孟晓丽

(阜阳师范大学 法学院,安徽 阜阳 236000)

2021年3月11日，杭州互联网法院调解一起由杭州市余杭区人民检察院诉国内短视频公司侵犯儿童个人信息民事公益诉讼案，据悉，这是我国《民法典》实施及《未成年人保护法》修订后，全国首例未成年人网络保护民事公益诉讼案。(1)参见朱雅萌:《中国审判》2021年度十大典型案例之七:全国首例未成年人网络保护民事公益诉讼案,2021年3月17日,https://www.spp.gov.cn/spp/zdgz/202103/t20210317_512919.shtml,2022年2月6日。在本案中，该公司开发的App应用软件，未经过儿童父母或其监护人同意，就允许儿童注册账户，并私自收集、处理、储存儿童信息，未采取任何保护措施，就向具有相关浏览喜好的用户直接推送含有儿童个人信息的短视频。这种行为不仅违反了《民法典》中自然人个人信息受法律保护的基本规定，而且严重损害了未成年人信息权益，对其权益造成无法逆转的侵害，甚至对其未来产生持续性负面影响。中国消费者协会2018年发布的《App个人信息泄露情况调查报告》显示：个人信息泄露的人数占受访者85%以上。除了常见的手机、平板电脑、智能手表、运动手环等，一些备受儿童喜爱的智能玩具也在侵犯儿童信息权益。最著名的例子是2015年美泰公司生产的“智能芭比”娃娃。该娃娃让隐私保护人士担忧：使用语音识别技术的儿童录音被发送给第三方公司进行处理，可能透露儿童的私人想法和相关细节。所有数据收集和处理方法都可能侵犯儿童信息权益，例如数据挖掘技术可以在网上创建详细的儿童人口统计和行为特征，引发隐私和知识所有权问题。(2)参见 Gibbs,S,“Privacy Fears over‘Smart’Barbie that can Listen to your Kids”, The Guardian,13 March.Accessed at https://www.theguardian.com/technology/2015/mar/13/smart-barbie-thatcan-listen-to-your-kids-privacy-fears-mattel.网络信息化时代，在儿童利益最大化的国际共识下，未成年人信息、隐私保护正在成为各国重视的专门领域。我国2020年修订后的《未成年人保护法》新增专章“网络保护”的规定，以应对“线上世界”这一形塑儿童价值取向、生活学习方式的重要场域所带来的挑战。儿童信息权益保护法律体系的构建不可能一蹴而就，日臻完善的前提是需要对我国现行儿童信息保护法律法规进行剖析和归纳。由此，笔者以20世纪末以来颁布施行的相关法律规定为基础，以“是否认可儿童个人信息的独立价值”为划分标准，对30余年来儿童信息权益保护法律制度的进程进行探析，从中研究相关制度的内容和特征，试图为构建我国新时代儿童信息权益保护法律体系提供历史借鉴和理论参考。

根据“是否认可儿童个人信息的独立价值”这一标准，可以把20世纪末以来我国儿童信息保护法律制度的发展划分为三个阶段：以隐私为进路的保护阶段(1991—2012)、儿童个人信息独立保护阶段(2013—2020)和儿童信息专业化保护阶段(2021—)，每个阶段都有不同的法律规范内容，呈现出不同的阶段性特征。

一、以隐私为进路保护儿童信息权益阶段(1991—2012)

(一)主要内容：构建了以隐私权为中心的儿童信息保护框架

1991年我国颁布了《未成年人保护法》,首次明确了家庭、学校、社会和司法在保护未成年人方面的义务和责任，构建了家庭、学校、社会和司法四位一体的儿童保护法律框架。(3)参见尹力:《良法视域下中国儿童保护法律制度的发展》,《北京师范大学学报》2015年第3期，第44页。在该阶段，很多儿童保护条款比较笼统和概括，并没有对儿童个人信息这一领域作出特别规定，也没有认识到未成年人个人信息的独立价值，鉴于个人信息与隐私在内容、边界等方面存在一定交叉和相似性，该阶段对儿童个人信息的保护主要体现在对其隐私的保护。(4)参见《未成年人保护法》(1991年)第30条:“任何组织和个人不得披露未成年人的个人隐私。”除了这一专门法律外，我国《宪法》《刑法》中均有保护未成年人的法律条款，大多宣明了保护未成年人权益的立法宗旨，但没有涉及未成年人个人信息保护的具体规定。

(二)主要特征：宣示性和消极性

从该阶段相关法律规定可以看出，这一阶段的儿童信息保护主要呈现以下两大特征：

第一，保护路径上的宣示形式。这一阶段，包括儿童在内的自然人主体个人信息的独立价值并未被认可，但是隐私权作为一种民事权利，并被相关学者认为是优先于个人信息权益的高位阶权利，具有适用的优先性。(5)参见张新宝:《个人信息收集：告知同意原则适用的限制》,《比较法研究》2019年第6期，第16页。《未成年人保护法》对未成年人个人信息保护路径是通过保护儿童的隐私利益,而且是采取“不得披露”的消极性保护路径，并不是主动设计相关措施来积极维护儿童信息权益。通过个人隐私来保护儿童信息通常是在隐私权没有受到侵害前，儿童及其监护人往往不能主动作为，而在权利受到侵害后的事后救济显然收效有限，因为此时对儿童的伤害已然客观存在，故而，不得披露儿童隐私的保护路径难以获得前瞻性的法律保护效果，这说明《未成年人保护法》的施行在某种意义上仍停留在形式上宣示意义的状态。(6)参见尹力:《良法视域下中国儿童保护法律制度的发展》,《北京师范大学学报》2015年第3期，第41页。

第二，缺少法律责任条款。以《未成年人保护法》为代表的相关法律规定中，只规定了假定、处理部分，鲜有涉及制裁部分或虽有但处于语焉不详的状态，法律责任是保障法律规范实现的约束条款，若没有法律责任条款，一旦披露儿童隐私，没有违法成本，威慑作用就会很有限。如《未成年人保护法》第30条规定，任何组织和个人不得披露未成年人的个人隐私。此处任何组织和个人虽然范围广泛，但是保护力度有限，对于违反规定，非法披露儿童隐私承担什么样的损害赔偿责任、采取怎样的救济措施、是否承担刑事责任等并未规定。

二、儿童个人信息受到独立保护阶段(2013—2020)

(一)主要内容：儿童个人信息保护框架初步形成

这一阶段，立法机关对《未成年人保护法》进行了修订，同时也颁布了涉及儿童个人信息的法律法规，与前一阶段具体内容截然不同：

第一，2020年修订了《未成年人保护法》，以专章形式增加了网络保护规定，以该章为引领，儿童个人信息保护框架初步形成。国家、社会、学校、家庭协同合作、各司其职，共同保护未成年人个人信息安全，网络信息的每一个环节都贯穿保护未成年人理念。(7)参见刘宇轩:《我国未成年人保护体系的构建分析》,《青年探索》2022年第1期，第65页。该法第72条明确规定：信息处理者处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意。学界一般将其称之为“父母知情同意原则”。虽然父母知情同意原则无法完全规避儿童可能遭受的信息风险，但是将大大降低儿童信息未经授权被滥用的风险。从具体保护措施上看，该条款首次明确了“父母有权要求信息处理者更正、删除儿童信息，”细化了儿童信息保护规则，但是对父母在儿童信息保护中的其他责任尚未明确。

第二，在该阶段，我国计算机和互联网技术快速发展，云储存、大数据为儿童生活学习提供了丰富的资源和便利，儿童可以在不离开家的情况下找到新的自由，开始新的体验，学习新的专业知识，也要承担新的风险。越来越多的儿童开始转向互联网为自己创造私人空间，开展网上“冲浪”。在家长和政策制定者的眼中，儿童的在线活动具有足够的风险，例如色情、脏话、垃圾邮件，病毒以及泄露个人信息等。(8)参见Sonia Livingstone,“Children's privacy online:experimenting with boundaries within and beyond the familyComputers”,New York:Oxford University Press,2006,p.17.未成年人隐私信息泄露已成为该阶段网络空间中重点防范和规制的问题。由于缺乏数字技能和隐私风险意识，儿童比成年人更容易受到信息泄露的威胁，为了应对这些风险，我国相继出台了《信息安全技术 公共及商用服务信息系统个人信息保护指南》(2013年)(以下简称《信息保护指南》)、《网络安全法》(2017年)、《儿童个人信息网络保护规定》(2019年)(以下简称《儿童保护规定》)、《电子商务法》(2019年)、《信息安全技术 个人信息安全规范》(2020)(以下简称《信息安全规范》)等法律法规。区别于隐私权，儿童个人信息的独立价值不仅得到了认可，而且受到前所未有的重视，初步形成了儿童个人信息保护框架。

(二)主要特征：相关规定不断细化，但缺乏统合性

第一，该阶段最大的特征是颁布了一系列涉及儿童信息的法律法规，并细化了相关规则。比如《信息安全技术个人信息安全规范》(2020年)按照年龄标准，将未成年人分为两个年龄阶梯予以不同保护：收集年满14周岁未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意。《儿童个人信息网络保护规定》(2019年)规定了网络运营者、儿童监护人、互联网行业组织等主体的责任和义务，覆盖了儿童个人信息的收集、存储、使用、转移、披露等全生命周期，确定了儿童个人信息网络保护的原则和具体处理规则。提出了专门性要求：明确在征求同意过程中，应当提供拒绝选项(拒绝不影响继续使用)。(9)参见何源:《数据法学》,北京:北京大学出版社,2020年,第295页。

第二，通过对该阶段相关条款统计分析可以发现：涉儿童信息保护的标准不一，特别是对儿童信息保护年龄设定不统一。我国有关儿童权益保护的法律法规、行业规范均设置了年龄界限，但并不统一，主要有14周岁、16周岁、18周岁这三个差异化年龄界分。即使针对儿童个人信息保护这同一事项，有关儿童年龄的界分也并不一致。例如，工业和信息化部信息安全协调司2013年实施的《信息安全技术个人信息保护指南》第5.2.7条以未成年人16周岁年龄界限作为敏感信息保护和监护人同意条件，而《个人信息保护法》、修订后的《未成年人保护法》、《儿童个人信息网络保护规定》(2019年)、《信息安全技术个人信息安全规范》(2020年)都是以14周岁为分界点。原则上，不仅《信息保护指南》《信息安全规范》《儿童保护规定》等行业规范内部要设置一致的年龄界分，而且也应该符合《个人信息保护法》这一上位法的规定。然而，目前的法律规定和行业规范现状显然是难以自恰的。儿童信息保护这一专门领域的系列法律法规出现的年龄不统一问题，会使法律适用陷入困境，并影响信息保护实效。

第三，以儿童信息保护为对象的法律规范，大多散见于层级较低的规章中。如2019年施行的《儿童个人信息网络保护规定》只是国家互联网信息办公室颁布的部门规章，列入国家立法计划的《未成年人网络保护条例》也只是部门规章，可以看出，儿童信息保护专门立法层级不高。而一部分层级较高的法律，如《未成年人保护法》却并不是儿童信息保护的专门立法，只是简单提及儿童信息保护内容，虽然提及了处理儿童信息时需监护人同意，但并没有具体明确的同意规则，缺乏对“同意”这一关键性法律概念的解释。总体而言，该阶段未成年人个人信息保护的相关规定散见于各种法律文件之中，缺乏一定的统合性及协调性，也没有提供有效的行政保护和司法裁判依据。(10)参见傅宏宇:《我国未成年人个人信息保护制度构建问题与解决对策》,《苏州大学学报》2018年第3期，第82页。只能说该阶段我国儿童个人信息保护框架初步形成，涉及儿童信息保护的法律法规数量较之前一阶段，明显增多，但是并不完善，难以认定未成年人信息保护法律规范已成统一体系。

三、保护儿童信息的专业化阶段(2021—)

(一)主要内容：儿童信息保护法律体系正式确立

2021年实施的《民法典》《个人信息保护法》以及2021年审议通过的《家庭教育促进法》三部法律均有关于儿童个人信息保护的规定。《民法典》第1035条明确规定：“处理个人信息要征得该自然人或者其监护人同意”，因此，对于限制民事行为的未成年人要征得其监护人同意；在《个人信息保护法》第28条中，对不满十四周岁未成年人的个人信息加强保护，将该类信息全部归入敏感个人信息。对于这些信息的处理，第31条明确规定：“个人信息处理者应当取得未成年人的父母或者其他监护人的同意”；《家庭教育促进法》第5条规定，“要保护未成年人隐私权和个人信息”，将未成年人隐私权和个人信息权益这两项保护并行提出，置于一条之内，一方面彰显了两者的密切联系，另一方面确立了我国未成年人隐私权与其个人信息区分规制的立法模式，标志着我国儿童信息保护法律体系正式确立，在独立保护的基础上，迈向了专业化的新阶段。

与此同时，《中国儿童发展纲要》(2021—2030年)与中共中央《法治社会建设实施纲要(2020—2025年)都明确提出要制定《未成年人网络保护条例》，这一立法计划也在不断推进之中。

(二)主要特征：全面保护儿童个人信息的独立价值且充分体现保护之专业性

第一，该阶段儿童个人信息已经完全区别于隐私权，其独立价值属性已经得到法律认可。儿童对其决定的性质、程度以及后果的理解能力不及成年人，在儿童同意能力不足的情况下，基于对儿童作为互联网用户的保护主义立场，“数字育儿”的人际互动范式中，父母对儿童涉网行为应进行干预、监督，避免儿童数据的商业利用及滥用，尽量避免儿童受到网上有害内容的伤害，保护儿童作为数据权利人的人格尊严，尽量减少对儿童造成的不良影响和持久伤害。这一家长式的保护主要通过父母知情同意来实现，父母是儿童信息保护系统的关键角色。《民法典》《个人信息保护法》以及修订后的《未成年人保护法》对于儿童信息收集、处理要求父母同意的特别保护规定，标志着父母知情同意原则法律地位的正式确定。

父母知情同意是指对未成年子女信息的自主决定和处理保护，其核心要义为知情决定权，主要包括父母对未成年子女信息被收集、披露、利用等的知情权，以及自己利用或者授权他人利用的决定权等内容。“父母同意”的适用范围非常广泛，未成年人接受的所有的在线网络服务都需要得到父母同意，父母通过事前决定，防止未成年子女信息被非法收集、滥用，旨在保障未成年人的人格利益和人身安全。获得父母知情同意授权后，信息处理者便获得了收集、利用儿童信息的合法性基础。“通知家长征得同意”“选择退出”“匿名化”这三大核心措施长期被用来保护儿童隐私及其个人信息，但是上述传统保护路径正在逐渐失效。因为信息的价值不仅仅局限于初次使用，还在于潜在的二次使用或后续使用。近年来，我国多发未成年人个人信息及隐私大规模泄露导致的次生侵权案件，如山东“徐某玉案”“借贷宝裸条案”等，社会影响极其恶劣。(11)参见汪全胜、宋琳璘:《我国未成年人网络安全风险及其防范措施的完善》,《法学杂志》2021年第4期,第93页。在大数据时代，即使在数据首次收集时“家长知情同意”能够做到，可能也无法想象它们最具发掘性、创新性的二次用途或后续开发。信息处理者如何为尚未存在的目的提供通知？家长如何才能对未知事件给予知情同意？在大数据环境下，传统的知情同意原则要么过于严格，无法挖掘信息数据的潜在价值，要么过于空洞，无法保护儿童的个人信息隐私。此外，信息处理者若违反知情同意，父母所享有的具体权利尚不明确，无法进行有效救济。

第二，开始探索儿童信息保护的专业化之路。讨论这一阶段儿童信息保护法律规范的特征，离不开大数据算法运用这一时代背景。大数据技术拥有人可通过对搜集的数据进行分析，把人进行分类并将他们置于不同临时群组，再把临时群组作为决定的参考。米特尔施泰特认为，大数据技术拥有人可透过这些临时群组去窥视群组成员的特征。(12)参见Brent Mittelstadt,“From Individual to Group Privacy in Big Data Analytics”,Journal of Philosophy Technology,Online First,2017.收集的儿童特征信息可以用于进一步剖析、分类目标群体，创建儿童消费偏好档案，例如注册在线服务时，他们经常提供有关其“偏好”的信息：如感兴趣的预购买物品、喜欢做的活动。大多数家长不太熟悉“数据追踪”或“推断数据”，公司可以从收集的信息中预测和操纵个人决策、兴趣、观点或行为，生成个性化广告，再“靶向”推送弹窗广告商品，在不经意间培养消费者的消费习惯，引导儿童及其父母购买。与儿童及其父母的爱好和兴趣相关的弹窗广告实际上左右了他们的自主决策，儿童及其父母难以察觉这种做法对他们的信息决策和自主选择构成威胁。随着技术的发展，越来越多的信息被捕获、分析、应用进而商品化，这些数据被滥用的可能性会越来越大，这一代人及其后代将面临更高的风险，基本权利受到更大的侵犯。(13)参见 Berman, G. and Albright, K,“Children and the Data Cycle: Rights and Ethics in a Big Data World”, Innocenti Working Paper, UNICEF Office of Research, Florence.(2017).p16.正如公众所担忧的，在线服务收集和汇总了大量儿童信息，通过算法分析、比对后，进行用户画像，极易挖掘出个人不愿为他人知晓的信息，创建的儿童数字身份，为其带来困扰、不安，引发寒蝉效应。这种个人电子身份标签在算法社会固化、存档、流通,其侵害具有隐蔽性、长期性和涟漪放大效应,对儿童的负面影响不可小觑。(14)参见王莹:《算法侵害类型化研究与法律应对—以〈个人信息保护法〉为基点的算法规制扩展构想》,《法制与社会发展》2021年第6期,第140页。随着儿童步入成年，可能会影响其未来教育、医疗、就业和获得金融信贷的机会，极易使个体遭遇不公及歧视待遇。对此，以《深圳经济特区数据条例》(2022年1月1日实施)为专业化立法的先行之例，该条例作为国内数据领域首部基础性、综合性立法，在立法中明确：除为了维护未满十四周岁未成年人合法权益且征得监护人明示同意外，不得向其进行个性化推荐。此外，一些部门规章也开始规制算法推荐技术，如国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合发布的《互联网信息服务算法推荐管理规定》(2022年3月1日实施)，约束个性化推送、生成合成、排序精选、检索过滤等算法技术。上述法律法规、规章制度的施行意味着我国儿童信息保护已经走上专业化道路。

(三)我国当前的儿童信息保护模式

若将域外各国和地区儿童个人信息保护立法区分为统一和分散立法两种模式，(15)殷峻:《网络时代儿童个人信息的法律保护——基于美国和欧盟立法的比较研究》,《学术研究》2018年第11期,第74页。我国目前儿童信息保护立法并非统一模式，亦并非分散模式，而是正在从分散走向统一立法模式的过渡阶段。具体而言，2020年修订的《未成年人保护法》第72条专门规定了处理不满十四周岁未成年人个人信息要征得父母同意。全国信息安全标准化技术委员会出台的《信息安全技术 个人信息安全规范》(以下简称《2020年规范》)第5.4条规定了收集未成年人信息的“同意”需要是明示同意。《2020年规范》本身属于行政机关制定的规范性文件，并没有法律效力。2021年实施的《个人信息保护法》、《民法典》以及2022年实施的《家庭教育促进法》都涉及未成年人个人信息保护的相关内容，如《个人信息保护法》第28条将不满十四周岁未成年人的个人信息归为敏感个人信息进行严格保护；《民法典》第1035条从基本法层面对处理个人信息的原则进行要求；《家庭教育促进法》第5条对家庭在未成年人个人隐私权和个人信息保护方面提出了要求。综上，我国现行法律、行业规范性文件中涉及儿童信息保护的内容，较为分散，尚未制定出统一的未成年人信息保护的专门法典，但是当前正在制定的《未成年人网络保护条例》，相较于上述规范性法律文件，更具有操作性，正将我国未成年人信息保护立法从分散模式推向统一模式。

四、我国儿童信息权益保护的未来发展

梳理我国儿童信息保护的规范性法律文件，可以看到，儿童信息数据收集处理的法律法规正不断走向独立化、专业化。实证研究表明，网络对儿童的危害与儿童参与数字空间的益处是并存的，防范风险、伤害和提供在线机会、权利的方法显然不是相互排斥的，目前的挑战是制定出平衡这两方面的干预措施。(16)参见Rajnaara C.Akhtar ,Conrad Nyamutata，International Child Law(Fourth edition), New York:Routledge Publishing, 2020, p.235—237.质言之，既要保护儿童免遭网络侵权又要保障儿童参与信息决策的权利。在数字时代，技术作为儿童行使权利和满足基本需求的手段越来越重要，它提供了教育、社交、参与、福利等机会，但随着技术变得越来越复杂化、网络化和商业化，很多新形式的信息收集和监控威胁到了儿童的信息安全。在当前数字环境中，技术将儿童的生活转化为可以记录、跟踪、汇总、分析和货币化的信息，这些信息是持久、可搜索和难以完全删除的，故而对儿童信息的保护尤为重要。作为限制民事行为能力人，儿童的认知、判断、自我保护能力欠缺，如何才能既有效保护儿童个人信息权益，又实现信息安全流通，助力数字经济的繁荣稳定发展，成为理论界和实务界共同关注的问题。既要解决《民法典》亲子关系规范供给不足现状下儿童信息保护的法律适用难题，又要避免过度保护对社会信息正常流通的阻碍，需要将涉及未成年人信息保护的相关立法不断推向体系化、精细化。一方面，就体系化发展而言，我国未成年人信息保护体系的构建要从立法层面作出顶层设计，构建以《未成年人信息保护法》为主导的法律体系；另一方面，就精细化建设而言，侵犯儿童信息权利的往往是具备信息采集能力的商业主体或政府机关，个人难以发现且难于与之抗衡，因此，需要儿童本人及其监护人、企业、政府共同和侵犯儿童信息的行为作斗争。

第一，儿童要不断学习数字技能，提高自身媒介素养，以避免被过度保护。儿童虽然是限制民事行为能力人，但是不代表其无法形成自己的意愿，相反，随着科技、经济发展，儿童的各项能力不断提升，自主参与、自主决定的能力增强，往往能够形成独立鲜明的个人意见。1989年联合国《儿童权利公约》确立了儿童的最大利益和尊重儿童不断发展的能力、参与和自决等儿童权利保护基本原则。首先，保障儿童最大利益的努力需要儿童的参与，但儿童在作为“成年人干预的受益者”和“自身有能力的社会主体”角色之间存在内在矛盾。因此，这一矛盾被视为“《儿童权利公约》带来的最根本挑战之一”。《欧盟基本权利宪章》第24条部分采纳了同样的“授权与保护”困境，既授权儿童作为互联网用户能够掌握游戏、学习和交流的机会，同时保护他们免受隐私侵犯和伤害。授权是尊重儿童主体地位的体现，也是第一层次对儿童个人意愿的尊重。但是“授权与保护”往往会发生冲突，当儿童权利与父母的监管发生冲突时，特别是在儿童行使自主权与身心健康基本利益发生冲突的情况下，进一步考虑每个儿童的个人理解和发展(“个性化儿童与普通儿童”困境)，(17)参见Milda Macenaite.“From universal towards child-specific protection of the right to privacy online: Dilemmas in the EU General Data Protection Regulation”.newmedia & society.2017Vol.19(5) 765—779.结合儿童的年龄和成熟度(身体、情感、认知和社会发展)解决上述“授权与保护”困境，本质上来说，就是第二层次的尊重儿童个人意愿。上述两个层次的儿童意愿都需要在儿童信息保护中得到体现。其次，要尊重和考虑儿童不断发展的能力。《儿童权利公约》第3.1条和第16号一般性意见规定：缔约国或私人行动者，包括数字环境中的商业企业，以及公共和私人福利组织所作出的所有决定，都应考虑到儿童的进化能力。该条约第25号一般性意见充分阐述了《数字环境公约》的相关性和适用性。(18)参见UNICEF Global Insight Data Governance Manifesto.Accessed at https://www.unicef.org/globalinsight/reports/better-governance-childrens-data-manifesto.所谓儿童的进化能力其实就是根据儿童年龄、智力征求其意见，顾及儿童不断发展的能力，实现儿童的参与权，该参与权并非宣示意义，包括儿童对于自决权的主张。儿童参与权的保障应该成为涉儿童信息治理的必然要求。这意味着赋予儿童权利，儿童积极参与共创自我信息良性治理，并在同意信息收集、处理方面成为重要的决定者，探索父母和儿童共同决定式信息保护模式，为“儿童独立人格”中儿童意愿的表达提供空间。这一模式要求儿童所表达的与其年龄、智力相适应的意愿应获得合理尊重，同样，信息处理者要使用平实通俗的语言，避免使用晦涩语词，以便儿童能够理解。这种以儿童为中心的方法可以很好平衡赋权与保护的困境，实现在关涉儿童信息权益的重大事件中尊重儿童自决权。

第二，父母或监护人层面，在知情同意保护模式基础上，进一步细化父母对未成年子女信息保护的积极、消极权能，赋予信息利益相关者较大的自主权。借鉴美国2021年7月发布的《统一个人数据保护法案》中(Uniform Personal Data Protection Act)承认利益相关者(数据主体、数据控制人、处理人)可发起制定自愿共识标准，并在第12—15条对自愿协商一致标准的程序、内容作出了详细规定。(19)参见Uniform Personal Data Protection Act Section 12(2021).质言之，儿童信息的收集、处理是否给儿童带来风险的根源并非信息本身，而是在收集、处理中是否经过父母的同意以及同意后信息主体所能承受的风险范围和程度。当经过父母严格审阅同意后被收集、处理的儿童信息，一般已被标明具体、明晰的使用场域，也严格限定了使用方式、目的，其实就已经克服了信息本身的风险，弱化了收集、处理过程中潜在风险的产生、扩大蔓延。同时，对于信息权益受到侵犯的儿童，父母有权要求违法处理者采取补救措施，特别是超出双方原协商一致的范围，父母可以请求对违约方处以惩罚性赔偿或者其他制裁。需要注意的是，在日益复杂的数字世界中，数据采集者的信息获取能力和处理技能与普通公众相比显然力量悬殊,相较于未成年人更是占据绝对优势，对侵犯儿童信息权益的行为应采用过错推定原则，适用举证责任倒置的有关规定。数据采集者掌握信息处理技术,在信息控制方面占据优势，施行举证责任倒置更为合理,一旦发生儿童个人信息侵权事件，应严格践行举证责任倒置，以平衡信息主体与信息采集利用者之间的技术鸿沟。(20)参见王勇旗:《网络环境中儿童个人信息的人格权化保护》,《现代传播》2020年第10期,第167页。

第三，就企业而言，儿童个人信息的合理利用对儿童本人、社会和国家的发展都是有益的。在现代网络信息时代，完全禁止对个人信息的利用显然是不可能的。例如，医学科学的进步就必须要使用个人医疗健康信息，针对儿童的新冠疫苗的研发需要使用儿童医疗健康信息。(21)参见程啸:《个人信息保护法理解与适用》,北京：中国法制出版社,2021年版,第265—266页。保护儿童权益是一项系统工程，除了监护人行使保护职责，行业要在数据合规基础上进行良性发展，为向儿童提供高质量服务创造共同的技术标准，探索行业的安全港计划，收集和使用准确、相关和最新的信息(数据质量原则)，及时通知、透明处理、安全保存儿童信息资料。网络游戏、网络直播、网络音视频、网络社交等网络服务提供者以及网络产品提供者等特定主体，通过设计和默认方式保护隐私，例如针对未成年儿童的广告商设置面向儿童的保护措施，从简单的警告到威胁，再到一系列障碍保护措施，以劝阻这些儿童在未经父母同意的情况下提供个人隐私信息。(22)参见Anthony D. Miyazaki, Andrea J. S. Stanaland, and May O. Lwin.“Self-Regulatory Safeguards and the Online Privacy of Preteen Children”，Journal of Advertisingvol.38,no.4,2009,p.81.同时，为隐私保护、投诉和补救提供适合儿童的机制：进一步努力提高数据收集的透明度，改进隐私控制导航，实现对隐私设置的精确控制，以匹配复杂的数据采集技术，并围绕用户授权创建更好的行业标准。隐私设置界面的易用性、无处不在的功能和用户友好的功能可能会加强儿童的隐私保护行为，(23)参见 Stoilova, M, Livingstone, S,Nandagiri, R,Children's data and privacy online:Growing up in a digital age. Research findings， London: London School of Economics and Political Science.(2019)，p.43.使儿童信息受到法律规范和信息安全技术的双重保护。

第四，从国家保护层面，信息处理机构掌控海量个人信息，加之当事人间信息占有、技术条件的不对等，这些机构往往可以肆意扩散个人信息并牟利，给当事人日常生活带来极大困扰。这些争议鲜有通过司法途径解决，多数受害者只能听任骚扰的继续，知情同意的实际效果并不佳。(24)参见谢远扬:《信息论视角下个人信息的价值——兼对隐私权保护模式的检讨》,《清华法学》2015年3期,第106页。政府如果对儿童数据的管理缺乏明确的监管，任由这些数据被商业化使用，会给儿童信息安全带来风险。政府部门要实时监督、审查数据的使用。国家在监管中从数据处理者的问责机制、人员组成、部门与机构设置等制度性保障、组织与程序保障方面之外提出相应的组织要求,如构建预防机制、协同法律责任来落实侵害防止义务。(25)参见王锡锌:《个人信息国家保护义务及展开》,《中国法学》2021年第1期,第162—164页。具体而言，可以探索地方和国家两级治理，国家工信部门通过建立儿童信息保护数据库，详细说明每个城市政府如何使用算法提供服务。在省级政务平台制作儿童信息保护数据登记册，详细说明教育机构、医院和企业如何收集和处理儿童数据。同时，政府必须向信息收集、处理组织提供儿童收集数据参数的详细指南，必须监督这些指南的执行情况，督促相关组织在收集儿童所有个人数据之前进行严格的必要性和相称性评估，以确保数据采集最小化；对儿童数据的任何使用都应满足儿童和其父母的合理期望，并符合目的限制和存储、保留限制的原则。可以借鉴欧盟《通用数据保护条例》做法，建立72小时内数据泄露通知的制度，同时参考美国《儿童网络隐私保护法》的做法，对未采取合理措施保障数据安全的企业进行严格处罚。(26)参见汪靖、符梦婷：《美国儿童网络隐私保护法律制度经验与启示——基于1998—2018年处罚案例分析》，《中国青年社会科学》2019年第4期，第126页。

五、结语

随着技术的发展，儿童超越了实体的家庭和学校环境,将虚拟网络变成学习和娱乐的重要场域。儿童的生活受到数据收集、共享和处理的多重影响，而他们的同意、认知能力有限，易受信息泄露、滥用之害，容易遭受更多的网络风险。与此同时，我国儿童信息保护法律制度的发展历经以隐私为进路的保护阶段、儿童个人信息独立保护阶段，正在走向保护儿童信息的专业化阶段，逐渐从分散立法模式走向统一的立法模式。为了确保儿童数据权利得到法律保护，让数字经济的发展惠及儿童，需要不断推动特定儿童信息保护法律制度的建立，逐渐形成有序、完善的儿童数字空间秩序。