探索年齡界分“階段化”

代超越　金勵

未成年人在享受互聯網帶來的便利之余，其個人信息也被各類互聯網應用廣泛收集。《中華人民共和國個人信息保護法》將不滿14周歲未成年人的個人信息列為敏感個人信息。第三十一條第一款強調，處理不滿14周歲未成年人的個人信息應當取得父母或其他監護人同意，即替代同意制度。

法律規定中，年齡界分成為限制未成年人個人信息處理活動的唯一標準，決定信息處理者處理行為的受限范圍。本文從保護未成年人個人信息的核心制度出發，分析未成年人個人信息保護的年齡界分標準存在問題，提出“階段性”劃分方法，探索全面保護未成年人個人信息的新路徑。

“賦權與保護”困境

根據替代同意制度的規定，個人信息處理者應當盡到“雙重驗證”義務，即首先驗證個人信息被處理的自然人是14周歲（下稱“14歲”，16周歲下稱“16歲”）以下的未成年人，其次驗證作出同意的主體是該未成年人父母或其他監護人。

從“保護”角度看，替代同意制度本質上是通過對未成年人自決權利的限制實現保護未成年人個人信息的目的，監護人能夠完全取代作為權利主體的未成年人作出決定。年齡界分決定了未成年人自決權利被限制和讓渡的時間長度及嚴格程度，從而間接影響個人信息處理者的處理行為被制約程度。因此，合理劃分該制度適用年齡與制度本質相符合，對于實現該制度的初衷具有重要意義。

從“賦權”角度看，父母或其他監護人既不是權利主體，也不是義務承擔者，而應當是基于法律規定受讓未成年人個人信息自決權的“受讓人”。互聯網時代為未成年人提供了更豐富的信息、更廣闊的視野，其學習能力迅速發展，表達需求隨之增長。監護人受讓未成年人的信息自決權利后不應長期、完全地掌控該權利，而應當根據未成年人的心智發展程度適時將權利“歸還”未成年人，防止監護人過分剝奪未成年人的自決權利。因此，替代同意制度的年齡界限決定了對未成年人“賦權”的時間節點，合理劃分年齡界限是尊重未成年人權利主體地位和信息自決權利的要求。

總之，“賦權與保護”困境是互聯網時代未成年人個人信息保護必須解決的問題，法律應當在保護未成年人個人信息和尊重未成年人的自我決策權之間尋求平衡。年齡界分是替代同意制度實現該種平衡的支撐點和關鍵點，是保護未成年人個人信息的起點和前提。

“年齡劃分”困境

從世界范圍來看，各國確定了不同年齡界限。美國《兒童網絡隱私保護法》（COPPA）將“兒童”定義為“16歲以下的個人”。歐盟 GDPR 以16歲為適用標準，但在13歲到16歲之間保留了各成員國的自由裁量空間。中國主要以14歲作為年齡劃分界限。從替代同意制度的內容和實施情況看，年齡界限的劃分面臨如下困境：

（一）年齡劃分標準缺乏層次性

立法通過延續現有法律規則，規定了14歲這一年齡界分點。但固定年齡標準不僅可能剝奪未成年人利用網絡學習和社交的自由，也會導致未成年人難以理解這一標準——很難向一個14歲的孩子解釋為什么使用互聯網需要家長替代同意，而到15歲就不需要了。法律應當尊重未成年人的發展規律，關注其發展的層次性。

具體而言，未成年人成長的層次性主要表現為縱向的階段性和橫向的場景性。從縱向看，未成年人隨著年齡增長，心智不斷成熟，逐漸能獨立行使其信息自決權利。從橫向看，網絡環境的場景會影響信息的性質，同一年齡段的未成年人個人信息在不同網絡場景下的風險可能不同。因此，單一年齡界分難以滿足替代同意制度更加合理實施的需要。

（二）評價劃分標準缺乏實踐基礎

一項制度實施效果需要通過解決實踐中的糾紛來驗證。信息網絡技術性強、用戶數量多導致影響范圍廣、維權難度大和成本高昂的特點，使得有關替代同意制度的司法案例較少。從年齡劃分角度看，司法案例缺乏的原因亦有年齡界分單一導致的保護范圍過小、對不同階段未成年人個人信息權益關注不足的因素。因此，制度內容本身及制度實施現狀都要求對年齡界分進行反思和改進。

完善年齡界分標準

目前，對年齡標準的完善建議大體有三種：一是保留單一年齡劃分標準，但在14歲基礎上適當提高（如改為16周歲）。二是避免“一刀切”式的唯一標準，進一步細化年齡段。三是以結合場景個性化評估取代單一年齡標準。

“一刀切”式的劃分方法忽視了未成年人成長的層次性，而以成熟度為標準需要出臺配套的個性化評估標準或指南，目前國內法律規定不存在依據場景而個性化評估的解釋空間。筆者認為，解決替代同意制度中年齡界分困境，應當以14歲、16歲為標準，采取階段性劃分的方法（參見下頁圖表）。

首先，應當保持現有14歲的標準，處理14歲以下未成年人個人信息應當取得其父母或監護人同意。保持法律規定現狀能夠節約立法和司法成本，促進法律制度推行和適用，有利于維護法律體系性和完整性。

其次，處理14歲到16歲的未成年人個人信息只需經過未成年人本人同意，但是個人信息處理者應當協助監護人知情并設置監護人反饋其意見的途徑和渠道，及時根據監護人反饋情況調整處理行為。以16歲為標準，是因為隨著未成年人同意能力的提高，應當允許其作為信息主體行使自決權利，同時可與歐盟 GDPR、美國 COPPA 等國內外立法趨勢相接軌，有利于減輕企業合規負擔，推進標準的適用。之所以讓監護人知情并提供反饋意見的渠道，是因為此階段未成年人對于個人信息處理者的行為不能形成全面認識，需要監護人加以監督，并可以發揮監護人積極作用，逐步培養未成年人個人信息安全意識。

最后，處理16歲以上未成年人個人信息須經本人同意，但是應當注意區分場景，在高風險場景應當協助監護人知情并提供反饋意見渠道。16歲以上未成年人的網絡行為愈發成熟 ， 應當減少對其個人信息自決權利的干預。但是，16歲以上未成年人對網絡金融等高風險場景下的個人信息處理行為仍難有足夠認知和充分判斷，需要監護人輔助和監督。

此外，應當增強上述年齡界分標準適用的靈活性。以14歲和16歲為標準雖然細化和擴展了替代同意制度的實施模式，但是仍然可能面臨實踐中適用的模糊性。比如，實踐中若糾紛當事人信息被處理的時間剛好處在劃分節點前后，應適用何種規則？僵化適用年齡界分規則容易導致賦權與保護的失衡。因此，在年齡界分標準不明確時，應當結合具體場景判斷信息處理的風險、未成年人的同意能力與風險是否匹配等，從而明確應當依照哪一年齡段適用替代同意制度。

綜上所述，未成年人心智成熟不會一蹴而就，監護人保護不應生硬地終結。對未成年人的賦權與保護正如天平的兩端，在未成年人14歲之前，保護端應當重于賦權端。在14歲之后，天平才逐步趨于平衡。因此，在替代同意制度下，監護人的干預并非只包含“有”或“無”兩種絕對情形，而應當采用“監護人知情+ 設置反饋渠道”的模式，使賦權和保護都是和緩而協調的、處于動態平衡之中，從而更加契合未成年人發展的層次性特征。

（作者金勵系西南政法大學經濟法學院副教授；作者代超越系西南政法大學民商法學院學生）

（責編王茜）