基于《個人信息保護法》完善未成年人個人信息法律保護體制

■江雯菁，李 鑫

（福建師范大學(xué)，福建 福州 350000）

一、域外未成年人個人信息保護的立法現(xiàn)狀——以歐盟和美國為例

（一）歐盟《一般數(shù)據(jù)保護條例》（GDPR）

《一般數(shù)據(jù)保護條例》是歐盟出臺的一部關(guān)于數(shù)據(jù)和隱私保護的法規(guī)，其中包含未成年人個人信息保護條款。其通過對未成年人提供服務(wù)的年齡限制、特殊的同意規(guī)則，以及賦予數(shù)據(jù)主體權(quán)利等方式保護未成年人個人信息[1]。

1.年齡的限制

《一般數(shù)據(jù)保護條例》將16周歲作為未成年人數(shù)據(jù)處理合法的年齡界限，同時賦予各成員國一定的自主權(quán)，可以根據(jù)現(xiàn)實社會情況降低年齡界限，但不得低于13周歲。

歐盟以13周歲為年齡底線，認為13周歲以下的未成年人身心不夠成熟，不具有充分的個人信息處理能力，需要通過對監(jiān)護人、數(shù)據(jù)處理者加以特殊的責任來進行未成年人個人信息保護。

2.特殊的同意規(guī)則

由于未成年人不具有成熟的個人信息自我決定能力，需要國家通過法律方式特別保護，規(guī)定了特殊的同意規(guī)則。若未成年用戶未達到規(guī)定的年齡，則只有在父母或其他監(jiān)護人的同意或授權(quán)下，數(shù)據(jù)控制者對未成年用戶的數(shù)據(jù)處理才是合法的。同時，數(shù)據(jù)控制者要證明其獲得了父母或監(jiān)護人的同意，以避免矛盾發(fā)生時的責任糾紛。

監(jiān)護人的同意是數(shù)據(jù)控制者處理未成年人數(shù)據(jù)的前提，但條例并未明確規(guī)定同意的核實方式，讓此條款難以在實踐中得以落實。

3.賦予個人權(quán)利

歐盟采用的是統(tǒng)一立法的模式，將未成年人與一般主體的個人信息保護納入同一法律，故在條例中賦予數(shù)據(jù)主體的個人權(quán)利同樣適用于未成年人。

《一般數(shù)據(jù)保護條例》賦予用戶廣泛的權(quán)利，包括數(shù)據(jù)透明權(quán)、拒絕權(quán)、被遺忘權(quán)、修正權(quán)、限制權(quán)、數(shù)據(jù)便攜權(quán)等。諸多權(quán)利中，數(shù)據(jù)透明權(quán)、被遺忘權(quán)與兒童個人信息保護息息相關(guān)。數(shù)據(jù)透明權(quán)要求相關(guān)信息要以兒童易于理解為標準，采用清楚明晰的表達方式。被遺忘權(quán)是數(shù)據(jù)主體不希望個人數(shù)據(jù)繼續(xù)被數(shù)據(jù)控制者進行處理、儲存，不允許在信息發(fā)布后的很長時間內(nèi)可以隨意查詢的權(quán)利。被遺忘權(quán)屬于一般主體的權(quán)利，但應(yīng)著重保護未成年人，原因在于兒童即使同意數(shù)據(jù)控制商收集、儲存、處理其數(shù)據(jù)，但不能完全等同于兒童的真實意愿，因為他們尚不能夠完全意識到數(shù)據(jù)處理的危害性。

（二）美國《兒童在線隱私保護法》（COPPA）

美國與歐盟的統(tǒng)一立法方式不同，其采用分散立法，專門頒布與未成年人個人信息保護相關(guān)的《兒童在線隱私保護法》，提高了對未成年人個人信息保護的立法水平，完善了對監(jiān)護人同意的核實手段，強化數(shù)據(jù)控制者的義務(wù)與責任[2]。

1.年齡的限制

《兒童在線隱私保護法》將13周歲作為年齡的界限，認為13周歲以下的兒童不具有完全的信息處理能力，應(yīng)通過法律格外保護。從整體上看，美國與歐盟相比降低了年齡的界限，認為歐盟16周歲的界限一定程度上限制了部分有信息自決能力兒童的自由。

2.可驗證的父母同意制度

美國與歐盟相同，對未滿規(guī)定年齡的兒童的信息處理，需要獲得監(jiān)護人的同意，但在此基礎(chǔ)上完善對監(jiān)護人同意的核實。數(shù)據(jù)控制者對于父母的同意，可以通過郵件、電話等多種方式進行驗證。

同時，《兒童在線隱私保護法》規(guī)定了監(jiān)護人同意的例外情形，在保護未成年人個人信息的基礎(chǔ)上，尊重未成年人的言論自由、信息檢索和發(fā)表的權(quán)利。

3.數(shù)據(jù)控制者的義務(wù)

美國《兒童在線隱私保護法》通過強化數(shù)據(jù)控制者的義務(wù)責任，加強監(jiān)管，提高兒童個人信息保護水平。法律規(guī)定數(shù)據(jù)控制者的首要責任是獲得可驗證的監(jiān)護人同意，這是數(shù)據(jù)控制者提供服務(wù)給13周歲以下兒童的前提；其次是履行告知義務(wù)，告知父母相關(guān)的信息，提供相關(guān)途徑和方式便利父母知曉兒童信息處理情況；最后是保障父母權(quán)利的行使，父母有權(quán)審核數(shù)據(jù)控制者的信息處理情況，對威脅兒童隱私的信息有權(quán)要求刪除。

二、我國未成年人個人信息保護的立法現(xiàn)狀

（一）在民法體系構(gòu)建下產(chǎn)生

早期，我國規(guī)范個人信息的法律法規(guī)少之又少，專門保護未成年人個人信息的法律更是處于空白狀態(tài)。我國的個人信息領(lǐng)域治理主要是以《民法典》為核心，配合其他的部門法加以管制。

《民法典》在人格權(quán)編中規(guī)定了個人信息保護的相關(guān)內(nèi)容，明確了個人信息的概念、處理原則以及相關(guān)民事責任?！睹穹ǖ洹分袑€人信息與隱私權(quán)歸為同一章，共同歸屬于人格權(quán)編，并未將其單列為獨立的權(quán)利進行保護。

2020年，《未成年人保護法》通過修訂，新增網(wǎng)絡(luò)保護內(nèi)容，我國未成年人網(wǎng)絡(luò)保護發(fā)展到一個新的階段[3]。新增內(nèi)容中規(guī)定了數(shù)據(jù)控制者對于不滿14周歲未成年人個人信息的處理，除特殊情況外，應(yīng)征得監(jiān)護人的同意；同時要求網(wǎng)絡(luò)服務(wù)提供者履行提示義務(wù)，對未成年人私密信息采取必要的保護措施?！段闯赡耆吮Ｗo法》相較于《民法典》強調(diào)了監(jiān)護人與網(wǎng)絡(luò)服務(wù)提供者的義務(wù)責任，進一步細化未成年人個人信息保護的規(guī)定。

《民法典》及《未成年人保護法》對未成年人的保護多是現(xiàn)實生活的保護，關(guān)于虛擬網(wǎng)絡(luò)空間的個人信息保護并未專門獨立進行立法，而是以部分條款的形式分散于民法體系中。

（二）在《個人信息保護法》推進下完善

《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》是互聯(lián)網(wǎng)發(fā)展催生的產(chǎn)物，以網(wǎng)絡(luò)空間為背景，是我國首部有關(guān)兒童個人信息網(wǎng)絡(luò)保護的專門立法，努力實現(xiàn)對未成年人各領(lǐng)域保護的全覆蓋。但《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》的內(nèi)容在一定程度上多是籠統(tǒng)性的意見，部分規(guī)定較不成熟，還缺少具體可行的操作機制。而且《規(guī)定》屬于部門規(guī)章，法律效力位階較低，在實際適用上不具有較大的影響力。

2021年11月1日，《個人信息保護法》施行?！秱€人信息保護法》對個人信息進行分類，將不滿14周歲未成年人的個人信息劃分為敏感個人信息，實施特別的保護規(guī)則。特殊保護規(guī)則主要體現(xiàn)在個人信息處理者要取得未成年人父母或者其他監(jiān)護人的同意，同時要制定專門的個人信息處理規(guī)則，區(qū)別對一般主體的處理規(guī)則。

《個人信息保護法》雖彌補了《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》效力低的缺陷，但二者在內(nèi)容上都是一般規(guī)定，實際操作性較低?？傮w上看，二者都適應(yīng)了大數(shù)據(jù)時代的快速發(fā)展，將視野從現(xiàn)實社會轉(zhuǎn)向虛擬空間，初步制定了較全面、有力的未成年人個人信息保護規(guī)則，為我國不斷完善未成年人個人信息法律保護體制奠定基礎(chǔ)。

三、完善未成年人個人信息法律保護體制的必要性

（一）大數(shù)據(jù)時代的現(xiàn)實需求：兒童信息頻遭泄露

近年來的報告顯示，我國未成年網(wǎng)民達到1.83億人，互聯(lián)網(wǎng)普及率為94.9%?！盎ヂ?lián)網(wǎng)+”時代延伸至未成年群體。未成年人通過網(wǎng)絡(luò)游戲、智能手機、智能手表等形成海量的數(shù)據(jù)信息，成為數(shù)據(jù)控制者牟利的工具，未成年人個人信息在網(wǎng)絡(luò)上“裸奔”，花錢買信息的現(xiàn)象屢見不鮮。

1.網(wǎng)游實名制收集個人信息，未成年隱私保護存在隱患

為了更好地管理網(wǎng)絡(luò)空間，網(wǎng)絡(luò)實名制應(yīng)運而生，在此基礎(chǔ)上，更為嚴格的網(wǎng)游實名制產(chǎn)生。未成年人是網(wǎng)絡(luò)游戲的主要用戶，構(gòu)建未成年人防沉迷系統(tǒng)是網(wǎng)游實名制的推力之一，每個用戶都必須完成實名認證，對未成年用戶提供有限制的服務(wù)。在網(wǎng)游實名制下，游戲運營商收集未成年用戶的個人信息，包括個人姓名、出生年月、身份證號碼、電話號碼等，這些個人信息具有高度可識別性。個人信息關(guān)系用戶隱私，且游戲運營商存在規(guī)模參差不齊的問題，在高利潤誘惑面前，不少運營商違法販賣未成年的個人信息，未成年人隱私保護存在隱患。

2.算法自動化決策處理數(shù)據(jù)，影響未成年人信息自決權(quán)利

近年來，隨著大數(shù)據(jù)時代不斷深入，以算法自動化決策為代表的數(shù)據(jù)處理技術(shù)廣泛運用于生活當中，在帶來便利與個性化信息的同時，個人信息的私密與安全性遭到威脅。

2021年3月，快手公司侵犯兒童個人信息案公開審判，作為我國首例未成年人網(wǎng)絡(luò)保護民事公益訴訟案件，具有指導(dǎo)性意義。該案反映了現(xiàn)在多數(shù)APP運營商沒有按照相關(guān)法律規(guī)定在征得監(jiān)護人同意的前提下收集、儲存未成年人個人信息，且在沒有監(jiān)護人授權(quán)的情況下向具有相關(guān)瀏覽喜好的用戶直接推送含有未成年人個人信息的內(nèi)容，同時也沒有采取技術(shù)手段對兒童信息進行專門保護。

（二）體系完善的制度需求：規(guī)定籠統(tǒng)可操作性不強

目前我國關(guān)于未成年人個人信息保護的法律法規(guī)，主要是以條款的形式在《民法典》《未成年人保護法》《個人信息保護法》中零星出現(xiàn)，而專門規(guī)制的《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》又因法律效力位階低，影響力有限，尚未形成有效的未成年人個人信息保護的法律體系。

在內(nèi)容方面，現(xiàn)有的法律規(guī)定較籠統(tǒng)，可操作性不強。首先是年齡的限制，我國明確了未成年人個人信息保護的年齡界限是14周歲，年齡是未成年人是否具有信息處理能力的客觀體現(xiàn)，不可一概而論。由于個體差異和現(xiàn)實社會情況不同，未成年人的心智成熟程度不同，以“一刀切”的規(guī)定進行保護不夠全面。其次是監(jiān)護人同意制度的實行，一方面是能否驗證同意的真實性，另一方面是能否確保網(wǎng)絡(luò)服務(wù)提供者收到同意，而現(xiàn)有的法律缺乏驗證同意方式的具體規(guī)定，使得監(jiān)護人同意制度難以落實。最后是隱私條款冗長不明確，目前各APP或網(wǎng)站在提供服務(wù)時，根據(jù)《個人信息安全規(guī)范》要求用戶同意服務(wù)協(xié)議或隱私政策文件后才可提供服務(wù)，但文件內(nèi)容冗長，未簡潔明確地說明規(guī)則，且不勾選同意用戶便無法享受服務(wù)，故一般用戶都會忽略內(nèi)容直接選擇同意。文件中關(guān)于未成年人個人信息的內(nèi)容并未著重加以告示，服務(wù)提供者也沒有制定專門的未成年人個人信息處理規(guī)則，導(dǎo)致未成年人個人信息很可能在未實際獲得監(jiān)護人同意的情況下被收集、處理[4]。

四、基于《個人信息保護法》完善我國未成年人個人信息保護的對策和建議

目前《個人信息保護法》對未成年人個人信息以“敏感個人信息”加以專門保護，但是并未詳細規(guī)定具體的實施規(guī)定，司法實踐中只能通過結(jié)合其他法律引用。作為剛實施不久的法律，《個人信息保護法》適應(yīng)了大數(shù)據(jù)時代的發(fā)展特點，相比其他法律較全面地涵蓋了個人信息保護的內(nèi)容，故可以此為基礎(chǔ)，參考借鑒歐盟及美國兒童個人信息保護，完善我國未成年人個人信息保護。

（一）靈活調(diào)整年齡界限

各國在個人信息保護領(lǐng)域所設(shè)置的未成年人年齡界限不盡相同，我國明確未成年人個人信息保護的年齡界限是14周歲，但《民法典》中以18周歲劃分未成年人的界限，由此可見14～18周歲的未成年人個人信息法律保護存在空缺。

未成年人心智成熟程度受家庭教育或社會環(huán)境的影響具有差異性，不能簡單地將年齡限制在14周歲，應(yīng)區(qū)分不同個人信息內(nèi)容實施區(qū)別保護。14周歲以下的未成年人信息處理能力較弱，應(yīng)對其提供全面的個人信息保護，只有在獲得監(jiān)護人同意的情況下才可對其信息進行收集、處理。14～18周歲的未成年人心智較成熟，有一定的信息處理能力，應(yīng)賦予其自我處理的權(quán)利，但在涉及肖像照片、身份證信息、家庭住址、電話號碼此類具有高度可識別性的個人信息時也應(yīng)提供特殊的保護，網(wǎng)絡(luò)服務(wù)提供者要在監(jiān)護人授權(quán)的情況下才可對這類高度涉及個人隱私的信息進行收集、使用。同時，還要考慮16周歲以上以自己的勞動收入為主要生活來源的未成年人，對其應(yīng)適用一般主體的個人信息保護規(guī)則。靈活調(diào)整未成年人個人信息保護的年齡界限，盡可能適應(yīng)兒童心智發(fā)育的差異性，考慮不同年齡段未成年人的不同信息需求，提供較為全面的保護。

（二）構(gòu)建可識別的知情同意制度

《個人信息保護法》第三十一條規(guī)定，“個人信息處理者處理不滿十四周歲未成年人個人信息的，應(yīng)當取得未成年人的父母或者其他監(jiān)護人的同意”。我國的父母同意制度屬于原則性條款，并未規(guī)定具體的獲取或驗證方式，可以借鑒COPPA可驗證的父母同意制度，細化該條規(guī)則[5]。

監(jiān)護人同意制度的關(guān)鍵在于同意的真實性，故構(gòu)建可識別的知情同意制度至關(guān)重要。我國可以運用多種技術(shù)手段，例如郵件、交易憑證、人臉識別等方式建立一個驗證系統(tǒng)，驗證監(jiān)護人的同意是出自監(jiān)護人本人的真實意愿。

構(gòu)建可識別的知情同意系統(tǒng)，需要監(jiān)護人與網(wǎng)絡(luò)服務(wù)提供者形成良性的相互配合。一方面是服務(wù)提供者履行好明確的告知義務(wù)，將相關(guān)的隱私政策以簡潔、明確的方式告知監(jiān)護人，并提供相應(yīng)的審核未成年人個人信息處理情況的渠道；另一方面是監(jiān)護人明確的同意，按照服務(wù)提供者所提供的方式驗證相應(yīng)的信息，作出明示的同意，避免因歧義、表達不準造成的矛盾。

（三）賦予未成年信息主體被遺忘權(quán)

《一般數(shù)據(jù)保護條例》最早對“被遺忘權(quán)”進行了明確的規(guī)定。目前，我國的相關(guān)法律法規(guī)并未明確規(guī)定“被遺忘權(quán)”，但在《個人信息保護法》中規(guī)定了個人信息刪除權(quán)，但是刪除權(quán)不等同于被遺忘權(quán)。被遺忘權(quán)是在刪除權(quán)的基礎(chǔ)上進一步擴大，更多體現(xiàn)的是一種信息自決權(quán)，數(shù)據(jù)主體有權(quán)決定其自身信息收集、儲存、處理以及利用的控制權(quán)。

由于未成年人心智尚未成熟，為更好地保護其合法權(quán)益，可以賦予未成年信息主體被遺忘權(quán)，其在成年后可對未成年期間發(fā)布的涉及隱私的個人信息行使被遺忘權(quán)。未成年人的心智發(fā)育呈現(xiàn)階段性的特點，心智隨年齡增長逐步成熟，自我信息處理能力不斷完善。當其成長到一定的年齡階段，可能會認為先前在網(wǎng)絡(luò)上的個人信息侵犯其隱私或其他合法權(quán)益，即使當時的信息獲得了監(jiān)護人的同意，但仍有權(quán)要求其先前的數(shù)據(jù)信息在網(wǎng)絡(luò)上“被遺忘”，不被收集、處理。賦予未成年信息主體被遺忘權(quán)，是對監(jiān)護人同意制度的一種彌補完善。未成年階段由于信息處理能力的不完善，需要借助監(jiān)護人來協(xié)助未成年人處理信息，但監(jiān)護人的同意不能完全等同未成年信息主體的意愿，故賦予被遺忘權(quán)，在其成年后可對未成年階段的個人信息“二次處理”，保護信息主體的自決權(quán)，完善未成年人個人信息法律保護體制。