民法典》《未成年人保護法》《個人信息保護法》中零星出現，而專門規制的《兒童個人信息網絡保護規定》又因法律效力位階低，影響力有限，尚未形成有效的未成年人個人信息保護的法律體系。

在內容方面，現有的法律規定較籠統，可操作性不強。首先是年齡的限制，我國明確了未成年人個人信息保護的年齡界限是14周歲，年齡是未成年人是否具有信息處理能力的客觀體現，不可一概而論。由于個體差異和現實社會情況不同，未成年人的心智成熟程度不同，以“一刀切”的規定進行保護不夠全面。其次是監護人同意制度的實行，一方面是能否驗證同意的真實性，另一方面是能否確保網絡服務提供者收到同意，而現有的法律缺乏驗證同意方式的具體規定，使得監護人同意制度難以落實。最后是隱私條款冗長不明確，目前各APP或網站在提供服務時，根據《個人信息安全規范》要求用戶同意服務協議或隱私政策文件后才可提供服務，但文件內容冗長，未簡潔明確地說明規則，且不勾選同意用戶便無法享受服務，故一般用戶都會忽略內容直接選擇同意。文件中關于未成年人個人信息的內容并未著重加以告示，服務提供者也沒有制定專門的未成年人個人信息處理規則，導致未成年人個人信息很可能在未實際獲得監護人同意的情況下被收集、處理[4]。

四、基于《個人信息保護法》完善我國未成年人個人信息保護的對策和建議

目前《個人信息保護法》對未成年人個人信息以“敏感個人信息”加以專門保護，但是并未詳細規定具體的實施規定，司法實踐中只能通過結合其他法律引用。作為剛實施不久的法律，《個人信息保護法》適應了大數據時代的發展特點，相比其他法律較全面地涵蓋了個人信息保護的內容，故可以此為基礎，參考借鑒歐盟及美國兒童個人信息保護，完善我國未成年人個人信息保護。

（一）靈活調整年齡界限

各國在個人信息保護領域所設置的未成年人年齡界限不盡相同，我國明確未成年人個人信息保護的年齡界限是14周歲，但《民法典》中以18周歲劃分未成年人的界限，由此可見14～18周歲的未成年人個人信息法律保護存在空缺。

未成年人心智成熟程度受家庭教育或社會環境的影響具有差異性，不能簡單地將年齡限制在14周歲，應區分不同個人信息內容實施區別保護。14周歲以下的未成年人信息處理能力較弱，應對其提供全面的個人信息保護，只有在獲得監護人同意的情況下才可對其信息進行收集、處理。14～18周歲的未成年人心智較成熟，有一定的信息處理能力，應賦予其自我處理的權利，但在涉及肖像照片、身份證信息、家庭住址、電話號碼此類具有高度可識別性的個人信息時也應提供特殊的保護，網絡服務提供者要在監護人授權的情況下才可對這類高度涉及個人隱私的信息進行收集、使用。同時，還要考慮16周歲以上以自己的勞動收入為主要生活來源的未成年人，對其應適用一般主體的個人信息保護規則。靈活調整未成年人個人信息保護的年齡界限，盡可能適應兒童心智發育的差異性，考慮不同年齡段未成年人的不同信息需求，提供較為全面的保護。

（二）構建可識別的知情同意制度

《個人信息保護法》第三十一條規定，“個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的同意”。我國的父母同意制度屬于原則性條款，并未規定具體的獲取或驗證方式，可以借鑒COPPA可驗證的父母同意制度，細化該條規則[5]。

監護人同意制度的關鍵在于同意的真實性，故構建可識別的知情同意制度至關重要。我國可以運用多種技術手段，例如郵件、交易憑證、人臉識別等方式建立一個驗證系統，驗證監護人的同意是出自監護人本人的真實意愿。

構建可識別的知情同意系統，需要監護人與網絡服務提供者形成良性的相互配合。一方面是服務提供者履行好明確的告知義務，將相關的隱私政策以簡潔、明確的方式告知監護人，并提供相應的審核未成年人個人信息處理情況的渠道；另一方面是監護人明確的同意，按照服務提供者所提供的方式驗證相應的信息，作出明示的同意，避免因歧義、表達不準造成的矛盾。

（三）賦予未成年信息主體被遺忘權

《一般數據保護條例》最早對“被遺忘權”進行了明確的規定。目前，我國的相關法律法規并未明確規定“被遺忘權”，但在《個人信息保護法》中規定了個人信息刪除權，但是刪除權不等同于被遺忘權。被遺忘權是在刪除權的基礎上進一步擴大，更多體現的是一種信息自決權，數據主體有權決定其自身信息收集、儲存、處理以及利用的控制權。

由于未成年人心智尚未成熟，為更好地保護其合法權益，可以賦予未成年信息主體被遺忘權，其在成年后可對未成年期間發布的涉及隱私的個人信息行使被遺忘權。未成年人的心智發育呈現階段性的特點，心智隨年齡增長逐步成熟，自我信息處理能力不斷完善。當其成長到一定的年齡階段，可能會認為先前在網絡上的個人信息侵犯其隱私或其他合法權益，即使當時的信息獲得了監護人的同意，但仍有權要求其先前的數據信息在網絡上“被遺忘”，不被收集、處理。賦予未成年信息主體被遺忘權，是對監護人同意制度的一種彌補完善。未成年階段由于信息處理能力的不完善，需要借助監護人來協助未成年人處理信息，但監護人的同意不能完全等同未成年信息主體的意愿，故賦予被遺忘權，在其成年后可對未成年階段的個人信息“二次處理”，保護信息主體的自決權，完善未成年人個人信息法律保護體制。