李瀚琰

0 引言

大数据时代的到来、共享经济模式的开创、移动支付方式的勃兴等催生出新的经济增长点，也带来了巨大的经济利益。在信息技术的冲击下，隐私威胁日益超越了传统个人信息保护机制的应对能力[1]，网络服务提供商应当在当事人充分知情的前提下经过其同意，才能收集和利用个人信息，这便是知情同意原则。知情同意原则是个人信息保护的基石，具有“帝王条款”的意义，恰如意思自治原则在民法中的地位[2]，并以个人信息自决为基础联结知情和同意两项积极权能[3]。儿童民事行为能力不足，对网络隐私条款的理解本不及成年群体，知情同意的责任主体、适用对象、个人信息的可识别性和敏感性等问题又存在相当的特殊性，信息自决受到限制。因此，父母代替子女行使知情权和同意权成为儿童个人信息保护的关键所在。1998年美国国会通过《儿童在线隐私权保护法》 (Children's Online Privacy Protection Act of 1998，COPPA)事关父母知情同意原则已有20 余年的实践经验。2016年4月14日欧盟议会通过的《通用数据保护条例》 (General Data Protection Regulation，GDPR)于2018年5月25日正式生效实施，其第8条“有关信息社会服务中儿童同意的适用条件”成为父母同意原则的主要依据。2019年10月1日，我国国家互联网信息办公室室务会议审议通过并公布实施了《儿童个人信息网络保护规定》(以下简称《保护规定》)，着力保护儿童个人信息，沿用的仍然是父母知情同意原则。由于该规定对后续即将颁布的《个人信息保护法》和《未成年人网络保护条例》会产生深远影响，本文将重新审视知情同意原则在儿童信息权利保护中的实现方式，以弥补当前立法的不足。

1 父母知情同意原则的理论前提

《民法典》第111条[4]和999条[5]规定，自然人的个人信息受法律保护，使用不合理的，应当依法承担民事责任。直观看来，立法不仅没有明确个人信息的法律内涵，也没有区分儿童与其他民事主体的差异，引发保护方式的学术深思。在当前已有的制度框架下，文章尊重意思自治的民事立法根源，进而具体探讨儿童个人信息自我决定的不足及父母替代决定的法律地位原理，以其为理论前提确立父母知情同意原则。

1.1 知情同意原则与个人信息自决

当今时代，个人信息的爆炸式增长引发了信息不对称，无论是公务机关还是非公务机关，在原本不成熟的信息市场当中都处在绝对优势地位。信息不对称的存在，导致了个人信息滥用和危害的发生，限制了信息主体保护其个人信息合法权益的能力[6]。以此正当性为基础，信息主体对数据控制者合法使用个人信息应当享有知情权，以减损不对称带来的负面影响。实践中，经济合作与发展组织(OECD)早在1980年《关于隐私保护与个人数据跨界流通的指导方针》中就确立了收集限制原则和使用限制原则的知情同意原则[6]；以欧盟1995年《关于个人信息处理保护及个人信息自由传输的指令(EC95/46)》为蓝本，德国《联邦数据保护法》 (Federal Data Protection Act)、法国《数据处理、数据文件及个人自由法》(Data Processing，Data Files and Individual Liberties)、瑞典《个人数据法》(Personal Data Act)等纷纷采用知情同意原则为依据。在GDPR第6条中，欧盟更是将知情同意作为“合法处理数据”的法定依据之一[7]。相反，美国《存储通讯法》(SCA)中的“无通知许可”“秘密搜查令”允许政府不通知用户直接秘密获取用户邮件内容，引发民众反弹；其《消费者隐私权利法案(草案)》(Consumer Privacy Bill of Rights of 2012)在奥巴马时代即被国会长期封杀，在特朗普时代更被束之高阁，无人问津[3]。

个人信息产生于自然人本身，体现着自然人的人格尊严、人格平等和人格自由。出于对基本人权的尊重，公民完全可以依照法律控制自己的个人信息并决定是否被收集和利用。从人本角度来说，个人数据是人的延伸，而人应当独立自主(治)，个人数据亦应当由数据主体掌控，体现个人的意志[8]。王成教授认为，没有自主控制，就无法衍生出撤回权、修改权、携带权、删除权等具体权能[9]。换言之，法律保护个人信息权，就要充分尊重个人对其信息的控制权[10]。在知情同意原则下，个人信息自决乃是知情与同意两项积极权能得以联系的关键所在。本文认为，在私法领域，个人信息自决是个人信息保护的法学基石；当然，其实施权能还应根据具体情况做进一步区分。

1.2 父母知情同意原则的制度原理

儿童在民事行为能力受限的前提下无法实现信息自决，其知情同意权能应当由父母行使。换言之，儿童个人信息的保护乃是根植于信息自决基础上的权利保护，并由父母替代决定的一种法律范式。

1.2.1 儿童个人信息自我决定的不足

荷兰学者Milda Macenaite在谈到儿童个人信息保护特殊性时认为，儿童在线隐私包含了名誉受损、个人数据的商业利用、个人档案和身份盗窃、网络骚扰和歧视等风险。由于儿童的成长是一个不断获得民事行为能力的过程，其信息主体意识的提高引发自我决定和儿童最大利益之间的冲突， 从而产生“ 赋权与保护”(Empowerment versus protection)[11]的现实困境，即儿童数据主体地位要求被赋予数据透明权、可携带权、被遗忘权等知情同意原则项下的具体权能，而禁止数字画像、设计和默认的数据保护(机制)等传统措施在大数据背景下显得保护力度不足——尽管儿童表面上比父母更加精通网络，实际上他们并不能很好地了解网络运营商隐私条款的具体内容。此外，儿童成长环境的不同和信息风险的差异与统一划分保护年龄标准还引发了“个性化与平均年龄”(Individualized versus average child)的冲突，设定统一的信息保护年龄上限，难免限制不同成熟程度儿童参与网络服务的自我决定权，有损于儿童的数据自主权利[11]。表现理论认为，个人参与社会生活的实质就是通过个人信息的适用和公开，并以此参与社会交往的行为，不断完善自己的社会形象、实现人格发展目的[12]。在“数字生活”日臻成型趋势下，隐私保护与父母监管造成进退两难境地——过于尊重儿童信息自主权利，势必放松管教和监护；管教、监护不力，又可能造成严重的不良后果[13]，儿童自我决策与父母责任的平衡仍应置于个案正义的考量之下。

以上种种迹象表明，儿童个人信息是一种动态保护过程，而非静态的一致性标准，这不仅增加了儿童个人信息自决的难度，也加剧了儿童作为“成人干预的受益者”和“自我决策的代理人”之间的矛盾[14]，进一步影响了儿童自我决定的数据主体地位。因此，在利益平衡和风险规制的个人信息动态治理模式下，学者提出基于不同风险等级的差异化父母同意和以一定年龄界限为基础的个性化评估，以解决现有困境[14]。

1.2.2 父母替代决定法律地位的确立

以“父母替代决定”代替儿童信息自决是制度权衡的结果。现代民法理论认为，监护与父母责任并非同一概念，在保护未成年子女合法权益和两性平权原则的指导下，民法应当分别设立亲权(父母责任)和监护制度[15]。《民法总则》统一采取监护法律术语的做法遭到了大多数学者的反对——将《民法通则》简单移植不仅在立法技术上显得落后，甚至使《民法典》这样具有划时代意义的法典编纂难免成为一种法律汇编。夏吟兰教授认为，在《民法典》婚姻家庭编立法中应当坚持儿童最大利益原则，分别单列父母子女关系章及监护章，明确规定“父母责任”[16]。在此背景下，协助决定与替代的区分成为父母代替行使儿童个人信息自决的正当性基础。近年来，保障成年心智残疾人基本人权观念逐步被唤醒，完全监护这种宣告自然人“民事死亡”的制度逐渐被学术观点所摒弃，随之是协助决定对替代决定范式法律地位的取代。两者最主要的差别在于对被监护人民事能力的承认和监护人在监护制度中的功能。前者将被监护人置于决定的中心地位，完全尊重被监护人的意愿，监护人只发挥辅助决定的作用，在一定情况下起到风险提示的功能。李霞教授认为，对完全监护的反对仅仅针对成年人，而不是针对儿童，反对成年监护混用未成年监护的法律家父主义，如监护人对儿童行使的财产管理权、惩戒权、住所指定权和教育权等[17]，“协助—替代决定”监护范式下的协助决定只发生于成年监护领域，替代决定仍然是未成年人监护的主要范式。

因此，在儿童个人信息动态保护过程中，其意思表示的主体地位被父母所替代，由个人信息自我决定转向父母替代决定以贯彻知情同意原则获得理论正当性——协助决定侧重于意思自治原则，替代决定则以儿童最大利益为原则，足以见得儿童在父母责任履行过程中的被动地位，是被父母照顾和保护的对象。父母责任与监护的差异化处理以及替代决定的法律地位是父母保护儿童个人信息、实现知情同意原则的制度前提，正面回答了父母在儿童个人信息自决上所承载的职责和义务，有效缓解了儿童信息自决的价值冲突，易于实现个案利益的平衡。

2 域外父母知情同意原则的经验解读

美国惯常以隐私权的方式来保护人格，通过“信息隐私”的概念将个人信息纳入到隐私保护之下[18]，主要以“可验证的父母同意”和处罚机制作为一种被动实现路径。在欧盟，GDPR中的父母同意主要以第8条为依据，该条不仅规定了与规则相适应的年龄限制，即可适用的主体，还规定了在Recital 38项下取得儿童个人信息的特别条款。

2.1 美国COPPA中的父母知情同意原则

2.1.1 父母知情同意原则的创制背景

美国是个人信息保护知情同意原则的积极拥护者。1998年，美国联邦贸易委员会(Federal Trade Commission，FTC)对1，400个主流网站进行调查，发现85%的网站存在收集个人隐私的行为，在以儿童为主要收益对象的网站中，仅有少部分网站主动提供充足的隐私政策[19]。以此为基础，同年10月21日国会正式通过COPPA，其核心内容是以责成商业网站或在线服务运营者遵行在线向儿童收集个人信息时取得父母同意的正当程序，以保护12 岁以下儿童的在线隐私权益[20]。在知情同意原则要求下，COPPA 通过——通知、父母同意、父母审查、保密和游戏奖品的限制使用——五种方式来保护儿童网上隐私，同时还规定了“一次性直接响应儿童的具体请求”和“非用于重复联系儿童”等无需父母同意的例外情形。2012年12月，为了回应信息技术的快速发展，明确规则的适用范围以及加强对儿童个人信息的保护，FTC对COPPA进行了较大规模的修改，如将儿童年龄从12岁提升到13岁[21]、重新定义相关概念、加强对儿童信息安全的保护、完善“安全港”制度、采用现代识别技术以及缓解隐私权冲突等具体措施[19]。

2.1.2 可验证的父母同意

COPPA中知情同意原则主要依靠“可验证的父母同意”[21]来实现儿童信息权利保护。“可验证的父母同意”是指在考虑到现行技术的前提下，任何儿童个人信息收集、使用、披露和后续使用都应当由操作主体尽到向孩子父母的通知义务，以征得父母的同意。总体看来，征得父母同意分为五步：(1)充分通知；(2)直接通知父母；(3)取得可验证的父母同意；(4)建立和维护合理程序；(5)提供合理的审阅方式[22]。此程序下，FTC制定了一整套浮动机制来应对各种情形，针对数据控制者的不同行为采取不同的验证手段，包括：(1)提供一份可以由家长打印、填写、签名并邮寄、传真或扫描发回电子邮件的表格；(2)要求父母使用信用卡或者相类似的与货币交易相关的支付方式；(3)父母长期持有一个免费电话，由专员就同意事项与父母保持联系；(4)允许父母通过视频会议的方式与专员保持联系，或者验证有政府签发的父母身份证明，但是验证之后网站随即应当删除[23]。对仅用于内部使用的信息，可以仅通过电子邮件的方式进行验证；如果收集到的信息会被公开泄露给其他人，那么就需要更严格的同意方法，如书面许可表格、父母的电话以及带有数字签名的电子邮件等[24]。为了帮助行业遵守该法案，联邦贸易委员会在其网站[25]上设立了一个专门的“儿童隐私”章节，为网站运营者组织关于COPPA合规问题的公开培训，以符合父母同意的标准要求。同时，基于修正案的相关规定，COPPA很有远见地预料到了父母同意的例外情况，包括：(1)儿童信息提供是一次性的，且儿童反馈年龄后随即删除；(2)收集儿童信息的目的在于提供实时讯息，但父母在必要时有权选择择出；(3)为儿童提供参与网络服务保护的必要措施；(4)为了保护服务的安全/完整性，有必要时回应司法请求或其他公共机构的调查[24]。然而，例外情形在实践中却产生一些问题，大多数网络运营商都企图通过这些例外情况来逃避父母同意的要求，甚至纵容用户填报虚假的年龄。为此，FTC公布了一些技术手段来获取父母的同意，以便为行业提供一套明确的选择，并批准使用技术认证方法来核实同意儿童使用网上服务的人实际上是儿童的父母[26]。

然而，父母知情同意原则在美国面临两个宪法上的难题。一方面，为取得可验证的父母同意，网络运营商收集大量的儿童个人信息，而这些信息中常常包含父母姓名、年龄、工作等相关内容，因而始终受到隐私权保护的挑战。另一方面，FTC制定年龄限制的初衷是为了中立地获取用户年龄，而COPPA要求运行商在提供网络服务时通过填写用户的年龄以及出生日期来判定是否需要父母的同意。这就造成了一些相反的影响，很多网络运营商不再向低于13岁的儿童提供网络服务，甚至简单设置cookie防止用户再次提交错误信息。这种行为严重影响了儿童在社会媒体平台上的言论自由[19]，从而受到宪法审查。为此，COPPA将规制的重点从网络内容转向网络运营商的信息收集行为，这种转向回避了与言论自由价值的冲突，也与保护个体隐私权利的基本价值相符[22]。

2.1.3 违反知情同意原则的处罚机制

对数据控制者未尽充分通知以获得可验证父母同意，诱使儿童披露超出必要范围个人信息的情况，COPPA建立了严格的处罚机制。由FTC负责起诉，对于违反COPPA的行为，法院可以追究运营商的法律责任，并处以每次最高达41，484美元的民事罚款[22]。例如，2015年香港伟易达(VTech)公司因应用程序本身的缺陷造成黑客入侵，导致640万名儿童和490万名成人的个人信息资料外泄，是迄今为止最大规模的一起儿童数据被盗案。根据COPPA之相关规定，伟易达被FTC指控其收集信息时未遵守通知义务和同意要求：(1)未能在其网站或在线服务上履行有关儿童个人信息的通知义务，违反了COPPA规则312.4(d)条；(2)未履行直接通知家长有关儿童的信息做法，违反规则第312.4(b)和(c)条；(3)在收集或使用儿童的个人信息之前未取得可验证的儿童父母同意，违反了规则第312.5条[27]。2018年1月，伟易达宣布就网络攻击事件与美国联邦贸易委员会达成和解，除650，000美元的民事罚款外，拟议的和解方案还包括确保(采取)COPPA未来合规的程序，即一项全面的数据安全计划，在未来20年内将接受每两年一次的独立审核[28]。

2.2 欧盟GDPR中的父母同意原则

由于隐私问题在互联网时代的重要演变，欧盟国家将个人信息保护置于隐私立法的核心地位，并由此形成了与美国行业自律为代表相异的欧盟积极立法主义。欧盟立法也始终是知情同意原则的支持者与贯彻者，尽管不断进行讨论与反思，该原则在GDPR反而有加强的趋势。其内容主要从儿童年龄上限、面向儿童的信息社会服务以及父母同意的实现方式三个角度构建。

2.2.1 儿童年龄上限

欧盟有关儿童年龄上限的定义是一个比较复杂的问题。COPPA明确将在线隐私保护的儿童年龄设定在13岁以内，受其影响，欧盟在制定GDPR草案中一度经历了从13岁到16岁的酝酿过程。在草案公布后，欧盟委员会将起初的13岁意外提升至16岁，这一做法遭到部分成员国反对，他们认为该年龄标准对于儿童个人信息而言存在过度保护，并决定降低年龄门槛至13、14或者15岁。为了解决年龄的一致性问题，欧盟通过并发布了《GDPR 国家实施法案(草案)》和设立国家数据保护机构(DPAs)，以提供咨询或指导[29]。归纳看来，欧盟成员国对儿童定义的方式主要分为三种：明确的年龄标准、以行为能力为依据的年龄标准和根据具体案例的适用标准。第一种以西班牙《个人数据保护法》(Spanish Personal Data Protection Law)和荷兰数据保护局出版的《网络个人数据(指南)》[Publication of Personal Data on the Internet(guidelines)]所确立的14岁与16岁为依据。第二种以立陶宛《民法》的规定为参照，立陶宛以14岁作为无民事行为能力和部分民事行为能力的划分界限，其儿童年龄也参照此标准。第三种界限较为模糊，通过具体案例来确定儿童的年龄，以比利时私法委员会2002年第38号关于《未成年人网络私人生活保护的建议》(Concerning the Protection of the Private Life of Minors on the Internet，2002)为例，尽管成年年龄在18岁，但是在网络信息保护案件中受保护儿童的年龄上线限制在13或者14岁，较为复杂的案件上限为15岁，涉及敏感信息时为16岁。有鉴于此，GDPR通过其第8 条灵活制定了年龄的相关规定并形成折衷路径：一方面，在第6条第1款(a)项规定，适用于直接向儿童提供信息社会服务的情况，对年满16岁的儿童的个人数据的处理应是合法的。儿童未满16 岁时，处理只有在征得父母同意情形下，或父母授权儿童同意的范围内合法[30]；另一方面，允许成员国可为此目的通过法律规定较低的年龄，但此种较低年龄不得低于13岁[30]，因而该年龄也被认定为儿童个人信息保护的“数字年龄”[23]。

2.2.2 面向儿童的信息社会服务

在明确适龄儿童作为保护对象之后，GDPR采用“信息社会服务”(Information Society Services)术语规范明确个人信息的网络服务范围。为了专门解决第8条项下儿童信息社会服务的具体内容，GDPR借用欧盟2015/1535指令中的相关概念，将针对儿童个人信息的服务定义为“应个别服务对象要求提供的电子远程有偿服务”。随后在Bond van Adverteerders v the Netherlands state①一案中，欧洲法院将有偿服务从网络服务定义中取消，原因在于很多免费的网络服务盈利可能来自于第三方平台(广告商)。由此可见，面向儿童的信息社会服务是一个不断发展的概念，唯一明确的依据就是个人信息的处理必须以当事人的同意为前提要件。更为复杂的情形是如何确定直接针对儿童的网络服务范围，以明确需要父母同意的前提。目前看来，鲜有某类网站或者APPs的受众范围仅为不满16岁的儿童，为此GDPR选择借鉴COPPA的立法经验来判定是否直接针对儿童。这些判断标准包括：服务的主题、视觉、动画角色的使用或产业之间的活动和奖励、音乐或其他音频内容、示范人物的年龄、使用的语言或网站/在线服务的其他特征、儿童专属明星等在线服务的特点[31]。这一标准也充分反应在美国的相关案例中。2019年2月27日，FTC 在一份声明中表示，抖音海外版(TikTok)在未征得父母同意之前非法收集了13岁以下儿童的姓名、电子邮件地址和其他信息，故处以570万美元罚款。目前，TikTok已同意支付570万美元的罚金，以解决联邦贸易委员会关于该公司非法收集儿童信息的指控[32]。尽管TikTok用户集群并非仅限于13岁以下儿童，但是该案明显贯彻了一个原则，即受到父母知情同意的网络服务必须无差别地考虑访问者的年龄，并受到COPPA的审查。受到审查的还有一些儿童主题的APPs，如著名的网络游戏“愤怒的小鸟”APP 采用动画的主题和声音意图吸引儿童的注意，但该款APP仍包含了大量的成人用户。这种泛用户的情况无一例外地受到COPPA的约束和监管。因此，有学者主张个人信息保护领域的场景与风险导向的新构架具有深刻的应用意义[1]。

2.2.3 父母同意的实现方式

数据主体的同意是《欧盟基本权利宪章》(Charter of Fundamental Rights of the European Union)和《数据保护指令》(Data Protection Direction Directive，DPD)在个人数据信息保护中基本的立法条款。DPD第29条中工作委员会仔细定义了“同意”的四个内涵，并对GDPR中Recital 32做了反向说明，即“默示、将勾选框空置或不做出反应行动，都不能构成为同意”[33]。其内涵包括：(1)数据主体的意愿指示。在GDPR 看来，同意应当以明示的要式行为提出，该行为方式不局限于书面声明、数据电文或者口头声明等。(2)同意的表达应当是自由的。GDPR在Recital 42中明确，如果同意是在不自由的情形下做出，或者不能自由地撤回同意，那么该同意就不能发生预期的效力。(3)透明度要求。GDPR在Recital 39中提到了透明度原则，即信息主体必须在公平和透明的环境下处分个人信息，其信息应当是可得的和易于理解的。一旦存在威胁个人信息安全的风险，则信息主体应当得到特别提示。该条文特别提及有关父母对儿童信息的同意，其目的在于让父母能够清楚知道儿童哪些信息被收集，使用目的是什么。(4)同意应当是明确的。GDPR中的同意应当是无歧义和明确的，这不仅是合法处理个人数据的前提，也是数据得以跨境传输的前提。Kosta教授认为，明确无歧义的同意并没有附加给同意行为更多的义务，相反，含糊地给予同意，即表示数据当事人对处理其个人数据的意愿不明确，并不符合有效同意的条件[34]。因为某些情况下同意的范围难以周延，GDPR在Recital 32中明确指出，为同一目的而进行的多个操作可以在一个同意下进行。

3 父母知情同意原则在我国的应用与出路

中国互联网络信息中心第44次《中国互联网络发展状况统计报告》显示，截至2019年6月我国19岁以下青少年网民已经占到全国比例的20.9%，达到1.78亿。其中，7岁(学龄前)触网比例达到27.9%，小学生群体有自己手机的占比达到了64.2%，初中生为71.3%，高中生为86.9%[14]。但是，这一庞大群体的个人信息保护状况并不乐观。2019年10月，福州外语外贸学院一女大学生小璐遭前男友郑磊发裸照威胁之后，吞下200多片晕车药轻生，抢救无效于11月18日晚离世[35]。相比之下，未成年人隐私权利在网络平台的保护上显得更加羸弱。2018年8月，网络直播平台快手用户发布“父亲猥亵小女孩视频”，其拍摄者正是孩子的母亲。更早之前，美拍被指有小学生直播露体，甚至频繁出现性暗示动作[36]。这些社会现象的出现不仅会对未成年人产生永久的心理创伤，更是对我国儿童个人信息保护提出严峻挑战。重新审视父母知情同意原则，是完善制度体系的必由之路。

3.1 我国父母知情同意原则的立法框架梳理

3.1.1 国家法中的相关规范

新时代法律应当彰显对人格尊严、个人隐私的保护[37]，《中华人民共和国民法总则》以基本民事立法的态度在第5章“民事权利”第111条确立了“个人信息”的概念，充分体现了总则的时代性特征。《民法典》人格权编草案二审稿明确提出“加强未成年人个人信息保护”的立法指导思想，要求“收集使用未成年人等无民事行为能力人或者限制民事行为能力人的个人信息的，增加规定应当征得其监护人同意”[38]。《中华人民共和国网络安全法》则以行政立法的态度注意到未成年人网络安全的重要性，其第13条[39]规定，国家依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。《中华人民共和国未成年人保护法》第11条[40]明确父母在预防和制止未成年人沉迷网络中应当承担的教育和影响责任。

3.1.2 公共政策中的相关规范

严格意义上来说，因制定主体立法资格问题②，公共政策中有关父母知情同意原则的专门规定并不能称之为法律，相关细则见诸于《保护规定》和《信息安全技术 个人信息安全规范》中。首先，《保护规定》第5条对监护人职责做出原则性要求——正确履行监护职责，教育引导儿童增强个人信息保护意识和能力，保护儿童个人信息安全；其第7条更是明确了知情同意的原则性地位。同时，《保护规定》还通过第9条监护人概括同意条款，第10、14条监护人同意的内容及范围条款，以及第20条监护人以撤回同意为基础行使“被遗忘权”条款，较为系统地建立了知情同意原则的主要运行方式。其次，《信息安全技术 个人信息安全规范》第5.5条(C)款确定了未成年人个人信息保护的主体范围(未满14周岁)，并将收集未成年人信息与敏感信息同章节表述，显示了未成年人个人信息的高度敏感性，引发对未成年人个人信息保护的重视。最后，未出台的《未成年人网络保护条例(送审稿)》第16、31条明确建立了网络收集、使用未成年人个人信息时的监护人同意条款。

3.1.3 我国父母知情同意原则立法的审视

总体看来，我国父母知情同意原则立法层级普遍偏低，制度设计不够合理，儿童年龄定义、知情同意范围和具体实施方式仍待完善。

首先，儿童年龄定义仍有讨论余地。我国《保护规定》第2条将儿童定义为不满14周岁的未成年人[41]。从立法目的看来，儿童与未成年人并非同一概念，实务中多以14周岁作为区分儿童与青少年的分界点。立法现状从侧面深刻反映出长期以来公法与私法相混同的思维模式，虽然公法在保障网络安全、打击犯罪和维护社会公共利益等方面具有重要意义，但是在个人信息民法定位模糊的情况下，刑法、行政法等公法规范对个人信息的保护势必成为无源之水、无本之木[9]。儿童年龄定义直接影响到受保护的主体范围，可以说，过高的儿童年龄上限，不仅会对一定年龄儿童产生过度保护嫌疑，进而有损适龄儿童的隐私权利，同时也会造成14～18周岁年龄段儿童保护的空档。

其次，知情同意原则的范围模糊。依可识别性作为个人信息定性的学界通说，立法没有区分对待儿童和成人之间的信息识别差异，致使无法在同一网络服务内增加对儿童的特殊保护。同时，在个人信息敏感性的划分标准下，立法也没有依据民事行为能力的不同差异化对待敏感性问题，从而无法确定父母知情同意原则的概括范围。目前看来，由于缺乏系统专门的立法，儿童个人信息的识别性与具体外延难免不沿用已有的《中华人民共和国网络安全法》和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的相关规定，与成年人个人信息产生混同。尽管《保护规定》立足于知情同意原则的基础地位，对于父母具备哪些具体权能、哪些网络服务属于父母同意的范围却只字不提，缺乏可操作性。

最后，父母知情同意原则实施面临困境。“知情同意”的传统弊端同样反映在父母替代决定范式上：用户常常越过繁冗复杂的隐私声明直接点击同意、为了使用互联网产品和服务除了同意别无选择、对于向第三者提供的个人信息难以控制、庞大的个人数据处理规模和无法预知的数据再次利用对同意原则提出了严峻挑战[42]等。以数字图书馆——超星移动图书馆——儿童读者个人信息保护为例，超星移动终端为用户提供了资源搜索、自助借阅管理等一站式个人化服务，意味着除了年龄段、专业、性别等相对静态的个人信息外，借阅兴趣、数量、使用图书馆服务的类别和频率等动态轨迹[43]等都能被直接获取，即便父母阅读隐私政策、声明与协议，事实上也不能对冗长且充满法律行话的文件做出正确理解[44]。

3.2 我国父母知情同意原则的制度建设

3.2.1 坚持民事立法为主的多元保护路径

民法是保护人之主体地位的重要手段和基础规范，个人数据(信息)可以成为民事权利的客体，并应当通过私权制度对其加以规范和保护[45]。父母知情同意原则乃是意思自治和儿童最大利益原则在民法上的集中体现。在此基础上，以COPPA和GDPR作为参考提升立法层级，确立民法保护的基本路径：一方面，将父母知情同意原则归纳入《民法典》的人格权编第六章“隐私权和个人信息保护”、婚姻家庭编第三章“家庭关系”中的父母子女关系节。原则项下，父母同意权能实现以明示、透明为标准，即不论何种形式，都应当在公平和透明的环境下做出明示的、自由的、明确的同意。原则衍生出的数据透明权、可携带权、被遗忘权、投诉举报权、更正权等由父母根据数据控制者提供的网络服务内容和行为决定实施。另一方面，在动态利益平衡和风险规制的现实背景下，不能忽视保护规则在民事和行政、法学与情报学衔接问题。除民法相关规定外，在《中华人民共和国网络安全法》和《中华人民共和国未成年人保护法》已有的原则和规定基础上，增加和细化父母知情同意原则的特殊规定及具体实施策略，敦促《未成年人网络保护条例(送审稿)》尽快出台，加快《个人信息保护法》的立法进程，鼓励、保证网络信息的丰富和健康，着重强调父母知情同意原则的基础地位和实施方法，从而积极引导儿童正确、合理地使用网络，促进儿童个人信息能够合法、有效地流通和运用。

3.2.2 合理定位儿童数字年龄

结合“个性化与平均年龄”困境以及美国、欧盟立法实践，儿童数字年龄的定义是一个静态与动态相结合的过程，分别以美国13岁精准年龄和欧盟13岁底线年龄为代表。借鉴GDPR立法局面，在《中华人民共和国民法总则》民事行为能力划分的指引下，考虑到我国将12～18岁年龄段的未成年人称为“少年”以及小学毕业年龄，建议以12岁作为标准界限，对不同年龄阶段的儿童进行个性化评估。12岁以下儿童个人信息全部符合敏感性标准，均需执行严格的父母同意：一旦网络服务涉及儿童姓名、身份证件号码、个人生物识别信息、银行账号、通信记录、出生日期和年龄、性别、父母的全名、用户名和密码、实际地址等包含应用程序内置儿童主题、试听内容、以儿童为宣传形象人物的广告都应当以父母同意为处理依据。借鉴COPPA之同意例外规定和我国SAC/TC260 敏感信息处理标准，对13 岁以上儿童依据风险等级实行差异化标准：非交互式或不共享儿童个人数据的商业服务具有匿名化轻度风险(nuanced risk-based)，其信息处理无需征得父母同意；以内部使用(internal purpose)为目的的服务具有中度风险，可以向父母发送电子邮件，收到父母回复后采取额外的确认步骤；向第三方披露儿童个人数据、使用行为的广告具有最高风险(highest risk)，必须采用严格的父母同意，要求父母通过手机验证等方式填写并返回相关身份证明文件[11]。

3.2.3 明确面向儿童的网络服务内容

目前我国专门面向儿童的网络服务种类繁多且极具吸引力，非单纯指向儿童的视频、社交、新闻、消费软件也包含了大量的儿童用户。明确面向儿童的网络服务的具体范围，是父母知情权和同意权行使的依据，以可识别性和敏感性作为标准，形成区别对待儿童与成人个人信息保护的策略。一方面，儿童最为典型的识别方法就是年龄，此举可以通过自我验证机制实现。以超星数字图书馆为例，儿童用户在注册、使用数字图书APP资源时，数据控制者应当主动限定注册人的年龄标准，并通过实名手机注册的方式通知到父母；数据处理者更新隐私声明、改变服务内容等仍需要取得可验证的父母同意。另一方面，根据网络服务内容特征确定信息敏感性，如果网络服务中包含专门针对儿童的应用主题、视觉颜色、动画角色、活动和奖励、儿童专用语言和专属明星等内容，都应以父母同意为使用前提。同样，在超星图书馆“应用分级”中，将年龄划分为3/7/12/16/18四个等级，其中年满12岁可能包括少量的轻微暴力、少量含蓄的不良用语等情形，儿童仅可根据父母同意，使用已设置的当前等级及低于当前等级的学术资源、报纸、公开课、视频和有声读物内容。

3.2.4 父母知情同意原则实施中的技术要求

我国要求所有数据处理者都应当通过手机号码注册登录网页或者APPs，而境内手机用户号码均已完全实现实名制。换句话说，所有享受网络服务的个人都以实名制的方式实现数据处理，这为父母知情同意原则的实现提供了技术前提。

首先，针对不同的儿童个人信息采用黑白名单。对比COPPA与GDPR的立法不难发现，美国采取的行业自律模式注重个人信息保护的事后规制，通过排除的方式说明数据控制者的种类；而GDPR采取的则是统一的事前规制模式，事先设置父母知情同意的标准要件。相应地，父母可以通过设置黑名单与白名单的方式分别采用排除法和列举法筛选网络服务商。例如，在数字图书馆使用过程中，在其网络服务程序上使用过滤器，以黑白名单的方式排除含有成年内容的网站，筛选符合儿童阅读要求的文献。

其次，在APPs内部采用“未成年人保护工具”等技术手段。技术手段是美国COPPA的一大特色，在伟易达案当中，FTC就指控其未能按照COPPA规则第312.8条的要求，建立和保持合理的数据安全措施以保护收集到的信息，以发现众所周知且可合理预见的诸如SQL注入等漏洞[46]。我国部分iOS和Android平台的APPs已经开始探索儿童模式并作为经验推广。例如，抖音未成年人保护工具分为时间锁、儿童/青少年模式、亲子平台三种。其中，儿童/青少年模式提供视频筛选服务，精选教育、知识类内容，无法进行充值、打赏，且每日22时至次日早6时无法使用抖音。最重要的是，该模式可以由父母预先设置独立密码，由父母的手机号进行验证。

最后，借助于人脸识别AI技术，在线验证父母同意已经不再是难以实现的目标。2015年11月，美国一家商业软件开发公司Riyo获得了FTC对一种新的可验证的父母同意方法的批准，该方法被称为“人脸照片匹配验证识别”[19]。GDPR第4条第14款中将面部形象明确包含在生物识别数据下，要求欧盟成员国严格遵循GDPR使用人脸识别技术[47]。在互联网技术领先的中国，iPhone、小米、华为等厂家早已实现面部识别技术，通过验证父母面部特征来实现父母同意已经完全具备现实基础。

3.2.5 设置违反父母知情同意原则的处罚机制

处罚机制不仅是COPPA 的特色，而且GDPR 规定对违反其规定的企业会处以高可达2，000万欧元或者其全球营业额4%(以高者为准)的罚金。如果数据控制者缺乏明确的儿童个人信息保护具体方法，违反GDPR 要求的“父母同意”，可能招致高达全球年营业额2%或1亿欧元的行政罚款。反观《保护规定》，仅在第26条[41]规定了数据控制者的行政和刑事责任，忽视违反父母知情同意原则的主体责任。长期以来，我国儿童个人信息保护程度完全依赖行业上的道德自律。由于儿童个人信息往往涉及父母年龄、职业、住址和联系方式等敏感信息，在经济发展为导向的驱使下，互联网行业为了巨大的灰色红利，会选择性忽视用户主体年龄，越过父母知情同意原则直接向儿童提供网络服务。这种以牺牲

个人信息权利为代价的发展途径，无异于环境污染企业先发展后治理的传统思路。因此，面临国内各种儿童个人信息保护乱象，结合域外立法经验，建议在特殊规定中形成双向处罚机制，以保障该原则的实施。即一方面加强互联网行业数据控制者的通知义务，要求其在收集或使用儿童的个人信息之前履行有关通知/变更通知义务、直接通知父母并取得可验证的父母同意，未尽通知义务的，按照营业额比例处以罚金，造成严重后果的对法人、非法人组织及其代表人处以行政或刑事处罚；另一方面，对于父母怠于履行同意职责的，可以由人民法院施以一定的民事制裁，包括具结悔过、训诫、罚款等，以敦促父母履行其应尽义务。

注释

① Bond van 广告商诉荷兰一案（Case 352/85 Bond van Adverteerders v the Netherlands State[1988]、ECR 2085.）:起初“信息社会服务”在欧洲被定义为“任何通常为获取报酬的、远程的、以电子方式经服务接受者要求所提供的服务”，并严格将报酬解释为电视广告服务中用户直接支付的价款。事实上，一些看似免费的服务实际上是由广告商支付报酬的。为此，Bond van联合其他广告商，将秉持“非商业-多元化”信息服务的荷兰诉至欧洲法院，法院裁定报酬不仅可以来自服务接受者，也可以来自广告商；法院进一步裁定，即使在服务提供者是非营利组织的情况下，只要有能够获得回报的机会因素，也可以认定为“为获取报酬而提供的服务”。此案从侧面扩大解释了“信息社会服务”的概念和适用范围。

② 《儿童个人信息网络保护规定》和《信息安全技术个人信息安全规范》的发布主体分别是国家互联网信息办公室和全国信息安全标准化技术委员会（SAC/TC260），均不具有立法主体资格。