冯孟宇

（桂林电子科技大学 法学院，广西 桂林 541004）

一、未成年人个人信息概述

（一）未成年人个人信息概念及界定

1.未成年人个人信息的内涵。未成年人与成年人不同，其个人信息是一个从无到有、不断积累的变化过程。其在接受义务教育前的个人信息更多涉及的是姓名、性别、身份证号码以及生物识别信息等固定信息；接受学校教育之后，伴随出现更多与未成年人相关的信息，例如其受教育情况、通讯方式、外出路线等，这些信息被泄露的概率更大。

综合上述各种因素，笔者在对《网络安全法》《民法典》以及相关法律法规中对个人信息内涵规定研究的基础上，总结未成年人个人信息的定义为：以各种方式记录的、未成年人的线上线下学习生活中的、不断发展变化的、具有关联性和可识别性的个人信息。

2.未成年人个人信息保护的年龄标准。未成年人个人信息保护中的年龄问题在我国一直存在争议，2019年10月1日起开始施行的《儿童个人信息网络保护规定》（以下简称《规定》）第二条①规定未成年人的年龄以十四周岁为界限。该规定考虑的主要是一般未成年在完成九年义务教育之后基本是在十四周岁，此时他们具备一定辨别是非的能力，而且有其他国家将未成年人的年龄界定为十四周岁，这对于我国未满十四周岁的未成年人个人信息权的国际保护是非常有利的。但是，立法者对十四周岁到十八周岁之间的未成年人的个人信息权益的保护仿佛没进行过多的讨论，也未进行相应的立法规制。

有学者认为，从受教育以及劳动权相结合的角度来看，由于十六周岁以上的未成年人一般都接受过义务教育并且法律规定其有权参加社会工作，对于那些自己参加社会劳动获得相应劳动报酬的未成年人可被视为完全民事行为能力人，因此，未成年人个人信息保护年龄标准应为十六周岁以下。［1］但是我国人口基数有十四亿，十六周岁到十八周岁的未成年人还占据着未成年人总数的一部分比例，相应的他们的个人信息保护问题不容小觑。即使其中可能包括在读大学生，由于其社会经验的欠缺，会在他人或者网络软件的诱惑下不经意间泄露自己的个人信息。未成年人本身作为弱势群体，基于其自身的特点，处于理性、保护、救济的弱者地位。［2］未成年人阶段是一个从零开始的阶段，不同阶段存在有不同的隐藏风险，所以笔者认为对未成年人个人信息保护的主体年龄应当以未满十八周岁为标准。

（二）未成年人个人信息法律保护的必要性

1.大数据发展冲击着未成年人个人信息的安全。大数据时代极强的信息收集能力对未成年人可能会造成难以磨灭的损害。由于未成年人不健全的意思自治，使得他们在热情接纳新鲜事物的同时不经意间就将自己的个人信息泄露了出去。我们很难想象这些信息一旦被他人利用，会产生怎样的后果。现在大数据的收集能力已经足以满足信息的无限制性和无限范围的传播，大数据时代对未成年人的个人信息的冲击之一就是网络暴力。随着网络小视频的兴起，极大地勾起未成年人的模仿欲望，其中不乏一些内容稍显低俗的视频。当未成年人将类似的视频放到网络平台上时，或者是当我们在网络平台上看到这些视频时，有没有想过网络平台是否经过了未成年人的同意就将该类含有大量未成年人敏感信息的视频放到网络上？虽然我国有类似于被遗忘权或者删除权，但是在大数据时代，这种止损方式的成效微乎其微。

2.对未成年人个人信息的滥用存在“过度商业化”的可能。未成年人的个人信息作为当今大数据时代的一种稀缺资源，被越来越多的逐利之人紧盯。就目前环境而言，未成年人的个人信息存在“过度商业化”的可能。［3］一种情形是国内亲子档真人秀对未成年人的价值观的影响。在这种情形中受害的不只是观众中的未成年人，节目中的未成年明星也成了受害者，他们用自己的个人信息和隐私换来了成年人需要的金钱以及所谓的“名声和粉丝”。另一种情形主要是针对未成年人的游戏或者玩具领域。因为其受众主要是未成年人，所以商家会收集大量的未成年人信息，进行分析整合，以此来制定商业计划。在这种收集未成年个人信息的领域，大部分商家选择用某种奖励机制来“引导”未成年人填写相关隐私信息，未成年人难以经受住奖励机制的诱惑，就按照提示一步步将自己的个人信息泄露给商家，至于商家最后会如何使用这些信息我们无从可知。

二、我国未成年人个人信息保护的法律现状及出现的问题

（一）立法现状

2017年1月，《未成年人网络保护条例（送审稿）》公布。该条例中对于使用未成年人个人信息时应该遵守的基本原则作出了明确的要求，对网络信息服务提供者的删除、屏蔽义务也作出了详细的规定，同时还作出了其他的禁止性规定。

2019年8月，《规定》出台，这是我国第一部从个人信息方面专门对儿童进行保护的规定。其内容主要涉及本国境内儿童个人信息的网络活动，并且本着严格保护儿童个人信息的原则，明确要求儿童个人信息的收集和处理必须遵守明示同意原则，切实履行作为网络运营者的义务与法律责任，在自己的网络平台上设置专人，专职负责儿童个人信息保护方面的工作。但是鉴于该《规定》的法律效力极低，难以得到广泛地适用。

2020年3月，《信息安全技术个人信息安全规范》（GB/T 35273-2020）出台，该规范规定将14岁以下（含）儿童的个人信息列入“敏感个人信息”。

2020年5月28日通过的《民法典》也给个人信息的保护这一主题留下了法律设置的空间，将个人信息加入到人格权一编中，但是并未对未成年人的个人信息进行规定。

2020年10月修订后的《未成年人保护法》以“最有利于未成年人”原则为核心，着力加强对“未成年人隐私权和个人信息”的保护力度，设立专章。其中第72条规定“信息处理者通过网络处理未成年人个人信息的，应当遵循合法、正当和必要原则”。此法的修改将会营造出更加清洁的未成年人网络环境，对未成年人个人信息的保护也会更加有利。

（二）我国立法中存在的问题

1.有关未成年人个人信息保护的法律规范不成体系。随着我国在个人信息法律保护方面的力度不断加大，逐渐形成了以《宪法》为主干，以《民法典》《个人信息保护法》等法律为枝干的个人信息保护法律体系。反观之，我国法律体系对于未成年人的个人信息的保护却没有集中的法律规定。《儿童个人信息保护规定》作为我国未成年人信息保护的专项规定，详细又具体，但是却未将未成年人信息划归到敏感信息，而我国法律规定只有敏感信息涉及个人隐私的才会受到高标准的保护。我国的《儿童个人信息保护规定》与《信息安全技术个人信息安全规范》等事关未成年人个人信息保护的法律法规，并没有做好与其他法律的衔接，不能对未成年人的个人信息进行科学有效的保护。

2.未成年人个人信息保护标准过高。我国对未成年人个人信息保护标准过高主要体现在对年龄界分的“一刀切”现象。我国《儿童个人信息保护规定》中关于未成年人的年龄范围规定为十四周岁，那么在现实生活中就会出现十四周岁到十八周岁的未成年人的个人信息得不到法律保护的法律障碍。这样的规定从法的适用来看，可以很好地限制司法机关的自由裁量权，但是实际上忽视的是不同年龄段中未成年人的差异，这对于不同环境中成长的未成年人是极大的不公平。

3.监护人同意制度的虚化。在我国对相关软件的不断规制下，关于未成年人使用的涉及未成年人个人信息的软件，相关运营商有义务告知其监护人并获得监护人的同意。例如在爱奇艺等视频软件中，打开之后会自动弹出是否需要进入青少年模式，至于观看视频的是否是未成年人或者是否有监护人在旁一起观看，运营商则在所不问，所以该告知同意制度还存在问题。

第一，网络运营商提供的隐私政策以及相关知情同意的内容很复杂，而且内容极长，并且在文件内容中还会涉及多项专业术语，这对于普通的监护人来说，首先能坚持读完相关内容就是一个小挑战，现实中大部分监护人还是会选择直接跳过相关内容点击同意。其次，即使监护人能够坚持看完每一个条款，但是对于其中的专业术语更是不知所云，再加之对于网络运营商计划的对于披露个人信息的豁免条款的复杂性，导致相关协议并未达到简洁明了的地步，这无疑是对监护人的一种考验。而且在现实生活中还有很多没有受到相关教育的监护人，并不会有意识地去利用青少年模式或者未成年模式。

第二，未成年人监护人身份的确认问题。现在有更多未成年人利用监护人的设备进行娱乐，此时网络运营商即默认娱乐软件客户端为成年人，所以对网络用户的身份验证并不是一件容易的事。而且如果让未成年人上传户口本等证明材料的话，那么就违背了信息收集的比例原则。

第三，监护人知情同意下的“理性人”崩塌。大数据背景下，信息主体在知情同意前提下作出具有理性决定的实际能力与“理性人”理论预设程度相差很大，在内部性决策困境与外部性决策的共同作用下削弱了“知情同意”的实效。［4］信息主体即使没有上传任何个人信息，大数据也会利用信息主体在各个角落中遗落的个别极为分散的信息，进行加工整合，形成对具体信息主体的识别与判定。经过这种日积月累的信息积攒，使得信息主体并不能对自己的决策风险进行预测，当然这也远远超过了信息主体的有限的理性。

三、国外未成年人个人信息保护制度的分析与启示

（一）美国相关制度的规定

美国高度重视未成年人的身心发展，其制定了未成年人个人信息领域的第一部专门的法律文件，开创了未成年人个人信息专门立法的先河。其在1998年颁布的《儿童在线隐私保护法》（Children’s Online Privacy Protection Act，下文简称COPPA）中，立法者提出要对未成年人在网络领域的隐私给予特殊的保护，不得不说这一规定体现出立法者的长远目光。在该法中有两项内容是具有开创性的。

其重要内容之一就是对未成年人年龄的明确规定。该法保护13岁以下的未成年人的个人隐私，13岁以下的未成年人的个人信息经合法收集后，应将其置于安全、免受他人侵害的环境中，且需要保证其个人信息的完整性。之外还确立了监护人同意制。对于针对儿童用户的网络服务运营者，COPPA规定网络运营者也应当在收集儿童个人信息之前通过弹出的屏幕来收集用户的年龄信息以区分儿童用户与非儿童用户，并将识别出来的儿童用户履行向其父母进行“通知与获得同意”的义务。［5］

这两项措施虽然具有开创性，但是自2000年实施以来也出现不少争议。首先就是其中关于年龄的规定与《儿童权利公约》中规定的十八周岁以下有所冲突，而且这种一刀切的规定也容易使得十三岁以下的未成年人并不能拥有其该有的权利，对于十三岁以上的晚熟的未成年人也没能给予很好的保护，所以该规定过于僵硬。其次对于监护人同意制，假使未成年人极度依赖网络，则会出现未成年人假借监护人的设备进行认证同意，未成年人对于个人信息保护并没有成熟的认知，所以不仅未成年人的信息极易被泄露，其监护人个人信息被泄露的风险也会急剧增加。

（二）欧盟相关制度的规定

欧盟的《一般数据保护条例》（General Data Protection Regulation，下文简称GDPR）坚持以儿童友好规则作为未成年人个人信息保护的指导精神。在界定未成年人个人信息保护的年龄时，对各成员国的要求是在十三到十六周岁的范围内自主确定未成年人个人信息保护的年龄。［6］所谓儿童友好原则，是指网络运营者在采集未成年人个人信息时，必须以简明、清楚的方式说明其正在收集未成年人的个人信息，并在涉及信息处分的条款时，必须以显著的标志引起未成年的注意。［7］

欧盟GDPR是当今世界对个人信息规定比较详细的法律，比美国COPPA的标准更高。比如在GDPR中对于知情同意的规定是建立在自愿、具体、知情、明确四个条件之上的，并且赋予个人信息主体撤回同意权、查阅权、被遗忘权以及个人信息可移植权。根据GDPR的第17条规定，②信息主体理应享有被遗忘权，成年人、未成年人都应当享有这项权利，之所以规定未成年人享有被遗忘权，是因为未成年人在同意相关协定时并不知道自己的个人信息正在被收集，当未成年人享有该项权利之后，就可以要求相关网络运营商或者其他主体对其信息进行删除。

（三）对我国的启示

1.明确相关规定的标准。我国作为典型的大陆法系的成文法国家，应当在出台《个人信息保护法》的前提下，逐步树立起未成年个人信息保护的法律意识，并推动相关法律的制定。在我国大数据产业高速发展的时期，在疫情防控的关键时期，在国家需要对个人信息进行收集的必要时期，需要国家尽快明确未成年人个人信息保护的年龄范围、未成年人享有的相关权利，以弥补相关法律的空白。

2.明确信息控制者的责任。我国信息产业的飞速发展让信息采集者得到了丰厚的利益回报，但是我国对于信息采集者并没有作出专门的责任义务规定。在这方面，欧盟GDPR对信息控制者的范围从专业性与认知性两方面做出了明确的规定，值得我国借鉴。

四、我国未成年人个人信息保护法律的完善

（一）增加对未成年人个人信息的法律保护规定

1.完善个人信息保护法。已经出台的《个人信息保护法》并没有专门的章节对未成年人的个人信息保护作出相关规定，而专属于未成年人的《未成年人保护法》中，对于未成年人个人信息的规定也大多是原则性内容，更不用说《儿童个人信息保护规定》了，作为一个适用效力极低的规范性文件，并不能在全国范围内起到实质性的惩罚作用。所以，针对未成年人个人信息保护，要最大限度地尊重未成年人的法律地位，在立法中要时刻保持理性的思维，坚持公共利益和未成年人个人利益的和谐发展。除此之外，还需要对未成年人个人信息保护进行集中规定，制定专门的法律或者在相关法律中进行专章规定，从而提高对其个人信息保护的便捷性与操作性。

2.建立监护人的任意撤回制度。同消费者撤回权相比，信息采集者与网店经营者所负担的成本是大相径庭的。从金钱成本上看，消费者在行使撤回权时，经营者要承担运费、重新包装的费用，［8］相反信息采集者并没有付出多大的成本，便轻而易举地收集到大量的个人信息。所以，对于未成年人个人信息保护来说，可以赋予其监护人任意撤销权，并且不需要对信息采集者给予利益损失的赔偿。该项制度也会缩小信息采集者与未成年人一方信息不对称的差距。

3.建立惩罚性赔偿机制。虽然在补偿性损害赔偿和惩罚性赔偿中，大陆法系国家的传统民法理论认为惩罚性赔偿是不可取的，主张救济的数额不能超过损失的数额，“私法上的惩罚是不可接受的”。［9］但是从目前在我国的《消费者权益保护法》中规定的惩罚性赔偿机制及其适用情况来看，效果还不错，能够规制大多数生产经营者的生产经营行为，所以我们尝试在未成年人个人信息保护中纳入惩罚性赔偿机制未尝不可。恶意的信息采集给社会和未成年人带来了严重的损害，如若不利用惩罚性赔偿措施对信息采集者进行规制，那么他们的采集信息行为会越发猖狂，最后可能会出现难以收场的地步，这对未成年来说将是巨大的灾难性损害。

（二）降低未成年人个人信息泄露的风险

1.赋予未成年人被遗忘权。舍恩伯格认为，我们的很多举止行为都被存储在数据之中，而这完整的数据被他命名为“数字圆形监狱”，在未来不同的时代中，都会有不同的人来查询我们的行为，并进行批判。［10］所以，我国法律可以尝试赋予未成年人以及长大之后的成年人被遗忘权。享有该项权利的人不仅可以在其处于未成年阶段要求网络信息服务者删除网络中的相关个人信息，而且在其长大成年以后，仍然可以要求相关信息使用者删除自己未成年时期留下的个人信息。这样规定是对相关主体在网络服务提供者利用未成年人的不知情将其个人信息散布在网上获取利益而使得该未成年人长大以后丧失要求网络服务提供者删除相关信息的权利的一种保护。

2.重新构建未成年人个人信息匿名化法律标准。数据技术的飞速发展使得法律上的匿名化标准也要及时更新，跟上时代的要求，传统的匿名化标准已不能满足当今社会的需求，应当将与个人信息有关的其他因素纳入考虑范围当中。［11］信息匿名化就是经过处理的个人信息，他人无法使用这种信息进行识别特定的人，并且该信息不可再进行恢复的一种处理技术。我国《网络安全法》中第四十二条对此作出了相关规定，③匿名化处理只有满足无法识别与不能复原两个标准时，才可以称得上是法律意义上的匿名化处理。旧标准不能再被应用到新时代发展之中，所以针对未成年人个人信息这种宝贵的社会资源要执行严格的匿名化标准，将其置于最高的级别。

注释：

①《儿童个人信息网络保护规定》第二条：“本规定所称儿童，是指不满十四周岁的未成年人。”

②GDPR第17条：1.数据主体有权要求控制者及时删除其个人数据，并且在以下理由之一的情况下，控制者有义务及时删除数据主体的个人信息：……2.如果数据主体已经请求这些控制者们删除相关个人数据的任何链接、副本或复制件，但控制者已将个人数据公开，并且根据第1款有义务删除这些个人数据，控制者在考虑现有技术及实施成本后，应当采取合理步骤，包括技术措施，通知正在处理个人数据的控制者们。

②《网络安全法》第四十二条规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息.但是，经过处理无法识别特定个人且不能复原的除外.网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失.在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”