个人信息处理中“儿童同意”的年龄标准

冯 恺

一、问题的提出

现代个人信息保护法以“同意”为“选择进入(opt-in)”的内核机制，权利人基于自由意志给出同意的指示，信息处理者由此获得处理其个人信息的合法基础。这一运作基于“个人不希望参与”的假设，要求个人必须采取确定的行动表明其参与其中的欲望。See Joy Su, “Google Book Search and Opt-Out Procedures”, No.56, 2009, p.955.儿童同样享有个人信息控制权，并基于此种权利自主决定相关事宜。然而，儿童心智上有失成熟，其作出“同意”的能力受到一定限制，譬如，在接受微信、网络游戏、学习通等技术服务时，他们难以理解含有收集个人信息目的的“同意声明”的风险，点击同意按钮的同时将自己的个人信息置于风险之中。因此，法律上有必要通过特定制度的设置，避免儿童同意对其个人信息处理时发生误判。“儿童同意”的年龄标准作为其中的一个制度设计，决定着应在何种界点上承认儿童同意处理其个人信息的效力以及何时允许监护人的介入和协助，并成为各国立法为儿童信息主体提供专门保护的基本模式。

不过，年龄政策以及儿童“同意”能力的认定本身具有复杂性，在相关问题上仍有待作出理论上的检讨。一方面，个人信息保护法中划定一个“儿童同意”的年龄界限，客观上提供了认定“儿童同意”能力之大小的尺度，但此种“儿童同意”的本质何在？其效力源自民法上的行为能力理论抑或是与之相区分的同意能力理论？其答案关乎确立一个年龄标准的正当性，理论上对这一重要问题尚未给出明确解释。同时，缘何以此年龄而非彼年龄作为儿童个人信息保护的界点，往往取决于多方面的政策考量，譬如，它既关涉儿童的个人信息利益也关涉其行为自由，如果设定的标准偏低，会因儿童的实际“同意”能力不足而损及其信息利益；但如果设定的标准过高，事事须经监护人同意，则又会不当限制儿童的行为自由。那么，设置何种具体的“儿童同意”的年龄界点方能符合本国的实践需求？这对立法者提出了一定挑战。另一方面，个人信息保护中统一设定“儿童同意”的年龄标准究竟有何优缺？如何在设定一个统一性“儿童同意”年龄标准的前提下，以例外性规范的方式增强其现实适应力？也有待作出进一步的理论探讨。

我国现行法对上述问题并未作出有效回应，不同法律文件中提供的儿童年龄标准不尽一致，其正当性根据也尚未获得充分申明。从作为产业合规主要根据、网信办颁发的2019年《儿童个人信息网络保护规定》(下称《规定》)来看，其第2条、第9条规定对“不满14岁”儿童个人信息的处理须经其监护人同意，但其给出的“儿童同意”的年龄并未直接援用民法关于年龄的规定，而是另行设定了一个与之相异的14岁年龄界点。那么，我国法中应基于何种正当性基础、确立何种“儿童同意”的年龄界点以及如何克服统一年龄标准的局限性？这些问题均影响到儿童个人信息保护的实践效果，从而也成为本文主要研究的对象。

二、儿童的“同意”和“同意能力”辨析

法律上确立一个“儿童同意”年龄标准的目的，在于提供判定儿童作出的“同意”是否有效的客观尺度。那么，儿童针对个人信息处理者发出的此种“同意”，其法律性质如何，以及其效力究竟源自行为能力还是同意能力？对这一问题的回答，有助于揭示儿童“同意”和“同意能力”的本质，有效解释个人信息立法中儿童同意年龄与其他年龄标准的冲突现象，进而确立起个人信息处理中“儿童同意”年龄标准的正当性基础。

(一)儿童“同意”具有独特的属性

“同意”本身即个人信息法领域中最具有挑战性的一个命题，儿童主体的特殊性进而叠加了这一命题的复杂性。“同意”以不同的维度存在于民法之中，例如处于抗辩体系和权利处分体系之中的同意、医疗行为中的同意和本文所指个人信息处理中的同意等，其在不同维度中的适用规则不尽相同，这也在一定程度上模糊了人们对同意的认知。

同意在广泛意义上属于民事行为之一种，因此与传统民法中的法律行为容易发生理论和适用上的混淆。在相关理论实践中，同意规则的设计常以法律行为为参照系，例如，要求行为人意思表示真实、具备一定能力并基于年龄标准来认定能力的有无。但在严格意义上，同意与一般民事法律行为不尽相同，其主要差异表现在意思表示与法律效果两个要素方面。一般理论认为，民事法律行为是以意思表示为核心、能够产生当事人预期的法律效果的行为。我国《民法典》第133条在取消其“合法性”要件的同时突出了“意思表示”这一核心要素，规定“民事法律行为是民事主体通过意思表示设立、变更、终止民事法律关系的行为”。但在同意的要素问题上，是否仍以意思表示和法律效果为必要遭受到诸多质疑。例如，根据德国民法学界的通说，同意并非以发生一定法律效果为目的, 不以具有法效意思为必要，只是涉及自己权益的侵害行为，所以不属于意思表示，而是一种准法律行为。在大陆传统民法理论中，同意也被一些学者定义为是法律行为中的补助或补充行为，即同意本身无实质内容，而是其他行为发生效力条件的法律行为。

在个人信息处理中，信息主体作出的同意被界定为“任何自由给出的特定、知情的表示其意愿的指示，信息主体以此表示同意处理与其有关的个人数据”Eleni Kosta, , Nijhoff Publishers, 2013, p.1. ，这一定义并未强调信息主体意在追求特定的法律效果。该种同意“仅仅意味着同意他人在允许人的权利范围内从事某项事实上的行为”；信息主体作出同意后，不利后果也主要及于同意人自身，并不关涉与他人之间的交易安全。因此有学者认为，个人信息处理中的“同意”不涉及人格要素的积极利用，在本质上系主体对其个人人格要素的消极控制，即允许个人自由地决定如何处理自己的身体及相关信息，进而以同意来排除他人相关处理行为的不法性。在此意义上，儿童的同意有着不同于民事法律行为的属性，不应将二者完全等同。

(二)儿童的同意能力与行为能力的联系和区别

同意和法律行为的生效均要求行为人具备一定的能力，也即同意能力和行为能力，通过对两种能力的比较得以进一步管窥同意和法律行为的特别关系。学者关于行为能力的研究颇多。以王泽鉴先生为代表的理论观点认为：法律行为是实践私法自治的手段，私法自治的理念在于个人自主及自我负责，行为能力须以行为人具有对于事务有正常识别及能预见其行为可能发生如何效果的能力为前提。可见，行为能力又以识别能力和意思能力为构成要素。从德国判例发展来看，识别能力以心智发展阶段为前提，以行为人已具备认识到利益损害危险之理解能力即为已足；意思能力则是理解自己行为的法律含义——实施了这样的行为将会有什么样的后果——的能力。民法上关于行为能力的规定，原则上对一切法律行为均有适用的余地。在广泛的意义上，儿童作出同意的行为仍是一种民事行为，从而难以摆脱民事行为的一般属性，并在能力的判定上受到既定行为能力理论的影响。正因如此，早期的学者反对将同意能力和行为能力相区分，认为法律行为理论乃同意行为的效力渊源，关于法律行为或意思表示的规定均适用于同意，同意能力亦适用民事行为能力的规定。

据此可知，同意能力与行为能力之间仍存在着千丝万缕的联系。例如，依据相关理论，自然人的行为能力并非与生俱来，而是法规对于可资认定其具有最低限度之判断能力者所赋予的能力；法律作此种安排，并不是对心智上弱者的歧视，而是对有待保护之人的照顾措施。同意能力亦源自法律的赋予，其意义同样在于保护和照顾儿童这一特殊主体。又如，受到先天特征、其所处成长及教育环境等现实因素的影响，不同儿童在生理成熟度和智力水平上存在一定差异，是否赋予儿童行为能力客观上需要基于个案逐一作出审查；但因个案审查与法律交往要求的简便性和安全性格格不入，且难以对相对人或行为对方进行某种形式的“成熟测试”，通过设定年龄标准判定行为能力有无遂成为保护未成年人权益并兼顾交易安全的最佳选择。这一立场亦成为个人信息处理中通过设定年龄标准判定儿童同意能力的理论前提。

然而，各国立法及理论上越来越趋向于承认区分“同意能力”与行为能力的合理性，这一观念在飞速发展的个人信息领域呈现出其独有的价值。主张区分论的学者认为，将同意能力与行为能力相分离的一个重要理由是，二者对主体意思能力的要求并不相同。意思能力是判断行为人行为“效果”的能力，是事实上的心理内在能力，也是各人具有的自然精神能力。与行为能力比较，同意能力对主体意思能力的要求往往更低，这是因为, 受害人同意作为准法律行为以一定事实结果的出现为目的，主体在作出同意表示时, 只要具备了认识与理解其同意的事实行为的性质、损害后果，并根据自己利益与价值观作出判断的意思能力即可；而法律行为以更高的意思——法效意思为要素，需要有交往关系中平衡和合理计算利益的智慧，所以通常主体应当有较高的意思能力才能取得其预期的法律效果。德国民法通说即采行区分论，认为受害人的同意能力不能以有行为能力作为判断标准，而应依据个别案件中受害人的识别能力作为标准。据此，个人信息处理中的儿童作出同意时亦不以其具备行为能力为要件，因为在涉及与人身关系紧密程度往往更弱的此类个人信息问题上，信息主体作出的同意具有消极性，无须具备行为能力，而只需考察其是否具备相应的意思能力。同意能力与行为能力相区分的理论，将为下文个人信息处理中“儿童同意”年龄标准与民法规定的分离现象提供有效的理论解释。

(三)区分论下“儿童同意”年龄标准的异化现象解读

成年人作出同意的情况下，因其往往同时具备完全民事行为能力，在个人信息处理中区分同意能力与民事行为能力的意义不能得以充分彰显。但对欠缺民事行为能力的儿童而言，这一区分论能够合理解释立法实践中“儿童同意”年龄与民法规定年龄在标准上发生分离的异化现象，或者说，唯有在区分论下，针对个人信息处理中的“儿童同意”作出有异于一般民事行为的年龄设定才能获得有效阐明。

个人信息处理中“儿童同意”年龄标准的设定面临一个现实困惑：民法所确立的成年年龄标准具有普遍适用性，儿童信息主体作为民法上的自然人，其在民事活动中的行为应当遵循相关年龄原则；但从国内外立法例来看，个人信息保护法中确立的“儿童同意”年龄标准大都低于民法中的成年年龄标准，二者事实上发生了一定分离。例如，《欧盟通用数据保护条例》中的16岁、美国儿童网络保护法中的13岁以及我国《规定》中确立的14岁等年龄标准，均不同于民法中的18岁成年年龄标准；如此，在判定儿童针对个人信息处理作出的同意是否有效时，就不会简单遵循民法的成年年龄规定，而是适用另外一个特别的年龄标准。但此种“儿童同意”的年龄标准缘何无须遵循作为其上位法的民法规定？此点如果不能在理论上获得合理解释，则会产生法律逻辑上的漏洞。

对此较具说服力的一种解释是，设定过高的年龄标准客观上存在剥夺未成年人行为自由的可能风险。从社会现实来看，数字时代的儿童对新技术具有更强的适应力，设定较之传统民法更低的年龄保护标准有助于其从广泛的信息活动中受益。但本文认为，个人信息处理中“儿童同意”的年龄标准与民法规定发生背离的更深层原因，仍在于同意能力具有不同于行为能力的独立属性。同意能力除了对信息主体的意思能力要求更低之外，也呈现出一定的消极性和防御性制度特征，即便信息主体不具有完全的民事行为能力，只要依据其精神和道德的成熟程度能够判断干涉行为的性质、同意的意义和后果的射程范围，便具有了同意能力。在个人信息保护法中，尽管“同意”可以被视为一种对于个人信息权益的处分，但此种处分不能脱离商品或服务合同的语境而单独存在，只能被视为个人信息主体为了获得相应的商品或服务而必须作出的权利处分；此时，个人信息主体是在行使自己防御性的个人信息权益，而非积极主动行使自己的信息权益。如此，基于儿童的“同意能力”确立的年龄标准与基于自然人的“行为能力”而确立的成年年龄标准结果上便会存在差别，前者的年龄界点可以低于后者。

此外，基于区分论分析，“儿童同意”与“监护人同意”这对唇齿相依的法律范畴的关系也变得更为清晰。“儿童同意”强调儿童对个人信息特定事宜的认识和自主决定能力，并依赖于儿童的实际同意能力而确定；而“监护人同意”作为一种法律代理行为，其设定的理论基础仍是自然人的行为能力，即监护人应满足成年人年龄标准、具备完全的民事行为能力。监护人同意理论主要源自“隐私控制理论”或“亲权及监护权理论”。既然成年人拥有自主决定的隐私利益，未成年人也本应当享有，只因其具有脆弱性，才需要通过监护人同意制度限制其自主性来保护他们。除了法律另有规定外，具有同意能力的非完全民事行为能力人原则上可以独立作出有效的同意；即使监护人作出相反的表示，亦不影响同意的效力。唯有儿童欠缺同意能力的情况下，监护人同意制度方得以启动；若是监护人被授予过大的同意权力，儿童同意的空间就会受到挤压，监护人同意机制反而成为限制儿童数据自由的控制系统。因此，对儿童个人信息的保护必须与其参与权相平衡，对前者的过分强调会引发对后者的侵害风险。可见，个人信息处理中“儿童同意”年龄与民法成年年龄的分离，客观上也是平衡儿童个人信息保护和参与活动风险的结果。

由上述分析可知，“同意能力”与“行为能力”的区分理论为如下现象提供了合理解释。个人信息处理中的“儿童同意”年龄标准与一般成年年龄标准发生分离，呈低龄化，且会在不同的社会情境下呈现出一定差异性——各国对儿童同意处理其个人信息之能力的不同认知，也会导致相关年龄标准的不同See Eleni Kosta, , , Vol.3,Leiden·Boston:Martinus Nijhoff Publishes.2013, p.385. 。这些结论亦将为我国个人信息保护法中“儿童同意”年龄标准的具体设定提供相应的正当性基础。

三、个人信息处理中统一“儿童同意”年龄标准的优缺

(一)年龄标准统一化符合法律的实践需求

法律制度的社会性、政策性和相对性，决定了执行一个统一年龄标准的特有法律价值。统一年龄标准一定程度上满足了法律的确定性和可行性要求，从而成为相对更优的现实性选择。不同于一般的生理年龄、社会年龄或是心理年龄，法律年龄作为法律上的一种拟制，是对各层次年龄意义的提炼，意在略去个体的实质差异，强制性地将符合同一年龄条件的自然人同等对待。而且，年龄标准本质上是对年龄予以数字化，通过数字化的精确计量实现法律标准和法律程序的可计算性，进而实现法律的规约化和系统化，达到降低法律运行不确定性的目的。针对儿童给出一个易于操作的统一年龄标准，抹去其个体上的细微差别，增加适法的确定性，能够在很大程度上便于法律制度的运行。

统一年龄标准的设定也蕴含着经由立法引导行为的意旨。年龄立法主要依据一定历史时期某一年龄段人群的心智成熟度与自制力等特质而定，但又并非亦步亦趋，而是有意识地通过年龄段划分引导各年龄段人群的生活方式，形成意欲的社会秩序与利益格局，据以实现多维度的利益诉求。年龄立法规定中往往隐含着特定的政策导向，并随着社会情势的变化发生调整，以符合司法机关、社会和当事人主体的现实期待。个人信息处理中“儿童同意”年龄标准的统一化呈现出特定的法律政策导向，也即针对一定年龄阶段的儿童信息主体施以特别保护的导向。故而，儿童同意作为一种意思表示，本不适合划定统一的能力要求，但基于对其保护的特别考虑，立法上仍须界定一定年龄标准。各国个人信息保护立法中普遍给出了统一的“儿童同意”年龄标准，确定一个特定的年龄界点，并基于这一界点判断儿童对其个人信息处理的同意决定是否有效。

(二)设置统一“儿童同意”年龄标准的局限性

如何划定一个准确的年龄界点，不仅在儿童个人信息问题上存在挑战，在民法、刑法以及行政法等多个领域也同样遭遇困境。个人信息保护中“儿童同意”年龄标准问题上的失范现象，很大程度上源自于法律上设定一个年龄标准的内在局限性。其中一个明显的缺陷是，统一年龄标准难以应对儿童个体的现实差异。同一年龄的儿童在实际同意能力上有所不同，“一刀切”的年龄标准无法兼顾到此种个体差异而会损及其中一方的利益。正如学者所批评的那样，以年龄作为判断标准使得一部分儿童处于适合的地位，却将另一部分儿童置于不适合的地位，从而导致两个不利结果：要么抑制某些早熟儿童获取新的信息和知识，要么会使某些晚熟的儿童接触到与其智力水平不相适应的信息。See Susan Stodolsky, “Age Related Changes in the Individual Childhood and Adolescence”, , Vol.57, No.4,1981. 同时，统一年龄标准也难以妥善处理法律适用中的“临界”现象。对差一个月甚至几天不到法定年龄的儿童而言，其实际同意能力与达到法定年龄者并不存在明显差别；倘若一概基于法定年龄标准判定其有无同意能力，就使得该儿童与其他在年龄上相差无几的人被置于完全不同的法律境地，结果上有失公平。

此外，统一年龄标准也不利于儿童自主决定权的行使和交易相对人合理信赖利益的保护。儿童个人信息是一种动态保护过程，这加剧了对儿童“赋权”和“保护”之间的冲突。如果赋权性规定过多，会导致对儿童的保护不力；如果保护性规定过多，则可能限制儿童的自我决策权等赋权性利益。那么，当儿童个人信息保护年龄设定过高、执行过严时，事事均须获得监护人的同意，不仅限制儿童对其个人信息的自主决定权，客观上也会不当限制儿童信息处理者对信息资源的有效利用，从而影响儿童在线行为和机会的获得。See Milda Macenaite, “From Universal Towards Child-Specific Protection of the Right to Privacy Online: Dilemmas in the EU General Data Protection Regulation”, , Vol.19, No.5,2017, p.772. 同时，从交易(尤其是网络交易)的角度看，处理儿童个人信息时须经其监护人同意的法律要求，也使得信息处理者与未满法定年龄的儿童信息主体签订的合同或对其作出的意思表示存在被随时撤销的风险，相对人的合理信赖利益无法获得充分保障。

个人信息保护法中一旦设定了统一的“儿童同意”年龄标准，则表明儿童只要满足法律规定的年龄要求，就被视为有能力理解、判断相关信息的处理风险和作出有效的同意决定。然而，此种法律上的“应然性”要求并非能够完全转化为社会的“实然性”需要。通过数字化年龄界定儿童的能力也只是通过一种“决断”的方式进行的人为设定，此种设定并不一定符合个案中的特殊情形。为了决定一个孩子是否具备同意能力，信息控制者仍须基于个案(儿童的年龄、数据处理目的、涉及的个人数据类型等)，考虑儿童的最大利益保护、道德和心理发展水平及其理解同意后果和评估具体情形的能力。See Dorde Krivokapic, , ’ , Annals Fac. L. Belgrade Int’l Ed, 2016, p.774. 据此，立法者需要重新审视这一制度，在遵循统一“儿童同意”年龄标准的原则下，通过例外性规范的适用增强其现实适应力。

(三)局限性克服：例外性规范的适用

考虑到统一年龄标准的局限性，不少国家的立法在确立个人信息保护中“儿童同意”年龄标准的同时，往往设定多元化的例外性规范，允许司法机关结合儿童的心智水平、个人信息的处理目的及风险等因素综合判断其给出同意的效力。例如，《欧盟通用数据保护条例》规定了16岁的统一年龄标准，同时允许其成员国在不低于13岁的前提下根据各自的国情制定年龄政策；但从后期发展来看，仅有个别成员国(如西班牙、匈牙利和荷兰)在其数据保护法中规定了儿童同意的确切年龄，多数成员国仍依赖于个别化的儿童标准，倡导个人数据控制者执行主观、情景性而非单一适用的能力测试See Dorde Krivokapic, , ’ , Annals Fac. L. Belgrade Int’l Ed, 2016, p.773. 。基于例外性规范的“儿童同意”年龄政策更为开放和灵活，从而在不违背统一年龄条款的前提下能够更好地应对现实问题。在相关例外性规范样本中，以德国为代表的部分欧盟成员国执行的“成熟年龄”规则以及美国基于场景理论设定的“浮动比例尺”规则，殊值得我国借鉴。

其一，基于成熟年龄规则认定儿童同意的效力。2016年《欧盟通用数据条例》颁布后，第29条工作组进一步建议：当一个儿童足够成熟到可以做出自己的决定时，处理其数据的网络运营者必须确保获得儿童本人和其代理人的许可。这一建议中包含了一个儿童同意的“成熟”标准，而给出该种标准的导因在于：条例第8(1)条规定的16岁标准仍然过高，与大量关于儿童在线行为的研究结论相背离；条例没有进一步区分低龄和高龄儿童的差异，实际上禁止16岁以下儿童积极参与互联网上的部分活动，然而，尽管存在数据保护风险，大多数活动仍是促进交流和参与的有价值的手段。See Dorde Krivokapic, , ’ , Annals Fac. L. Belgrade Int’l Ed, 2016, pp.209-210. 据此，以德国为代表的一些成员国并没有规定儿童同意的确切年龄界限，而是强调儿童成熟的重要性和手头数据处理的复杂性，并沿袭本国既有司法实践中的“成熟年龄”规则来认定儿童对其个人信息处理作出同意的效力，也即，如果一个不满16岁法定年龄要求的儿童个体实际上能够完全理解对其个人信息处理的后果，其作出的同意决定视为有效。例如，某14岁男孩将自己的姓名、电子邮箱、家庭住址等个人信息发送给学校组织聚会活动之用时，由于他能够充分理解收集这些个人信息的目的和后果，其作出的同意有效。在社会现实中，一部分监护人作出同意时不一定能遵循儿童“最大利益保护”原则，一部分监护人受限于对信息科技的认识水平而不能充分理解其给儿童带来的积极作用，成熟年龄规则的弹性适用则有助于克服监护人制度的局限性，促进儿童参与自我保护，支持他们通过边做边学来应对和适应新的情况。See Milda Macenaite, “From Universal Towards Child-specific Protection of the Right to Privacy Online: Dilemmas in the EU General Data Protection Regulation,” , Vol.19, No.5,2017, p.773. 同时，基于此种弹性的“成熟年龄”规则，法官在个案中得以权衡经济、社会的相关价值来认定儿童是否成熟到可以做出自己的同意决定，从而使得静态的法律文本在不断变迁的社会生活中保持良好的适应性与生命力。

其二，基于不同的“场景”判定儿童同意的效力。为了克服统一年龄标准的僵化性，理论上主张将“场景”理论扩张适用于儿童，通过在不同场景中的特别设计来保护其隐私利益，并以是否符合场景中的公正来衡量和预判产品设计是否保护隐私。例如，在判断儿童是否理解个人信息处理的风险程度时，要求结合处理的规模、方式以及风险高低等具体场景作出判断。一般而言，数据处理规模越大越容易引发隐私风险，风险高低又与使用场景有关：与外部站点的数据交换会增加数据整合的风险，未与互联网相连的内部数据整合风险则较低；风险高低的判断也需要考虑实际损害后果的严重程度，如敏感信息(特定疾病、药品滥用、意外怀孕、酗酒等)引发的后果较之更为严重。

“场景”理论作为一种富有包容力的理想模式，在“儿童同意”年龄标准局限克服上具有现实有效性。美国《儿童在线保护法》(COPPA)规定的“浮动比例尺(sliding scale)”规则即采行了“场景”理论的基本理念。这一规则要求根据信息的使用目的来调整监护人同意的严格程度，如果收集的儿童个人信息仅供网络运营者内部使用，不需要征得家长的同意；反之，如果网络运营者将儿童个人信息用作商用目的，同意的标准将更为严格。申言之，当服务出于内部目的使用儿童数据时，允许采用较为宽松的同意机制，例如，仅向家长发送电子邮件并在收到其回复后予以确认；但如果服务是向第三方披露个人数据并使得儿童信息被公开的高风险服务，则必须遵守更为严格的同意机制，父母须通过邮寄、传真或扫描等更正式的方式填写和返回同意表、提供信用卡号码、通过电话或视频会议联系服务提供商及核实身份。See Milda Macenaite, “From Universal Towards Child-specific Protection of the Right to Privacy Online: Dilemmas in the EU General Data Protection Regulation”, , Vol.19, No.5,2017, p.772. 事实上，2011年欧盟数据工作小组第29条也一度提出了“浮动比例尺”方案，建议根据被处理个人信息的类型、处理目的以及最终风险等多种因素来判定儿童作出同意是否有效。“浮动比例尺”规则作为基于不同“场景”的设计方案之一，其弹性的适用特点有助于缓解统一“儿童同意”年龄标准的僵化性。

四、我国个人信息处理中“儿童同意”年龄标准的设定

(一)制度现状

2019年《规定》出台之前，我国尚未针对儿童个人信息保护作出系统的专门性立法，一定意义上，该规定成为当前我国产业合规的重要指导文件。然而，《规定》采行的年龄标准与其他法律文件之间存在一定冲突，理论根据也不甚明确。一方面，《规定》不仅与作为基本法的《民法总则》所确立的18岁成年年龄标准不同，与在审中的《未成年人网络保护条例》(下称《条例》)的年龄立场也存在冲突。《条例》并未给出一个明确的儿童年龄标准，但根据一般解释原则可推定其仍遵循18岁的成年标准。由于《条例》在法律位阶上高于《规定》，如果它在未来正式颁行时保持现有儿童年龄标准不变，《规定》将在这一问题上与之发生适用冲突而不得不作出调整。另一方面，它与处于相类位阶的规范、指南等关于儿童年龄的规定也不尽协调，例如，《规定》第2条所称儿童是指“不满”14周岁的未成年人；2017年国家标准指南《信息安全技术个人信息安全规范》则将“14岁以下”儿童纳入个人敏感信息主体的范围(3.2)，收集时须经明示同意(5.5)。二者表面上均将14岁作为年龄界点，实则存在差异：前者不包含14岁本数，后者则包含14岁本数在内。这些法律标准的不统一引发了司法适用上的混淆。

此外，法律确定的“儿童同意”年龄标准在实践操作中难以被严格遵循。企业在获取儿童同意时往往面临两个方面的风险：一是未成年人签署合同原本就有可能被撤销的风险；二是监管和行政处罚的风险。为了规避合同效力风险以及监管政策，即便当前《规定》中已经确立了14岁年龄标准，企业往往也会视自身业务的需求而执行更为严苛的18岁成年标准。例如在金融业务中，由于向未成年人开放某些金融业务可能影响其牌照的继续，在处理不满18岁未成年人信息时即会要求取得其监护人同意。儿童并非金融业务的目标人群，采行更高的成年年龄标准并不会影响其利益，但诸如腾讯公司之类数据公司的客户群中包含了大批量的儿童主体，面对这一问题时会更为纠结。以2020年3月生效的《微信隐私保护指引》为例，出于合规的目的，其于第8节“未成年人保护”中的规定：若是18周岁以下的未成年人，在使用微信服务前应事先取得家长或法定监护人的书面同意；特别地，儿童及其监护人在为14周岁以下的儿童完成账号注册前，还应仔细阅读腾讯公司专门制定的《儿童隐私保护声明》，只有在取得监护人对《儿童隐私保护声明》的同意后，14周岁以下的儿童方可使用相关微信产品、服务或向其提供信息。显然，该指引试图回应《规定》提出的14岁年龄要求，但又没有完全恪守这一标准：它在提供业务服务时遵循民法的18岁成年标准，同时要求14岁以下儿童应事先就《儿童隐私保护声明》取得监护人同意，实际上提供了年龄审查模式。此种方案呈现出一定的妥协性，本意在于迎合不同法律文件的要求以降低合规风险，但因此导致了适用上的模糊性。

(二)构建建议

1. 确立合乎本国国情的统一“儿童同意”年龄标准

法律上确立何种具体的“儿童同意”年龄标准，应有其理论基础上的正当性考虑。作为我国主要产业合规根据的《规定》，其所确立的14岁年龄标准有无充分的正当性基础？可结合前述同意能力与行为能力关系理论作出检验。一方面，我国民法长期以来基于行为能力理论构建儿童年龄标准，司法实践中也往往根据行为能力之有无来认定儿童作出同意是否有效，因此，立法者确立个人信息保护中“儿童同意”的年龄标准时难以完全摆脱行为能力理论的影响。另一方面，由于《规定》确立的14岁标准与民法的18岁成年标准发生了背离，需要在行为能力理论的基础上继续检讨：它是否受到了同意能力理论的影响？如前论述，“儿童同意”的年龄标准本质上仍是“儿童同意”能力问题，立法者根据儿童的同意能力考虑监护人介入的年龄界点，这一年龄界点反过来又为判定儿童作出同意是否有效提供了方便可行的统一法律尺度。从前文研究可知，“同意能力”与“行为能力”发生背离有其理论上的根据，从而促生了较之民法成年年龄更低的“儿童同意”年龄标准。我国《规定》确立不同于民法成年年龄的14岁年龄标准，亦能从行为能力和同意能力的区分理论中获得正当性来源，也即“儿童同意”的年龄并非必然相同于、实际上可低于民法的成年年龄标准。

尽管如此，“儿童同意”的年龄标准并非越低越好。与刑法上降低责任年龄标准以更充分保护受害人的意旨不同，个人信息处理中设定“儿童同意”年龄标准的主要目的仍在于保护儿童这一特殊主体，避免其因认识能力欠缺而对自己个人信息的处理作出错误的“同意”决定。若是设定过低的年龄标准，结果上为违规处理儿童个人信息的行为大开方便之门，从而与特别保护儿童的目的相违背。就《规定》而言，这一文件的法律效力位阶较低，其所提供的14岁年龄标准与作为其上位法的民法及《条例》不甚一致，域外代表立法中也未有相关参照性法源，一定程度上既缺乏理论支撑又脱离既有立法框架，从现实来看也偏离社会习惯和民众期待。结合本国法传统及域外法经验，本文认为，将“儿童同意”的年龄标准确定为16岁，更符合本国法律传统和社会现实，且顺应国际立法的发展趋势。其原因主要体现为两个方面：

一是，在我国，16岁的儿童年龄标准已被不同位阶的多个立法所认可，它们包括但不限于：(1)《民法通则》第11条在18岁成年年龄标准之外确立了“视为成年”的16岁年龄标准，其后《民法总则》第18条及《民法典》第18条均承袭了这一做法；(2)根据《劳动法》的规定，16周岁以上未成年人依法享有劳动权，有权参与社会劳动并取得报酬；(3)我国义务教育法将6～16岁规定为法定义务教育期；(4)根据首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(2013)5.2.7规定，不得直接向“未满16周岁”的未成年人等限制民事行为能力或无行为能力人收集个人敏感信息。显然，我国司法实践及社会生活中对16岁的“成熟”年龄标准业已形成较为普遍的认知，将16岁作为个人信息保护中“儿童同意”的年龄标准，与本国的立法传统及法律实践相得益彰。

二是，域外代表性立法例以16岁“儿童同意”年龄标准为多见。《欧盟通用数据保护条例》第8条明确将16岁设定为“儿童同意”的年龄界点，且大多数成员国对此予以认可，譬如，将16岁作为儿童同意年龄标准的立场为德国和英国的司法实践所广为接受。美国虽在1998年《儿童在线隐私保护法》(COPPA)设定了13岁的年龄标准，但因13～18岁这一年龄阶段的儿童在社交媒体上过度暴露自己的隐私信息，放弃对其保护有失合理，See Boyd D., ’ : - , New Haven, CT: Yale University Press, 2014. 后期的立法政策中不断予以调整，作为其成果之一，2018年《儿童反追踪法案》中将受保护儿童年龄调整为以16岁为年龄上限。此种背景下，我国采行16岁的“儿童同意”年龄标准，不仅在本国具有相当的制度自洽性，亦有利于在跨境数据流动等法律政策上与国际接轨，降低产业合规中的越界风险。

2.通过例外性规范增强统一年龄标准的现实适应力

考虑到统一年龄标准的局限性，我国在遵循16岁“儿童同意”年龄标准的一般前提下，应注重借鉴比较法上关于例外性规范的法律经验。从前文来看，这些例外性规范在运行机理上各有特色，从不同层面上提供了弹性认定“儿童同意”效力的具体方法，对其借鉴有助于增进例外性规范的确定性和可执行性。一方面，吸纳以欧盟多数成员国的司法实践为代表的“成熟年龄”原则，若一个不满16岁的儿童能够完全理解对特定个人信息处理的后果，其作出的同意可认定为有效。我国个人信息处理中的儿童同意年龄标准并未采行民法的“三分法”(即以18岁和8岁为界点将自然人区分为完全民事行为能力人、限制民事行为能力人和无民事行为能力人)，采行“成熟年龄规则”有利于克服不能兼顾儿童同意能力差异的局限性。另一方面，将“场景”理论作为更广泛意义上的问题应对策略，若是穷尽所有的法律措施后仍然存在认定上的瑕疵，可进而结合儿童个人信息的处理目的、重要程度、风险以及最大利益保护原则等多重因素来判定该儿童作出的同意是否有效。例如，12岁的学生虽然不满足法定同意的年龄要求，但如果其同意个人信息处理是为了获取学校提供学习通中的电子资源，符合其重要的教育利益，处理风险也不高，应承认其作出同意的效力。相关例外性规范的适用，使得个人信息处理过程中不因儿童未满法定年龄即断然否认其作出同意的效力，从而在最大限度上兼顾儿童的信息决定权和行为自由，也利于维护交易秩序的安全性。

同时，对新生法律问题的回应不可能游离于本国固有的法律体系，更勿论儿童同意原本就与法律行为存在密切关联，因此在认定个人信息处理中“儿童同意”能力时仍可援引既有法律中的合理规则，吸纳司法实践中相关儿童法律行为的已有审判经验。譬如，考虑到儿童问题的复杂性和差异性，我国民法允许在儿童年龄统一原则之外的例外适用，规定限制民事行为能力人实施的“纯获利益”的民事法律行为或者与其年龄、智力、精神健康状况相适应的民事法律行为有效；与之相应，限制民事行为能力的未成年人进行的民事活动是否与其年龄、智力状况相适应，司法实践中又会从行为与本人生活相关联的程度、本人的智力能否解释其行为、预见相应的行为后果以及行为标的的数额等方面认定。基于此种弹性做法，对于符合儿童正常同意能力的个人信息处理行为，例如通过微信查阅学校布置作业、在线使用学习通、通过社交媒体与同学进行信息互换等行为，可以据情放宽年龄标准的适用；但对于明显超出儿童正常同意能力的信息处理行为，尤其是涉及重大财产或人身安全利益的情形(如涉及较大数额财产的处分行为)，则应严格执行法定的年龄标准。

结 论

“儿童同意”年龄标准是法律上针对儿童信息主体提供专门保护的一项核心决策，而划定一个年龄界限的目的在于为判定儿童作出同意是否有效提供统一的尺度和标准。“儿童同意”又取决于儿童的同意能力，对其性质的探讨关乎设定一个年龄标准的正当性。我国相关法律文件中的“儿童同意”年龄标准存在规定上的冲突，为了设定一个合理的“儿童同意”年龄界点，需要对其正当性基础作出解释。同意能力与行为能力存在密切的联系，但又因二者对意思能力的要求不同而发生分离，此种区分论有助于合理解释“儿童同意”年龄标准与民法成年年龄的分离现象，并为个人信息处理中低龄标准的设定提供理论根据。

同时，年龄政策有其特别性和复杂性，个人信息处理中“儿童同意”年龄标准统一化符合法律的内在要求，但也存在明显的局限性，既难以应对儿童个体的现实差异，也不利于儿童自主决定权行使和交易相对人合理信赖利益的保护。因此，需要从两个方面入手建构我国的“儿童同意”年龄标准：一方面，基于本国的法律传统和社会现实，并顺应国际立法发展趋势，设定16岁的统一“儿童同意”年龄界点；另一方面，借鉴比较法上的立法及实践经验，通过“成熟年龄规则”、结合具体“场景”判定等更具弹性的例外性规范来增强统一年龄标准的现实适应力。