馮孟宇

（桂林電子科技大學(xué) 法學(xué)院，廣西 桂林 541004）

一、未成年人個人信息概述

（一）未成年人個人信息概念及界定

1.未成年人個人信息的內(nèi)涵。未成年人與成年人不同，其個人信息是一個從無到有、不斷積累的變化過程。其在接受義務(wù)教育前的個人信息更多涉及的是姓名、性別、身份證號碼以及生物識別信息等固定信息；接受學(xué)校教育之后，伴隨出現(xiàn)更多與未成年人相關(guān)的信息，例如其受教育情況、通訊方式、外出路線等，這些信息被泄露的概率更大。

綜合上述各種因素，筆者在對《網(wǎng)絡(luò)安全法》《民法典》以及相關(guān)法律法規(guī)中對個人信息內(nèi)涵規(guī)定研究的基礎(chǔ)上，總結(jié)未成年人個人信息的定義為：以各種方式記錄的、未成年人的線上線下學(xué)習(xí)生活中的、不斷發(fā)展變化的、具有關(guān)聯(lián)性和可識別性的個人信息。

2.未成年人個人信息保護的年齡標準。未成年人個人信息保護中的年齡問題在我國一直存在爭議，2019年10月1日起開始施行的《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》（以下簡稱《規(guī)定》）第二條①規(guī)定未成年人的年齡以十四周歲為界限。該規(guī)定考慮的主要是一般未成年在完成九年義務(wù)教育之后基本是在十四周歲，此時他們具備一定辨別是非的能力，而且有其他國家將未成年人的年齡界定為十四周歲，這對于我國未滿十四周歲的未成年人個人信息權(quán)的國際保護是非常有利的。但是，立法者對十四周歲到十八周歲之間的未成年人的個人信息權(quán)益的保護仿佛沒進行過多的討論，也未進行相應(yīng)的立法規(guī)制。

有學(xué)者認為，從受教育以及勞動權(quán)相結(jié)合的角度來看，由于十六周歲以上的未成年人一般都接受過義務(wù)教育并且法律規(guī)定其有權(quán)參加社會工作，對于那些自己參加社會勞動獲得相應(yīng)勞動報酬的未成年人可被視為完全民事行為能力人，因此，未成年人個人信息保護年齡標準應(yīng)為十六周歲以下。［1］但是我國人口基數(shù)有十四億，十六周歲到十八周歲的未成年人還占據(jù)著未成年人總數(shù)的一部分比例，相應(yīng)的他們的個人信息保護問題不容小覷。即使其中可能包括在讀大學(xué)生，由于其社會經(jīng)驗的欠缺，會在他人或者網(wǎng)絡(luò)軟件的誘惑下不經(jīng)意間泄露自己的個人信息。未成年人本身作為弱勢群體，基于其自身的特點，處于理性、保護、救濟的弱者地位。［2］未成年人階段是一個從零開始的階段，不同階段存在有不同的隱藏風(fēng)險，所以筆者認為對未成年人個人信息保護的主體年齡應(yīng)當以未滿十八周歲為標準。

（二）未成年人個人信息法律保護的必要性

1.大數(shù)據(jù)發(fā)展沖擊著未成年人個人信息的安全。大數(shù)據(jù)時代極強的信息收集能力對未成年人可能會造成難以磨滅的損害。由于未成年人不健全的意思自治，使得他們在熱情接納新鮮事物的同時不經(jīng)意間就將自己的個人信息泄露了出去。我們很難想象這些信息一旦被他人利用，會產(chǎn)生怎樣的后果。現(xiàn)在大數(shù)據(jù)的收集能力已經(jīng)足以滿足信息的無限制性和無限范圍的傳播，大數(shù)據(jù)時代對未成年人的個人信息的沖擊之一就是網(wǎng)絡(luò)暴力。隨著網(wǎng)絡(luò)小視頻的興起，極大地勾起未成年人的模仿欲望，其中不乏一些內(nèi)容稍顯低俗的視頻。當未成年人將類似的視頻放到網(wǎng)絡(luò)平臺上時，或者是當我們在網(wǎng)絡(luò)平臺上看到這些視頻時，有沒有想過網(wǎng)絡(luò)平臺是否經(jīng)過了未成年人的同意就將該類含有大量未成年人敏感信息的視頻放到網(wǎng)絡(luò)上？雖然我國有類似于被遺忘權(quán)或者刪除權(quán)，但是在大數(shù)據(jù)時代，這種止損方式的成效微乎其微。

2.對未成年人個人信息的濫用存在“過度商業(yè)化”的可能。未成年人的個人信息作為當今大數(shù)據(jù)時代的一種稀缺資源，被越來越多的逐利之人緊盯。就目前環(huán)境而言，未成年人的個人信息存在“過度商業(yè)化”的可能。［3］一種情形是國內(nèi)親子檔真人秀對未成年人的價值觀的影響。在這種情形中受害的不只是觀眾中的未成年人，節(jié)目中的未成年明星也成了受害者，他們用自己的個人信息和隱私換來了成年人需要的金錢以及所謂的“名聲和粉絲”。另一種情形主要是針對未成年人的游戲或者玩具領(lǐng)域。因為其受眾主要是未成年人，所以商家會收集大量的未成年人信息，進行分析整合，以此來制定商業(yè)計劃。在這種收集未成年個人信息的領(lǐng)域，大部分商家選擇用某種獎勵機制來“引導(dǎo)”未成年人填寫相關(guān)隱私信息，未成年人難以經(jīng)受住獎勵機制的誘惑，就按照提示一步步將自己的個人信息泄露給商家，至于商家最后會如何使用這些信息我們無從可知。

二、我國未成年人個人信息保護的法律現(xiàn)狀及出現(xiàn)的問題

（一）立法現(xiàn)狀

2017年1月，《未成年人網(wǎng)絡(luò)保護條例（送審稿）》公布。該條例中對于使用未成年人個人信息時應(yīng)該遵守的基本原則作出了明確的要求，對網(wǎng)絡(luò)信息服務(wù)提供者的刪除、屏蔽義務(wù)也作出了詳細的規(guī)定，同時還作出了其他的禁止性規(guī)定。

2019年8月，《規(guī)定》出臺，這是我國第一部從個人信息方面專門對兒童進行保護的規(guī)定。其內(nèi)容主要涉及本國境內(nèi)兒童個人信息的網(wǎng)絡(luò)活動，并且本著嚴格保護兒童個人信息的原則，明確要求兒童個人信息的收集和處理必須遵守明示同意原則，切實履行作為網(wǎng)絡(luò)運營者的義務(wù)與法律責(zé)任，在自己的網(wǎng)絡(luò)平臺上設(shè)置專人，專職負責(zé)兒童個人信息保護方面的工作。但是鑒于該《規(guī)定》的法律效力極低，難以得到廣泛地適用。

2020年3月，《信息安全技術(shù)個人信息安全規(guī)范》（GB/T 35273-2020）出臺，該規(guī)范規(guī)定將14歲以下（含）兒童的個人信息列入“敏感個人信息”。

2020年5月28日通過的《民法典》也給個人信息的保護這一主題留下了法律設(shè)置的空間，將個人信息加入到人格權(quán)一編中，但是并未對未成年人的個人信息進行規(guī)定。

2020年10月修訂后的《未成年人保護法》以“最有利于未成年人”原則為核心，著力加強對“未成年人隱私權(quán)和個人信息”的保護力度，設(shè)立專章。其中第72條規(guī)定“信息處理者通過網(wǎng)絡(luò)處理未成年人個人信息的，應(yīng)當遵循合法、正當和必要原則”。此法的修改將會營造出更加清潔的未成年人網(wǎng)絡(luò)環(huán)境，對未成年人個人信息的保護也會更加有利。

（二）我國立法中存在的問題

1.有關(guān)未成年人個人信息保護的法律規(guī)范不成體系。隨著我國在個人信息法律保護方面的力度不斷加大，逐漸形成了以《憲法》為主干，以《民法典》《個人信息保護法》等法律為枝干的個人信息保護法律體系。反觀之，我國法律體系對于未成年人的個人信息的保護卻沒有集中的法律規(guī)定?！秲和瘋€人信息保護規(guī)定》作為我國未成年人信息保護的專項規(guī)定，詳細又具體，但是卻未將未成年人信息劃歸到敏感信息，而我國法律規(guī)定只有敏感信息涉及個人隱私的才會受到高標準的保護。我國的《兒童個人信息保護規(guī)定》與《信息安全技術(shù)個人信息安全規(guī)范》等事關(guān)未成年人個人信息保護的法律法規(guī)，并沒有做好與其他法律的銜接，不能對未成年人的個人信息進行科學(xué)有效的保護。

2.未成年人個人信息保護標準過高。我國對未成年人個人信息保護標準過高主要體現(xiàn)在對年齡界分的“一刀切”現(xiàn)象。我國《兒童個人信息保護規(guī)定》中關(guān)于未成年人的年齡范圍規(guī)定為十四周歲，那么在現(xiàn)實生活中就會出現(xiàn)十四周歲到十八周歲的未成年人的個人信息得不到法律保護的法律障礙。這樣的規(guī)定從法的適用來看，可以很好地限制司法機關(guān)的自由裁量權(quán)，但是實際上忽視的是不同年齡段中未成年人的差異，這對于不同環(huán)境中成長的未成年人是極大的不公平。

3.監(jiān)護人同意制度的虛化。在我國對相關(guān)軟件的不斷規(guī)制下，關(guān)于未成年人使用的涉及未成年人個人信息的軟件，相關(guān)運營商有義務(wù)告知其監(jiān)護人并獲得監(jiān)護人的同意。例如在愛奇藝等視頻軟件中，打開之后會自動彈出是否需要進入青少年模式，至于觀看視頻的是否是未成年人或者是否有監(jiān)護人在旁一起觀看，運營商則在所不問，所以該告知同意制度還存在問題。

第一，網(wǎng)絡(luò)運營商提供的隱私政策以及相關(guān)知情同意的內(nèi)容很復(fù)雜，而且內(nèi)容極長，并且在文件內(nèi)容中還會涉及多項專業(yè)術(shù)語，這對于普通的監(jiān)護人來說，首先能堅持讀完相關(guān)內(nèi)容就是一個小挑戰(zhàn)，現(xiàn)實中大部分監(jiān)護人還是會選擇直接跳過相關(guān)內(nèi)容點擊同意。其次，即使監(jiān)護人能夠堅持看完每一個條款，但是對于其中的專業(yè)術(shù)語更是不知所云，再加之對于網(wǎng)絡(luò)運營商計劃的對于披露個人信息的豁免條款的復(fù)雜性，導(dǎo)致相關(guān)協(xié)議并未達到簡潔明了的地步，這無疑是對監(jiān)護人的一種考驗。而且在現(xiàn)實生活中還有很多沒有受到相關(guān)教育的監(jiān)護人，并不會有意識地去利用青少年模式或者未成年模式。

第二，未成年人監(jiān)護人身份的確認問題。現(xiàn)在有更多未成年人利用監(jiān)護人的設(shè)備進行娛樂，此時網(wǎng)絡(luò)運營商即默認娛樂軟件客戶端為成年人，所以對網(wǎng)絡(luò)用戶的身份驗證并不是一件容易的事。而且如果讓未成年人上傳戶口本等證明材料的話，那么就違背了信息收集的比例原則。

第三，監(jiān)護人知情同意下的“理性人”崩塌。大數(shù)據(jù)背景下，信息主體在知情同意前提下作出具有理性決定的實際能力與“理性人”理論預(yù)設(shè)程度相差很大，在內(nèi)部性決策困境與外部性決策的共同作用下削弱了“知情同意”的實效。［4］信息主體即使沒有上傳任何個人信息，大數(shù)據(jù)也會利用信息主體在各個角落中遺落的個別極為分散的信息，進行加工整合，形成對具體信息主體的識別與判定。經(jīng)過這種日積月累的信息積攢，使得信息主體并不能對自己的決策風(fēng)險進行預(yù)測，當然這也遠遠超過了信息主體的有限的理性。

三、國外未成年人個人信息保護制度的分析與啟示

（一）美國相關(guān)制度的規(guī)定

美國高度重視未成年人的身心發(fā)展，其制定了未成年人個人信息領(lǐng)域的第一部專門的法律文件，開創(chuàng)了未成年人個人信息專門立法的先河。其在1998年頒布的《兒童在線隱私保護法》（Children’s Online Privacy Protection Act，下文簡稱COPPA）中，立法者提出要對未成年人在網(wǎng)絡(luò)領(lǐng)域的隱私給予特殊的保護，不得不說這一規(guī)定體現(xiàn)出立法者的長遠目光。在該法中有兩項內(nèi)容是具有開創(chuàng)性的。

其重要內(nèi)容之一就是對未成年人年齡的明確規(guī)定。該法保護13歲以下的未成年人的個人隱私，13歲以下的未成年人的個人信息經(jīng)合法收集后，應(yīng)將其置于安全、免受他人侵害的環(huán)境中，且需要保證其個人信息的完整性。之外還確立了監(jiān)護人同意制。對于針對兒童用戶的網(wǎng)絡(luò)服務(wù)運營者，COPPA規(guī)定網(wǎng)絡(luò)運營者也應(yīng)當在收集兒童個人信息之前通過彈出的屏幕來收集用戶的年齡信息以區(qū)分兒童用戶與非兒童用戶，并將識別出來的兒童用戶履行向其父母進行“通知與獲得同意”的義務(wù)。［5］

這兩項措施雖然具有開創(chuàng)性，但是自2000年實施以來也出現(xiàn)不少爭議。首先就是其中關(guān)于年齡的規(guī)定與《兒童權(quán)利公約》中規(guī)定的十八周歲以下有所沖突，而且這種一刀切的規(guī)定也容易使得十三歲以下的未成年人并不能擁有其該有的權(quán)利，對于十三歲以上的晚熟的未成年人也沒能給予很好的保護，所以該規(guī)定過于僵硬。其次對于監(jiān)護人同意制，假使未成年人極度依賴網(wǎng)絡(luò)，則會出現(xiàn)未成年人假借監(jiān)護人的設(shè)備進行認證同意，未成年人對于個人信息保護并沒有成熟的認知，所以不僅未成年人的信息極易被泄露，其監(jiān)護人個人信息被泄露的風(fēng)險也會急劇增加。

（二）歐盟相關(guān)制度的規(guī)定

歐盟的《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，下文簡稱GDPR）堅持以兒童友好規(guī)則作為未成年人個人信息保護的指導(dǎo)精神。在界定未成年人個人信息保護的年齡時，對各成員國的要求是在十三到十六周歲的范圍內(nèi)自主確定未成年人個人信息保護的年齡。［6］所謂兒童友好原則，是指網(wǎng)絡(luò)運營者在采集未成年人個人信息時，必須以簡明、清楚的方式說明其正在收集未成年人的個人信息，并在涉及信息處分的條款時，必須以顯著的標志引起未成年的注意。［7］

歐盟GDPR是當今世界對個人信息規(guī)定比較詳細的法律，比美國COPPA的標準更高。比如在GDPR中對于知情同意的規(guī)定是建立在自愿、具體、知情、明確四個條件之上的，并且賦予個人信息主體撤回同意權(quán)、查閱權(quán)、被遺忘權(quán)以及個人信息可移植權(quán)。根據(jù)GDPR的第17條規(guī)定，②信息主體理應(yīng)享有被遺忘權(quán)，成年人、未成年人都應(yīng)當享有這項權(quán)利，之所以規(guī)定未成年人享有被遺忘權(quán)，是因為未成年人在同意相關(guān)協(xié)定時并不知道自己的個人信息正在被收集，當未成年人享有該項權(quán)利之后，就可以要求相關(guān)網(wǎng)絡(luò)運營商或者其他主體對其信息進行刪除。

（三）對我國的啟示

1.明確相關(guān)規(guī)定的標準。我國作為典型的大陸法系的成文法國家，應(yīng)當在出臺《個人信息保護法》的前提下，逐步樹立起未成年個人信息保護的法律意識，并推動相關(guān)法律的制定。在我國大數(shù)據(jù)產(chǎn)業(yè)高速發(fā)展的時期，在疫情防控的關(guān)鍵時期，在國家需要對個人信息進行收集的必要時期，需要國家盡快明確未成年人個人信息保護的年齡范圍、未成年人享有的相關(guān)權(quán)利，以彌補相關(guān)法律的空白。

2.明確信息控制者的責(zé)任。我國信息產(chǎn)業(yè)的飛速發(fā)展讓信息采集者得到了豐厚的利益回報，但是我國對于信息采集者并沒有作出專門的責(zé)任義務(wù)規(guī)定。在這方面，歐盟GDPR對信息控制者的范圍從專業(yè)性與認知性兩方面做出了明確的規(guī)定，值得我國借鑒。

四、我國未成年人個人信息保護法律的完善

（一）增加對未成年人個人信息的法律保護規(guī)定

1.完善個人信息保護法。已經(jīng)出臺的《個人信息保護法》并沒有專門的章節(jié)對未成年人的個人信息保護作出相關(guān)規(guī)定，而專屬于未成年人的《未成年人保護法》中，對于未成年人個人信息的規(guī)定也大多是原則性內(nèi)容，更不用說《兒童個人信息保護規(guī)定》了，作為一個適用效力極低的規(guī)范性文件，并不能在全國范圍內(nèi)起到實質(zhì)性的懲罰作用。所以，針對未成年人個人信息保護，要最大限度地尊重未成年人的法律地位，在立法中要時刻保持理性的思維，堅持公共利益和未成年人個人利益的和諧發(fā)展。除此之外，還需要對未成年人個人信息保護進行集中規(guī)定，制定專門的法律或者在相關(guān)法律中進行專章規(guī)定，從而提高對其個人信息保護的便捷性與操作性。

2.建立監(jiān)護人的任意撤回制度。同消費者撤回權(quán)相比，信息采集者與網(wǎng)店經(jīng)營者所負擔(dān)的成本是大相徑庭的。從金錢成本上看，消費者在行使撤回權(quán)時，經(jīng)營者要承擔(dān)運費、重新包裝的費用，［8］相反信息采集者并沒有付出多大的成本，便輕而易舉地收集到大量的個人信息。所以，對于未成年人個人信息保護來說，可以賦予其監(jiān)護人任意撤銷權(quán)，并且不需要對信息采集者給予利益損失的賠償。該項制度也會縮小信息采集者與未成年人一方信息不對稱的差距。

3.建立懲罰性賠償機制。雖然在補償性損害賠償和懲罰性賠償中，大陸法系國家的傳統(tǒng)民法理論認為懲罰性賠償是不可取的，主張救濟的數(shù)額不能超過損失的數(shù)額，“私法上的懲罰是不可接受的”。［9］但是從目前在我國的《消費者權(quán)益保護法》中規(guī)定的懲罰性賠償機制及其適用情況來看，效果還不錯，能夠規(guī)制大多數(shù)生產(chǎn)經(jīng)營者的生產(chǎn)經(jīng)營行為，所以我們嘗試在未成年人個人信息保護中納入懲罰性賠償機制未嘗不可。惡意的信息采集給社會和未成年人帶來了嚴重的損害，如若不利用懲罰性賠償措施對信息采集者進行規(guī)制，那么他們的采集信息行為會越發(fā)猖狂，最后可能會出現(xiàn)難以收場的地步，這對未成年來說將是巨大的災(zāi)難性損害。

（二）降低未成年人個人信息泄露的風(fēng)險

1.賦予未成年人被遺忘權(quán)。舍恩伯格認為，我們的很多舉止行為都被存儲在數(shù)據(jù)之中，而這完整的數(shù)據(jù)被他命名為“數(shù)字圓形監(jiān)獄”，在未來不同的時代中，都會有不同的人來查詢我們的行為，并進行批判。［10］所以，我國法律可以嘗試賦予未成年人以及長大之后的成年人被遺忘權(quán)。享有該項權(quán)利的人不僅可以在其處于未成年階段要求網(wǎng)絡(luò)信息服務(wù)者刪除網(wǎng)絡(luò)中的相關(guān)個人信息，而且在其長大成年以后，仍然可以要求相關(guān)信息使用者刪除自己未成年時期留下的個人信息。這樣規(guī)定是對相關(guān)主體在網(wǎng)絡(luò)服務(wù)提供者利用未成年人的不知情將其個人信息散布在網(wǎng)上獲取利益而使得該未成年人長大以后喪失要求網(wǎng)絡(luò)服務(wù)提供者刪除相關(guān)信息的權(quán)利的一種保護。

2.重新構(gòu)建未成年人個人信息匿名化法律標準。數(shù)據(jù)技術(shù)的飛速發(fā)展使得法律上的匿名化標準也要及時更新，跟上時代的要求，傳統(tǒng)的匿名化標準已不能滿足當今社會的需求，應(yīng)當將與個人信息有關(guān)的其他因素納入考慮范圍當中。［11］信息匿名化就是經(jīng)過處理的個人信息，他人無法使用這種信息進行識別特定的人，并且該信息不可再進行恢復(fù)的一種處理技術(shù)。我國《網(wǎng)絡(luò)安全法》中第四十二條對此作出了相關(guān)規(guī)定，③匿名化處理只有滿足無法識別與不能復(fù)原兩個標準時，才可以稱得上是法律意義上的匿名化處理。舊標準不能再被應(yīng)用到新時代發(fā)展之中，所以針對未成年人個人信息這種寶貴的社會資源要執(zhí)行嚴格的匿名化標準，將其置于最高的級別。

注釋：

①《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》第二條：“本規(guī)定所稱兒童，是指不滿十四周歲的未成年人?！?/p>

②GDPR第17條：1.數(shù)據(jù)主體有權(quán)要求控制者及時刪除其個人數(shù)據(jù)，并且在以下理由之一的情況下，控制者有義務(wù)及時刪除數(shù)據(jù)主體的個人信息：……2.如果數(shù)據(jù)主體已經(jīng)請求這些控制者們刪除相關(guān)個人數(shù)據(jù)的任何鏈接、副本或復(fù)制件，但控制者已將個人數(shù)據(jù)公開，并且根據(jù)第1款有義務(wù)刪除這些個人數(shù)據(jù)，控制者在考慮現(xiàn)有技術(shù)及實施成本后，應(yīng)當采取合理步驟，包括技術(shù)措施，通知正在處理個人數(shù)據(jù)的控制者們。

②《網(wǎng)絡(luò)安全法》第四十二條規(guī)定：“網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息.但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外.網(wǎng)絡(luò)運營者應(yīng)當采取技術(shù)措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失.在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應(yīng)當立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告?！?/p>