黃文超

（華東政法大學(xué)法律學(xué)院， 上海 200042）

隨著互聯(lián)網(wǎng)、信息技術(shù)的快速發(fā)展，人們已進(jìn)入萬物互聯(lián)時代。物聯(lián)網(wǎng)智能終端實(shí)時記錄未成年人的臉部、聲紋、指紋、虹膜等特征信息，這些信息在法律和醫(yī)學(xué)層面被認(rèn)定為生物信息或生物數(shù)據(jù)。由于未成年人對自身權(quán)益保護(hù)能力不足，監(jiān)護(hù)人同意之前的告知效果虛化和監(jiān)護(hù)人這一“理性人”瓦解[1]，個人信息與未成年人權(quán)益保護(hù)立法應(yīng)對未成年人生物信息這一新領(lǐng)域失靈，數(shù)據(jù)控制者的信息安全保護(hù)能力良莠不齊，信息侵害事后救濟(jì)措施無力等原因造成了未成年人生物信息處于不安全狀態(tài)。數(shù)據(jù)的社會化利用導(dǎo)致侵權(quán)方式多樣性、隱秘性，侵權(quán)客體范圍逐漸擴(kuò)大，損害結(jié)果日益嚴(yán)重[2]。尤其在智能終端無感信息采集的網(wǎng)絡(luò)泛化時代，未成年人生物信息保護(hù)與使用的矛盾日益凸顯，如何平衡未成年人生物信息保護(hù)與合理使用之間關(guān)系亟需立法積極回應(yīng)。

未成年人生物信息安全關(guān)乎未成年人身心健康、國家長久發(fā)展，是我國未成年人信息保護(hù)立法、司法的重要課題。本文試圖分析未成年人生物信息的特殊性，證成特殊保護(hù)的必要性與合理使用的可行性，探尋未成年人信息權(quán)益保護(hù)力來源，構(gòu)建安全合理透明、充分知情同意、全周期信息管理、多元化保護(hù)主體的機(jī)制體系。

一、 未成年人生物信息特殊保護(hù)與生物 識別技術(shù)合理利用的證成

未成年人生物信息需從信息權(quán)益的主體和客體兩個方面闡述其特殊性。從主體角度分析，未成年人心智、意思表示、行權(quán)能力的不足，導(dǎo)致其易受到來自家庭內(nèi)部或社會外部的信息侵害。從客體角度分析，生物信息相較一般個人信息而言，具有強(qiáng)人身屬性、高度識別性、專屬唯一性等特征。因此，沿用一般個人信息保護(hù)機(jī)制保護(hù)未成年人生物信息不夠周延。生物識別技術(shù)（以人臉、指紋識別技術(shù)為例）應(yīng)用廣、價值大，應(yīng)厘清風(fēng)險與收益之間的關(guān)系，在不同適用場景中合理使用、區(qū)分保護(hù)。

1. 未成年人行使權(quán)利的有限性

未成年人因心智尚未成熟，其行為能力、責(zé)任能力與成年人具有一定差距。未成年人權(quán)利的特殊性主要表現(xiàn)在權(quán)利主體的身心特殊性、權(quán)利內(nèi)容的特殊性、權(quán)利行使的不可選擇性、權(quán)利實(shí)現(xiàn)的依賴性、權(quán)利的易受傷害性及權(quán)利保障的特殊性等方面[3]。根據(jù)我國《民法典》第18、19、20 條的規(guī)定，未成年人分為限制民事行為能力人與無民事行為能力人。又根據(jù)《民法典》第23 條的規(guī)定，確立未成年人由其監(jiān)護(hù)人代為行使相關(guān)權(quán)利的制度。監(jiān)護(hù)制度是社會廣泛認(rèn)可、最基本的未成年人保護(hù)制度。但在信息保護(hù)方面，適用的卻并不盡如人意。監(jiān)護(hù)人存在因過度“曬娃”而泄露未成年人信息、對未成年人信息保護(hù)不足、概括同意第三方獲取未成年人信息而疏于監(jiān)督第三方使用信息的現(xiàn)象。上述問題的主要原因是：第一，監(jiān)護(hù)人未認(rèn)識到未成年人的個人信息是重點(diǎn)保護(hù)客體，監(jiān)護(hù)人重視保護(hù)未成年人物理生存環(huán)境安全，而疏忽保護(hù)其自由、尊嚴(yán)、隱私等精神層面安全；第二，監(jiān)護(hù)人疏于監(jiān)督第三方對未成年人信息的保護(hù)，而未成年人尚不具有保護(hù)其自身合法利益的能力，導(dǎo)致未成年人信息保護(hù)處于真空狀態(tài)。未成年人權(quán)利行使的有限性決定了未成年人信息權(quán)益保護(hù)方式和目的的特殊性，需要法律特殊的制度安排以回應(yīng)社會之需求。

2. 生物信息的特殊性

我國《民法典》第1 034 條將生物識別信息歸入個人信息保護(hù)范圍，表明生物識別信息應(yīng)適用《民法典》第1 037 條信息自決、第1 038 條個人信息安全的相關(guān)規(guī)定。同時，也應(yīng)該適用《個人信息保護(hù)法》中合法、正當(dāng)、必要、誠信的基本原則。因生物識別信息的特殊性，在適用相關(guān)法律規(guī)范時，應(yīng)該遵循“優(yōu)先適用特殊規(guī)范、劣后適用一般原則”的法理精神。生物識別是指使用生物識別技術(shù)讀取個人生物識別信息，從而識別特定主體。生物識別信息與特定主體一一對應(yīng)，因其精準(zhǔn)識別特定主體的特點(diǎn)，使生物識別信息歸入重要敏感信息的范疇[4]。生物標(biāo)識符是指能夠識別特定個人的生物特征，包括手掌集合特征、視網(wǎng)膜掃描、虹膜掃描、指紋、面部特征、DNA 序列、聲音印記或手寫簽名等[5]。通過生物識別技術(shù)獲取的生物信息包括生物標(biāo)識符及衍生信息，生物標(biāo)識符具有強(qiáng)識別性，使用生物識別技術(shù)與既有數(shù)據(jù)庫比對，可精準(zhǔn)識別、驗(yàn)證特定主體。衍生信息是生物識別技術(shù)過程中產(chǎn)生的“副產(chǎn)品”，可表征特定主體的表情、心情、健康狀態(tài)、行為習(xí)慣等反應(yīng)身心狀態(tài)的信息，此種信息常用來分析數(shù)據(jù)主體的消費(fèi)偏好、興趣愛好等心理狀態(tài)，用于反饋服務(wù)或商品的滿意程度。

生物信息與一般個人信息有顯著差異，前者反映數(shù)據(jù)主體的身體、心理等人身屬性，具有強(qiáng)識別性與敏感性，與人身密不可分；后者反映數(shù)據(jù)主體社會地位、社會角色，具有社會關(guān)系屬性，是外在于形的數(shù)字化身份標(biāo)簽[6]。因此，生物信息相比個人信息具有獨(dú)特屬性。第一，生物信息的專屬性和普遍性。每一種生物信息專屬或?qū)?yīng)唯一主體，每一主體都具有生物識別特征。生物信息的專屬性意味著識別的精準(zhǔn)性，對信息的采集質(zhì)量要求甚高，一旦生物識別信息存在偏差，定會影響識別結(jié)果。第二，生物信息的穩(wěn)定性。生物識別特征不會隨著時間的變化而改變。而個人信息中的姓名、地址、電話號碼、社會身份、財產(chǎn)狀況都會改變。第三，生物識別信息僅機(jī)器可讀。生物識別信息通過機(jī)器程序采集，再由機(jī)器程序讀取、分析、辨識、匹配。例如，使用聲紋登錄騰訊微信APP，是由賬戶主體通過預(yù)先錄制的一串?dāng)?shù)字聲音信息作為聲紋密碼。當(dāng)賬戶主體需要重新登錄微信時，賬戶主體重新朗讀同一串?dāng)?shù)字，由程序記錄、讀取、分析、辨識身份識別管理系統(tǒng)數(shù)據(jù)，來驗(yàn)證賬戶主體真實(shí)身份。第四，生物信息的敏感性。生物信息是重要的敏感信息已成為共識，敏感信息在收集、加工、存儲、流通等環(huán)節(jié)都需要特殊制度保障安全。第五，生物識別特征的可模仿復(fù)制性。生物識別信息經(jīng)過分析后，可快速模仿制作高度逼真的可穿戴偽裝設(shè)備，騙取機(jī)器或人的信任。第六，生物識別信息的商業(yè)使用價值高、社會需求大。如智能手機(jī)、智能門鎖、機(jī)場安檢、刷臉支付等基于識別生物信息特征的應(yīng)用場景廣泛，具有巨大商業(yè)價值。

3. 生物識別技術(shù)收益與風(fēng)險的均衡性

生物識別技術(shù)中人臉識別技術(shù)應(yīng)用場景多、發(fā)展快，理論界對人臉識別技術(shù)研究成果較多，有利于指導(dǎo)生物識別技術(shù)整體發(fā)展。人臉識別技術(shù)應(yīng)用之初有較大的爭議，禁用說認(rèn)為人臉識別技術(shù)無感化收集人臉信息，數(shù)據(jù)控制者違法處理人臉信息，人臉信息被泄露后的風(fēng)險高；個別政府或非政府組織時刻監(jiān)控人們隱私，使人們處于不安寧狀態(tài)。使用說認(rèn)為人臉識別技術(shù)已經(jīng)成熟，在驗(yàn)證身份領(lǐng)域的發(fā)展前景廣闊，只要針對不同適用場景嚴(yán)格管控數(shù)據(jù)控制者的處理行為，定會給社會帶來較大收益。人臉識別技術(shù)的存廢之辯，究其根本是收益與風(fēng)險之間的博弈。如收益大于風(fēng)險，法律應(yīng)持鼓勵的態(tài)度，并建立嚴(yán)格的保護(hù)機(jī)制；如收益與風(fēng)險關(guān)系不明確，法律應(yīng)持謹(jǐn)慎態(tài)度，待市場和技術(shù)進(jìn)一步成熟后再行衡量；如風(fēng)險大于收益，法律應(yīng)持否定的態(tài)度，防止個人信息權(quán)益遭受侵害[7]。在生物識別信息方面，收益與風(fēng)險的比例關(guān)系決定著法律規(guī)制態(tài)度和社會公眾接受程度。因此，明晰真正風(fēng)險之所在是關(guān)鍵，建立嚴(yán)格保護(hù)機(jī)制前提下的合理使用是目的，這樣最大化釋放生物識別技術(shù)給人民生活、交往帶來的福祉，消除生物信息濫用帶來的不利影響。

生物識別技術(shù)的益處，已經(jīng)不需贅述，其風(fēng)險性需進(jìn)一步明晰。生物識別技術(shù)常見風(fēng)險主要包括誤差風(fēng)險、身份認(rèn)證被破解風(fēng)險、信息泄露風(fēng)險[7]。誤差風(fēng)險并非生物識別技術(shù)獨(dú)有，只要涉及信息識別讀取就一定會產(chǎn)生誤差。生物識別數(shù)據(jù)具有人身屬性，遭遇泄露是普遍認(rèn)為的首要風(fēng)險。但這不是從成本—收益角度衡量，而主要考量生物信息的敏感性，通過媒體的報道，群眾對此有了普遍認(rèn)識，變成“不證自明”的道理[8]。除了上述風(fēng)險外，知情同意作用的弱化是逐漸被社會關(guān)注的重大風(fēng)險。知情同意采集方式主要通過用戶勾選用戶協(xié)議和生物信息服務(wù)協(xié)議，但冗長的協(xié)議內(nèi)容、晦澀的協(xié)議語言往往讓用戶無暇仔細(xì)閱讀，造成了“知情不知意、同意非情愿”的困境。概括性、形式性的同意方式已然失去對數(shù)據(jù)處理的監(jiān)督與控制。用戶協(xié)議為數(shù)據(jù)控制者披上合法外衣，影響生物信息主體行使合法權(quán)益。技術(shù)的發(fā)展要向積極方向引領(lǐng)社會發(fā)展，在技術(shù)廣泛應(yīng)用前需衡量風(fēng)險與收益的比例關(guān)系，才能最終決定技術(shù)的使用程度。分析生物信息的風(fēng)險可知，生物信息風(fēng)險與一般信息風(fēng)險相似，僅因生物信息的特殊性、人身性、強(qiáng)識別性而禁用生物識別技術(shù)，不利于技術(shù)造福人類。綜上所述，重大風(fēng)險在于生物信息處理前知情同意作用失能，有必要建立生物信息處理前知情與可驗(yàn)證同意機(jī)制，實(shí)現(xiàn)生物信息在嚴(yán)格保護(hù)下的合理使用。

4. 生物識別技術(shù)不同場景的適用性

我國對生物信息的保護(hù)與使用尚處于探索階段，有必要檢視域外生物信息保護(hù)與生物識別技術(shù)應(yīng)用情況，為我國相關(guān)立法提供參考。在美國，區(qū)分政府與非政府的適用場景，民眾對政府處理人臉信息持不信任態(tài)度，美國多地立法采取強(qiáng)風(fēng)險預(yù)防理論，嚴(yán)格禁止政府對公民人臉信息的使用，而對于非政府機(jī)構(gòu)處理人臉信息采取弱風(fēng)險預(yù)防理論。在歐盟，不區(qū)分政府與非政府適用場景，以生物信息禁止使用為原則、允許處理為例外[9]。

域外經(jīng)驗(yàn)對我國有參考意義，但需結(jié)合我國實(shí)際國情妥善調(diào)整。根據(jù)“愛德曼信任度晴雨表”調(diào)查表明，我國公民對政府的信任程度位于世界第一[10]。公民信任政府有能力保護(hù)好生物信息，在社會治理、懲治犯罪等領(lǐng)域能夠使用好生物信息，對商業(yè)使用則持不信任態(tài)度。因此，我國政府使用人臉信息等生物信息應(yīng)采取弱風(fēng)險預(yù)防理論，非政府使用則應(yīng)該持強(qiáng)風(fēng)險預(yù)防理論。在非政府的使用場景中，也要區(qū)分商業(yè)、公益等適用場景，采取不同的處理規(guī)則、監(jiān)管規(guī)則。特殊保護(hù)的原理來源于場景理論，根據(jù)不同場景有區(qū)別地對待信息控制者的處理行為。一是根據(jù)信息敏感程度的區(qū)分，即生物信息與一般個人信息之分；二是生物信息中生物識別符與衍生信息之分；三是生物信息適用場景的區(qū)分，即政府與非政府場景、教育與非教育場景、公益性質(zhì)與商業(yè)性質(zhì)場景等。

具體到未成年人生物信息，在生物信息保護(hù)客體方面，應(yīng)區(qū)分為生物標(biāo)識符及衍生信息。生物標(biāo)識符信息是可直接識別特定主體的敏感信息，具有精準(zhǔn)識別身份的作用，應(yīng)單獨(dú)隔離、不聯(lián)網(wǎng)存儲。生物標(biāo)識符之外的非指向特定主體的衍生信息，這一“數(shù)據(jù)畫像”可進(jìn)一步處理、分析、研判，但禁止識別性處理使用。在區(qū)分政府或非政府適用場景時，根據(jù)我國《個人信息保護(hù)法》第35 條的規(guī)定，政府機(jī)構(gòu)履行法定職責(zé)處理個人信息應(yīng)該履行告知程序，但告知會妨礙國家機(jī)關(guān)履行法定職責(zé)的除外。可見，政府機(jī)構(gòu)只要采取告知程序即可依法處理個人生物信息。主要原因是我國政府被信任程度高、責(zé)任擔(dān)當(dāng)意識強(qiáng)，應(yīng)允許政府為公共利益、社會管理、懲治犯罪、重大突發(fā)事件等情形自主決定收集、處理、分析公民生物信息。而在非政府的使用場景中，應(yīng)該在嚴(yán)格保護(hù)下有限度地合理使用。

總而言之，由于未成年人行使權(quán)利的有限性、監(jiān)護(hù)人對未成年人信息權(quán)益保護(hù)的“真空”性，生物信息的人身屬性與強(qiáng)識別性，有必要進(jìn)一步探尋未成年人生物信息保護(hù)的理論基礎(chǔ)與實(shí)現(xiàn)路徑，實(shí)現(xiàn)未成年人生物信息特殊保護(hù)下的合理使用。

二、 未成年人信息權(quán)益溯源與生物信息 立法現(xiàn)狀及啟示

1. 未成年人信息權(quán)益保護(hù)之源：未成年人的基本權(quán)利

20 世紀(jì)早期，人們逐漸認(rèn)識到未成年人不僅是被保護(hù)的對象，而且未成年人與成年人一樣也應(yīng)該有權(quán)利。1989 年11 月聯(lián)合國大會通過了《兒童權(quán)利公約》，確立未成年人是權(quán)利主體的理念，對各國未成年人權(quán)利保護(hù)的立法產(chǎn)生影響。未成年人權(quán)利多達(dá)十幾種，如姓名權(quán)、健康權(quán)、娛樂權(quán)、閑暇權(quán)、隱私權(quán)、受教育權(quán)等，其中最基本的權(quán)利可以概括為生存權(quán)、受保護(hù)權(quán)、發(fā)展權(quán)、參與權(quán)[11]。

在數(shù)據(jù)時代，未成年人的上述基本權(quán)利被賦予不同的時代內(nèi)涵與意義，應(yīng)受到社會的關(guān)注與保護(hù)。在未成年人生存權(quán)方面，未成年人已基本能夠在良好生存環(huán)境中生長，但保護(hù)生存權(quán)更高層次的要求是對自由和尊嚴(yán)的保護(hù)。在《兒童權(quán)利公約》第16 條第1 款規(guī)定：兒童的隱私、家庭、住宅或通信不受任意或非法干涉，其榮譽(yù)和名譽(yù)不受非法攻擊。可見，未成年人同樣享有積極維護(hù)自身人格尊嚴(yán)、自由、隱私的權(quán)利。尤其在信息社會，未成年人生物信息是直接識別特定主體的敏感信息，具有強(qiáng)識別性和唯一性，應(yīng)受到嚴(yán)格的保護(hù)。在未成年人受保護(hù)權(quán)方面，監(jiān)護(hù)人是保護(hù)未成年人最直接和有力的責(zé)任主體，其不僅需要提供安全的家庭環(huán)境，還需要營造安全的社會環(huán)境。安全的社會環(huán)境保護(hù)未成年人免遭麻醉藥品濫用、毒品、色情等犯罪活動侵害，同時也需保障未成年人的信息安全環(huán)境。在信息安全環(huán)境與未成年人的網(wǎng)絡(luò)自由、網(wǎng)絡(luò)參與權(quán)之間找到合理平衡點(diǎn)，既要保障未成年人獲得網(wǎng)絡(luò)信息技術(shù)帶來的便利，又要保護(hù)未成年人免遭個人信息侵害。在未成年人發(fā)展權(quán)方面，是保障未成年人身心健康發(fā)展的重要權(quán)利。未成年人在心智、能力方面正值接受教育的良機(jī)，任何教育形式都不能被剝奪。在“非同意即不可用”的商業(yè)強(qiáng)權(quán)邏輯下監(jiān)護(hù)人只好妥協(xié)，將未成年人個人信息供企業(yè)收集、處理、分析、使用，這無疑是對未成年人信息保護(hù)的挑戰(zhàn)。在未成年人參與權(quán)方面，未成年人是精神獨(dú)立之個體、自由之個體，其有權(quán)利在家庭、學(xué)校、社會，甚至是網(wǎng)絡(luò)上交流互動、發(fā)表觀點(diǎn)。未成年人有權(quán)利參與到網(wǎng)絡(luò)社會發(fā)展之中，不可隨意剝奪、限制未成年人參與網(wǎng)絡(luò)社會的權(quán)利。

享有權(quán)利意味著被尊重、有能力提出要求，并要求對方聽取。未成年人信息保護(hù)不是來源于監(jiān)護(hù)人對未成年人信息控制權(quán)或同意他人處理權(quán)，而是來源于未成年人自身權(quán)利，此種權(quán)利是未成年人的基本權(quán)利，既包含對監(jiān)護(hù)人的信息權(quán)益，又包含對信息控制者的信息權(quán)益，只是未成年人因其年齡、智力、行為能力尚不成熟，其民事權(quán)利由監(jiān)護(hù)人代為行使。代為行使不僅要保障未成年人自由、尊嚴(yán)、隱私等基本權(quán)利，還要有一定限度，隨著未成年人年齡的增長，代為行使逐漸減弱，直至全部權(quán)利交由其自身行使[12]。

2. 生物信息保護(hù)立法現(xiàn)狀及啟示

（1）我國法律規(guī)制現(xiàn)狀。我國尚未制定未成年人生物信息保護(hù)的專門立法，保護(hù)未成年人信息的規(guī)定零散納入到不同層級的法律、行政法規(guī)、國家標(biāo)準(zhǔn)等規(guī)范中，其中較為重要的是我國《民法典》《網(wǎng)絡(luò)安全法》《個人信息保護(hù)法》《未成年人保護(hù)法》《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》《信息安全技術(shù) 生物特征識別信息保護(hù)基本要求》。我國個人信息保護(hù)法律規(guī)范未充分考量未成年人基本權(quán)利及生物信息的雙重特殊性，給司法實(shí)踐和生物識別技術(shù)發(fā)展帶來障礙。主要癥結(jié)體現(xiàn)在：立法重視不夠、保護(hù)力度不足；立法過于零散，未形成合力；規(guī)范過于籠統(tǒng)，操作性不強(qiáng)；家長概括式同意，失去保護(hù)作用；個人信息保護(hù)立法，未充分考慮未成年人特殊性；保護(hù)主體單一，保護(hù)體系未建立。

生物識別信息與隱私信息界定是當(dāng)今新的話題。人臉本身并非隱私，人作為社會中的一員，具有社會屬性。在日常交往中將人臉信息暴露在社會聚光燈下，并未產(chǎn)生關(guān)于隱私的法律或倫理問題。但是，信息化、互聯(lián)網(wǎng)、云計算的興起，人臉識別技術(shù)使人臉信息成為可處理、可識別的信息。個人生物識別信息隨著技術(shù)的發(fā)展，逐漸進(jìn)入人們視線，挑戰(zhàn)傳統(tǒng)隱私的概念與范疇，使得隱私與個人信息邊界模糊且復(fù)雜[6]。由此，生物信息保護(hù)比一般個人信息保護(hù)更具挑戰(zhàn)性。

（2）域外法律規(guī)制現(xiàn)狀。在美國，以各州單獨(dú)立法的方式保護(hù)個人信息，沒有在國家層面制定統(tǒng)一的個人信息保護(hù)法。在商業(yè)領(lǐng)域使用人臉識別信息時，數(shù)據(jù)控制者必須在取得明確同意的前提下處理信息，要求數(shù)據(jù)控制者向消費(fèi)者發(fā)送通俗易懂、便于搜索的告知內(nèi)容，充分保障數(shù)據(jù)主體的知情權(quán)和選擇權(quán)[6]。在未成年人信息保護(hù)方面，《兒童在線隱私保護(hù) 法》（COPPA）與聯(lián)邦貿(mào)易委員會（FTC）發(fā)布的《企業(yè)六步合規(guī)計劃》①構(gòu)成了美國保護(hù)未成年人在線隱私和信息的主要法案。在美國的州政府層面，伊利諾伊州通過了較為嚴(yán)格的生物信息保護(hù)法案，明確要求收集人臉信息要以書面形式告知或者書面授權(quán)，明確信息處理目的、期限、方式等必要內(nèi)容，只有在收到明確同意后才可處理上述信息，不然則違反法律規(guī)定，將處以嚴(yán)格懲罰[13]。

歐盟制定的《通用數(shù)據(jù)保護(hù)條例》（GDPR）第9條規(guī)定：禁止以識別自然人身份為目的的生物信息處理，除非數(shù)據(jù)主體明確同意或涉及就業(yè)、社會保險、健康、衛(wèi)生醫(yī)療、社會公共利益等必須處理個人生物信息的場景[14]。在波蘭，制定了生物識別技術(shù)指南，提出在構(gòu)建生物識別數(shù)據(jù)處理系統(tǒng)之前，數(shù)據(jù)控制者應(yīng)先進(jìn)行數(shù)據(jù)安全影響評估，并且應(yīng)著重考慮個人數(shù)據(jù)保護(hù)的基本原則，例如必要性、目的性、相稱性。在處理特殊類型數(shù)據(jù)時，一方面必須具有數(shù)據(jù)處理的合法性基礎(chǔ)，另一方面要遵守個人數(shù)據(jù)處理的基本原則。

綜上所述，域外法律沒有對未成年人生物信息專門立法，要么遵循個人信息保護(hù)法來保護(hù)未成年人信息，要么采用生物信息保護(hù)的相關(guān)規(guī)定進(jìn)行處理。兩種立法模式，有其特定社會背景或立法體系約束，無法評判孰優(yōu)孰劣。但未成年人生物信息有其特殊性，且生物識別技術(shù)應(yīng)用越發(fā)廣泛，立法應(yīng)特別重視并予以回應(yīng)，填補(bǔ)法律規(guī)范的空白，為司法、執(zhí)法提供依據(jù)。

（3）域內(nèi)外立法現(xiàn)狀對我國未成年人生物信息保護(hù)的啟示。我國《個人信息保護(hù)法》第5 條規(guī)定，處理個人信息應(yīng)遵循合法、正當(dāng)、必要、誠信的基本原則；第13 條規(guī)定了取得個人同意、履行合同目的、履行法定職責(zé)、應(yīng)對突發(fā)公共事件、符合公共利益等合法性處理規(guī)則，將個人同意作為處理個人信息的合法性基礎(chǔ)之一，非唯一合法性基礎(chǔ)[15]。個人生物信息及未滿14周歲未成年人的信息被認(rèn)定為敏感信息。處理敏感信息需單獨(dú)制定處理規(guī)則并取得個人或監(jiān)護(hù)人的同意[15]。我國《未成年人保護(hù)法》規(guī)定了處理未成年人信息應(yīng)遵循合法、正當(dāng)、必要原則。處理14 周歲以下未成年人信息應(yīng)征得監(jiān)護(hù)人同意，將同意作為處理特定年齡信息的必要規(guī)則[16]。我國《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》確立保護(hù)范圍為14 周歲以下未成年人，以正當(dāng)必要、知情同意、目的明確、安全保障、依法利用為處理原則[17]。將知情同意作為處理14 周歲以下未成年人信息的必要處理原則。通過對信息處理原則及規(guī)則梳理，可發(fā)現(xiàn)隨著數(shù)據(jù)主體年齡的降低，同意規(guī)則升級為必要的知情同意處理原則，原則具有普適性、強(qiáng)遵照性。在處理未成年人生物信息中必須經(jīng)過監(jiān)護(hù)人的知情同意，體現(xiàn)出立法對未成年人信息保護(hù)的特殊性、嚴(yán)謹(jǐn)性、嚴(yán)格性。但現(xiàn)有知情同意程序在未成年人生物信息領(lǐng)域失去作用，未實(shí)現(xiàn)知情同意的可驗(yàn)證和真實(shí)性。

另一方面，未成年人主體的脆弱性、生物信息的長期穩(wěn)定唯一性，導(dǎo)致未成年人的生物信息泄露后的損害是無法補(bǔ)救的，其信息被違法使用、長期使用的可能性較大[18]。依靠未成年人自身能力很難實(shí)現(xiàn)信息保護(hù)的周全。未成年人利益最大化是未成年人信息網(wǎng)絡(luò)保護(hù)的首要原則[19]。在未成年人生物信息保護(hù)方面，參照民法監(jiān)護(hù)制度合理配置監(jiān)護(hù)人替代決定機(jī)制，使知情與同意發(fā)揮實(shí)質(zhì)性作用，并分別配置知情權(quán)與同意權(quán)。具體而言，知情與同意的分別實(shí)施可有效規(guī)制“不同意信息處理則拒絕提供產(chǎn)品或服務(wù)”的強(qiáng)權(quán)商業(yè)邏輯，此商業(yè)邏輯違反了《個人信息保護(hù)法》第16 條，關(guān)于信息處理者不得以個人不同意處理其個人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)的相關(guān)規(guī)定。

域外法律沒有對未成年人生物信息進(jìn)行專門立法，相關(guān)保護(hù)規(guī)則散見在不同層級法案之中。生物識別信息保護(hù)的主要規(guī)則已經(jīng)明晰，即采集、處理生物信息前的知情同意作為必要的合法性基礎(chǔ)，同時，也要滿足個人數(shù)據(jù)處理的基本原則②。相較《個人信息保護(hù)法》第14、17 條關(guān)于處理一般個人數(shù)據(jù)的同意和告知程序，處理生物信息前的知情同意方式與內(nèi)容應(yīng)當(dāng)更為嚴(yán)謹(jǐn)，旨在讓數(shù)據(jù)主體或監(jiān)護(hù)人知曉同意的真正內(nèi)涵。雖增加了企業(yè)的合規(guī)成本，但由于生物信息的特殊性及泄露后損害的不可逆性、高度危險性等特征，在利弊衡量后，各國立法仍將知情同意作為收集、處理、分析、使用、傳輸生物識別信息的必要條件。除此之外，結(jié)合嚴(yán)格的保護(hù)措施和數(shù)據(jù)安全影響評估體系，實(shí)現(xiàn)了保護(hù)與使用之間的平衡。我國《個人信息保護(hù)法》第56 條明確規(guī)定事中安全影響評估，但缺少事前風(fēng)險識別、風(fēng)險預(yù)案的規(guī)定。數(shù)據(jù)主體或監(jiān)護(hù)人的知情同意可有效保障數(shù)據(jù)主體的權(quán)益，但數(shù)據(jù)主體一方處于技術(shù)、資金、信息的弱勢地位，僅靠數(shù)據(jù)主體一方的保護(hù)，不足以保護(hù)個人生物識別信息的安全。因此，有必要遵循《個人信息保護(hù)法》第11 條之規(guī)定，推動形成政府、企業(yè)、社會組織、公眾共同參與的個人信息保護(hù)良好環(huán)境。

三、 完善未成年人生物信息特殊保護(hù)路徑的思考

1. 彌補(bǔ)未成年人行權(quán)能力不足：知情同意的實(shí)質(zhì)化

由于未成年人行權(quán)能力的有限性，監(jiān)護(hù)人是替代未成年人行使知情同意的最佳人選，又因未成年人生物信息的強(qiáng)識別性、敏感性，監(jiān)護(hù)人及未成年人對數(shù)據(jù)企業(yè)處理目的、方式、期限、效果等內(nèi)容應(yīng)全面及時知曉并可驗(yàn)證地同意。因此，需對知情同意的程序進(jìn)一步完善。具體而言，知情同意分層設(shè)立為告知程序與可驗(yàn)證同意程序，未成年人及監(jiān)護(hù)人的知情同意，可在很大程度上保護(hù)未成年人信息安全[20]。在處理未成年人生物信息時，知情同意應(yīng)該成為處理未成年人生物識別信息的必要條件，這有利于保障未成年人的個人利益和父母的親權(quán)利益[21]。

知情同意原則的實(shí)質(zhì)化包含三層含義。一是明確告知的內(nèi)容，數(shù)據(jù)收集者應(yīng)采取簡便易懂的方式向未成年人及其監(jiān)護(hù)人告知收集未成年人生物信息的范圍、目的、處理方式、存儲期限、分析使用方法，數(shù)據(jù)共享、查閱或刪除的途徑等，讓未成年人及監(jiān)護(hù)人知曉其做出同意的具體內(nèi)容及法律后果，保障其知情權(quán)和救濟(jì)權(quán)。采用多層次、多選項(xiàng)、通俗易懂的用戶協(xié)議更容易讓監(jiān)護(hù)人知曉同意的具體內(nèi)容。二是可驗(yàn)證的知情同意，未成年人及監(jiān)護(hù)人的知情與同意的驗(yàn)證方式要采取書面方式，包括電子簽名或捺印、監(jiān)護(hù)人的視頻驗(yàn)證、上傳知曉同意書等可驗(yàn)證或更加嚴(yán)謹(jǐn)?shù)姆绞?，改變以往慣用的隱私協(xié)議勾選框的簡易形式。監(jiān)護(hù)人知曉與同意方式的升級，有利于喚醒監(jiān)護(hù)人的保護(hù)意識，令其知曉自身的權(quán)利與責(zé)任。同時，便于數(shù)據(jù)監(jiān)管部門驗(yàn)證和檢查知情同意機(jī)制的可靠性。三是知情與同意的分別實(shí)施權(quán)，即知情+同意與知情+不同意的實(shí)施權(quán)利。該方式的實(shí)施旨在改變“非同意即不可用”的強(qiáng)權(quán)商業(yè)邏輯，讓未成年人及監(jiān)護(hù)人有權(quán)決定未成年人生物信息是否可以被數(shù)據(jù)控制者處理。因此，有必要將知曉與同意分層實(shí)施，當(dāng)未成年人及監(jiān)護(hù)人知曉數(shù)據(jù)控制者處理生物信息的方式后，如對收集、存儲等處理方式不信任，就有權(quán)拒絕數(shù)據(jù)控制者處理未成年人生物信息。

2. 由侵權(quán)后救濟(jì)向全周期監(jiān)管轉(zhuǎn)化：生物信息 安全影響評估管理體系

未成年人生物信息的唯一性、穩(wěn)定性，決定著侵權(quán)后救濟(jì)的滯后性、無力性，應(yīng)從事后救濟(jì)升級為事前、事中、事后全流程的動態(tài)監(jiān)督管理。生物識別技術(shù)風(fēng)險與收益的動態(tài)衡量應(yīng)貫穿信息收集、處理、刪除等全流程，應(yīng)建立未成年人生物信息全周期管理制度。我國《信息安全技術(shù)—個人信息安全規(guī)范》提出個人信息安全影響評估管理制度，旨在發(fā)現(xiàn)、處置和持續(xù)監(jiān)控個人信息處理過程中的安全風(fēng)險。個人信息安全影響評估又稱為數(shù)據(jù)保護(hù)影響評估或隱私影響評估，在美國、澳大利亞、加拿大等國開展較早，他們有較多的風(fēng)險評估實(shí)戰(zhàn)經(jīng)驗(yàn)[22]。我國制定實(shí)施了《信息安全技術(shù)—個人信息安全影響評估指南》，指導(dǎo)高新技術(shù)行業(yè)創(chuàng)新開展個人信息安全影響評估試點(diǎn)工作③。我國個人信息安全影響評估制度與歐盟《通用數(shù)據(jù)保護(hù)條例》確立的數(shù)據(jù)保護(hù)影響評估制度（data protection impact assessment， DPIA）形成有效對接，達(dá)成一致的個人信息保護(hù)水平，有利于實(shí)現(xiàn)我國與歐盟國家數(shù)據(jù)跨境傳輸。

（1）事前風(fēng)險識別。開展未成年人生物信息收集前，數(shù)據(jù)企業(yè)需要識別未成年人生物信息可能面臨的安全風(fēng)險，按照法律規(guī)定就風(fēng)險進(jìn)行分級并制定合理的信息保護(hù)預(yù)案，對系統(tǒng)進(jìn)行安全檢測、認(rèn)證、評級，將風(fēng)險識別評估結(jié)果和信息保護(hù)預(yù)案向數(shù)據(jù)保護(hù)監(jiān)管部門備案。事前風(fēng)險識別評估與信息保護(hù)預(yù)案可降低事中數(shù)據(jù)處理風(fēng)險和時間成本，是數(shù)據(jù)全周期保護(hù)的必要前置環(huán)節(jié)。企業(yè)在開展信息處理工作之前，數(shù)據(jù)保護(hù)監(jiān)管部門應(yīng)根據(jù)風(fēng)險識別評估和信息保護(hù)預(yù)案對涉及未成年人生物信息的企業(yè)，采取特別授權(quán)制度。對信息保護(hù)預(yù)案、數(shù)據(jù)安全評估不達(dá)標(biāo)者，不授予特別授權(quán)證書，禁止其從事涉及未成年人生物信息處理的行為。

（2）事中實(shí)時反饋。企業(yè)控制及處理未成年人生物信息時，數(shù)據(jù)企業(yè)實(shí)時綜合分析內(nèi)外部變化，持續(xù)修正已采取的信息安全保護(hù)措施，確保風(fēng)險處于可控制范圍。一方面數(shù)據(jù)企業(yè)將數(shù)據(jù)應(yīng)用和風(fēng)險監(jiān)測報告向數(shù)據(jù)保護(hù)監(jiān)管部門備案；另一方面數(shù)據(jù)企業(yè)將未成年人生物信息處理報告向其監(jiān)護(hù)人反饋，保障監(jiān)護(hù)人的實(shí)時知情權(quán)。

（3）事后及時刪除。當(dāng)企業(yè)完成服務(wù)目的、未成年人及其監(jiān)護(hù)人明確要求刪除信息、超過約定存儲期限時，數(shù)據(jù)企業(yè)應(yīng)當(dāng)刪除未成年人生物信息。在數(shù)據(jù)企業(yè)破產(chǎn)或分立合并時，未成年人信息應(yīng)視為重要的資產(chǎn)進(jìn)行特殊化處理，防止出現(xiàn)數(shù)據(jù)的丟失、脫管等問題，如需繼續(xù)使用未成年人生物識別信息，應(yīng)重新取得未成年人及其監(jiān)護(hù)人的知曉同意。

3. 改善監(jiān)護(hù)人保護(hù)的單一性：構(gòu)建多元化保護(hù) 主體體系

多元化保護(hù)主體的構(gòu)造應(yīng)從主體能力、保護(hù)目的、適用場景等多角度考量。未成年人生物信息的保護(hù)不應(yīng)該僅僅是監(jiān)護(hù)人或數(shù)據(jù)企業(yè)的責(zé)任，而應(yīng)該是多元主體共同參與的社會責(zé)任。僅依靠監(jiān)護(hù)人的單一保護(hù)，任由數(shù)據(jù)企業(yè)收集、存儲、加工、分析等處理，缺少算法規(guī)制、執(zhí)法監(jiān)督的共同保護(hù)作用，會使未成年人生物信息處于不安全狀態(tài)。因此，有必要建立多元化的保護(hù)體系，共同呵護(hù)未成年人身心健康，營造健康、有序、安全的未成年人網(wǎng)絡(luò)環(huán)境。

（1）監(jiān)護(hù)人的法定保護(hù)義務(wù)。監(jiān)護(hù)人作為未成年人最直接的利益守護(hù)者，其有責(zé)任和義務(wù)保護(hù)未成年人的網(wǎng)絡(luò)環(huán)境安全。任何保護(hù)都需尊重其固有權(quán)利，否則保護(hù)也是另一種傷害。監(jiān)護(hù)人應(yīng)從被動式“看護(hù)”轉(zhuǎn)向尊重未成年人權(quán)利前提下的積極保護(hù)。未成年人受制于行為能力、認(rèn)知能力的欠缺，面對復(fù)雜、多發(fā)、隱蔽的信息侵害，法律賦予了監(jiān)護(hù)人法定保護(hù)義務(wù)，在關(guān)注未成年人權(quán)利的基礎(chǔ)上保護(hù)其合法權(quán)益，營造良好的網(wǎng)絡(luò)生存環(huán)境。監(jiān)護(hù)人代為行使權(quán)利時也應(yīng)該受到一定的法律約束，如監(jiān)護(hù)人疏忽大意、過失，甚至故意造成未成年人生物信息遭受侵害，未成年人保護(hù)組織、基層社區(qū)、民政部門可對監(jiān)護(hù)人予以警告、訓(xùn)誡，檢察機(jī)關(guān)可提起民事公益訴訟。

（2）數(shù)據(jù)控制者的商業(yè)保護(hù)義務(wù)。數(shù)據(jù)控制者是未成年人信息利益的受益者。基于危險控制、信賴?yán)?、?jié)約成本、風(fēng)險與收益相一致的考量，數(shù)據(jù)控制者有義務(wù)也有能力對進(jìn)入其控制、管理范圍內(nèi)的未成年人信息加以保護(hù)[23]。數(shù)據(jù)控制者從商業(yè)目的、法律義務(wù)、社會責(zé)任、監(jiān)管要求等方面考量，促使其負(fù)擔(dān)多樣性的保護(hù)義務(wù)：1）告知披露義務(wù)；2）驗(yàn)證同意義務(wù)；3）安全保障義務(wù)；4）滿足信息質(zhì)量要求義務(wù)；5）提供查詢生物識別特征使用情況義務(wù)；6）定期反饋信息使用情況義務(wù)；7）配合數(shù)據(jù)保護(hù)監(jiān)管部門監(jiān)督檢查義務(wù)；8）不得轉(zhuǎn)讓、共享、公開披露生物信息的義務(wù)；9）損害通知義務(wù)；10）按期存儲數(shù)據(jù)義務(wù)等。上述保護(hù)義務(wù)是數(shù)據(jù)保護(hù)監(jiān)管部門重點(diǎn)審查內(nèi)容。數(shù)據(jù)控制者按照保護(hù)義務(wù)清單完成合規(guī)自查，在涉訴時是重要的免責(zé)抗辯理由。

（3）系統(tǒng)設(shè)計者的算法保護(hù)義務(wù)。系統(tǒng)設(shè)計者的算法保護(hù)是通過算法規(guī)制信息安全，將數(shù)據(jù)保護(hù)理念融入系統(tǒng)開發(fā)全周期，自系統(tǒng)規(guī)劃至系統(tǒng)上線，確保信息安全貫徹至信息處理利益相關(guān)方，讓系統(tǒng)平臺從根本上保護(hù)用戶的個人隱私與數(shù)據(jù)[24]。系統(tǒng)設(shè)計者在前期規(guī)劃、產(chǎn)品設(shè)計、二次開發(fā)等系統(tǒng)研發(fā)過程，將未成年人信息保護(hù)理念和未成年人數(shù)據(jù)處理原則貫徹始終，從底層算法角度防止數(shù)據(jù)控制者對未成年人信息的侵害，形成數(shù)據(jù)主體、系統(tǒng)設(shè)計者、數(shù)據(jù)控制者三方相互監(jiān)督的新格局。

（4）監(jiān)管部門的監(jiān)督保護(hù)義務(wù)。在國家監(jiān)管層面，明確數(shù)據(jù)監(jiān)管機(jī)構(gòu)的權(quán)力、責(zé)任、執(zhí)法手段，監(jiān)督企業(yè)保護(hù)未成年人生物信息，與國際個人信息保護(hù)機(jī)構(gòu)開展對話與合作。從歐盟和美國的執(zhí)法監(jiān)督經(jīng)驗(yàn)來看，第29 條工作組④、歐洲數(shù)據(jù)保護(hù)委員會（EDPB）⑤、美國的聯(lián)邦貿(mào)易委員會（FTC）⑥在推動個人信息保護(hù)和懲處的執(zhí)行方面起到了關(guān)鍵作用。全球超過90個國家和地區(qū)依法成立了專門的個人信息保護(hù)監(jiān)管機(jī)構(gòu)[25]。未成年人相比數(shù)據(jù)企業(yè)處于劣勢地位，需要數(shù)據(jù)監(jiān)管機(jī)構(gòu)平衡兩者的緊張關(guān)系。數(shù)據(jù)監(jiān)管機(jī)構(gòu)不僅要審慎履行監(jiān)督權(quán)力，還要履行積極保護(hù)義務(wù)，以支援個人對抗大規(guī)模、持續(xù)化數(shù)據(jù)處理中人格尊嚴(yán)的減損[26]。

四、 結(jié) 語

未成年人生物信息特殊保護(hù)關(guān)系到未成年人的自由與尊嚴(yán)，應(yīng)受到社會關(guān)切。未成年人有資格行使與年齡、智力相適應(yīng)的權(quán)利，亦有接受社會多元主體保護(hù)的權(quán)利。未成年人是國家的希望和未來，保護(hù)未成年人的信息安全，尤其是生物信息的安全，是我國個人信息保護(hù)法律的重要課題和社會實(shí)踐。生物信息正在被廣泛使用，街頭、公共區(qū)域的攝像頭、可穿戴設(shè)備、手機(jī)等智能終端，正在悄無聲息地收集、存儲、分析、使用未成年人生物信息，生物信息的應(yīng)用場景正以驚人速度發(fā)展。通過對未成年人生物信息特殊保護(hù)機(jī)制下合理使用的證成，探尋未成年人信息權(quán)益保護(hù)的權(quán)利來源，完善生物信息處理中知情同意原則的實(shí)質(zhì)化、保護(hù)主體多元化，增強(qiáng)信息安全影響評估，從事前、事中、事后保障生物信息安全流通使用，以期在我國《個人信息保護(hù)法》實(shí)施后，待時機(jī)成熟、市場穩(wěn)定、法律價值趨于統(tǒng)一時，建立專門的生物識別信息保護(hù)單行法。

注 釋：

① 《企業(yè)六步合規(guī)計劃》通過六個步驟促進(jìn)信息收集行為符合法律規(guī)定：第一步，確定企業(yè)收集的是13 歲以下未成年人的個人信息；第二步，企業(yè)需要發(fā)布符合《兒童在線隱私保護(hù)法》的隱私政策；第三步，從未成年人那里收集個人信息之前需直接通知父母；第四步，收集未成年人個人信息之前先獲取父母的可驗(yàn)證同意；第五步，尊重父母對未成年人個人信息所享有的持續(xù)性權(quán)利；第六步，通過實(shí)施合理的程序來保護(hù)未成年人個人信息安全?！冻Ｒ妴栴}解答》是聯(lián)邦貿(mào)易委員會針對企業(yè)合規(guī)問題作出的解答，可作為企業(yè)收集未成年人信息時的參考。

②歐洲經(jīng)濟(jì)合作組織（OECD）提出的個人數(shù)據(jù)處理的八項(xiàng)基本原則源自美國《正當(dāng)信息通則》。世界各國均吸收借鑒了八項(xiàng)基本原則的部分內(nèi)容。

③全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會將在App、SDK、云計算、小程序、可穿戴設(shè)備等多種形態(tài)中開展試點(diǎn)工作，涉及音視頻處理、廣告分發(fā)、生物識別、健康醫(yī)療、金融、房屋租售、安全技術(shù)、天氣服務(wù)等多種領(lǐng)域的試點(diǎn)對象，旨在對標(biāo)準(zhǔn)內(nèi)容的可操作性和適用性進(jìn)行驗(yàn)證，探索形成標(biāo)準(zhǔn)實(shí)施應(yīng)用工作模式。

④第29 條工作組是指根據(jù)《歐盟數(shù)據(jù)保護(hù)指令》第29 條成立的數(shù)據(jù)保護(hù)工作組和警察、法官特別工作組。

⑤2018 年5 月25 日《通用數(shù)據(jù)保護(hù)條例》（GDPR）生效，同日歐洲數(shù)據(jù)保護(hù)委員會（EDPB）正式成立，其主要工作范圍是確保GDPR 執(zhí)行的一致性，以及協(xié)調(diào)成員國之間的配合與爭議解決。

⑥FTC 是執(zhí)行多種反托拉斯和保護(hù)消費(fèi)者權(quán)益的美國聯(lián)邦機(jī)構(gòu)。