未成年人網(wǎng)絡信息安全的三重保護規(guī)制

梁 蕓

(中國人民公安大學 法學院, 北京 100038)

引言

聯(lián)合國在《兒童權利公約》第16條規(guī)定兒童的隱私、家庭、住宅或通信不受任意或非法干涉，其榮譽和名譽不受非法攻擊。未成年人在身心發(fā)育上不夠成熟，與成年人相比，其辨別能力較弱，更易受到與成年人同質(zhì)損害的侵擾，基于該特殊性，在立法中對其網(wǎng)絡信息安全做出特殊保護是必然的。2021年《中國兒童發(fā)展綱要(2021—2030年)》以及中央文明辦等4部門的聯(lián)合意見，均要求加強未成年人網(wǎng)絡保護力度，加強科普和宣教，落實政府、家庭、社會等的保護責任，為未成年人營造良好網(wǎng)絡氛圍。未成年人網(wǎng)絡信息安全主要分為“輸入安全”與“輸出安全”，在輸入過程中，若未對信息進行篩選、截留而任意將其向未成年人滲透，則不利于未成年人健康成長；在輸出過程中，若未對未成年人的信息做出授權上的限制，隨意收集未成年人個人信息并任由這些信息被加工處理并流轉(zhuǎn)于大數(shù)據(jù)中，也不利于保護未成年人及其監(jiān)護人的人格尊嚴、財產(chǎn)安全等權益。2017年，《中華人民共和國網(wǎng)絡安全法》在第十三條中規(guī)定了未成年人的保護?？睿弧缎畔踩夹g 個人信息安全規(guī)范》(以下簡稱《個人信息安全規(guī)范》)明確規(guī)定收集年滿14歲的未成年人的個人信息前應征得本人或其監(jiān)護人的明示同意；不滿14周歲的，要獲得監(jiān)護人的明示同意。2019年《兒童個人信息網(wǎng)絡保護規(guī)定》第九條要求網(wǎng)絡運營者收集、使用兒童個人信息的，應以清晰顯著的方式告知其監(jiān)護人，并征得監(jiān)護人同意。《中華人民共和國未成年人保護法(2020年修訂)》(以下簡稱《未保法》)增設了“網(wǎng)絡保護”專章，對處理未成年人的個人信息做了嚴格規(guī)定。2021年《中華人民共和國個人信息保護法》(以下簡稱《個信法》)第二十八條、第三十一條將未成年人的個人信息列為敏感個人信息，規(guī)定信息處理者處理不滿14周歲未成年人個人信息時應取得未成年人父母或者其他監(jiān)護人的同意，對未成年人信息安全整體提升了保護等級。2022年，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《未成年人網(wǎng)絡保護條例(征求意見稿)》，著力解決新形勢下對未成年人網(wǎng)絡安全的保護。2022年7月，公安部網(wǎng)安局在堅持總體國家安全觀、以人民為中心的思想指導下，嚴厲打擊網(wǎng)絡犯罪，治理網(wǎng)絡亂象。

立法與政策發(fā)展至今，我國對未成年人網(wǎng)絡信息安全逐漸形成家庭、網(wǎng)絡和公權力三重保護，但三重保護的規(guī)則制定主要以歐美框架為模板，各保護均有其自身弊端，單一的監(jiān)護人同意、行業(yè)主體自律的松散、權益的事后保護缺失等使得三重保護在銜接和落實中出現(xiàn)斷層，成為未成年人網(wǎng)絡信息安全保護的難題。

一、未成年人網(wǎng)絡信息安全的家庭保護規(guī)制

(一)家庭保護的現(xiàn)狀與不足

在《未保法》中，家庭保護分為未成年人接受家庭教育、監(jiān)護人行使監(jiān)護權、監(jiān)護人尊重和保護未成年人意愿三方面內(nèi)容。從未成年人的網(wǎng)絡信息安全上看，家庭保護是第一道屏障，監(jiān)護人通過撫養(yǎng)和教育未成年人，幫助未成年人樹立網(wǎng)絡信息安全意識，同時通過監(jiān)護代理未成年人授權，確保其網(wǎng)絡環(huán)境的安全。

監(jiān)護人同意規(guī)則在家庭保護中起到重要作用，但該規(guī)則在國內(nèi)外的實踐中已發(fā)現(xiàn)很多不合適之處。首先，知情同意規(guī)則在未成年人監(jiān)護人同意的適用上存在矛盾；有關未成年人信息保護的規(guī)范、政策等散落在各法律、法規(guī)、規(guī)章及行業(yè)規(guī)定中，制度設計交叉重疊，內(nèi)容規(guī)定偏于原則化，且具體操作規(guī)范缺失。其次，在完全民事行為能力人中適用“知情同意”規(guī)則尚存在“同意真實”“撤回同意”等問題；未成年人包含無民事行為能力人和限制民事行為能力人，此類主體能夠真正進行“自決和控制”的極少，需要其監(jiān)護人才能作出實質(zhì)上的決定，如此，知情同意中代表實質(zhì)性的“意思自治”將更難實現(xiàn)，監(jiān)護人同意規(guī)則的適用是否應覆蓋未成年人的“自主決定權”？

(二)監(jiān)護人同意規(guī)則的適用

1.監(jiān)護人同意規(guī)則的法理基礎

監(jiān)護人同意雖存在一定弊端，但在目前尚不能完全摒棄，而需要通過明晰其法理后進行修正。監(jiān)護人同意的基礎之一是親權理論，親權是親屬權的重要內(nèi)容，其作為“親”的身份奠定了“權”存在的基礎，體現(xiàn)在監(jiān)護上則是履行“監(jiān)督照護”義務，因此未成年人的網(wǎng)絡信息安全具備未成年人與監(jiān)護人親權的雙重利益屬性，也存在缺陷。首先，基于監(jiān)護關系，監(jiān)護人對未成年人的信息接收與反饋情況具有知情權，在未成年人對外行為上具有代理權；但其知情和代理的權利均是為了彌補未成年人在認知和行為能力上的不足，由監(jiān)護人代位保護，故監(jiān)護人在行使的目的和方式上必然存在一定限制[1]。其次，作為監(jiān)護人之一的父母對其子女享有作為身份權的親權[2]，當未成年人的信息安全遭到侵害時很可能導致其處于不安與痛苦狀態(tài)，而親權制度中著重體現(xiàn)的倫理秩序，即便是進行國家干預，也會受到“比例原則”的限制，以避免對親子關系造成損害。

《中華人民共和國民法典》(以下簡稱《民法典》)第一千零三十五條在明確未成年人最大利益的原則下，對更好落實未成年人個人信息利益需要完善監(jiān)護人同意制度的具體內(nèi)容進行了回應。該條也表明未成年人在行為能力上的確存在瑕疵，需要在保護未成年人信息權益時限制其“自主決定權”，將未成年人個人信息處理的同意由其父母或監(jiān)護人做出[3]。另外，知情和同意是實現(xiàn)“個人信息自決權”的主要方式，但未成年人在民事行為能力上表現(xiàn)不足，對各類隱私協(xié)議的理解存在偏差，其在知情同意的責任主體、個人風險預期等問題上存在特殊性。因此，由監(jiān)護人替代未成年人行使上述權利是保護未成年人網(wǎng)絡信息安全的關鍵。

2.替代決定下的監(jiān)護人同意

替代決定下的監(jiān)護人同意是為了彌補前述規(guī)則的不足，主要方式是通過對未成年人年齡劃分、替代決定下所需要的技術標準以及明確同意規(guī)則來調(diào)整。

(1)年齡劃分之爭

年齡作為監(jiān)護人同意的劃分標準之一在國內(nèi)外爭論不休，其矛盾在于若將年齡標準設置得較低，則13或14周歲以上的未成年人個人信息便缺乏保護；若將年齡標準設置得較高，則又存在限制未成年人網(wǎng)絡自主權之嫌。美國的《家庭教育權與隱私權法》和《兒童網(wǎng)絡隱私保護法》(COPPA)等關于保護未成年人隱私的法案對年齡標準的質(zhì)疑從未中斷，多位學者均認為13至18歲的青少年信息網(wǎng)絡安全同樣需要家長保護[4]。COPPA中對于兒童年齡的限制于2018年的《兒童反追蹤法案》中被修訂，擴大保護范圍至“青少年”，而非僅13周歲以下，同時為確保青少年的獨立主體地位，還需獲得其本人可驗證的同意。歐盟《通用數(shù)據(jù)保護條例》(以下簡稱GDPR)將獲得未成年人監(jiān)護人同意作為信息處理者處理信息的前提，這與COPPA的基于年齡獲得家長同意有異曲同工之妙，但并未解決部分未成年人自主決定權利的問題，甚至可能成為限制未成年人上網(wǎng)自由的工具[5]。

我國關于年齡上的立法較晚，早先的立法在年齡的劃分界限上有13、14、16周歲不等，但隨著立法的完善，基本形成以14周歲作為劃分的界限，《個信法》第三十一條規(guī)定了14周歲是年齡界限，其他與未成年人信息安全的相關立法也大都認可14周歲的年齡界限。實踐中，微信、QQ等主要網(wǎng)絡應用程序，會根據(jù)相關法律修改其隱私協(xié)議，如微信中就有關于未成年人保護的規(guī)定(1)如果你未滿18周歲，請在法定監(jiān)護人的陪同下閱讀本協(xié)議及上述其他協(xié)議，并特別注意未成年人使用條款。特別地，如果你是未滿14周歲的兒童，則在完成賬號注冊前，還應請你的監(jiān)護人仔細閱讀騰訊公司專門制定的《兒童隱私保護聲明》。只有在取得監(jiān)護人對《兒童隱私保護聲明》的同意后，未滿14周歲的兒童方可使用微信服務。?？梢娢覈鴮τ?4周歲以下未成年人信息安全保護更加嚴格，而14到18周歲則相對寬松?？傊阅挲g作為監(jiān)護人同意的條件之一，相關爭論可能會一直持續(xù)，但我國現(xiàn)有的年齡標準是通過多方協(xié)商而產(chǎn)生的，是適合我國國情的。

(2)替代決定模式的規(guī)則前提

替代決定除了需要年齡標準外，還需要建立健全身份識別規(guī)則，精準識別未成年人身份，引入“弱者保護”方案。首先，確立未成年人個人信息保護認證機制，是信息處理者在合規(guī)、風控和技術標準等已具備相應能力的前提下被賦予的一種商事外觀作為第三方證明。GDPR采納了個人數(shù)據(jù)認證機制，如法國采用的公權認證模式，即由國家設立“國家信息與自由委員會”作為認證主體，制定認證規(guī)則，進行評估并授予證書。在未成年人個人信息領域內(nèi)，合規(guī)壓力大、執(zhí)法難，但認證機制獨辟蹊徑，通過聲譽評價形成行業(yè)標準，調(diào)動企業(yè)主觀能動性，促進行業(yè)合法合規(guī)經(jīng)營，激發(fā)其保護未成年人信息的活力，增強用戶對數(shù)字產(chǎn)業(yè)的信任[6]。如微信、小紅書等APP都在隱私協(xié)議的制定中作出了不菲的貢獻，彌補了對未成年人個人信息保護的不足，并通過實踐檢驗或成為今后法律規(guī)則制訂的參考。其次，采取系統(tǒng)化的驗證方式主要分為兩種，一種是“中心化”模式，即由我國網(wǎng)信等部門主導，建立一站式未成年人身份識別平臺，但不進行存儲和分析，并提前設置好未成年人個人信息的負面清單，在識別出未成年人后，若其認可對個人信息的收集，平臺應立即告知監(jiān)護人，使監(jiān)護人知悉，并在自我衡量后作出決定。一種是“去中心化”模式，即以區(qū)塊鏈技術為基礎，設計收集未成年人個人信息的算法，將限制條件作為算法基礎輸入，之后進行收集、使用、刪除等，增強監(jiān)管和安全系統(tǒng)的壁壘，以避免敏感信息被商業(yè)化利用，確保未成年人個人信息安全。但“去中心化”模式無論在政策還是技術上當前均有阻力，相較于第一種操作模式更困難。綜上，通過建立健全未成年人身份識別規(guī)則，再由第三方幫助或替代監(jiān)護人作出同意決定，能最大限度降低對未成年人個人信息的損害。

替代決定模式還需要明確同意規(guī)則，落實意思自治。首先，信息處理者獲取監(jiān)護人同意是合法收集未成年人個人信息的基礎，但基于同意進行后續(xù)處理行為仍有違法的可能，因此允許監(jiān)護人同意存在無效的情形。如西班牙《數(shù)據(jù)保護法》中要求數(shù)據(jù)管理員制定核實程序，以確保未成年人的年齡及其監(jiān)護人同意的真實性。我國企業(yè)參照《個人信息安全規(guī)范》，在提供的隱私服務協(xié)議中細化了收集、存儲、共享、未成年人保護等信息內(nèi)容，為用戶提供指引。其次，替代決定下必須允許撤回同意和刪除的權利行使。由于未成年人并非完全民事行為能力人，監(jiān)護人的同意也并非能完全代表未成年人的意思，因此無論未成年人還是監(jiān)護人意識到先前的授權可能會侵犯未成年人權益時，均有權撤回授權或要求相關處理者刪除該信息?！秱€信法》明確規(guī)定自然人具有撤回同意的權利，信息處理者還應為個人提供便捷的撤回同意方式，第四十七條對個人信息的刪除權作出了細化規(guī)定，要求撤回同意后的信息處理者及時有效刪除存儲的相關信息[7]。《兒童個人信息網(wǎng)絡保護規(guī)定》中的刪除權明確監(jiān)護人撤回同意或終止使用產(chǎn)品服務時，運營者要及時刪除未成年人的個人信息。同意規(guī)則的實質(zhì)是實現(xiàn)意思自治，而撤回同意、刪除等恰恰提供意思自治達成的途徑，這樣的權利設置對未成年人信息保護尤為重要，甚至賦予公民直接決定特定信息的生命周期權利，避免未成年人個人信息的收集和處理有始無終。

二、未成年人網(wǎng)絡信息安全的網(wǎng)絡保護規(guī)制

(一)網(wǎng)絡保護的必要性

網(wǎng)絡保護是基于未成年人入網(wǎng)規(guī)模大、觸網(wǎng)低齡化而被納入保護規(guī)制范圍的，是對網(wǎng)絡不良信息侵蝕未成年人成長、隨意收集未成年人個人信息、擾亂未成年人網(wǎng)絡空間安寧等問題的回應。日前，公安部重拳嚴打涉未成年人網(wǎng)絡淫穢色情、竊取買賣公民個人信息等違法犯罪行為，凈化網(wǎng)絡生態(tài)?？梢姡W(wǎng)絡保護是未成年人網(wǎng)絡信息安全保護的主要內(nèi)容，也是家庭保護的補充(2)2022年中國互聯(lián)網(wǎng)絡信息中心(CNNIC)發(fā)布的第49次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示，截至2021年12月，中國網(wǎng)民規(guī)模達到10.32億，我國城鎮(zhèn)未成年人互聯(lián)網(wǎng)普及率達到95.0%，農(nóng)村為94.7%。。網(wǎng)絡空間作為未成年人獲取信息、對外交流的主要陣地，如何抵擋對網(wǎng)絡信息安全的攻擊成為網(wǎng)絡保護規(guī)制的關鍵。網(wǎng)絡平臺組織是網(wǎng)絡信息保護問題產(chǎn)生的根源[8]，由于網(wǎng)絡平臺與用戶地位的不平等，用戶基于信任平臺而進入，網(wǎng)絡平臺要肩負起用戶的信任，不平等的地位勢差使平臺承擔更高標準的信任義務[9]。從網(wǎng)絡內(nèi)容的生產(chǎn)、處理及終端審核上看，保護未成年人網(wǎng)絡信息安全貫穿每個環(huán)節(jié)。網(wǎng)絡社交、游戲、搜索引擎等均是對未成年人網(wǎng)絡保護的具體規(guī)制對象，責任主體多，利益盤根錯節(jié)，各方主體協(xié)作才是治理的關鍵。但現(xiàn)有法律中的網(wǎng)絡保護規(guī)定較少，并且僅起到原則性的指導作用，2017年中共中央宣傳部等八部委針對網(wǎng)絡游戲印發(fā)了《關于嚴格規(guī)范網(wǎng)絡游戲市場管理的意見》，2022年國家互聯(lián)網(wǎng)信息辦公室發(fā)布《未成年人網(wǎng)絡保護條例(征求意見稿)》，都以保障未成年人的網(wǎng)絡空間安全和權益為目標。與歐美相比，我國未成年人網(wǎng)絡立法起步較晚，相對薄弱，因此，網(wǎng)絡服務提供者、個人信息處理者等作為網(wǎng)絡平臺的主力軍，在實現(xiàn)其經(jīng)濟目標的同時，也要肩負起責任和義務。

(二)網(wǎng)絡服務提供者的安全保障義務

網(wǎng)絡服務提供者的安全保障義務一般分為事前審查義務、事中警示提醒義務和事后通知刪除義務。

在事前審查義務中，當網(wǎng)絡服務提供者與用戶訂立合同時要對其資格進行審查，排除可能發(fā)生的風險。網(wǎng)絡平臺審查資格的義務是雙向的，不僅審查網(wǎng)絡用戶，即要求其提供基本信息篩查其是否為未成年人，進而對該特殊主體負有更嚴格的注意義務，而且要審查具體服務的提供者，尤其是針對其向特殊主體發(fā)布或自動化推薦內(nèi)容的適當性進行嚴格審查，對未成年人訪問主體開啟防沉迷和“純凈版”的瀏覽模式[10]。

在警示提醒義務上，網(wǎng)絡平臺要主動向未成年人及時提示安全評估系數(shù)較低的網(wǎng)站、鏈接等，防止可能產(chǎn)生的侵害；同時對未成年人的操作權限做出相應限制，當其要突破授權時，必須向監(jiān)護人發(fā)出風險提示，取得監(jiān)護人同意，以保障未成年人的信息安全。此時需要網(wǎng)絡保護與家庭保護進行聯(lián)合，才能為未成年人的網(wǎng)絡信息安全創(chuàng)造良好的環(huán)境。

在通知刪除義務中，由于網(wǎng)絡空間的特殊性，其逐漸成為新型犯罪滋生的溫床。根據(jù)《民法典》第一千一百九十五條確立的“紅旗規(guī)則”，要求網(wǎng)絡服務提供者履行通知刪除義務，彌補其事前未能審查到的侵權行為，在事后采取及時的補救措施，以免對未成年人及其監(jiān)護人造成更嚴重的后果。此外，網(wǎng)絡平臺本身要具備應對外來風險的能力，通過互聯(lián)網(wǎng)來回輸送的關鍵信息搭建大數(shù)據(jù)平臺，快速處理信息，并為數(shù)據(jù)提取、分析、追蹤、保護、預測等提供技術支持，預測潛在的攻擊者，為客戶端或服務提供者提供針對性的防御能力，提高防范和化解風險的能力，確保網(wǎng)絡安全[11]。

(三)個人信息處理者的安保義務

1．信息披露義務

信息處理者在處理未成年人信息時的責任義務標準高于一般信息主體。信息處理者處理未成年人信息時需積極向信息主體報告和披露，及時向未成年人及其監(jiān)護人披露其所處理的個人信息范圍與用途等，保障未成年人及其監(jiān)護人的知情同意權、撤回權與刪除權等。當未成年人個人信息由私人空間向公共空間過渡時，為確保信息的及時性，信息處理者應肩負起審查義務，對可能或應當知道會涉及未成年人個人信息的情況主動給予信息主體提示，使其對可能的信息風險有所防范。這是對《未保法》中社會保護、網(wǎng)絡保護原則的落實，是信息處理者擔負企業(yè)、社會責任的體現(xiàn)。另外，未成年人通過網(wǎng)絡發(fā)布私密信息可能導致未成年人遭受侵害，也應當及時提示監(jiān)護人，對部分重要信息直接采取保護措施，之后再處理程序問題。

2．技術處理中的保護義務

個人信息已被廣泛利用，信息已轉(zhuǎn)變?yōu)椤皞€人+社會”控制的局面，這時要加強未成年人信息的保護力度，需要在立法與技術上建立有效的技術治理機制。未成年人個人信息流轉(zhuǎn)的風險貫穿于整個處理過程，加之信息主體與信息處理者的地位失衡，潛在風險可想而知。為此，歐盟GDPR及美國隱私保護通過立法綜合運用反追蹤、加密、匿名化等技術來應對敏感類個人信息處理中可能面臨的風險[12]。我國為平衡信息主體與信息處理者間的地位差，使信息處理者承擔起信息安全保護的責任，也需要在立法與技術上建立有效的技術治理機制。

通過橫向?qū)Ρ?，我國在個人信息保護立法中的技術治理僅原則性地規(guī)定信息處理者要采取一定的安全保障措施。例如《個信法》第五十一條對一般個人信息保護要求采取加密、去標識化等安全技術措施，要求進行風險評估和應對信息泄露采取措施，但并未在技術治理上進行規(guī)范。現(xiàn)在，這種情況開始有了改變，比如除發(fā)布《個人信息安全規(guī)范》，全國信息安全標準化技術委員會還在制定其他個人信息安全技術的規(guī)范，以應對個人信息技術處理中的不足。另外，在網(wǎng)絡信息空間，未成年人信息處理的場景多樣，在技術治理上應圍繞個人信息的特定場景轉(zhuǎn)化進行動態(tài)調(diào)整，建立降低未成年人信息敏感屬性和披露信息風險過程的相應規(guī)范[13]。因此，信息處理者在技術方面需要承擔起更多責任，技術設計者在處理系統(tǒng)的設計上，如代碼架構、值設定，主動對可能產(chǎn)生的風險進行預防，在技術設計和系統(tǒng)運行中形成對未成年人信息保護的默認規(guī)則，從技術源頭處降低對未成年人信息侵害的風險。

在技術操作上建立能夠覆蓋未成年人信息處理全流程的治理機制，但由于信息處理者大多為網(wǎng)絡平臺，要想在技術上實現(xiàn)突破，網(wǎng)絡平臺的力量不容小覷，《民法典》第一千一百九十八條規(guī)定了網(wǎng)絡平臺的安保義務，而網(wǎng)絡平臺作為處理各類信息的重要場所，實際上創(chuàng)設了一個由信息、算法驅(qū)動的“場景”，網(wǎng)絡平臺存儲的大量信息數(shù)據(jù)已然成為現(xiàn)實經(jīng)營活動中的素材。網(wǎng)絡平臺處理個人信息本身所帶的風險決定了其在特定場景下對信息主體提供安全保障義務的必要[14]。具體的技術治理措施主要包括以下三方面：

(1)對未成年人信息處理進行事前風險評估。對處理未成年人信息可能產(chǎn)生的風險要隨著處理場景的變化而變化，因此風險的確定也要通過具體場景進行判斷。信息處理者在處理信息前需結(jié)合處理的性質(zhì)、目的、范圍等對個人信息影響進行評估，至少包括操作計劃、處理必要性與相當性分析、未成年人權益的風險預測和應對措施，而后根據(jù)評估結(jié)果采取應對措施。歐盟GDPR中將敏感個人信息劃分為低、中、高三個風險等級，我國在立法中也可適當引進，通過評估明確風險等級。當評估為低風險時，信息處理者只需按照符合信息主體所預期的一般信息保護流程進行信息處理即可；當評估為中風險時，應按照處理未成年人信息時的具體場景判斷，采取靈活、及時、針對性的保護措施；當評估為高風險時，信息處理者除完成應對中風險的保護措施外，還需要事前對高風險所帶來的可能結(jié)果制定處置預案和保護措施，采取更高標準的風險防護手段。

(2)對未成年人信息進行事中脫敏處理。脫敏常用的方式是對信息進行去標識化處理使信息變形，并對信息分散分布、分區(qū)進行加密保護儲存，隱藏各信息之間的聯(lián)系，使信息的細節(jié)更加隱蔽，當需要對信息進行處理，通過逐條信息返回實現(xiàn)自動裝載還原的形式，消除信息敏感性[15]；或?qū)⑽闯赡耆说奶囟ㄐ畔⑦M行技術上的刪改，使其無法再指向特定自然人，以降低信息處理中的風險。但去標識化技術本身存在兩點缺陷：首先，有損害信息質(zhì)量的可能，尤其當丟失可識別信息時，極可能限制個人信息的效用[16]。其次，若去標識化技術使用不當，海量信息通過運算整合形成關聯(lián)分析，提高了未成年人個人信息被重新識別的可能[17]。因此，處理好去標識化與未成年人信息處理的關系尤為重要，當需要對第三方主體輸送未成年人信息時，信息處理者可以在不影響信息使用的基礎上進行脫敏，提高密文的安全性。

(3)對未成年人信息泄露設置事后防護措施。未成年人信息在收集、使用、存儲、傳輸?shù)热魏翁幚磉^程中均可能泄漏，因此信息處理者需要根據(jù)每個環(huán)節(jié)風險的特點設置應對防護機制。此外，信息處理者應對未成年人信息風險進行實時監(jiān)測，當監(jiān)測中發(fā)現(xiàn)異常時應提高警惕，先行斷開數(shù)據(jù)傳輸，降低信息泄露的風險，而后開展排查和溯源工作。例如，當傳輸未成年人信息時，一般需要基于法定或者約定事由才可定向傳輸，且需符合適當性與必要性要求，對數(shù)據(jù)附著能夠溯源的標記和加密處理等[18]。另外，盡可能集中對數(shù)據(jù)進行傳輸，對訪問未成年人信息的請求進行嚴格控制和審查。信息處理者需要在事后防護中承擔起責任，無論在技術、時間等消耗上，都需要提供盡可能多的防范和保護。

綜上，基于網(wǎng)絡服務提供者和信息處理者對未成年人信息控制程度高低而產(chǎn)生的地位勢差，要求提升其安全義務并確保義務履行，突破技術難關，落實全流程保護。未成年人輸出與輸入信息的安全至關重要，關乎其是否會被網(wǎng)暴、定向營銷等。因此，網(wǎng)絡保護是與其他保護協(xié)同發(fā)力的保障。

三、未成年人網(wǎng)絡信息安全的公權力保護規(guī)制

(一)公權力保護的正當性及路徑

公權力保護是未成年人網(wǎng)絡信息安全的最后屏障。公權力部門行使保護職責的正當性來源于國家親權理論確立的國家監(jiān)護責任，根據(jù)《未保法》第七條規(guī)定，國家對未成年人監(jiān)護人在履行監(jiān)護責任的過程中負有支持、指導、幫助和監(jiān)督的責任。另外，《兒童權利宣言》和《兒童權利公約》中提出要確保兒童的最大利益，各類社會主體均要遵守該原則。我國在該原則的指引下，給予未成年人在法律、制度、政策等方面的特別保護，各方資源均可在保障自身發(fā)展的前提下向未成年人傾斜。再者，我國確立了事前賦權保護的理念，對未成年人權益往往是主動賦權保護，而非受到侵害后的被動保護。在該理念的指導下，能盡量避免未成年人在成長過程中可能遇到的侵害，賦予未成年人權利以約束對方行為，形成行為規(guī)制，這樣的賦權為保護未成年人網(wǎng)絡信息安全中的知情同意、撤銷等權利奠定了基礎，為構建更完備的保護體系夯基固本。

公權力保護一般由國家機關履行監(jiān)護職能，體現(xiàn)國家的責任擔當。未成年人在網(wǎng)絡環(huán)境中是弱勢群體，由于未成年人信息泄露會帶來物質(zhì)和精神的損害風險，需要建立多維協(xié)同的保護措施對未成年人的網(wǎng)絡信息安全權益進行補救。同時，侵犯未成年人網(wǎng)絡信息權益多是過程隱蔽、因果不清、證明困難、后果嚴重的情況，當依靠非訴的保護方式走上末路時，提起訴訟成為守住未成年人網(wǎng)絡信息安全的最后防線，但此類案件常出現(xiàn)的訴訟周期長、舉證困難、損害難衡量、判決難執(zhí)行等問題也亟待解決。因此，出于對未成年人信息安全性的考量，權益受到侵害后的救濟措施也是檢驗法律能否落到實處的關鍵。

(二)多維協(xié)同的保護措施

公權力保護主要分為非訴方式保護和訴訟方式保護。政府部門一般負有監(jiān)督管理責任，此時的監(jiān)管責任會具備強制力和執(zhí)行力，一方面是主動管理規(guī)制，如公安部網(wǎng)安局全面治理網(wǎng)絡亂象的行動。另一方面則是接受受侵害主體的投訴、申訴等情況。政府部門的管理規(guī)制在本文中不做過多闡述，重點在于相關部門接收到受侵害主體的求助維權后相應的處理措施。一般情況下，先通過和解、調(diào)解的方式進行解決，行政部門居間斡旋；當無法解決時，可視情況轉(zhuǎn)入司法程序，但公權力機關均要提供力所能及的幫助。

1.非訴保護

對未成年人信息的侵害往往會涉及多數(shù)不特定人的權益，在進行保護時可以按照侵害行為的嚴重性、影響范圍的廣泛性以及造成損害的大小進行分階段、多維救濟，常見的模式有投訴、申訴、和解、調(diào)解等。

投訴是維權的第一步，有學者在《個信法》的規(guī)定下提出了三階投訴機制，期望實現(xiàn)投訴、調(diào)解以及訴調(diào)對接的效果，建立多維并進的程序救濟機制。但這要求信息處理者能夠及時受理投訴，信息權益保護組織和具備職能的部門及時處理投訴，通過利用信息處理者的內(nèi)部資源和社會力量形成聯(lián)動；同時，當投訴和調(diào)解也無法化解矛盾時，該機制也能方便后續(xù)訴訟中信息的對接和調(diào)取[19]。瑞典的非訴程序即集體調(diào)解制度，主要是就信息權益的集體保護制定了集體調(diào)解制度，該制度設計可以在公益訴訟的前置程序和結(jié)案程序設計上為我國所借鑒。日本不斷完善的個人信息保護組織的訴外糾紛解決的規(guī)范也值得學習。如在《個信法》第六十二條、第六十五條規(guī)定了具有個人信息保護職能的公權力機關應當在收到投訴時及時處理，具體的投訴制度建設、主體間銜接等具體內(nèi)容，在日本的立法中有可借鑒之處。例如當相關組織受理投訴后，應按照具體情況對信息處理者和信息主體進行調(diào)解，必要時提起公益訴訟。國家檢察機關則在三階投訴機制中承擔協(xié)調(diào)和監(jiān)督的責任，這不僅符合對檢察機關的機構定位，也符合個人信息保護法的規(guī)范。

2.司法保護

司法保護需要規(guī)制的內(nèi)容包含整個訴訟階段，主要有以下問題：首先，注意侵權損害的量化，優(yōu)先實現(xiàn)財產(chǎn)上的補償，同時構建精神損害量賠體系以及事后的心理健康監(jiān)測體系；其次，在面對未成年人網(wǎng)絡信息侵權的大批量案件時，單靠個人訴訟存在較多限制，也會加重個人訴累，因此采用公益訴訟更具效率；最后，司法保護也并非僅限于上述手段，還需要以盡可能多的方式進行完善，如各部門法律的銜接、辦理未成年人侵權案件的特殊程序等，讓未成年人遭受到網(wǎng)絡信息侵害時能夠有法可依。

在侵權損害的量化上，《民法典》第一千一百八十二條規(guī)定了侵權損害額(3)侵害他人人身權益造成財產(chǎn)損失的，按照被侵權人因此受到的損失或者侵權人因此獲得的利益賠償；被侵權人因此受到的損失以及侵權人因此獲得的利益難以確定，被侵權人和侵權人就賠償數(shù)額協(xié)商不一致，向人民法院提起訴訟的，由人民法院根據(jù)實際情況確定賠償數(shù)額。，《最高人民法院關于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定(2020年修訂)》第十二條明確只要能確定信息主體的人身權益確實受損，即便具體金額難以確定，法院也能在規(guī)定的限額內(nèi)自由裁量確定賠償金額。該規(guī)定在被侵權人難以證明具體受損金額的情況下，對個人信息受損的認定賠償中起到了指引作用，但該規(guī)定在適用上僅限于權益受損造成的財產(chǎn)損害，對于精神上的損害賠償并未說明，范圍上相對狹窄。《個信法》第六十九條規(guī)定了當個人信息受到損害時，信息處理者無法證明自己沒有過錯的應當承擔損害賠償責任，損害賠償?shù)呢熑伟凑諅€人因侵權受到的損失或者信息處理者因此獲得的利益進行確定；當前述兩項均難以確定時，根據(jù)實際情況確定。該規(guī)定與前述規(guī)定在損害確定的思路上基本一致。但《個信法》中表述為“個人信息權益”的概念比最高法規(guī)定的“人身權益”所表達的內(nèi)涵更豐富，能將侵害個人信息權益的各種形態(tài)后果廣義地囊括在內(nèi)。但這樣的規(guī)定在實踐中并不利于全方位認定侵害未成年人信息權益造成的實質(zhì)損害，同時以“實際情況確定賠償數(shù)額”的規(guī)定需要考慮“實際情況”的因素也不明確，需要更加清晰的規(guī)定來為司法實踐做指引。

訴訟作為保護個人信息安全的最后屏障，個體進行訴訟尋求救濟收效甚微，因此在制度構建中，公益訴訟救濟模式嶄露頭角。《個信法》第七十條規(guī)定了個人信息保護公益訴訟，允許檢察機關、法律規(guī)定的消費者組織和國家網(wǎng)信部門確立的有關組織可以提起公益訴訟。我國公益訴訟的規(guī)定借鑒了國外立法的經(jīng)驗，尤其是大陸法系國家的，他們在建立公益訴訟的模式上是存有共識的，認為公權力介入能夠克服個人訴訟中取證、舉證困難的問題，提高救濟效率[20]。《個信法》雖然也做出了相關規(guī)定，但規(guī)定過于原則化，具體的操作仍然缺乏配套的制度設計和規(guī)范，需要在實踐中不斷完善。目前能夠借鑒的除了我國本身已經(jīng)實踐了的環(huán)境、消費者公益訴訟，國外的制度規(guī)范也值得研究，如發(fā)展和完善企業(yè)數(shù)據(jù)合規(guī)部門、個人信息保護組織、信息主管行政部門等其他力量，并規(guī)范不同主體之間的互動模式，形成對未成年人個人信息保護上的自律與他律，協(xié)同監(jiān)管，有利于協(xié)調(diào)好公益訴訟與其他內(nèi)部程序的銜接，也有利于個人信息公益訴訟相關程序性工作的開展。2022年最高檢發(fā)布以未成年人保護檢察公益訴訟為主題的指導性案例(4)最高檢召開主題為“積極履行公益訴訟檢察職責，依法保護未成年人合法權益”新聞發(fā)布會，發(fā)布最高檢第三十五批指導性案例。其中包括全國首例未成年人網(wǎng)絡保護民事公益訴訟案，是浙江省杭州市余杭區(qū)檢察院訴國內(nèi)某知名短視頻公司侵犯兒童個人信息民事公益訴訟案，后經(jīng)杭州互聯(lián)網(wǎng)法院出具調(diào)解書后結(jié)案。https://www.spp.gov.cn/spp/xwfbh/wsfbh/202203/t20220307_547722.shtml，2022年8月31日訪問。。資料顯示檢察機關嚴懲侵害未成年人權益網(wǎng)絡犯罪，積極推動網(wǎng)絡領域中的未成年人公益保護。可見我國十分注重未成年人網(wǎng)絡保護、個人信息保護。通過立足法律監(jiān)督職能，從多種途徑保障未成年人網(wǎng)絡空間安全和網(wǎng)絡權益。

四、建立三重保護的有序銜接

我國在實踐中逐漸建立起以家庭保護為基礎、網(wǎng)絡保護為補充、公權力保護為關鍵的三重保護體系。雖然其在各領域內(nèi)均存在一定問題，并且三種保護的相互銜接也不夠順暢，但三重保護是環(huán)環(huán)相扣的鏈條式結(jié)構，是保護未成年人網(wǎng)絡信息安全必須要銜接起來的。只有建立起有序的銜接，才能在前述的任一保護存有漏洞時，后續(xù)保護均能及時補位，以確保未成年人網(wǎng)絡信息保護領域不缺位；同時，三者保護也是疊加的，任一保護均能為其他保護提供基礎和保障，如在家庭保護中出現(xiàn)缺位時，國家保護便無須等待侵權后的救濟，而是在家庭保護缺位時及時補救；網(wǎng)絡服務提供者違規(guī)操作時，建立專門監(jiān)管部門及時采取措施，對其進行警告、整改，及時處理，對用戶在網(wǎng)絡內(nèi)的投訴、申訴進行抽調(diào)檢驗等，對于內(nèi)部處理不當且用戶向公權力部門尋求救濟時要及時處理等。

綜上，規(guī)范本身并非法律正義的體現(xiàn)，其真正價值是通過實踐為未成年人網(wǎng)絡信息安全的保護提供實效價值，維護未成年人的實質(zhì)權益。在未成年人網(wǎng)絡信息安全保護體系中，家庭保護雖存有弊端，但在我國現(xiàn)有背景下又無法完全脫離監(jiān)護人同意的模式，只能通過完善替代決定模式使其行為更具備合理性，公權力部門也要做好監(jiān)護人缺位時的補充；同時對網(wǎng)絡保護的規(guī)制要加快落實，網(wǎng)絡服務提供者等責任主體也要認真履行職責，同其他主體積極配合；最后也必須建立好對未成年人網(wǎng)絡信息權益侵害的救濟措施，防止其處于孤立無援的境地，做好后續(xù)保障工作。因此落實三重保護的具體規(guī)則，能夠確保三者有序銜接，以實現(xiàn)未成年人網(wǎng)絡信息權益的最大化[21]。