王 娅(吉林大学法学院，吉林 长春 130012)

一、问题的提出

信息技术的高速发展一直刷新着人类探索未知、认识世界的极限。信息本身也以“石油”的姿态宣示着它独有的价值与属性。但与此同时，与之相伴的争议也从未停止过。在这诸多争议中存在着未成年人个人信息保护的问题，因这一问题关涉主体的特殊性和社会情境的复杂性，让社会各界颇为关注。

根据《2020年全国未成年人互联网使用情况研究报告》显示，我国未成年网民规模为1.83亿，未成年人互联网普及率达到94.9%[注]《2020年全国未成年人互联网使用情况研究报告》在京发布[EB/OL].(2021-07-20)[2022-02-18].http://www.cnnic.cn/hlwfzyj/hlwxzbg/qsnbg/202107/t20210720_71505.htm.。特别是2020年以来，很多学校将教学工作转移至线上，利用网课进行在线教学，推动了未成年人互联网普及率的进一步提升。网络生活早已成为未成年人日常社交、娱乐与学习的一部分，因而，未成年人主动暴露自身信息(如位置、照片等)具有极大的可能性。在现实生活中，未成年人被动“交付”自身信息的现象也颇为显著。比如，父母在微信、微博、快手以及抖音上疯狂“晒娃”的视频和照片；以教育、学习为主要应用场景的各类App违法收集或滥用学生信息；学校部署的人脸识别门禁、课堂监控设备等过度收集学生信息等等。上述诸多现象无不意味着，网络服务提供者不仅可以轻松获得儿童上网的实时数据，还可以获得儿童成长的全历程数据。因此，网络环境下未成年人个人信息保护具有现实必要性。但是，未成年人正处于从无知到有知、不成熟到成熟的转变时期，理解能力和认知能力不足，缺乏生活经验和社会经验，在自我控制和自我保护方面存在短板。加之，互联网的开放性、自由性、虚拟性、流动性和交互性使得未成年人隐私和信息更易于被传播[注]刘德良，杨飞.网络时代弱势群体的法律保护[M].北京：法律出版社,2013.81-84.，范围和影响力比传统媒介更加广泛，一旦其信息和隐私受到侵害，将引发未成年人数字身份失控、隐私风险增加和潜在的歧视倾向等问题，给未成年人造成巨大的生理或心理上的伤害。因此，建构未成年人个人信息保护机制不仅十分必要，而且迫在眉睫。

二、未成年人个人信息保护面临的困境与争议

(一)未成年人个人信息保护的现实困境

个人信息的保护关涉人性尊严和人格自由，其重要性和意义不言而喻。但个人信息的保护举措更多是以理性且经济的成年人为中心而思考和构建的，存在忽略未成年人特殊需求的现象。未成年人大多属于限制民事行为能力或无民事行为能力人，因其心理和生理上的不成熟，不足以承担自我选择所带来的不利后果，难以应对因个人信息不当传播和利用带来的状况。同时，部分企业基于经济利益最大化的目的，试图逃避社会责任，不仅存在削减未成年人用户甚或统一默认为成人用户以规避未成年人网络保护规定的行为，还存在形式上依据未成年人网络保护规定但相应的隐私条款或声明沦为一纸空文的情形。具体而言：

第一，虽有相应的保护规定，但未成年人个人信息保护的需求未被充分满足。未成年人个人信息保护相较于个人信息保护，存在保护对象的特殊性。未成年人不仅主体数量较大，而且其信息内容高度敏感。因此，未成年人个人信息保护的相关规定应被严格细化并落实到个人信息保护的相关内容中去。但从《儿童个人信息网络保护规定》的立法框架及其内容上看，该规定虽根据未成年人的特殊情形进行了相应的调整，比如充分告知收集处理规则、获取儿童监护人的明示授权同意，识别监护关系和监护人授权同意的有效性，并通过一定技术措施满足业务功能的逐一授权等，但这些设计仅是宣示性或概括性的内容，缺乏切实可行的实操性，只规定了未成年人个人信息权的消极权能，没有规定其积极权能，相关的设置也缺乏有效的执法标准和行业实践指导。同时，对线下广泛的未成年人个人信息收集、处理行为和场景也缺少相应的法律规范。

第二，虽考虑到年龄的因素，但未能充分理解未成年人的特殊性和社会情境的复杂性。美国《儿童在线隐私权保护》明确将在线隐私保护的儿童年龄设定在精准年龄——13岁以内。受其影响，欧盟在制定《通用数据保护条例》时也是以13岁为底线年龄。我国《儿童个人信息网络保护规定》将儿童定义为不满14周岁的未成年人。然而儿童与未成年人并非同一概念，过高的儿童年龄上限，不仅会对一定年龄的儿童产生过度保护嫌疑，进而有损适龄儿童的隐私权利，同时也会造成数字年龄之上到未成年人这一年龄段未成年人个人信息保护的空档。因此，数字年龄的单一界定，只是突出了儿童个人信息保护的方面，并不足以充分实现保护未成年人个人信息的目的，特别是数字年龄之上的未成年人利益。此外，在大数据时代，个人信息保护的目标是防范个人信息的滥用和倡导个人信息的合理使用。但未成年人个人信息保护的目标不只是防范个人信息的滥用，还应规范甚或限制未成年人个人信息的收集、比对、处理等行为。因为GDPR在界定隐私风险诸种情形时，认为处理儿童等弱势群体的信息是其中一种隐私风险，必须警惕以收集、处理并利用未成年人个人信息为主要业务内容的企业对未成年人带来的损害或负面影响[注]范为.大数据时代个人信息保护的路径重构——初探欧美改革法案中的场景与风险理念[J].网络信息法学研究,2017,(1):258.。

第三，虽有诸多合规努力，但合规的情况不尽人意，且存在有效执行困难的问题。数字年龄的确定，意味着儿童身份的识别需要行之有效的原则。根据《儿童个人信息网络保护规定》第28条规定并参照国际通行惯例，对儿童身份的识别采取“形式确认”而非“客观确认”的原则。即只要通过目标市场、注册年龄等形式上确认用户是或不是“儿童”，而无须客观确认“儿童”确实不满或满十四周岁。例如，用户注册时填写的年龄为十四周岁以下的，不论是否真实为儿童，在儿童个人信息保护合规方面即视其为“儿童”；相反地，用户注册时填写的年龄不明，或者为十四周岁以上的，在儿童个人信息保护合规方面即视为非儿童。此外，《儿童个人信息网络保护规定》第8条规定网络运营者应当设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护。儿童个人信息保护规则和用户协议在具体实践中主要表现为儿童隐私政策或儿童隐私条款，但儿童隐私政策的大量内容和通用版隐私政策内容相同，缺乏特殊性。儿童隐私政策的内容要求以明确、易懂和适宜的方式告知，但实践中往往相反。比如，必须设置的投诉举报方式要么没有设置，要么设置的位置不显眼，不易找到，以至于难以有效发挥投诉举报方式带来的监督功能。

(二)未成年人个人信息保护的法律争议

针对未成年人个人信息被不当收集并滥用的现象，各国各地区均出台相应的法律法规，意图为未成年人个人信息保驾护航。我国个人信息保护相关立法及执法态度借鉴了域外数据保护相关法律的立法原则。例如，我国《网络安全法》规定，国家依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。《未成年人保护法》规定，未成年人享有生存权、发展权、受保护权、参与权等权利，国家根据未成年人身心发展特点给予特殊、优先保护，保障未成年人的合法权益不受侵犯。《儿童个人信息网络保护规定》针对14岁以下未成年人的个人信息进行特殊、优先的全生命周期保护。但这些法律法规并未能提供行业可遵循的明确性标准，又未能对未成年人隐私提供充分有效的保障。法律措施的实施有效与否是评价法律规定本身好坏的标准，至少这些法律规定传达出的保护未成年人个人信息的意识和决心值得高度肯定。

荷兰学者米尔达·马赛纳特(Milda Macenaite)认为，大数据时代儿童个人信息的法律保护面临着两大争议：一为“赋权与保护”，二为“个性化与平均年龄”[注]Milda Macenaite. From Universal Towards Child-specific Protection of the Right to Privacy Online:Dilemmas in the EU General Data Protection Regulation[J]. New Media & Society, 2017, 19(5):765-779.。就“赋权与保护”而言，赋权性规定是因为儿童处于不断成长和发展中，具有“不断发展的能力” (the involving capacity)，他们的理解力和成熟度会随着年龄的增长逐渐提高，因此需要赋予其自我决策与参与的权利，如自由表达思想和发表言论等接近成年人的权利；保护性规定是因为儿童具有脆弱性、依赖成年人和需要身心照顾等特点，因此需要对其进行行为干预以确保其基本权益，如国家干预、父母干预等。由此，赋权性规定与保护性规定之间存在一定的紧张关系，即儿童作为“成人干预的受益者”和“自我决策的代理人”之间存在一定的矛盾。换言之，如果赋权性规定过多，可能会导致对儿童的保护不力；如果保护性规定过多，则可能限制儿童的自我决策权等赋权性利益。但是“赋权与保护”的困境又不能被彻底消除，只能在“赋权”与“保护”之间寻求一定的平衡[注]付新华.大数据时代儿童数据法律保护的困境及其应对——兼评欧盟《一般数据保护条例》的相关规定[J].暨南学报(哲学社会科学版),2018,40(12):84-85.。“个性化与平均年龄”的争议源自“赋权与保护”争议，是“赋权与保护”争议的具体指涉。“赋权与保护”争议所考虑的核心问题就是儿童心理成熟度的评估。即对达到一定成熟度的儿童赋予其自我决策的权利，对未达到一定成熟度的儿童则给予一定的保护。目前，主要有两种方法对儿童进行成熟度评估：一是划定一个明确的年龄界限作为所有儿童是否成熟的分界线，二是对每个儿童的成熟度进行个性化的评估。从法律适用的角度来看，采用明确的年龄界限可以限制司法者的自由裁量权且执行起来更为方便，但也容易造成“一刀切”，忽视儿童的个体差异的现象。人类学家玛丽·道格拉斯(Mary Douglas)也认为：“为了满足社会对清晰度和一致性的要求，人们经常努力划定一条年龄界限以确定孩子是否具有完全法律能力，然而这通常是人为的和武断的。”[注]Mary Douglas. Rules and Meanings[M]. New York:Routledge Press, 2003.113.事实上，即使是相同年龄的儿童，由于先天和后天环境等因素的影响，各方面能力的差异往往很大。因此，对每个儿童进行个性化评估可以更好地照顾到能力较强的儿童从事相关活动的需求。然而，对每一个儿童的成熟度逐一进行个案评估，执行起来会非常困难，也会对网络服务提供者造成过度的负担。因此，如何处理“个性化”和“平均年龄”之间的关系是大数据时代儿童数据法律保护面临的另一争议。

无论是“赋权与保护”的争议，还是更为具体的“个性化与平均年龄”的争议，归根结底只是未成年人个人信息保护问题的表象，其核心要旨还是维护未成年人的利益。因此,大数据时代未成年人个人信息法律保护所重点关注的是，采取何种手段可以更好地维护未成年人的利益，特别是具有一定行为能力的未成年人的利益。只有把握住未成年人个人信息保护的实质或核心，并以此为基本点才能构建出切实可行的保护路径。

三、未成年人利益是未成年人个人信息保护的核心

(一)未成年人个人信息保护中的利益划分

未成年人个人信息保护的目的在于维护未成年人的利益。为实现这一目的，势必涉及对其他利益主体的态度。因此，有必要了解与之相关的其他利益。那么，未成年人个人信息保护中涉及了哪些主要的利益类型呢？未成年人个人信息保护中涉及了许多主体，例如未成年人、同学/朋友、父母、学校、企业和监管机构等。这些主体之间的利益有交叉或冲突，但最根本的利益冲突还是存在于未成年人、企业和监管机构之间。因此，主要列举这三类主体之间的利益及表现形式，利益排序也将是对这三类利益之间的考量。

其一，未成年人的人格尊严和自由利益。未成年人在未成年人个人信息保护中具有双重身份，即“成人干预的受益者”和“自我决策的代理人”。这两种身份的强弱表现在于未成年人心理成熟度的评估。当认为未成年人成熟度足够时，他就可以自我决策自我负责。就这一方面而言，保护未成年人的利益就是保护未成年人信息自决的利益，即未成年人对自己信息的控制能力，由他来决定是否公开某些信息，是否由某个App运营者收集、处理并利用自己的信息等。当认为未成年人成熟度不足时，父母、学校或政府就可以干预，以“家长”的姿态替未成年人控制他们的信息。就这一方面而言，保护未成年人的利益就是保护未成年人的人格尊严，即主要由父母或学校来决定未成年人的哪些信息可以被公开、收集或利用，从而更好地维护他们的“数字形象”等。所以，为了更好地维护未成年人的人格尊严和自由利益，就需要充分理解未成年人的心理和行为，充分了解社会情境和应用场景的特点。

其二，企业的经济利益。强调企业的经济利益主要是依据企业的经营目的而言的。企业开发并运营完全或部分面向未成年人的App时，需要充分掌握用户的基本信息和价值倾向，以改进或修正App使其能吸引更多的用户。因此，收集、处理并利用未成年人信息的行为难以避免。如此行为的根本目的在于获取并扩大市场份额，提升经济效益。企业营利的本性决定了其经营发展更多的是以“理性人”的视角去行动。但是当我们承认“理性人”这一设定时，就意味着企业也应承担一定的社会责任。换言之，在未成年人个人信息保护方面，要求企业不仅仅致力于逐利性的满足，还要注重未成年人利益的维护，这种为他人立场考虑的要求便是社会责任的内涵。当然，企业社会责任与经营决策之间会处于紧张的关系之中，但这取决于企业如何有效地将二者结合在一起，使它们共存。

其三，监管机构的公共利益。虽然对“理性人”的理解要求企业应承担社会责任，但当缺乏相应的监管机制时，企业行为可能越轨或失控，给用户甚或国家造成不必要的损失。比如，2015年香港伟易达公司因应用程序本身的缺陷造成黑客入侵，导致640万名儿童和490万名成人的用户身份、账户密码、密保问题和答案在内的海量用户信息遭到泄露[注]李瀚琰.儿童个人信息保护的父母知情同意原则[J].图书馆论坛,2020,40(8):59-69.。为了避免企业的非理性行为造成的不必要损失，对企业行为进行监管尤为必要。因此，承认监管机构所代表的公共利益就成为必然。但是，承认监管机构的公共利益到底意味着什么？从某种程度上说，承认监管机构的公共利益之于未成年人是一种善(good/benefit)[注]本文中对于good和benefit的使用不予区分，采取同一个意思，即是对某一个人好的事物，因此此处论及的善也可称之为利益。，之于企业和社会更是一种善。因为，这是一种无冲突(conflict-free)、非独占(non-exclusive)和非排他(non-excludable)的利益[注]Joseph Raz. Ethics in the Public Domain[M].Oxford:Oxford University Press,1995.52.。所谓无冲突、非独占和非排他的利益，就意味着任何主体都可因其受益，某一主体受益不影响其他主体受益，即所有主体对此种利益是一种全有全无式的适用。正是因为公共利益的此种属性，当其与未成年人利益、企业经济利益发生冲突时，优先考量公共利益具有了一定的合理性和可接受性。

(二)未成年人个人信息保护中的利益排序

为充分实现对未成年人个人信息的保护，有必要对上述三类利益进行排序。那么，对这些利益排序的依据是什么呢？在对上述三类利益进行排序之前，需要对它们进行抽象思考，明确其背后的利益性质。只有这样，才能有效地进行利益排序，确立一个普遍性的解决思路，助力未成年人个人信息保护路径的构建。

其一，未成年人利益是一种私人利益。无论未成年人是何种身份，其人格尊严和自由利益均是以个人生活的名义提出的，直接涉及个人生活和从个人生活的立场看待的请求、需求和欲望。根据庞德对于利益的分类和理解，未成年人人格尊严和自由的利益属于个人利益中的人格利益。那么，在未成年人个人信息保护场景中可具体处理为：(1)个人人身不可侵犯性(保持和增进精神健康)；(2)自由意志(控制信息的能力)；(3)尊严和荣誉(数字形象)；(4)隐私与情感(数字形象)；(5)信仰与思想(精神自由活动)[注][美]罗斯科·庞德.法理学(第3卷)[M].廖德宇译.北京：法律出版社,2007.26.。

其二，企业利益是一种私人利益。企业的经济利益其主体指向是各类不同的经营主体，他们之间的经营策略并不是和谐一致的。企业本身也具有两面性：侵犯性的、我行我素的一面和合作性的、社会性的一面。前一方面会导致企业忽视他人的需要而一味追求满足自己的需要，后一方面则使人们在共同目标的基础上，与他人在团队和群体中协作。因此，企业就需要社会责任来维持其两面属性的平衡。

其三，监管利益是一种公共利益。监管机构具有双重角色，当其仅为自身谋利时就是私利益主体；当其依法执行其职权内之行为，为不确定的多数人谋利时就是公益的代表，可以此作为行为“合法性”的理由以及行为之动机。维护及提倡这样的公共利益是国家积极的任务，也是许多法律行为所追求的目标之一。当我们承认监管利益是一种公共利益时，就意味着监管机构不仅可以依法律行使制止企业有害公益行为之权力，还可以由法律授权，积极行使增进公益之行为。比如，倡导企业形成行业自律并制定行业标准等。

在公共利益与私人利益之间，一般而言，公共利益要优先于私人利益[注]西塞罗语。。而在不同的私人利益之间，很难直接确立何种私人利益优先于另一种私人利益，这就需要根据具体情形予以判断。在未成年人个人信息保护的情境中，我们优先承认了未成年人利益的重要性。这不仅是因为保护未成年人利益是国家所追求目标之一，还因为未成年人利益具有升格为公共利益的可能性。根据莱斯纳(Leisner)关于公益与私益之间的关系理论可知，多数人之私益可以形成公益。因此，有三种私益可以升格为公益：第一，是不确定多数人之利益；第二，是具有某些性质(特指生命及健康方面)的私益；第三，可以透过民主之原则，对于某些居于少数的特别数量的私益，使之形成公益[注]陈新民.德国公法学基础理论(上)[M].济南：山东人民出版社,2001.200.。未成年人利益涉及不确定多数人的利益，关涉未成年人的生命、财产及健康，具有了升格为公益的可能。因此，在未成年人利益与企业利益之间，未成年人利益优先于企业利益。故此，上述三类利益之间的初步排序应该是“公共利益>未成年人利益>企业利益”。

四、构建以维护未成年人利益为核心的未成年人个人信息保护路径

未成年人个人信息保护路径的构建需要坚持“一个基本三方联动”。所谓的“一个基本”，是指坚持维护未成年人利益的原则。即未成年人个人信息保护路径以维护未成年人利益为核心，所有举措的最终结果都是维护了未成年人利益。所谓的“三方联动”，是指协调三方主体之间的利益冲突。即在未成年人利益、企业利益和公共利益之间，三方主体需各守其位，各负其责。只有在承认“一个基本和三方联动”的基础上，才能构建一个综合治理的体系，达致未成年人个人信息保护的良好目的。

(一)维护未成年人利益：未成年人、父母、学校各负其责

未成年人较成年人认知能力低，社会阅历少，容易主动泄露个人信息，致使其面临个人信息被不当利用的风险。随着各类应用App的涌现，“父母晒娃”致使未成年人个人信息(文字描述、照片或视频等)泄露。学校介绍未成年人使用教育类App，部署人脸识别系统管理学生致使未成年人个人信息被不当收集和利用的情形亦比比皆是。除了这些可见的风险之外，未成年人个人信息还面临未知的不确定的风险。比如，联合国儿童基金会研究中心伦理顾问加布里埃尔·伯曼(Gabrielle Berman) 等儿童权利专家认为：“从儿童那里收集的数据可能在未来的任何不确定的时间，被不确定的算法对不确定的客户所利用和分析，以创建个人/儿童不知道的数字身份。”[注]Gabrielle Berman, Kerry Albright. Children and the Data Cycle:Rights and Ethics in a Big Data World[J].Innocenti Working Paper, 2017-05.11.网络数据具有持久性的特点，这意味着人类记忆历史中“遗忘是常态，记忆是例外”的情况，反转为“记忆成为常态，遗忘成为例外”的情况。因此，网络数据一旦形成不良的社会影响，就很难彻底删除。然而，未成年人对信息泄露对自身人格声誉、未来发展造成的影响缺乏足够认识。因此，为保护未成年人个人信息，未成年人、父母和学校都应该有积极负责的意识。

未成年人作为核心主体，本身就应该加强防范意识，提升认知能力。未成年人个人信息保护要求父母或学校对未成年人进行指导或培养。但培养也是有条件的。所谓条件意味着，其一，未成年人自己保有防范和警惕意识；其二，未成年人获取的网络资源的途径必须是安全并可接受的。后者就要求父母或学校承担审核(过滤筛选)义务，为未成年人创造一个较为安全可靠的网络环境。

父母作为监护人，是孩子的第一任老师和第一责任人。《儿童个人信息网络保护规定》特别明确，儿童监护人应当正确履行监护职责，教育引导儿童增强个人信息保护的意识和能力，以维护儿童个人信息安全。网络技术的出现，使得现代家庭已成为网络活动的主要场所，但也对监护人家庭保护的能力提出了新的要求。不过，一个明显的事实是，伴随着网络技术成长起来的未成年人，很多孩子的网络技能远远超过了他们的父母或其他监护人。为此，父母应当主动学习网络安全知识，增强网络安全意识，具备基本的网络保护能力，以便更好地保护好自己的孩子，成为网络信息时代的合格父母，更有效地履行家庭保护的义务。

学校是未成年人的主要学习和生活场所。作为承担“学校保护”责任的主体，学校负有履行“全面贯彻国家的教育方针，对未成年学生进行德育、智育、体育、美育、劳动教育以及社会生活指导和青春期教育”的法定义务。但学校的网络媒介素养教育尚是一个薄弱环节。因此，学校教育应发挥其特有的制度化、强制性以及良好的持续性等功能，保证网络媒介素养教育的理念和内容得到比较稳定的贯彻，使未成年学生在学习、接受相关知识理论，增强对网络的理性分析和科学运用能力的基础上，不断升华自己的网络情感，强化自己的网络素养意识，提高并完善自身的素质结构[注]中央文明办三局.未成年人思想道德建设工作简报2019年第11期[EB/OL].(2019-09-02)[2022-02-18]. http://www.wenming.cn/ziliao/jianbao/weichengnianrensixiangdaode/201909/t20190902_5239549.shtml.。同时，学校教师的网络素质也需要提高，以有效履行学校保护职责。

(二)约束企业经济利益：企业主动地承担社会责任

根据《儿童个人信息网络保护规定》第6条规定，鼓励互联网行业组织指导推动网络运营者制定儿童个人信息保护的行业规范、行为准则等，加强行业自律，履行社会责任。传统的公司法理论认为，公司的唯一目的是谋求利润最大化，进而为股东创造最大利益，公司仅对股东负责，社会责任则归属于国家和政府。但张宪丽等学者认为，企业社会责任应坚持社群主义的理论基础，因为企业作为社会大社群中的一份子，其存在得到了社群的支持。同时，企业也应该以社会产品和社会服务来回报社群。社群主义的行为逻辑是惠报。所谓惠报，不是短期行为，而是一种长期的、不用契约来规定却附加了认同和信任要素的一种新逻辑[注]张宪丽.企业社会责任的硬法与软法之治[M].北京：中央编译出版社,2018.40-42.。因此，企业社会责任要求其管理层呵护与关心未成年人的利益[注]David Millon. Shareholder Social Responsibility[J]. Seattle University Law Review, 2013,36(2):921-926.。

然而，在当前情境中，企业借助各类App，在收集、使用和转移未成年人个人信息的过程中，表现出如下方面的问题：(1)规避未成年人用户，混同收集一切可利用的信息；(2)设置专门的儿童隐私政策或儿童隐私条款，但只是企业合规义务的“形式”要件，用户通常既不阅读亦不理解其内涵；(3)设置专门的儿童隐私政策或儿童隐私条款，但相应的救济措施要么缺失要么难有成效。基于上述未成年人个人信息被收集和利用的现状，企业应该承担相应的社会责任。就实践来看，随着社会对企业社会责任的日益关注，企业、行业协会、国际组织等纷纷推出关于企业社会责任的行为准则。各国政府也在不同的部门法中，设置了相应的企业社会责任法律条款，但相关法律条款分散以致其缺乏系统支撑，相关行为准则往往依赖于企业的“自觉自愿”。由此带来的却是“企业履责随意性、碎片化、不平衡性的现象较为突出，企业在发展过程中良莠不齐，对社会责任的理解和实践水平差异较大”；“不同企业对于社会责任基本内涵、主要议题等的理解存在偏差”；“社会责任方面的软法不少，但强制性的制度供给不足”等情况[注]张宪丽.企业社会责任的硬法与软法之治[M].北京：中央编译出版社,2018.55.。

哈佛大学法学院教授雅各布·格森(Jacob E. Gersen)和美国联邦大法官埃里克·波斯纳(Eric A. Posner)指出：“立法主体制定软法是因为硬法有缺点。有时候，当然并非总是如此，在同样的情况下软法能产生同硬法一样的行为效果；在其他时候，软法的效果比硬法的效果更令人满意。”[注]Jacob E. Gersen, Eric A. Posner. Soft Law:Lessons from Congressional Practice[J]. Stanford Law Review, 2008, 61(3):579.因此，政府除却对企业的硬性规定之外[注]比如，2018年新修订的《公司法》第5条第1款规定：“公司从事经营活动，必须遵守法律、行政法规，遵守社会公德、商业道德，诚实守信，接受政府和社会公众的监督，承担社会责任。”，倡导企业进行一种新的技术性尝试很有必要。比如，企业充分运用隐私架构设计(Privacy by Design)以延伸未成年人用户的控制范围，增加透明度及未成年人本身对信息控制的可操作性，这也是GDPR中大力倡导的理念。具体而言，机构可以场景构成要素为指引，采取一定的技术架构和制度措施，增加/加强未成年人对高中低风险要素的辨别；伴随未成年人个人信息的整个生命周期采用“元数据标签”(meta-data tagging)设计，记录信息收集、利用及传输的全过程，使未成年人有机会详细掌握其信息的利用状况与流程。更进一步地，企业应当利用技术限制未成年人使用时长，明确适龄范围，对内容严格把关(如青少年模式的运用)；不以默认、捆绑、停止安装使用等手段变相强迫用户授权，从而重新陷入“全有全无”的路径困境；根据自身的规模及状况建立适当的未成年人个人信息保护政策、隐私管理体系等。通过隐私设计可使未成年人个人信息流转更加透明，调动未成年人参与信息生命周期的积极性，扭转未成年人在个人信息生态系统中的弱势地位，同时推动信息价值的开发，甚至衍生出新的商业模式[注]范为.大数据时代个人信息保护的路径重构——初探欧美改革法案中的场景与风险理念[J].网络信息法学研究,2017,(1):279.。当然，在强调企业社会责任承担的同时，需要考虑企业规模、层次和时间带来的差异。比如应对生存型、发展型和社会型企业有不同的定位和要求。

(三)规范监管机构行为：监管机构独立地履职尽责

在未成年人个人信息保护中，当我们维护未成年人利益，约束企业利益时，规范监管机构的利益不可或缺。人类总是试图过一种理性的、有意义的和有目的的生活，但对不确定性的恐惧使其一直渴求可预见性和规则性。可预见性意味着行动者可以计划和安排自己的行为，并自甘风险或自负其责。规则性意味着行动者依据一定的标准、规则或原则去行为，且行为具有较高程度的有序性和稳定性，当行为偏离规则时默认应受指责或惩罚[注]沈宗灵著.现代西方法理学[M].北京：北京大学出版社,2007.147-149.。根据哈特在《法律的概念》中对于规则的论证：公民对规则的接受，大部分人可以基于内在观点的视角将规则的要求内在化，以作为自身的行为标准予以遵循。但是总有少部分人，出于其他理由或利益的考量，对规则仅是一种外在观点的态度，即出于对惩罚的恐惧才遵从规则。权力的行使不仅要求正视权力的存在，同样也要求其他人对这种合法性权力的接受。监管恰好提供了可预测性和规则程序的承诺，提供了一种纪律和控制的形象[注][英]马丁·洛奇，[英]凯·韦格里奇.现代国家解决问题的能力[M].徐兰飞，王志慧译.北京：中国发展出版社,2019.73-76.。因此，制定监管机构管理规定的主体应清楚明白，不仅要规定行为的标准或指南，还应规定偏离行为后的后果或责任。

监管机构行使职能的领域很宽泛，即一切可被监督的领域皆可监督。而未成年人个人信息保护中最重要的领域就是企业，特别是对未成年人个人信息后续利用的第三方主体。其次就是未成年人、父母注册账号并发布信息的行为，学校对移动App的审核行为和人脸识别技术获取信息的安保行为。监管机构的监督管理职能，如果仅停留于浅层的、概括性的“监督管理”，那么容易变成口号，流于形式，不足以制约企业等主体的逐利行为。同时，若监管机构缺乏被监管企业的接受认可，任何形式的执法活动可能被这些企业依靠他们的资源优势和无数的法律审查来挫败。因此，紧随监督管理之后的应该是一些合理且相称的惩戒性规定或制裁，以确保法律规定得到遵守或执行。即监管是以法律制裁为后盾的直接命令指导。正如戈登·塔洛克所言，有效制裁相当于其他人受益于遵守管理当局规定的价值[注][美]戈登·塔洛克.公共选择[M].柏克，郑景胜译.北京：商务印书馆,2015.580.。当然，绝对严格的惩戒性规定，有可能限制企业的创新动力，不仅不利于维护未成年人利益，反而影响未成年人在社会媒体平台上的言论自由。所以，更恰当的一种做法是建立完善的非强制激励性监管。也就是说，以系统设计的方法进行创新，尝试去发展出一套主要依赖被监管者自我监管的体制，并将监管者的角色转变为检查自我遵守。这种方法可以使监管聚焦重点，鼓励灵活性和自由裁量。同样可以说，它也鼓励监管者和被监管者就目标和方法进行专业化对话[注][英]马丁·洛奇，[英]凯·韦格里奇.现代国家解决问题的能力[M].徐兰飞，王志慧译.北京：中国发展出版社,2019.80.。

监管可以矫正因企业过分逐利带来的市场失灵以维护公共利益，但当监管被俘获、滥用或虚设时，就会抑制市场和企业自律治理的有效性，导致市场秩序恶化，严重制约经济发展，损害公众利益，造成社会不公。因此，为有效发挥监管的作用，就需要必要的设计和要求。比如，形成信息公开以确保监管权透明运行；建立行政程序以确保监管的民主参与；确立行政问责以确保权责一致原则的践行；建立审查机制对监管规定定期更新和废弃等。需要注意的是，监管若要发挥应有的价值和作用，最重要的是保证监管机构与传统行政部门之间形式上和实质上的独立性。正如斯特恩所说，“真正独立的监管者”是那些不由一般性预算支持的机构，同时又保证监管员工的任期稳定性[注][英]马丁·洛奇，[英]凯·韦格里奇.现代国家解决问题的能力[M].徐兰飞，王志慧译.北京：中国发展出版社,2019.80.。

无论是对个体还是国家而言，坚持某种原则、标准或价值会带来损失，但也会带来收获。在未成年人个人信息保护中，坚持“一个基本三方联动”，会使企业经济利益受限，但这种受限是一种必要的损失。因为，只有通过限制企业经济利益，规范监管利益，才能有效维护未成年人利益。