未成年人個人信息保護中監(jiān)護人同意之完善

■徐培穎

（杭州師范大學，浙江 杭州 310000）

信息科技在為人們帶來便捷的同時也使得人們陷入個人信息泄露的擔憂之中，“人類正生活在文明的火山口上”[1]。由于未成年人的特殊性，未成年人個人信息法治保護已成為一項世界議題。監(jiān)護人同意制度是未成年人個人信息法治保護的核心，各國在法律制度中普遍設(shè)計了監(jiān)護人同意這一制度。我國《民法典》《未成年人保護法》以及《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》僅對監(jiān)護人同意和相關(guān)的告知說明義務(wù)進行了綱領(lǐng)性規(guī)定，使得實踐中這一制度的落實成為未成年人個人信息實現(xiàn)有效保護的最大困難。鑒于此，本文將從監(jiān)護人同意制度的理論基礎(chǔ)出發(fā)，圍繞監(jiān)護人同意制度的實踐困境展開討論，通過細化相關(guān)法律適用使得這一制度在未成年人個人信息法治保護的實踐中折射出其應有的制度價值。

一、監(jiān)護人同意制度的理論回溯

監(jiān)護人同意制度孕育于歐美的個人信息保護控制理論和親權(quán)、監(jiān)護理論。

個人信息保護控制論肇始于歐洲基于人的尊嚴保護的個人數(shù)據(jù)保護理論和美國基于個人自由保護的隱私理論。盡管兩個法域的理論基礎(chǔ)不同，但其結(jié)論都是個人應當有權(quán)控制其個人信息的使用，以實現(xiàn)對個人自治（獨立人格和自由意志）等基本權(quán)利的保護[2]。而這種基本權(quán)利成年人擁有，未成年人也應享有。但是基于未成年人的理性瑕疵，面對多發(fā)、隱蔽的信息侵權(quán)，勢必需要監(jiān)護人或父母的代位保護和幫助。

親權(quán)制度的核心在于父母對未成年子女的哺育、監(jiān)護或教育。親權(quán)建立在血緣關(guān)系的基礎(chǔ)上，依法律規(guī)定而發(fā)生，專屬于父母，被視作父母對人類社會的天職[3]。未成年人個人信息的泄露給子女的安全帶來巨大的風險，父母因此陷入擔憂與痛苦。未成年人個人信息保護不僅與未成年人利益息息相關(guān)也與父母的親權(quán)利益緊密連接。監(jiān)護制度為保護無民事行為能力人和限制民事行為能力人的人身財產(chǎn)權(quán)益而設(shè)立?；诒O(jiān)護關(guān)系，監(jiān)護人對未成年人的個人信息享有知情權(quán)，并在對外行為方面享有代理權(quán)，以此彌補未成年人的認知能力、行為能力缺陷，為其做出更符合自身利益的選擇。

知情和同意兩項權(quán)能的實現(xiàn)是個人信息保護法律體系構(gòu)建的關(guān)鍵兩環(huán)，因而父母替代子女行使其知情權(quán)和同意權(quán)成為未成年人個人信息保護的關(guān)鍵。未成年人個人信息保護是根植于信息控制基礎(chǔ)上的權(quán)利保護，并由父母替代決定行使知情和同意權(quán)能的一種法律范式[4]。監(jiān)護人同意制度有其正當性，但也存在天然的理論漏洞。監(jiān)護人同意制度默認父母的親權(quán)利益與未成年人的個人利益始終保持一致，父母基于親權(quán)利益以及監(jiān)護人責任而當然地基于未成年人的最大利益做出替代決定，然而事實是父母可能并不總是能夠完全掌握未成年人的最大利益，甚至可能會成為孩子隱私的潛在侵犯者[5]。理論上的客觀掣肘亟需實踐性規(guī)范加以補足與完善。

二、監(jiān)護人同意制度的現(xiàn)實樣貌

（一）單一模式：年齡與內(nèi)容的“一刀切”

關(guān)于“賦權(quán)與保護”（empowerment versus protection）的討論在有關(guān)未成年人權(quán)利的相關(guān)討論中并非是一個新話題，可以說是構(gòu)成了整個未成年人權(quán)利體系設(shè)計的根本沖突。參與性（emancipatory）權(quán)利包括未成年人對“決策權(quán)”的訴求，與成人人權(quán)接近，例如表達和思想自由的權(quán)利。隨著未成年人的長大，這一類權(quán)利應當被相應地賦予。保護性權(quán)利條款與參與性（emancipatory）權(quán)利條款之間存在天然的潛在緊張關(guān)系。未成年人的保護性權(quán)利源于他們的脆弱性、對成人的依賴以及對身心健康成長和教育的需要[6]。聯(lián)合國《兒童權(quán)利公約》第3條確立了兒童最大利益原則，第12條規(guī)定確保有主見能力的兒童有權(quán)對影響到其本人的一切事項自由發(fā)表自己的意見，對兒童的意見應按照其年齡和成熟程度給以適當?shù)乜创?。兒童最大利益的實現(xiàn)需要兒童本人的參與，但是一個未成年人在同時作為“成年人干預的受益者”和“有能力的社會代理人”的兩個角色之間存在內(nèi)在矛盾[6]。目前我國立法中采取的監(jiān)護人同意機制，是建立在對未成年人保護而非賦權(quán)的理念基礎(chǔ)上的。

《民法典》第1035條、《個人信息保護法》第28條、《未成年人保護法》第72條以及《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》第9條均規(guī)定處理不滿14周歲未成年人個人信息應當征得未成年人的父母或者其他監(jiān)護人同意。我國目前立法中采取的監(jiān)護人同意機制是一刀切式的單一同意模式。單一同意模式體現(xiàn)在同意的主體單一以及同意的個人信息內(nèi)容單一兩部分。主體上，法律只對14周歲以下未成年人個人信息規(guī)則作出了規(guī)定，那么14至18周歲未成年人個人信息保護應該遵循怎樣的規(guī)定？內(nèi)容上，立法將14周歲以下未成年人個人信息一刀切式地全部劃分為敏感信息完全適用監(jiān)護人同意制度。盡管“法律、行政法規(guī)另有規(guī)定的除外”，但目前并未對此范圍作出詳細規(guī)定。內(nèi)容上的完全適用實質(zhì)上不是保護未成年人免受傷害，而是有可能限制所有未成年人的在線活動并限制未成年人自我發(fā)展能力的習得。單一同意模式將責任過多地加諸于監(jiān)護人身上，也導致監(jiān)護人陷入“同意疲勞”。

（二）實操性規(guī)范缺失：受限的監(jiān)護人同意制度

監(jiān)護人同意制度目前在一定程度上受到配套規(guī)則設(shè)計欠缺的影響而呈現(xiàn)出運行有限的態(tài)勢，主要體現(xiàn)在年齡識別、告知同意以及同意驗證三個部分。一是年齡識別之困。目前“青少年模式”是我國在法律框架下探索未成年人網(wǎng)絡(luò)保護的主要嘗試。大部分網(wǎng)絡(luò)運營者都在其產(chǎn)品的隱私政策文件中明確青少年模式下個人信息處理的特殊保護。但這一模式存在程序化傾向，它的開啟完全被動地依賴用戶提供的年齡信息，后續(xù)也沒有其他途徑來核實，這實際上將是否適用未成年人網(wǎng)絡(luò)保護這一問題交給了產(chǎn)品使用者本人,而未成年用戶輸入的年齡信息可能本身就是虛假的。二是告知同意之困。一方面，由于網(wǎng)絡(luò)運營者提供的選擇往往是“同意”或“退出”這種“二選一”式的選擇，加之隱私政策文件繁雜冗長，在社會公眾隱私保護意識待彰的當下大多監(jiān)護人往往不加閱讀即點“同意”。而這種“一攬子”式同意的授權(quán)方式也容易使得監(jiān)護人及未成年人在日后遭遇信息侵權(quán)時束手無策。另一方面，網(wǎng)絡(luò)運營者一味追求形式合規(guī)，過度依賴家長同意機制，希望通過獲得同意“一勞永逸”，更加怠于進行實質(zhì)保護的技術(shù)研究。三是同意驗證之困。我國目前并未像美國《兒童在線隱私保護法》一樣窮盡式列舉所有可能的授權(quán)同意方式。在實踐中，我國大部分網(wǎng)絡(luò)運營者采取的是推定同意模式，對同意的驗證可謂少之又少，已有驗證方式的有效性也有待探討。以愛奇藝奇巴布（愛奇藝兒童版）為例，在使用家長中心、賬號注冊登錄、發(fā)布視頻、購買服務(wù)等功能時，愛奇藝設(shè)計了家長驗證功能，其驗證方式是在五個漢字中找出一個四字成語以此驗證家長同意[7]。這種成語題式的驗證方式的確可以篩選掉一批冒充家長的低齡兒童，但對于一些語文素養(yǎng)較高的兒童來說自主解答這類成語題蒙混過關(guān)并非難事。

三、監(jiān)護人同意制度的路徑構(gòu)建

任何一個實然法律制度的完善都離不開反思理性精神的注入，監(jiān)護人同意制度也不例外。以此種反思精神審視當前監(jiān)護人同意制度所面臨的困境，“一刀切”式地將未成年人個人信息保護的責任過多地分配給監(jiān)護人或難辭其咎。在適度完善單一同意模式，賦予網(wǎng)絡(luò)運營者更多責任與義務(wù)的前提下，探索有助于制度順暢運行的匹配機制，如此方能更好地借助監(jiān)護人同意制度維護未成年人個人信息安全。

（一）雙層模式：賦權(quán)與保護平衡視角下的有效選擇

未成年人的保護措施應當根據(jù)其不斷發(fā)展的能力而變化，在保護和賦權(quán)之間取得平衡，這已成為學界的共識。單一模式下，高度保護性的同意條款使得未成年人的個人信息控制權(quán)完全地集中在父母手中，這并不能達到幫助未成年人成長的目的。未成年人的特殊保護是合理的，但與此同時他們應該“有能力作為他們自己的自由、理性的代理人來承擔責任”[6]。尤其是對青少年而言，高度保護性的同意條款更是扭曲了賦權(quán)和保護之間的平衡。同樣地，過多地強調(diào)“賦權(quán)”，要求立法針對不同成熟度的未成年人給予差異化保護，這也會給立法工作帶來巨大的壓力，亦加重網(wǎng)絡(luò)運營者的成本與負擔。基于單一同意模式框架下建立的雙層模式是賦權(quán)與保護平衡視角下的有效選擇。

在主體上，我國法律只保護14周歲以下未成年人的個人信息，建議主體延伸至14至18周歲的未成年人，并區(qū)分情形確定其能否決定個人信息被獲取或被提供。目前我國立法上關(guān)于年齡的規(guī)定借鑒了美國《兒童在線隱私保護法》，美國《兒童在線隱私保護法》將年齡段劃分為13周歲以下。這種單一模式使得14至18周歲未成年人個人信息保護處于無法可依的尷尬局面?？山梃b美國《加利福尼亞州消費者隱私法》①，仍以14周歲為劃分，將未成年人劃分為14周歲以下與14至18周歲兩個年齡段，并側(cè)重考察相應年齡段內(nèi)未成年人的平均能力。如此，既使得14周歲這一“明線規(guī)則”②得以保全，又使得主體保護更加周延，有其可取之處。

在內(nèi)容上，同意要求的內(nèi)容應當可以預見多種不同的情況，而不是受單一規(guī)則的約束。在歐洲一些兒童信息隱私案件中，法院判決中承認了特殊的公共利益可以超越兒童通常的最高利益[8]。雖然兒童的最大利益是首要考慮事項，但這些利益不會絕對超過任何對立的利益——仍應進行平衡[5]。事實上，國家網(wǎng)信辦發(fā)布的《兒童個人信息網(wǎng)絡(luò)保護（征求意見稿）》中規(guī)定了征得監(jiān)護人同意的三種例外情形，分別是為維護國家安全或者公共利益、為消除兒童人身或者財產(chǎn)上的緊急危險和法律以及行政法規(guī)規(guī)定的其他情形，但正式出臺的《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》卻刪除了上述規(guī)定。建議在同意的內(nèi)容里闡明例外的情況。當面對這些事項時，不需要征得監(jiān)護人的同意，信息使用者即可獲取信息。對于14周歲以下的未成年人，除“例外”情況以外個人信息的收集、使用均應當征得監(jiān)護人的同意。但是這種基于公共利益的免同意行為必須在合理范圍內(nèi)依法進行。而14至18周歲的未成年人已經(jīng)是中學生，本身已具有較為成熟的認知能力和行為能力，這部分青少年對互聯(lián)網(wǎng)的了解程度并不亞于父母或者其監(jiān)護人。對于這部分青少年，可以規(guī)定除高風險的個人信息應當在監(jiān)護人的明示同意下進行授權(quán)外，其他均可自行授權(quán)。這在一定程度上有效避免了對未成年人的過度保護的同時賦予了適齡未成年人的信息自決權(quán)，還通過規(guī)定監(jiān)護人同意的例外情形減輕了網(wǎng)絡(luò)運營者的成本、緩解了監(jiān)護人的“同意疲勞”。

（二）細化網(wǎng)絡(luò)運營者義務(wù)：未成年人隱私保護的應有之義

一方面，大數(shù)據(jù)時代下的技術(shù)發(fā)展在創(chuàng)造巨大進步與機會的同時也造就了諸多有著特殊樣態(tài)的社會風險，對于這些社會風險理應以“技術(shù)+法律”進行回應，在回歸技術(shù)治理的同時以法律的制度理性為單向度的技術(shù)理性矯正與糾偏[9]。在未成年人個人信息保護的治理過程中，也應當貫徹上述基本理念；另一方面，企業(yè)是互聯(lián)網(wǎng)發(fā)展的領(lǐng)航員，不僅是網(wǎng)絡(luò)產(chǎn)品的設(shè)計者、網(wǎng)絡(luò)服務(wù)的提供者，更是未成年人權(quán)利責任主體中最了解互聯(lián)網(wǎng)的一方。因此，建議對未成年人個人信息保護的責任由監(jiān)護人和網(wǎng)絡(luò)運營者共同承擔轉(zhuǎn)向由網(wǎng)絡(luò)運營者承擔為主、監(jiān)護人為輔。這一轉(zhuǎn)變需要通過增加網(wǎng)絡(luò)運營者的義務(wù)規(guī)范來實現(xiàn)。

歐盟《一般數(shù)據(jù)保護條例》將“通過設(shè)計保護數(shù)據(jù)”（data protection bydesign）作為指導原則之一③，要求網(wǎng)絡(luò)運營者將隱私保護的理念貫穿于互聯(lián)網(wǎng)產(chǎn)品設(shè)計的始終，通過產(chǎn)品本身實現(xiàn)保護用戶隱私最大化，彰顯了“科技向善”這一基本技術(shù)道德理念?！巴ㄟ^設(shè)計保護數(shù)據(jù)”應當成為我國未來《個人信息保護法》中的宏觀原則之一，將網(wǎng)絡(luò)運營者納入個人信息保護的責任主體范圍[10]。有學者曾經(jīng)提出，面對技術(shù)不可避免地給公民帶來的侵害，法律在發(fā)揮保護作用時必須注意在相關(guān)法律的制定過程中要有高屋建瓴的宏觀預見，對傳播技術(shù)可能的進展有前瞻性把握，以便宏觀原則能順應社會發(fā)展趨勢[11]?！巴ㄟ^設(shè)計保護數(shù)據(jù)”便是如此。若再制定與之相匹配的激勵政策，那么會極大提高網(wǎng)絡(luò)運營者的合規(guī)動力，降低個人信息保護的執(zhí)法成本[10]。在這一原則的指導下，再對監(jiān)護人同意制度中的網(wǎng)絡(luò)運營者責任逐一進行細化。

未成年人的年齡識別是實現(xiàn)未成年人特殊保護的第一步。在這個問題上，如若選擇通過收集未成年人用戶更多的身份信息的方式去實現(xiàn)年齡的精準判斷，那么對于該部分敏感信息的收集、使用、存儲又將造成新的困難。在產(chǎn)品設(shè)計上完善人工智能識別舉報機制和家長的事后探查途徑或許是解決這個問題的更優(yōu)方案。通過人工智能分析用戶參與網(wǎng)絡(luò)互動的方式以確定用戶的年齡段，當人工智能分析得出的結(jié)論與用戶申報不符時，賬戶將被暫停使用，監(jiān)護人可以進入“家長模式”進行操作解凍賬戶。此外，當監(jiān)護人發(fā)現(xiàn)年齡段申報錯誤時可以進入“家長模式”進行修改，重新申報。對于告知同意問題的解決，可以嘗試從信息披露以及撤回同意的角度進行思考。網(wǎng)絡(luò)運營者可以在“家長模式”中設(shè)計查閱被收集的個人信息類型和范圍的途徑以保障未成年人及監(jiān)護人的信息知情權(quán)，并且提供“撤回同意”選項保障其撤回權(quán)[4]。監(jiān)護人無需先與網(wǎng)絡(luò)運營者聯(lián)系即可通過點擊“撤回同意”撤回對部分個人信息收集的授權(quán)，再由網(wǎng)絡(luò)運營者在后臺刪除對應個人信息。在同意的驗證方式上，國內(nèi)網(wǎng)絡(luò)運營者已有嘗試，但驗證方式過于寬松，效果不佳。歐美已經(jīng)在探索的方式如郵件確認、銀行記錄、人臉識別等已在實踐中暴露出許多弊端，借鑒意義有限。同意的可驗證模式應當以“合理程度”和“技術(shù)水平”作為參照因素，綜合運用多種手段建立。網(wǎng)絡(luò)運營者可以考慮設(shè)計包含教育水平考察、社會知識考察和心理學等多方面內(nèi)容的“家長驗證”問卷，后臺對其提交的問卷答案進行分析判斷提交“同意”的對象是否是成人進而實現(xiàn)“同意”的可驗證。

四、結(jié)語

加強未成年人個人信息保護已成為未成年人法治保護中不可或缺的環(huán)節(jié)。監(jiān)護人同意制度作為未成年人個人信息保護法律框架中的核心制度，在實際運行中并未達到理想的法律效果與社會效果。一方面，已有規(guī)范的原則性、單一性以及高保護性特征導致制度的現(xiàn)實適應力不強；另一方面，無論是我國還是兒童在線隱私保護機制運行多年的歐美國家，都面臨著未成年人年齡識別、告知同意、同意驗證等監(jiān)護人同意制度的衍生性問題。因此，需要在現(xiàn)有單一同意模式的基礎(chǔ)上，秉持賦權(quán)與保護相平衡的理念搭建主體與內(nèi)容上的雙層同意模式以增強制度的現(xiàn)實適應力；在“技術(shù)+法律”的理念下賦予網(wǎng)絡(luò)運營者更多的責任與義務(wù)，運用技術(shù)層面的設(shè)計解決年齡識別、告知同意、同意驗證等衍生性問題。

注釋：

①美國《加利福尼亞州消費者隱私法》將未成年人劃分為兩個年齡段，分別針對不滿13歲的兒童和13至16歲的青少年采用不同的隱私保護模式：企業(yè)知道消費者不滿16歲的不得出售消費者的個人信息，但是13至16歲的消費者或者不滿13歲的消費者的父母或監(jiān)護人明確同意出售消費者個人信息的除外。

②明線規(guī)則（Bright-line Rule）是指美國法律中要求規(guī)則或標準必須有明確且清晰的定義，不預留或極少預留解釋空間。

③參見General Data Protection Regulation,Chapter IV Section 1 Article 25。