傅宏宇

《中华人民共和国民法总则》(以下简称《民法总则》)第111条规定：对个人信息的获取需依法进行，应确保信息安全，并禁止非法收集、使用、加工、传输他人个人信息，以及非法买卖、提供或公开他人个人信息。中国目前将个人信息界定为可识别自然人身份的信息，包括直接识别主体身份或结合其他信息间接识别主体身份的信息，而其中私密的、敏感的部分亦属于隐私权保护的客体。(1)中国《网络安全法》第76条将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”；类似的定义见欧盟《通用数据保护条例》(General Data Protection Regulation, Regulation (EU) 2016/679)第4条；关于个人信息与隐私权的关系，参见张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，《中国法学》2015年第3期，第50-51页；参见王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，《现代法学》2013年第4期，第64-67页。大数据时代的个人信息具有较大的经济价值，是网络信息行业发展的重要资源。同时，国家可以基于网络信息安全和社会公共利益依法收集、使用个人信息，进行网络信息监管。未成年人在中国享有特殊的法律地位，中国《宪法》规定，儿童享有受教育的权利，并受到国家的保护。(2)《宪法》第46条第2款、第49条第1款。《未成年人保护法》等相关立法明确了未成年人享有生存权、发展权、受保护权、参与权等权利，未成年人的合法权益受到优先保护。随着未成年人使用网络的普遍化，其个人信息直接暴露于网络空间，被侵害的风险也越来越大。对此，美国、欧盟等国家和地区立法对未成年人网络个人信息进行了专门保护。(3)傅宏宇：《我国未成年人个人信息保护制度构建问题与解决对策》，《苏州大学学报》(哲学社会科学版)2018年第3期，第81-89页。中国个人信息保护立法应充分考虑未成年人群体的特殊性以及未成年人个人信息的敏感性，将未成年人个人信息作为隐私个人信息予以保护；强化监护人和教育者的责任，尊重未成年人人格尊严，保护未成年人的合法权益，规范信息业者对未成年人个人信息的收集与使用；为未成年人创设安全、可控的网络成长环境。

一、未成年人个人信息保护的主体范围

1．未成年人年龄标准的界定

受法律保护的个人信息主体是自然人，包括未成年人这一特殊群体。未成年人处在身心发展阶段，个人信息具有较高的敏感性，应当受到特殊保护。个人信息保护法律框架下的未成年人不等同于民法中的未成年人，界定其年龄标准需要综合中国未成年人保护立法设计以及民事行为能力的规定，基于中国未成年人个人信息敏感程度的现实情况，在保护未成年人人格权益和保障未成年人社会能力发展之间寻找合适的平衡点。(4)对未成年人个人信息的年龄划分，欧美将其作为公共选择问题，立法并不统一。欧盟《通用数据保护条例》以16周岁为界限对儿童个人数据加以特别保护，并允许成员国规定更低的年龄标准，但不得低于13周岁；美国《儿童网络隐私保护法》(Children’s Online Privacy Protection Act, 15 U.S.C. §§ 6501-6506)保护13周岁以下儿童的网络个人信息；而加利福尼亚州《加州未成年人在数字世界的隐私权法案》(Business and Professions Code, Division 8, Chapter 22.1, 22580(d), Privacy Rights for California Minors in the Digital World)规定的未成年人为18周岁以下的青少年。

中国未成年人保护相关法律规定未成年人为未满18周岁的公民。(5)《未成年人保护法》第2条。《预防未成年人犯罪法》第45条第2款规定：“对于审判的时候被告人不满十八周岁的刑事案件，不公开审理。”从受教育权角度而言，中国《义务教育法》确定的义务教育期为6-16周岁。(6)《义务教育法》第11条规定儿童自6周岁起依法接受义务教育(条件不具备的地区可推迟到7周岁)。因义务教育期限为九年，则儿童完成义务教育后达16周岁。未满16周岁的未成年人依中国《劳动法》规定不得参加劳动，16周岁以上未成年人依法享有劳动权，有权参与社会劳动并取得报酬。(7)《劳动法》第15条禁止用人单位招用未满16周岁的未成年人。《未成年工特殊保护规定》第2条、第9条对未成年人工作年龄进行了相同的规定。《民法总则》第17条规定18周岁以下的自然人为未成年人。而16岁周岁以上以自己的劳动收入为主要生活来源的未成年人已获得独立生活的地位，其人格健全程度、社会判断力与成年人没有差异。有鉴于此，中国民法拟制其拥有完全民事行为能力，可以享有民事权利，并独立承担民事责任。(8)《民法总则》第18条。参见王利明：《民法总则研究》，中国人民大学出版社2012年版，第233页。

笔者认为，16周岁以下的未成年人个人信息应依法受到特殊保护。

首先，16周岁以下的未成年人人格尚处于发展过程中，是未成年人保护法律重点保护的对象。该阶段的未成年人对隐私的期待尚不稳定，对个人信息的处分缺乏理性判断，难以意识到个人信息的敏感性，其个人信息一旦被不当收集和使用将造成难以弥补的损害，应作为特殊群体受到严格保护。16周岁以下的未成年人处于监护和义务教育阶段，其主要的生活空间为家庭和学校，监护人和教育者可以监督和控制未成年人的网络使用行为，对其在家庭、学校以及网络环境中使用个人信息的行为进行有效引导和保护。

其次，由于不满16周岁的未成年人不能参加社会工作，严格保护其个人信息不会构成对未成年人社会参与权和劳动权的限制。16周岁以上的未成年人依法有权参与社会工作，并可被视为完全民事行为能力人。在这个阶段，对未成年人个人信息在有限生活空间内的保护逐渐让位于未成年人人格的成长发展，信息保护层面的立法宜将16周岁以上18周岁以下未成年人视为完全民事行为能力人，尊重其独立的信息主体地位，培养引导其完善的个人信息权利意识和处分能力。从现实角度看，中国16周岁以上的未成年人已普遍完成义务教育，根据家庭和社区的经济情况，一部分进入了高等教育的准备阶段，一部分则参与职业教育，并逐步脱离监护和教育环境，部分或完全地参与社会工作。将16周岁以下未成年人作为特殊群体加以保护可以有效对接中国未成年人保护法律，符合民事法律对特殊民事主体群体保护的要求，也客观地顺应了中国未成年人监护、教育和发展的实际情况。

最后，16周岁以上的未成年人网络使用普遍化，网络行为趋于成年化，监护人对未成年人在网络空间的行为无法实现逐项监督，信息业者也难于甄别信息主体身份。(9)2014年中国青少年网民数量约2.77亿，其中6-11岁占7.5%，12-18岁占42.8%，2015年达2.87亿，其中6-11岁占11.5%，12-18岁占40.4%。2015年18岁以下青少年网民已超过1.4亿人，其中3300万为12岁以下儿童。小学生上网时长为每周14.9小时，中学生为每周22小时。参见中国互联网络信息中心：《2015年中国青少年上网行为研究报告》2016年发布，载http：//www.cnnic.cn/hlwfzyj/hlwxzbg/qsnbg/201608/P020160812393489128332.pdf，2018年10月16日。对这一阶段的未成年人个人信息加以特别保护，一方面过度提高了信息业者依法开展经营活动的成本，另一方面也提高了监护人的注意义务，而这样的保护还可能限制未成年人的劳动权，不利于其社会人格和社会能力的发展。

基于上述理由，综合考虑中国未成年人立法保护传统以及民事法律对未成年人的规定，结合中国未成年人参与社会工作以及网络使用的实际情况，笔者认为个人信息受特殊保护的未成年人主体为16周岁以下的未成年人。

2．个人信息保护中未成年人与监护人的关系

未成年人的监护人为履行监护职责，可依法了解未成年人个人信息，包括信息的内容以及信息的获取、存储、使用以及被第三方利用情况。监护人对被监护未成年人负有抚养、教育和保护义务，保护未成年人的人身权利、财产权利和其他合法权益，并代理未成年人实施民事法律行为。(10)《民法总则》第26条、第34条。为履行对未成年人的监护职责，监护人需要充分了解被监护未成年人的个人信息，以做出符合被监护未成年人利益的、对其身心发展最有利的决定。监护人基于监护关系对未成年人个人信息的知情权和决定权是广泛的，包括获取未成年人敏感的、隐私的个人信息，以及在网络、学校等各种环境中的个人信息。例如，出于履行监护职责、维护未成年人权益的需要，监护人有权获取未成年人网络社交软件中的个人信息，包括具有可识别性的图片、生物识别信息、地理位置信息、聊天内容以及其他社会活动数据，以明确信息业者是否依法履行了对未成年人个人信息的保护义务，保护未成年人个人信息及其他权益不受侵犯。(11)监护人对被监护未成年人个人信息的介入权和知情权是代理未成年人行使信息决定权的基础。关于监护人代理未成年人行使信息决定权的探讨，见本文第三部分。

监护人对未成年人个人信息的介入权和知情权在目的和行使方式上有一定的限制。监护人对未成年人个人信息的知情权服务于未成年人权利的保护，以弥补未成年人行为能力缺陷，代理未成年人做出更符合自身利益的、更为合理的选择，并创设更好的成长空间。因此，监护人行使知情权获取未成年人个人信息应符合保护未成年人个人信息权和隐私权等合法权益、促进未成年人发展的目的。(12)李延舜：《论未成年人隐私权》，《法制与社会发展》2015年第6期，第169-170页。此外，监护人需以合理的方式和手段行使知情权获取未成年人个人信息，例如在充分沟通的基础上适量获取被监护未成年人的个人信息，避免利用监护人地位，使用暴力、欺骗或窃取等手段，不当获取未成年人个人信息。

二、未成年人个人信息保护的客体范畴

1．个人信息权与隐私权的关系

《民法总则》第110条规定自然人享有隐私权，其个人生活不受他人非法干扰，私人信息不受他人非法收集、刺探和公开。(13)沈德咏主编：《〈中华人民共和国民法总则〉条文理解与适用》，人民法院出版社2017年版，第754页。基于美国隐私权理论，隐私权保护的是个人独处的自由，包括美国宪法第四修正案所包含的“对于隐私的期待利益”，以及沃伦(Warren)和布兰德斯(Brandeis)所提出、普罗瑟(Prosser)后续总结得出的四个类型的权利。(14)王泽鉴：《人格权的具体化及其保护范围·隐私权篇(下)》，《比较法研究》2009年第2期，第5页，第6页。而欧洲国家将隐私作为基本权利予以保护，通过立法和判例确定隐私权存在的私人领域，并延伸保护个人的资讯自决权。(15)张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，《中国法学》2015年第3期，第40-41页。王泽鉴将隐私权定义为“个人对其私领域的自主权利”，包括“私生活不受干扰”及“个人信息的自我控制”。(16)王泽鉴：《人格权的具体化及其保护范围·隐私权篇(下)》，《比较法研究》2009年第2期，第5页，第6页。公共领域和私人领域的界分判断包含两方面的因素：一是隐私权主体的权利认知，即主张隐私权的个人主观认为其处在私密的有形或无形空间中，并基于私密空间与公共空间的分隔，产生对于隐私受到尊重的期待，包括个人独处并不受他人支配；二是对隐私权的限制，即权利主体对于隐私的期待应当合理。合理性判断是基于法律拟制界定期待的范畴，平衡隐私权与其他主体权利以及社会价值的冲突，对隐私权予以不同形式、不同程度的保护。

在隐私权之外，《民法总则》首度对个人信息进行规定，自然人的个人信息不得被非法收集、使用或买卖、公开。个人信息包含不同程度的隐私属性，基于此可将其分为隐私个人信息和一般个人信息。隐私个人信息(或敏感个人信息)较多地包含信息主体的隐私，具有较高的敏感性，信息主体对此类信息有较高的隐私期待，信息一旦遭不法公开或使用将侵害信息主体的隐私权，因此法律严格限制对他人隐私个人信息的非法收集和使用。而一般个人信息虽然具有信息主体的识别性，但所包含的隐私较少，敏感性较低，他人的收集和使用不会侵害信息主体的隐私权，对此类信息应平衡保护和利用的关系，信息业者可以依法合理使用，以促进信息时代的经济发展。此外，为保护网络信息安全、维护网络秩序、优化网络治理，国家有权对个人信息进行监管。因此，个人信息立法应该兼顾相关主体诉求与法益主张，在主体权益保护、信息行业发展与网络信息监管之间实现协调与平衡。(17)例如欧盟《通用数据保护条例》第1条提出个人数据保护的基本目标，重申基于个人基本权利和自由保护个人数据权，但基于公共利益的要求不得限制个人数据的自由流动。同期颁行的欧盟2016/680号指令(《关于主管部门为预防、调查、侦查或起诉刑事犯罪行为或执行刑事处罚处理自然人个人信息的个人保护以及此类数据的自由流动和废除理事会2008/977/JHA框架决议的指令》)则调整了个人信息保护与刑事审查间的关系，明确权力机关有权依法利用个人信息预防和调查犯罪。

2．网络环境下未成年人个人信息保护及国外立法借鉴

在网络普及以前，未成年人的生活环境主要集中于家庭和学校。但随着网络的普及，未成年人的生活环境逐渐扩展到虚拟的网络世界。伴随着移动网络设备的普及，上网设备从电脑端转移到移动终端，中国网民低龄化趋势明显，未成年人广泛利用网络从事即时通信、游戏以及购物、支付等社会活动。(18)中国互联网络信息：《2015年中国青少年上网行为研究报告》，第37页，第4-5页，第8页。未成年人的网络行为不仅包括获取教育资源和信息，还包括通过网络进行通信及社交，以及向网络运营商提供数据和信息。绝大部分中小学生使用即时通信类软件和网络游戏软件，部分中小学生则利用网络参与购物和支付等商业活动。网络的使用扩展了未成年人的社交界面，未成年人隐私空间与公共空间的界分在网络环境中变得模糊。在以家庭和学校为代表的传统场所里，保护未成年人个人信息的主体较为明确，制度设计可以充分保护未成年人的人格和隐私，通过明确监护人和教育者责任，在有效保障未成年人隐私权益的同时，有序培养其隐私观念。然而移动互联网终端使用的低龄化使得监护人以及教育者难以及时、全面监督管理未成年人的网络使用行为，而网络环境的秩序设定是以自我约束和责任自负为基础，并不包含基于年龄以及知识水平和社会经验的差别对待机制，这对网络环境下的未成年人个人信息及隐私带来了很大风险。

作为信息大国，欧盟、美国均意识到网络环境对未成年人个人信息和隐私造成的威胁，并通过立法对未成年人个人信息进行了特别保护。欧盟《通用数据保护条例》指出，儿童的风险意识薄弱，对于个人数据处理带来的后果、权益及其保障均缺乏足够的认识；对此，立法需要特别保护儿童的个人数据，尤其是涉及将儿童个人数据用于市场营销或进行用户定性(profiling)，或者是对于直接面向儿童的网络服务，在收集相关个人数据时，需要遵循特殊的数据安全保护规则。(19)欧盟《通用数据保护条例》立法背景介绍第38段。美国《儿童网络隐私保护法》对网络商业运营商收集、存储、处理儿童网络个人信息进行了特别规定，包括需要明确告知家长，并获取“可确认的家长同意”(verifiable parental consent)，以限制出于商业化目的对儿童网络信息的收集和利用，保护儿童网络隐私。(20)Children’s Online Privacy Protection Act, 15 U.S.C. §§ 6501-6506.该法由美国联邦贸易委员执行，违法收集、存储、使用儿童信息的网络运营商将面临高额罚金。(21)2007年美国联邦贸易委员会认定社交网站运营商Xanga.com公司收集、使用儿童信息时没有履行通知家长并获取其同意的义务，对公司和两位责任人处以一百万美金的罚款，并要求立即纠正违法行为。载https：//www.ftc.gov/news-events/press-releases/2006/09/xangacom-pay-1-million-violating-childrens-online-privacy，2018年10月16日。

3．未成年人个人信息属于隐私个人信息

未成年人个人信息保护需考虑三方面的价值：其一，是实现保障公民人身权利的宪法要求，遵循以人为本的民事立法思想，尊重未成年人的民事主体资格及其依法享有的基本权利，这是中国民事法律所确立的未成年人人格尊严价值。其二，是保护未成年人合法权益，为其创设安全、稳定的网络信息空间，帮助未成年人身心健康成长，这是中国未成年人保护法律所确立的未成年人保护公共利益价值。其三，是规范未成年人网络个人信息产业交易秩序，明确使用未成年人个人信息的实践标准，维护信息业者合法获取、使用未成年人个人信息所创造的经济利益，这是受中国市场经济相关法律保护的未成年人个人信息的市场价值。

未成年人个人信息保护立法应保障未成年人基本权利，尊重未成年人人格尊严，保护未成年人个人信息权和隐私权等基本民事权利。以此为基础，倡导网络空间的社会共识共治，维护未成年人保护的社会公共利益。同时，可以有限度地开放未成年人个人信息的市场化利用，促进信息行业的有序发展。为从层级上理顺三重价值，明晰其间的相互关联，中国个人信息保护立法应将未成年人个人信息作为隐私个人信息加以严格保护。

首先，对未成年人个人信息予以特别保护，遵循了未成年人人格权保护标准，尊重了未成年人的隐私权益。隐私权与生俱来，未成年人的隐私权虽然伴随人格完善而处在发展之中，并受到其诸多限制，但依然是未成年人的基本民事权利。未成年人隐私观念处于逐渐养成的过程中，对隐私的概念逐渐扩展，对隐私权益的期待逐渐增加，而目前中国各个地区、各个年龄阶段的未成年人因教育背景和生活条件的差异，人格发展差异较大，因此很难构建一套普遍适用于所有未成年人的隐私个人信息判定标准。将未成年人个人信息概括地作为隐私个人信息加以保护，符合保护未成年人隐私权益的要求，在操作层面也更为统一。

其次，将未成年人个人信息列为隐私个人信息，符合未成年人保护、教育和发展的公共利益。网络环境下未成年人个人信息的特殊保护，目前在中国还缺乏明确的法律依据。不法使用未成年人个人信息除了直接侵犯未成年人隐私权外，还可能导致区别对待、歧视乃至暴凌等行为，对未成年人产生长期的精神损害以及潜在的财产损失。由于个人信息侵权具有主体分散、法律因果关系模糊、技术能力不对等的特点，被侵权主体尤其是未成年人举证较为困难。基于未成年人个人信息敏感程度高、被不法使用的可能性较大、损害后果严重的特点，应将未成年人这一特殊群体的个人信息进行特别保护，一方面可以强化保护、预防侵害，另一方面也可以唤醒社会知觉、统一社会认识，以法治引领未成年人网络环境的共治。

最后，为促进未成年人网络教育和网络能力发展，信息业者可以依照隐私个人信息标准收集、存储、使用未成年人个人信息。此种对于未成年人个人信息的利用符合促进未成年人成长、提高社会效率的要求，信息业者的合法权益依法受到保护。中国个人信息保护立法需要限制信息业者任意获取、使用个人信息，避免因个人信息无法得到有效保护对未成年人教育和发展产生负面影响。(22)欧盟《通用数据保护条例》第6条采用利益平衡机制判断数据控制者处理数据的合法性，要求数据的处理是出于控制者或第三方追求合法利益的必要，但不得影响数据主体的基本权利及自由；而当数据主体为儿童的情况下，数据的利用必须进行限制。信息业者按照较高的隐私保护标准对待未成年人个人信息，虽然一定程度上增加了信息业者的运营成本和个人信息保护的执法成本，但相较于对未成年人个人信息保护不力造成的个体伤害和社会损失，这样的成本增加是合理的。

三、未成年人个人信息保护法律制度构建

目前，中国在未成年人刑事犯罪、网络安全等特定法律领域对未成年人个人信息保护进行了规定。(23)公安机关、检察院、法院办理未成年人刑事案件过程中必须保护涉案未成年人的隐私，不得公开或者传播涉案未成年人个人信息。参见《公安机关办理未成年人违法犯罪案件的规定》第5条，《人民检察院办理未成年人刑事案件的规定》第5条，《关于审理未成年人刑事案件的若干规定》第13条，《预防未成年人犯罪法》第45条第3款，《未成年人保护法》第58条。《网络安全法》第13条规定依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。除了协调相关立法中的特别规则以外，中国还需针对未成年人个人信息保护进行整体性立法，并提供相应的民事法律救济。未成年人个人信息因具有特别的隐私敏感性，其特殊地位需要在个人信息立法中予以明确。保护未成年人个人信息的专门规定可纳入中国个人信息保护立法框架，在总则部分明确个人信息保护范畴下的未成年人年龄标准为16周岁以下，未成年人个人信息作为隐私个人信息受到严格保护，限制信息业者对未成年人个人信息的收集、存储和使用，同时明确国家有权根据未成年人教育、保护、发展等公共目的，依法获取未成年人个人信息，并行使监督管理职能，对违法收集、存储、使用未成年人个人信息的行为予以处罚。在分则部分对获取、使用未成年人个人信息进行专门规定，可包含以下几项具体制度：

1．对监护人的告知同意要求

基于监护人身份以及监护义务的基本要求，监护人一方面享有对未成年人个人信息的知情权，可以获取未成年人在网络环境中的个人信息，分析、判断未成年人网络使用情况，进行管理、教育。另一方面，监护人代理未成年人对其个人信息行使处分权，基于对未成年人利益最大化以及保护隐私个人信息的原则，按照告知同意标准判断未成年人个人信息收集、使用的请求并予授权或拒绝。监护人对未成年人个人信息的代理处分权包括在信息获取、存储和使用各个阶段代为行使个人信息权利，其中重要的一个环节在于在接受告知后做出是否同意收集未成年人个人信息的决定。(24)欧盟《通用数据保护条例》第8条规定，处理儿童个人信息时，当该项信息的获取需信息主体同意的，须经儿童的监护人同意。美国《儿童网络隐私保护法》要求收集儿童个人信息的网络运营商需通知家长，并获得家长同意。15 U.S.C. § 6502(b)(1)(A)(ii).

对监护人的告知同意包括事前获取、充分告知和明确同意三方面的内容。事前获取要求信息业者在获取未成年人个人信息之前，应当完全履行告知义务，并获得监护人的同意。充分告知指信息业者需告知监护人拟收集的未成年人个人信息内容和范围、拟进行使用的方式及目的、个人信息保护标准、是否将拟收集的未成年人个人信息供第三方使用、监护人权利和可采取的措施、法律救济等信息，确保其充分知情，以便代理未成年人决定是否将个人信息提供给信息业者进行使用。明确同意指在充分告知的前提下，对于拟收集未成年人个人信息的请求，监护人做出明确同意。明确同意包含两方面要求：一是明示同意，即同意是监护人经充分告知，以明示的方式做出；二是可被确认，即采用合理方式并利用现有技术，可以确认监护人所做出的同意决定。

出于保护未成年人的目的，国家机关或其授权部门可依法获取未成年人个人信息，无需向监护人进行告知并获得同意。此项例外服务于保护未成年人权益、促进未成年人良好健康发展的公共利益，国家机关及其授权部门需以此为目的，在法律规定的范围内，按照法定程序收集未成年人个人信息，并将获取未成年人个人信息的决定、获取信息的法律依据及目的、获取信息的范围等内容及时告知监护人。

2．信息存储和使用的主动披露和修改、删除提示要求

信息主体有权修改或要求信息业者修改其不准确的个人信息，并有权依据法定条件删除或要求信息业者删除其个人信息。修改权和删除权是个人信息自主决定权的基本要求，即信息主体可以在事前、事中、事后全面地控制个人隐私信息，即使对于依法获取的个人信息，信息主体依然可以对不准确的信息予以修改，或撤回个人信息。

成年人在知情同意的基础上决定是否修改或删除个人信息，是个人信息自决权中的保留权利。信息业者对个人信息的修改和删除依信息主体申请做出，该模式适用于隐私利益期待稳定、个人信息控制充分的社会，强调信息主体的自我决定以及信息业者的积极配合。但未成年人隐私观念的不完善导致未成年人对个人信息的处分缺乏理性基础，并且由于身心快速发展，在一个年龄阶段依法经同意可被使用的个人信息，其敏感性在另一个年龄阶段可能显著增加。未成年人个人信息内容以及信息敏感性处在持续的变动中，根据修改权、删除权的一般规定，未成年人及其监护人需要明确个人信息的变动内容，请求信息业者予以修改，或基于隐私需求撤回同意，要求删除其个人信息。这样的制度安排使得未成年人及其监护人承担了过多的维护个人信息准确、保护信息隐私的义务，因而明显不合理。

信息业者存储、使用未成年人个人信息应遵循更为严格的隐私保护标准，保护未成年人对其个人信息的修改权和删除权。除了为履行个人信息修改和删除义务而进行信息管理以外，信息业者应主动向未成年人及其监护人披露对该信息主体个人信息的管理和使用情况，并向其提示有权进行修改或删除。此外，信息业者应遵循最小化原则主动删除已超过使用时效的信息以及与收集和使用目的不相关、不必要的信息，并将信息删除结果告知未成年人及其监护人。

3．对网络信息业者的引导规则

个人信息在网络环境下具有特定的经济价值，是网络信息产业的重要资源。在对未成年人群体进行特别对待、严格保护未成年人个人信息这一立法趋势下，为平衡信息业者获取未成年人信息的需要，信息大国普遍进行了制度性回应，倡导信息行业自律，鼓励信息业者通过技术创新和方法改进来降低自身合法运营的成本。(25)具有代表性的是美国《儿童网络隐私保护法》创设的“比例尺”(sliding scale)标准和“避风港”(safe harbor)规则。“比例尺”标准指家长同意标准的严格程度根据信息使用的目的而有所调整，对于商业交易其标准较为严格，而对于仅做内部使用的信息收集和处理，则可以采取较为宽松的方式获取家长同意。参见美国《儿童网络隐私保护实施规则》(Children’s Online Privacy Protection Rule)立法背景，78 Fed. Reg. 3972, 3990.“避风港”规则授权网络运营商自行创设获取家长同意的机制或系统，由执法机关予以认可，以减少运营和监管成本。参见美国《儿童网络隐私保护实施规则》，16 C.F.R. §312.11(b).该做法考虑了信息行业的发展需求以及科学技术改变信息行业运行方式的可能性，在立法中对信息业者做出让步性安排。但依赖行业自律的立法模式并不符合中国网络信息产业快速发展、信息行业自律能力有限的现状，过度的行业自由将造成个人信息保护执法的不统一，实质上降低了个人信息的保护标准。

中国立法所采用的行业引导规则不得降低或免除信息业者保护未成年人个人信息的法定义务，鼓励运营商采取科学、现代的手段依法收集、存储和使用未成年人个人信息，利用更经济、更节约社会资源的方式履行其尊重、保护未成年人个人信息的责任。收集、存储和使用未成年人个人信息的信息业者依法承担最为严格的责任，针对信息业者的引导性规则或行业自律安排不是其法定责任的例外或免除情形，而是在立法所明确的保护未成年人公共利益、维护未成年人隐私权益、促进未成年人信息行业发展的价值体系之下，在立法中预留制度创新的接口，引导信息业者自行约束对未成年人个人信息的收集、使用行为。对于违法获取未成年人个人信息的行为，应加大惩罚力度，提高违法成本。对未成年人信息依法收集、存储和使用应严格执法，确保信息业者内化获取和使用未成年人个人信息的成本，利用成本杠杆促使信息业者实现未成年人个人信息最小化原则，并通过限制获取次数和范围、避免不必要获取、定期删除等方式降低运行和合规成本。同时，调整监管者和信息业者的关系，以双向合作的模式鼓励和促进信息业者采取更经济、更科学的技术手段和经营模式，在满足保护未成年人个人信息法定义务的同时，最大限度地降低信息业者的合规成本以及监管机构的执法支出。在严格保护未成年人个人信息和隐私的前提下，从信息业者的实际需求出发，积极推广企业良好实践，增强行业自律，为未成年人创造安全、干净、有序的网络环境，实现未成年人保护、教育、发展以及产业进步、社会效率提高两方面的公共利益。