古春 吴桂兰

[摘要]由于网络的广泛使用，以及频频出现的个人信息泄露安全事件，使得对未成年人个人信息的保护问题广泛引起社会的关注。“监护人同意制度”是保护未成年人信息安全的重要手段，其目的在于以家长的许可为基础，对未成年人个人信息的采集、使用等行为进行约束。通过对监护人同意制度的健全，有效地保护未成年人的个人信息安全，维护未成年人合法权益，促进未成年人健康发展与网络环境良性共生。

[关键词]未成年人；个人信息保护；监护人同意

[中图分类号]D924.34      [文献标识码]A

[DOI]：10.20122/j.cnki.2097-0536.2024.05.009

新时代的未成年人是在数字化的社会中诞生并长大的，其生活与学习越来越依托于网络和大数据。未成年人属于弱势群体，他们在享有网络所提供的游戏娱乐、在线学习等便利的同时，也伴存着巨大的潜在隐私隐患，若未成年人的个人信息泄露很有可能会导致其声誉、身体健康、财产安全等多种权益遭到侵犯。因此，必须通过监护人的代理才能做出对未成年人的个人信息的收集与处理。

一、监护人同意制度的法律理论和规范基础

《民法典》第1035条规定了处理未成年人的个人信息应当遵循合法、正当和必要的原则，并经其监护人的同意，禁止滥用其个人信息。该制度有三大基本原理：首先，鉴于我国目前时代背景十分复杂的原因，在实际操作中真正落实最大利益原则，必须对其进行细化；其次，由于未成年人的年齡特征，其认知与行动能力均存在局限，因此对他们实施的最关键的保护措施是采用监护人制度；最后，个人信息自主决定的关键在于“告知”与“同意”两种权利的落实，未成年人对于互联网上的隐私条款了解程度远远低于成人，在责任主体、适用对象、识别与敏感方面也存在着一定的差异。所以，对未成年公民的个人信息进行有效的保障，其核心应由父母或其他监护人替代子女行使知情权和同意权。

二、监护人同意制度的实施与困境

（一）监护人同意制度的立法现状

《民法典》在其第六章“隐私与个人信息保护”中进行了详细的规范，此后又增设了这样一条规定：“对于收集、利用未成年人等没有民事行为能力、限制民事行为能力人的个人信息时，必须取得其监护人的同意，另有规定的除外。”

《中华人民共和国未成年人保护法》第72条对涉及不到14周岁的未成年人的个人信息进行了详细的说明，即必须征得未成年人的父母或其他监护人的同意。

《信息安全技术个人信息安全规范》规定：“对于14岁以下未成年人，在收集其个人的信息时，需要得到其监护人的明确同意，而对于14周岁以上的未成年人则可以由其本人或其监护人的明示同意。”

《儿童个人信息网络保护规定》（以下简称《规定》）规定：“要按照未成年人最大利益原则的适用进行相关的立法，对有关网信单位的工作职责、运营商所承担的义务和法律责任等进行了详细的规定。”

（二）未成年人个人信息保护的年龄界定

美国《儿童在线隐私保护法案》（COPPA）所涉及的商业网站和网上服务对象均为13周岁以上的未成年人。2018年，《儿童反追踪法案》修改了对儿童年龄的相关规定，将保护制度扩大到了“12至16岁的未成年人”。欧盟《通用数据保护条例》（GDPR）则将儿童的年龄设定为16岁，且规定其各成员国可以设定大于13周岁的年龄标准[1]。

我国的《个人信息安全规范》《儿童个人信息网络保护规定》的适用对象均为14周岁以下，《民法典》《未成年人保护法》规定的未成年人则是指18周岁以下。设定未成年人年龄界限的目的是为了以限制性保护来维护未成年人的合法权益，《个人信息安全规范》将未满14周岁的个人信息定义为敏感信息，该规范是一部在我国有着巨大影响力的法律法规，受到了相关部门的高度关注。由此，14岁已然成为我国现有的未成年人权益保护零散法律规范中较为明确的年龄界限。

（三）监护人同意制度形同虚设

目前，针对未成年人个人信息的电子设备，运营商有义务告知其监护人并征得其同意，但现有的相关制度还存在诸多缺陷。首先，许多网站经营者所提供的通知条款含有各种法律术语和计算机用语，大部分的监护人都会直接略过通知的内容来进行确认，因此监护人的明示是不能确定的。其次，由于互联网科技发展迅速，对于受教育程度不同的监护人员而言，一些青少年使用电子设备上网的水平要高于他们的监护人。最后，未成年人的监护人作出同意他人收集、使用其个人信息决定时，应以其个人利益最大化为原则。在大数据环境下，基于“知情同意”的信息主体实现合理决策的实际能力远低于原本的假设水平，所处决策环境会弱化“知情同意”的有效性[2]。

三、域外未成年人个人信息保护之考察与启示

（一）域外未成年人个人信息保护制度的考察

1.美国的《儿童在线隐私保护法》

美国将青少年的隐私保护重点主要是针对13岁以下的儿童，并规定要尽到“通知与获得同意”的义务。网络运营商在为儿童用户提供的服务中分为两类，如果是一般的用户，那么在得知使用者是儿童的时候，就应该对其监护人尽到“告知和获得同意”的义务；如果以儿童为对象的互联网业务经营者而言，则要求在采集儿童的个人信息前，通过弹出的画面采集使用者的年龄信息，以区别儿童使用者和非儿童使用者，并履行告知家长的“告知与获得同意”的义务。COPPA同时还赋予了监护人审查权、删除权、拒绝收集权及使用权，并作了一些例外规定：“如果网站经营者出于为儿童网站更新、在线信息、密码提醒等情形时获取儿童的姓名及联系方式，则不需征得其监护人的同意。”

2.欧盟的《通用数据保护条例》

欧盟的GDPR对于未成年人个人信息保护的年龄，各个会员国可在13至16岁自行决定，详细地规范了个人信息主体的权利以及个人信息控制者的责任，例如知情同意基于自愿、具体、知情、明确这四个条件。被遗忘权是GDPR中最为显著的一项授权条款，GDPR将被遗忘权利的范围扩大到了未成年人，部分原因在于未成年人在同意采集自己的个人信息时并没有认识到信息泄露造成的危害性，其第17条明确指出：“信息主体有权请求控制方删除，信息控制者还需对该信息进行加工的其他控制者行使被遗忘权的告知义务。”

（二）对我国的启示

我国关于个人信息保护的相关法律规定分散在不同的立法和规章中，《个人信息保护法》的正式实施为未成年人的个人信息保护提供了一个良好的环境。但随着社会的发展，个人信息也很有可能成为互联网上的舆论对象，所以需要政府的强制力来支持，并对政府机关、行业领域、监护人的职责和责任进行界定，建立起对未成年人个人信息的保护的根本准则和制定具体的立法制度；同时，行业协会的建立与完善是行业自律的关键，它要求社会各界在技术改进、承担监督责任等方面积极主动地遵循和合作。此外，我国对于信息监控者的责任和义务的界定还不清楚，GDPR中的一些条款有一定的参考价值；在立法上也存在一定的滞后性，政府部门和行业领域以及监护人之间应该加强协作和沟通，并积极鼓励各行各业，提出一套符合我国国情、未成年人个人信息保护的网络保护法律法规。

四、未成年人个人信息保护中监护人同意制度的完善路径

（一）完善个人信息保护法

为促进有关企业和团体加入到未成年人的网络保护工作中，需制定关于未成年人网络保护的行业自我管理指南，并指导各个行业群体加强对未成年的网上安全的保护等条款。但在实际操作中，虽然相关行业自律机构的自主权逐渐被拓展，但并没有从根本上改变这些机构仍处于被国家和有关主管机关控制的状况[3]。在未来相当长的一段时期内，我国应将重点放在加强我国在个人信息保护方面的自我约束，并以此为基础对其进行必要的辅助和补充；此外还需要对未成年人信息保护进行相关的宣传和教育，以增强未成年人的自我防护能力，监护人或家长对互联网及隐私策略的认识，并根据最有利于未成年人的原则，适时地行使拒绝权利。

（二）扩大未成年人个人信息保护的年龄界限

我国《规定》对未成年人的个人信息限定在14周岁以下的范围内，对年满14周岁以上18周岁以下的未成年人的个人信息只进行了简单的保护。但是，初中生才是青少年上网的主体，其在网上的暴露程度愈高其隐私受到侵犯的风险也就愈大，所以对未成年人个人信息的特殊保护应当扩大对未满18周岁的未成年人[4]。对于14岁以下的青少年，以未成年人的最大利益为原则，采用严密的监护人同意原则对其加以制约与限制，严格实行采取“监护同意”的“替代决定”原则；而对于14周岁以上18周岁以下的未成年人，在未成年人的“自由意志”的前提下实现对其利益的均衡，建议采用“协助决定”的监护方式[5]；此外，根据《民法典》的相关规定，对于16岁以上的未成年人通过其本人的劳动收入为主要生活来源的，可以充分地享有自己的信息自决权。

（三）明确同意效力规则

信息行业者即使征得了监护人的同意，仍然存在“同意”无效的情形，且基于“同意”后的处理行为也存在“无效”的情况，甚至是存在“违法”的可能性。我国《规定》新增了“监护人明确同意”这一条款，并提出了“明确、具体、透明和自愿”的要求，这与GDPR的要求基本一致；但是从本质上讲，在用户身份识别、可证实同意等方面，我们还缺少明确的规范。因此，在此基础上，提出以“合理程度”与“技术水平”等指标为评价指标，采用电子邮件、银行记录、人脸识别等方法构建认证模型，并对于特殊的行业、特殊的领域，根据实际情况和技术方法确定并追溯监护人的同意。

（四）建立撤回同意规则

《规定》对未成年人的“删除权”也作了明确的规定，即在监护人撤回同意、未成年人要求停止提供其所需的服务后，网站经营者应立即、切实地将未成年人的个人信息予以清除。鉴于未成年人身體和心理发育的特征，当他们成长到一定的年龄后，仍然有权利让经营者将有关的数据进行删除，此外还应将“撤回同意”与“删除”这两项制度进行整合并对其加以完善。需要考虑的是，如果在造成了损害结果之后才撤销，那么这一原则的作用就会大大减弱，需持续对信息控制者实施动态监控。因此，还需要设立一个积极的公开体系，以便未成年人及其监护人可实时查看受控信息情况。

五、结语

在我国的立法中，对未成年人的个人信息保护法律法规非常零散，虽然《个人信息保护法》《规定》等法律法规作了相关规定，但却没有把未成年人的个人信息保护作为一个专门的条款来处理。在借鉴了域外国家对未成年人个人信息的保护的经验之后，根据我们的现实情况，在各方的共同努力下，通过构建一个由政府为领导的未成年人个人信息保护平台，培养和提升行业、未成年人及其监护人的数字素养，从而保证监护人同意机制的切实实施。

参考文献：

[1]Daniel J. Solove， Privacy Self－management and the Consent Dilemma[J].Harvard Law Review，1880－1903（2013）．

[2]吴泓.信赖理念下的个人信息使用与保护[J].华东政法大学学报，2018，21（1）：22-36.

[3]张继红.大数据时代个人信息保护行业自律的困境与出路[J].财经法学，2018（6）：57-70.

[4]张晓冰.未成年人个人信息保护的差异分析[J].中国青年社会科学，2019，38（4）：114-119.

[5]蔡一博，吴涛.未成年人个人信息保护的困境与制度应对——以“替代决定”的监护人同意机制完善为视角[J].中国青年社会科学，2021，40（2）：126-133.

基金项目：毕节市2023年度全市党校（行政学院、社会主义学院）系统校级课题，课题名称：法治毕节示范创建的实践与思考（课题编号：Bjdx202312）。

作者简介：古春（1994.7-），女，汉族，贵州毕节人，硕士，教师，研究方向：民商法学；

吴桂兰（1973.11-），女，汉族，贵州毕节人，研究生，副教授，研究方向：农业、农村经济学。