監護人同意制度在未成年人個人信息保護中的應用與完善

古春 吳桂蘭

[摘要]由于網絡的廣泛使用，以及頻頻出現的個人信息泄露安全事件，使得對未成年人個人信息的保護問題廣泛引起社會的關注。“監護人同意制度”是保護未成年人信息安全的重要手段，其目的在于以家長的許可為基礎，對未成年人個人信息的采集、使用等行為進行約束。通過對監護人同意制度的健全，有效地保護未成年人的個人信息安全，維護未成年人合法權益，促進未成年人健康發展與網絡環境良性共生。

[關鍵詞]未成年人；個人信息保護；監護人同意

[中圖分類號]D924.34? ? ? [文獻標識碼]A

[DOI]：10.20122/j.cnki.2097-0536.2024.05.009

新時代的未成年人是在數字化的社會中誕生并長大的，其生活與學習越來越依托于網絡和大數據。未成年人屬于弱勢群體，他們在享有網絡所提供的游戲娛樂、在線學習等便利的同時，也伴存著巨大的潛在隱私隱患，若未成年人的個人信息泄露很有可能會導致其聲譽、身體健康、財產安全等多種權益遭到侵犯。因此，必須通過監護人的代理才能做出對未成年人的個人信息的收集與處理。

一、監護人同意制度的法律理論和規范基礎

《民法典》第1035條規定了處理未成年人的個人信息應當遵循合法、正當和必要的原則，并經其監護人的同意，禁止濫用其個人信息。該制度有三大基本原理：首先，鑒于我國目前時代背景十分復雜的原因，在實際操作中真正落實最大利益原則，必須對其進行細化；其次，由于未成年人的年齡特征，其認知與行動能力均存在局限，因此對他們實施的最關鍵的保護措施是采用監護人制度；最后，個人信息自主決定的關鍵在于“告知”與“同意”兩種權利的落實，未成年人對于互聯網上的隱私條款了解程度遠遠低于成人，在責任主體、適用對象、識別與敏感方面也存在著一定的差異。所以，對未成年公民的個人信息進行有效的保障，其核心應由父母或其他監護人替代子女行使知情權和同意權。

二、監護人同意制度的實施與困境

（一）監護人同意制度的立法現狀

《民法典》在其第六章“隱私與個人信息保護”中進行了詳細的規范，此后又增設了這樣一條規定：“對于收集、利用未成年人等沒有民事行為能力、限制民事行為能力人的個人信息時，必須取得其監護人的同意，另有規定的除外。”

《中華人民共和國未成年人保護法》第72條對涉及不到14周歲的未成年人的個人信息進行了詳細的說明，即必須征得未成年人的父母或其他監護人的同意。

《信息安全技術個人信息安全規范》規定：“對于14歲以下未成年人，在收集其個人的信息時，需要得到其監護人的明確同意，而對于14周歲以上的未成年人則可以由其本人或其監護人的明示同意。”

《兒童個人信息網絡保護規定》（以下簡稱《規定》）規定：“要按照未成年人最大利益原則的適用進行相關的立法，對有關網信單位的工作職責、運營商所承擔的義務和法律責任等進行了詳細的規定。”

（二）未成年人個人信息保護的年齡界定

美國《兒童在線隱私保護法案》（COPPA）所涉及的商業網站和網上服務對象均為13周歲以上的未成年人。2018年，《兒童反追蹤法案》修改了對兒童年齡的相關規定，將保護制度擴大到了“12至16歲的未成年人”。歐盟《通用數據保護條例》（GDPR）則將兒童的年齡設定為16歲，且規定其各成員國可以設定大于13周歲的年齡標準[1]。

我國的《個人信息安全規范》《兒童個人信息網絡保護規定》的適用對象均為14周歲以下，《民法典》《未成年人保護法》規定的未成年人則是指18周歲以下。設定未成年人年齡界限的目的是為了以限制性保護來維護未成年人的合法權益，《個人信息安全規范》將未滿14周歲的個人信息定義為敏感信息，該規范是一部在我國有著巨大影響力的法律法規，受到了相關部門的高度關注。由此，14歲已然成為我國現有的未成年人權益保護零散法律規范中較為明確的年齡界限。

（三）監護人同意制度形同虛設

目前，針對未成年人個人信息的電子設備，運營商有義務告知其監護人并征得其同意，但現有的相關制度還存在諸多缺陷。首先，許多網站經營者所提供的通知條款含有各種法律術語和計算機用語，大部分的監護人都會直接略過通知的內容來進行確認，因此監護人的明示是不能確定的。其次，由于互聯網科技發展迅速，對于受教育程度不同的監護人員而言，一些青少年使用電子設備上網的水平要高于他們的監護人。最后，未成年人的監護人作出同意他人收集、使用其個人信息決定時，應以其個人利益最大化為原則。在大數據環境下，基于“知情同意”的信息主體實現合理決策的實際能力遠低于原本的假設水平，所處決策環境會弱化“知情同意”的有效性[2]。

三、域外未成年人個人信息保護之考察與啟示

（一）域外未成年人個人信息保護制度的考察

1.美國的《兒童在線隱私保護法》

美國將青少年的隱私保護重點主要是針對13歲以下的兒童，并規定要盡到“通知與獲得同意”的義務。網絡運營商在為兒童用戶提供的服務中分為兩類，如果是一般的用戶，那么在得知使用者是兒童的時候，就應該對其監護人盡到“告知和獲得同意”的義務；如果以兒童為對象的互聯網業務經營者而言，則要求在采集兒童的個人信息前，通過彈出的畫面采集使用者的年齡信息，以區別兒童使用者和非兒童使用者，并履行告知家長的“告知與獲得同意”的義務。COPPA同時還賦予了監護人審查權、刪除權、拒絕收集權及使用權，并作了一些例外規定：“如果網站經營者出于為兒童網站更新、在線信息、密碼提醒等情形時獲取兒童的姓名及聯系方式，則不需征得其監護人的同意。”

2.歐盟的《通用數據保護條例》

歐盟的GDPR對于未成年人個人信息保護的年齡，各個會員國可在13至16歲自行決定，詳細地規范了個人信息主體的權利以及個人信息控制者的責任，例如知情同意基于自愿、具體、知情、明確這四個條件。被遺忘權是GDPR中最為顯著的一項授權條款，GDPR將被遺忘權利的范圍擴大到了未成年人，部分原因在于未成年人在同意采集自己的個人信息時并沒有認識到信息泄露造成的危害性，其第17條明確指出：“信息主體有權請求控制方刪除，信息控制者還需對該信息進行加工的其他控制者行使被遺忘權的告知義務。”

（二）對我國的啟示

我國關于個人信息保護的相關法律規定分散在不同的立法和規章中，《個人信息保護法》的正式實施為未成年人的個人信息保護提供了一個良好的環境。但隨著社會的發展，個人信息也很有可能成為互聯網上的輿論對象，所以需要政府的強制力來支持，并對政府機關、行業領域、監護人的職責和責任進行界定，建立起對未成年人個人信息的保護的根本準則和制定具體的立法制度；同時，行業協會的建立與完善是行業自律的關鍵，它要求社會各界在技術改進、承擔監督責任等方面積極主動地遵循和合作。此外，我國對于信息監控者的責任和義務的界定還不清楚，GDPR中的一些條款有一定的參考價值；在立法上也存在一定的滯后性，政府部門和行業領域以及監護人之間應該加強協作和溝通，并積極鼓勵各行各業，提出一套符合我國國情、未成年人個人信息保護的網絡保護法律法規。

四、未成年人個人信息保護中監護人同意制度的完善路徑

（一）完善個人信息保護法

為促進有關企業和團體加入到未成年人的網絡保護工作中，需制定關于未成年人網絡保護的行業自我管理指南，并指導各個行業群體加強對未成年的網上安全的保護等條款。但在實際操作中，雖然相關行業自律機構的自主權逐漸被拓展，但并沒有從根本上改變這些機構仍處于被國家和有關主管機關控制的狀況[3]。在未來相當長的一段時期內，我國應將重點放在加強我國在個人信息保護方面的自我約束，并以此為基礎對其進行必要的輔助和補充；此外還需要對未成年人信息保護進行相關的宣傳和教育，以增強未成年人的自我防護能力，監護人或家長對互聯網及隱私策略的認識，并根據最有利于未成年人的原則，適時地行使拒絕權利。

（二）擴大未成年人個人信息保護的年齡界限

我國《規定》對未成年人的個人信息限定在14周歲以下的范圍內，對年滿14周歲以上18周歲以下的未成年人的個人信息只進行了簡單的保護。但是，初中生才是青少年上網的主體，其在網上的暴露程度愈高其隱私受到侵犯的風險也就愈大，所以對未成年人個人信息的特殊保護應當擴大對未滿18周歲的未成年人[4]。對于14歲以下的青少年，以未成年人的最大利益為原則，采用嚴密的監護人同意原則對其加以制約與限制，嚴格實行采取“監護同意”的“替代決定”原則；而對于14周歲以上18周歲以下的未成年人，在未成年人的“自由意志”的前提下實現對其利益的均衡，建議采用“協助決定”的監護方式[5]；此外，根據《民法典》的相關規定，對于16歲以上的未成年人通過其本人的勞動收入為主要生活來源的，可以充分地享有自己的信息自決權。

（三）明確同意效力規則

信息行業者即使征得了監護人的同意，仍然存在“同意”無效的情形，且基于“同意”后的處理行為也存在“無效”的情況，甚至是存在“違法”的可能性。我國《規定》新增了“監護人明確同意”這一條款，并提出了“明確、具體、透明和自愿”的要求，這與GDPR的要求基本一致；但是從本質上講，在用戶身份識別、可證實同意等方面，我們還缺少明確的規范。因此，在此基礎上，提出以“合理程度”與“技術水平”等指標為評價指標，采用電子郵件、銀行記錄、人臉識別等方法構建認證模型，并對于特殊的行業、特殊的領域，根據實際情況和技術方法確定并追溯監護人的同意。

（四）建立撤回同意規則

《規定》對未成年人的“刪除權”也作了明確的規定，即在監護人撤回同意、未成年人要求停止提供其所需的服務后，網站經營者應立即、切實地將未成年人的個人信息予以清除。鑒于未成年人身體和心理發育的特征，當他們成長到一定的年齡后，仍然有權利讓經營者將有關的數據進行刪除，此外還應將“撤回同意”與“刪除”這兩項制度進行整合并對其加以完善。需要考慮的是，如果在造成了損害結果之后才撤銷，那么這一原則的作用就會大大減弱，需持續對信息控制者實施動態監控。因此，還需要設立一個積極的公開體系，以便未成年人及其監護人可實時查看受控信息情況。

五、結語

在我國的立法中，對未成年人的個人信息保護法律法規非常零散，雖然《個人信息保護法》《規定》等法律法規作了相關規定，但卻沒有把未成年人的個人信息保護作為一個專門的條款來處理。在借鑒了域外國家對未成年人個人信息的保護的經驗之后，根據我們的現實情況，在各方的共同努力下，通過構建一個由政府為領導的未成年人個人信息保護平臺，培養和提升行業、未成年人及其監護人的數字素養，從而保證監護人同意機制的切實實施。

參考文獻：

[1]Daniel J. Solove， Privacy Self－management and the Consent Dilemma[J].Harvard Law Review，1880－1903（2013）．

[2]吳泓.信賴理念下的個人信息使用與保護[J].華東政法大學學報，2018，21（1）：22-36.

[3]張繼紅.大數據時代個人信息保護行業自律的困境與出路[J].財經法學，2018（6）：57-70.

[4]張曉冰.未成年人個人信息保護的差異分析[J].中國青年社會科學，2019，38（4）：114-119.

[5]蔡一博，吳濤.未成年人個人信息保護的困境與制度應對——以“替代決定”的監護人同意機制完善為視角[J].中國青年社會科學，2021，40（2）：126-133.

基金項目：畢節市2023年度全市黨校（行政學院、社會主義學院）系統校級課題，課題名稱：法治畢節示范創建的實踐與思考（課題編號：Bjdx202312）。

作者簡介：古春（1994.7-），女，漢族，貴州畢節人，碩士，教師，研究方向：民商法學；

吳桂蘭（1973.11-），女，漢族，貴州畢節人，研究生，副教授，研究方向：農業、農村經濟學。