张素华 尹晓坤

内容提要：基于未成年人独立发展以及未成年人个人信息自决权行使之需要，未成年人在个人信息处理活动中应具备独立的同意能力。同意能力具有不同于行为能力的独立价值，其仅涉及对信息主体自身权益的防御性处分与让渡，不涉及交易安全价值的维护，对意思能力的要求更低。同意的性质并不影响同意能力的独立价值。实践中同意能力与行为能力的混同源于对个人信息处理行为与基础的服务合同关系的混淆。在同意能力的判定上，应突破年龄标准的局限性，结合个人信息类型、处理目的及处理方式等因素综合判定。8周岁至14周岁之间的未成年人接受符合其认知的在线学习、网络社交、在线影音等基本功能服务，个人信息处理者以非共享方式处理满足最小化原则的非敏感个人信息时，不满14周岁的未成年人可独立同意；在个性化服务场景以及未成年人敏感个人信息处理场景下，即使已满14周岁的未成年人仍不具备相应的同意能力。

一、问题的提出

《中华人民共和国个人信息保护法》(以下简称《个保法》)第31条针对不满14周岁的未成年人(1)本文所指“未成年人”与“儿童”同义，均指18岁以下的自然人，除非对其适用之法律规定成年年龄低于18岁。确立了监护人同意规则。依反对解释，该条文为已满14周岁的未成年人对其个人信息处理进行独立同意提供了法律依据。但14周岁的年龄标准在实践中的适用却颇为困惑，实践中绝大部分互联网平台在处理未成年人个人信息前，均要求要在监护人的指导下阅读隐私政策并征得监护人同意，并未区分未成年人是否已满14周岁。(2)比如《抖音隐私政策》在“6.1未成年人通用条款”章节中表明：“若你是未成年人，在使用抖音及相关服务前，应在你的父母或其他监护人监护、指导下共同阅读并同意本隐私政策。”参见《抖音隐私政策(2023年10月5日生效版)》，载https：//www.douyin.com/draft/douyin_agreement/douyin_agreement_privacy.html？id=6773901168964798477，最后访问时间：2023年10月18日。上述情形意味着，实践中未成年人事实上难以独立对其个人信息作出同意，《个保法》中14周岁的年龄标准处于难以适用之窘境。

究其根本，立法与实践的脱节源于个人信息处理活动中未成年人个人信息“同意能力”这一概念的模糊。下列事项仍有待理论的澄清与检讨。其一，现有对个人信息同意理论的研究多是将同意主体假定为具有完全辨识能力的理性人，鲜有从未成年人这一特殊主体的角度出发对其独立同意能力加以阐释，使得同意能力的概念及内容在个人信息同意理论的研究中并未形成共识。其二，《中华人民共和国民法典》(以下简称《民法典》)将8周岁与18周岁作为民事行为能力区分的年龄标准，与《个保法》中的14周岁年龄标准形成立法缝隙，那么，在民事行为能力体系下，此种立法缝隙是否意味着同意能力有脱离行为能力制度而独立存在之空间？其与行为能力是否又存在某种体系上的关联？同意能力与行为能力及意思能力三者之关系在理论上应如何界定？其三，即使将同意能力作为未成年人个人信息同意的有效要件，那么未成年人是否具备同意能力应如何判定？在14周岁年龄标准之外是否存在其他考量因素？因此，本文将从《个保法》第31条第1款出发，对未成年人同意能力在理论层面予以证成，着重阐释在行为能力体系下同意能力独立存在的必要性，进而提出同意能力的判定标准及方法，并结合未成年人个人信息处理实践，探讨其同意能力的合理边界。

二、未成年人个人信息同意能力之理论证成

大数据时代，未成年人个人信息保护面临着“赋权”与“保护”的平衡，(3)参见付新华：《大数据时代儿童数据法律保护的困境及其应对——兼评欧盟〈一般数据保护条例〉的相关规定》，载《暨南学报(哲学社会科学版)》2018年第12期。这一平衡在以“监护人同意”规则为核心的未成年人个人信息同意制度中体现得尤为明显。而未成年人个人信息同意能力作为“赋权”与“保护”之桥梁，对于矫正未成年人个人信息保护的立法理念、强化未成年人个人信息赋权具有不可替代之作用。

(一)未成年人独立发展之需要

作为一类特殊群体，未成年人往往被贴上认知肤浅、经验匮乏、辨别能力薄弱等标签。而这种“理性瑕疵”使得未成年人在相当一段时间内无法真正作为权利的享有者，其独立发展的权利一度受到法律及社会观念的制约。追溯至罗马法时期，罗马法将父权视为一种支配权，家子处于家父几乎不受限制的支配之下。(4)参见〔德〕马克斯·卡泽尔、罗尔夫·克努特尔：《罗马私法》，田士永译，法律出版社2018年版，第639页。受制于此种支配权的存在，在19世纪以前，未成年人被更多地作为一种纯粹的私人财产看待；随着欧洲儿童自由运动的不断兴起，儿童才开始从成年人的权利中解放出来。(5)See Clark Butler，Children’s Rights：An Historical and Conceptual Analysis， in Clark Butler ed.，Child Rights：the Movement，International Law，and Opposition，Purdue University Press，2012，p.14.直到19世纪，法律才最终确认儿童达到法定成年年龄得以自动脱离父权的掌控。(6)参见朱广新：《未成年人保护的民法问题研究》，中国人民大学出版社2021年版，第5页。1924年国际联盟《儿童权利宣言》(Declaration of the Rights of the Child)首次在国际法律文件中提出“儿童权利”的概念，在儿童的物质、精神及社会福利层面提出一系列倡议。此后，联合国以此为蓝本在1959年通过更新版的《儿童权利宣言》。但在此期间，该宣言之核心仍是强调儿童福利以及对儿童施加保护，儿童独立发展及自治的需要并未在宣言中予以认可。1989年，《联合国儿童权利公约》(以下简称《公约》)确立了儿童“不断发展的能力”的概念，即承认未成年人属于具有“渐进自治性”(progressive autonomy)的权利享有者，其独立行使权利需要经历监护人合理控制、引导的阶段，但在此过程中，监护人的介入与未成年人独立发展存在一种此消彼长的关系，其介入之范围伴随着未成年人理解力和成熟度的提升而不断限缩；《公约》第12条又原则性地规定了儿童的参与权，强调有主见能力的儿童有权对影响到其本人的一切事项自由发表自己的意见，儿童的意见应当根据其年龄以及成熟程度被给予充分的尊重和保护。(7)参见前引〔6〕，朱广新书，第11-14页；刘雄：《儿童参与权研究》，光明日报出版社2020年版，第80-81页。《公约》的批准使得儿童独立发展的权利开始得到承认及普遍遵循。随着《公约》在我国批准生效，国内相关立法也将儿童的参与权纳入立法原则中加以规定。如《未成年人保护法》第3条规定：“国家保障未成年人的生存权、发展权、受保护权、参与权等权利。”

由此观之，未成年人独立发展之权利经历了从无到有的历史演变，逐步成为世界各国的理论共识，而这种演变历程实质上实现了未成年人从消极被动的受保护者地位向积极主动的权利享有者地位的转变，这其中以参与权的确立最为典型。但我国未成年人个人信息保护领域之立法理念却与尊重未成年人独立发展这一理论共识背道而驰。在纷繁复杂的网络空间中，未成年人由于心智尚未成熟，对于部分复杂的个人信息处理行为缺乏足够的理解与辨识能力。因此，立法者在未成年人个人信息的监护人同意立法中往往预设了未成年人难以理性且成熟地作出处理自己个人信息的决定这一前提。(8)参见王苑：《中国未成年人网络个人信息保护的立法进路——对“监护人或家长同意”机制的反思》，载《西安交通大学学报(社会科学版)》2019年第6期。而我国又长期处于父权家长制下儿童观的影响之下，这使得我国儿童个人信息保护之立法表现出重“保护”轻“赋权”的价值取向。其中，就有学者指出《个保法》第31条第1款是“建立在对未成年人保护而非赋权的理念基础上的”(9)江必新、郭锋：《〈中华人民共和国个人信息保护法〉条文理解与适用》，人民法院出版社2021年版，第294页。，即该条款所确立的监护人同意规则更加强调限制未成年人自主同意、保护其不受损害的消极功能，而忽略了具备一定成熟度的未成年人可独立进行个人信息处理的同意这一积极效能。(10)参见李永军、张兰兰：《未成年人信息同意能力的双重功能及其法律实现》，载《南京社会科学》2022年第4期。此种立法理念不仅会使儿童作为权利主体之地位受到抑制，也不利于儿童健全人格的发展。

同意能力的确立，顺应了儿童独立发展的理论趋势，使得适用范围遍及“所有影响儿童的事项”的参与权得以延伸至儿童个人信息处理活动中，肯定了儿童在其个人信息处理活动中的主体资格与地位。儿童不再仅仅只是“崇高的目的”(noble causes)，而且是“有价值的公民”(worthy citizens)。(11)See Katherine Covell，The Case for the Convention on the Rights of the Child from the Perspective of Child Psychology，in Clark Butler ed.，Child Rights：the Movement，International Law，and Opposition，Purdue University Press，2012，p.38.同意能力的确立也有助于未成年人在网络活动的决策参与中不断发展，在发展中不断健全其认知能力，进而形成良性循环。第十一次中国未成年人互联网运用状况调查结果显示，参与调查的未成年人互联网普及率达到99.9%，未成年人网络普及度基本趋于饱和。(12)参见方勇、季为民、沈杰、杨斌艳、季琳、叶俊主编：《中国未成年人互联网运用报告(2022)》，社会科学文献出版社2022年版，第3-4页。而在线学习、休闲娱乐等互联网服务的兴起也使得互联网线上活动在儿童成长的道路上不可或缺。随着互联网服务与个人信息处理深度绑定，儿童在使用互联网服务的过程中也必然伴随着个人信息的处理活动，儿童对互联网个人信息处理活动独立同意，也将成为儿童自我决策、自我发展的驱动力。儿童通过不断参与网络及信息处理活动，积极决策，增进对其自身有影响事项的认知，进而在发展中不断成长为能够独立思考的成年人。

(二)未成年人个人信息自决权之行使

同意能力在广泛意义上对未成年人主体地位的承认与尊重起到不可替代之作用，而聚焦至个人信息保护领域，确立未成年人信息同意能力，也是个人信息自决权行使之必然。首先，从儿童参与权的权利内容来看，“能够形成自己的看法”“能够自由表达这些看法”等表述表明，参与权实质上具有一种自我决定的属性，(13)参见前引〔6〕，朱广新书，第14页。这与个人信息领域的个人信息自决权理论不谋而合，是儿童参与权在个人信息保护领域的延伸。“个人信息自决权”的概念被德国学者施泰姆勒(Steinmüller)率先提出，并在1984年德国联邦法院著名的“人口普查案”判决后逐渐被学界所熟知和推崇。(14)参见杨芳：《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》，载《比较法研究》2015年第6期。个人信息自决权强调个人对其信息的自我控制，其核心要义在于信息主体得以独立决定是否向他人披露以及是否允许他人使用自己的个人信息。(15)Vgl.BVerfG NJW 1984，419(422)．而这种自我决定权并不限定享有该权利的主体类型，即使信息主体为未成年人，仍应有其自决之空间。其次，从个人信息自决权的内容来看，尽管个人信息主体在信息处理活动中的各种权利，如查阅复制权、删除权以及信息可携权等，均属广义上信息自决权之范畴，但知情同意规则仍是个人信息自决权的核心。“知情”是个人信息控制权的基础，而“同意”则是信息主体在判断信息处理活动中各种可能性的基础上做出对应选择的自由意志表达，对应了“决定权”的根本属性。(16)参见高志宏：《大数据时代“知情——同意”机制的实践困境与制度优化》，载《法学评论》2023年第2期。知情同意规则设置之目的在于从程序上保证个人信息处理活动的透明度，进而确保个人信息自决权的实现，顺应人的主体地位及人格自由发展之需要。由此，同意能力之于个人信息自决权，相当于行为能力之于权利能力，即对于未成年人这一法律主体而言，个人信息自决权何时能够行使、如何得以行使，有赖于同意能力之确立。当然，由于个人信息处理活动的复杂性，未成年人参与个人信息处理活动的认识、辨别能力存在一定的“理性瑕疵”。但这些“理性瑕疵”仅仅关涉在法秩序层面立法者应当在保护性规范中确立未成年人可独立自决的范围，而不是“一刀切”式否定未成年人独立有效之同意。而这也恰恰是同意能力理论提出之动因——确立未成年人可独立做出有效同意之临界节点，并结合未成年人个人信息保护实践明确其独立同意之边界。

此外，个人信息自决权的行使强调对个人信息的有效控制。未成年人的个人信息不同于一般主体的个人信息：一方面，未成年人的生活环境相较于成年人而言更为单一，这使得未成年人个人信息碎片化程度更低，更易进行身份识别，从而增加信息泄露的风险；另一方面，未成年人数据具有更高的成长性。未成年人触网低龄化使得个人信息处理者不仅会获取未成年人的实时网络数据，也包括其成长历程数据。(17)参见前引〔3〕，付新华文。在数字技术的辅助下，将会形成对未成年人的行为偏好、性格特质等的精准分析和预测，从而完成对未成年人数字人格的深度塑造。根据角色理论，数字人格极有可能反哺儿童自我人格之成长与实现。(18)角色理论主张人格的塑造与个人的自我行动以及社会对此的反应有关，每个人都会根据角色的不同需要采取不同的行为方式。基于此，这种有效控制不仅强调具备一定成熟度的未成年人可自主控制其信息，也强调对不具备辨识能力的未成年人，通过监护人的介入辅助其有效控制，进而达到真正的符合其利益取向的“信息自决”。而这正是引入同意能力理论所意欲实现的双重功能——除了划定未成年人自我控制的边界外，基于儿童主体的特殊性，对需要监护人介入以达到信息的有效控制这一命题提供“解题思路”。

(三)同意能力、行为能力与意思能力之区分

综合现有研究及合规实践来看，同意作为民事行为的一种，在其能力判定上仍受到行为能力理论的影响。(19)实践中大部分APP均提示不满十八周岁的未成年人仍需就隐私政策获取监护人同意。参见《作业帮用户隐私政策》(2023年3月7日生效版)、《王者荣耀隐私保护指引》(2023年1月3日生效版)等。理论层面的探讨参见冯恺：《个人信息处理中“儿童同意”的年龄标准》，载《暨南学报(哲学社会科学版)》2021年第8期。我国民法学界在阐述行为能力时也往往诉诸意思能力，并将其作为行为能力之基础。(20)参见王利明：《民法总则研究》，中国人民大学出版社2018年版，第190页；魏振瀛主编：《民法》，北京大学出版社、高等教育出版社2021年版，第56页。因而，即使同意能力在未成年人个人信息处理中有存在之必要，但其能否脱离现有行为能力理论而独立存在，仍有赖于辨明同意能力、意思能力以及行为能力概念之关系。

意思能力一词在日本民法学界和司法实务中被长期使用。《日本民法典》于2017年修订时增加了关于意思能力的规定。(21)参见《日本民法典2017年大修改》，刘士国、牟宪魁、杨瑞贺译，中国法制出版社2018年版，第3页。意思能力是一种一般人所具备的意思决定能力，指向将自身的意思对外传达给他人以形成一定的法律关系这一场景。(22)参见〔日〕池田真朗：《民法的精义》，朱大明、陈宇、金安妮、王梓译，清华大学出版社2020年版，第12-13页。从构成要素上来看，意思能力首先需具备理解能力，即正确认识自己的行为，同时需能够按照该认识控制自己的行为，即自主决定能力。(23)新井誠「権利能力、意思能力、行為能力、不法行為能力」法学教室144号(1999年)16頁参照。由于意思能力往往取决于人的心智、经验等因素，多强调人的主观意思，在实务中需要就个案情况予以考察。这种个案审查的方法，一方面使当事人的举证极为困难，甚至需要花费大量的成本(如司法鉴定)才得以判定主体之意思能力；另一方面，意思能力的个案判断依赖法院裁判，这种后置的判定方式使当事人双方在前置的交易过程中均处于一种法律不确定性之中，难以兼顾交易安全。(24)参见前引〔6〕，朱广新书，第31页。因此，行为能力制度实际上是意思能力外在表现的特定化与类型化，通过采用标准的行为能力概括具体的意思能力判定，进而达到稳定交易者预期、降低交易成本之目的。(25)参见常鹏翱：《意思能力、行为能力与意思自治》，载《法学》2019年第3期。这一观点也被其他国家民法学说或判例采纳。如德国学者认为，行为能力本质上是一种“理智地形成意思的能力”(26)〔德〕迪特尔·梅迪库斯：《德国民法总论》，邵建东译，法律出版社2013年版，第409页。，即行为能力的判定有赖于具体个案中意思形成能力的判定，但法律交往会因此面临不确定性的困扰，这不符合交易便捷性和安全性的考虑，因而德国民法的地位原则(Statusprinzip)得到普遍贯彻，通过无行为能力和限制行为能力的规定使行为能力有了类型化、标准化的法律判定依据。(27)参见〔德〕维尔纳·弗卢梅：《法律行为论》，迟颖译，法律出版社2013年版，第214-215页。《瑞士民法典》则在第13条及以下规定：“成年且有判断能力者有行为能力。”这里的“判断能力”的概念意涵与意思能力别无二致，均以智力因素与意志因素为构成要素。(28)参见前引〔10〕，李永军、张兰兰文。而我国《民法典》也将“辨认能力”作为除年龄以外判定行为能力的基准，实质上也肯定了“行为人的意思能力决定其行为能力，以固化的行为能力标准覆盖大概率具备意思能力的场景，进而减少交易成本”这一观点。(29)参见前引〔25〕，常鹏翱文。

综上，行为能力实质上是意思能力的类型化表达，其目的在于通过年龄等客观标准实现法律之安定性，维护交易安全。但行为能力的核心仍是判断行为人的理解能力及自主决定能力，而形式标准往往存在“一刀切”、忽略个体或情景差异的问题。(30)参见朱庆育：《民法总论》，北京大学出版社2016年版，第242-243页。因而，当僵化的行为能力制度在个案中无法确保当事人实现意思自治时(如心理发育障碍者的意思能力评价)，“年龄主义+有条件的个案审查”成为一种较为理想的模式。(31)参见张俊浩主编：《民法学原理》(上册)，中国政法大学出版社2000年版，第109页；

同意能力系指根据法律制度的评价，自然人可独立且有效同意某种对其自身干预的能力。(32)Vgl.Ansgar Ohly，Volenti non fit iniuria-Die Einwilligung im Privatrecht，1.Aufl.，2002，S．293-295．这种同意能力既要求信息主体能够意识到自己所同意的范围、自身的行为性质及后果，也要求信息主体能够具备支配上述认识意思的能力，(33)参见黄芬：《侵权责任法中的受害人同意能力》，载《暨南学报(哲学社会科学版)》2010年第2期。这与意思能力所要求的理解能力和自主决定能力相契合。因而，无论是行为能力或是同意能力，均以主观上具备一定的意思能力为前提，这种意思能力包括基于理解行为性质、内容及目的的智力因素以及基于控制自我行为的意志因素，这也是部分观点将同意能力与行为能力混同的原因之一。但同意能力对意思能力的要求往往比行为能力更低。首先，行为能力制度的设立更多是基于交易成本和交易安全的考虑。而在交易行为中，当事人除了需要对交易双方的行为和后果有相应的认知外，还需要有交往关系中平衡和合理计算利益的智慧，因而交易活动以更高的效果意思为要素，此时主体需具备更高的意思能力才能取得其意欲发生的法律效果。(34)参见龙卫球：《民法总论》，中国法制出版社2002年版，第218-219页。而在个人信息处理场景中，根据《民法典》及《个保法》之规定，个人信息处理活动包括收集、存储、加工、使用、提供等事实行为，对该些行为的同意仅意味着同意他人在授予的权限内从事某项事实行为，仅涉及个人信息主体对其自身权益的防御性让渡，并不涉及双方交易中的取舍与权衡；且该同意行为的法律效果也并非完全是信息主体“意欲”发生，因为其在实现对应的服务场景外一般并不具备更多对信息主体来说可真实获益的处理目的。(35)参见万芳：《个人信息处理中的“同意”与“同意撤回”》，载《中国法学》2021年第1期。因而，即使是未成年人作为信息主体，也仅需要具备认知到这一单方处分行为的性质和后果，并能够根据自己的经验及利益作出是否接受的同意表示的意思能力即可。可以说，信息同意能力对意思能力的要求仅及于建立在认知基础之上的判断能力层次；而民事行为能力则将意思能力推及更高的在运用认知判断的基础上形成的推理能力层次。(36)参见李庆海：《论民事行为能力与民事责任能力》，载《法商研究》1999年第1期。其次，《中国未成年人互联网运用状况报告(2022)》调查结果显示，参与调查的未成年人中，10岁前首次接触互联网的比例高达44.6%。(37)参见前引〔12〕，方勇、季为民、沈杰、杨斌艳、季琳、叶俊主编书，第4页。首次触网的低龄化意味着未成年人在网络个人信息处理环境中的意思能力显然与限制行为能力制度所划定的年龄界限(8～18周岁)存在较大的出入，过高的行为能力要求反而会阻碍未成年人除个人信息保护外其他利益的实现(如社交利益、社会参与权等)，不符合有利于未成年人利益推定的基本原则。从比较法视角观之，同意能力与行为能力的区分论也逐渐成为主流观点。比如德国联邦最高法院的判例认为，如果考察一名未成年人内在的成熟程度，发现其能够对侵害行为以及同意该种侵害的后果进行理解并衡量，那么该未成年人可独立进行同意。(38)参见前引〔26〕，迪特尔·梅迪库斯书，第162页。美国判例中亦承认未成年人在其发展的不同阶段获得了同意不同种类的入侵和行为的能力，如果一个未成年人能够理解同意的事项、程度及可能的后果，则其就可以作出有效同意。(39)See Cardwell v.Bechtol 724 S.W.2d 739.这也能够说明《个保法》第31条所规定的14周岁标准，与民事行为能力制度所规定的18周岁产生一定程度背离之原因。

再者，同意能力具备与否决定了未成年人是否能够独立进行同意，行为能力具备与否则决定了行为主体能否独立实施法律行为。因而，有学者试图由上述关系推论出，同意行为的性质认定决定了同意能力与行为能力之间的关系。(40)参见前引〔19〕，冯恺文。如果同意是一种意思表示，则同意能力当然为行为能力所涵括，反之则存在一定的独立价值。但本文认为，同意行为的法律定性并不能成为同意能力独立性论证的决定性因素，此种论证陷入了一种“非黑即白”的逻辑误区。个人信息同意的性质认定在学理上存在争议，大体上分为意思表示肯定说与否定说两类。(41)支持“意思表示肯定说”的观点参见前引〔10〕，李永军、张兰兰文；陆青：《个人信息保护中同意规则的规范构造》，载《武汉大学学报(哲学社会科学版)》2019年第5期；郑佳宁：《知情同意原则在信息采集中的适用与规则构建》，载《东方法学》2020年第2期。支持“意思表示否定说”的观点参见程啸：《论个人信息处理中的个人同意》，载《环球法律评论》2021年第6期；王琳琳：《个人信息处理“同意”行为解析及规则完善》，载《南京社会科学》2022年第2期；张新宝：《个人信息保护法的基础理论与制度安排》，载https：//www.civillaw.com.cn/gg/t/？id=38270#，最后访问时间：2023年7月9日。支持“意思表示否定说”的学者认为，同意行为的法律效果在于阻却个人信息处理活动的违法性，这种法律效果经由《个保法》第13条所确立，而非依据信息主体的意愿所确立，其是一种准法律行为。(42)参见前引〔41〕，程啸文。但从学理角度而言，准法律行为在实定法中甚少着墨，在法律适用时原则上需类推适用法律行为相关规定，而法效意思的缺失势必会使得同意所需之意思能力显著降低，径行适用行为能力相关规定极有可能导致具备意思能力的未成年人的发展权及自决权受损。而在“意思表示肯定说”的阵营之中，多数学者也难以解释意思表示相关规则(如意思表示撤销与撤回)在个人信息同意中的适用困境，认为同意即使是一种意思表示，也属于一种“非典型意思表示”，与传统的意思表示并不完全契合，只有在《个保法》无特殊规定之情形下，才适用意思表示相关法律规则。(43)参见于海防：《个人信息处理同意的性质与有效条件》，载《法学》2022年第8期。此时，即使同意属于意思表示的一种，但同意能力仍具备独立价值。由此来看，无论如何定性同意行为，实际上均不影响同意能力区别于行为能力而独立存在。况且，基于个人信息所具备的人格权益属性，同意确有阻却不法之功能，但同意作为意思自决的一种外化表达，也难以脱离作为私法自治工具的法律行为之束缚，同意之效果完全法定的结论亦与常识相悖。而此种非典型性的同意行为亦需通过同意能力体系之建构，跳脱法教义学视角之桎梏，为未成年人参与个人信息处理活动决策提供最佳保护。

实践中之所以出现以行为能力的年龄标准判定未成年人是否可独立同意的情形，是因为混淆了个人信息处理行为与基础的服务合同关系，进而将民事行为能力下的效力判定规则错误地适用于个人信息处理活动中。尽管实践中的个人信息处理活动通常会基于一定的服务场景，但这并不意味着基础的服务合同与个人信息处理行为为同一法律关系。首先，我国《个保法》第16条规定个人不同意处理信息或撤回同意，个人信息处理者不应拒绝提供服务，这表明个人信息的提供与否并不必然影响基础服务的合同成立。(44)参见林洹民：《个人数据交易的双重法律构造》，载《法学研究》2022年第5期。个人信息处理中的同意仅能作为对外提供个人信息的合法性依据，其因缺乏主给付义务而难以上升至债务合同意义上的合同同意。(45)Vgl．Patricia Maria Rogosch，Die Einwilligung im Datenschutzrecht，1.Aufl.，2013，S．45f．欧洲数据保护监督员(European Data Protection Supervisor)在2017年3月发布的《关于数字内容供应合同某些方面的指令提案的第4/2017号意见》中，亦否定个人信息可被作为对价换取数字内容服务这一观点，认为其不符合《欧盟基本权利宪章》第8条将个人数据保护作为一项涉及人格利益的基本权利的规范目的。(46)See European Data Protection Supervisor，Opinion 4/2017 on the Proposal for a Directive on Certain Aspects concerning Contracts for the Supply of Digital Content， 14 March 2017.其次，尽管《个保法》第13条将履行合同所必需作为个人信息处理活动的合法性基础之一，但这并不意味着立法者将个人信息处理活动本身作为合同之标的。欧洲数据保护委员会(European Data Protection Board)曾在其2019年发布的指南中明确指出，在线服务合同的签署并不等同于个人信息的同意，这是两种不同的合法性基础，而“履行合同所必需”这一合法性基础仅指向个人信息处理活动构成服务重要组成部分的情形，比如线上购买合同中获取信用卡支付信息及收货地址信息。(47)See European Data Protection Board，Guidelines 2/2019 on the Processing of Personal Data under Article 6 (1) (b)GDPR in the Context of the Provision of Online Services to Data Subjects， Version2.0，8 October 2019 ．在此情境下，提供个人信息的行为仅仅是作为一种辅助履行合同的情形，而非直接构成合同之标的。

三、未成年人个人信息同意能力之判定

前文在应然层面论证了未成年人在个人信息处理中同意能力的独立价值，在实然层面则需关注如何为同意能力的判定提供细化之依据。尽管《个保法》第31条似乎是将14周岁作为确定未成年人同意能力的唯一标准，但就同意能力的内涵而言，同意能力以具备一定的意思能力为前提，本应进行个案实质判断。考虑到个案判断势必会影响法律安定性，立法者采取固化年龄标准这一立法技术，强制将符合同一年龄条件的自然人同等对待，降低法律运行的不确定性。(48)参见戴津伟：《年龄立法的原理与技术研究》，载《学术交流》2016年第12期。由此，固化的年龄标准虽可以节约判断成本，但仍难以涵括同一年龄的儿童在其行为和思想层面的现实差异。(49)参见前引〔19〕，冯恺文。随着未成年人不断成长发育，其易变性也将随着年龄增长而不断增大，尤其是进入义务教育阶段之时，儿童开始深度参与社会生活，其意思能力也会发生跃进式突变。(50)参见朱广新：《民事行为能力制度的体系性解读》，载《中外法学》2017年第3期。此时，儿童意思能力与年龄标准之间的鸿沟将愈加明显。因此，为最大限度地平衡法律稳定性与个案的实质公平，同意能力之判定在以14周岁为原则的基础上，仍需适度扩张其裁量因素，以弥补年龄标准的局限性。

(一)未成年人个人信息同意能力判定的裁量因素

本文认为，应将个人信息类型、个人信息处理目的及个人信息处理方式纳入未成年人同意能力判定的考量范围。首先，同意能力是主体对其所作决定的性质、程度以及后果的理解能力，(51)参见前引〔41〕，程啸文。这种理解能力关涉未成年人主观上对事物认知的成熟程度。当然，因主观心理内在的不易显现，法律主体主观意思能力的判定在实务中面临一定的困难。同为主观状态之判定，侵权法领域的过错认定也一度面临此种难题。在侵权法领域的过错理论中，主观过失理论曾一度占据主导地位，该理论认为对于行为人过错的判断应采取主观标准，即考察行为人的心理状态。但心理状态难以证明，且在新型危险事故中难以有效保护受害人之利益，为矫此弊，现代侵权法开始转向过错客观化的认定方式，根据社会生活共同需要，提出以客观标准来判断行为人之过错，并在此基础上形成“善良管理人”等客观化的判定标准。(52)参见程啸、张发靖：《现代侵权行为法中过错责任原则的发展》，载《当代法学》2006年第1期。这种客观化的判定路径可为同样以未成年人主观意思能力为基准的同意能力的判定所借鉴。未成年人的同意能力本质上是考察未成年人对个人信息处理行为的性质、内容及后果等事项同意之能力，因此，当此种主观意思转化为客观化认定时，必然需要将同意在客观上所指向的对象，即其所同意事项的客观标准纳入同意能力之考量范围。这在比较法上同样有迹可循，比如日本《个人信息保护指南》将需法定代理人代为同意的未成年人年龄限定在12周岁至15周岁的弹性区间内，并通过处理个人信息所涉事项的性质单独确定个案中未成年人可独立同意的具体年龄。(53)個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&A」，平成29年2月16日(令和5年5月25日更新)，Q1—62，16頁参照。

而个人信息处理行为的性质、内容及后果这一同意事项在客观上可拆解为个人信息类型、处理目的及处理方式这三大核心要素。其一，个人信息处理活动均可以简化为“个人信息处理者因何种目的而处理信息主体(未成年人)的何种个人信息，该主体会获取何种服务之便利”这一基本构成。比如，工业和信息化部曾在2021年开启“信息通信服务感知提升行动”的监管活动，要求互联网平台企业建立个人信息保护“双清单”，即已收集个人信息清单和与第三方共享个人信息清单，“双清单”简明扼要地将信息主体最为关注的信息处理规则内容予以展示，但“双清单”的告知内容仍未脱离信息种类、使用目的、使用场景及共享方式等核心要素。(54)参见工业和信息化部《关于开展信息通信服务感知提升行动的通知》(工信部信管函〔2021〕292号)。实践中绝大部分互联网服务的隐私政策中最核心的个人信息处理规则，也均表现为上述三大要素，比如《微博隐私政策》(2022年3月3日生效版)在“我们如何收集和使用您的个人信息”一章中，对注册和登录账号这一功能所涉及的个人信息处理活动表述为“在您注册微博账号或使用账号管理功能添加其他账号时，我们会通过注册和登录流程收集您的账户昵称、密码、密码保护选项、电子邮箱、手机号码”。其二，《个保法》第14条第2款规定，在个人信息种类、处理目的及处理方式发生变更时应重新获取信息主体的同意。该条款表明，立法者将个人信息种类、处理目的及处理方式作为对个人信息权益影响最大的三个要素。(55)参见周汉华：《个人信息保护法条文精解与适用指引》，法律出版社2022年版，第120页。《个保法》第6条要求针对个人信息的处理应与处理目的直接相关，这使处理目的成为个人信息处理活动中最基础之要素，即处理目的决定了个人信息的类型以及以何种方式来处理。当处理目的变更时，个人信息处理的范围也会随之变化。而处理方式的变更，也会对信息主体产生重大影响。在此基础上，未成年人个人信息的身份易识别性使得个人信息种类、处理目的及处理方式对未成年人个人权益的影响愈加突出。因此，个人信息类型、处理目的及处理方式应纳入同意能力判定的裁量范围。

其次，如文义解释无法揭示条文的真实含义，则应考虑以法律条文在体系上的关联性来探求其含义。(56)参见王利明：《法律解释学导论：以民法为视角》(第3版)，法律出版社2021年版，第287页。“不满14周岁未成年人个人信息”的表述使《个保法》第31条与第28条建立起体系上的关联。《个保法》第28条将不满14周岁的未成年人个人信息纳入敏感个人信息予以保护，这是因为未成年人对其个人信息的控制力较弱，极易在难以辨认个人信息处理活动风险的基础上随意授权，且又深度参与网络活动，信息暴露程度高，更易面临信息泄露所带来的权益侵害风险。(57)参见宁园：《敏感个人信息的法律基准与范畴界定——以〈个人信息保护法〉第28条第1款为中心》，载《比较法研究》2021年第5期。上述未成年人的特质也是监护人同意规则设立的根本原因。从敏感个人信息的界定来看，尽管《个保法》第28条通过列举的方式将部分个人信息类型纳入敏感个人信息予以规定，但已被列举的信息类型的敏感度并非一成不变。通说认为，个人信息敏感性应结合“场景要素”进行综合判定。(58)参见王利明：《敏感个人信息保护的基本问题——以〈民法典〉和〈个人信息保护法〉的解释为背景》，载《当代法学》2022年第1期；张勇：《敏感个人信息的公私法一体化保护》，载《东方法学》2022年第1期；孙清白：《敏感个人信息保护的特殊制度逻辑及其规制策略》，载《行政法学研究》2022年第1期；前引〔58〕，宁园文。如若个人信息的敏感度不足以达到“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”的程度，已被明确列举的敏感个人信息类型也可在满足一定场景要素的前提下被择出。由此推论，不满14周岁未成年人的个人信息这一“敏感个人信息”也可因场景因素之影响而脱离权益侵害高风险的敏感度要求，从而不具备适用监护人同意规则之前提(随意授权带来的权益侵害高风险)，进而具备同意能力。而对于场景要素的提取，尼森鲍姆教授将影响信息敏感度的场景变量归结为信息主体、信息性质、信息传输原则、信息发送者以及信息接收者五项。(59)See Helen Nisenbaum，Privacy in Context：Technology，Policy，and the Integrity of Social Life，Stanford University Press，2010，pp.140-147．有学者考虑将处理目的、处理条件、信息控制者和潜在的信息接收者之利益、处理后果等作为场景因素。(60)See Spiros Simitis，Revisiting Sensitive Data (1999)，Review of the Answers to the Questionnaire of the Consultative Committee of the Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data (ETS 108)(Strasbourg，24-26 November 1999)，available at http：//rm．coe．int/09000016806845af，last visited on Jul.9，2023.有国内学者进一步结合学说及立法，将场景要素区分为信息主体、信息处理者、第三方主体、信息性质及处理目的五类。(61)参见王苑：《敏感个人信息的概念界定与要素判断——以〈个人信息保护法〉第28条为中心》，载《环球法律评论》2022年第2期。但无论采取何种要素提取之方式，个人信息类型、处理目的及处理方式这三大要素均包含在场景要素中，对此已形成一定程度的共识。(62)部分学者所提及的信息性质实质上等同于信息类型，第三方主体、信息接收方等表述实际指向信息共享等处理方式。这也在我国立法上有所体现，比如《个保法》第26条从信息类型(个人图像、身份识别信息)、处理目的(维护公共安全)、处理方式(维护公共安全的组织采集或识别)等条件限定出发，排除了属于生物识别信息类别的人脸信息在上述场景中的敏感性。由此，即使依照个人信息主体之特殊性，将不满14周岁的未成年人个人信息纳入敏感个人信息之范畴，但如若信息的类型、处理目的以及涉及信息处理者和第三方共享等处理方式上并未表现出相当的敏感度，则仍可以将此场景从敏感个人信息中择出，判断其具备独立同意之能力。

(二)未成年人个人信息同意能力裁量因素之具体适用

在将个人信息类型、处理目的及处理方式纳入同意能力判定的裁量因素后，未成年人个人信息同意能力将会以14周岁为分界，形成一定的例外性规范，即不满14周岁的未成年人在一定情形下仍具备辨识自己行为及后果的能力，进而得以判定其具有同意能力；相反，即使是已满14周岁的未成年人，仍可能存在不具备同意能力之例外情形。为防止个案判断的随意性，以下将通过同意能力判定裁量因素的具体适用，结合个人信息保护实践就例外性场景予以细化。

1.不满14周岁未成年人同意能力判定中的具体适用

尽管不满14周岁的未成年人在一定情形下仍具备同意能力，但由于在未满14周岁的成长阶段，未成年人的心智发展程度仍存在较大的“理性瑕疵”，在结合个人信息类型、处理目的及处理方式等裁量因素对未成年人同意能力进行判定时，仍应依循未成年人最大利益原则对未成年人进行充分保护，以达到“赋权”与“保护”之平衡。因此，在对不满14周岁未成年人同意能力进行判定时，个人信息类型、处理目的及处理方式应为其必要条件，在具体适用时予以严格限制，只有同时满足下列条件方可认定未成年人具备独立同意能力。

(1)信息主体年龄：8周岁至14周岁。前述已论及，同意能力与行为能力因意思能力而相互关联又相互区分。同意作为广义上民事行为的一种，在其能力判定中仍需考虑与行为能力制度衔接的问题，以防止出现新的法律适用困境。尽管在《民法典》编纂期间，是否下调限制行为能力的年龄下限以及如何下调的问题引起了广泛的争议，但最终立法者按照“积极又稳妥的要求”，将限制民事行为能力人的年龄下限修改为8周岁。(63)参见《第十二届全国人民代表大会法律委员会关于〈中华人民共和国民法总则(草案)〉审议结果的报告》，载http：//www.npc.gov.cn/npc/c12435/201703/23e1fcfe184d401597d3b03a796e5705.shtml，最后访问时间：2023年7月9日。8周岁作为取舍权衡后的年龄划分基准，表明8周岁以下儿童的意思能力难以支持其在个人信息处理活动中理性地形成同意。同时，《中国未成年人互联网运用状况报告(2021)》调查结果显示，未成年人首次触网年龄集中在6～10岁。(64)参见季为民、沈杰、杨斌艳、季琳主编：《中国未成年人互联网运用报告(2021)》，社会科学文献出版社2021年版，第4页。因而将不满14周岁但可独立同意的儿童限制在8周岁以上，既符合互联网相关实践，又能够与行为能力制度相衔接。

(2)处理目的：与未成年人认知相匹配的学习、生活、社交、娱乐等基本功能服务。实践中，基于最小必要原则的要求，个人信息处理活动往往伴随一定的处理目的，而多种处理目的构成了某一类产品或服务下的不同功能。2022年发布的数据显示，在未成年网民中使用占比较高(占比40%以上)的互联网活动主要集中于在线学习、听音乐、玩游戏、聊天、看短视频以及搜索信息，除此之外，社交网站、看视频、看动漫及直播等活动未成年人也可能涉猎。(65)参见共青团中央维护青少年权益部、中国互联网络信息中心：《2021年全国未成年人互联网使用情况研究报告》，载http：//news.cyol.com/gb/articles/2022-11/30/content_Q4V0qztjZm.html ，最后访问时间：2023年7月9日。从其他数据源来看，未成年人所集中高频使用的互联网服务类型也大致相同，在线学习、网络游戏、聊天、视频音乐等活动占比仍名列前茅。(66)参见前引〔12〕，方勇、季为民、沈杰、杨斌艳、季琳、叶俊主编书，第41页。这表明，学习教育类、在线影音类、即时通信类、网络社区类等以学习、生活、社交、娱乐为目的的服务，因与未成年人成长生活息息相关，被使用的频率较高。基本服务往往限定在大众所能理解的与互联网服务品类直接相关的服务，如学习教育类的基本服务为“在线辅导、网络课堂等”，(67)参见《常见类型移动互联网应用程序必要个人信息范围规定》中关于移动互联网应用服务基本功能的分类标准。课程购买、个性化广告等场景则不在基本服务之列，未成年人对于基本服务的理解也达到了相当程度的认知水平。国家互联网信息办公室等四部门联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》也根据实践的需要，将常见的互联网应用的基本服务与其所需的个人信息必要范围予以界定，能够为“与未成年人认知相匹配的学习、生活、社交、娱乐等基本功能服务”的处理目的认定提供实践指引。因而在此类场景下，应存在不满14周岁的未成年人独立同意之空间。

值得注意的是，尽管网络游戏也是未成年人娱乐的主要方式，但网络游戏领域是未成年人网络防沉迷监管的重点领域，存在诸多监管限制，且网络游戏往往具有一定的诱导性，未成年人会因网络游戏界面的绚丽以及玩法的多样而忽略其中的信息泄露风险。因而，未成年人网络游戏类服务不应被纳入独立同意能力判定的考量范围内。

(3)信息类型：实现基本服务所必需的非敏感个人信息。在前述处理目的限制的前提下，对于该些处理目的所需要获取的未成年人个人信息，理应符合《个保法》所确立的信息最小化原则，包括收集的个人信息类型应与实现产品或服务的业务功能直接相关，以及在自动化采集的条件下应满足最小化频率之要求。(68)参见龙卫球：《〈中华人民共和国个人信息保护法〉释义》，中国法制出版社2021年版，第25页。只有与处理目的直接相关的信息，才能够为未成年人所理解。如在线学习功能下，所必要的个人信息仅为注册用户移动电话号码及必要的学习记录，用于在服务内展示。至于为何将信息类型限定在非敏感个人信息，将在已满14周岁未成年人同意能力判定的适用中具体阐述。

(4)处理方式：排除信息共享等可能加剧信息泄露风险之方式。数据共享是数据从数据控制者到数据使用者之间的流动。(69)参见高富平：《数据流通理论——数据资源权利配置的基础》，载《中外法学》2019年第6期。一方面，在个人信息领域，信息共享往往意味着在个人信息处理活动中存在多个信息处理主体，尤其是信息主体为不满14周岁的未成年人时，信息处理链条越长，参与主体越多，他们往往越难以从表象判断被共享主体的数据安全保障能力及承责能力；另一方面，这种流动会进一步削弱未成年人对其个人信息的控制，进而使得个人信息泄露的风险更高。因而，出于对不满14周岁的未成年人的保护，如存在信息共享的处理方式，则难以确认其具备独立同意之能力。

2.已满14周岁未成年人同意能力判定中的具体适用

已满14周岁的未成年人即使已具备一定的识别能力，但基于互联网服务的黑箱问题、诱导问题等现状，仍有可能被判定为不具备相应的同意能力。需注意的是，否定已满14周岁未成年人的同意能力，是基于对未成年人实施特殊保护这一理念，将“赋权”劣后于“保护”。因此，只要某一处理场景(无论是否涉及全部的裁量因素)所带来的风险难以为已满14周岁的未成年人所识别，其风险足以危及未成年人特殊保护这一根本目标，仍可直接否定其同意能力。也即，裁量因素将会是已满14周岁未成年人同意能力判定的充分条件，只要具备下列其一即可判定其不具备相应的同意能力。

(1)处理目的：个性化推送服务

个性化推送服务的基本运行逻辑在于通过算法分析从各种渠道获取的用户个人信息，预测用户的偏好、行为习惯等特征，并进行精准信息推送或广告触达。(70)参见林洹民：《个性化推荐算法的多维治理》，载《法制与社会发展》2022年第4期。个性化推送服务虽在一定程度上可以助益未成年人的成长，比如部分在线学习应用会根据未成年人不同年龄推荐课程内容，但个性化推送服务的终极目标在于吸引、诱导用户进而增加其用户黏性，扩大其线上营销收入，这表现为个性化推送服务的按钮在APP内往往极为隐秘且默认开启，如抖音(软件版本号为version24.5.0)将个性化内容推送开关的管理页面置于冗长的完整版隐私政策正文的超链接中，且完整版隐私政策的查看也需要通过点击简明版隐私政策正文中的超链接实现。这对缺乏自制力的未成年人来说会加剧其沉迷网络的风险。英国信息委员会在2019年的报告中也指出，儿童会受到擅长“轻推”技术的应用程序的诱导，在网络上花费越来越多的时间。(71)See Information Commissioner’s Office，Age Appropriate Design：A Code of Practice for Online Services，available at https：//ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/childrens-information/childrens-code-guidance-and-resources/age-appropriate-design-a-code-of-practice-for-online-services，last visited on Sept.30，2023.

更为关键的是，个性化推送服务所涉及的个人信息处理活动，其内容与后果均远超未成年人的理解能力范围。首先，个性化推送服务本质上是基于用户画像的服务，其运行机制的核心在于通过大量的个人信息投喂，以算法模型训练的方式达到固化用户画像标签的目的。对于未成年人而言，获取的个人信息越多，其画像标签越具体，个性化推送的机制则会越依赖于画像标签投放未成年人偏好的内容，所形成的浏览记录等信息则会重新进入画像标签训练的模型之中进一步修正其画像偏好，形成“信息—画像”的循环。一方面，这种模式会根据未成年人的偏好变化修正其画像标签的精准度，使得未成年人对平台所推送的内容难以拒绝，增加沉迷网络的风险；另一方面，个性化推送服务作为一种信息自动过滤和分发工具，依据此种画像机制所推送的内容将会越来越集中于未成年人所偏好的内容，进而带来“信息茧房”以及“过滤泡泡”(Filter Bubble)(72)See Eli Pariser，The Filter Bubble：How the New Personalized Web Is Changing What We Read and How We Think，Penguin Books，2011，p.5.等弊端，限缩其认识世界的视野，这对正处于成长中需要广泛接收信息以形成正确人生观的未成年人是极为不利的。其次，未成年人的个人信息相较于成年人而言具有一定的成长性，这种成长性意味着，一旦未成年人个人信息进入用户画像机制中，将难以有效删除，长此以往，这种差异化的预测分析可能会加剧未成年人的身份歧视，而这种歧视往往难以评估后果，致使事后追责也极为困难。(73)参见孟晓丽：《数字时代父母对未成年子女信息权益的法律保护研究》，载https：//doi.org/10.13624/j.cnki.jgupss. 20221209.002，最后访问时间：2023年7月9日。此外，算法的不可解释性和“算法黑箱”的问题会加剧个性化推送所涉及的信息处理活动的复杂度，当数据的输入及画像标签的输出均需要通过算法模型进行时，未成年人往往难以理解相关处理活动的运算逻辑。即使算法服务提供方对外披露其个性化推荐算法运行机制，但在对外披露的表述上，平台往往会弱化甚至忽略可能造成的后果，(74)比如小红书(软件版本号为v7.77)仅在算法说明界面说明可能会处理“设备信息、地理位置信息、浏览记录和点击操作记录”，在处理方式上仅强调“会使用计算机算法对上述信息进行自动计算和分析，以此来提取您的个性化特征，并向您推荐您可能感兴趣的内容”，并未说明算法的运行机制及可能对个人尤其是未成年人产生的影响。使得未成年人难以对个性化推送的负面影响形成有效认知。综上，在个性化推送服务场景下，因未成年人无法准确判断信息处理的内容及可能对其带来的后果，应认定其不具备同意能力。

(2)个人信息类型：未成年人敏感个人信息处理

《个保法》第28条将信息主体客观上所面临的权益侵害风险作为敏感个人信息界定的法律基准，(75)参见前引〔57〕，宁园文。这意味着被界定为敏感个人信息的信息类型，无论该信息是否为未成年人的个人信息，均面临相当程度的权益侵害风险。而未成年人相较于成年信息主体信息控制能力更弱，且由于其在网络世界的活跃度较高，个人信息暴露程度更高，因此，未成年人的敏感个人信息的处理所面临的权益侵害风险实则比一般敏感个人信息要更为严峻，换言之，未成年人敏感个人信息的处理是一种“风险叠加”式的个人信息处理活动。比如就行踪轨迹而言，目前市面上的儿童电话手表为让父母实时掌握孩子的行踪，均在出厂时自带精准定位功能，部分品牌型号的电话手表甚至宣传能够精准定位孩子所在的具体楼层，(76)如小天才z8少年版电话手表在其宣传页说明该款手表可以定位至所在楼层，且能够通过定位系统获取未成年人实时轨迹，详见https：//www.okii.com/html/pc/products/z8.html，最后访问时间：2023年7月9日。但此项行踪轨迹信息如被泄露或不当使用，将会使未成年人的人身安全面临巨大的风险，未成年人本人及其家庭均难以承受此种损害后果的发生。因而，此种个人信息处理活动的风险是未成年人自身难以独立做出权益让渡的。在一般敏感个人信息的处理中，针对成年且有判断能力的信息主体，《个保法》仍在知情同意环节设置了“单独同意”的要求，以补强信息主体对敏感个人信息权益侵害风险的认知及判断，举轻以明重，当面对未成年人敏感个人信息的处理活动时，应当在“单独同意”之外，纳入其他降低风险之措施。比如针对上述举例，国外对针对未成年人获取精确地理位置信息或轨迹追踪服务也设定了特殊保护义务，英国《适龄设计规范》(Age Appropriate Design Code)要求默认情况下在线服务应关闭地理位置选项，且当位置跟踪选项处于持续开启状态时，要以显著的标志提示儿童，并在每次服务后自动关闭跟踪。(77)参见前引〔71〕。而在我国，可结合敏感个人信息的类型，认定在此场景下未成年人不具有单独同意的能力，在知情同意阶段纳入监护人介入同意的额外环节，以对信息处理风险予以告知与控制。

四、结 语

“赋权”与“保护”始终是未成年人个人信息保护所面临的重大课题。赋予未成年人在个人信息处理中独立的同意能力，不仅顺应了未成年人独立成长、独立发展之需要，也是个人信息自决权在未成年人这一特殊主体上的延伸。同意能力不等同于行为能力，其并不涉及交易安全保障之价值目标，所需具备的意思能力的要求更低，这也是同意能力独立价值之所在。而在同意能力的判定上，应突破年龄标准的局限性，考虑个人信息类型、处理目的以及处理方式等因素进行综合判定。本文也以此裁量因素为蓝本进行同意能力判定的具体适用，提出了同意能力判定中的例外性规范场景。当8周岁至14周岁之间的未成年人接受符合其认知的在线学习、网络社交、在线影音等基本功能服务，个人信息处理者以非共享方式处理非敏感个人信息时，不满14周岁的未成年人可独立同意；当在个性化服务场景以及未成年人敏感个人信息处理场景下，即使已满14周岁的未成年人仍不具备相应的同意能力。