孟曉麗

(阜陽師范大學 法學院,安徽 阜陽 236000)

2021年3月11日，杭州互聯(lián)網(wǎng)法院調(diào)解一起由杭州市余杭區(qū)人民檢察院訴國內(nèi)短視頻公司侵犯兒童個人信息民事公益訴訟案，據(jù)悉，這是我國《民法典》實施及《未成年人保護法》修訂后，全國首例未成年人網(wǎng)絡保護民事公益訴訟案。(1)參見朱雅萌:《中國審判》2021年度十大典型案例之七:全國首例未成年人網(wǎng)絡保護民事公益訴訟案,2021年3月17日,https://www.spp.gov.cn/spp/zdgz/202103/t20210317_512919.shtml,2022年2月6日。在本案中，該公司開發(fā)的App應用軟件，未經(jīng)過兒童父母或其監(jiān)護人同意，就允許兒童注冊賬戶，并私自收集、處理、儲存兒童信息，未采取任何保護措施，就向具有相關瀏覽喜好的用戶直接推送含有兒童個人信息的短視頻。這種行為不僅違反了《民法典》中自然人個人信息受法律保護的基本規(guī)定，而且嚴重損害了未成年人信息權益，對其權益造成無法逆轉(zhuǎn)的侵害，甚至對其未來產(chǎn)生持續(xù)性負面影響。中國消費者協(xié)會2018年發(fā)布的《App個人信息泄露情況調(diào)查報告》顯示：個人信息泄露的人數(shù)占受訪者85%以上。除了常見的手機、平板電腦、智能手表、運動手環(huán)等，一些備受兒童喜愛的智能玩具也在侵犯兒童信息權益。最著名的例子是2015年美泰公司生產(chǎn)的“智能芭比”娃娃。該娃娃讓隱私保護人士擔憂：使用語音識別技術的兒童錄音被發(fā)送給第三方公司進行處理，可能透露兒童的私人想法和相關細節(jié)。所有數(shù)據(jù)收集和處理方法都可能侵犯兒童信息權益，例如數(shù)據(jù)挖掘技術可以在網(wǎng)上創(chuàng)建詳細的兒童人口統(tǒng)計和行為特征，引發(fā)隱私和知識所有權問題。(2)參見 Gibbs,S,“Privacy Fears over‘Smart’Barbie that can Listen to your Kids”, The Guardian,13 March.Accessed at https://www.theguardian.com/technology/2015/mar/13/smart-barbie-thatcan-listen-to-your-kids-privacy-fears-mattel.網(wǎng)絡信息化時代，在兒童利益最大化的國際共識下，未成年人信息、隱私保護正在成為各國重視的專門領域。我國2020年修訂后的《未成年人保護法》新增專章“網(wǎng)絡保護”的規(guī)定，以應對“線上世界”這一形塑兒童價值取向、生活學習方式的重要場域所帶來的挑戰(zhàn)。兒童信息權益保護法律體系的構建不可能一蹴而就，日臻完善的前提是需要對我國現(xiàn)行兒童信息保護法律法規(guī)進行剖析和歸納。由此，筆者以20世紀末以來頒布施行的相關法律規(guī)定為基礎，以“是否認可兒童個人信息的獨立價值”為劃分標準，對30余年來兒童信息權益保護法律制度的進程進行探析，從中研究相關制度的內(nèi)容和特征，試圖為構建我國新時代兒童信息權益保護法律體系提供歷史借鑒和理論參考。

根據(jù)“是否認可兒童個人信息的獨立價值”這一標準，可以把20世紀末以來我國兒童信息保護法律制度的發(fā)展劃分為三個階段：以隱私為進路的保護階段(1991—2012)、兒童個人信息獨立保護階段(2013—2020)和兒童信息專業(yè)化保護階段(2021—)，每個階段都有不同的法律規(guī)范內(nèi)容，呈現(xiàn)出不同的階段性特征。

一、以隱私為進路保護兒童信息權益階段(1991—2012)

(一)主要內(nèi)容：構建了以隱私權為中心的兒童信息保護框架

1991年我國頒布了《未成年人保護法》,首次明確了家庭、學校、社會和司法在保護未成年人方面的義務和責任，構建了家庭、學校、社會和司法四位一體的兒童保護法律框架。(3)參見尹力:《良法視域下中國兒童保護法律制度的發(fā)展》,《北京師范大學學報》2015年第3期，第44頁。在該階段，很多兒童保護條款比較籠統(tǒng)和概括，并沒有對兒童個人信息這一領域作出特別規(guī)定，也沒有認識到未成年人個人信息的獨立價值，鑒于個人信息與隱私在內(nèi)容、邊界等方面存在一定交叉和相似性，該階段對兒童個人信息的保護主要體現(xiàn)在對其隱私的保護。(4)參見《未成年人保護法》(1991年)第30條:“任何組織和個人不得披露未成年人的個人隱私?！背诉@一專門法律外，我國《憲法》《刑法》中均有保護未成年人的法律條款，大多宣明了保護未成年人權益的立法宗旨，但沒有涉及未成年人個人信息保護的具體規(guī)定。

(二)主要特征：宣示性和消極性

從該階段相關法律規(guī)定可以看出，這一階段的兒童信息保護主要呈現(xiàn)以下兩大特征：

第一，保護路徑上的宣示形式。這一階段，包括兒童在內(nèi)的自然人主體個人信息的獨立價值并未被認可，但是隱私權作為一種民事權利，并被相關學者認為是優(yōu)先于個人信息權益的高位階權利，具有適用的優(yōu)先性。(5)參見張新寶:《個人信息收集：告知同意原則適用的限制》,《比較法研究》2019年第6期，第16頁?！段闯赡耆吮Ｗo法》對未成年人個人信息保護路徑是通過保護兒童的隱私利益,而且是采取“不得披露”的消極性保護路徑，并不是主動設計相關措施來積極維護兒童信息權益。通過個人隱私來保護兒童信息通常是在隱私權沒有受到侵害前，兒童及其監(jiān)護人往往不能主動作為，而在權利受到侵害后的事后救濟顯然收效有限，因為此時對兒童的傷害已然客觀存在，故而，不得披露兒童隱私的保護路徑難以獲得前瞻性的法律保護效果，這說明《未成年人保護法》的施行在某種意義上仍停留在形式上宣示意義的狀態(tài)。(6)參見尹力:《良法視域下中國兒童保護法律制度的發(fā)展》,《北京師范大學學報》2015年第3期，第41頁。

第二，缺少法律責任條款。以《未成年人保護法》為代表的相關法律規(guī)定中，只規(guī)定了假定、處理部分，鮮有涉及制裁部分或雖有但處于語焉不詳?shù)臓顟B(tài)，法律責任是保障法律規(guī)范實現(xiàn)的約束條款，若沒有法律責任條款，一旦披露兒童隱私，沒有違法成本，威懾作用就會很有限。如《未成年人保護法》第30條規(guī)定，任何組織和個人不得披露未成年人的個人隱私。此處任何組織和個人雖然范圍廣泛，但是保護力度有限，對于違反規(guī)定，非法披露兒童隱私承擔什么樣的損害賠償責任、采取怎樣的救濟措施、是否承擔刑事責任等并未規(guī)定。

二、兒童個人信息受到獨立保護階段(2013—2020)

(一)主要內(nèi)容：兒童個人信息保護框架初步形成

這一階段，立法機關對《未成年人保護法》進行了修訂，同時也頒布了涉及兒童個人信息的法律法規(guī)，與前一階段具體內(nèi)容截然不同：

第一，2020年修訂了《未成年人保護法》，以專章形式增加了網(wǎng)絡保護規(guī)定，以該章為引領，兒童個人信息保護框架初步形成。國家、社會、學校、家庭協(xié)同合作、各司其職，共同保護未成年人個人信息安全，網(wǎng)絡信息的每一個環(huán)節(jié)都貫穿保護未成年人理念。(7)參見劉宇軒:《我國未成年人保護體系的構建分析》,《青年探索》2022年第1期，第65頁。該法第72條明確規(guī)定：信息處理者處理不滿十四周歲未成年人個人信息的，應當征得未成年人的父母或者其他監(jiān)護人同意。學界一般將其稱之為“父母知情同意原則”。雖然父母知情同意原則無法完全規(guī)避兒童可能遭受的信息風險，但是將大大降低兒童信息未經(jīng)授權被濫用的風險。從具體保護措施上看，該條款首次明確了“父母有權要求信息處理者更正、刪除兒童信息，”細化了兒童信息保護規(guī)則，但是對父母在兒童信息保護中的其他責任尚未明確。

第二，在該階段，我國計算機和互聯(lián)網(wǎng)技術快速發(fā)展，云儲存、大數(shù)據(jù)為兒童生活學習提供了豐富的資源和便利，兒童可以在不離開家的情況下找到新的自由，開始新的體驗，學習新的專業(yè)知識，也要承擔新的風險。越來越多的兒童開始轉(zhuǎn)向互聯(lián)網(wǎng)為自己創(chuàng)造私人空間，開展網(wǎng)上“沖浪”。在家長和政策制定者的眼中，兒童的在線活動具有足夠的風險，例如色情、臟話、垃圾郵件，病毒以及泄露個人信息等。(8)參見Sonia Livingstone,“Children's privacy online:experimenting with boundaries within and beyond the familyComputers”,New York:Oxford University Press,2006,p.17.未成年人隱私信息泄露已成為該階段網(wǎng)絡空間中重點防范和規(guī)制的問題。由于缺乏數(shù)字技能和隱私風險意識，兒童比成年人更容易受到信息泄露的威脅，為了應對這些風險，我國相繼出臺了《信息安全技術 公共及商用服務信息系統(tǒng)個人信息保護指南》(2013年)(以下簡稱《信息保護指南》)、《網(wǎng)絡安全法》(2017年)、《兒童個人信息網(wǎng)絡保護規(guī)定》(2019年)(以下簡稱《兒童保護規(guī)定》)、《電子商務法》(2019年)、《信息安全技術 個人信息安全規(guī)范》(2020)(以下簡稱《信息安全規(guī)范》)等法律法規(guī)。區(qū)別于隱私權，兒童個人信息的獨立價值不僅得到了認可，而且受到前所未有的重視，初步形成了兒童個人信息保護框架。

(二)主要特征：相關規(guī)定不斷細化，但缺乏統(tǒng)合性

第一，該階段最大的特征是頒布了一系列涉及兒童信息的法律法規(guī)，并細化了相關規(guī)則。比如《信息安全技術個人信息安全規(guī)范》(2020年)按照年齡標準，將未成年人分為兩個年齡階梯予以不同保護：收集年滿14周歲未成年人的個人信息前，應征得未成年人或其監(jiān)護人的明示同意；不滿14周歲的，應征得其監(jiān)護人的明示同意?！秲和瘋€人信息網(wǎng)絡保護規(guī)定》(2019年)規(guī)定了網(wǎng)絡運營者、兒童監(jiān)護人、互聯(lián)網(wǎng)行業(yè)組織等主體的責任和義務，覆蓋了兒童個人信息的收集、存儲、使用、轉(zhuǎn)移、披露等全生命周期，確定了兒童個人信息網(wǎng)絡保護的原則和具體處理規(guī)則。提出了專門性要求：明確在征求同意過程中，應當提供拒絕選項(拒絕不影響繼續(xù)使用)。(9)參見何源:《數(shù)據(jù)法學》,北京:北京大學出版社,2020年,第295頁。

第二，通過對該階段相關條款統(tǒng)計分析可以發(fā)現(xiàn)：涉兒童信息保護的標準不一，特別是對兒童信息保護年齡設定不統(tǒng)一。我國有關兒童權益保護的法律法規(guī)、行業(yè)規(guī)范均設置了年齡界限，但并不統(tǒng)一，主要有14周歲、16周歲、18周歲這三個差異化年齡界分。即使針對兒童個人信息保護這同一事項，有關兒童年齡的界分也并不一致。例如，工業(yè)和信息化部信息安全協(xié)調(diào)司2013年實施的《信息安全技術個人信息保護指南》第5.2.7條以未成年人16周歲年齡界限作為敏感信息保護和監(jiān)護人同意條件，而《個人信息保護法》、修訂后的《未成年人保護法》、《兒童個人信息網(wǎng)絡保護規(guī)定》(2019年)、《信息安全技術個人信息安全規(guī)范》(2020年)都是以14周歲為分界點。原則上，不僅《信息保護指南》《信息安全規(guī)范》《兒童保護規(guī)定》等行業(yè)規(guī)范內(nèi)部要設置一致的年齡界分，而且也應該符合《個人信息保護法》這一上位法的規(guī)定。然而，目前的法律規(guī)定和行業(yè)規(guī)范現(xiàn)狀顯然是難以自恰的。兒童信息保護這一專門領域的系列法律法規(guī)出現(xiàn)的年齡不統(tǒng)一問題，會使法律適用陷入困境，并影響信息保護實效。

第三，以兒童信息保護為對象的法律規(guī)范，大多散見于層級較低的規(guī)章中。如2019年施行的《兒童個人信息網(wǎng)絡保護規(guī)定》只是國家互聯(lián)網(wǎng)信息辦公室頒布的部門規(guī)章，列入國家立法計劃的《未成年人網(wǎng)絡保護條例》也只是部門規(guī)章，可以看出，兒童信息保護專門立法層級不高。而一部分層級較高的法律，如《未成年人保護法》卻并不是兒童信息保護的專門立法，只是簡單提及兒童信息保護內(nèi)容，雖然提及了處理兒童信息時需監(jiān)護人同意，但并沒有具體明確的同意規(guī)則，缺乏對“同意”這一關鍵性法律概念的解釋。總體而言，該階段未成年人個人信息保護的相關規(guī)定散見于各種法律文件之中，缺乏一定的統(tǒng)合性及協(xié)調(diào)性，也沒有提供有效的行政保護和司法裁判依據(jù)。(10)參見傅宏宇:《我國未成年人個人信息保護制度構建問題與解決對策》,《蘇州大學學報》2018年第3期，第82頁。只能說該階段我國兒童個人信息保護框架初步形成，涉及兒童信息保護的法律法規(guī)數(shù)量較之前一階段，明顯增多，但是并不完善，難以認定未成年人信息保護法律規(guī)范已成統(tǒng)一體系。

三、保護兒童信息的專業(yè)化階段(2021—)

(一)主要內(nèi)容：兒童信息保護法律體系正式確立

2021年實施的《民法典》《個人信息保護法》以及2021年審議通過的《家庭教育促進法》三部法律均有關于兒童個人信息保護的規(guī)定。《民法典》第1035條明確規(guī)定：“處理個人信息要征得該自然人或者其監(jiān)護人同意”，因此，對于限制民事行為的未成年人要征得其監(jiān)護人同意；在《個人信息保護法》第28條中，對不滿十四周歲未成年人的個人信息加強保護，將該類信息全部歸入敏感個人信息。對于這些信息的處理，第31條明確規(guī)定：“個人信息處理者應當取得未成年人的父母或者其他監(jiān)護人的同意”；《家庭教育促進法》第5條規(guī)定，“要保護未成年人隱私權和個人信息”，將未成年人隱私權和個人信息權益這兩項保護并行提出，置于一條之內(nèi)，一方面彰顯了兩者的密切聯(lián)系，另一方面確立了我國未成年人隱私權與其個人信息區(qū)分規(guī)制的立法模式，標志著我國兒童信息保護法律體系正式確立，在獨立保護的基礎上，邁向了專業(yè)化的新階段。

與此同時，《中國兒童發(fā)展綱要》(2021—2030年)與中共中央《法治社會建設實施綱要(2020—2025年)都明確提出要制定《未成年人網(wǎng)絡保護條例》，這一立法計劃也在不斷推進之中。

(二)主要特征：全面保護兒童個人信息的獨立價值且充分體現(xiàn)保護之專業(yè)性

第一，該階段兒童個人信息已經(jīng)完全區(qū)別于隱私權，其獨立價值屬性已經(jīng)得到法律認可。兒童對其決定的性質(zhì)、程度以及后果的理解能力不及成年人，在兒童同意能力不足的情況下，基于對兒童作為互聯(lián)網(wǎng)用戶的保護主義立場，“數(shù)字育兒”的人際互動范式中，父母對兒童涉網(wǎng)行為應進行干預、監(jiān)督，避免兒童數(shù)據(jù)的商業(yè)利用及濫用，盡量避免兒童受到網(wǎng)上有害內(nèi)容的傷害，保護兒童作為數(shù)據(jù)權利人的人格尊嚴，盡量減少對兒童造成的不良影響和持久傷害。這一家長式的保護主要通過父母知情同意來實現(xiàn)，父母是兒童信息保護系統(tǒng)的關鍵角色。《民法典》《個人信息保護法》以及修訂后的《未成年人保護法》對于兒童信息收集、處理要求父母同意的特別保護規(guī)定，標志著父母知情同意原則法律地位的正式確定。

父母知情同意是指對未成年子女信息的自主決定和處理保護，其核心要義為知情決定權，主要包括父母對未成年子女信息被收集、披露、利用等的知情權，以及自己利用或者授權他人利用的決定權等內(nèi)容?！案改竿狻钡倪m用范圍非常廣泛，未成年人接受的所有的在線網(wǎng)絡服務都需要得到父母同意，父母通過事前決定，防止未成年子女信息被非法收集、濫用，旨在保障未成年人的人格利益和人身安全。獲得父母知情同意授權后，信息處理者便獲得了收集、利用兒童信息的合法性基礎。“通知家長征得同意”“選擇退出”“匿名化”這三大核心措施長期被用來保護兒童隱私及其個人信息，但是上述傳統(tǒng)保護路徑正在逐漸失效。因為信息的價值不僅僅局限于初次使用，還在于潛在的二次使用或后續(xù)使用。近年來，我國多發(fā)未成年人個人信息及隱私大規(guī)模泄露導致的次生侵權案件，如山東“徐某玉案”“借貸寶裸條案”等，社會影響極其惡劣。(11)參見汪全勝、宋琳璘:《我國未成年人網(wǎng)絡安全風險及其防范措施的完善》,《法學雜志》2021年第4期,第93頁。在大數(shù)據(jù)時代，即使在數(shù)據(jù)首次收集時“家長知情同意”能夠做到，可能也無法想象它們最具發(fā)掘性、創(chuàng)新性的二次用途或后續(xù)開發(fā)。信息處理者如何為尚未存在的目的提供通知？家長如何才能對未知事件給予知情同意？在大數(shù)據(jù)環(huán)境下，傳統(tǒng)的知情同意原則要么過于嚴格，無法挖掘信息數(shù)據(jù)的潛在價值，要么過于空洞，無法保護兒童的個人信息隱私。此外，信息處理者若違反知情同意，父母所享有的具體權利尚不明確，無法進行有效救濟。

第二，開始探索兒童信息保護的專業(yè)化之路。討論這一階段兒童信息保護法律規(guī)范的特征，離不開大數(shù)據(jù)算法運用這一時代背景。大數(shù)據(jù)技術擁有人可通過對搜集的數(shù)據(jù)進行分析，把人進行分類并將他們置于不同臨時群組，再把臨時群組作為決定的參考。米特爾施泰特認為，大數(shù)據(jù)技術擁有人可透過這些臨時群組去窺視群組成員的特征。(12)參見Brent Mittelstadt,“From Individual to Group Privacy in Big Data Analytics”,Journal of Philosophy Technology,Online First,2017.收集的兒童特征信息可以用于進一步剖析、分類目標群體，創(chuàng)建兒童消費偏好檔案，例如注冊在線服務時，他們經(jīng)常提供有關其“偏好”的信息：如感興趣的預購買物品、喜歡做的活動。大多數(shù)家長不太熟悉“數(shù)據(jù)追蹤”或“推斷數(shù)據(jù)”，公司可以從收集的信息中預測和操縱個人決策、興趣、觀點或行為，生成個性化廣告，再“靶向”推送彈窗廣告商品，在不經(jīng)意間培養(yǎng)消費者的消費習慣，引導兒童及其父母購買。與兒童及其父母的愛好和興趣相關的彈窗廣告實際上左右了他們的自主決策，兒童及其父母難以察覺這種做法對他們的信息決策和自主選擇構成威脅。隨著技術的發(fā)展，越來越多的信息被捕獲、分析、應用進而商品化，這些數(shù)據(jù)被濫用的可能性會越來越大，這一代人及其后代將面臨更高的風險，基本權利受到更大的侵犯。(13)參見 Berman, G. and Albright, K,“Children and the Data Cycle: Rights and Ethics in a Big Data World”, Innocenti Working Paper, UNICEF Office of Research, Florence.(2017).p16.正如公眾所擔憂的，在線服務收集和匯總了大量兒童信息，通過算法分析、比對后，進行用戶畫像，極易挖掘出個人不愿為他人知曉的信息，創(chuàng)建的兒童數(shù)字身份，為其帶來困擾、不安，引發(fā)寒蟬效應。這種個人電子身份標簽在算法社會固化、存檔、流通,其侵害具有隱蔽性、長期性和漣漪放大效應,對兒童的負面影響不可小覷。(14)參見王瑩:《算法侵害類型化研究與法律應對—以〈個人信息保護法〉為基點的算法規(guī)制擴展構想》,《法制與社會發(fā)展》2021年第6期,第140頁。隨著兒童步入成年，可能會影響其未來教育、醫(yī)療、就業(yè)和獲得金融信貸的機會，極易使個體遭遇不公及歧視待遇。對此，以《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》(2022年1月1日實施)為專業(yè)化立法的先行之例，該條例作為國內(nèi)數(shù)據(jù)領域首部基礎性、綜合性立法，在立法中明確：除為了維護未滿十四周歲未成年人合法權益且征得監(jiān)護人明示同意外，不得向其進行個性化推薦。此外，一些部門規(guī)章也開始規(guī)制算法推薦技術，如國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家市場監(jiān)督管理總局聯(lián)合發(fā)布的《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》(2022年3月1日實施)，約束個性化推送、生成合成、排序精選、檢索過濾等算法技術。上述法律法規(guī)、規(guī)章制度的施行意味著我國兒童信息保護已經(jīng)走上專業(yè)化道路。

(三)我國當前的兒童信息保護模式

若將域外各國和地區(qū)兒童個人信息保護立法區(qū)分為統(tǒng)一和分散立法兩種模式，(15)殷峻:《網(wǎng)絡時代兒童個人信息的法律保護——基于美國和歐盟立法的比較研究》,《學術研究》2018年第11期,第74頁。我國目前兒童信息保護立法并非統(tǒng)一模式，亦并非分散模式，而是正在從分散走向統(tǒng)一立法模式的過渡階段。具體而言，2020年修訂的《未成年人保護法》第72條專門規(guī)定了處理不滿十四周歲未成年人個人信息要征得父母同意。全國信息安全標準化技術委員會出臺的《信息安全技術 個人信息安全規(guī)范》(以下簡稱《2020年規(guī)范》)第5.4條規(guī)定了收集未成年人信息的“同意”需要是明示同意?！?020年規(guī)范》本身屬于行政機關制定的規(guī)范性文件，并沒有法律效力。2021年實施的《個人信息保護法》、《民法典》以及2022年實施的《家庭教育促進法》都涉及未成年人個人信息保護的相關內(nèi)容，如《個人信息保護法》第28條將不滿十四周歲未成年人的個人信息歸為敏感個人信息進行嚴格保護；《民法典》第1035條從基本法層面對處理個人信息的原則進行要求；《家庭教育促進法》第5條對家庭在未成年人個人隱私權和個人信息保護方面提出了要求。綜上，我國現(xiàn)行法律、行業(yè)規(guī)范性文件中涉及兒童信息保護的內(nèi)容，較為分散，尚未制定出統(tǒng)一的未成年人信息保護的專門法典，但是當前正在制定的《未成年人網(wǎng)絡保護條例》，相較于上述規(guī)范性法律文件，更具有操作性，正將我國未成年人信息保護立法從分散模式推向統(tǒng)一模式。

四、我國兒童信息權益保護的未來發(fā)展

梳理我國兒童信息保護的規(guī)范性法律文件，可以看到，兒童信息數(shù)據(jù)收集處理的法律法規(guī)正不斷走向獨立化、專業(yè)化。實證研究表明，網(wǎng)絡對兒童的危害與兒童參與數(shù)字空間的益處是并存的，防范風險、傷害和提供在線機會、權利的方法顯然不是相互排斥的，目前的挑戰(zhàn)是制定出平衡這兩方面的干預措施。(16)參見Rajnaara C.Akhtar ,Conrad Nyamutata，International Child Law(Fourth edition), New York:Routledge Publishing, 2020, p.235—237.質(zhì)言之，既要保護兒童免遭網(wǎng)絡侵權又要保障兒童參與信息決策的權利。在數(shù)字時代，技術作為兒童行使權利和滿足基本需求的手段越來越重要，它提供了教育、社交、參與、福利等機會，但隨著技術變得越來越復雜化、網(wǎng)絡化和商業(yè)化，很多新形式的信息收集和監(jiān)控威脅到了兒童的信息安全。在當前數(shù)字環(huán)境中，技術將兒童的生活轉(zhuǎn)化為可以記錄、跟蹤、匯總、分析和貨幣化的信息，這些信息是持久、可搜索和難以完全刪除的，故而對兒童信息的保護尤為重要。作為限制民事行為能力人，兒童的認知、判斷、自我保護能力欠缺，如何才能既有效保護兒童個人信息權益，又實現(xiàn)信息安全流通，助力數(shù)字經(jīng)濟的繁榮穩(wěn)定發(fā)展，成為理論界和實務界共同關注的問題。既要解決《民法典》親子關系規(guī)范供給不足現(xiàn)狀下兒童信息保護的法律適用難題，又要避免過度保護對社會信息正常流通的阻礙，需要將涉及未成年人信息保護的相關立法不斷推向體系化、精細化。一方面，就體系化發(fā)展而言，我國未成年人信息保護體系的構建要從立法層面作出頂層設計，構建以《未成年人信息保護法》為主導的法律體系；另一方面，就精細化建設而言，侵犯兒童信息權利的往往是具備信息采集能力的商業(yè)主體或政府機關，個人難以發(fā)現(xiàn)且難于與之抗衡，因此，需要兒童本人及其監(jiān)護人、企業(yè)、政府共同和侵犯兒童信息的行為作斗爭。

第一，兒童要不斷學習數(shù)字技能，提高自身媒介素養(yǎng)，以避免被過度保護。兒童雖然是限制民事行為能力人，但是不代表其無法形成自己的意愿，相反，隨著科技、經(jīng)濟發(fā)展，兒童的各項能力不斷提升，自主參與、自主決定的能力增強，往往能夠形成獨立鮮明的個人意見。1989年聯(lián)合國《兒童權利公約》確立了兒童的最大利益和尊重兒童不斷發(fā)展的能力、參與和自決等兒童權利保護基本原則。首先，保障兒童最大利益的努力需要兒童的參與，但兒童在作為“成年人干預的受益者”和“自身有能力的社會主體”角色之間存在內(nèi)在矛盾。因此，這一矛盾被視為“《兒童權利公約》帶來的最根本挑戰(zhàn)之一”?！稓W盟基本權利憲章》第24條部分采納了同樣的“授權與保護”困境，既授權兒童作為互聯(lián)網(wǎng)用戶能夠掌握游戲、學習和交流的機會，同時保護他們免受隱私侵犯和傷害。授權是尊重兒童主體地位的體現(xiàn)，也是第一層次對兒童個人意愿的尊重。但是“授權與保護”往往會發(fā)生沖突，當兒童權利與父母的監(jiān)管發(fā)生沖突時，特別是在兒童行使自主權與身心健康基本利益發(fā)生沖突的情況下，進一步考慮每個兒童的個人理解和發(fā)展(“個性化兒童與普通兒童”困境)，(17)參見Milda Macenaite.“From universal towards child-specific protection of the right to privacy online: Dilemmas in the EU General Data Protection Regulation”.newmedia & society.2017Vol.19(5) 765—779.結合兒童的年齡和成熟度(身體、情感、認知和社會發(fā)展)解決上述“授權與保護”困境，本質(zhì)上來說，就是第二層次的尊重兒童個人意愿。上述兩個層次的兒童意愿都需要在兒童信息保護中得到體現(xiàn)。其次，要尊重和考慮兒童不斷發(fā)展的能力?！秲和瘷嗬s》第3.1條和第16號一般性意見規(guī)定：締約國或私人行動者，包括數(shù)字環(huán)境中的商業(yè)企業(yè)，以及公共和私人福利組織所作出的所有決定，都應考慮到兒童的進化能力。該條約第25號一般性意見充分闡述了《數(shù)字環(huán)境公約》的相關性和適用性。(18)參見UNICEF Global Insight Data Governance Manifesto.Accessed at https://www.unicef.org/globalinsight/reports/better-governance-childrens-data-manifesto.所謂兒童的進化能力其實就是根據(jù)兒童年齡、智力征求其意見，顧及兒童不斷發(fā)展的能力，實現(xiàn)兒童的參與權，該參與權并非宣示意義，包括兒童對于自決權的主張。兒童參與權的保障應該成為涉兒童信息治理的必然要求。這意味著賦予兒童權利，兒童積極參與共創(chuàng)自我信息良性治理，并在同意信息收集、處理方面成為重要的決定者，探索父母和兒童共同決定式信息保護模式，為“兒童獨立人格”中兒童意愿的表達提供空間。這一模式要求兒童所表達的與其年齡、智力相適應的意愿應獲得合理尊重，同樣，信息處理者要使用平實通俗的語言，避免使用晦澀語詞，以便兒童能夠理解。這種以兒童為中心的方法可以很好平衡賦權與保護的困境，實現(xiàn)在關涉兒童信息權益的重大事件中尊重兒童自決權。

第二，父母或監(jiān)護人層面，在知情同意保護模式基礎上，進一步細化父母對未成年子女信息保護的積極、消極權能，賦予信息利益相關者較大的自主權。借鑒美國2021年7月發(fā)布的《統(tǒng)一個人數(shù)據(jù)保護法案》中(Uniform Personal Data Protection Act)承認利益相關者(數(shù)據(jù)主體、數(shù)據(jù)控制人、處理人)可發(fā)起制定自愿共識標準，并在第12—15條對自愿協(xié)商一致標準的程序、內(nèi)容作出了詳細規(guī)定。(19)參見Uniform Personal Data Protection Act Section 12(2021).質(zhì)言之，兒童信息的收集、處理是否給兒童帶來風險的根源并非信息本身，而是在收集、處理中是否經(jīng)過父母的同意以及同意后信息主體所能承受的風險范圍和程度。當經(jīng)過父母嚴格審閱同意后被收集、處理的兒童信息，一般已被標明具體、明晰的使用場域，也嚴格限定了使用方式、目的，其實就已經(jīng)克服了信息本身的風險，弱化了收集、處理過程中潛在風險的產(chǎn)生、擴大蔓延。同時，對于信息權益受到侵犯的兒童，父母有權要求違法處理者采取補救措施，特別是超出雙方原協(xié)商一致的范圍，父母可以請求對違約方處以懲罰性賠償或者其他制裁。需要注意的是，在日益復雜的數(shù)字世界中，數(shù)據(jù)采集者的信息獲取能力和處理技能與普通公眾相比顯然力量懸殊,相較于未成年人更是占據(jù)絕對優(yōu)勢，對侵犯兒童信息權益的行為應采用過錯推定原則，適用舉證責任倒置的有關規(guī)定。數(shù)據(jù)采集者掌握信息處理技術,在信息控制方面占據(jù)優(yōu)勢，施行舉證責任倒置更為合理,一旦發(fā)生兒童個人信息侵權事件，應嚴格踐行舉證責任倒置，以平衡信息主體與信息采集利用者之間的技術鴻溝。(20)參見王勇旗:《網(wǎng)絡環(huán)境中兒童個人信息的人格權化保護》,《現(xiàn)代傳播》2020年第10期,第167頁。

第三，就企業(yè)而言，兒童個人信息的合理利用對兒童本人、社會和國家的發(fā)展都是有益的。在現(xiàn)代網(wǎng)絡信息時代，完全禁止對個人信息的利用顯然是不可能的。例如，醫(yī)學科學的進步就必須要使用個人醫(yī)療健康信息，針對兒童的新冠疫苗的研發(fā)需要使用兒童醫(yī)療健康信息。(21)參見程嘯:《個人信息保護法理解與適用》,北京：中國法制出版社,2021年版,第265—266頁。保護兒童權益是一項系統(tǒng)工程，除了監(jiān)護人行使保護職責，行業(yè)要在數(shù)據(jù)合規(guī)基礎上進行良性發(fā)展，為向兒童提供高質(zhì)量服務創(chuàng)造共同的技術標準，探索行業(yè)的安全港計劃，收集和使用準確、相關和最新的信息(數(shù)據(jù)質(zhì)量原則)，及時通知、透明處理、安全保存兒童信息資料。網(wǎng)絡游戲、網(wǎng)絡直播、網(wǎng)絡音視頻、網(wǎng)絡社交等網(wǎng)絡服務提供者以及網(wǎng)絡產(chǎn)品提供者等特定主體，通過設計和默認方式保護隱私，例如針對未成年兒童的廣告商設置面向兒童的保護措施，從簡單的警告到威脅，再到一系列障礙保護措施，以勸阻這些兒童在未經(jīng)父母同意的情況下提供個人隱私信息。(22)參見Anthony D. Miyazaki, Andrea J. S. Stanaland, and May O. Lwin.“Self-Regulatory Safeguards and the Online Privacy of Preteen Children”，Journal of Advertisingvol.38,no.4,2009,p.81.同時，為隱私保護、投訴和補救提供適合兒童的機制：進一步努力提高數(shù)據(jù)收集的透明度，改進隱私控制導航，實現(xiàn)對隱私設置的精確控制，以匹配復雜的數(shù)據(jù)采集技術，并圍繞用戶授權創(chuàng)建更好的行業(yè)標準。隱私設置界面的易用性、無處不在的功能和用戶友好的功能可能會加強兒童的隱私保護行為，(23)參見 Stoilova, M, Livingstone, S,Nandagiri, R,Children's data and privacy online:Growing up in a digital age. Research findings， London: London School of Economics and Political Science.(2019)，p.43.使兒童信息受到法律規(guī)范和信息安全技術的雙重保護。

第四，從國家保護層面，信息處理機構掌控海量個人信息，加之當事人間信息占有、技術條件的不對等，這些機構往往可以肆意擴散個人信息并牟利，給當事人日常生活帶來極大困擾。這些爭議鮮有通過司法途徑解決，多數(shù)受害者只能聽任騷擾的繼續(xù)，知情同意的實際效果并不佳。(24)參見謝遠揚:《信息論視角下個人信息的價值——兼對隱私權保護模式的檢討》,《清華法學》2015年3期,第106頁。政府如果對兒童數(shù)據(jù)的管理缺乏明確的監(jiān)管，任由這些數(shù)據(jù)被商業(yè)化使用，會給兒童信息安全帶來風險。政府部門要實時監(jiān)督、審查數(shù)據(jù)的使用。國家在監(jiān)管中從數(shù)據(jù)處理者的問責機制、人員組成、部門與機構設置等制度性保障、組織與程序保障方面之外提出相應的組織要求,如構建預防機制、協(xié)同法律責任來落實侵害防止義務。(25)參見王錫鋅:《個人信息國家保護義務及展開》,《中國法學》2021年第1期,第162—164頁。具體而言，可以探索地方和國家兩級治理，國家工信部門通過建立兒童信息保護數(shù)據(jù)庫，詳細說明每個城市政府如何使用算法提供服務。在省級政務平臺制作兒童信息保護數(shù)據(jù)登記冊，詳細說明教育機構、醫(yī)院和企業(yè)如何收集和處理兒童數(shù)據(jù)。同時，政府必須向信息收集、處理組織提供兒童收集數(shù)據(jù)參數(shù)的詳細指南，必須監(jiān)督這些指南的執(zhí)行情況，督促相關組織在收集兒童所有個人數(shù)據(jù)之前進行嚴格的必要性和相稱性評估，以確保數(shù)據(jù)采集最小化；對兒童數(shù)據(jù)的任何使用都應滿足兒童和其父母的合理期望，并符合目的限制和存儲、保留限制的原則?？梢越梃b歐盟《通用數(shù)據(jù)保護條例》做法，建立72小時內(nèi)數(shù)據(jù)泄露通知的制度，同時參考美國《兒童網(wǎng)絡隱私保護法》的做法，對未采取合理措施保障數(shù)據(jù)安全的企業(yè)進行嚴格處罰。(26)參見汪靖、符夢婷：《美國兒童網(wǎng)絡隱私保護法律制度經(jīng)驗與啟示——基于1998—2018年處罰案例分析》，《中國青年社會科學》2019年第4期，第126頁。

五、結語

隨著技術的發(fā)展，兒童超越了實體的家庭和學校環(huán)境,將虛擬網(wǎng)絡變成學習和娛樂的重要場域。兒童的生活受到數(shù)據(jù)收集、共享和處理的多重影響，而他們的同意、認知能力有限，易受信息泄露、濫用之害，容易遭受更多的網(wǎng)絡風險。與此同時，我國兒童信息保護法律制度的發(fā)展歷經(jīng)以隱私為進路的保護階段、兒童個人信息獨立保護階段，正在走向保護兒童信息的專業(yè)化階段，逐漸從分散立法模式走向統(tǒng)一的立法模式。為了確保兒童數(shù)據(jù)權利得到法律保護，讓數(shù)字經(jīng)濟的發(fā)展惠及兒童，需要不斷推動特定兒童信息保護法律制度的建立，逐漸形成有序、完善的兒童數(shù)字空間秩序。