数字时代未成年人个人信息的法律保护

2022-01-01张继红

青少年犯罪问题 2021年2期

张继红尹菡

引言

未成年人特别是儿童群体，出生和成长于数字时代，属于“互联网原住民”，互联网、大数据已经与新生代未成年人的生活、学习密不可分。中国互联网络信息中心发布的《青少年上网行为调查报告》显示，截至2019年底，中国青少年网民规模约为2.77亿，占整体网民20%左右，占青少年总体79.6%。在我国的网民群体中，学生数量最多，占比为26%。学生特别是未成年人群体比重较大，并且呈现低龄化趋势，6-11岁网民在青少年网民比例中占11.6%。未成年人尚处于成长阶段，其辨识能力和自控能力较成人更弱，防范意识也较差，更易遭受来自数字空间的不法侵害。加之复杂、隐蔽的数字环境，未成年人个人信息被泄露、非法使用甚至批量贩卖等问题频发，保护迫在眉睫。欧盟及美国都有针对未成年人信息或隐私保护的相关规定，我国2019年8月出台《儿童个人信息网络保护规定》和2020年10月修订《未成年人保护法》，其中如何构建行之有效的未成年人信息保护法律框架体系已经成为各方关注的焦点。

一、数字时代未成年人个人信息保护的特殊性

数字时代背景下，大数据、云计算、互联网等技术的应用，个人信息被传播、存储、利用的成本更低，流动也更加频繁、便捷。然而，数字环境下未成年人遭受个人信息泄露的风险也呈现几何式上升。未成年人不仅仅是信息的接收者和使用者，同样是信息的传播者和发布者。我国目前对未成年人的传统教育范式是一种家长、老师的单向灌输式，未成年人在成长过程中往往是被动听取者和接受者，缺乏表达的机会。数字世界的虚拟性和隐蔽性使得未成年人暂时脱离了这种来自现实生活的束缚，更容易在互联网空间释放和展示自己，更喜欢在虚拟的数字空间里与陌生人分享其生活点滴，从而获得相对平等的沟通交流机会。在“快手”“抖音”等短视频APP中，随处可见未成年人的身影，一些家长也热衷于在社交软件或网络上分享自己的“育娃经验”以及各种“花式晒娃”，这些行为无意间导致未成年人的“数字身份”信息完全暴露在网络世界，而忽视了可能存在的危险。数字时代背景下，未成年人的数字身份极易被其扩散和传播，未成年人及其父母正在不经意之中，逐渐失去对儿童数字身份的控制。管理数字身份对成年人而言都并非易事，未成年人则更加困难。与此同时，人类大脑的运转过程中，遗忘是常态、记忆是例外。然而，在数字时代记忆则成为常态，一旦在虚拟空间留下影像、图片及个人资料信息，就很难被彻底删除，这些“数字痕迹”都有可能对未成年人之后的学习、工作及生活带来负面影响。

另一方面，各种游戏、短视频以及在线教育网络运营商以及网站要求用户注册使用其应用程序时，会要求其尽可能提供更多的个人信息。而未成年人信息对于一些商家而言，更像是一把实现用户精准营销的利器。他们可以根据未成年人的年龄、性别、爱好、上网习惯、父母职业、家庭收入等进行大数据分析和画像，从而有针对性地向用户推出个性化的服务或者定向推送广告。更为严重的是，一些未成年人信息进入地下交易市场进行非法买卖，此时数字身份的泄露及非法利用就变成了线下侵害的前置风险，对未成年人的信息安全构成了极大威胁。

未成年人正处于从无知到有知、不成熟到成熟的转变时期，理解能力和认知能力明显不足，缺乏生活经验和社会经验，在自我控制和自我保护方面更显稚嫩，无法辨识来自外界的风险。(1)Ilene R.Berson & Michael J.Berson,Children and Their Digital Dossiers: Lessons in Privacy Rights in the Digital Age, International Journal of Social Education ,47-135(2006).加之，未成年人身心发育尚未成熟，心理较为脆弱，一旦其个人信息受到不法侵害，会对其未来成长造成巨大阴影和伤害。而且，未成年人的个人信息往往与其父母信息有所关联。当未成年人的信息被泄露或非法使用时，还可能给整个家庭带来财产甚至是人身安全风险。不法分子往往利用未成年人的信息对其父母进行诈骗、勒索等，由此造成的财产及人身损害案例不胜枚举。

应该说，我国立法层面对未成年人个人信息保护的关注与保护力度明显提升。2017年1月，国务院法制办公布《未成年人网络保护条例(送审稿)》，以专章明确对未成年人个人信息予以保护(明确了通过网络收集、使用未成年人个人信息所应遵循的基本原则；网络信息服务提供者的删除、屏蔽义务以及其他禁止性规定)，是针对未成年人信息保护迈出的关键一步。2019年8月，网信办出台《儿童个人信息网络保护规定》(以下简称《规定》)，其作为首部专门性规章就儿童个人信息网络保护作了具体规范，明确了儿童个人信息的收集和处理应当遵循明示同意原则，网络运营者应当设置专门的儿童个人信息保护规则和用户协议，指定专人负责儿童个人信息保护工作，体现了从严保护的总体思路。2020年3月，国家市场监管总局与国家标准化委员会发布的《个人信息安全规范》(GB/T 35273-2020)将14岁以下(含)儿童的个人信息列入“敏感个人信息”。2020年10月修订后的《未成年人保护法》遵循“最有利于未成年人”的保护原则，明确对“未成年人隐私权和个人信息”的保护，设立“网络保护”专章(第五章)，其中第72条规定“信息处理者通过网络处理未成年人个人信息的，应当遵循合法、正当和必要原则”。应该说，我国对于未成年人个人信息的法律保护水平明显提升，形成了未成年人个人信息保护的规范体系。然而，从内容上看，上述法律规范仍然相对零散且大多为原则性、框架性规定，在具体规则方面仍存在不足。

从世界范围来看，不同国家及地区对未成年人个人信息保护的监管思路，主要从三个方面着手：一是未成年人信息自决的年龄界限标准；二是监护人同意制度；三是网络运营商的信息保护义务及责任。各国立法者虽然都意识到未成年人个人信息保护的紧迫性和必要性，但不同国家地区对于未成年人信息隐私及其被侵害的容忍程度存在较大差异，有时甚至实用主义会占上风。政策制定者面对众多的游说集团和各种消费者协会的力量，不得不在消费者个人信息保护和行业经济利益之间进行平衡。(2)参见[德]尼古拉·杰因茨：《金融隐私—征信制度国际比较》，万存知译，中国金融出版社2009年版，第108页。

二、未成年人个人信息保护的前提条件：年龄界限

如何判定是否为未成年人，即年龄标准问题，是适用未成年人信息保护的前提条件。未成年人年龄界限标准直接关系到其信息保护特殊机制的适用与否，达到什么年龄可以由孩子自行决定其信息的处理，是启动后续监护人同意制度必经程序。年龄界限标准划分不统一，将导致针对未成年人这一类特殊群体保护范围不一致，进而造成法律适用上的冲突和矛盾。如果赋予未成年人过多的自决权，有可能会导致对未成年人权益保护不力；如果保护性规定过多，则可能又会限制其自我决策权。“赋权与保护”困境不能被彻底消除，只能在“赋权”与“保护”之间寻求一定的平衡。因此，如何平衡两者之间的关系，在给予未成年人充分保护的同时，如何避免过度保护是决定未成年人信息自决年龄界限面临的最大难题。换言之，年龄界限标准关乎未成年人个人信息保护问题，亦牵涉父母与子女之间的信息控制权的平衡问题。“赋权与保护”困境亦引发了“个性化与平均年龄”困境。换言之，未成年人成熟度评估可以帮助解决“赋权与保护”困境面临的部分问题，即对达到一定成熟度的未成年人赋予其自我决策的权利，对未达到一定成熟度的未成年人则引入监护制度进行保护。目前，对未成年人进行成熟度评估主要有两种方法：一是划定一个明确的年龄界限作为所有儿童是否成熟的分界线；二是对每个未成年人的成熟度进行个性化地评估。从法律适用的角度来看，采用明确的年龄界限可以限制司法者的自由裁量权且执行起来更为容易，但也容易造成“一刀切”，忽视未成年人的个体差异。

从已有的规定看，我国目前没有统一的未成年人信息保护年龄界限标准。《个人信息安全规范》(第5.5条)和《儿童个人信息网络保护规定》(第2条)仅规范了“儿童个人信息”，将年龄界限设定为14周岁；《信息安全技术公共及商用服务信息系统个人信息保护指南》(第5.2.7条)则规定，向16周岁以下未成年人收集敏感信息要监护人同意；而《民法典》第17条及《未成年人保护法》第2条均采用“未成年人”的概念，即“不满18周岁”。

国外立法，目前也没有统一的年龄标准。美国《儿童在线隐私保护法案》(Children’sOnlinePrivacyProtectionAct,COPPA)适用于针对13岁以下儿童的商业网站和在线服务，以及实际知道他们可能收集了儿童数据的一般网站，旨在禁止与在线儿童收集、使用和披露个人信息有关的不公平和欺骗性行为。(3)是否构成“实际知道”需要综合判断在下列情形下，经营者可能被认为实际知道其存在儿童用户：收到来自父母的投诉；用户发来的邮件内容中可以明确看出其为儿童；用户发帖暴露了自己的年龄，而运营者对其网站的帖子采取监控措施。用户发帖暴露了自己的年龄，而有证据表明运营者的相关负责人员看到了帖子。2018年《儿童反追踪法案》(DoNotTrackKidsActof2018)对于COPPA中儿童年龄的限制进行了修订，将原先仅涉及13周岁以下儿童的保护制度扩大到了“12-16岁的青少年”。加州第568号法案又称为“橡皮擦法案”，规定加州不满18周岁的未成年人享有永久删除网站或其他在线服务上的个人数据的权利。(4)Katherine P. McGrath,Developing a First Amendment Framework for the Regulation of Online Educational Data: Examining California's Student Online Personal Information Protection Act, UC Davis Law Review,1149-1181(2016).欧盟《通用数据保护条例》(GDPR)规定了儿童同意数据处理的年龄门槛：将儿童的年龄设定为16岁，且成员国可以设定不低于13岁的年龄门槛(第8条)。英国和法国以“软”法取代了立法者干预，网上商业通讯业务守则提供了有关14岁以下儿童在线隐私的具体规定。(5)Daniel J.Solove,Privacy Self-management and the Consent Dilemma, Harvard Law Review, 1880-1903(2013).

应该说，未成年人有关信息自决的年龄界限与各国本国的历史文化传统密切相关。事实上，各国在未成年人的年龄界分问题上，确实存在很大争议。2010年，美国在对COPPA进行修订时，电子隐私信息中心曾经建议国会将年龄要求提高到18岁，主要是因为“社交网络的出现以及强大的商业力量正试图从使用这些服务的所有用户(尤其是儿童)中提取个人数据。这一作法带来了新的挑战，而COPPA最初根本没有考虑到这一点。”反对者则认为，将COPPA扩展到青少年领域将减少隐私和匿名性，因为需要对大量成年人进行年龄验证和数据收集，并可能引发言论自由问题。(6)EPIC, Testimony of Marc Rotenberg before the Senate Commerce Committee(sept.20,2020), https://epic.org/privacy/kids/EPIC_COPPA_Testimony_042910.pdf.如果完全遵照COPPA的要求来执行，对于网络服务商和儿童父母而言，都必须付出高额的成本。而美国及欧盟的年龄界限标准几乎都受到了其域内学者的批判，有学者认为有足够的证据证明其所设置的年龄界限门槛太高，与互联网上儿童行为的大量研究不一致；(7)Bart W. Schermer, Bart H. Custers et al. The Crisis of Consent, How Stronger Legal Protection may Lead to Weaker Consent in Data Protection, Ethics & Information Technology, 171-196(2014).有学者认为统一设定年龄界限本身即是不合理的。(8)Lee Rainie & Maeve Duggan,Privacy and Information Sharing, Villanova Law Review,951-980(2016).

结合域外未成年人年龄界分标准看，13岁以下未成年人属于绝对的未成年人信息保护期间已经达成共识。这一阶段的未成年人，其人格尚处于培育发展过程中，对隐私和信息的期待并不明确，对个人信息的处分行为也缺乏足够理性的判断，应当作为特殊群体加以保护，主要由监护人和学校监督控制未成年人的网络行为。

进入13-16岁区间段，未成年人成长的内生要求需要行使信息自决权，未成年人能够在一定程度上自主决定自己的个人信息，原先由监护人行使的监督和控制权逐步回归未成年人自己。在这一年龄区间，法律应根据其个人信息的具体应用场景再作进一步的细分，允许未成年人对其个人信息权进行一定的处分和决定。对于16-18岁区间未成年人相比更低龄的人来说，确实具有一定的自我控制能力和防控风险能力。对于那些可以通过自己的劳动收入独立工作和生活的未成年人而言，完全可以自主决定其个人信息的处理，等同于成年人。除此之外，对于其他仍不能独立工作的未成年人，依然应处于受保护阶段。但从我国修订后的《未成年人保护法》规定看，事实上放宽了未成年人决定其个人信息的年龄。也就是说，只有不满14周岁的未成年人，才需征得监护人同意，而对于14周岁以上的未成年人，则可以自主决定其个人信息。上述规定虽然充分考虑了未成年人对其个人信息的独立处分权，但也存在高年龄段未成年人信息保护不足的问题。(9)腾讯视频针对不满14岁与已满14岁的未成年人制定了不同的政策：不满14周岁的未成年人在使用腾讯视频服务或向其提供个人信息前，应当事先取得监护人的授权同意；已满14周岁不满18周岁的未成年人，可以事先取得监护人同意或自行授权同意。也就是说，腾讯视频为代表的一些网络经营者已经按照《个人信息安全规范》赋予了已满14周岁未成年人自行决定个人信息的权利。

笔者认为，应当通过制度设计并结合应用场景平衡未成年人信息保护与其独立人格之间的冲突，而不是一刀切式地限定年龄标准。也就是说，在18周岁以内普遍予以特殊保护的同时，应采用年龄分段并结合个人信息的类型，区别设计不同年龄阶段的保护制度，对低龄未成年人严格保护，对高龄未成年人则在最大限度给予其自主决定权。如果是私密性相对较弱的个人信息，比如在社交网站、在线教育等注册虚拟账号而需要授权收集但不进行披露的个人信息(如性别、昵称、手机号码等)，对于此种类型的年龄界限可设定为14周岁，从而使该年龄段的未成年人可以正常的进行其社交及学习活动，更有利于其独立人格的成长。然而，对于类似抖音等可能公开未成年人的肖像、形体及其他信息的视频资料，属于私密性较强的个人信息，则应该设定18周岁的严格年龄界限，需经过监护人同意，从而使未成年人的个人信息得到有效保护。上述分场景进行规制的思路，也部分体现在《未成年人保护法》中。比如，针对未成年人的网络直播活动，提出了更高的年龄限制。网络直播服务提供者为年满16周岁的未成年人提供网络直播发布者账号注册服务时，应当对其身份信息进行认证，并征得其父母或者其他监护人同意。

三、未成年人个人信息保护的基础制度：监护人同意

(一)比较法视角：美国及欧盟的“监护人同意制度”

美国COPPA是未成年人个人信息保护立法中的典范。其中，“可验证的父母同意”是COPPA对未成年人在线个人信息保护的主要贡献之一。(10)Simone V. Hof.,I Agree, or Do I: A Rights-Based Analysis of the Law on Children's Consent in the Digital World, Wisconsin International Law Journal,409-445(2016) .COPPA规定：在收集、使用或披露儿童的个人信息前，网络服务提供商必须获得可验证的父母的同意。符合COPPA要求的验证方法，包括以下六种：(1)通过传真、邮递、电子扫描等方式向运营商提供父母签署的同意书；(2)使用信用卡、借记卡或其他网络支付手段并向父母发送通知；(3)父母电话同意；(4)与专业的工作人员视频通话；(5)通过政府颁发的身份证件复印件用于验证；(6)运用面部识别技术进行验证等。在运营者对儿童信息进行非披露性的内部使用时，可以采用较为简单的“加强型电子邮件”的验证方式，即通过电子邮件取得父母同意后，再以邮件、电话等形式发送第二次通知，并告知父母有随时撤回同意的权利。(11)当然，也有学者认为美国COPPA“可验证的父母同意”确实有效阻止了未成年人个人数据的滥用，然而父母同意的验证方法可能轻易被儿童伪造而使其达不到可验证的目的，这也与即时访问网络相矛盾。如此一来，不仅会使想要访问的未成年人望而却步，也会影响网站经营者的经济利益。

欧盟GDPR第8条同样引入了“父母同意”制度(Parental consent)，明确规定网络服务的提供者在收集、使用或处理未满16周岁的儿童的个人网络信息前，需要获得父母的同意或者授权。该条款规定的目的在于充分保护儿童，考虑到儿童可能在没有充分意识到自己分享个人数据后果的情形下，赋予家长一定的控制措施。(12)European Commission ( EC) .Stronger Data Protection Rules for Europe(Sept.8,2017), http: //Europa.eu/rapid/pressrelease_MEMO-15 -5170_en.htm.然而，该规定也成为了GDPR最有争议的条款之一。GDPR要求所有的收集和处理关涉儿童的个人数据条款都需要得到家长的同意，这一要求的规定不仅增加网络服务提供者同意收集的难度，同时也极大地限制了儿童在网络上的活动。有学者指出，GDPR要求的“家长同意”不仅是一个授权，而且是要读懂网络用户提供者提供的专业化的服务条款和法律授权，对于家长的数字素养而言都将是一个极大的挑战。(13)McCullagh Karen, The General Data Protection Regulation: A Partial Success for Children on Social Network Sites? (Sept.25,2020),https://ssrn.com/abstract=2985724.

我国《个人信息安全规范》第5条第4款规定，收集年满14周岁未成年人的个人信息前，应征得未成年人或监护人的明示同意；不满14周岁，应征得其监护人的明示同意。《儿童个人信息网络保护规定》第9条规定，网络运营者收集、使用、转移、披露儿童个人信息的，应当以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意。《未成年人保护法》第72条规定，处理不满14周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意。上述规定虽然都需要经监护人同意，但对于同意的方式却没有作出进一步的具体规定。

(二)实践应用：来自网络运营商的隐私政策考察

2019年《儿童个人信息网络保护规定》出台后，各大平台均调整了各自的“隐私政策”，并特设“未成年人信息”条款内容。例如，百度和搜狐等大型门户网站明确规定了只有在取得监护人同意的情况下，未成年人方可提供其个人信息，但并未明确未成年人的年龄范围。从《未成年人保护法》的规定来看，可以默认为不满14周岁未成年人的个人信息获取，都需要明确取得监护人的同意。然而，大部分网站对于如何获得监护人的授权并没有作出更具操作性的规定，仅在同意条款之前必须让监护人明确阅读其“隐私政策”。值得注意的是，上述“隐私政策”还规定了如果监护人不同意隐私政策，可以立即通知网络运营商，网络运营商会采取相应的措施终止服务并提供了通知途径。实际上，这相当于一项事后同意制度，即在监护人同意之前，网络运营商就有资格向未成年人提供相应的服务并且获取其个人信息。如前所述，数字环境会形成永久性的“数字痕迹”，一旦发布很难删除，这种事后同意方式显然不利于未成年人的个人信息保护。

与上述门户网站不同的是，腾讯视频在相关未成年人条款中做到了明确的年龄区分，不满14周岁的未成年人，按照《儿童个人信息网络保护规定》的规定，使用服务或者提供个人信息的时候，需要取得监护人的授权同意；而在14周岁到18周岁区间的未成年人，规定相对宽松，获得监护人的同意授权或自行授权。爱奇艺视频“隐私政策”同样详细，特别增设附则说明对于儿童个人信息的收集和使用规则，包括“儿童虚拟子账号创建”功能；“家长控制”功能以及其他信息如上网操作记录等。其中，收集“儿童虚拟子账号”的儿童信息包括昵称、生日、性别和头像。虽爱奇艺也明确说明，如没有必要无需提供儿童个人真实信息，但也未设置明确的家长同意机制。爱奇艺隐私附则的内容，更多的体现在强调监护人的保护义务方面，而对于网络运营商在授权通知上的操作准则却很少涉及。同样地，抖音“儿童/青少年使用需知”专设了未成年人特殊保护条款，并制定了“抖音亲子平台服务协议”，但对于儿童个人信息的收集也未明确通过何种途径向监护人获取授权的相关内容，而仅为笼统性概括。

事实上，很多未成年人往往因某些原因在披露个人信息时谎报年龄或冒充父母的同意，如何确保提供的同意真正来自监护人。具体到社交活动领域，作为监护人的父母真的有能力代替其子女而非滥用其监护权作出更适当的决定？而网络运营商征得监护人同意到何种程度才算是真正意义上公允的同意？如果要确认监护人同意的真实性，通常需要对其身份的真实性进行验证，这不仅与数字世界的普遍匿名化传统难以兼容，亦容易引发人们对身份信息泄露的焦虑。也有部分家长甚至认为，如果可以促进家庭沟通或强化子女的社会互动，那么他们就可以接受违反年龄限制的做法，甚至帮助他们的孩子通过说谎来规避来自网站的年龄限制。(14)Danah Boyd, Why Parents Help Their Children Lie to Facebook About Age: Unintended Consequences of the 'Children’s Online Privacy Protection Ac,First Monday, 31(2011).

(三)监护人同意制度的完善

正因为未成年人心智尚不成熟，无法与成人一样拥有完全的行为能力，法律上才创设了亲权和监护制度，即由监护人抚养、教育、照顾未成年人，代理未成年人实施一定的民事行为，以保护未成年人的人身权利、财产权利和其他合法权益。这也是目前收集和处理未成年人个人信息需要取得监护人同意的理论基础。监护人基于监护关系对未成年人个人信息享有知情权和决定权，甚至包括获取未成年人敏感的、隐私的个人信息，以及在网络、学校等各种环境或社交途径中的个人信息。(15)参见尹志强：《未成年人监护制度中的监护人范围及监护类型》，载《华东政法大学学报》2018年第6期。

监护人同意制度的预设前提是未成年人与父母利益的一致性和统一性。但事实上，子女与父母之间存在一定的价值冲突，特别是当子女随着年龄的增长，自我意识不断强化，父母监护本身也是对子女权利的一种约束和控制，目前已经发生多起父母在社交平台晒娃导致亲情关系紧张的事件。有学者认为，父母同意条款可能本身就侵犯了儿童的隐私权。这些条款引发了父母与子女之间的紧张关系，父母同意条款可能实际上鼓励过度广泛的父母监督。(16)Benjamin Shmueli&Ayelet B.Prigat, Privacy for Children ,Columbia Human Rights Law Review, 759-796(2011) .然而，目前关于儿童隐私及信息保护的法律规范都是从传统单向式父母对子女的控制为出发点，认为父母作为监护人在未成年人个人信息的公开和使用方面拥有控制和监督权。但作为成长中的个体，未成年人也应该有针对父母的个人隐私及信息权。因此，监护人对未成年人个人信息的介入权和知情权在目的和行使方式上应当有一定的限制，即应遵循“最有利于未成年人的原则”服务于未成年人权益的保护，尊重被监护人的自我决定权，在弥补未成年人在行为能力上不足的同时，代理未成年人作出更符合其自身利益的选择，从而避免监护权的滥用。

虽然我国现有法律规范及网络运营商的隐私政策中都有针对未成年人信息收集的监护人同意条款，但对于征得同意的方式却没有做出具体的规定，这使得监护人同意条款的施行效果被大打折扣。这里，可以借鉴美国COPPA中的“可验证的父母同意”，如通过电子邮箱等方式向运营商提供父母签署的同意书，或者采取父母电话同意告知、视频通话等方式，使未成年人难以伪造或刻意规避，切实发挥对监护人同意的监督作用。

四、未成年人个人信息保护的保障制度：网络运营商的信息保护义务和责任

网络运营商的主要义务是隐私政策的制定、个人信息保护措施的落实以及响应父母要求终止服务等。美国COPPA和欧盟GDPR对此都做了规定，我国《儿童个人信息网络保护规定》也明确规定了网络平台的主体责任。

欧盟GDPR采用独特的“赋权”模式，以此强化数据主体对其个人数据的有效控制。一是数据可携权(Right to data portability)。GDPR第20条的规定，数据主体有权收取一份关于其个人数据的复制件(该复制件应以通常机器可读形式制作)，并将其个人数据从某数据控制者移交至另一数据控制者，或要求在两个数据控制者之间直接传送。可携带权的基本含义，即赋予数据主体要求将其数据从某数据控制者转移至另一数据控制者的权利。例如，社交媒体用户可以要求Facebook其账户内的一切个人数据移交至Twitter。该权利实际上有助于网络平台之间的保护升级，强化了数据控制者之间的竞争。(17)Macenaite M, From Universal Towards Child-Specific Protection of the Right to Privacy Online: Dilemmas in the EU General Data Protection Regulation. New Media & Society,765-799(2017).二是被遗忘权(Right to be forgotten)，GDPR第17条详细阐述了被遗忘权的内容。由于网上数据一旦收集后，很难被删除的。所以即便当监护人行使删除权利时，也很难保证儿童个人信息能够被彻底删除。被遗忘权的设定注重于保护儿童，允许他们删除会损害他们个人的数据，即便当他们要求行使这项权利的时候已经成年。

与欧盟相比，美国则采用了典型的“义务设定型”监管模式。美国COPPA首次制定关于平台主体责任，通过立法明确了网络服务提供者的义务。第一，发布隐私政策。通过在公众平台上制定关于平台服务的隐私政策，必须包含收集个人信息的类型、使用途径以及关于这些信息是否会与第三方平台共享等内容。其所制定的隐私政策，必须明确、具体，且链接要位于网站的主页，方便查看。第二，提供直接通知家长的策略，此方式则是让家长了解并且同意网络服务提供者在收集儿童个人信息的内容。第三，可以让家长审核子女的信息。家长有权在任何情况下，向平台调取他们收集的儿童个人信息。网络服务提供者必须有义务去核实调取信息的确实为该儿童家长，审核的方式必须简洁有效，不能故意设置不必要的步骤来增加家长的负担。第四，家长撤销同意权。当家长明确要求删除平台上收集的关于儿童的个人信息时，网络服务提供者必须立即将儿童个人信息从网站数据库中删除。第五，建立安全保障措施及程序，以保护儿童个人信息的完整和安全。(18)The Rule’s Sliding Scale for Obtaining Parental Consent was Set to Expire on April 21, 2002. In October 2001, the FTC Published a Federal Register Notice Proposing to Amend the Rule and Extend the Sliding. 66 Fed. Reg.54,963(October 31,2001).

虽然美国在联邦层面并未赋予用户以“删除权”及“可携带权”，但在州立法层面可以采用比联邦法律更严格的消费者隐私权保护制度。比如，加州“橡皮擦法案”规定了被遗忘权，即加州不满18周岁的未成年人享有永久删除网站或其他在线服务的个人数据的权利，运营商的义务包括信息删除、通知、解释说明、提醒义务。但该法案所确立的被遗忘权的效力范围十分有限，未成年人只可以删除自己发布的信息，对于其他人发布或自己发布被其他人转载的个人信息却无权要求删除。(19)Lee J, Does California’s Online Eraser Button Protect the Privacy of Minors?University of California Davis Law Review, 1173-1206(2015).需要注意的是，欧盟GDRP和加州“橡皮擦法案”虽然都确立了被遗忘权制度，但在具体规则上仍存在差异。GDRP采取的是混合模式，即不区分成年人和未成年人而统一给予被遗忘权，此种模式简洁但缺乏针对性，难以体现出对未成年人这一特殊群体的保护。加州则采用单列模式，即专门规定了未成年人的被遗忘权，虽然该模式操作性强，内容具体明确，但立法成本相对也更高一些。

在责任方面，无论是欧盟还是美国对于侵害未成年人个人信息的违法行为都不约而同地施以重罚，以强化网络运营商的主体责任。GDPR被称为“史上最严数据保护法”，针对违法行为具体列举了监管机构在实施行政处罚时应考虑的因素，如故意还是过失、先前违法行为、被侵害的个人数据的种类、是否采取了减轻损害的措施等。同时，明确了罚款额的上限标准，并按照违法行为类别将罚款额分为两档：第一档针对那些不能履行条例规定义务的数据控制者及数据处理者等，将被处以1000万欧元或者前一年度全球营业额的2%，以两者中较高者为准。第二档针对未能说明如何获得了用户的同意、违反数据处理之一般性原则、侵害数据主体的合法权利以及拒绝服从监管机构的执法命令等性质更为严重的违法行为，违法者将被处以两千万欧元或者企业前一年度全球营业额4%，以两者中较高者为准(第83条)。美国联邦贸易委员会(FTC)对于不遵守COPPA规则的企业，也采取了更严厉的惩罚性措施。2019年2月28日，FTC发布了一项裁决，以违反美国儿童在线隐私保护法案(COPPA)为由对TikTok(抖音海外版)罚款 570万美元。除了巨额罚款之外，FTC 与TikTok还达成了一项和解协议，即 TikTok必须引入年龄控制措施，应用不会排除 13岁以下用户，但这些儿童必须被引导至不同的应用区域内，从而限制对儿童用户个人信息的收集。(20)美国联邦贸易委员会网站，https://www.ftc.gov/news-events/press-releases/2019/02/video-social-networking-app-musically-agrees,2020年4月20日访问。这是FTC在美国保护儿童隐私的案件中开出的最大一笔民事罚款，美国参议员Ed Markey在一份声明中表示，“尽管对违反该法的公司来说，这笔罚款可能是创纪录的历史最高水平，但对于对儿童造成的伤害和阻止其他公司未来违反该法的行为来说，这还远远不够”。

美国模式提供明确的行为指引，设定多种“监护人同意”的获取方法，供网络运营商参考和借鉴。同时，网络运营商在确保自身隐私政策及信息保护措施符合法律基本要求的前提下，亦拥有一定的自主权，他们可以在规则之下建立新的、更有效的方式来取得“监护人同意”。只有当法律和政策给予网络运营商更大的自我管理和规制空间时，才更有助于推动未成年人个人信息更完善的保护制度的形成。相比之下，欧盟正是因为GDPR对于儿童信息保护的规制性措施十分严格，导致了很多外资企业退出了欧洲市场。在数字经济快速发展的背景下，合理设定网络运营者的义务和责任负担，如何把握其中的“度”是立法者亟需解决的问题。

相比欧盟GDPR的赋权模式与美国“义务设定”模式，我国立法则兼容并包，多管齐下，既规定了未成年人及其监护人的更正、删除权，也对网络运营商及其他相关信息处理者施以相应的义务和责任，以此提升我国未成年人个人信息的保护基准。《个人信息安全规范》在附录D“个人信息保护政策模板”规定，“如果我们发现自己在未事先获得可证实的父母同意的情况下收集了儿童的个人信息,则会设法尽快删除相关数据”。《儿童个人信息网络保护规定》第20条规定：“儿童或者其监护人要求网络运营者删除其收集、存储、使用的儿童个人信息的，网络运营者应当及时采取措施予以删除。”《未成年人保护法》第72条第2款规定，未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的，信息处理者应当及时采取措施予以更正、删除。也就是说，我国现有法律规范已经确立了“更正、删除权”，即当未成年人或其父母撤回同意或者控制者不再有合法理由继续处理数据等情形时，用户有权要求删除数据。

值得注意的是，刚刚修订的《未成年人保护法》设定并明确了网络经营者的未成年人信息保护义务。一是提示及报告义务。网络服务提供者发现未成年人通过网络发布私密信息的，应当及时提示，并采取必要的保护措施(第73条)；网络服务提供者发现用户发布、传播含有危害未成年人身心健康内容的信息的，应当立即停止传输相关信息，采取删除、屏蔽、断开链接等处置措施，保存有关记录，并向网信、公安等部门报告(第80条)。二是链接和广告推送等禁止性义务。以未成年人为服务对象的在线教育网络产品和服务，不得插入网络游戏链接，不得推送广告等与教学无关的信息(第74条)。三是响应父母请求等义务。未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的，信息处理者应当及时采取措施予以更正、删除(第72条)；遭受网络欺凌的未成年人及其父母或者其他监护人有权通知网络服务提供者采取删除、屏蔽、断开链接等措施。网络服务提供者接到通知后，应当及时采取必要的措施制止网络欺凌行为，防止信息扩散(第77条)。《儿童个人信息网络保护规定》同时也对网络服务提供者的义务进行了具体界定，如应设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护。

在责任方面，《未成年人保护法》第127条规定，由公安、网信、电信、新闻出版、广播电视、文化和旅游等有关部门按照职责分工责令改正，给予警告，没收违法所得，违法所得100万元以上的，并处以违法所得1倍以上10倍以下罚款，没有违法所得或者违法所得不足100万元的，并处10万元以上100万元以下罚款，对直接负责的主管人员和其他责任人员处1万元以上10万元以下罚款；拒不改正或者情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销营业执照或者吊销相关许可证。这个处罚力度与《网络安全法》并无太大差异，与前述欧盟GDPR或美国的天价罚款相比，并不算过分严格。

从救济渠道来看，我国目前对个人信息的法律保护以刑事及行政处罚为主，民事救济仍存在维权成本高、举证困难、赔偿数额低等问题。在个人信息侵权案件中，原告与被告之间的“能力天平”明显倾斜，两者的实力差距悬殊。而未成年人由于缺乏相应的网络基础知识、技术手段和信息获取能力，在发现侵权行为、限制侵权后果等方面处于相对弱势的地位，举证难度会更大，并且举证过程还可能对未成年人造成二次伤害。虽然《民法典》已经明确了对自然人个人信息的法律保护，但在举证责任方面并未作相应的调整。建议可在《未成年人保护法》公益诉讼条款当中，将社交平台内容管理义务不履行行为明确纳入公益诉讼的法定类型，通过人民检察院提起公益诉讼的方式以强化对未成年人个人信息的程序法保护。

从《未成年人保护法》《儿童个人信息网络保护规定》相关义务规则内容来看，以往网络经营者仅制定一份个人信息保护政策已经无法满足保护未成年人等群体的特殊需求。除了在组织机构上需设置专门负责保护未成年人个人信息的工作人员，网络运营商还需制定针对未成年人的隐私政策，并充分考虑不同年龄阶段未成年人的心智与认知能力，对未成年人个人信息保护政策内容依不同年龄阶段分别加以设定。同时，还需进一步明确未成年人信息使用范围，细化隐私政策。例如，爱奇艺在隐私保护政策中提到的儿童信息使用范围应当包括儿童App的核心业务所必需的信息和附加业务功能可能需要收集的信息，具体包括“儿童虚拟账号创建”功能、“家长控制”功能等。在儿童个人信息安全保障措施方面，网络运营商可进一步采取与服务所关联的安全保障技术，对儿童个人信息进行加密存储并使用隔离技术进行隔离。同时，在使用未成年人个人信息时，如儿童个人信息展示、儿童个人信息关联计算时，应采用包括内容替换、加密脱敏等技术以增强使用信息过程中的安全性。

五、代结语：数字时代我国未成年人个人信息保护规则的完善

数字技术迅猛发展，已全方位深入到社会活动的各个领域，引发了生产方式、活动方式、思维方式的改变。伴随着互联网、大数据、云计算、物联网、人工智能等一系列信息技术的迭代发展以及相应的新业态的不断成熟，数字世界已经成为独立于物理世界的第二空间，并且两者相互影响、融合共生。技术进步和业态创新推动了更深层次的变革，人类行为的全面数字化、数字流动的实时化与网络化、决策执行的自动化与智能化，都预示着一个独立的数字世界即将诞生。然而，新兴技术带来的不仅是数字经济的迅速发展，还会引发数字身份的泄露以及无法删除的“数字痕迹”，这些都对未成年人个人信息保护提出了新的挑战。为适应数字技术的发展，美国、欧州都在主动调整其未成年人信息保护法律规则，虽然在年龄界分认定、监护人同意以及网络经营者义务和责任设定方面上还存在一定监管分歧，但都认识到未成年人个个信息保护在未成年人成长过程中的关键作用，都不断完善和细化相关具体行为规范，加大执法力度，使法律规范真正得以有效施行。(21)Emmanuelle Bartoli,Children’s Data Protection vs Marketing Companies,International Review of Law Computers & Technology,35-45(2009).同时，还积极通过行为守则等形式，(22)例如，英国和法国则是通过“网上商业通讯业务守则”等行为守则形式，以“软”规则取代直接立法干预。对网络经营者的信息合规提供具体指引，以自律规范填补强制性规范过于刚性的不足，采用“软硬兼施”的管理模式更能有效激发企业自觉遵守行为规范的内在动力。目前，我国未成年人信息保护已经形成以《未成年人保护法》为基础、《儿童个人信息网络保护规定》为抓手、《个人信息安全规范》为标准的体系框架，但并未给予信息处理者、网络经营者等更多的自我管理权限。由于自治精神的长期缺位，虽然上述规范中也明确写入了“鼓励相关行业组织参与未成年人网络保护工作，制定关于未成年人网络保护的行业自律规范，引导行业组织成员加强对未成年人的网络保护”等条款，并在实践中逐步扩大行业自律组织进行自我管理的权限，但这并未根本性改变行业组织受到政府及有关主管部门管控的本质，独立性也被弱化。(23)参见张继红：《大数据时代个人信息保护行业自律的困境与出路》，载《财经法学》2018年第6期。今后很长一段时间里，我们要着重建设个人信息保护领域的自律能力，作为政府监管的重要补充。同时，还需开展未成年信息保护方面的宣传教育，这不仅可以提升未成年人的自我保护意识，还能提高父母等监护人的网络素养，熟悉网络经营者的隐私政策，学会谨慎分享或征得同意分享未成年人个人信息，并以“最有利于未成年人的原则”适时行使拒绝权。

综上，未成年人作为心智尚不成熟、正处于成长期的特殊群体，其权益更容易受到来自数字虚拟世界的侵害，有必要针对未成年人在法律保护规则上做专门的考量和设计，区别不同类型的个人信息，并结合具体应用场景做同意事项上年龄的进一步界分，以最大限度的平衡未成年人相对独立人格与个人信息保护之间的冲突。应该说，未成年人个人信息保护从来都不只是某一方主体的责任，需要政府、社会、企业和家庭共同努力，分别发挥政府监管、社会监督、企业保障、家庭教育的积极作用，共同建构数字时代未成年人个人信息保护的法制屏障。