數字時代兒童個人信息安全保護的困境與出路

摘 要： 在我國互聯網持續發展的大背景下，兒童觸網年齡顯著降低，其個人信息極易遭到泄露和濫用。為了保護兒童權益，應從兒童特殊保護和信息分類管理的角度研究其規制路徑，結合《中華人民共和國個人信息保護法》有效規制侵害兒童個人信息權益的行為。但當前監護同意的適用條件不夠明確；此外，刑法保護機制缺位、兒童個人信息管理制度不健全等問題也亟待解決。對此，應當逐步構建起民刑一體的兒童個人信息保護體系，進一步提升兒童個人信息保護的位階；同時細化監護人同意制度，并根據兒童個人信息在識別、收集、利用以及儲存的不同階段制定嚴格的信息管理規則，進而高效保護兒童個人信息安全，為兒童健康用網護航。

關鍵詞： 個人信息；安全保護；兒童；數字時代；信息分級；監護同意

中圖分類號： D913中圖分類號 文獻標志碼： A 文章編號： 1673-3851 （2023） 08-0484-09

The dilemma and outlet of children′s personal information security

protection in the digital age

WANG" Jingyi， LI" Minghui

（Law School， Southwest University， Chongqing 400700， China）

Abstract：" Under the background of the continuous development of the Internet in China， the age of children′s accessing the Internet is significantly reduced， and their personal information is vulnerable to leakage and abuse. To protect children′s rights and interests， we should study the regulation path from the perspective of special protection of children and information classification management， and effectively regulate the infringement of children′s information rights and interests in combination with the Personal Information Protection Law of the People′s Republic of China. However， the applicable conditions of the current guardianship consent are not clear enough. In addition， such issues as the absence of criminal law protection mechanism and unsound children′s personal information management system also need to be resolved. In this regard， we should gradually build a civil and criminal system to protect children′s personal information， and further enhance the level of children′s personal information protection; at the same time， the guardian consent system should be refined， and strict information management rules should be formulated according to the different stages of identification， collection， utilization and storage of children′s personal information， so as to effectively protect children′s personal information security and escort children′s accessing the Internet.

Key words： personal information; children; security protection; the digital age; information grading; guardianship consent

黨的二十大報告提出“堅持男女平等基本國策，保障婦女兒童合法權益”［1］，為兒童事業發展提供了指向。習近平總書記指出：“各級黨委和政府、全社會都要關心關愛少年兒童，為少年兒童茁壯成長創造有利條件。”［2］在此背景下，最新修訂的《中華人民共和國未成年人保護法》（以下簡稱《未成年人保護法》）增設了“網絡保護”專章。此舉標志著我國已構建起“六位一體”未成年人保護大格局［3］。2021年，我國未成年人網民規模達到1.91億，普及率達到96.8%，小學生在上小學前首次使用互聯網的比例達到28.2%［4］。進入數字時代，兒童觸網年齡降低，用網黏性顯著增強。智能技術的發展給兒童帶來了更多的互聯網使用機會，但同時也增加了兒童面臨的網絡安全風險，個人信息泄露的風險是其中之一，包括姓名、年齡、住址、電話號碼、電子郵件地址以及其他可能用于識別個人身份的用戶數據泄露風險。低齡化觸網使兒童個人信息權益保護缺失問題凸顯：一方面，兒童心智尚不成熟，自我保護意識薄弱，易泄露個人信息；另一方面，兒童難以抵御網絡風險，不足以應對個人信息泄露帶來的不良后果。此外，進入數字時代，個人信息的販賣、泄露、流通速度顯著加快，構建兒童個人信息法律保護屏障是順應網絡時代發展的要求。然而，我國尚未構建起全方位的法律保護體系，無法滿足保障兒童個人信息權益的現實需要，亟須完善兒童個人信息的法律保護路徑。

近年來，有學者圍繞兒童同意的年齡標準展開研究，認為應當將“兒童同意”的年齡標準確定為 16 歲，并結合具體“場景”判定等更具彈性的例外性規范來增強統一年齡標準的現實適應力［5］。部分學者認為，完善兒童個人信息保護體系需要提升兒童個人信息保護的位階，關注兒童數據人格權［6］。也有學者認為，應以差異化的方式取代嚴格的父母同意［7］。但是現有研究較少根據場景理論細化兒童同意年齡，很少討論民刑統一視角下的兒童個人信息保護問題。因此，本文從保護兒童個人信息的價值和依據出發，考察兒童個人信息保護相關規定和適用現狀，全面分析我國兒童個人信息保護制度的實施現狀，探尋兒童個人信息權益保護不力的成因，為《未成年人網絡保護條例》的制定及我國兒童個人信息保護制度的完善提供參考。

一、我國兒童個人信息保護的立法現狀與風險

兒童是互聯網時代的信息泄露高風險人群，兒童個人信息泄露問題日益嚴重。2022年7月14日，國務院辦公廳印發《國務院2022年度立法工作計劃》，將《未成年人網絡保護條例》納入年度立法計劃。未成年人網絡保護再次進入公眾視線，為兒童個人信息保護提供了新的發展契機。在此背景下，明確保護兒童個人信息安全的價值和依據尤為重要。

（一）我國兒童個人信息保護的立法現狀

聯合國《兒童權利公約》（Convention on the Rights of the Child）第3條規定了“兒童利益最大化原則”。該原則是世界各國保護兒童權益的指導性原則，指導有關兒童事務的立法、政策規劃和資源配置［8］。我國在立法中遵循此原則，《中華人民共和國民法典》（以下簡稱《民法典》）充分體現了兒童最大利益以及優先保護的基本理念，為兒童健康成長提供了系統性保障。隨著互聯網的普及與發展，網絡成為兒童社交、學習的重要載體，也潛藏侵害合法權益的巨大風險。為保護兒童個人信息權益，最新修訂的《未成年人保護法》增設了“網絡保護”專章，進一步完善了制度。同時，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）將不滿14周歲的未成年人的個人信息納入敏感信息范疇，予以特殊保護，體現了兒童利益優先原則。2019年出臺的《兒童個人信息網絡保護規定》是我國首部兒童個人信息保護專門立法，首次明確界定兒童個人信息為不滿14周歲的未成年人信息。在《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題》中也規定，人民法院認定信息處理者承擔侵害自然人人格權益的民事責任，應結合案件具體情況綜合考量受害人是否為未成年人、告知同意情況等因素。《信息安全技術 個人信息安全規范》（GB/T 35273—2020）將14周歲以下（含）兒童的個人信息定義為個人敏感信息。有關規范和制度雖在一定程度上紓解了兒童個人信息權益保護工作面臨的法律困境，但多為概念界定性規范，對于如何在實踐中落實并沒有明確的指引。

（二）我國兒童個人信息泄露誘發的風險

長期以來，我國法治建設高度重視兒童個人信息保護，但由于兒童保護信息安全的意識和能力有所欠缺、監管力度不足等諸多原因，致使不當獲取、濫用、販賣兒童個人信息的不法行為頻發。這些被泄露和濫用的兒童個人信息往往被用于網絡詐騙、隔空猥褻等違法犯罪活動，從而產生更嚴重的社會危害，呈現聚合放大的負面效應。

1.兒童個人信息泄露可能侵害兒童人格尊嚴

在數字時代，兒童個人信息在社交媒體、網絡游戲、在線教育等許多應用程序中被收集和利用，為不法分子獲取肖像、音頻、視頻等敏感信息提供了可乘之機。不法分子將非法獲取的兒童照片、視頻等配以一些有性暗示、性挑逗的文字制作兒童軟色情表情包、短視頻，再將其明碼標價進行售賣［9］。諸如此類的侵犯兒童個人隱私的表情包、短視頻在快手、淘寶、新浪微博等網絡平臺廣泛傳播，可能致使該兒童遭遇侮辱、誹謗、威脅或者惡意損害形象等網絡欺凌行為，嚴重侵害兒童的人格尊嚴，甚至可能誘導不法分子對其實施侵害，增加兒童遭遇網絡性騷擾、性暴力等違法犯罪行為的風險，危害其人身安全。同時，兒童軟色情表情包會引導兒童把自身形象與某種不良價值觀相聯系，影響兒童身心健康發展。兒童個人隱私的犯罪行為披著萌趣外衣長期存在于網絡空間，不僅向大眾傳遞不良價值觀，敗壞社會道德風氣，助長兒童軟色情內容肆意蔓延，而且嚴重侵害兒童人格尊嚴，侵蝕社會道德底線，挑戰法律紅線。

2.兒童個人信息泄露可能侵害兒童人身安全

除了直接在境內售賣兒童個人信息之外，還有大量的兒童個人信息被非法傳輸至世界暗網市場，導致非法買賣兒童個人信息的互聯網黑產新一輪爆發。同時以非法獲取兒童個人信息為上游，以買賣兒童個人信息為中游，以利用兒童個人信息實施網絡詐騙、線上或線下猥褻、性侵等違法犯罪行為為下游的灰色產業鏈也日漸猖獗。犯罪分子利用兒童心智發育有限，嚴重缺乏個人信息安全保護意識和能力的特性，非法獲取其個人信息，致使兒童遭遇網絡性騷擾、猥褻、性剝削和網絡欺凌的風險大大提高。據《2021年性侵兒童案例統計及兒童防性侵教育調查報告》顯示，2021年媒體公開報道了17起通過網絡發生的性侵害，包括線上作案和線下作案（網友見面后實施性侵），在案例總數中占比7.6%。我國目前的兒童網絡性侵害呈現涉案范圍廣、受害者數量多的特征。據部分地區法院統計，有近三成性侵害兒童案件是被告人利用網絡聊天工具結識兒童后實施［10］。網絡性侵兒童案件激增，嚴重侵害兒童人身安全和身心健康。2018年至2022年9月，利用網絡對未成年人實施“隔空猥褻”和線上聯系、線下侵害的犯罪占性侵未成年人犯罪的15.8%［1］。

3.兒童個人信息泄露可能侵害兒童及其監護人的財產權益

近年來，兒童個人信息侵害事件尤為泛濫，危害巨大。互聯網時代，個人信息數據往往潛藏大量商業利益。兒童個人信息具有雙重屬性，承載自身和監護人的雙重利益［11］。兒童的財產主要依附于其監護人，侵害兒童個人信息的同時往往也對其監護人產生潛在的影響和威脅。通過非法獲取的兒童及監護人的個人信息，不法分子可以據此分析其他衍生信息，從而精準定位至目標兒童的監護人進行精準詐騙。2017年，杭州警方抓獲一非法販賣0～6周歲兒童及其監護人信息的犯罪團伙。該團伙以每條0.7～0.8元人民幣的價格非法販賣接種疫苗兒童及其家長信息，從中牟利200余萬元，涉案信息高達370萬余條。在四川也曾發生過相關案件，一男子網購學生信息，冒充教育局工作人員騙取42位家長50多萬元。犯罪分子通過非法獲取到的兒童個人信息精準掌握了學生的姓名、身份證號、就讀班級、學號等，家長們由此深陷騙局，財產權益遭受巨大侵害風險。

二、我國兒童個人信息安全保護的困境

隨著互聯網的深度發展，兒童觸網年齡日益降低，其在網絡空間中可能遭遇的各類風險也將陡增。2021年我國小學生互聯網普及率達95%，呈持續上升趨勢，觸網低齡化趨勢明顯［2］。進入數字時代，信息買賣市場愈發龐大，針對兒童個人信息的犯罪頻發。我國兒童個人信息網絡保護的治理實踐起步較晚，面臨諸多現實困境，具體表現為兒童個人信息安全刑法保護機制缺位、監護同意規則規定不明確、信息管理制度體系不健全等。

（一）兒童個人信息安全刑法保護機制缺位

目前我國未統一兒童個人信息保護級別，在立法上存在著刑法缺位的問題，尚未形成民刑一體的全方位法律保護機制，導致民刑銜接不暢。從《個人信息保護法》的信息分類而言，兒童個人信息屬于敏感個人信息。敏感個人信息中的敏感指造成侵害或危害后果上的容易性［12］。從造成侵害的難易程度而言，兒童個人信息具有易采集性；從危害后果的角度而言，侵犯兒童個人信息可能侵害其人格尊嚴、人身、財產安全，對兒童身心造成極大傷害，具有高社會危害性。兒童個人信息在法律體系中被視為敏感信息，對其進行特殊保護符合理論邏輯。現行刑法條文中沒有出現與《個人信息保護法》第28條 《個人信息保護法》第二十八條：敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。中所提出的“敏感個人信息”的類似規定，僅在刑法司法解釋《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）第5條 《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5條：非法獲取、出售或者提供公民個人信息，具有下列情形之一的，應當認定為刑法第二百五十三條之一規定的“情節嚴重”：（三）非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的；（四）非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的。與《個人信息保護法》中所界定的敏感信息有所重合。刑法司法解釋對個人信息進行分級，規定了“情節嚴重”的認定情形，但沒有明確提及不滿14周歲未成年人的個人信息，存在民刑不一致的情形。在刑法中，侵犯兒童個人信息的犯罪等同于侵犯成人個人信息犯罪，適用《中華人民共和國刑法》（以下簡稱《刑法》）有關“侵犯公民個人信息罪”的規定和對應的司法解釋，并未體現兒童利益最大化立法理念。

（二）監護同意制度的適用難題

1.兒童用戶識別困難

互聯網平臺對兒童個人信息的特殊保護以有效身份識別為前置條件。根據《民法典》和《電話用戶真實身份信息登記規定》（中華人民共和國工業和信息化部令第25號）有關要求，限制民事行為能力人，應由其法定代理人在營業廳代為辦理，經營者應如實登記用戶和法定代理人證件信息，并現場拍攝留存法定代理人照片。在實踐中，家長常常代為注冊，以規避繁瑣的電信身份驗證流程。互聯網中也存在大量以低齡兒童為主要銷售目標的非法盜用、非法買賣身份證件的黑色產業鏈，兒童由此規避年齡識別機制，以成人身份使用各類網絡應用。平臺難以通過年齡識別算法機制判斷用戶年齡，無法引入兒童網絡特殊保護機制。

2.兒童同意年齡界定寬泛

兒童同意年齡是監護同意制度中的核心概念。國際社會對兒童同意年齡這一議題的關注由來已久。歐盟在《通用數據保護條例》（General Data Protection Regulation）第8條中規定，兒童同意年齡為16周歲；歐盟成員國也可根據本國國情及兒童網絡保護現狀規定不低于13周歲的兒童同意年齡。英國在《2018年數據保護法》（Data Protection Act 2018）中規定《通用數據保護條例》第8（1）條有關適用于信息社會服務中兒童同意的條件應當解讀為13周歲。在《兒童適齡設計準則》（the Age appropriate design code）中，規定企業需驗證13周歲以下用戶年齡，并實時告知監護人兒童用網情況。美國猶他州議會通過《猶他州社交媒體監管法》（Utah Social Media Regulation Act）規定18歲以下的未成年人必須得到家長或監護人的明確同意才能注冊使用社交網站。弗吉尼亞州于2021年出臺的《消費者數據保護法》（Consumer Data Protection Act）將兒童數據定義為13周歲以下的自然人數據。可見，域外存在大量從本國兒童用網現狀出發規定兒童同意年齡的立法實踐。

長期以來，兒童權益保護面臨著法律家長主義（Legal Paternalism）和權利自由的沖突。軟家長主義提出，國家干預需要考慮自我選擇的內容［13］。硬家長主義即指國家干預行為人的行為以保護行為人利益免于損害。在兒童個人信息權益保護方面，我國立法統一將兒童同意年齡規定為14周歲，含有硬家長主義的色彩，沒有考慮現代兒童的密切用網現狀和主觀能動性。

近年來隨著網絡技術的飛速發展，人類正逐步進入全信息領域。現代智能技術逐漸應用于科學、商業和公共治理領域，并日益趨向多元化、多維度。技術與生活趨于深度融合，我國兒童逐漸成為“數據一代”“信息一代”，廣泛使用公共交通、門禁識別、在線教育等多類智能應用。監護同意制度一方面為兒童個人信息安全筑起一道防火墻，另一方面也可能損害兒童信息自決權，阻礙兒童處理自己能力范圍內的信息決議。兒童享有個人信息權，個人信息權根植于人格權［14］。對于大數據時代的公民而言，不論其年齡、智力、能力等如何，均平等享有個人信息權［15］。同時，《兒童權利公約》規定兒童享有發展權，締約各國應根據本國兒童事業發展現狀，積極創造條件，鼓勵兒童個性發展、培養獨立生活能力，數字技術在現代社會中是重要的資源和工具，兒童擁有享受數字生活、使用數字技術的權利。我國立法規定兒童同意年齡為14周歲，這一做法忽視了兒童在數字時代中的權利主體地位。

3.監護同意方式尚未細化

進入數字時代，跨地域、跨種族的數據流通為網絡空間內的人人交互提供可能，兒童對互聯網的依賴和使用頻率增加。但兒童社會閱歷不足，難以識別信息授權、流通過程中潛藏的網絡安全風險，在面對數據收集、處理活動時，無法做出正確判斷，導致他們的個人信息在網絡上頻繁泄露。所以世界各國在建構兒童個人信息保護制度時大多都引入了監護同意制度。該制度通過引入監護人代替兒童進行用戶同意，授權網絡運營者處理兒童個人信息，降低兒童在網絡空間遭受個人信息泄露的可能性。我國在《未成年人保護法》《個人信息保護法》《兒童個人信息網絡保護規定》等法律文件中規定，處理兒童個人信息應當以顯著、清晰的方式告知兒童監護人，并應當征得兒童監護人的同意，但都未具體明確告知、同意的具體方式以及核驗監護人同意真實性、有效性的方式，僅在《信息安全技術個人信息告知同意指南（征求意見稿）》中，嘗試規定可根據不同的產品或服務采取不同強度的核驗方式（信件、公式、簽署協議、電話驗證、短信驗證、郵箱驗證、超鏈接驗證等）。目前國內尚未有生效的法律法規、國家標準等，對監護人同意機制的驗證方式進行明確規定，致使法律條文無法在企業設置監護同意方式時提供明確的行為指引。在實踐中，企業往往直接忽略，或僅根據用戶個人信息核驗兒童及其監護人的身份，致使監護同意制度形同虛設。

4.監護同意保護范圍有限

監護同意制度的保護范圍有限，不適應新興智能設備的發展趨勢。新興智能設備，無需用戶授權、無需監護人同意，就可以自動獲取地理位置、音頻信息、面容信息多種敏感權限，具有高度隱蔽性，使兒童個人信息暴露于泄露的風險之中。在數字時代，以智能手表為代表的新興電子產品因具有通訊、定位等多重功能，在兒童群體中得到了廣泛應用，備受家長青睞。調查結果顯示，未成年人擁有屬于自己上網設備的比例達到86.7%［2］。此類設備也因長期處于“監管飛地”，成為兒童隨身攜帶的“行走的實時偷窺器”，帶來極大的信息泄露隱患。2022年11月4日，江蘇省消保委發布《兒童智能手表消費調查報告》，報告顯示約有17.11%的消費者表示遇到過兒童智能手表泄露個人信息的情況［16］。2022年央視“3·15”晚會曾曝光多款“潛伏”在兒童智能手表上的應用程序，隨時收集用戶的地理定位、面部特征等敏感個人信息，同時利用違規收集的兒童個人信息向兒童及監護人進行精準營銷。智能應用商家利用消費群體低齡化且自我保護意識不足等特點，設置強制或隱形的強制索權條款，收集兒童用戶大量敏感信息，并通過廣告彈窗等方式誘導兒童用戶下載色情漫畫、血腥暴力游戲等軟件，引誘兒童跟風模仿，產生不良后果。

（三）兒童個人信息管理制度不健全

隨著大數據分析、人工智能、機器學習等信息技術的發展，數據已成為網絡世界的一種寶貴資源。大型互聯網公司運行的商業模式往往依賴于大數據協同過濾算法和挖掘的信息數據。數據已成為企業獲得商業利益和長期紅利的前提。在此情形下，企業重視數據獲取和商業分析，通過日益復雜的數據處理工具研究、分析、利用用戶行為。兒童對數據權利的認識能力和控制能力較弱，缺乏自我保護意識和網絡信息安全意識，應當適用更為嚴格的信息管理規則。但遺憾的是，我國目前沒有設立信息管理專門機構，尚未建立信息分級、分類管理法律體系，確定信息處理統一標準，在法律適用上也存在不夠細化、執行難度大等問題。長期“先發展、后治理”的監管傳統，致使企業缺少對收集和運用數據行為合法性的關注，在處理用戶個人信息時，未對兒童用戶實施特殊保護。網絡運營者針對兒童個人信息的非法行為可以概括為非法利用、過度收集和強制用戶協議等。以互聯網巨頭騰訊公司為例，在《兒童隱私保護聲明》［17］中規定若監護人及兒童要求刪除特定兒童個人信息，可能導致該兒童用戶無法繼續使用騰訊產品和服務中的某些具體業務功能，存在強制索權、拒絕提供服務的嫌疑，并未針對兒童用戶制定專用信息管理制度。同時，在監護同意制度方面，該規則并未明確列舉、告知監護同意的應用方式以及第三方獲取兒童用戶信息的監管方式。在信息收集的目的中也寫明兒童個人信息將用于產品優化和服務，兒童個人信息處于普通保護級別，致使大量員工能通過工作權限輕松查詢、獲取、拷貝兒童用戶信息。由此，企業內部員工利用職務之便盜取信息的現象頻發，販賣用戶個人信息、兒童個人信息泄露的風險陡增。兒童個人信息的泄露是各種安全隱患的風險原點［18］。

三、我國兒童個人信息安全保護的有效路徑

兒童個人信息保護具有充分的法理基礎與現實意義，同時在立法解釋與司法適用方面遭遇了現實困境。兒童個人信息的保護應立足法律體系化視角，關注刑民一體適用機制；同時細化監護人同意規則等，方能實現立法的有效落地。

（一）完善兒童個人信息安全刑法保護機制

1.提高兒童個人信息刑法保護級別

在構建個人信息安全分級的刑法保護機制時，應當將兒童個人信息列為敏感信息進行刑法特殊保護，理由有三：

首先，兒童個人信息屬于敏感信息，具有易采集性，且侵犯兒童個人信息可能造成嚴重的危害后果。這一特性決定刑法應當對兒童進行特殊保護。兒童的自控能力和分辨能力較差，身心不成熟，缺乏個人信息安全的保護意識和保護能力，這一特性決定了兒童的人身安全、財產安全更容易遭受信息犯罪的侵害。侵害兒童的違法犯罪將產生極大的社會風險，保護兒童個人信息權益是法學界的共識。

其次，維持法秩序統一的必要選擇。基于法秩序統一視角，侵犯公民個人信息行為刑事違法性的判斷應從屬于民事違法性和行政違法性的判斷［19］。《個人信息保護法》是刑法有關個人信息規定的前置法。基于前置法所體現出對兒童重點保護、特殊保護的立法理念，刑法也應當對侵害兒童個人信息權益的違法犯罪行為加以特別規制，使法律之間的銜接和綜合適用順暢。法律規定不一致導致法律適用和歸責體系之間缺乏協調性和統合性。

最后，打擊侵害兒童個人信息權益不法分子的現實需要。在互聯網大數據時代，不僅廣泛存在著單純侵犯兒童個人信息權益的行為，還存在著利用兒童個人信息對兒童及其父母進行的精準推銷、信息推送等商業行為。同時，通過非法獲取到的兒童個人信息對監護人進行電信詐騙等嚴重的財產犯罪和對兒童自身的人身犯罪等惡性犯罪事件也屢屢發生。利用非法獲取的兒童個人信息進一步騙取兒童錢財甚至對兒童進行猥褻、性侵等嚴重犯罪是目前互聯網針對兒童侵害的常見形態。2022年，新疆塔城市就曾發生過一起犯罪分子通過微信的“附近的人”功能定位至13周歲女孩小美，并引誘其拍攝大量裸照進行“隔空猥褻”。頻發的兒童個人信息泄露案件，使得以刑法規制侵害兒童數據權利和在線隱私的犯罪行為的必要性更加凸顯。如果只是在民法中加以約束和管制，不在刑法中將兒童個人信息置于特殊保護的范疇，侵害兒童個人信息的犯罪會更加猖獗。

為了最大限度地保護兒童個人信息權益，打擊侵害公民個人信息的犯罪行為，需要通過司法解釋明確對兒童個人信息的特殊保護標準。本文認為應當將《解釋》第5條第3款進行修訂，“非法獲取、出售或者提供行蹤軌跡信息、通信信息、征信信息、財產信息、兒童個人信息50條以上的”，應認定為刑法第253條之一規定的“情節嚴重”。

2.適度提高罰金

適度提高罰金，增加侵犯兒童個人信息犯罪的成本，有助于預防犯罪發生。信息類犯罪社會危害性大、經濟效益高，但犯罪成本低。我國對侵犯兒童個人信息的網絡運營者的處罰措施往往是限期整改、下架應用等柔性措施，警示作用有限，違法成本與域外相似案件相比過低。截至2022年12月20日，以“兒童個人信息”為關鍵字在“北大法寶”司法案例數據庫平臺進行檢索，最終得到1例樣本——檢例141號 杭州市余杭區人民檢察院訴某短視頻平臺未成年人保護民事公益訴訟案，杭州互聯網法院（2020）浙0192民初10993號。。在該案中，互聯網平臺未經監護人同意大量收集兒童用戶的敏感信息，并向部分用戶推送大量含有兒童個人信息的短視頻，侵犯多名兒童個人信息權益，嚴重威脅兒童人身、財產安全，損害社會公共利益。平臺用戶徐某某收到該App后臺推送的含有兒童個人信息的短視頻，通過應用中的私信功能聯系多名兒童，并對其中3名兒童實施猥褻犯罪。檢察機關對網絡運營者提起民事公益訴訟。在法庭組織下，雙方在確認相關事實證據的基礎上就停止侵權行為、限期整改、公開道歉等事項達成調解協議。該案為全國首例兒童個人信息侵權民事公益訴訟案。歐盟在《通用數據保護條例》（General Data Protection Regulation）中規定了高額罰金，企業違反告知同意條款，違規處理個人信息最高可被處以2千萬歐元或相當于其上一年全球總營業額4%的金額的行政罰金。同時，在《關于GDPR下行政罰金計算的04/2022號指南》（Guidelines 04/2022 on the calculation of administrative fines under the GDPR）中明確規定了監管機構會對侵犯弱勢數據主體（特別是兒童）的企業處以更多罰金。美國為規范企業行為、保障兒童個人信息安全，也設置了高額罰金。2019年，YouTube違反《兒童在線隱私保護法》（Children′s Online Privacy Protection Act）的規定，非法收集13周歲以下兒童個人信息，被美國聯邦貿易委員會（Federal Trade Commission ，以下簡稱FTC）罰處支付1.5億至2億美元罰金。2019年2月，TikTok因因非法收集兒童個人信息被FTC處以570萬美元罰金［20］。2022年9月，Meta旗下社交軟件Instagram因保護兒童數據不力，被愛爾蘭數據保護委員會（Data Protection Commission）處以4.05億歐元罰金。2022年12月，《堡壘之夜》（Fortnite）游戲開發商 Epic Games 因未在獲得監護人可驗證同意的情況下收集兒童個人信息，被FTC處以2.75億美元的罰金。適度提高罰金能全面有效保護兒童個人信息，應對網絡時代對兒童的法益保障訴求。

（二）細化監護同意制度

個人信息自決權是公民個人信息的基礎權利，知情同意是個人信息自決權的核心［21］。兒童享有權利和自由，但受到監護人的一定限制。監護人對兒童的信息監護權是基于兒童的認知水平和行為能力受限而產生的權利。美國《兒童在線隱私保護法》（Children′s Online Privacy Protection Act）也規定，網絡運營者需要取得“可證實的父母同意”來獲取父母的授權。歐盟也有類似的規定，即“父母同意”制度，網絡服務的提供者在收集、使用或處理未滿16周歲的兒童的個人網絡信息前，需要獲得父母的同意或者授權。

1.明確兒童個人信息的保護范圍

數據在世界范圍內跨國別、跨地區流通是大趨勢。世界上越來越多的國家聚焦于兒童在線隱私保護，并逐漸出臺了立法文件，以保護兒童個人信息安全。2020年，英國即開始推行《兒童適齡設計準則》（Age appropriate design code），明確規定了該法的對象適用范圍為“英國兒童在遠距離、通過電子手段并根據服務接受者的個人要求提供的任何有償服務”；地域適用范圍為“位于英國的公司和處理英國兒童個人數據的非英國公司”。美國加州也出臺了《兒童適齡設計守則法案》（California Age Appropriate Design Code Act），該法主要通過限制企業收集兒童用戶數據、禁止開啟精準定位追蹤權限、限制企業通過定向廣告分析未成年用戶，強制引入“適齡”政策，并禁止提供可能誘使兒童削弱對其隱私保護的提示等規定保護兒童個人信息。鑒于兒童個人信息泄露逐漸呈現出跨國別、跨地域的趨勢，我國也應當在立法中明確規定兒童個人信息的保護范圍，為兒童提供穩定、安全的網絡環境，保障其信息安全。

2.細分兒童同意年齡界限

兒童自決權與家長監護權之間長久以來都存在著沖突，不能被徹底消除，只能在賦權與保護之間尋求一定的平衡［22］。尊重兒童的信息自決權，保障其數據主體權利的同時，給予家長可監護的合理空間，保障家長可充分行使監護權，降低兒童遭遇網絡侵害的可能性。當兒童的信息處理權限過度交予監護人，將會損害兒童的信息自決權，侵害其隱私權益；降低收集效率，增加特別注意義務。兒童同意強調對兒童個人信息特定事宜的認識和自主決定能力，并依賴于兒童的實際同意能力而確定［23］。關于兒童同意年齡，本文認為應當同《民法典》有關未成年人民事行為能力的規定接軌，以8周歲為主要年齡分界線。8周歲以下的兒童不具備處理信息的能力，缺乏對信息收集、利用、處理的基本了解，應當被監護人與學校監督、控制。但8～14周歲的兒童心智和認識能力逐漸走向成熟，用網能力也逐漸提升，這一年齡段的兒童應被允許在一定程度上享有信息自決權，逐漸形成兒童主體地位的保障為核心、法律家長主義為兜底的價值順位［24］。在兒童自主同意的事宜上，可以根據信息適用的目的，結合場景、風險、規模等因素，綜合判斷調整監護人同意的程度。隨著兒童的成長，信息的監督和同意權限應當逐漸回歸至兒童本位，兒童對其個人信息在合理范圍內享有行為自由。通過細化的信息類別可以一定限度上保護兒童自主意志，減少個人信息處理者的注意義務的限度。

3.明確監護同意規則的應用方式

現有的《個人信息保護法》對監護人如何進行“監護同意”未做細化規定。在未來的法律完善中，應細化規定監護同意的方式，例如簽署同意書、網絡支付驗證、電話同意、視頻通話、身份證明、郵件驗證等。同時，現行法律以用戶知情同意作為規則機制的核心，用戶的個人信息在被搜集和處理的時候主要以用戶的知情同意為前提。在實踐中，往往是一次同意，終身適用。在處理兒童個人信息時，涉及二次利用或向第三方分享時，應當再次取得監護人同意。通過設置監護人同意這一前置程序，降低兒童遭受信息權益侵害的可能性，保護兒童個人信息權益。

4.設置兒童用戶專門協議

隨著兒童用網能力的不斷提高，智能設備的不斷豐富，越來越多的國家偏向于在兒童個人信息網絡保護的治理實踐中將簽訂用戶協議的前置權利移交至兒童用戶自身。歐洲《數字服務法》（Digital Services Act）規定了針對未成年人的中介服務的提供者，例如通過服務的設計或營銷，或主要由未成年人使用的中介服務，應特別努力使其條款和條件的解釋對未成年人容易理解。在歐盟《關于數據主體權利—訪問權的01/2022號指南》（Guidelines 01/2022 on data subject rights-Right of access）中規定了網絡運營者需要為兒童用戶準備專門用戶協議，向兒童提供的任何信息和通信都應以兒童容易理解的明確和通俗的語言進行。我國在《兒童個人信息網絡保護規定》中明確規定網絡運營者應當設置兒童用戶協議。據此可知，相較于成人用戶協議，兒童用戶的用戶協議應當更加具有可讀性和明確性。在實踐中可以采取為兒童提供多版本用戶協議的方式，具體包括視頻展示、音頻朗讀等多種方式綜合演繹兒童用戶協議文本。豐富兒童用戶協議的呈現形式，有助于幫助兒童用戶理解協議文本，保護兒童自由意志的同時提升兒童用網能力，進而保障其信息權益。

（三）完善兒童個人信息管理規則

兒童個人信息的保護同樣需要重視信息管理規則體系的構建問題。筆者以為，當前應針對識別、收集、利用以及儲存的不同階段，分別為其設計嚴格的適用規則。

首先，健全兒童用戶身份識別規則。健全身份識別規則是對兒童進行網絡特殊保護的關鍵。嚴格落實互聯網實名制，完善對兒童用戶年齡識別的形式審查制度。增加年齡識別驗證次數，定期清理平臺內的“網絡黑戶”和“僵尸號”，以對兒童用戶進行有效的身份識別。準確識別用戶年齡，便于網絡運營者為兒童提供特殊保護和專屬服務，有助于保護兒童用戶的合法權益。對于網絡運營者而言，高效的兒童用戶年齡識別規則有利于降低履行兒童信息保護義務的數據合規成本，厘清兒童用戶特殊保護的邊界。

其次，明確兒童個人信息收集規則。網絡運營者對兒童個人信息的收集應當是最基礎、最簡單的信息收集，應當遵循合理且必要的原則。近年來，世界各國在信息領域的立法都傾向于通過法律規制、明確、強化個人信息處理者的責任與義務。網絡運營者通過制定兒童適用的特殊規則來明確在信息收集過程中所需要給予兒童用戶的特殊保護和重點關注。完善兒童個人信息收集規則，不得在用戶協議中增加兒童個人信息收集條款，不得超出運營者服務范圍收集信息，且應當同時設置提供拒絕選項，不得強制同意、默示同意、強制索權。

再次，明確兒童個人信息利用規則。限制個人信息處理者對兒童個人信息的利用行為，制定嚴格的兒童個人信息利用規則。通過規范、明確個人信息處理者對于數據利用、保管的責任，限制其對兒童個人信息的不當利用行為，包括但不限于：作為引流信息，改善平臺營銷策略，換取平臺的數據點擊流量；通過技術追蹤、收集兒童用戶地理位置信息；強制用戶協議，增加不合理使用范圍等。

最后，建構兒童個人信息儲存規則。對兒童個人信息提供更嚴格的信息安全儲存保護安全墻。法律應要求企業對敏感信息實施更嚴格的數據保護措施，確保敏感的個人信息不會出現未經授權的訪問或者泄露、篡改或丟失。個人信息處理者在處理兒童個人信息時，應當采取合理措施對兒童個人信息數據庫進行多重特殊加密，以提高兒童個人信息的數據安全性和保密性。同時，企業內部應當建立完備的數據保護制度，合理規范企業員工獲取用戶數據的行為，提供數據調取、拷貝的權限，減少企業內部非必要的數據泄露和數據流通。

四、結 語

隨著互聯網的迅速發展和普及，兒童用戶呈現爆發式增長的趨勢。作為新興互聯網群體，兒童用戶頻頻遭遇信息泄露。這一現象頻發的原因在于尚未規定相應的保護標準，構建完備的兒童個人信息保護體系。因此從完善法律保護體系和制定兒童個人信息管理機制的角度來規制不當收集、處理和使用兒童用戶信息的行為成為保護兒童個人信息權益的可行思路。

通過對我國《兒童個人信息網絡保護規定》的規定、適用現狀的分析，總結我國兒童個人信息保護方面的經驗與不足。針對兒童個人信息保護的問題，應當從刑法完善和民法細化的角度規制對兒童個人信息的不法行為。在刑法立法設計中，明確兒童個人信息的保護級別并適度提高罰金，以實現對兒童用戶進行刑法保護。在民法中以細化兒童同意年齡、明確監護同意制度的應用方式、明確兒童個人信息的保護范圍、設置兒童用戶專門協議等制度完善“監護同意”制度的立法框架，保障兒童個人信息權益。同時應當強化互聯網平臺的信息保護義務，按照信息識別、收集、利用、儲存的不同階段制定不同處理規則，從而建立起完備的兒童個人信息處理體系，為保護兒童權益提供可行性具體標準，滿足保護兒童權益的現實需要。

參考文獻：

［1］習近平.高舉中國特色社會主義偉大旗幟 為全面建設社會主義現代化國家而團結奮斗：在中國共產黨第二十次全國代表大會上的報告［M］.北京：人民出版社，2022：48.

［2］習近平.習近平寄語廣大少年兒童［N］.人民日報， 2020-06-01（001）.

［3］最高人民檢察院.關于人民檢察院開展未成年人檢察工作情況的報告［EB/OL］.（2022-10-29）［2023-04-16］.https：∥www.spp.gov.cn/spp/xwfbh/wsfbh/202210/t20221029_591185.shtml.

［4］共青團中央維護青少年權益部，中國互聯網信息中心.2021年全國未成年人互聯網使用情況研究報告［R/OL］.（2022-12-01）［2023-03-20］.https：∥www.cnnic.net.cn/NMediaFile/2022/1201/MAIN1669871621762HOSKOXCEP1.pdf.

［5］馮愷.個人信息處理中“兒童同意”的年齡標準［J］.暨南學報（哲學社會科學版），2021，43（8）：89-100.

［6］孫宇，羅瑋琳.從個人數據保護到數據主體人格權維護：兼評《兒童個人信息網絡保護規定》的實施［J］.電子政務，2020（12）：52-58.

［7］付新華.大數據時代兒童數據法律保護的困境及其應對：兼評歐盟《一般數據保護條例》的相關規定［J］.暨南學報（哲學社會科學版），2018，40（12）：81-93.

［8］郭開元.《中華人民共和國民法典》與未成年人權益保護［J］.中國青年社會科學，2021，40（1）：118-125.

［9］韓丹東.斬斷兒童軟色情利益鏈刻不容緩［N］.法治日報， 2021-08-04（4）.

［10］中國少年兒童文化藝術基金會女童保護基金、北京眾一公益基金會.2021年性侵兒童案例統計及兒童防性侵教育調查報告［R/OL］.（2022-03-02）［2022-12-22］.https：∥mp.weixin.qq.com/s/gyqG7U-ACoviP4iQS7GJbA.

［11］蔡一博，吳濤.利益衡量與場景實踐下的未成年人信息保護研究［J］.青少年犯罪問題，2021（4）：152-160.

［12］程嘯.個人信息保護法理解與適用［M］.北京：中國法制出版社，2021：259.

［13］張帆.法律家長主義的兩個謬誤［J］.法律科學（西北政法大學學報），2017，35（4）：3-12.

［14］許文義.個人資料保護法論［M］.臺北：三民書局，2001：156.

［15］齊愛民.數據法原理［M］.北京：高等教育出版社，2022：175.

［16］江蘇省消保委.兒童智能手表消費調查報告［R/OL］.（2022-11-04）［2022-12-22］.https：∥mp.weixin.qq.com/s/7gASlAm_UyxzdFCWIu-teQ.

［17］深圳市騰訊計算機系統有限公司.兒童隱私保護聲明［EB/OL］.（2022-09-29）［2023-03-20］.https：∥privacy.qq.com/policy/kids-privacypolicy.

［18］張旭，朱笑延.“全民觸網”時代兒童個人信息安全的保護路徑［J］.青少年犯罪問題，2020（1）：40-49.

［19］劉憲權，陸一敏.生物識別信息刑法保護的構建與完善［J］.蘇州大學學報（哲學社會科學版），2022，43（1）：60-71.

［20］美國聯邦貿易委員會.Federal Trade Commission.Video social networking app Musical.ly agrees to settle FTC allegations that it violated Children′s Privacy Law［EB/OL］.（2019-02-27）［2023-03-20］.https：∥www.ftc.gov/news-events/news/press-releases/2019/02/video-social-networking-app-musically-agrees-settle-ftc-allegations-it-violated-childrens-privacy.

［21］張勇.APP個人信息的刑法保護：以知情同意為視角［J］.法學，2020（8）：113-126.

［22］張繼紅，尹菡.數字時代未成年人個人信息的法律保護［J］.青少年犯罪問題，2021（2）：97-106.

［23］Milda Macenaite.From universal towards child-specific protection of the right to privacy online： Dilemmas in the EU General Data Protection Regulation［J］.New Media amp; Society，2017， 19（5）：765-779.

［24］王鵬飛.新時期兒童受保護權的法律保障［J］.社會科學家，2022（5）：108-115.

（責任編輯：秦紅嫚）

收稿日期：2022-11-08 網絡出版日期：2023-07-11網絡出版日期

作者簡介：王婧怡（1999— ），女，重慶人，碩士研究生，主要從事法理學、網絡空間治理、民商法方面的研究。

通信作者：李明輝，E-mail：sunriver2008@qq.com