大数据背景下儿童个人信息的法律保护

潘 慧

（西南政法大学民商法学院， 重庆401120）

一、引言

互联网的迅猛发展将人们带入信息时代。随着我国互联网覆盖范围扩大、移动流量资费下降，网络用户数量飞速增长且呈现低龄化现象。中国互联网络信息中心（CNNIC） 发布的《2018 年全国未成年人互联网使用情况研究报告》 表明，截至2018 年7 月31 日，我国未成年网民规模达1.69 亿，未成年人的互联网普及率达到93.7%，明显高于同期全国人口的互联网普及率（57.7%）[1]。儿童是人类的未来，是社会可持续发展的重要资源。互联网开阔了儿童的视野，提高了儿童的学习兴趣，但也给儿童带来了不少安全隐患：儿童个人信息的泄漏严重影响着儿童的健康成长和家庭的安稳幸福。“问题是时代的口号”，面对新时代的新问题，我们应该积极应对。本文将从我国儿童的年龄规定出发，阐述我国儿童个人信息保护的立法现状，剖析现阶段对儿童个人信息法律保护方面存在的不足，并提供一些可以降低儿童个人信息遭受滥用风险的建议。

二、我国儿童的年龄限定与儿童个人信息法律保护的立法现状

（一） 我国儿童的年龄限定

《中华人民共和国网络安全法》 中将 “公民个人信息” 界定为：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人个人身份或者反映特定自然人活动情况的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。这是针对普通公民的个人信息定义，而儿童作为特殊的权利主体，其个人信息的法律保护范围应该更为细化。首先必须明确的是，儿童是否等同于未成年人以及两者之间的关系问题。联合国《儿童权利公约》 中将儿童认定为18 岁以下的任何人；美国《儿童网络隐私保护法》 （COPPA） 将儿童年龄界定为13 周岁以下；欧盟《一般数据保护条例》 （GDPR） 则将儿童定义为16 周岁以下，成员国基于本国实际可以在法律上规定更低的年龄上限，但是不得低于13 周岁，故《一般数据条例》 将儿童年龄的上限限定在13—16 周岁；我国《未成年人保护法》 将18 周岁以下的公民定义为未成年人，按《民法总则》 关于公民行为能力的规定，16 周岁以上的未成年人，以自己的劳动收入为主要生活来源的，视为完全民事行为能力人。如果在互联网中将儿童的年龄限制在18 周岁以下，无疑就将《民法总则》 此种拟制规定排除在外，且将儿童限制在18 周岁以下会把很多拥有足够独立思考能力的人阻挡在互联网的大门外。此外，在2019 年10 月1 日起施行的《儿童个人信息网络保护规定》 的第二条明确规定，儿童是指不满14 周岁的未成年人。该规定明确了儿童的年龄限定，尽管与《未成年人保护法》 存在法律上的位阶关系，但其至少说明了 “儿童” 并不等于 “未成年人”，儿童年龄的覆盖范围要小于未成年人年龄的覆盖范围。故本文所讨论的儿童年龄是在14 周岁以下[2]。

（二） 我国儿童个人信息法律保护的立法现状

对于个人信息的保护主要有以美国为代表的统一立法保护模式和以欧盟为代表的分散立法保护模式[3]。我国所采取的是分散立法保护模式，目前还未有专门的《个人信息保护法》，更缺乏有关儿童个人信息保护的法律规定。首先对个人信息有明确规定的是2017 年6 月1 日施行的《网络安全法》，其对个人信息进行定义并专章对 “网络信息安全” 进行规定，体现了对个人信息保护的关注与重视。其次，自2017 年10 月1 日起施行的《民法总则》 的第一百一十一条也对自然人的个人信息进行了规定。此外， 《未成年人保护法》 第三十九条和第五十八条、《预防未成年人犯罪法》 第四十五条、 《刑法》 第二百五十二条、 《刑事诉讼法》 第二百七十五条等条文，虽未在法条中直接表明对儿童个人信息进行保护，但其是对未成年人信息的间接保护，旨在为未成年人营造一个健康的成长环境。

总而言之，相比美国专门制定的《儿童网络隐私保护法》 而言，我国在儿童个人信息保护方面的现有立法还存有很多空缺，对儿童个人信息的保护还很落后；现有立法都较为分散，针对性和可操作性不强，不利于对儿童个人信息进行保护。

三、我国儿童个人信息法律保护的不足

（一） 未构建儿童个人信息法律保护框架

儿童时期是一个人世界观、人生观和价值观形成的关键时期，他们对于互联网充满好奇而又缺乏基本的辨别能力。我国对个人信息的关注是21 世纪初才有的事，互联网的普及使儿童基本上都能接触到互联网，缺乏自我保护意识的儿童很容易将直接的个人信息泄露出去。这也使得非法买卖和利用儿童个人信息的成本变得很低，侵犯儿童个人信息权也是很常见的事。生活中有人将收集到的儿童个人信息用于商业营销，打扰了儿童日常的学习和生活。更有甚者，利用儿童个人信息进行诈骗、敲诈勒索等危害极大的非法活动，不利于社会的和谐稳定。因此，对儿童的个人信息进行法律保护极为必要也非常紧迫。

同时，就目前散见于各部门法的少数条文而言，对儿童个人信息的保护只是一笔带过，且多为原则性规定，对儿童个人信息的保护并没有落到实处，保护力度不够。我国没有专门的儿童个人信息保护法，未确立儿童个人信息的侵权标准以及侵权的法律后果，也未对在儿童个人信息侵权案件中的举证责任给予明确规定，这就使儿童在主张权利时非常被动。且现有规定多是关于儿童个人信息遭受侵犯后的救济措施，并没有对违法分子形成事前的威慑作用。违法成本低而收益高，这也是儿童个人信息被滥用屡禁不止的原因之一[4]。

（二） 缺乏保护个人信息的安全教育

互联网将我们带入一个数据化的时代，以数据为基础的信息产业日益发达。而个人数据作为信息产业的重要组成部分，由于其本身具有巨大的商业价值，导致个人信息被非法利用的现象极其普遍。由于我国对个人信息的关注起步较晚，很少对儿童进行保护个人信息的安全教育。2015 年6 月中国网信网发布的《我国公众网络安全意识调查报告（2015）》 揭示了当时我国公众网络安全意识教育存在的五大问题，其中就包括个人信息保护存在隐患，报告特别指出青少年网络安全基础技能、网络应用安全等意识亟待加强。成年监护人自身的个人信息保护意识本就不强，我国的教学课程也几乎未将儿童个人信息的保护纳入其中。此外，在我国较为落后地区的学校，根本不会进行信息安全教育。处于成长阶段的儿童从接触互联网之初就没有受到正确的引导和教育，对个人信息的自我保护意识不强，在浩瀚无垠的网络空间畅游时，会将自己的个人信息毫无保留地泄露至公共平台，留下极大的安全隐患。

（三） 儿童个人信息权与监护人知情权之间的矛盾

父母是儿童法定的监护人。我国《婚姻法》 第二十三条规定，父母有保护和教育未成年子女的权利和义务。在未成年子女对国家、集体或他人造成损害时，父母有承担民事责任的义务。父母是儿童在成长阶段接触最多的人。如今在大多数父母的教育观念里都达成了让孩子远离网络游戏的共识，因为实在有太多沉迷于网络游戏而荒废学业的孩子。但是监护人除加强对孩子玩网络游戏的监控外，似乎忽视了对孩子个人信息的尊重。家长打着关心孩子的名义随意翻看孩子的日记本、手机相册、微信聊天记录或未经孩子的允许将其照片公布在网上，抑或是将其某次考试的成绩发在微信朋友圈等等，这些都是对儿童个人信息保护的漠视。同时，家长很少关心孩子浏览的网址是否健康，没能引导孩子健康上网以及合理使用网络学习资源。我国法律也不适合对监护人知情权的界限进行硬性规定。父母是孩子最好的老师，父母与子女之间也应该有彼此的空间，彼此尊重。监护人尊重孩子的个人信息，从某种意义上来说，也可以培养孩子独立思考和明辨是非的能力。当然，给孩子以一定自由空间的同时，在孩子个人信息受到侵害的时候，监护人也应该积极履行监护职责，维护孩子的合法权益。

（四） 儿童个人信息的收集标准低

个人信息收集标准主要是针对网络行业的运营商而言。2013 年， 《信息安全技术公共及商用服务信息系统个人信息保护指南》 颁布实施，这是我国第一个个人信息保护的国家标准。该标准明确规定了在收集和利用个人敏感信息之前，收集主体应当得到被收集信息主体的授权。在该标准中，个人敏感信息与个人一般信息都属于个人信息，信息主体的授权包括明示同意和默许同意两种方式。明示同意适用于对个人敏感信息的收集和利用，即收集主体在收集和利用个人敏感信息之前，应当得到被收集信息主体的授权。默许同意的适用条件相对宽松，信息收集主体在收集和利用个人一般信息时，个人信息主体没有明确表示反对即认为是默许同意。该标准并没有区分适用对象，即适用于对所有个人信息的收集。这种统一的收集标准不利于对儿童个人信息的保护。首先，儿童可能都不能对个人一般信息和个人敏感信息进行正确区分；其次，儿童对自身信息的保护意识薄弱，且保护能力较低。若对儿童的一般信息也适用默许同意，必然会降低非法利用儿童个人信息的成本，只会纵容违法者的信息滥用行为。因此，应该提高儿童个人信息的收集标准，将儿童的一般信息也采用明示同意规则。对儿童个人信息收集标准的提高，有利于从源头上杜绝对个人信息的滥用。

四、我国儿童个人信息法律保护的完善

（一） 建立健全儿童个人信息法律保护机制

儿童个人信息法律保护机制的健全涉及民法、刑法、行政法等法律，各部门法之间的协调不是一蹴而就的。立法者应该避免各部门法之间的冲突，使各部门法共同致力于儿童个人信息的法律保护。首先，立法者要本着 “儿童权利优先” 原则，注重儿童这一权利主体的特殊性，在对法律保护机制进行架构时，充分考虑权利主体的特点。其次，目前我国的个人信息保护法律还处在制定阶段，要求马上出台 “儿童个人信息保护法” 还不现实。因此，在该现实背景下，我们可以将现有法律规定具体化，使其具有适应性。我国现有的《未成年人保护法》《网络安全法》 等法律具有较多原则性规定，对儿童个人信息的保护还比较抽象，可以制定相应的实施办法，使法律更具操作性，比如规定侵犯儿童个人信息的认定标准、侵害儿童个人信息后的责任承担以及惩罚措施、主张权利时的举证责任等。再次，我国各部门可以对现有法律规定进行解释，使其能适应社会的快速变化与发展。频繁的修法不利于维护法律的权威性，而法律解释则可以在不修改法律条文的同时赋予法条新的适应于社会新问题的法律依据。对现有法律进行解释不仅可以填补一些立法缺漏，而且还可以提供相应的请求权基础，有利于儿童个人信息的保护，使其更好地维护自己的合法权益。最后，建议在即将出台的个人信息保护法中规定 “儿童个人信息保护” 一章，专门对儿童个人信息保护做出具体明确的规定，并规定相应的配套制度。此外，在对国际上现有的较为完善的法律规定进行借鉴时，要基于我国国情进行衡量，制定出具有中国特色的、充分保护儿童合法权益的法律法规。

（二） 加强国家、学校、监护人和网络运营商的协同保护

在传统的以家庭和学校为主的儿童生活和学习场所里，监护人、教育者承担了保护儿童个人信息的主要义务[4]。但儿童在使用互联网时通常脱离了学校和家庭的监管，可能毫无防备地在互联网上公布自己的个人信息，而网络运营商大多出于盈利目的，基本上不会主动对儿童个人信息进行保密和监管，这时候就需要国家发挥监管作用。总的来说，儿童个人信息的保护需要多方面全方位的协作。首先，学校和家庭主要对儿童进行网络信息安全知识教育，引导儿童正确使用网络。例如，在申请账号需要填写自己及家人的身份信息时，应及时询问家长该填写是否安全；在网络上进行社交活动时，也应该保持警惕，不能轻易泄露自己的个人信息等等。其次，网络运营商应重视对儿童个人信息的保护，加大保护力度。网络运营商必须制定清晰的隐私保护政策，明确其如何使用收集到的信息。这是比较常规的个人信息保护方式，但是这一保护方式如今也流于形式，很少有人会认真阅读隐私政策的具体内容。对于正当收集到的儿童个人信息，网络运营商应建立保密技术，确保所收集的个人信息的安全性。在监护人不同意网络运营商收集儿童个人信息并要求其终止向儿童提供网络服务时，网络运营商应该及时删除收集的信息、终止提供服务。此外，对于整个网络行业而言，应加强行业自律，必要时可以合理引进 “安全港” 制度。该制度源于1998 年COPPA第1304 条，主要内容是指由行业组织制定包括独立监管或惩戒程序的自律规范和行为指南，然后提交联邦贸易委员会，由它来审核和批准，主要目的是保护儿童隐私。建立安全港制度既提高了行业自律规范的可操作性，又增强了互联网行业对COPPA 的灵活适用[5]。我们可以借鉴这一制度，由互联网行业负责自主设立有关儿童个人信息保护的行业规范，而有关行政部门则负责审批和备案，从而促进个人信息收集与保存的良性发展。最后，国家行政机关要加强对网络运营商的管理，对泄露、滥用和贩卖儿童个人信息的行为进行惩戒。同时，在行政部门内部进行具体分工，明确各自工作职责，不相互推诿，为儿童健康上网创造条件，各方协力共同为儿童营造一个良好的网络环境。

在多方协作的过程中，要贯彻执行 “两头强化，三方平衡”[6]的理念。“两头强化” 是指建立 “个人敏感信息” 的概念，把个人信息区分为个人敏感信息与个人一般信息，调和个人信息保护与利用之间的冲突，实现利益平衡，强化保护个人敏感信息，利用个人一般信息。“三方平衡” 是指个人、信息业者和国家之间的利益平衡。个人所代表的是人格自由和人格尊严，信息业者所代表的是通过经营活动获取经济利益，国家所代表的是社会的公共利益。该理论的目的在于平衡三方主体之间的利益，而不过分强调个人利益或公共利益，有利于社会各阶层的均衡发展。

（三） 确立监护人知情同意制度

我国各部门法关于儿童个人信息保护的规定未明确体现监护人知情同意制度。该项制度的意思是，网络运营商要想收集或处理儿童个人信息，必须征得监护人的同意。由于取得监护人同意对儿童使用互联网有所限制，且在技术上还不成熟，理论界对“监护人知情同意” 制度存在质疑，主要表现在以下几点：首先，要求征得父母的同意，虽然防止了儿童个人信息的泄露，但很大程度上也限制了儿童上网。父母的过度监督还会影响儿童的社交形象，遭到同伴的质疑和孤立，不利于儿童健康人格的形成。其次，该制度直接使父母侵害孩子的隐私权变得“合法化”，剥夺了儿童保留自己内心想法的权利。而且有的家长还主动在网上公布孩子的个人信息，这无疑严重威胁了儿童个人信息的安全。最后，法律规定无须选择加重监护人的监护责任，可以选择规定约束网络运营商的行为，例如：禁止无故收集、贩卖儿童个人信息等。法律加重网络运营商的注意义务似乎更加高效、可行[5]。但是考虑现实情况，由于现在接触互联网的儿童越来越低龄化，心智尚未成熟，设立 “监护人知情同意” 制度，可以降低儿童遭受侵害的风险，从源头阻断侵权的可能。在确立该制度时，可以借鉴在这方面规定较为成熟的美国COPPA 和欧盟GDPR 的经验，并结合我国儿童发育的地区差异，在中和监护人的知情权和儿童的隐私权的前提下，规定全方位、多层次的监护人同意模式，规划出儿童个人信息保护的最佳方案。

（四） 加强儿童个人信息收集和使用的行政监督

在现有个人信息的收集标准下，加强对网络运营商收集行为的行政监督可以有效防止网络运营商无限制地收集和利用儿童个人信息。但我国现在还未设立针对个人信息的收集和利用的专门监管部门，更不用说专门的儿童个人信息监管机构了。进入大数据时代，我们每个人的信息都有被滥用和贩卖的可能，鉴于此，设立专门的监管部门很有必要。首先，这个监管机构对网络运营商收集个人信息要进行事前监督，确保各项保护机制的互相协调与全面实现。具体而言，可以在这个监管部门下设立多个分支机构，负责具体的监督、管理和执行等，这些机构具有行政处罚权和执行权，能发挥实质性作用。在操作层面，实行事前报告和登记许可制度，即在网络运营商收集和使用儿童个人信息之前，需要在监管部门进行登记，并说明收集和使用儿童个人信息的目的、方法、使用期限、保密措施等，监管部门针对网络运营者的说明进行审查，经严格审查后，对符合相关规定的合理收集和使用儿童个人信息的网络运营者给予许可证。拥有该许可证的网络运营者可以在许可证许可的范围内收集和使用儿童个人信息。同时制定严格的行政处罚措施并保证事后救济渠道多元化。前者主要是对网络运营商收集和使用个人信息的事前预防，而后者是对被侵权人的事后救济。对实施违法收集和利用儿童个人信息行为的网络运营商给予要求赔礼道歉、罚款等处罚，但同时也要允许网络运营商对处罚措施进行行政复议或提起行政诉讼，并规定可以提起复议或诉讼的具体条件，以防止信息处理者为逃避处罚而滥用救济措施，浪费司法资源。

五、结语

儿童是人类的未来，对儿童个人信息应予重视。在保障儿童享受网络便利的同时防止其遭受个人信息侵害，需要国家、学校、网络运营者和监护人的全方位配合。此外，在尊重儿童个人差异和我国地区发展差异的基础上，要积极借鉴国际上较为成熟的保护儿童个人信息的法律，用法治唤醒社会共识，引领网络法治，为儿童创造安全、健康、有序的网络环境。