數(shù)字時代未成年人的信息權(quán)益保護(hù)*
——基于父母知情同意的保護(hù)維度

孟曉麗

(阜陽師范大學(xué) 法學(xué)院，安徽 阜陽 236000)

信息經(jīng)濟時代的到來，使得信息流量已成為信息經(jīng)濟的核心部分，兒童信息占數(shù)據(jù)流量較大比重。根據(jù)第十次中國未成年人互聯(lián)網(wǎng)運用調(diào)查結(jié)果顯示，未成年人互聯(lián)網(wǎng)普及率達(dá)到99.2%，基本趨于飽和；在上網(wǎng)場所和設(shè)備方面，超過85%的未成年人選擇在家上網(wǎng)，超過80%的未成年人主要用手機上網(wǎng)；同時，電腦、平板電腦、智能手表等設(shè)備的使用比例也較高，上網(wǎng)設(shè)備多元化和智能化程度不斷提高[1]。在兒童①上網(wǎng)途徑如此便捷之下，可以說，互聯(lián)網(wǎng)已全方位嵌入兒童的生活和學(xué)業(yè)。“在線世界”成為兒童活動的主要場域，使得兒童生活越來越數(shù)據(jù)化，但隨之也帶來網(wǎng)絡(luò)風(fēng)險泛化、侵犯兒童人身財產(chǎn)安全等負(fù)面問題。例如2020年，我國工業(yè)和信息化部(以下簡稱“工信部”)通報了多款擅自收集和超范圍收集兒童個人信息、過度索取權(quán)限等侵害用戶權(quán)益的App，如智慧樹、ClassIN、樂學(xué)高考等20款教育類App被點名通報[2]。大量個人信息處理者的違法違規(guī)行為，經(jīng)常見諸官方媒體報道之中?！霸诰€世界”是兒童信息保護(hù)的主陣地，互聯(lián)網(wǎng)產(chǎn)品應(yīng)符合社會主義核心價值觀，為未成年人信息提供全周期保護(hù)，助力未成年人的健康成長。

《中國兒童發(fā)展綱要(2021—2030年)》(國發(fā)〔2021〕16號)在第二部分“兒童與安全”策略措施中指出，要加強未成年人網(wǎng)絡(luò)保護(hù)、信息保護(hù)[3]。當(dāng)前的網(wǎng)絡(luò)治理規(guī)范存在以成人為中心和不區(qū)分年齡層次的“一刀切”問題，網(wǎng)絡(luò)服務(wù)提供者也往往忽略未成年人的特殊保護(hù)需求。而未成年人認(rèn)知、風(fēng)險意識、自我保護(hù)等能力欠缺，父母或其他監(jiān)護(hù)人對未成年人信息進(jìn)行保護(hù)是保護(hù)未成年人合法權(quán)益的重要內(nèi)容。如何將線下的兒童利益最大化原則適用于線上的兒童信息權(quán)益保護(hù)，既能有效保護(hù)兒童個人信息權(quán)益，又能實現(xiàn)信息安全流通，助力數(shù)字經(jīng)濟的繁榮發(fā)展，是理論界和實務(wù)界共同關(guān)注的問題。

一、父母對未成年子女信息權(quán)益法律保護(hù)

(一)父母對未成年子女信息權(quán)益法律保護(hù)的主要內(nèi)容

從1991年開始，我國先后制定并實施了一系列涉及未成年人信息保護(hù)的法律法規(guī)、司法解釋及行業(yè)規(guī)范，逐步形成了未成年人個人信息保護(hù)法律體系(見表1)，尤其以父母對未成年子女信息權(quán)益的保護(hù)為主要途徑。

表1 我國關(guān)于未成年人信息保護(hù)相關(guān)法律規(guī)定

(二)父母對未成年子女信息權(quán)益法律保護(hù)的主要模式

《中華人民共和國未成年人保護(hù)法》將不滿14周歲未成年人的個人信息納入敏感個人信息的范疇，采取了敏感個人信息的制度模式。一方面，將未成年人的個人信息一概視為敏感個人信息的制度模式強化了對未成年人信息的保護(hù)[4]，體現(xiàn)了我國高度重視未成年人的信息保護(hù)工作。另一方面，根據(jù)該模式，處理未滿14周歲的未成年人個人信息需要取得父母同意，這種“一刀切”地采取14周歲的年齡標(biāo)準(zhǔn)，容易使父母陷入同意疲勞。雖然父母有義務(wù)保護(hù)未成年人的信息權(quán)益，但是亦有義務(wù)確保他們參與關(guān)鍵決策，對自我和他人負(fù)責(zé)，法律如果對未成年人信息權(quán)益設(shè)置了過高的保護(hù)年齡，顯然不利于適齡兒童自主決定權(quán)、參與權(quán)的真正實現(xiàn)，也不利于父母義務(wù)的順利履行。

(三)我國未成年人個人信息保護(hù)法律的規(guī)范價值

回顧我國未成年人信息保護(hù)法律的歷史可發(fā)現(xiàn)，在未成年人隱私權(quán)的基礎(chǔ)上，不斷擴容其他價值。20世紀(jì)90年代以來，我國未成年人信息保護(hù)法律規(guī)范價值可以劃分為以下三個階段：首先是1991年至2012年的隱私權(quán)價值階段。該階段，未成年人信息被視為個人隱私，通過《未成年人保護(hù)法》對隱私權(quán)進(jìn)行獨立保護(hù)來保護(hù)未成年人的個人信息。但該階段主要問題是沒有意識到個人信息的獨立價值。通過隱私權(quán)保護(hù)未成年人個人信息，在該特定的歷史階段發(fā)揮著保護(hù)未成年人個人信息的雙重作用，然而很多未成年人個人信息并不能歸為隱私，導(dǎo)致存在保護(hù)范圍狹窄、不周延等問題。其次是2013年至2020年的個人信息獨立保護(hù)階段。該階段以個人信息和隱私權(quán)并行保護(hù)為主要模式，開始對兒童信息進(jìn)行獨立保護(hù)。由此，我國基本形成了兒童權(quán)利保護(hù)框架，兒童信息價值也進(jìn)入了頗受重視的獨立保護(hù)階段，確立了對兒童信息法律保護(hù)的基本宗旨，保護(hù)規(guī)范規(guī)則逐漸完善，但出現(xiàn)了保護(hù)工作不細(xì)致、保護(hù)規(guī)則可操作性不強等問題。最后，自2021年開始，走向保護(hù)未成年人信息權(quán)益的專業(yè)化階段。隨著2021年《個人信息保護(hù)法》頒布實施、《中國兒童發(fā)展綱要(2021—2030年)》明確了加快推進(jìn)制訂《未成年人網(wǎng)絡(luò)保護(hù)條例》充分認(rèn)可兒童個人信息的獨立價值，邁上了兒童信息保護(hù)的新階段?？傮w而言，兒童個人信息保護(hù)規(guī)范價值不斷變遷，經(jīng)歷了通過隱私權(quán)進(jìn)行兼容保護(hù)、對兒童個人信息進(jìn)行獨立保護(hù)以及邁向?qū)ｉT化、特殊化立法保護(hù)這三個階段。

二、父母對未成年子女信息權(quán)益法律保護(hù)存在的問題

現(xiàn)階段我國未成年人信息權(quán)益保護(hù)規(guī)范表現(xiàn)出如下幾個方面的問題，無法應(yīng)對未成年人信息保護(hù)的現(xiàn)實需求。

(一)保護(hù)對象法律屬性不明

與個人信息的保護(hù)屬性爭議類似，兒童信息保護(hù)的內(nèi)容是兒童信息權(quán)利還是兒童信息法益也未達(dá)成一致。有學(xué)者認(rèn)為，對兒童個人信息的法律保護(hù)本質(zhì)上是對兒童個人信息權(quán)的保護(hù)[5]。清晰界定父母對未成年子女信息保護(hù)的法律屬性，先要從個人信息的屬性界定開始分析。一方面，在互聯(lián)網(wǎng)和大數(shù)據(jù)背景下，數(shù)據(jù)收集和處理技術(shù)的快速創(chuàng)新正在重新定義個人信息的性質(zhì)和范圍。個人信息權(quán)益作為民事權(quán)益中的人格權(quán)益，是自然人就其個人信息而享有的受到法律保護(hù)的利益[6]20。國內(nèi)學(xué)者關(guān)于個人信息的權(quán)益屬性主要有“權(quán)利說”和“法益說”兩種，前者側(cè)重于為個人信息主體提供全面的法律保護(hù)，后者則力圖權(quán)衡個人信息保護(hù)及利用之間的緊張關(guān)系[7]。個人信息所蘊含的保護(hù)法益內(nèi)容逐漸呈現(xiàn)出復(fù)合性、多元化特征，從個體的人格權(quán)擴展至公共利益、社會秩序和國家安全，法律將面臨如何在權(quán)利保護(hù)和價值利用、信息自由與信息安全方面進(jìn)行利益平衡和價值選擇的問題。上述相關(guān)法益從對立關(guān)系變成融合關(guān)系，是一種可期待的價值選擇。即從法律上明確規(guī)定對個人信息的基本人格權(quán)益加以保護(hù)的同時，積極鼓勵對個人信息的經(jīng)濟價值進(jìn)行有效利用，并實現(xiàn)兩者之間的平衡[8]。不過，即使將個人信息視為一項具體權(quán)利的學(xué)者中，又有新型權(quán)利說、個人信息權(quán)、個人隱私權(quán)、獨立人格權(quán)等觀點[9]?！睹穹ǖ洹返谒木幍诹聦㈦[私權(quán)與個人信息保護(hù)并列規(guī)定，對個人信息并未賦權(quán)，這意味著，個人信息保護(hù)的法律定位仍然沒有被明確[10]。

另一方面，雖然《民法典》對個人信息并未賦權(quán)，但明確了個人信息受法律保護(hù)。首先，體現(xiàn)在《民法典》《個人信息保護(hù)法》等基本法律中。在《民法典》總則編第五章、第六章第111條、第1034條以及《個人信息保護(hù)法》第2條均規(guī)定，自然人的個人信息受法律保護(hù)。其次，從以上條文的表述來看，只規(guī)定了“個人信息受法律保護(hù)”，并非規(guī)定為“個人信息權(quán)受法律保護(hù)”。雖然只是一字之差，但是并不能想當(dāng)然地理解為法律已對個人信息賦予了權(quán)利性質(zhì)，再結(jié)合《個人信息保護(hù)法》第1條“保護(hù)個人信息權(quán)益”的規(guī)定，將個人信息保護(hù)的法律定位理解為保護(hù)個人信息權(quán)益更為合適。

兒童信息權(quán)益是傳統(tǒng)人格權(quán)在數(shù)字時代的升級迭代，是隨著社會發(fā)展、信息技術(shù)的進(jìn)步而衍生的一項具體法益，目前還未發(fā)展成為一項獨立的人格權(quán)利，現(xiàn)階段仍是兒童個人信息的權(quán)益保護(hù)。

(二)保護(hù)對象范圍不清

現(xiàn)代技術(shù)將使兒童個人信息保護(hù)相關(guān)法律變得滯后，若兒童個人信息的定義過于狹窄，它將無法周延保護(hù)兒童信息權(quán)益。同時，若兒童個人信息的定義過于寬泛，那么它可能包含太多信息，使兒童個人信息保護(hù)相關(guān)法律無法起到監(jiān)管作用。因此，兒童個人信息保護(hù)法律必須有一致的邊界，才能準(zhǔn)確保護(hù)兒童信息權(quán)益，同時還需要具備開放性、包容性的彈性空間，方能充分保護(hù)兒童信息權(quán)益。2017年施行的《網(wǎng)絡(luò)安全法》第76條、2021年實施的《民法典》第1034條和《個人信息保護(hù)法》第4條分別界定了個人信息的基本概念②。它們沒有用相同的方式定義個人信息，而是從兩個視角給出了定義，前兩部是“識別+不完全列舉方式”，后者是“識別+排除方式”，前兩部屬于示例特定類型，是閉合的規(guī)則，可以準(zhǔn)確地判斷哪些是個人信息；后者屬于開放的類型，無法直接定義個人信息。這兩種視角的重點都是個人信息可以識別自然人主體，通過這些信息可以匹配具體個人，但是對于識別概念未做定義。除了上述相關(guān)法律規(guī)定，理論界也集中探討了個人信息中的可識別性。鑒于數(shù)據(jù)處理技術(shù)的進(jìn)步和可用于分析的數(shù)據(jù)量，大數(shù)據(jù)分析使可識別和不可識別信息之間的區(qū)別變得毫無意義，越來越多的技術(shù)專家可以將表面上不可識別的信息轉(zhuǎn)化為可識別的數(shù)據(jù)，甚至有學(xué)者提出，當(dāng)數(shù)據(jù)驅(qū)動的超鏈接在線世界到來時，應(yīng)該放棄個人和非個人數(shù)據(jù)之間的區(qū)別[11]?，F(xiàn)行立法未明確兒童個人信息的內(nèi)涵和外延,采取“識別性”的判斷路徑存在局限。因為技術(shù)本身是不斷發(fā)展的，這意味著可識別和不可識別之間的界限不是固定的。在數(shù)據(jù)高度互聯(lián)互通背景下，這種模式只保護(hù)識別、可識別的數(shù)據(jù)，從而導(dǎo)致暫時未被識別的兒童個人信息得不到法律保護(hù)。因而，跳脫傳統(tǒng)架構(gòu)中“可識別”“不可識別”二元式劃分，采取兒童信息風(fēng)險等級的界定將是一種保護(hù)趨勢。

(三)父母所具有的保護(hù)權(quán)限過窄

《民法典》第1037條規(guī)定了信息主體對個人信息享有查閱、復(fù)制、異議、更正與刪除等權(quán)利，《個人信息保護(hù)法》在第四章“個人在個人信息處理活動中的權(quán)利”又增設(shè)知情權(quán)、決定權(quán)以及可攜帶權(quán)等權(quán)利。未成年子女作為信息主體，從民事權(quán)利能力角度來看，當(dāng)然享有上述信息主體的權(quán)利。但從民事行為能力角度分析，其民事行為能力不足，無法自主行使上述權(quán)利。雖然《民法典》規(guī)定，父母是未成年子女的法定監(jiān)護(hù)人，但是信息權(quán)益是事關(guān)個體人格尊嚴(yán)的人格權(quán)之一，具有人身專屬性，父母是否可以當(dāng)然替代未成年子女本人進(jìn)行替代決定或替代行使，《民法典》《個人信息保護(hù)法》《未成年人保護(hù)法》并未進(jìn)行詳細(xì)規(guī)定，只在《未成年人保護(hù)法》第72條第2款中提及父母有更正、刪除權(quán)，對其他權(quán)利并未設(shè)置。就法律規(guī)范嚴(yán)謹(jǐn)性、權(quán)威性而言，不能想當(dāng)然認(rèn)為父母對未成年子女個人信息享有除了更正、刪除權(quán)以外的其他權(quán)利。如此一來，父母在司法實踐中處理未成年子女信息所需要各項權(quán)限時，可能面臨合法性、正當(dāng)性的困境。未來立法需要增加父母對未成年子女信息保護(hù)的各項具體權(quán)利，并就保護(hù)目的、內(nèi)涵、場景等內(nèi)容進(jìn)行解釋。

(四)對父母的信息素養(yǎng)預(yù)期設(shè)置過高

未成年人信息權(quán)益原是兒童本人對其自身信息的支配、自主決定，由于兒童民事行為能力的限制，對信息處理、收集事宜兒童無法全然自主同意和支配，相關(guān)信息權(quán)益需要父母協(xié)助乃至替代行使，當(dāng)然兒童也可以實施與其年齡、智力相適應(yīng)的行為來配合父母行使權(quán)益。父母的信息素養(yǎng)決定了對未成年子女信息權(quán)益保護(hù)的實效，父母知情同意是行使信息保護(hù)的主要進(jìn)路，即是否同意提供兒童信息、如何使用兒童信息是實現(xiàn)保護(hù)兒童信息權(quán)益的具體措施，也是他人利用兒童信息合法與否的重要標(biāo)準(zhǔn)?！睹穹ǖ洹返?035條規(guī)定，處理個人信息，要征得監(jiān)護(hù)人同意，《個人信息保護(hù)法》在第二章與第三章對告知同意規(guī)則予以了詳細(xì)規(guī)定：告知同意規(guī)則是個人信息處理中最基本的規(guī)則，依據(jù)這一規(guī)則，除非法律、行政法規(guī)另有規(guī)定，否則個人信息處理者在處理個人信息前必須向個人信息被處理的個人告知相應(yīng)的事項并取得個人的同意，否則該處理活動就是非法的[12]22。上述法律規(guī)范的默認(rèn)前提是每一位父母都是理性的監(jiān)護(hù)人，均具有較高的信息媒介素養(yǎng)，而現(xiàn)實情況卻是為人父母者的信息素養(yǎng)參差不齊。隱私聲明是機構(gòu)履行告知義務(wù)與提升透明度的重要方式，現(xiàn)已逐漸淪為機構(gòu)合規(guī)義務(wù)的“形式”要件，用戶通常既不閱讀亦不理解其內(nèi)涵。然而，為了順利使用相關(guān)產(chǎn)品和服務(wù)，大多數(shù)缺乏專業(yè)信息素養(yǎng)的父母不認(rèn)真閱讀隱私政策就直接勾選同意隱私聲明，所以如何彌補用戶技術(shù)欠缺的客觀局限和未加以理性判斷的主觀疏漏，從而真正進(jìn)行有意義的知情同意，是達(dá)到立法目的所亟待解決的問題。

在信息不對稱差序格局中，兒童及其父母實際上在高頻率、規(guī)?；膫€人信息處理活動中處于弱勢地位。例如訪問軌跡數(shù)據(jù)被網(wǎng)絡(luò)運營者存儲并經(jīng)數(shù)據(jù)分析之后所形成的多元數(shù)據(jù)關(guān)聯(lián)，無法通過“事前告知”的方式讓父母知情?；诖髷?shù)據(jù)分析的算法推薦、用戶畫像和精準(zhǔn)營銷已經(jīng)遠(yuǎn)遠(yuǎn)超越了父母知情同意的權(quán)限。父母知情同意在某種程度上意味著讓渡兒童隱私[13]78。信息處理者所存儲的這些數(shù)據(jù)最終流向何處以及是否將其用于其他違法目的等，已經(jīng)超過了父母對兒童信息的知情控制范圍。因此，降低對父母信息素養(yǎng)過高的理想化預(yù)期，基于社會公眾的一般認(rèn)知，建立父母和信息處理者雙方一致認(rèn)可的兒童信息處理目的、范圍、方式、兒童信息風(fēng)險等級和同意規(guī)則等，可以減輕企業(yè)合規(guī)成本，從而在兒童的信息保護(hù)和社會信息流通之間取得良性互動。

兒童個人信息對其健康成長以及成年后都可能產(chǎn)生持續(xù)性影響,一旦兒童個人信息被非法披露,網(wǎng)絡(luò)世界無時空限制,侵權(quán)成本低,容易演變成集體侵權(quán)事件,傷害后果也往往不可逆轉(zhuǎn)。在信息技術(shù)的不斷發(fā)展中，父母或其他監(jiān)護(hù)人如何有效保護(hù)兒童個人信息權(quán)益，是我國和國際社會面臨的共同問題。

三、國外對兒童信息保護(hù)的經(jīng)驗分析

國外對兒童信息的法律保護(hù)由來已久。就相關(guān)國際宣言而言，早在1948年，聯(lián)合國就通過了《世界人權(quán)宣言》，宣布包括兒童在內(nèi)任何人的隱私、通信不得受到任意干涉?！度諆?nèi)瓦宣言》中承諾信息技術(shù)的發(fā)展應(yīng)當(dāng)尊重和保護(hù)兒童權(quán)利，《突尼斯承諾》亦明確信息科技的高速發(fā)展應(yīng)以兒童最大利益原則為首要基準(zhǔn)，兒童在網(wǎng)絡(luò)社會同樣享有《兒童權(quán)利公約》規(guī)定的權(quán)利[14]。包括我國在內(nèi)的各國法律普遍認(rèn)為兒童個人信息應(yīng)該得到保護(hù)，可以說這一點已在國際社會達(dá)成共識，其中尤數(shù)美國和歐盟涉兒童信息相關(guān)立法最具代表性。通過立法比較可知，歐盟及美國對兒童在網(wǎng)絡(luò)環(huán)境下個人信息保護(hù)十分重視，如歐盟《通用數(shù)據(jù)保護(hù)條例》對16周歲以下兒童個人數(shù)據(jù)加以特殊保護(hù)，美國《兒童在線隱私保護(hù)法》對13周歲以下的兒童網(wǎng)絡(luò)個人信息加以保護(hù)[15]82。

(一)歐美兒童信息保護(hù)模式考察

針對兒童信息的特別保護(hù)，歐盟在《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，以下簡稱為“GDPR”)中進(jìn)一步強化了父母知情同意模式，美國則在這種傳統(tǒng)保護(hù)模式之外，試圖另辟“場景+風(fēng)險導(dǎo)向”的新模式。

1．歐盟父母知情同意保護(hù)模式

GDPR制度的基礎(chǔ)權(quán)利可以溯源到《歐盟基本權(quán)利憲章》第8條“個人數(shù)據(jù)受保護(hù)權(quán)”[16]。歐盟法的脈絡(luò)中，立法已經(jīng)為數(shù)據(jù)主體提供了對于他們自身數(shù)據(jù)使用的一種控制權(quán)。當(dāng)然，這種控制并非是一種請求權(quán)意義上的控制，而更多的是一種“信息自決”理念的體現(xiàn)[17]。雖然GDPR并不是專門針對兒童信息保護(hù)的專門立法，但也基于兒童可能不太了解相關(guān)風(fēng)險、后果以及他們在處理個人數(shù)據(jù)方面的權(quán)利這些特別原因，在引言第38條、第8條明確兒童的個人數(shù)據(jù)應(yīng)得到具體保護(hù)，并為兒童引入了額外的權(quán)利和保障措施，要求需要父母同意才能處理16周歲以下兒童的個人數(shù)據(jù)，不過適用年齡因國家而異，歐盟成員國可以將需要父母同意的年齡設(shè)置在13周歲至16周歲之間，但不能低于13周歲[18]。

具體而言，GDPR第8條適用條件指出，如果直接向兒童提供信息社會服務(wù)，則在兒童年滿16周歲時處理兒童的個人數(shù)據(jù)應(yīng)是合法的；若兒童未滿16周歲，則只有在父母或者對兒童負(fù)有責(zé)任的人給予或授權(quán)同意的情況下，這種處理才是合法的[19]。同時，歐盟會員國可依法規(guī)定較低的年齡，但不得低于13周歲。簡言之，當(dāng)直接向兒童提供信息社會服務(wù)時，在處理兒童的個人數(shù)據(jù)之前，必須事先征得父母可驗證的同意或授權(quán)，學(xué)界一般稱之為“父母知情同意原則”。這一原則是收集、處理兒童個人信息的特別要求，是父母實現(xiàn)保護(hù)兒童信息權(quán)益的主要依據(jù)，這也是最具爭議和最重要的保護(hù)條款。

2．美國“場景+風(fēng)險導(dǎo)向”保護(hù)模式

美國立法模式以專門統(tǒng)一的兒童信息保護(hù)法為特征，限制網(wǎng)站或在線服務(wù)企業(yè)收集兒童信息最著名的立法是1998年《兒童在線隱私保護(hù)法》(Children’s Online Privacy Protection Act，以下簡稱為“COPPA”)。這是一項聯(lián)邦法規(guī)，對13周歲以下的兒童信息提供超強保護(hù)，從實用主義出發(fā)對收集兒童信息提供限制，覆蓋任何網(wǎng)站操作和在線服務(wù)，授權(quán)美國聯(lián)邦貿(mào)易委員會(Federal Trade Commission ，以下簡稱“FTC”)執(zhí)行其任務(wù)、監(jiān)督此類行為。具體而言，COPPA要求網(wǎng)站或在線服務(wù)收集、使用和披露兒童信息之前，必須發(fā)布隱私政策并通知父母或監(jiān)護(hù)人，獲得他們的同意(稱為“屏障保護(hù)”)。它還禁止收集超出合理必要范圍的個人信息[20]。然而，就連FTC也承認(rèn)，孩子們可以通過謊報年齡或偽造父母的電子郵件賬戶來繞過這一相當(dāng)簡單的障礙[21]。除此之外，COPPA有下列不足：首先，它只適用于13周歲以下的兒童；其次，COPPA只擴展到網(wǎng)站或在線服務(wù)，不規(guī)范新的數(shù)字平臺；再次，可識別信息的概念含義不明。COPPA雖然列出部分可識別信息(如名字和姓氏、社會保險號碼、電子郵件地址)，它還授權(quán)FTC向該列表添加其他因素，但是并未根本性解決基礎(chǔ)概念問題[22]。

鑒于自2000年該規(guī)則生效以來在線技術(shù)的變化，F(xiàn)TC根據(jù)COPPA的要求修訂了《兒童在線隱私保護(hù)規(guī)則》(以下簡稱為“COPPA規(guī)則”)，以明確該規(guī)則的范圍并通過場景和風(fēng)險導(dǎo)向模式加強對兒童信息的保護(hù)，這一場景理論(又稱“情境脈絡(luò)完整性”理論)，最初由美國學(xué)者尼森鮑姆提出，指個人信息原始收集時的具體語境應(yīng)得到尊重，其后續(xù)傳播及利用不得超出原初的情境脈絡(luò)[23]。2013年7月1日，COPPA規(guī)則修正案生效，強化了場景使用限制和風(fēng)險控制要求，包括對運營商、個人信息和面向兒童的網(wǎng)站或在線服務(wù)的定義的修改，還更新了通知、家長同意、保密和安全以及安全港條款中規(guī)定的要求等具體規(guī)則[24]。這些修改有助于確保COPPA繼續(xù)實現(xiàn)其最初規(guī)定的目標(biāo)，以最大限度地減少收集兒童個人信息的風(fēng)險，為他們創(chuàng)造更安全的在線體驗。

(二)歐美兒童信息保護(hù)的差異

從歐盟、美國兩部立法的名稱都可知悉其保護(hù)兒童信息的態(tài)度，但在保護(hù)立場、保護(hù)模式方面存在差異。

1．保護(hù)立場不同

美國將個人信息視為個人問題，注重個人價值與行業(yè)自律；歐洲將個人信息視為社會問題，注重社會價值與社會立法[25]。因此，對兒童信息保護(hù)，美國采取主動賦權(quán)立場，而歐盟是家長式的嚴(yán)格保護(hù)主義立場。以兒童用戶畫像為例，GDPR在序言第38條和第71條規(guī)定，禁止針對兒童的數(shù)字畫像。序言第38條指出，兒童值得特殊保護(hù)以避免數(shù)字畫像處理活動；序言第71條則特別強調(diào)基于數(shù)字畫像的自動決策不應(yīng)包括兒童③。為禁止針對兒童的數(shù)字畫像，實現(xiàn)兒童信息保護(hù)的社會價值，歐盟采取了嚴(yán)格禁止立場。

2．保護(hù)模式不同

美國司法實務(wù)部門根據(jù)場景理論，具體研究在不同的場域中家長對兒童信息的風(fēng)險期待，這不是簡單的禁止風(fēng)險發(fā)生的理念，而是依據(jù)具體場景將風(fēng)險控制在家長的預(yù)期之內(nèi)，并匹配不同風(fēng)險中父母同意機制的新方法。根據(jù)COPPA，基于風(fēng)險的父母同意要求如下：非互動或不共享兒童個人數(shù)據(jù)的商業(yè)服務(wù)無須征得父母同意；如果服務(wù)將兒童數(shù)據(jù)用于內(nèi)部目的，則必須采用較輕的同意機制，例如向家長發(fā)送電子郵件，并在收到家長的回復(fù)后采取額外的確認(rèn)步驟(“電子郵件加確認(rèn)”方法)；風(fēng)險最高的是那些向第三方披露個人數(shù)據(jù)、使用行為廣告以及使兒童能夠公開發(fā)布信息的服務(wù)。這些服務(wù)必須遵守最嚴(yán)格的同意機制，例如父母通過郵件、傳真或掃描形式填寫并返回同意書，提供信用卡號碼，通過免費電話或視頻會議聯(lián)系服務(wù)提供商，以及核實官方身份證件[25]。

歐盟則進(jìn)一步強化父母知情同意的傳統(tǒng)模式，GDPR第8條制定的嚴(yán)格同意要求將兒童置于其父母的嚴(yán)格保護(hù)之下，對作為權(quán)利持有人的兒童產(chǎn)生了限制，忽視了兒童的參與權(quán)[26]。因此，第8條沒有賦予兒童表達(dá)意見的權(quán)利，也沒有承認(rèn)兒童意見與其最佳利益之間的相互關(guān)系。通過同意機制進(jìn)行廣泛的家長監(jiān)督也引起了一個問題，即在沒有家長參與的情況下，兒童是否以及在多大程度上能夠享有被賦予的權(quán)利。總之，高度保護(hù)性的同意條款似乎破壞了對兒童的授權(quán)和保護(hù)之間的平衡。

(三)對歐盟、美國兒童信息保護(hù)模式的評析與借鑒

歐盟、美國對兒童信息的保護(hù)是不斷更迭發(fā)展的過程，該發(fā)展過程實際上是法律規(guī)范不斷調(diào)整以適應(yīng)突飛猛進(jìn)的信息處理技術(shù)更新的過程，雖然都采用了父母知情同意模式，但是卻走向了不同的發(fā)展道路。歐盟強調(diào)父母主導(dǎo)地位，將GDPR中需要征求父母同意設(shè)定得十分廣泛，不僅包括社交媒體、娛樂網(wǎng)站、即時消息和電子郵件服務(wù)，還包括在線游戲，其中一些服務(wù)與在線披露個人數(shù)據(jù)或行為跟蹤無關(guān)。過多、持續(xù)的同意請求會導(dǎo)致父母的“同意疲勞”，會使整個父母同意條款變得虛無，導(dǎo)致難以從父母那里獲得有意義的同意。由此帶來另一負(fù)面影響，即沒有尊重兒童，未讓他們參與與其信息數(shù)據(jù)使用有關(guān)的決策。該同意規(guī)則將父母定位為對兒童恒久有利的仲裁者，決策權(quán)集中在父母手中而不允許孩子影響他們的決定。然而，父母不一定總是能夠作出最有利于兒童的決策。此外，父母和孩子之間可能存在關(guān)于社交媒體的效用和風(fēng)險認(rèn)知的分歧等問題。這些擔(dān)憂并未反映在條例規(guī)定中，父母同意機制可能成為限制兒童在線自由的父母控制系統(tǒng)[27]。但是歐盟在GDPR中增設(shè)數(shù)據(jù)外泄通知、隱私影響評估、第三方認(rèn)證等新機制，突出了場景導(dǎo)向、風(fēng)險評估等新理念[28]，列舉了信息的可識別程度、自然人易受傷害程度、信息處理規(guī)模等多項評判風(fēng)險的標(biāo)準(zhǔn)，這與美國的基于風(fēng)險的父母同意機制要求逐漸趨于一致。在場景和風(fēng)險理論影響下，目前歐盟大多數(shù)成員國均要求數(shù)據(jù)控制者依據(jù)特定情境采取個性化的兒童能力測試，而不是統(tǒng)一的年齡標(biāo)準(zhǔn)。大多數(shù)成員國通常要求數(shù)據(jù)控制者根據(jù)數(shù)據(jù)處理目的和使用類型采用滑動比例法的風(fēng)險驗證方式[29]。

四、我國對兒童信息權(quán)益保護(hù)的法律應(yīng)對

目前我國未成年人個人信息保護(hù)綜合性立法缺位，未成年人相關(guān)立法沒有按照統(tǒng)一的原則和標(biāo)準(zhǔn)保護(hù)未成年人信息，造成了法律適用的空白和矛盾，對未成年人個人信息保護(hù)構(gòu)成了制度性障礙，該問題亟待解決[16]83。從父母對未成年子女信息的私法保護(hù)視角出發(fā)，未來兒童信息保護(hù)相關(guān)立法，應(yīng)以統(tǒng)一的原則和標(biāo)準(zhǔn)踐履保護(hù)兒童權(quán)益。

(一)平衡兒童信息權(quán)益與企業(yè)利益、社會公共利益

兒童信息特別保護(hù)和合理利用是我國數(shù)字經(jīng)濟發(fā)展的重要議題。社會作為有機聯(lián)系的整體，在保護(hù)兒童信息權(quán)益時，既要考慮兒童利益最大化原則，同時也應(yīng)始終將兒童個人信息權(quán)益保護(hù)置于與企業(yè)利益、社會公共利益的平衡之中，這樣兒童信息權(quán)益才能真正得到保護(hù)。

1．尋求兒童最大利益與社會公共利益之間的平衡

我國目前沒有專門保護(hù)兒童信息的法律，僅在未成年人權(quán)益保護(hù)的綜合性法律中簡單提及信息保護(hù)，雖然有專題性的地方性法規(guī)和行業(yè)自律規(guī)范，但是層級不高、效力有限，無法作為兒童信息保護(hù)的法律依據(jù)。司法實踐中，隨著我國數(shù)字經(jīng)濟的發(fā)展，兒童信息權(quán)益遭受侵害案件越來越多。在兒童信息權(quán)益保護(hù)中，如何在公共利益和兒童最大利益原則之間進(jìn)行平衡，需要國家在立法層面予以考量。

民法理論中，社會公共利益為了維護(hù)法律制度或社會中整體利益，其作用不是排除個體利益，而是阻止對社會整體安全與秩序產(chǎn)生不利的影響。社會公共利益的內(nèi)涵并非一成不變，而是隨著時空轉(zhuǎn)變而變化。結(jié)合國情現(xiàn)實和《民法典》第999條規(guī)定，現(xiàn)階段影響社會公共利益的因素是可識別的，具體有：履行法定職責(zé)或者法定義務(wù)所必需；應(yīng)對公共衛(wèi)生安全(如疫情防控)；緊急情況下保護(hù)群體生命健康和財產(chǎn)安全；維護(hù)國家利益、社會穩(wěn)定的新聞報道、輿論監(jiān)督。在解決兒童信息權(quán)益糾紛問題時，通過對公共利益的辨別，防止對公共利益例外的濫用。對于兒童信息權(quán)益糾紛裁判，以兒童為中心的方法將兒童利益最大化原則作為基本出發(fā)點，秉持最小化處理原則，堅持全面化覆蓋原則[30]。只有出于公共利益需要，才能適當(dāng)限制兒童利益。

2．尋求兒童最大利益與企業(yè)發(fā)展利益之間的平衡

父母知情同意構(gòu)成企業(yè)(信息處理者)合法使用兒童信息的基礎(chǔ)。對企業(yè)而言，判斷兒童信息的風(fēng)險維度并非最終目的，是否遵守父母同意規(guī)則以及同意程度方為衡量企業(yè)責(zé)任的關(guān)鍵指標(biāo)。例如，當(dāng)經(jīng)過父母嚴(yán)格同意后，即便處理兒童信息會導(dǎo)致高度風(fēng)險，企業(yè)也只需負(fù)擔(dān)少許義務(wù)。這有助于減輕信息處理者合規(guī)成本，促進(jìn)兒童信息的合理利用。進(jìn)言之，在差異化同意規(guī)則中，法律規(guī)范不再拘泥于動態(tài)變化的兒童信息內(nèi)涵和外延，將關(guān)注重點轉(zhuǎn)向兒童不同風(fēng)險信息的對應(yīng)同意規(guī)則，判斷其在不同同意規(guī)則下的潛在風(fēng)險。同時，需要注意的是，低風(fēng)險信息的默認(rèn)同意規(guī)則不等于免除了企業(yè)的保護(hù)義務(wù)，其收集、使用兒童信息的過程中仍然擔(dān)負(fù)一定的合理注意義務(wù)。因為該類信息與特定兒童關(guān)聯(lián)，故而不能完全放任使用、收集或披露。

(二)完善保護(hù)兒童信息權(quán)益的法律規(guī)范

面對頻發(fā)的非法收集、濫用兒童信息的現(xiàn)象，相關(guān)層級較低的規(guī)章條例難以發(fā)揮威懾作用，因此，需要不斷完善保護(hù)兒童信息權(quán)益的基本法。父母對兒童信息的保護(hù)貫穿于兒童成年前的漫長時期，存在于信息處理、救濟的全過程，只有從立法路徑上確認(rèn)父母對兒童信息的綜合保護(hù)權(quán)、尊重適齡兒童意見的實質(zhì)同意，私力救濟與公力救濟合作發(fā)力，才能最大程度地避免兒童信息被竊取、泄露、違法處理等亂象，確保兒童信息權(quán)益得到保障。

首先，從風(fēng)險控制角度，盡可能準(zhǔn)確地界定父母保護(hù)對象的范圍是首先要解決的問題。司法對未成年人進(jìn)行網(wǎng)絡(luò)保護(hù)，并不是為了抑制其正當(dāng)?shù)陌l(fā)展需求，而是為了更好地保障其數(shù)字權(quán)利，包括獲取信息和自由表達(dá)的權(quán)利。部分司法實務(wù)工作者基于未成年人信息素養(yǎng)，依據(jù)《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》的相關(guān)規(guī)定，提出了8周歲(不含)以下、8～14周歲(不含)、14～18周歲的年齡分層區(qū)別保護(hù)建議[12]78。借鑒美國和歐盟關(guān)于兒童信息保護(hù)年齡劃分的立法經(jīng)驗，在我國《民法典》第18條至第20條民事行為能力的界分的指導(dǎo)下，建議以8周歲、16周歲作為劃分標(biāo)準(zhǔn)。在《個人信息保護(hù)法》已構(gòu)建的源頭數(shù)據(jù)規(guī)制和個人賦權(quán)制衡的框架下，可以根據(jù)兒童信息風(fēng)險維度來匹配父母知情同意規(guī)則，為兒童提供定制性保護(hù)。認(rèn)定個人生物識別信息、短信驗證碼、密碼、身份證號碼等信息屬于高風(fēng)險信息，16周歲以下兒童均遵循嚴(yán)格同意規(guī)則；交互式網(wǎng)頁、客戶端軟件等生成的信息屬于中風(fēng)險共識信息，8周歲以下仍是嚴(yán)格同意規(guī)則，8～16周歲兒童采取協(xié)商同意規(guī)則；將姓名、年齡、性別等信息看作低風(fēng)險信息，16周歲以下兒童均遵循默認(rèn)同意規(guī)則，但其使用應(yīng)受到適度限制。

其次，增設(shè)父母對兒童信息的綜合保護(hù)權(quán)。這是一項概括的權(quán)能束，包括知情同意權(quán)、信息查詢異議權(quán)、信息修改權(quán)、信息可攜權(quán)、信息被遺忘權(quán)(刪除權(quán))、信息管理權(quán)、拒絕處理權(quán)、信息撤回權(quán)、信息收益權(quán)等。理論上父母知情同意是父母對未成年子女信息權(quán)益進(jìn)行保護(hù)的前提和基礎(chǔ)，父母基于對未成年子女信息權(quán)益保護(hù)而享有的查閱、復(fù)制、異議、更正與刪除等一系列權(quán)利實際上是父母對未成年子女信息綜合保護(hù)權(quán)的具體措施。為平衡兒童信息保護(hù)與社會信息流通的法益沖突，《未成年人保護(hù)法》第72條所規(guī)定的父母僅具有簡單的更正、刪除這兩種消極保護(hù)權(quán)是遠(yuǎn)遠(yuǎn)不夠的。雖然法律規(guī)范和行業(yè)規(guī)則總是落后于新技術(shù)的出現(xiàn)速度，但是有學(xué)者提出家長和孩子自行管理在線風(fēng)險可以彌補這一點。即兒童在邁向成年的過程中，父母肩負(fù)著教育、引導(dǎo)兒童的重大責(zé)任。這種新自由主義邏輯假定個人對自己的數(shù)據(jù)保護(hù)負(fù)責(zé)。就兒童而言，只需將其加入解決兒童在線安全的父母責(zé)任清單中即可[31]。應(yīng)該承認(rèn)，大數(shù)據(jù)時代，兒童與信息處理者之間這種結(jié)構(gòu)性力量失衡問題沒有簡單的解決辦法，除了信息處理者自覺遵守信息保護(hù)要求外，賦予父母對未成年子女信息的綜合保護(hù)權(quán)，主動保護(hù)兒童信息數(shù)據(jù)，則是一種可行性的解決方案。在大多數(shù)情況下，與保護(hù)兒童信息相關(guān)的成本都轉(zhuǎn)移到了父母身上，因此，需要完善《未成年人保護(hù)法》相關(guān)條款，不限于更正、刪除，要賦予父母對兒童的信息綜合保護(hù)權(quán)，方能保護(hù)兒童信息所具有的人格利益和財產(chǎn)利益。

再次，降低對父母的信息素養(yǎng)預(yù)期，同時強化信息處理者的安全責(zé)任。一方面，立法需要降低對父母的信息素養(yǎng)期待。大眾畢竟不是信息處理專家，大多數(shù)兒童及其父母可能不完全了解或理解數(shù)據(jù)持久性、第三方數(shù)據(jù)銷售、數(shù)據(jù)分析和應(yīng)用以及瀏覽器跟蹤等問題，更不用說與各種網(wǎng)站數(shù)據(jù)收集相關(guān)的法律術(shù)語。即使是信息處理專家亦無法自如應(yīng)對算法運用、大數(shù)據(jù)技術(shù)中的信息收集比對及挖掘分析，無法控制信息的后續(xù)傳播及利用，因此要求普通公眾充分閱讀并理解晦澀而又冗長的隱私政策，并在相應(yīng)場景中具體地評估數(shù)據(jù)處理行為的風(fēng)險，再根據(jù)風(fēng)險等級采取對應(yīng)措施，顯然過于嚴(yán)苛，無法實現(xiàn)。由此，對父母或其他監(jiān)護(hù)人而言，降低對其信息素養(yǎng)預(yù)期，建立風(fēng)險差異化的便捷父母知情同意操作機制，更具有可行性。另一方面，在信息處理具體場景中進(jìn)行動態(tài)風(fēng)險控制、管理是企業(yè)合規(guī)和數(shù)據(jù)開發(fā)的必由之路，立法應(yīng)強化信息處理者的安全責(zé)任，使企業(yè)在隱私風(fēng)險評估時，堅持個案分析的立場[32]。詳言之，信息處理者要控制、管理風(fēng)險，設(shè)置便捷的操作程序。針對兒童信息保護(hù)問題，許多學(xué)者和決策者似乎只是簡單地建議如何讓在線同意對提供者來說更加知情、更具強制性。然而，在信息不對稱的關(guān)系中，不應(yīng)對兒童及其父母苛以過高的法律義務(wù)，而應(yīng)要求信息處理者提高履行責(zé)任的意識，根據(jù)信息風(fēng)險等級而設(shè)定差異化同意規(guī)則。信息處理者不僅需要設(shè)置便捷的同意流程，以顯著的方式向家長披露信息風(fēng)險等級，提供便于操作的嚴(yán)格同意和協(xié)商同意手段，而且要強化自身安全責(zé)任。結(jié)合兒童個人信息高、中、低風(fēng)險，可以通過在線程序中設(shè)置“紅、黃、綠”風(fēng)險提示按鈕來直接對應(yīng)告知父母高、中、低風(fēng)險等級。對于高風(fēng)險信息，信息收集者有彈窗提示義務(wù)，以特別明顯的圖像和色彩引起家長的注意，提示家長注意高風(fēng)險，使家長對兒童信息的使用目的和范圍充分知情。同時，需要進(jìn)行父母指紋或動態(tài)人臉識別來驗證父母是否明示同意。中風(fēng)險信息，用戶可以先勾選同意選項后，再點擊最終確認(rèn)按鈕。低風(fēng)險信息均遵循默認(rèn)同意規(guī)則，無須用戶額外的操作流程。在后續(xù)使用中，如果超出了初次收集的使用目的或適用范圍，實際上相當(dāng)于一次新的收集，須參照“高—中—低”風(fēng)險再次匹配家長同意規(guī)則。對于不同等級的風(fēng)險控制，強化信息處理者的安全責(zé)任，要求其建立強制性風(fēng)險管理機制，并上報國家工信部門審核。

最后，建立私力救濟與公力救濟相結(jié)合的多維救濟措施?！段闯赡耆吮Ｗo(hù)法》《個人信息保護(hù)法》對信息處理者侵害兒童信息權(quán)益的救濟程序不明。從救濟措施上要對“不知情、未同意、無選擇權(quán)的同意或被迫同意”等違法行為進(jìn)行懲治，通常私立救濟較為及時，賦予兒童及其父母追究信息處理者的民事責(zé)任的權(quán)利。信息處理者若違法收集、使用兒童信息，兒童及其父母有權(quán)依法采取相應(yīng)救濟措施，要求其停止侵害、賠償損失等。此外，信息個體權(quán)益被侵犯后往往難以索賠，相較于私力救濟的單薄，結(jié)合我國司法實踐，如全國首例未成年人網(wǎng)絡(luò)保護(hù)民事公益訴訟案的相關(guān)經(jīng)驗[33]，對于注冊、收集、存儲、使用兒童信息等環(huán)節(jié)中,未切實貫徹兒童利益最大化原則,存在危及社會眾多不特定兒童個人信息權(quán)益和隱私權(quán)的行為,不利于兒童網(wǎng)絡(luò)保護(hù),已對兒童人身安全以及生活安寧造成隱患的④，可以引入檢察機關(guān)民事公益訴訟。

注釋：

①本文所說兒童采取聯(lián)合國《兒童權(quán)利公約》定義，是指18周歲以下的未成年人，與未成年人同義。

②《網(wǎng)絡(luò)安全法》第76條規(guī)定：“個人信息以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！薄睹穹ǖ洹返?034條規(guī)定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、地址、電話號碼、電子郵件、健康信息和行蹤信息等?！薄秱€人信息保護(hù)法》第4條第1款規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！?/p>

③國家標(biāo)準(zhǔn)GB/T 35273-2020《信息安全技術(shù)—個人信息安全規(guī)范》3.8規(guī)定:“用戶畫像是指通過收集、匯聚、分析個人信息，對某特定自然人個人特征，如職業(yè)、經(jīng)濟、健康、教育、個人喜好、信用、行為等方面作出分析或預(yù)測，形成其個人特征模型的過程?！?/p>

④參見杭州互聯(lián)網(wǎng)法院(2020)浙 0192 民初 10993 號民事調(diào)解書。該案涉及未成年人權(quán)益保護(hù)，并未在網(wǎng)上公開。