自正法 袁紫藤

（重庆大学 法学院，重庆 400044）

一、问题的提出

根据中国互联网络信息中心2022 年11 月发布的《2021 年全国未成年人互联网使用情况研究报告》，2021 年我国未成年①《未成年人保护法》第二条规定：“本法所称未成年人是指未满18周岁的公民。”《儿童个人信息网络保护规定》第二条规定：“本法所称儿童，是指不满14周岁的未成年人。”本文中的“未成年人”是与成年人相对的概念，是指未满18周岁的人，包含“儿童”的内涵。为统一用语，除法律规范的名称之外，本文中的“儿童、少年”都统一表述为“未成年人”。网民达到1.91 亿人，互联网普及率为96.8%，较2020 年提升1.9 个百分点。②《〈2020年全国未成年人互联网使用情况研究报告〉发布》，《国家图书馆学刊》2021年第4期。随着未成年人互联网普及率的逐年增长，未成年网民队伍不断扩大，逐渐成为网络用户的主力军。各大应用平台大肆使用注册、实名认证等服务，使得未成年人的个人信息被信息收集者、处理者所控制，其个人信息泄露的风险也随之增高。通过法规等政策工具，将个人信息侵害的负面效应降到最小，防范信息滥用风险已成为各国法规制定的主旋律。③申卫星：《大数据时代个人信息保护的中国路径》，《探索与争鸣》2020年第11期。

未成年人的个人信息与自然人的个人信息之间是特殊与一般的关系，未成年人个人信息除了具有一般个人信息的共同特点外，也具有其自身的特殊性：（1）权利主体的特殊性。与一般个人信息的权利主体不同，未成年人个人信息的保护主体限于未成年人群体，即未满18 周岁的公民，而在这一范围之内，依据《中华人民共和国未成年人保护法》（以下简称《未成年人保护法》）、《儿童个人信息网络保护规定》（以下简称《儿童规定》）等法律法规的内容，又可以在客观上将未满18周岁的公民划分为未满14周岁的未成年人和14周岁以上未满18周岁的未成年人。未成年人这一群体因其社会认知程度、身心发育未全而决定了对其个人信息的保护要特殊于一般个人信息。（2）权益范围的多变性。区别于一般个人信息的权益范围基本特定，未成年人所享有的个人信息相关权益会随着年龄的增长而扩张，并不特定于某一范围。例如对于未满14 周岁的未成年人，其个人信息均属于个人敏感信息范畴，但当未成年人成长到14 周岁后，其个人信息将不再全部划分为个人敏感信息进行保护，而可以在一定范围内享有对自身个人信息的决定权。（3）权利行使的依赖性。不同于一般公民对自身个人信息享有的充分决定权，未成年人因其意思表示不完全，在对自身的个人信息做出决定时需要依赖于法定代理人，尤其是不满14 周岁的未成年人，其个人信息的处理必须征得监护人同意，依赖于监护人的意思表示。

荷兰学者米尔达·马赛纳特（Milda Macenaite）认为，在大数据时代，未成年人的个人信息保护面临着“赋权和保护”以及“个体化和平均年龄”的困境。①Macenaite, Milda."From Universal Towards Child-Specific Protection of the Right to Privacy Online: Dilemmas in the EU General Data Protection Regulation." New Media & Society 19, no.5（2017）: 765-779.“赋权与保护”作为实现“个性化与平均年龄”的前提，最直接也最根本地体现了国家对于未成年人个人信息的规定是否达到了既不过多限制又能使得未成年人的个人信息权益得到全面的保护的平衡状态。只有首先实现“赋权与保护”的平衡，再对未成年人的个体化与平均化进行深入研究和探讨才具有一定的理论和制度基础。故而，本文意图以法教义学方法，并结合部分案例对我国现行未成年人个人信息保护的现状展开分析，以“赋权与保护”为法理基础，发挥其“体系效应”，②自正法：《刑事诉讼法理与程序逻辑》，中国社会科学出版社，2022，第9页。厘清我国未成年人个人信息保护的逻辑结构，并进一步探讨在保护未成年人个人信息的同时，如何最大限度地赋予其应有的权利，以达到赋权与保护的平衡。

二、未成年人个人信息保护演进的逻辑结构

《儿童规定》、《未成年人保护法》、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）、《未成年人网络保护条例（征求意见稿）》（以下简称《征求意见稿》）的相继出台，满足了未成年人个人信息保护的现实需求，也顺应了法治社会发展的客观规律。③自正法、刘倩楠：《青少年网络游戏宵禁制度的法理依据与规范阐释》，《昆明理工大学学报（社会科学版）》2021年第5期。但这些法律法规的出台也不是一蹴而就的，其经历了漫长的摸索和发展过程，同时结合域外经验和我国国情的现实需要，才逐步建立起了保护未成年人个人信息的法律体系。

（一）未成年人个人信息保护的演变历程

根据我国对于未成年人个人信息所采取的不同法律用语可以将未成年人个人信息保护划分为三个阶段。第一阶段为孵化期（2002 年以前）。在互联网发展之初并没有个人信息的概念，个人信息伴随着信息时代的到来和蓬勃发展才逐渐受到重视。在此时期，我国的互联网处于起步阶段，在法律层面并没有对公民的个人信息进行保护的意识。对于侵犯公民隐私或个人信息的行为，统归于《中华人民共和国民法通则》第一百零一条，以名誉权加以保护。在周某诉郭某侵犯名誉权一案中，①《周达华诉郭宝金冒用其个人信息资料在网上进行内容低下的聊天侵犯名誉权案》，载北大法宝：法宝引证码CLI.C.23924。法院在判决书中使用是否具有“现实针对性”作为侵权的条件，其实质上即为个人信息中的可识别性问题，本质上也是对个人信息的一种保护。

第二阶段为雏形期（2003～2016 年）。2003 年我国互联网进入了快速发展期，网络普及率大幅提升，各类互联网交易蓬勃发展，商务部组建后也成立了信息化司。但是对于信息的流转和储存技术并没有使得公民的个人信息受到太大的威胁，相较而言，个人隐私问题受到了广泛讨论。2009 年颁布实施的《中华人民共和国侵权责任法》第二条也对公民的担忧做出了回应，首次在法律层面规定了公民的个人隐私受到保护，在此期间所发生的个人信息侵权问题也大多以隐私权作为规制手段。2014 年某网络公司旗下的某网站刊出一组探访报告，其相关内容未经法定代理人同意即使用未成年人付某某的相关个人信息，人民法院经审理后认为被告侵犯付某某名誉权、隐私权等人格权益，判决被告进行相应的赔偿。②《利用互联网侵害未成年人权益的典型案例》，载最高人民法院官网：https://www.court.gov.cn/zixun-xiangqing-99432.html，访问日期：2023年5月22日。该案对付某某被泄露的相关信息使用了隐私权的概念，但是被告在文章中公开透露施某某的相关被害信息，根据未成年人个人信息的内涵而言，该案主要涉及的是个人信息侵权问题，但这一时期并没有法律明文规定个人信息侵权后果，所以法院只能退而求其次适用隐私权进行规制。无独有偶，在2015 年4 月3 日，原告施某某等诉徐某某肖像权、名誉权、隐私权纠纷案中，江苏省南京市江宁区人民法院在审理中同样使用了隐私权的概念进行判决。③《施某某等诉徐某某肖像权、名誉权、隐私权纠纷案》，载最高人民法院公报：http://gongbao.court.gov.cn/Details/f256c09a81b06a9f5d5a5ea85abcdf.html?sw=，访问日期：2023年5月22日。

第三阶段为成长期（2017 年至今）。信息时代的到来使得互联网呈现了爆发式的发展，个人信息的高速流转让隐私权与个人信息的内涵逐渐发生分离。2017年起实施的《网络安全法》率先提出了个人信息的相关概念，针对网络运营者收集、处理个人信息的行为进行了规范，其在第四章“网络信息安全”中，全面地规定了网络运营者收集、使用个人信息的原则、要求以及不得从事的行为，并在第六十四条规定了违反相关条文的罚则。《中华人民共和国民法总则》实施后，明确规定了自然人的个人信息受法律保护，在现行有效的《民法典》中也将个人信息作为专项进行了规定。但是，这些法律的适用范围均将重点放在了网络安全和一般的民事侵权领域，没有体现成年人与未成年人信息保护的差异。2019年出台的《儿童规定》首次从未成年人角度规定了个人信息收集的规范，是未成年人个人信息保护领域的一大里程碑事件。有了《儿童规定》的基础，我国在2021 年相继修订了《未成年人保护法》《个人信息保护法》，从“未成年人”和“个人信息”两个角度对未成年人个人信息进行了保护和规制。为了进一步统一未成年人个人信息的相关规定，《征求意见稿》再次公开征求意见，该《征求意见稿》采纳了前述相关法律法规关于未成年人个人信息的规定，以专章规定未成年人个人信息保护，从个人信息保护和未成年人权益两个维度系统地规定了未成年人个人信息保护的相关要求。

综合上述我国未成年人个人信息保护的演进可以看出，虽然在不同阶段，对于未成年人个人信息的书面表达不同，但是通过相关案例可以得知，对于侵犯未成年人个人信息的案件早在个人信息概念兴起之前便已存在，我国对于未成年人个人信息的保护在立法和法律适用层面历经了从以名誉权进行保护、到以隐私权进行规制、再到一般个人信息保护、最后针对未成年人的个人信息进行专门规范的演进逻辑，形成了从无到有、从一般到特殊的未成年人个人信息保护体系。

（二）未成年人个人信息保护的立法解读

我国对于未成年人个人信息的保护是一个逐渐从隐私权保护中分离出来的立法过程。随着互联网和大数据的普及，个人信息的保护逐渐受到重视，但是对于未成年人的个人信息保护仍然处于发展阶段。《儿童规定》以《网络安全法》《未成年人保护法》为依据，拉开了我国对未成年人个人信息保护的序幕。《儿童规定》第九条首次提出了监护人同意制度，并从网络运营者角度规定了收集未成年人个人信息的原则、义务和行为规范，但是《儿童规定》仅将目光局限于不满14 周岁的未成年人，这显然不能满足当今社会对未成年人个人信息保护的需求，由此新修订的《未成年人保护法》和《个人信息保护法》应运而生。

新修订的《未成年人保护法》在原有基础上增设第五章“网络保护”，从国家、社会、学校和家庭多方面进行规定，并在第七十二条首次从法律层面赋予信息处理者对未成年人个人信息的保护义务，赋予未成年人及其监护人更正、删除权以在信息处理者的行为可能侵害未成年人个人信息权益时予以及时地制止并要求信息处理者采取使侵害降到最低的权利救济措施。①《〈未成年人保护法〉修订：十大制度亮点推动未成年人网络保护进入新阶段》，载国家互联网信息办公室官网：http://www.cac.gov.cn/2020-10/21/c_1604847750404918.htm，访问日期：2023年5月27日。但是《未成年人保护法》明确针对未成年人个人信息保护的条文也仅在第七十二条和第七十六条得到体现，第七十二条的部分内容还与《儿童规定》有所重合，其篇幅仍旧有限。《个人信息保护法》在《儿童规定》的基础上对未成年人的个人信息保护做了进一步的规定，也对《未成年人保护法》中的条文进行了补充：一方面，在处理不满14 周岁的未成年人的个人信息时，再次强调了监护人同意制度的必要性；另一方面，该法在第二十八条明确了敏感个人信息的内涵，并将不满14周岁的未成年人的个人信息纳入敏感个人信息保护范围，强调了不满14 周岁未成年人个人信息的重要性和易受侵害性。但是《个人信息保护法》对于14 周岁以上的未成年人个人信息收集并没有明确规定，只能按照一般自然人的收集规则适用，这显然不利于对未成年人群体的个人信息保护。

2022 年3 月，国家互联网信息办公室会同司法部根据新修订的《未成年人保护法》《个人信息保护法》等法律和社会公众反馈意见，对《征求意见稿》进行了修改完善，并再次征求公众意见。《征求意见稿》第四章聚焦于未成年人个人信息保护，明确了网络服务提供者、个人信息处理者等各方的权责，从不同的角度对未成年人个人信息的收集、处理、使用进行了规定，为公权力机关和社会各行各业在未成年人个人信息的保护和利用中提供了可靠的法律依据。《征求意见稿》的专章规定看似为未成年人个人信息处理提供了良好的使用准则，但是研讨条文可以发现《征求意见稿》中对于未成年人个人信息的规定仅对先前已有法律法规进行了简单的归纳总结，并没有针对一些原则性或模糊性的条文作出细化，例如第三十五条虽规定了监护人同意制度，但是并没有规定是否存在例外情形；第三十七条虽规定了收集敏感个人信息的原则，但是并没有明示未成年人敏感个人信息的特殊性等。可见，我国虽然初步形成了对未成年人个人信息保护的法律规范基础，为未成年人在个人信息领域的保护提供了法律支撑，但是在具体司法适用上仍会存在法律规定不明的情况，对未成年人个人信息的保护依旧需要进一步探索，构建更为完善的保护体系。

三、未成年人个人信息保护的潜在风险

在未成年人个人信息保护领域，相关立法者试图从“赋权与保护”中寻找平衡，在赋予未成年人相关权益的同时，基于其群体特点的考量，对其进行一定的限制，以在不损害未成年人权益的同时最大限度地保护其个人权益。但是当我们纵观目前针对未成年人个人信息进行保护的相关法律法规及司法实践，仍能从中发现一些潜在的风险。

（一）相关个人信息规范之间协调性不足

近年来，对于未成年人在民事领域保护的相关法律法规进展得十分迅猛，有关未成年人个人信息保护的立法和司法解释不胜枚举。国家网信办以《未成年人保护法》和“一法一决定”为法律渊源，①朱巍：《〈儿童个人信息网络保护规定〉解读》，《中国信息安全》2019年第10期。起草颁布的《儿童规定》的保护范围过于狭窄，且法律位阶仅为部门规章，强制力不够。《个人信息保护法》《网络安全法》《未成年人保护法》等法律法规均属于碎片式保护，其所规定的内容仅针对该法所保护的领域，并没有针对未成年人个人信息进行统筹规划，从而导致这些规范虽涉及未成年人个人信息保护，但是彼此之间并不存在内部的连接和协调关系，相关立法较为分散。这样的局面对于数字网络化的社会而言，无疑不能全面地保障未成年人个人信息，反而会使不同法律位阶或同等位阶的法律法规对于信息处理者收集未成年人个人信息的限制有所差异进而导致适用上的冲突。在未成年人个人信息保护领域，要达到“赋权与保护”的平衡，其“赋权”基础即为我国的相应法律法规内容，法律条文对未成年人个人信息的规范，直接决定了应当在何种程度上赋予未成年人相应的个人信息权益，也直接决定了可以对未成年人个人信息采取何种保护措施。梳理并指明当前我国有关未成年人个人信息的规范漏洞，有助于在前提条件下对未成年人个人信息权益的保护及时采取完善策略。

《信息安全技术个人信息保护指南》第五条规定个人信息处理者若要收集不满16周岁的未成年人个人信息的，应当征得其监护人同意，此规定表明收集不满16 周岁的未成年人的任何个人信息均需征得监护人同意；《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称《指南》）第5.2.7条中却规定了个人信息处理者收集、处理不满16周岁的未成年人的敏感个人信息的，需要征得其监护人同意，即表示若收集不满16 周岁的未成年人的一般个人信息的，则无需征得其监护人同意；而《信息安全技术个人信息安全规范》（以下简称《规范》）第5.4（d）条又规定收集14 周岁以上未成年人的个人信息应征得未成年人或其监护人的同意，收集不满14 周岁的应征得其监护人的同意。以上三个规范文件对于不同年龄段的未成年人个人信息收集的监护人同意规则都有明显出入，相互之间都存在着适用上的矛盾，而这三部文件均现行有效，其内容规定的不一致将使其适用产生很大的争议。

（二）未成年人敏感信息界定不清

个人信息可以分为个人一般信息和敏感个人信息。①柳剑晗：《未成年人个人信息权民法保护的立法思考》，《安徽农业大学学报（社会科学版）》2016年第6期。目前《个人信息保护法》第二十八条将未成年人的敏感个人信息划分为14 周岁，表明立法者认为不满14 周岁的未成年人的个人信息与一般自然人的生物识别、医疗健康、金融账户等信息具有同等重要性。根据《儿童规定》和《规范》可以推定处理不满16 周岁的未成年人的敏感个人信息的，需要征得其监护人的同意；处理14 周岁以上不满16 周岁的未成年人的一般个人信息以及16 周岁以上的个人信息征得本人的同意即可。然而目前相关法律法规并没有明确14 周岁以上的未成年人的敏感个人信息范围，仅在《个人信息保护法》第二十八条对敏感个人信息进行了不完全列举。合理界定并明确未成年人的敏感信息范围是达到未成年人个人信息“赋权与保护”平衡的题中应有之义。未成年人的敏感信息界定标准将直接决定监护人可以代为行使决定的范围和其有权自己决定个人信息如何使用的范围，同时也会影响到社会机构和相关信息处理者需要在多大程度上得到未成年人监护人的知情同意。未成年人敏感信息的界定不明，将会在一定程度上限缩未成年人应当对自身个人信息所享有的权益，致使赋权不足，保护过当。

虽然《规范》的附录B中对敏感个人信息的内涵和外延均作了较为确切的界定，除了《个人信息保护法》中列举的几类敏感个人信息外，还将好友列表、群组列表、网页浏览记录、游戏类兑换码等信息均列为敏感个人信息进行保护。现有的法律规范对敏感个人信息的划分是为了更好地规范和设立信息处理者对所收集到的信息的处理方式和处理义务，但是在未成年人敏感个人信息的语境下，除了规范信息处理者的行为外，适当平衡监护人与未成年人之间对个人信息知情同意的方式也是极为重要的。好友列表等信息虽然具有可识别性，可以精准定位特定未成年人，但是大多数未成年人并不想将这些信息告知监护人或他人，若对于这些信息的处理均需监护人行使知情同意，则变相限制了未成年人对自身个人信息的处分权利，对未成年人个人信息形成过度保护，不利于达成“赋权与保护”的平衡。同时，未成年人作为特殊群体，若按照一般敏感个人信息进行认定，致使大部分个人信息的处理都须经过监护人的知情同意，会直接增加监护人的负担。对于未成年人而言，对其个人信息保护需要倾注更多的心血，也需要国家、社会、学校和家庭给予更多、更全面的保护，如何合理界定未成年人的敏感个人信息，在周全保护未成年人的情况下也能最大程度遵循未成年人的自身意愿，赋予其对部分个人信息的处分权利，需要进一步酌情考虑。

（三）知情同意的权利行使困境

《个人信息保护法》《征求意见稿》等法律法规保护未成年人个人信息的基础是知情同意制度，因未成年人对个人信息相关权益行使具有一定的依赖性，其能否正确理解信息处理者发送的知情同意条款并作出知情同意决定，是未成年人个人信息“赋权与保护”平衡的重要内容。知情同意权能否充分行使，将直接影响到未成年人在后续的信息处理过程中所享有其他个人信息权益类型，也会决定未成年人责令信息处理者承担法律责任是否具有正当性。因此，知情同意权的合理且充分地行使，将成为后续对未成年人个人信息采取保护的依据，也会决定对未成年人个人信息保护所采取的限度。然而对于未成年人而言，准确识别互联网用户的身份这一关键问题是目前知情同意制度的最大难点，若无法核实互联网用户的年龄和身份，则知情同意制度可能形同虚设。国际社会历来重视对未成年人的保护，从《联合国儿童权利公约》（United Nations Convention of The Rights of The Child）到2000 年4 月21 日在美国生效的《儿童在线隐私保护法》（Children's Online Privacy Protection Act，COPPA），以及2018 年5 月25 日，欧盟出台的《通用数据保护条例》（General Data Protection Regulation，GDPR）均针对在线收集未成年人个人信息的行为，对网站管理者设定了一系列义务。①Talley, Virginia A.M."Major Flaws in Minor Laws: Improving Data Privacy Rights and Protections for Children Under the GDPR." Indiana International & Comparative Law Review 30, no.1（2021）: 127-162.GDPR 和COPPA 均要求未成年人数据的服务或网站应当作出合理的努力以核实同意是否由相关未成年人的监护人作出或者授权，并获得可验证的父母同意。②Warmund, Joshua."Can COPPA Work? an Analysis of the Parental Consent Measures in the Children's Online Privacy Protection Act." Fordham Intellectual Property, Media & Entertainment Law Journal 11, no.1（2000）: 189.我国在2023年12月1日即将实施的《信息安全技术个人信息处理中告知和同意的实施指南》（以下简称《实施指南》）第9.1和9.2 条中借鉴了部分COPPA 的验证方式，规定了一般性的同意模式选择、同意机制设计等内容，但是基于所罗列的8种明示同意的模式，其是否能有效地验证互联网端的主体身份，真正获得监护人的知情同意也是一个疑问，因为部分未成年人为了将他们从所有目标中完全移除，会选择上传监护人的个人信息，冒充监护人行使同意要求，使监护人的知情同意形同虚设。与此同时，若采取尽可能严格的验证方式是否会进一步侵犯监护人的个人信息权益，增加未成年人及其监护人的个人信息泄露风险也需纳入考虑范围。

在验证方式的困境之外，同样存在着对知情同意条款本身理解的困境。《实施指南》9.2（e）规定了个人信息控制者应当在信息主体可以清晰了解的情况下设计同意机制，并在同意界面清晰地、明确地向个人信息主体展示如何给予同意，使个人信息主体能够清楚地、无疑问地操作以表达授权同意。如果一个未成年人或其监护人不完全理解个人信息处理者所提供的信息，也不理解他们的个人信息将如何被处理，那么获得他的同意并不真正等同于有效的知情同意。但是，让通知变得简单和容易理解与充分告知信息主体授权个人信息的后果是矛盾的，因为只有对个人信息的授权和处理后果解释得足够详细才有意义。当前，很多个人信息收集协议对于信息的未来用途都是模棱两可的，即便是大部分人经常读到具体的规定，但由于缺乏足够的专业知识，仍旧无法全面地评估其同意的后果。要做到对知情同意条款达到在充分理解的基础上作出同意的水准，可能会使未成年人及其监护人的选择被各种决策困难所扭曲。从分析现有信息中可以收集到的新信息类型，以及从这些数据中可以做出的预测类型，都过于庞大和复杂，而且变化太快，未成年人及其监护人无法全面评估所涉及的风险和利益，对知情同意条款本身也很难达到真正的知情同意。

（四）默认监护人与未成年人利益保持一致

监护人同意制度是各国保护未成年人个人信息的普遍方法。美国COPPA 明确规定，未经父母明确同意，未成年人数据不能被收集或使用；《家庭受教育权隐私权法》（Family Educational Right to Privacy Act，FERPA）为父母提供了控制孩子教育信息的权利，在未成年人反对的情形下，FERPA 也允许父母访问他们孩子的学校记录，并为他们提供了披露这些记录的控制权。与COPPA不同的是，FERPA 提供给父母完全的控制权利，直到他们的孩子年满18 周岁，类似的做法也反映在《保护学生权利修正案》（Protection of Pupils Rights Amendment）中③Shmueli, Benjamin and Ayelet Blecher-Prigat."Privacy for Children." Columbia Human Rights Law Review 42, no.3（2011）: 759.；欧盟GDPR 同样规定了监护人同意是处理、使用未成年人个人信息的前提条件。根据《征求意见稿》第三十五条的规定，我国对于不满14 周岁的未成年人个人信息的收集采取严格的监护人同意制度，这一规定与域外高度相似。监护人同意机制将利益侵害的来源归于第三方，而默认监护人和未成年人的利益在任何时候都是保持一致的。监护人同意模式事实上是一种家长本位的思想，但很多时候会出现家长的选择不符合未成年人利益的情况。①江海洋：《大数据时代未成年人个人信息保护研究》，《图书馆建设》2020年第3期。

在互联网快速发展的时代，存在监护人本身侵犯了未成年人个人信息权益的现状。最典型的就是监护人随意将未成年人的个人信息放在网络上予以分享，据统计，在Instagram 上，63%的父母在他们的个人主页中至少有一张照片提到了孩子的名字，27%的父母提到了孩子的出生日期，19%的父母将这两件事都分享了，许多婴儿甚至在出生前就在网上出现了，因为近四分之一的父母会在网上分享超声波照片。②Steinberg, Stacey B."Sharenting: Children's Privacy in the Age of Social Media." Emory Law Journal 66, no.4（2017）: 839.当监护人将未成年人的个人信息分享到互联网后，各类信息收集者就可以通过追踪父母的社交媒体推断出孩子的身份，包括姓名、地点、年龄、生日和宗教信仰。与此同时，个人信息处理者还可能同步制作未成年人的档案，这些档案可以随着未成年人的成长而不断扩充、增强，甚至在未成年人长大后，各信息收集者依旧可以通过互联网中留下的痕迹找到他们10～15年前的信息。这些未经未成年人许可甚至知情的个人信息一旦被放于互联网平台，则相当于将未成年人置于“裸露”状态，任何人将有可能收集并传播这些信息。这无疑违背了未成年人本人的意愿，监护人私自决定披露未成年人个人信息的行为显然侵犯了其切身利益。截至2023 年4 月23 日，笔者在中国裁判文书网以及各省人民法院官网的检索过程中，并未发现关于监护人侵犯未成年人个人信息的诉讼案件，但这并不能否认现实社会中并不存在监护人侵犯未成年人个人信息的现象，反而能从侧面反映出监护人在侵犯未成年人个人信息的情境下，未成年人很难通过公权力来维护自身权益，大多数监护人侵犯未成年人个人信息的案件都具有隐秘性，因其属于家庭内部的侵权行为，未成年人在自身行为能力尚不完全的情况下，很难向外寻求帮助，同时由于其具有一定“教育子女或关爱子女”的外观，也致使公权力机关或居委会等组织很难介入其中。

未成年人作为无民事行为能力人或限制民事行为能力人，其不具有法律上的独立参与诉讼的能力，当其个人信息受到侵害时，寻求监护人以法定代理人的身份提起诉讼或者通过其他途径来维护未成年人权利是主要的救济方法。但正如FERPA 所规定的，若将未成年人的教育信息的控制权全权交予监护人，则完全剥夺了未成年人对自身信息的处分权，看似是给予未成年人更为周全的保护，但实际是将“赋权与保护”的天平完全倾斜了。在监护人同意制度依然普遍适用的情形下，当监护人的行为侵犯了未成年人的个人信息，未成年人自身该如何救济以维护自己的权益？又或者，当未成年人的个人信息受到第三方侵犯时，监护人选择不作为，不积极维护未成年人的权益，此时未成年人又该如何保护自身利益？可见，目前在未成年人个人信息保护层面，对于监护人权利的制约与监督是明显存在缺位的，而监护人作为未成年人的直接法定代理人，若对其权利予以放任，将会限制未成年人的救济途径。

四、未成年人个人信息保护的规范路径

未成年人的个人信息遭到侵害后，未成年人难以举证证明侵权行为、因果关系，并且维权成本过高。因此，对未成年人的个人信息给予特殊的保护就尤为重要。笔者旨在以国家互联网信息办公室发布的《征求意见稿》中第四章“个人信息”专章为基础，对未成年人个人信息的相关条款予以分析说明，以此梳理与提炼未成年人个人信息保护的规范路径，从而进一步平衡未成年人个人信息的“赋权与保护”。

（一）采取统分结合的个人信息保护模式

立法模式包括统一立法模式和分散立法模式。统一立法模式是指由国家立法系统地规定未成年人的个人信息保护的立法模式；而分散立法模式则是指全国没有保护未成年人个人信息的基本法，个人信息立法采取区分不同领域或事项分别立法的模式。①齐爱民：《拯救信息社会中的人格：个人信息保护法总论》，北京大学出版社，2009，第177—181页。在个人信息保护方面，采取分散立法的美国和采取统一立法的欧盟是当前最具代表性的两类立法模式，COPPA 及GDPR 作为两类立法模式的典型产物也是目前在世界范围内关于未成年人个人信息网络保护影响力最大的法律。目前，我国关于未成年人个人信息保护采取的是分散立法模式，存在法律规范碎片化、尚未体系化建构等问题。②蔡一博、吴涛：《未成年人个人信息保护的困境与制度应对——以“替代决定”的监护人同意机制完善为视角》，《中国青年社会科学》2021年第2期。有关未成年人个人信息保护的相关规定散见于《个人信息保护法》《未成年人保护法》等法律中，有的还存在于部门规章或地方性法规中。很显然，每部法律立法目标和保护重点的不同，在保护未成年人个人信息的角度和标准上也会出现分歧，甚至是冲突。在互联网快速发展而未成年人触网年龄逐渐降低的环境下，构建统一的立法模式确有必要。然而，单纯地构建统一立法模式虽然有利于在法律层面为保护未成年人的个人信息提供明确指引，但是在我国已经颁布《征求意见稿》的背景下，再另外制定未成年人个人信息的统一规范就会显得过于冗杂，同时由于法律具有滞后性，面对快速发展的互联网社会，对于层出不穷的新型侵权事件，统一的立法可能不足以完全应对。

早在《征求意见稿》发布之前，《个人信息保护法》第三十一条第二款就规定了，应针对不满14周岁未成年人制定行业专门的个人信息处理规则。例如国内某知名短视频公司就针对未成年人制定《儿童个人信息保护规则》和《用户协议》、开发未成年人用户实名认证流程、增加14岁以下用户实名认证一致性校验环节、对平台内高疑似度未成年用户实施主动保护、建立专门的未成年人信息保护池、创建涉未成年人内容推送的独立算法等措施。所以可以在现有立法的基础上借鉴日本统分结合的立法模式，在《征求意见稿》已有基本条款的基础上，纳入《个人信息保护法》第三十一条第二款的内容并进一步扩充主体范围，将未成年人整个群体纳入行业制定处理规则的范围内，以规范信息处理者的行为。同时由司法机关根据现行法律法规及司法解释进一步细化法律规范，为未成年人个人信息保护提供统一的法定标准，将现有的各个法律中有关未成年人个人信息保护的条款进行整合，使之具有协调性，化解各部门法之间存在的矛盾。通过法律法规及相应的司法解释和行业自律规范并行的方式来应对法律规定中没有覆盖到而现实社会又已经发生的未成年个人信息侵权事件。采取统分结合的个人信息保护模式，既可以统一对未成年人个人信息保护的相关规范，又不推翻未成年人个人信息保护的既有板块而是进行一定的细化，由此形成关于未成年人个人信息保护的互相协调统一的体系，为未成年人个人信息“赋权与保护”的平衡视域下，提供了基础的法律规范依据。

（二）合理界定未成年人敏感信息

目前《征求意见稿》对于未成年人敏感信息的年龄界定为14 周岁，对于14 周岁以上的未成年人则划分了一般个人信息和敏感个人信息。在此规定之上，对于不满14 周岁的未成年人的信息界定已经十分明确，但是对于14 周岁以上的未成年人的敏感个人信息和一般个人信息的界定则较为模糊。为了赋予未成年人更多使用网络的发展机会，应对14 周岁以上的未成年人敏感个人信息的范围进行严格划定，以更好地实现“赋权与保护”的平衡。在此，可以设立一个最低的保护等级以维护未成年人的最大利益，同时对其上的各等级分别予以相应的保护，基于等级的划分重新赋予监护人知情同意权，使敏感个人信息与监护人同意能够相互协调作用。

对于14 周岁以上不满16 周岁的未成年人，其已结束义务教育，对于社会已有了自己的认知和判断能力，但其仍处于限制民事行为能力阶段，所以对于身份证号、基因、指纹等与个人识别高度相关的信息应当绝对纳入敏感个人信息进行保护，这是这个年龄段未成年人个人信息的最低保护等级。而对于家庭住址、联系电话等能够单独定位到个人甚至连同其监护人的基本信息也应当考虑纳入敏感个人信息的范畴，因为此年龄段的未成年人均与监护人共同生活，并且其不具有完全民事行为能力，所以其联系方式和家庭住址往往都不仅限于其本人的个人信息，对于这类还会涉及其他自然人的个人信息也应当慎重对待。以上两类个人信息都属于敏感个人信息范畴，所以仍需遵守监护人同意规则，并依据相关法律规定严格履行告知、保密等义务。但是对于未成年人在生活和学习过程中自发产生的，具有一定的利益性但是并不具有危害他人利益可能性的信息应当视为一般个人信息，因为此类信息与他人的联系较少，并且大多与未成年人的心理状态或个人兴趣等相关，并不会实质上对本人的安全或其他重大权益造成影响，对于此类信息应当充分尊重未成年人自己的选择，由其自身行使知情同意权。

而对于16 周岁以上不满18 周岁的未成年人而言，在这个年龄阶段的未成年人已经具有独立生活的能力，其或进入高等教育或从事社会工作，对于互联网的各种信息接收和处理已有了基本的判断能力，若将其敏感个人信息范围界定得过于宽泛，则会变相限制16 周岁以上的未成年人独立生活和自我决定个人信息流转的权利，不利于达成“赋权与保护”的平衡，同样也会增加信息处理者的义务，不利于互联网企业的发展。根据《征求意见稿》第三十三条的规定，对于年满16 周岁的未成年人，其在从事网络直播获取账号注册时应当征得监护人同意，此规定防止未成年人因社会阅历的不足而被眼前的利益蒙蔽，从而草率地做出不利于自身发展的决定，同时因为直播行为的即时性和受众范围的不确定性，有必要对其行为进行一定的规制。但是对于其他处理自身个人信息的行为，例如其他类型网络账号注册以及支付软件中的指纹支付或其他与基本生活相关的个人信息收集行为，应赋予已满16周岁的未成年人相应的处分权。

（三）健全知情同意制度

对于知情同意制度，当前《未成年人保护法》《个人信息保护法》等法律法规将未成年人个人信息保护的知情同意划分为监护人知情同意和未成年人自主同意两种模式。《规范》第5.4条规定了14 周岁以上不满16 周岁的未成年人可以对自身一般个人信息行使知情同意权，而监护人知情同意主要适用于收集、处理不满14 周岁的未成年人个人信息和不满16 周岁的未成年人的敏感个人信息的情况。对于未成年人的自主同意，应当在该选择权到达未成年人之前由国家和社会对相关的信息收集程序进行一个初步筛选，排除可能会对他人或未成年人本人造成重大损害的程序，再由未成年人自身对经过筛选的一般个人信息收集条款选择是否同意。

而对于监护人知情同意，《个人信息保护法》第十三条对知情同意的例外规则进行了不完全列举，其所列举的事项也并不完全适用于未成年人，如第二款的签订合同所必需，这一条款对于未成年人这一无民事行为能力或限制民事行为能力的群体而言适用性不强，并且由于该条款的不完全列举性，对于兜底条款规定的“其他情形”该如何判断并适用也是一个疑问。基于此，可以引入尼森鲍姆（Nissenbaum）提出的“场景公正性理论”（contextual integrity）进行判断。她提出了信息共享中存在的四个变量：环境（context）、行动者（actors）、信息类型（information types）和传播原则（transmission principles）。其中行动者又包含信息的发送者（sender）、信息的接收者（recipient），或信息的主体（subject）。①Helen Nissenbaum, Privacy in context:Technology,Policy, and the Integrity of Social Life,(Stanford University Press,2010).p.127-145.每个情境都有自己的规范和价值观，而这些情境又镶嵌在更大的情境中，每个情境中的角色在个人信息领域下都会成为行动者中的某一行为人，当他们履行义务并满足在该环境中的利益时，就可以证明信息共享是合理的。

在未成年人个人信息保护的语境中，未成年人是行动者中的信息主体，其他几个要件随着场景的不同而发生变化，根据“场景公正性理论”，如果对于未成年人个人信息的收集符合该理论的构成要件，该信息的共享就无须经过监护人的同意。例如上文提到的原告施某某等诉被告徐某某人格权纠纷一案，在该案中，被告徐某某在微博上未经未成年人施某某的监护人许可，擅自将李某某殴打被监护人施某某的事情以虐童为名发布到互联网，泄露了未成年人个人信息。但是该案经江苏省南京市江宁区人民法院审理认定被告徐某某系为了保护被虐待未成年人的切身利益，在合理范围内发布被害人个人信息，符合社会公共利益原则和未成年人利益最大化原则，判决驳回原告诉讼请求。法院的判定依据实质上与“场景公正性理论”不谋而合，其认为被告徐某某的行为是为了保护公共利益，并且在侵权人即监护人的场景下，很难经由监护人同意再公开其侵害事实，施某某的行为是为了最大程度地保护未成年人利益，不构成侵权。被告施某某此种处理未成年人个人信息的行为满足“场景公正性”的构成要件，只要其公布未成年人个人信息的行为符合比例原则的要求，此行为在该场景中就是合理的。但是适用“场景公正性”理论也会引发另一个问题，正如《个人信息保护法》第十三条部分列举的知情同意例外情形一样，只有在为了维护国家利益、公共利益或处理已合法公开的、价值较低的个人信息时可以不经由当事人同意。所以在适用该理论时必须设立一个前提要件进行限制，否则将会完全绕开监护人同意制度，造成没有准确的评判标准和主观判定而从另一角度损害未成年人个人信息权益。

故应当选择性地适用“场景公正性”理论，以最有利于未成年人原则为基础，以监护人同意制度为主，以“场景公正性理论”为辅构建未成年人个人信息保护体系。只有在紧急情况下，为了保障未成年人的生命、健康和财产的安全，或无须进行互联网沟通、无须使未成年人个人信息在网络上流转的才可以仅适用“场景公正性理论”，在信息流转合理的情形下，可以不经监护人同意收集未成年人信息。除此之外的情形均需按照规定征得监护人同意，但在此基础上可以对同意的限度进行划分：对于在一般情境中，信息收集者只需要获取未成年人的一般个人信息，可以采取一般同意规则，即在符合“场景公正性理论”的基础上，信息收集者仍需将需要获取的信息及时通知监护人，但此时无须得到监护人的“可验证”的同意，而只需获得监护人的默示同意即可。例如，当个人信息处理者将未成年人的个人信息用于内部使用时，它可以采用一种更宽松的同意机制，在明确监护人可以知晓通知内容且在通知的时间内没有得到监护人的明确拒绝的情况下，则可以收集未成年人的一般信息。而对于敏感个人信息则需采用更严格的“可验证”同意规则，当个人信息处理者将收集到的未成年人个人信息用于向第三方披露、使用时，无论其是否符合“场景公正性理论”的构成要件，都必须建立严格的同意制度，征求监护人的“可验证”同意，例如要求监护人通过电子签名或电话确认的方式向个人信息处理者表示明确同意其收集相关信息。

（四）构建未成年人个人信息的指定代理诉讼制度

基于目前《征求意见稿》以及相关的法律法规对侵犯未成年人个人信息行为没有明确的救济渠道，故应当依据《民法典》和《中华人民共和国民事诉讼法》第六十条的规定，对侵犯未成年人个人信息的，由其监护人作为法定代理人维护被侵权未成年人的权益。由前所述，监护人在处理未成年人个人信息时并不总是与未成年人的利益保持一致，当未成年人个人信息受到侵犯，其监护人不履行或怠于履行监护职责甚至监护人本人作为侵权主体时，未成年人该如何寻求救济。《征求意见稿》第五十九条拟规定了未成年人的监护人不履行规定的监护职责或者侵犯未成年人合法权益的，由未成年人居住地的居委会、村委会、监护人所在单位等有关密切接触未成年人的单位依法予以批评教育、劝诫制止、督促其接受家庭教育指导。虽然该规定为个人信息领域监护人侵权的行为给予了一定的规制，但是由于其规定较为笼统且并没有明确的法律后果，只提出了哪些主体有权进行批评教育等制止的权力，没有涉及具体的程序设计问题。基于此，可以《征求意见稿》中第五十九条为基础，根据《民法典》中监护人选任制度构建未成年人个人信息的代理诉讼制度。在未成年人的法定监护人侵犯其个人信息权益时，由未成年人住所地的居民委员会、村民委员会或者民政部门指定诉讼代理人或代为委托律师代替法定监护人的地位维护未成年人的权益，有关当事人对指定或委托不服的，可以向人民法院申请指定诉讼代理人；有关当事人也可以直接向人民法院申请指定诉讼代理人。

事实上，对监护人严格适用这项规则可能会破坏家庭的平静与和谐，法律干预尤其是家庭内部关系，必须非常谨慎。因此，建构此制度仍需注意以下几点。首先，此制度的适用前提是未成年人的法定监护人侵犯了其个人信息权益，该未成年人与其法定监护人产生了利益冲突，同时，在监护人不履行或怠于履行监护职责的情形下，应适用催告前置程序，只有进行了催告但监护人仍不作为时，才可以适用诉讼代理制度。其次，对诉讼代理人的选任应当符合一定标准，因为其主要产生于诉讼阶段，且为了保护未成年人的利益，故诉讼代理人应为具有专业知识的律师或者是专门从事未成年人保护工作的人员。再次，选任诉讼代理人时应当充分尊重被侵权的未成年人意见，应当按照最有利于未成年人的原则依法指定诉讼代理人。最后，原监护人被替代的只是在个人信息领域的代理权，对于其他民事行为，原监护人仍旧依据法律规定继续行使法定代理权，同时在诉讼结束后，法庭若认为原监护人已经认识到自身的侵权行为并采取了相应的补救措施，不会再造成该未成年人个人信息受到侵害，原监护人可以申请恢复行使自己的监护权。

结语

新时代孕育新任务，建立和完善未成年人个人信息保护制度是对个人信息保护工作的有效回应。新修订的《未成年人保护法》《个人信息保护法》等法律的正式实施，首次在法律中规定未成年人个人信息保护，新发布的《征求意见稿》第四章也专章规定未成年人个人信息保护的内容，使未成年人个人信息安全环境得到改善。但现阶段规范的模糊性仍然可能侵害未成年人的个人信息权益，为完善未成年人个人信息保护制度，在保护未成年人切身利益的同时，不过多地限制其行使个人信息处分权，形成“赋权与保护”的平衡，我们应当在现行立法和有限司法资源的基础上，作出更为细化的规定以求全面保护未成年人个人信息。

笔者仅就民事保护路径探讨了未成年人个人信息保护的逻辑结构与规范路径，但是在未成年人个人信息的整体保护框架内，仅有民事保护显然不足以完善地对未成年人的个人信息权益进行保护。在相关法律出台之前，浙江杭州检察机关已成功办理的关于国内某知名短视频公司侵犯儿童个人信息民事公益诉讼案作为全国首例未成年人网络保护民事公益诉讼案，①《全国首例未成年人网络保护民事公益诉讼案办结》，载最高人民检察院网：https://www.spp.gov.cn/spp/zdgz/202103/t20210317_512919.shtml，访问日期：2023年6月15日。为我国未成年人个人信息保护的公益诉讼拉开帷幕。在随后实施的《个人信息保护法》第七十条也规定了人民检察院等相关组织有权以侵害多人个人信息权益的行为提起公益诉讼，也为未成年人个人信息方面的公益诉讼提供了法律依据。除此之外，作为保护未成年人个人信息权益的最后一道防线，《中华人民共和国刑法》《中华人民共和国预防未成年人犯罪法》等均对未成年人个人信息进行了规制。可见，在未成年人个人信息保护的道路上，只有从民事、行政、刑事等多维度对个人信息处理者以及相关主体给予法律规制，才能在互联网快速发展的今天，在充分保障未成年人权利的前提下，优化网络环境并利用互联网本身的优势来保护未成年人个人信息，使互联网发展和未成年人个人信息保护形成良好的正向循环。