■ 蔡一博 吴 涛

(华东政法大学 法律学院，上海 201620；上海司法智库学会，上海 200031)

在科技发展与数据洪流面前，对未成年人(1)联合国《儿童权利公约》第1条规定：“本公约之目的，儿童系指18岁以下的任何人，除非对其适用之法律规定的成年年龄低于18岁。”我国《未成年人保护法》规定：“本法所称未成年人是指未满18周岁的公民。”鉴于年龄界定范围具有一致性，只是表述习惯不同，并且本文将专门对年龄界限进行阐述，因此本文所指“未成年人”与“儿童”同义。个人信息进行专门保护是数字经济时代的一项世界性议题[1]，更是承载了成年父母对未成年子女关爱的普遍愿望。有鉴于此，本文将立足于实证研究，从未成年人个人信息的特殊属性出发，围绕我国未成年人个人信息法律保护的实践困境展开讨论，补强理论基础，并结合《中华人民共和国未成年人保护法》(以下简称《未成年人保护法》)最新立法精神，通过明确《中华人民共和国民法典》(以下简称《民法典》)第1035条“监护人同意”对未成年人个人信息保护的适用方式，有针对性地强化未成年人个人信息保护的制度建设。

一、问题提出

我国在未成年人个人信息保护的理论基础、制度实践方面没有脱离以欧美为代表的国际通行做法[2]，但制度建设刚刚起步，规则设计过于笼统，体系性和可操作性并不理想。目前，我国关于未成年人个人信息保护采取的是分散立法模式，存在法律规范碎片化、尚未体系化建构等问题。从微观上看，现行立法主要从隐私的角度在特定法律领域对未成年人进行专门保护。例如，刑事司法领域的多部规范对司法活动中未成年人个人资料、案卷材料等信息载体的保护做出了严格规定。请求权基础涉及多部法律，相互之间可能存在竞合关系，且专门领域的法律规范较多，缺乏统合性立法，正是这些原因造成了准确适用法律的困难。《民法典》《未成年人保护法》《儿童个人信息网络保护规定》均对监护人同意和告知说明义务进行了规定，但未明确取得监护人同意的可验证方式，为实践中确定监护人知情同意的标准及行为效力带来了困境，而这一问题关乎未成年人个人信息保护的力度与效果。因此，细化知情同意机制的法律适用，避免其在法律上和技术上欠缺实操性是有效保护未成年人合法权益的关键。当前，我国在未成年人个人信息保护方面主要存在以下问题。

第一，身份识别机制缺乏实效性。为了识别未成年人，实践中产生了额外的信息收集需要，但滥用身份识别规定可能造成未成年人个人信息的过度收集。如何妥善有效地识别未成年用户的真实年龄成为实践中的关键问题。目前，国家层面的规范逐步要求信息业者识别用户身份，各类涉网机构的规范性文件也陆续要求运营商采取用户画像、生物识别等新技术落实账户实名制，但各个行业规范标准、尺度要求不同。自2007年游戏行业协会确立“网络游戏防沉迷”机制，要求网游运营商验证用户年龄信息，通过防沉迷系统识别并限制未成年人用户后，游戏、金融等特定领域也相继确立了严格的未成年人实名认证和识别标准，但是社交媒体、交友平台、活动平台、资讯和学习平台等领域的标准则相对宽松。受商业利益的驱动，一般情况下由于缺乏主动识别未成年人的制度性激励，即使隐私政策等文件规定了未成年人保护的内容，但网络运营者往往被动依赖于用户主动提供的注册信息来识别其年龄，后续使用过程中也不会采取其他手段来验证用户的真实年龄，使得针对未成年人的身份识别机制形同虚设。

第二，同意的效力界定不清。未成年人个人信息保护的规范性条款、政策性规定散落在民事立法、行政法规、部门规章及行业规定之中，制度设计交叉重叠，内容过于原则且缺乏具体的操作规范，特别是知情同意的界定等需要予以完善。目前对于人格权的理解已经从被动的“事后救济”发展到主动的“自主决定”，但缺乏保障未成年人及其监护人有效实现其权益的具体规范。此外，目前我国欠缺司法的重要案例，监护人同意规则的应用方式不明确，相关司法判例仍然停留在隐私权的司法保护范式。

第三，缺乏统一的技术标准。国家标准GB/T35273-2020《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)对未成年人个人信息的收集做出了技术性标准的限定，为网络运营者制定隐私政策及完善内控提供了指引。但是该规范并无强制效力，而且对于不同行业背景下的商业行为没有进行具体区分，实际应用效果欠佳。

二、未成年人个人信息保护的法益分析

未成年人个人信息保护遵从个人信息保护的一般性原理，将权利人同意作为信息处理的正当性基础之一。同意可能构成契约关系以及交易行为的给付内容(积极控制)，并在一定程度内实现对民事不法性的排除(消极控制)。解决未成年人个人信息保护难的症结，应先就保护的客体属性进行认知识别，再针对特殊客体适用特别保护规范，明确相关主体的特殊保护义务。同时在规则设计时，应根据网络时代下的利益衡量原理，就信息共享制度进行体系性思考。

(一)监护人同意制度的源头与正当性基础

未成年人个人信息同时承载着子女本身利益和父母利益，监护人制度与亲权制度下的同意机制既有联系又有区别。现实生活中，未成年人受制于认知能力和自我保护意识，面对具有多发性、隐蔽性、因果关系模糊性等特征的信息侵权行为，势必需要监护人或父母的代位保护和帮助。一方面，监护人基于监护关系，对未成年人个人信息具有知情权，并在对外行为方面具有代理权。监护人的知情权和代理权在目的和行使方式上存在一定限制，服务于未成年人权益保护，通过弥补未成年人认知能力、行为能力等方面的缺陷，为其做出更符合自身利益的选择和创造更有利的成长环境[3]。另一方面，对父母而言，子女的个人信息在泄露后可能导致子女处于危险状态的结果，使其陷入不安和痛苦。父母基于血缘关系对子女享有抚养权利，即享有作为身份权的亲权[4]。亲权制度更多体现的是伦理秩序，即使国家对父母的这项人权和基本权利进行干预，也必须适用“比例原则”，避免对亲子关系造成损害(2)Gnahoré v . France and Johansen v . Norway, Reports of Judgments and Decisions 1996-III,p.1008.。“亲权”作为“亲属权”的关键内容，“权”存在的基础为“亲”的身份，其含义经历了从“权力”到“权利”再到“义务性的权利”的历史变迁。而监护作为一项“监督、照护”的义务，不与身份紧密连接，以责任内容进行限定，内容逊色于亲权[5]。未成年人个人信息保护不仅关涉未成年人的切身利益，也关乎父母的亲权利益。

监护人同意制度具备坚实的法律理论和规范基础。《民法典》第1035条规定，处理未成年人个人信息，应当遵循合法、正当、必要原则，不得过度处理，并应征得其监护人同意。该款条文有三个重要的理论基础。(1)《民法典》确立了未成年人最大利益原则。未成年人个人信息保护面临着复杂的社会环境，为了在实践中更好地贯彻最大利益的保护要求，需要完善监护人同意制度的具体规则。(2)未成年人的理性瑕疵问题较为明显，年龄限制了其认知和行为能力，故法律保护未成年人的主要方式就是限制其自主性，由监护人或家长替代未成年人做出控制行为[6]。(3)实现个人信息自决的核心是实现知情和同意两项积极权能。未成年人民事行为能力不足，对网络隐私条款的理解不及成年群体，知情同意的责任主体、适用对象、个人信息的可识别性和敏感性等问题又具有相当的特殊性。因此，父母替代子女行使知情和同意权成为未成年人个人信息保护的关键所在。未成年人个人信息保护是根植于信息自决基础上的权利保护，并是由父母替代决定行使知情和同意权能的一种法律范式。

(二)法益保护的年龄界分

在确定特殊保护的制度规范时，需要采用成本收益分析的方法，综合考虑经济社会的各类价值，选择最高效、最可行的制度范式。“什么年龄的孩子可以同意处理其自身的数据”，这个问题被欧洲的数据法专家戏称为“百万欧元问题”。有专家指出：“为了确定获得权利或失去保护的年龄，需要在未成年人作为权利主体的信息自决利益与国家特别保护的公共利益之间取得平衡，必须尊重未成年人不断发展的能力。”[7]目前，如何确定未成年人个人信息特殊保护的年龄分界线尚无定论。例如，美国《儿童网路隐私保护法》(Children's Online Privacy Protection Act，以下简称COPPA)认定为13岁；欧盟《通用数据保护条例》(General Data Protection Regulation，以下简称GDPR)授权各成员国自行确定需要特别保护的未成年人年龄，各国设置为13-16岁不等。

具体到实践中，年龄界限设置的意义在于确定特殊保护的范围。特殊保护的具体体现形式为限制性保护，故保护对象的信息自决权受限于监护人同意制度等特殊规制。确定未成年人个人信息特殊保护的年龄界限应当综合考虑立法设计的体系性、民事行为能力的规定、敏感信息的区分难度、未成年人个人信息保护的实践困境等多方面因素。我国《个人信息安全规范》中将14周岁以下的未成年人个人信息列为“个人敏感信息”，虽然《个人信息安全规范》属于推荐性国家标准，但具备较强的市场影响力，同时也是执法部门重点参考的规范性文件之一。在我国未成年人保护的立法和司法实践中，14周岁成为目前零散的法律规范中逐步明确起来的一条年龄线。例如，《中华人民共和国刑法》中儿童相关罪名以14周岁为认定标准，14周岁是综合了实践中的案件特点和未成年人心智发展特征，进行反复斟酌后设定的标准。这一点也得到了2020年10月公布的《中华人民共和国个人信息保护法(草案)》的回应，该草案第15条明确规定未满14周岁的未成年人个人信息处理应当取得监护人同意，与《儿童个人信息网络保护规定》形成体系化衔接。

一是对于14周岁以下的未成年人个人信息，应当认定为个人敏感信息，采取“替代决定”的监护人同意规则。目前基于个人信息分级分类保护的原则，对个人信息保护的程度和方式难有定论，但对个人敏感信息的严格保护已成为共识。为了充分尊重未成年人的人格尊严以及信息权益，应当将14周岁以下的未成年人个人信息作为个人敏感信息予以保护，并设置一定的例外情形。例如，教育工作者、社会媒体等主体在遵守行为准则的前提下，做出的符合促进未成年人成长、提高社会效益标准的信息收集利用行为，可作为例外情形。

“替代决定”模式一般适用于监护、保佐等行为，采取同意权、撤销权、财产管理权以及代理权等方式，代替未成年人进行事务行为，并代受意思表示，履行保护未成年人利益的职责。“替代决定”模式的基本特征是：(1)否定未成年人的行为能力，这种否定可以是局限于就某一具体事项做出决定的行为能力；(2)替代决定的做出源自于未成年人以外的其他人，这种决定有可能违背本人意愿；(3)替代决定做出的依据是未成年人的最大利益，而不是本人的意愿和选择[8]。对14周岁以下的未成年人个人信息，考虑到未成年人无法正确理解和行使信息权益，出于前文已述信息时代的风险隐忧，应当在个人信息领域否定其行为能力，采取严格的监护人同意规则进行约束和限制。“替代决定”的监护人同意规则应当以监护人代受、做出意思表示为核心，从14周岁以下未成年人“利益最大化”的角度进行利益平衡。

二是对于14-18周岁之间的未成年人个人信息，基于监护制度、亲权制度的一般原理进行保护，采取“协助决定”的监护人保护模式。“协助决定”模式主要特征是由本人自主做出决定，而不是由监护人替代本人决定。“协助决定”的监护人保护模式应当是以未成年人直接做出、受领意思表示为核心，从14周岁以上未成年人“意志自由化”的角度进行利益平衡。更进一步地，结合民事行为能力的相关规定，16周岁以上且以自己劳动收入为主要来源的未成年人，可以行使完全独立的信息自决权，以降低其直接参与社会生活的信息成本，同时也避免限制其社会参与权和劳动权。

新修订的《未成年人保护法》增设网络保护专章，在传统的家庭保护、学校保护、社会保护、政府保护、司法保护体系基础上，进一步完善了未成年人个人信息保护的场景(网络空间)，形成集强制性行政手段与教育引导等非强制性手段于一体的综合治理模式。下一步应继续围绕未成年人个人信息“替代决定”模式的监护人同意制度，不断完善各个场景下的协同保护和冲突规则，避免前文所述保护失当、保护错位等现象的发生。

三、破解困境：“替代决定”模式的监护人同意机制

针对未成年人个人信息自我决定能力的不足，完善监护人知情同意规则的适用是重要的实践补充。由于未成年人的成长是不断获得民事行为能力的过程，其信息主体意识的增强会引发自我决定和未成年人最大利益之间的冲突。“知情同意”原则在未成年人个人信息保护领域的有效性关乎其根本性的制度路径设计，在遵循既有立法逻辑和司法保护方式基础上，本文结合国内外司法实践，试图进一步探讨如何通过规则设计，解决14周岁以下未成年人个人信息自决能力不足、监护人同意法律地位不明确、制度规则可操作性不高等实践难题。

同意的法律性质是意思表示，对同意规则的规范构造也应当遵从意思表示的基本分析思路，回归传统民法分析框架并通过规则设计落实私益保护。同意作为意思表示的实质要求，需要衡量弱者保护、意思自治、知情同意三个方面的标准[9]。相对应地，需要从三个层面完善监护人同意制度的规则设计。

(一)健全身份识别规则，引入“弱者保护”标准

实践中未成年人个人信息特别保护的前提条件，是能够识别和确认未成年主体，从而通过弱者保护的制度标准，进行特殊规范的设计。参考欧美立法例，应当对网络服务运营者的目标群体是否包括未成年人做出判断，结合其主观意愿和客观元素进行综合分析，包括网络服务的具体主题、内容、语言、广告和实际浏览人群等元素。在认定网络服务目标群体包括未成年人时，要求运营者收集用户的年龄信息，从而区分未成年用户和成年用户。为了尽可能减少运营者接触个人信息的环节，降低社会成本，在实际执法中应综合对服务内容、推广方式、经营策略等多方面关联因素的审查，从而确定服务是否面向未成年人，进而判断是否适用违反监护人同意规则的相应罚则。由于纯粹依赖未成年人主动申报在实践中很难奏效，为了周延保护其权益，应当通过制度设计激励运营者主动作为。

一是确立未成年人个人信息保护的认证机制。欧盟GDPR首次将个人数据认证机制纳入法律规范中。根据欧盟数据保护理事会指定的《认证和认证标准指南》，认证机制指的是“数据处理规程的第三方证明”，作为一种商事外观，证明信息业者在个人信息保护能力上达到了一定标准，包括合规标准、风控标准和技术标准。将认证机制应用于未成年人个人信息保护领域，可以有效降低信任成本，提高交易效率。参考大陆法系国家，法国和德国采用了公权认证模式，由信息保护方面的国家机构作为认证主体。例如，法国由“国家信息与自由委员会”制定认证规则，并且具有评估权，负责授予认证证书。认证相当于一项认可和荣誉，为企业带来商誉、社会认可、公共部门嘉奖等多方面激励，从而激发企业自发保护个人信息的动力。现阶段涉未成年人个人信息的行业具有较大的合规压力，法律规则的模糊性和执法的难以预测性成为市场主体的痛点，而信息保护认证机制则另辟蹊径，通过企业的实践形成更高标准，以此来调动企业的主观能动性，并贡献大量可行、可操作的范例，这些范例经过实践检验后可以成为法律规则设计的重要参照。

二是采取集约化验证的方式。公共部门应致力于提供便于操作的合规方式。例如，欧洲数据保护委员会(European Data Protection Board，简称EDPB)认为，可以引入可信赖的第三方验证机制，从而控制运营者自身需要处理的个人信息量。在解决身份认证难题时，为了既实现对未成年人身份的准确识别，又避免对未成年人个人信息的过度收集，可以采取公共部门介入的手段，建立统一的识别平台。建议由国家网信部门主导建立“一站式”未成年人身份识别管理平台，并配套建立制度规范。通过人工智能等现代科技应用识别用户身份，但不进行存储和分析。当识别出未成年人，并且未成年人认可了对其信息的收集和使用时，应当即时告知监护人并进行显著提示。监护人可以事先在一站式平台进行备案和信息登记，从而及时有效地知晓未成年人的授权行为，也便利了运营者以可验证的方式获取监护人同意，例如，当场语音电话、邮件、短信等。同时，一站式平台还可以赋予未成年人及监护人负面清单管理权限。由于个人信息的收集行为纷繁复杂，未成年人及监护人可以提前设置禁止收集的未成年人个人信息类型和范围，并在身份认证的前端环节予以排除，从而尽可能地避免敏感信息被商业化利用。

(二)明确同意效力规则，落实“意思自治”标准

取得同意不代表后续数据处理行为当然合法有效，取得监护人同意是信息业者应尽的未成年人个人信息保护义务，是获得法律正面评价的第一步而非最后一步。同意不仅存在无效的情形，基于同意进行的后续数据处理行为也存在违法的可能性。例如，西班牙《数据保护法》要求数据管理员有责任制定核实程序，确保未成年人年龄和父母同意的真实性；荷兰数据保护局《互联网发布个人数据(指引)》要求数据控制者履行同意的证明义务和社会责任，并强调同意存在“无效”情形，以及后续处理个人数据的“非法”情形。

各国立法普遍采取监护人同意制度作为未成年人个人信息保护的核心规则，美国和欧盟均是知情同意原则的积极支持者。美国通过COPPA项下的可验证的父母同意、处罚机制形成一种被动实现路径，欧盟通过GDPR项下的两条规定予以实践。

美国主要依据COPPA进行行政执法活动以保护儿童信息权益，但通过司法判决确认侵害儿童信息的案例并不多见。美国COPPA要求运营者在识别出儿童用户后，采取可验证的方式取得监护人同意。可验证的监护人同意形式包括监护人签名的邮件传真或扫描件、银行交易凭证、电话确认、视频确认、身份认证系统确认、邮件回复双重确认等。在实践中，执法机关在判断运营者是否采取了合理方式获取监护人同意时，采取“比例尺”(sliding scale)标准，综合运营者为征求监护人同意所采取的各项措施和做出的努力程度，是否与其处理儿童个人信息的范围和程度相称[10]。例如，对涉儿童信息的商业交易行为的标准趋严，而对仅作内部使用(例如教学使用)的行为可以采取宽松的方法获取监护人同意。为了给行业一定的自律空间，平衡产业发展和儿童权益保护，COPPA规则引入了数据认证制度，通过行业组织起草COPPA规则项下的合规指南，报经美国联邦贸易委员会(Federal Trade Commission,以下简称 FTC)批准后，作为“安全港”(safe harbour)规则为经营者提供指引。只要经营者遵守了FTC批准的“安全港”项目指南，即可被视为遵守了COPPA的规则。这样既守住了儿童权益保护的底线，又尊重了社会生活的多样性，允许在执法部门监督下的规则延伸，真正实现了可操作、可预期的法律规制，并进一步强化了自律管理。

相类似地，欧盟GDPR也针对儿童监护人同意机制，确定了较为细致的规则：(1)同意是自愿的，如果被认为属于“强迫同意”则触犯罚则；(2)同意是具体的，应当明确授权处理信息的目的，并符合最小化原则；(3)同意是透明的，应当建立在完全知情的基础上，并且范围清楚、条款简洁；(4)同意是明确的，监护人的确认行为需要足够清晰。为了便于操作，GDPR也提供了类似于COPPA“安全港”规则，即行为准则和认证机制。如果经过监管机构批准，行业组织可以通过制定行业准则实行自律管理，经过监管机构认可的认证机构可以提供GDPR合规认证标识和个人信息保护的专项标识，展现其受到监管部门认可且个人信息保护力度较高，从而获得区别于其他商业机构的信誉。

虽然两项规则的实践效果类似于在“交通繁忙的信息高速公路上安装的一个小减速带”，但是却承载了“承上启下”的功能。特别是，可验证的同意(a verifiable parental consent)还面临具体的问题。目前我国互联网企业参照《个人信息安全规范》，一般在用户注册环节提供服务协议和隐私政策两份文件。然而文件内容描述往往较为繁杂，对成年人而言阅读难度尚且较大，遑论未成年人；同时，文件的同意方式往往是主动勾选同意，否则无法注册或使用服务。虽然隐私政策中一般包含未成年人保护，以及要求未成年人和监护人共同阅读并取得监护人同意的政策内容，但实践中运营者一般不会主动判断服务对象是否涉及未成年人、是否提前获得监护人同意，再加上技术条件下信息收集的行为难以被发现，导致未成年人个人信息很可能在监护人不知情的状态下被广泛收集。市场上的通行做法主要是被动地迎合形式上的规范，没有采取实质性措施来实现立法目的和规制目标，缺乏主动保护的动机和激励措施，使得实践中的未成年人个人信息保护流于形式，难以真正实现有效识别未成年人并落实特别保护。

在实现多方利益平衡的过程中，如何获得有效的监护人同意、履行告知同意要求、便利当事人行使知情权，成为最难解决的问题。立法应当建立可操作的监护人同意机制，基于成本收益分析，考虑制度成本和保护力度之间的平衡。

我国的《儿童个人信息网络保护规定》中增加了监护人明示同意的规定，要求监护人同意机制必须达到明确、具体、透明、自愿的要求，与GDPR的要求在形式上相似。然而实质上，目前我国缺乏对用户识别、可验证同意方式的具体规定。因此建议将“合理程度”和“技术水平”作为参照因素，综合运用多种手段(例如邮件、收集验证、银行记录、人脸识别等)建立验证模式。监护人同意机制最核心的三个环节分别是事前获取、充分告知、明确同意。围绕这三个环节，结合产业发展和未成年人保护的社会需求，合理设计制度规则。(1)在事前获取环节，本质上是“选择进入”(opt-in)机制在未成年人个人信息领域的具体表现。由使用人承担获取同意的特定义务，若权利人不能有效实施行为，则不能发生法律效果。目前通行的隐私政策和概括授权的做法无法周延保护未成年人信息，不能作为获取监护人同意的主要义务，仅能作为企业规范自身行为的准则，以及履行合规义务的辅助性参考。因为如果肯定了这种“走过场”的形式可以产生抗辩效力，就会产生信息业者规避法律监管的漏洞，从而造成利益失衡。(2)在充分告知环节，要求信息处理者将涉及当事人权益的重要事项充分披露，包括拟收集和处理的个人信息内容、范围、用途、方法、当事人权利和救济方式，以及个人信息保护的重要性、消费者教育等内容，保障的是未成年人及监护人的知情权和救济权，避免因信息不对称导致权益损害和不良竞争。(3)在明确同意环节，要求信息处理者必须依托身份识别机制，准确识别出未成年人后履行充分告知义务。同时向监护人及未成年人发出收集和处理个人信息的请求，由监护人做出明示同意，做到没有任何歧义，并且可被验证。针对特定领域和行业内容，还需要采取与具体情境和技术手段相适应的方式，使得监护人同意的行为可以被确认和回溯。

此外，还存在例外情形。在特殊情形下(例如公共利益与个人信息权益存在一定程度的冲突时)，由国家机关及授权部门依法获取未成年人个人信息的(例如刑事案件侦查中侦查人员对儿童笔记本进行翻阅等行为)，不需要经过监护人同意。但是这种基于公共利益的行为必须受到比例原则、合法原则的制约，在法定范围内按照法定程序进行，并履行及时告知义务。

(三)建立撤回同意规则，完善“知情同意”标准

未成年人身心发展处于不断塑造和完善的过程中，观念和想法处于不稳定状态。由于未成年人特有的行为特征及情绪波动甚至冲动，在网络上更容易受到伤害。未成年人授权处理信息后，当发展到某一年龄阶段，意识到曾经的授权可能会侵犯其隐私、影响其声誉，此时应当有权要求运营者删除相关信息，即实现撤回同意权以及删除权。2020年7月，我国《深圳经济特区数据条例(征求意见稿)》中规定了“撤回同意规则”，自然人可以随时撤回同意，撤回同意后数据收集、处理者要及时有效地删除存储的相关数据。我国《儿童个人信息网络保护规定》设置了“删除权”，除了越权收集和处理的事项以外，当监护人撤回同意、未成年人或监护人终止使用产品服务时，网络运营者应当及时有效删除未成年人个人信息。考虑到未成年人身心发展的特点，这样的制度设计在未成年人保护领域尤为重要，直接决定了特定信息的生命周期能够被公民“自决”，避免未成年人个人信息的收集和处理有始无终。因此在未成年人个人信息统合性立法中，应当统一设置撤回同意规则和删除权的规定。

在实践中，很多信息业的产品和服务尤其是手机APP等互联网应用会采取隐瞒的方式获得用户同意。例如，虽然在隐私政策中详细列明个人信息收集范围、用途等需要用户同意的具体内容，但实际处理中因业务环境变化、社会需求变更等各类因素，导致实际同意的内容与隐私政策列明的不同，隐私政策失去意义。因此，法律还需要解决的一大难题是未成年人及监护人如何实现知情权。在侵权后果发生后，通过现有的民事责任体系同样可以要求删除，但此时撤回同意和删除规则的意义将大打折扣，故需要进一步思考如何实时掌握未成年人个人信息的利用状态，而不是被动消极地等待明显的侵权后果发生后，再去要求删除。在这类情况下，问题就从“我是否有权要求删除”这一删除权问题，变为“我有权要求删除什么”这一知情权问题。

截至2020年6月，FTC在COPPA生效后的二十余年间，共公布了34起执法决定，这些案件一般均具有行业规范的标杆作用，其处罚焦点基本围绕“知情同意”“告知说明”等问题。其中“违反透明度原则未向监护人做出有效的说明”占绝大多数，即信息业者在未获得父母同意的情况下收集和披露儿童的个人信息，并且未向家长和公众对其收集、使用和披露的做法予以详细说明。此外，“违反隐私政策处理儿童信息”现象也普遍存在，即未直接向父母提供其信息收集和使用的通知，并且未链接到从儿童那里收集个人信息的每个区域的隐私政策。

因此，未成年人个人信息的控制者应当建立主动的信息披露制度，定期向未成年人及监护人披露控制的个人信息类型和范围，或在账户管理中实现其可查阅(仅可查阅类型和范围，不显示具体内容)，以保障未成年人及监护人的信息知情权，以及撤回同意和删除权。

除了主动披露义务，考虑到数字时代信息影响的即时性，信息业者在未成年人个人信息由私密领域过渡到公共领域时，应当具有一定程度的审慎要求以及审查义务，在可能(知道或者应当知道)涉及未成年人个人信息时，应主动提示信息主体及其监护人。这也是履行《未成年人保护法》社会保护、网络保护原则的具体要求，以及更宽泛意义上践行企业社会责任的做法。例如，对未成年人或其代理人通过网络自行发布私密信息或可能导致未成年人遭受侵害的信息时，应当及时提示监护人，部分内容应直接采取保护措施。