未成年人个人信息保护研究
——以《未成年人保护法（修订草案）》为视角

胡梅 刘征峰

互联网技术近年来飞速发展，由此带来的不良后果是自然人的个人信息被收集、使用的风险增加。个人信息的收集、使用既可能是信息主体本人自主选择提供，也可能是互联网企业采用各种信息技术抓取、跟踪、被动收集的结果。以cookie为例，其可以储存小型计算机上的程序信息，比如用户名、密码。如果网站经营者将cookie放置在用户硬盘上，其实质上充当了电子跟踪设备的作用，可以跟踪用户访问的每个网站，记录偏好信息，并将该信息提供给原始网站经营者，①See Lauren A. Matecki, Update: Coppa Is Ineffective Legislation! Next Steps for Protecting Youth Privacy Rights in the Social Networking Era, 5 Nw. J. L. & Soc.Pol'y 369,372 (2010).之后经营者既可以将数据出售或披露给第三方进行盈利，也可以对用户进行画像，实施精准化营销和广告的定向投放，从而谋取巨额广告收入。用户在不知情的情况下，个人信息被记录、收集甚至使用、共享。大数据时代下，自然人的个人信息利益岌岌可危，收集、处理信息等行为理应受到法律规制。

在此背景下，我国立法开始逐渐关注个人信息保护的议题，不仅2017年公布了专门规制个人信息保护的法案《个人信息保护法（草案）》，在《网络安全法》《电子商务法》《消费者权益保护法》以及新公布的《民法典（草案）》中也都强调了自然人的个人信息保护与利用的问题，②《网络安全法》第22 条、41-45 条、64 条；《电子商务法》第23 条、79 条；《消费者权益保护法》第14 条、29 条；2019 年12 月28 日公布的《民法典（草案）》第110 条、第1034-1038 条。明确收集、处理个人信息需要经过信息主体的同意，此即为知情-同意规则。但立法上对于未成年人的个人信息保护却鲜有提及，专门性规定仅有国家网信办发布的《儿童个人信息网络保护规定》（下称《规定》），①《儿童个人信息网络保护规定》系国家网信办于2019年8 月公布的保护儿童个人信息安全、促进儿童健康成长的部委规章。但该规定属于部委规章，位阶较低，约束力也有限。2019年11月公布的《未成年人保护法（修订草案）》（下称《草案》）中的第63条规定：“网络产品和服务提供者应当提示未成年人保护其个人信息，并对未成年用户使用其个人信息进行保护性限制。网络产品和服务提供者通过网络收集、使用、保存未成年人个人信息的，应当符合国家有关规定，且经过未成年人及其父母或者其他监护人同意”，弥补了这一立法空白。63条是我国首次从法律层面赋予网络产品和服务提供者保护未成年人个人信息的义务，②《未成年人保护法》修订草案第63 条中的“网络产品和服务提供者”是收集、控制、管理信息的主体，本文统称为“信息控制者”。是立法者对当前未成年人个人信息受到滥用的潜在问题的回应。该规定在原有知情-同意规则的基础上对其进行创新和调整，以更符合未成年人个人信息保护的实践，但同时也存在些许不足和缺陷，需要在未来加以完善。

一、未成年人个人信息保护的特殊性

个人信息，系指以电子等方式记载的能够单独或与其他信息结合以识别出信息主体身份的各类信息，③《网络安全法》第76 条第五项：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”本质特征为可识别性，常见的个人信息例如姓名、出生日期、身份证号、个人生物识别信息、家庭住址、电话号码等。个人信息关乎信息主体的人格尊严与人格自由，一旦泄露或被不当使用，极有可能引发人格尊严受损、不公平对待、形象被歪曲、社会评价降低、甚至损及名誉权等不良后果，阻碍人格发展。此外，个人信息也与隐私权息息相关，个人信息中的私密信息属于隐私信息，适用隐私权保护的有关规定。④《民法典（草案）》第1034 条第三款规定：“个人信息中的私密信息，同时适用隐私权保护的有关规定。”而隐私权包括私生活安宁与私生活秘密两大内容，如果私密信息被非法利用会极大威胁信息主体的私生活安宁、暴露私生活秘密；个人信息同时也内含巨大经济价值，存在利益空间，例如明星的个人信息被明码标价在网络上出售。据此，个人信息上不仅附着人格权益，还包括财产利益，保护个人信息安全实质上是对个人信息背后各项利益的保护。⑤参见丁晓东：《个人信息的双重属性与行为主义规制》，载《法学家》2020 年第1 期。

与成年人相比，未成年人的个人信息保护有其特殊性所在，分为主体特殊和个人信息特殊两个方面。

就主体特殊而言，未成年人因其年龄、智力发展尚未成熟，无法独立实施民事法律行为，因此《民法总则》以八周岁为分界线，将其分为限制民事行为能力人与无民事行为能力人，由监护人代理其为部分或全部法律行为。我国《消费者权益保护法》《网络安全法》《刑事诉讼法》等基本法律对未成年人进行特殊了规定，体现优先保护、侧重保护的立法理念；同时，还出台了专门法律——《未成年人保护法》和《预防未成年人犯罪法》突出对未成年主体的特别对待。另外，在复杂的网络世界中，即使是成年人也往往难以抵制网络诱惑、辨别网络环境，遑论不具备完全民事行为能力的未成年人。由于网络世界的虚拟性与实际的差距，在个人信息受到侵害之后，未成年人难以举证证明信息控制者实施了侵权行为以及 行为与损害之间的因果关系，且维权成本过高。因此，基于未成年人主体的有限理性与权利救济障碍，需要法律对其加以特殊保护。

就未成年用户的个人信息特殊而言，个人信息分为个人敏感信息与个人一般信息，前者指的是“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或非歧视性待遇等的个人信息”，⑥《信息安全技术个人信息安全规范》3.2 个人敏感信息。包括但不限于个人身份证号、个人生物识别信息、银行账户、通信记录、住宿信息、地理位置信息、交易信息等等。而后者则是个人敏感信息之外的、即使泄露对个人影响也比较轻微的、仍然具有可识别性的个人信息，故敏感信息与个人信息的保护力度及损害后果存在较大差异。至于未成年人的个人信息属于何种性质，2019年10月24日公布的《信息安全技术个人信息安全规范（征求意见稿）》（下称《安全规范》）中将14周岁以下儿童的个人信息作为敏感信息的一类加以认定，但也有学者主张将所有未成年人的个人信息作为个人敏感信息予以特殊保护。①参见傅宏宇：《我国未成年人个人信息保护制度构建问题与解决对策》，载《苏州大学学报（哲学社会科学版）》2018 年第3 期。本文赞同后一观点，未成年人的个人信息具有高度敏感性与私密性，泄露之后的损害是长期的、难以挽回的，且基于主体的脆弱性，其个人信息被不法利用的可能性也比较大。前述《安全规范》可能是顾及14周岁以上的未成年人已然具有相应的辨别能力，其个人信息与一般信息无异，无需特殊保护；也可能是出于与《规定》②《儿童个人信息网络保护规定》第二条明确该规定中的儿童指的是不满14 周岁的未成年人。保持立法上一致的考量。但无论基于何种考虑，该《安全规范》仅仅是一种推荐性国家标准，不具备法律约束力和强制执行力。基于未成年主体的特殊性和网络的复杂性，14周岁至18周岁的未成年人依然属于限制行为能力人，不具备保护自己的能力和意识，同样需要予以特殊对待。故，所有未成年人的个人信息宜统一作为敏感信息予以保护。

据此，未成年用户由于其主体的特殊性和个人信息的特殊性，应当在其个人信息保护上予以特殊规定。

二、知情-同意规则的调整适用

欲收集、使用、保存自然人个人信息，必须事先将有关事项告知信息主体并征得其同意，此谓知情-同意规则。知情-同意规则是信息控制者收集、使用、保存信息的合法性来源和正当性基础，③参见郑佳宁：《知情同意原则在信息采集中的适用与规则构建》，载《东方法学》2020 年第2 期。未经信息主体知情、同意的，属于非法收集、利用。前已提及，该规则被我国立法予以肯定，例如《网络安全法》第22条第三款规定：“网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意。”该规则实际上源于“理性人”观念，该观念假设自然人均为完全理性人，能够依据现实情况作出使得自身利益最大化的决策，并据此承担相应的后果及责任。④参见郭春镇、马磊：《大数据时代个人信息问题的回应型治理》，载《法制与社会发展》2002 年第2 期。此外，人应该自治、自决，自然人有权对涉及自身人格发展的情事作出决定，并在此范围内排除他治和他决，谁可以接近个人资料，谁就可以收集、使用甚至对个人形象予以歪曲。⑤参见齐爱民：《个人信息保护法研究》，载《河北法学》2008 年第4 期。个人信息作为直接关系到权利主体人格尊严的信息，应当由权利主体在知悉具体情事的基础上作出是否同意的决定。

传统知情-同意规则针对的是权利主体本人，且实践中也存在诸多问题。在未成年人个人信息保护机制下，该规则需要进行相应的调整与优化，以更好地适应和指导保护未成年用户个人信息的实践。

（一）知情

自然人作出同意与否的决定之前首先需要知悉有关情事的具体内容。信息控制者应当明确告知，例如收集、使用、保存个人信息的目的、方式、范围，个人信息的存储地点与存储期限，个人信息的安全保障措施（加密措施、匿名化处理等等），信息主体的权利及实现方式（例如信息更正权、删除权、撤回同意的途径、投诉机制、账户注销的方式），提供个人信息后可能存在的安全风险以及拒绝同意对使用该网络产品的影响等。⑥《儿童个人信息网络保护规定》第10 条规定：“网络运营者征得同意时，应当同时提供拒绝选项，并明确告知以下事项：（一）收集、存储、使用、转移、披露儿童个人信息的目的、方式和范围（二）儿童个人信息存储的地点、期限和到期后的处理方式；（三）儿童个人信息的安全保障措施；（四）拒绝的后果；（五）投诉、举报的渠道和方式；（六）更正、删除儿童个人信息的途径和方法；（七）其他应当告知的事项。前款规定的告知事项发生实质性变化的，应当再次征得儿童监护人的同意。”

上述告知事项一般通过隐私政策、隐私指引、链接等方式进行，然而受多种因素的影响，用户很难知悉隐私政策的真正内容。例如，信息控制者基于逐利心理，期望快速取得用户同意，展示的隐私政策内容要么用语过于晦涩难懂、长篇大论，要么遮盖重点内容、设置各种误导性链接。①参见郑佳宁：《知情同意原则在信息采集中的适用与规则构建》，载《东方法学》2020 年第2 期。缺乏专业知识的用户往往无法理解其含义，对于个人信息被收集的风险与危害后果难以全面知悉，知情权大打折扣，此种形式上的知情使得原本就极不平等的信息主体与信息控制者之间的天平进一步失衡。

为了纠正上述弊端、保障未成年用户及监护人的知情权，信息控制者应当通过合理的方式展示隐私政策的内容。首先，可以采用链接、弹窗等多种方式、在位置醒目处展示隐私政策，保障隐私政策的易于访问和阅读；其次，由于未成年用户专业知识缺乏、认知存在局限，无法理解过于晦涩的内容。因此在用语上应当清晰、简洁、凝练、易懂、突出重点，比如明示信息控制者的主体信息、收集个人信息的类型以及关联的业务功能、显著标识收集敏感信息的内容和类型。②参见《App 违法违规收集使用个人信息自评估指南》，该指南用于App 经营者对收集个人信息的情况进行自查自纠，评估内容可作为参考。最后，隐私政策实质上是信息控制者向用户发出的以收集个人信息为主要内容的要约，当用户点击“同意”“继续”“下一步”“接受”时即表明其作出相应的承诺，双方之间的合同就此成立。③参见王叶刚：《论网络隐私政策的效力》，载《比较法研究》2020 年第1 期。然而合同的缔结建立在双方地位平等的基础上，信息控制者与信息主体本就地位和实力较为悬殊，且实践中不少信息控制者采用“使用即同意”的格式条款逃避责任承担，④参见陆青：《个人信息保护中“同意”规则的规范构造》，载《武汉大学学报（哲学社会科学版）》2019 年第5 期。加剧了双方之间的不平等，因此为了解决这一问题，信息控制者提供的隐私政策中如果有免责声明或者免除自身责任的格式条款的，应当视情形认定为无效。

（二）同意

传统的知情-同意规则中同意分为两种：Optin与Opt-out。前者系指信息开始被收集之前，用户有权自由作出肯定信息被收集的意思表示，换言之，信息控制者收集信息的前提是用户的明示同意，未作出同意之前，不得收集；后者指的是信息控制者有权在信息主体同意之前开展信息收集，在收集过程中，信息主体有权自主选择退出，实质上是信息控制者基于信息主体默示的意思表示推定其同意，从而开展收集业务。⑤参见郑佳宁：《知情同意原则在信息采集中的适用与规则构建》，载《东方法学》2020 年第2 期。两类同意机制的运作机理是信息主体的私人自治与信息产业的快速发展之间的矛盾，Opt-in强调用户的明示同意，更倾向于保障用户信息利益，而Optout则侧重促进信息产业的发展，提高信息控制者的运营效率。

在未成年人个人信息保护模式下，不宜以牺牲未成年人人格尊严为代价来换取谋求信息产业的利润。前已提及，未成年人的个人信息应当作为敏感信息加以特殊保护，因此宜采用Opt-in的同意机制，信息收集必须事先经过未成年用户及监护人的明示同意，默示同意无法作为信息控制者信息收集行为的正当性来源。⑥欧盟在2016 年生效的《通用数据保护条例》（General Data Protection Regulation）中在第8 条规定了处理16 周岁以下儿童的个人数据，需要经过监护主体的同意或授权，第7 条明确了同意的条件，将数据主体同意的证明责任交由控制者承担。因此其倾向于采用Opt-in 的同意模式以更好的保护数据主体利益，See Regulation 2016/679 on the protection of natural persons with regard to the processing of personal data and the free movement of such data, Celex No.32016R0679, Article 7, Article 8.美国的《儿童在线隐私保护法》也规定控制者应当采用有效的方式获得监护人可验证的同意，来保护信息主体利益。然而，前述提及的《儿童个人信息网络保护规定》却给出了不同看法，其公布的正式版本中删除了征求意见稿中的“明示”二字，规定强调、收集、使用儿童个人信息的，应当征得监护人同意。《网络安全法》等基本法中已经规定需要明示同意，儿童作为特殊主体，更应当需要明示同意，没有理由删除“明示”二字，默示同意的意思表示无法作为收集儿童个人信息的合法来源，因此上述规定存在疑问。

1．未成年人同意

用户知悉有关情事之后需要作出同意与否的决定，因同意系意思表示的一种，其有效作出依赖于主体的完全民事行为能力；未成年人因缺乏民事行为能力或民事行为能力受到限制，因此需要征得监护人同意。《草案》第63条第二款规定：“网络产品和服务提供者通过网络收集、使用、保存未成年人个人信息的，应当符合国家有关规定，且经过未成年人及其父母或者其他监护人同意”，此前我国法律文件中并未提及信息收集是否需要征得未成年人本人同意，《草案》此规定实属创新。私以为，之所以需要未成年人本人同意，原因有二。一是《民法典（草案）》第109条明确自然人的人格尊严依法受到保护，①《民法典（草案）》第109 条规定：“自然人的人身自由、人格尊严受法律保护”。未成年人作为自然人，依法也应当保护其人格尊严和自由，故其当然有权知悉与自己人格发展相关的有关情事，并作出相应决定，这也是私人自治的应有之义。立法者限制其民事行为能力是出于保护其利益不受非法侵害的考量，且是否需要征得其同意与其同意所能够产生的效力系两种不同的规定，需要区分开来。二是处于特定年龄阶段的未成年人智力、心理已然发展到一定阶段，对社会实践已经产生自己的认知，因此从这个角度来看也应当征得其同意。获得未成年人本人及监护人同意实质上提供了双重保护，如果未成年用户本人不同意收集的，则信息控制者亦无需再支出额外成本寻求监护人同意；而如果本人点击了“同意”，那么信息控制者还需征得监护人同意，由监护人作出最终是否同意的决定。

2．监护人同意

监护人同意是保护未成年人个人信息的最后一道屏障，是监护人依法履行其监护职责的体现，因此至关重要。然而，基于互联网的匿名性特点，如何验证监护人身份、取得可核实的监护人同意是个难题。无论是《草案》第63条抑或是传统的知情-同意机制，并未阐明取得监护人同意的方式有哪些，学理上关于此问题的探讨亦少之又少。私以为，该问题的解决可以适当参考、借鉴美国法上的做法。

美国法上关于未成年人个人信息保护经历了较长的过程，从1996年国会颁布的《通信规范法》（Communication Decency Act）和《儿童在线保护法》（Child Online Protect Act）因用语过于含糊而威胁到互联网作为自由表达、教育和政治言论手段的存在，因此被美国法院宣布违宪；②See Sasha Grandison, The Child Online Privacy Protection Act: The Relationship Between Constitutional Rights and the Protection of Children, 14 University of the District of Columbia Law Review 209,215-217(2011).到后来国会采用迂回办法解决违宪问题，从限制互联网内容转为约束向儿童提供服务的学校、图书馆及网站服务商，据此颁布《儿童网络保护法案》（Children’s Internet Protect Act，简称为“CIPA”）和《儿童在线隐私保护法》（Children’s Online Privacy Protection Act，简称为“COPPA”），③参见白净、赵莲：《中美儿童网络隐私保护研究》，载《新闻界》2014 年第4 期。再到后来以COPPA作为保护儿童个人信息的主要法案，由该法案的执行机构美国联邦贸易委员会（FTC）发布指导性文件，④FTC 发布了《企业六步合规计划》（A Six-Step Compliance Plan for Your Business）以及《常见问题解答》等文件，《企业六步合规计划》通过六个步骤使得信息收集行为合乎规定：第一步，确定企业收集的是13 岁以下儿童个人信息；第二步，企业需要发布符合COPPA 的隐私政策；第三步，从儿童那里收集个人信息之前直接通知父母；第四步，收集儿童个人信息之前先获取父母的可验证的同意；第五步，尊重父母对其孩子个人信息所享有的持续性权利；第六步，通过实施合理的程序来保护儿童个人信息的安全。《常见问题解答》则是FTC 针对企业合规问题作出的解答，可作为企业收集儿童信息时的参考。形成了完善、严密的儿童个人信息保护体系。

关于信息控制者如何取得监护人同意，COPPA采取了滑动比例法，此种方法相对灵活，以期在信息控制者的运营成本与儿童个人信息保护之间保持平衡。所谓滑动比例法，是指信息控制者为征求监护人同意所作出的努力与其收集、处理儿童个人信息的范围及程度成正比。①See Lauren A. Matecki, Update: Coppa Is Ineffective Legislation! Next Steps for Protecting Youth Privacy Rights in the Social Networking Era, 5 Nw. J. L. & Soc.Pol'y 369,377(2010).具言之，如果信息控制者收集信息系为了内部使用，则其可以采取相对容易、高效的方式取得监护人同意，例如通过电子邮件或者电话确认父母是否同意。但如果其收集儿童个人信息是为了与第三方共享或向第三方披露，则可以采用如下几种相对复杂的方式：（1）由监护人签署同意书之后通过邮寄、传真、电子扫描等方式发送给信息控制者；（2）由监护人提供其在电子货币交易中使用的信用卡或其他在线支付工具，以此确认“同意”的主体；（3）信息控制者配备有经过培训的专门人员，监护人可以向专门人员拨打免费电话或者进行视频会议表达同意；（4）检查政府发布的信息数据库以验证监护人身份及信息，例如使用数字证书、PIN码等进行核实。②See 16 C.F.R. § 312.5.

因此，为了防止未成年用户假冒监护人身份进行同意，信息控制者可以参照上述COPPA规定的方式获得可验证的监护人同意。应当认为，如果信息控制者所采用的方式是同等条件下、理性经营者均能够采取的方式，则即使之后查明该同意并非源自真实监护人，也应当能够减轻或免除其责任，否则一味追求监护人同意，可能会极大阻碍网络相关产业的发展。至于是否存在监护人同意豁免的情形，《草案》未加以明确，而《规定》则在公布的正式文本中删除了征求意见稿中提及的豁免同意的情形，③2019 年6 月国家网信办公布的《儿童个人信息网络保护规定（征求意见稿）》第19 条规定：“网络运营者收集、使用、转移、披露儿童个人信息，有以下情形之一的，可以不经过儿童监护人的明示同意：（一）为维护国家安全或者公共利益；（二）为消除儿童人身或者财产上的紧急危险；（三）法律、行政法规规定的其他情形”。《个人信息保护法》（草案）2017 年版第37 条也规定：“除非符合下列条件之一，非国家机关信息处理主体不得超出特定目的利用个人信息：1. 为保护公共利益；2. 为免除信息主体人身或财产上的紧迫危险；3. 防止他人权益的重大危害而有必要的；4. 信息主体书面同意或授权；5. 履行法定义务的。6. 为个人信息保护检查、个人信息安全、确保个人信息处理设备的正常运转目的而存储的个人信息，仅可依其目的而利用”。美国的COPPA 也有类似的例外规定，see 16 C.F.R. §312.5(c).删除的原因不得而知；但应当认为，特殊情形下，未成年的个人信息利益应当让步于国家安全和公共利益等法益，在未来，对于监护人同意的豁免情形应当予以规定。

三、其他特殊保护机制

信息控制者欲合法收集、处理未成年用户的个人信息，需经过三个阶段：同意之前、获得同意、同意之后。知情-同意规则仅仅属于中间获得同意阶段，由于获得监护人同意的成本较高，且需要耗费大量时间，与互联网发展的高效、快速不相容。因此，也应当从同意之前与同意之后两个阶段入手，设立特殊保护机制，以创建连贯、完善的未成年用户个人信息保护体系。

（一）同意前的保护机制

同意之前的保护义务实质上根源于安全保障义务。传统的安全保障义务针对的是物理空间中从事服务性行业或社会活动的经营者、管理者、组织者，主张开启、控制某类空间的经营者和管理者应当对进入该空间的其他人的合法权益加以保护。表面上看，传统的安全保障义务并不适用于网络空间，但随着互联网的快速发展，网络空间已然脱离原始意义上的私密、封闭的特性，网络空间中也不乏各类公共场所和大型活动，其中发生的侵害有形的财产权与无形的人格权情形均不在少数，④比较典型的如盗窃网游用户的虚拟财产加以出售、网友对特定主体的“人肉搜索”行为等，参见刘文杰：《网络服务提供者的安全保障义务》，载《中外法学》2012 年第2 期。因此传统的安全保障义务在数据时代下，适用范围已经延伸至网络空间。此外，基于危险控制、信赖利益、节约成本、风险与收益相一致的考量，信息控制者有义务也有能力对进入其控制、管理范围内的未成年用户的个人信息加以保护。⑤参见王思源：《论网络运营者的安全保障义务》，载《当代法学》2017 年第1 期。

《草案》第63条规定了信息控制者针对未成年用户的提示和保护性限制的义务，是获得同意之前信息控制者所负有的义务，是安全保障义务的内容。

为了净化网络环境，我国目前已经逐步从电信增值服务提供商、网络服务提供者实名制转变为全网用户实名制，①参见张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015 年第3 期。换言之，网络用户须进行实名制注册及登录方可使用网络产品、享受网络服务，未成年人也不例外。实名制通常不仅要求提供姓名，还需要提供出生日期、身份证号，故借助实名制可以有效识别出未成年用户。为了降低承担责任的风险同时防止未成年用户个人信息受到侵害，信息控制者应当对识别出的未成年用户进行有效提示，提示内容囊括个人信息的类型、个人信息可能受侵害的方式以及受侵害之后的严重后果；提示方式可采用提示条、提示音、弹窗、文字说明等，②《信息安全技术个人信息安全规范》中规定对于基本业务功能的告知，可以在开启之前通过弹窗、文字说明、提示音、提示条等形式进行。信息控制者对未成年人进行个人信息保护的提示时，也可采用上述形式。用语需要简洁、明确，以帮助用户准确理解提示含义；提示目的是为了向未成年用户宣传个人信息保护的重要性、强化其在网络世界中保护个人信息的意识。提醒未成年人保护其个人信息能够有效降低未成年用户个人信息被侵害的风险。

保护性限制也是《草案》规定的特殊保护机制的一种，在征得未成年人及监护人的同意之前，应当对用户的权限及使用进行相应的限制。在保护性限制下，未成年用户无法使用或者只能有限使用某些需要提供个人信息的业务或功能，近年来各大视频网站和直播平台推出的青少年模式就是例证。③比如著名短视频应用抖音就设置了青少年模式，由专门团队精选一批教育类、知识类的内容展示在首页，该模式下无法进行充值、打赏等操作，并且每日晚22时至次日6 时无法使用抖音；开启之后，自动开启时间锁，单日使用时长超过默认设置40 分钟的，需输入密码方可继续使用。不仅是抖音，腾讯视频、哔哩哔哩等其他视频、社交应用均上线了青少年模式。在青少年模式下，用户只能够浏览由团队精选出的适合青少年观看的、以教育为主的内容，打赏、充值、提现等功能则无法使用，尽管该模式推出的本意是预防青少年不当沉迷网络，但不可否认，其同时也能够有效保护未成年用户及家庭账户的银行卡、信用卡等个人信息，防止不当泄露或遭到滥用。

（二）同意后的保护机制

如前所述，信息控制者通过各种方式将隐私政策的内容告知未成年用户及监护人，由其决定是否同意。在其同意之后，信息控制者便取得合法性来源，可以收集、使用、保存未成年用户的个人信息；拒绝同意的，不得为收集行为，也不得泄露个人信息。信息控制者征得同意之后，可以从如下几个方面规范收集行为，对个人信息进行特殊保护。

首先，《民法典（草案）》第1035条规定，在收集、处理自然人个人信息时，应当遵循合法、正当、必要的原则。④《儿童个人信息网络保护规定》第7 条也规定了收集儿童个人信息应当遵循的原则：“网络运营者收集、存储、使用、转移、披露儿童个人信息的，应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则”，是对合法、正当、必要原则的细化，下文也会提及，因此在此不再赘述。因此，在收集、处理未成年用户的个人信息时也需要遵循该三类原则。合法原则是指收集、处理的行为应当符合法律规定，不得非法收集、使用、加工、传输，也不得非法买卖、提供、公开、披露他人个人信息。⑤《民法典（草案）》第110 条规定：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”正当原则是指收集、处理个人信息的方式与目的正当，宜采取合理方式进行收集，同时收集、处理的目的应当明确、清晰、具体，⑥《信息安全技术个人信息安全规范》4：个人信息安全基本原则。不得含糊其辞。必要原则系指收集、处理的信息应当在满足信息主体同意的目的范围内所需的最少信息类型和数量，获取的信息量以满足使用目的为必要，比如当提供某种网络产品或服务时可以使用也可以不使用，则应当不使用个人信息；必须使用时，应当尽量少使用。①参见王利明：《论个人信息权在人格权法中的地位》，载《苏州大学学报（哲学社会科学版）》2012 年第6 期。此外，《民法典（草案）》第1038条还规定了信息控制者在收集信息之后也负有相应的安全保障义务，采用技术措施保障信息安全，防止泄露、丢失；发生泄露、丢失的应当及时采取补救措施，防止损害的进一步扩大。

其次，信息控制者还应当严格遵循隐私政策中约定的内容和范围进行个人信息的收集、使用、保存。前已述及，隐私政策系要约，用户及监护人作出的同意系承诺，双方之间成立以隐私政策为内容的合同法上的权利义务关系。信息控制者需要按照约定的方式和范围来收集信息，而用户在作出同意之时也已经对控制者依照约定内容收集信息产生了合理信赖与期待，因此信息控制者不宜超范围收集、超目的使用信息主体的个人信息；确有必要超出的，需要重新获得监护人及本人的同意，如果其拒绝同意，则信息控制者不再享有合法收集的权利。

再次，即使获得了信息主体及监护人同意，信息控制者收集、处理信息的行为也不得违背诚实信用与公序良俗、不得损害国家利益。因社群性的强化，个人数据的收集并非仅关乎信息主体的单个信息，而是可能涉及到其他主体的信息从而形成数据集，这是大数据技术的本质及应用的必然结果，②参见姚佳：《知情同意原则抑或信赖授权原则——兼论数字时代的信用重建》，载《暨南学报（哲学社会科学版）》2020 年第2 期。因此收集信息不得以损害他人信息利益为代价，不得违背诚实信用与公序良俗。此外有些信息属于敏感数据，关乎国家安全，比如公民的种族、民族、宗教信仰、政治立场等，收集时应当注意保护国家利益。

最后，《草案》第67条规定：“网络产品和服务提供者应当结合本单位提供的未成年人相关服务，建立便捷的举报渠道，通过显著方式公示举报途径和举报方法，配备与服务规模相适应的专职人员，及时受理并处置相关举报”。《规定》第8条也明确网络经营者应当指定专人负责儿童个人信息保护。因此对于未成年用户个人信息的收集，信息控制者应当配备专职人员，并明确举报渠道，以期及时、有效的救济权利。此外，信息控制者对专职人员应当赋以最小授权原则，严格设定访问权限和内容，控制知悉范围，防止未成年用户个人信息被违法复制、下载。③《儿童个人信息网络保护规定》第15 条规定：“网络运营者对其工作人员应当以最小授权为原则，严格设定信息访问权限，控制儿童个人信息知悉范围。工作人员访问儿童个人信息的，应当经过儿童个人信息保护负责人或者其授权的管理人员审批，记录访问情况，并采取技术措施，避免违法复制、下载儿童个人信息。”

四、《草案》关于未成年人个人信息保护规定的不足及完善

“举事必循法以动，变法者因时而化。”未成年人在网络上主要面临几大威胁：网络沉迷、个人信息泄露、网络暴力与网络欺凌。本次修订的《未成年人保护法》针对上述威胁作出了回应，增改删并举，强化问题导向，④新华时评：《增改删之间尽显未成年人保护要义》，载中国人大网，http：//www.npc.gov.cn/npc/c30834/20 1910/738809993e114aedac15cefed8f3e2e2.shtml，2020 年4 月4 日访问。围绕社会关切的未成年人议题进行一一规定，值得肯定。同时，也应当看到《草案》中关于未成年人个人信息保护的规定尚有些许不足，存在进步的空间。

首先，63条之规定确实可以在取得监护人同意之后对未成年人个人信息进行有效保护，然而其无法解决未成年人伪造年龄、谎称其为成年人进行网站注册、登录的行为。事实上，这也是美国COPPA法案饱受诟病的原因之一，FTC此后针对该问题也作出了努力：认为信息控制者应当注意合理设计年龄屏幕，在邀请用户创建ID或提供个人信息时，应当以中立的方式询问年龄信息，比如允许用户自由、准确地输入出生日期，故应在下拉菜单中列出所有日期，包括13周岁以下的出生日期，以此避免鼓励儿童使用虚假年龄。⑤FTC. Complying with COPPA： Frequently Asked Questions, in FTC website, https：//www.ftc.gov/tipsadvice/business-center/guidance/complying-coppafrequently-asked-questions，2020 年4 月2 日访问。然而，该方法依然无法从根本上解决伪造年龄的问题，在当前的数据时代下，可以借助人脸识别、指纹验证等方式识别未成年人和监护人。

其次，《草案》63条并未限缩或者定义信息控制者的范围，换言之，所有的信息控制者均需进行自我审查，以避免不当收集和处理未成年人的个人信息，否则存在承担民事及行政责任的风险。但此种规定过于笼统，缺乏针对性，反而不易引起信息控制者的重视；一刀切的规定也无形中提高了运营商的运营成本、降低了运营效率。因此，应当确立明确、具体的分类方法对各类信息控制者进行划分，例如COPPA在确定网站或在线服务是否针对儿童时，就依据该网站或在线服务的主题、内容、使用的语言以及是否使用游戏、木偶、动画角色等功能，对网站进行定位。如果目标受众系儿童，则该企业就应当满足COPPA的合规性要求。①See Joseph A. Zavaletta, Coppa, Kids, Cookies &Chat Rooms: We're from the Government and We're Here to Protect Your Children, 17 Santa Clara Computer &High Tech. L.J. 249,256(2001).

再次，《草案》仅赋予了信息控制者的信息保护义务。但是，未成年人的个人信息保护不仅仅在于信息控制者，还涉及到家庭学校、政府部门等主体。例如监护人应当依法履行监护职责，有效保护未成年人的个人信息，防止泄露；学校也应当与监护人相互协作、配合，定期开展网络安全和个人信息的安全教育，加强个人信息保护宣传，提高未成年人自我保护意识；各级政府部门应当各司其职，明确主要监管部门，统一监管标准。未成年人个人信息保护关涉多方利益主体，《草案》63条仅规定了信息控制者的义务，未免过于单薄。②《未成年人保护法（修订草案）》除94 条规定了任何人和组织不得泄露涉案未成年人及未成年被害人的个人信息之外，在家庭保护、学校保护与政府保护章中对于监护人、学校及政府部门保护一般未成年用户个人信息的义务并未提及。

最后，《草案》63条尽管规定了信息控制者保护未成年人个人信息的义务，但对于违反该义务所需要承担的责任却是空白，责任承担是促使义务主体及时履行义务的有效手段，《草案》中未规定相关责任承担，则信息保护义务的规定等同虚设，对信息控制者的约束力较小。尽管在《网络安全法》第64条和《刑法修正案九》中规定了相应的行政责任和刑事责任，但关于个人信息受侵害的民事责任我国立法中并无规定。民事责任是救济受害人的重要途径，且未成年人的个人信息保护具有特殊性，应当在《草案》中加以特别规定，凸显重要性的同时也能够震慑信息控制主体保护个人信息，降低未成年人信息受侵害的风险。

五、结语

传统的知情-同意规则渊源于“理性人”观念，以实现个人自治、维护人格尊严。知情-同意规则在保护未成年人个人信息这个特殊问题上应当进行适当调整，纠正现存弊端。知情作为有效同意的前置要件，考虑到未成年用户理解和认知的局限，应当在隐私政策的用语、展现方式以及条款的合理性上进行优化，保障未成年用户准确理解隐私政策的含义。因未成年用户的个人信息属于敏感信息，因此采用Opt-in的同意模式，只有用户本人及监护人明示同意之后，信息控制者方可收集信息。

除传统的知情-同意规则之外，还应当从同意之前和同意之后两个阶段设立特殊保护机制，《草案》63条规定的提示与保护性限制义务属于同意之前的保护机制；在征得同意之后、不违背诚实信用与公序良俗、不损及国家利益的前提下，信息控制者不仅需要满足有关规定的要求，还应当按照双方约定内容进行信息的收集、处理，不得超范围收集，也不得超目的使用；同时设立专职人员负责信息收集，并对其采用最小授权原则。未成年人个人信息保护机制在传统的知情-同意规则的基础上，通过《草案》第63条进一步完善，对于《草案》存在的不足，可适当借鉴美国COPPA的有关规定， 在未来予以修正。