利益衡量与场景实践下的未成年人信息保护研究

蔡一博 吴 涛

现代社会对未成年人的历史际遇和地位展开反思，形成了目前国际社会通行的尊重态度，即未成年人是一个与成年人完全不同的群体，需要充分保护，享受独特的权利，具有无法替代的地位。(1)廖小平：《当代未成年人道德境遇的双重变奏》，载《江海学刊》2010年第1期。随着数字技术的发展，产生了大量针对青少年的违法犯罪现象，导致了社会空前尊重未成年人权利的同时，又伴随着对未成年人遭遇风险产生恐慌的局面。根据经济合作与发展组织(Organization for Economic Co-operation and Development，简称OECD)信息安全与隐私工作组发布的文件显示，未成年人接触数字世界的风险可以分为网络技术风险、商业消费风险、隐私和信息安全风险。(2)OECD. The Protection of Children Online: Recommendation of the OECD Council Report on risks faced by children online and policies to protect them. 2012.例如针对未成年人的网络骚扰、在线营销、不当劝诱、欺诈等现象，不仅侵害了未成年人家庭的隐私和安宁生活，还对未成年人的身心健康造成不利影响，甚至导致未成年人的人身和财产安全处于危险状态。2020年的新冠疫情再一次检验了未成年人安全的现实状态，由于疫情期间普遍采取远程授课、在线交流，进一步推动未成年人深入接触网络，诱发网络黑产的又一轮暴发。新闻中频频曝光教育软件捆绑游戏广告、针对青少年的网络诈骗、非法倒卖未成年人资料等不良现象，虽然《未成年人保护法》2020年修订案中增设“网络保护”专章，进一步完善了未成年人信息保护的场景(虚拟的赛博空间)，形成集强制性行政手段、教育引导等非强制性手段的综合治理模式，但从保护实效上考虑仍需要传统的家庭保护、学校保护、社会保护、政府保护、司法保护体系基础上，研究建立未成年人信息统合式法治保护体系。

一、未成年人信息保护的现实困境(3)现有文献多将未成年人的相关信息称为“未成年人个人信息”。考虑到未成年人的相关信息具有个人信息、子女信息的双重属性，并且“未成年人”在文义上已经包含“个人”的含义，因此本文将未成年人的相关信息统一称为“未成年人信息”。

随着数字世界基础设施的完善、赛博空间的扩张和移动终端的普及，网络数字环境成为未成年人社会交往、获取知识、记录生活的重要载体和场所，但与此同时,参与社会活动的信息也更容易暴露在公共领域，合法权益遭受侵害的可能性显著增加。未成年人由于处于幼生期，心智发展水平和行为能力尚不完全，自我保护、自我控制、自我救济的能力较为欠缺，个人信息被侵害的可能性更大、后果更严重。然而,我国涉未成年人信息保护的法律规范较为零散，针对未成年人的信息保护机制尚不健全，产生了实践中保护不力的现实困境，主要集中在以下两个方面：

一是未成年人信息保护的制度失序。《民法典》就个人信息保护作了具体规定，并就可识别性对个人信息作出界定，《网络安全法》等法律规范主要从未成年人隐私的角度，在特定法律领域对未成年人进行了保护。例如,在刑事司法领域，《预防未成年人犯罪法》《最高人民法院关于审理未成年人刑事案件的若干规定》《人民检察院办理未成年人刑事案件的规定》《公安机关办理未成年人违法犯罪案件的规定》等，都对司法活动中未成年人个人资料、案卷材料等未成年人信息载体的严格保护作出了规定。然而，未成年人信息保护不仅涉及上述法律规范，更需要协调未成年人保护法、教育法以及个人信息保护法等以便综合施策。目前，相关法律规范没有对未成年人信息予以明确界定以及作出特殊安排，导致存在制度失序的情形。《未成年人保护法》明确了未成年人的家庭保护、学校保护、社会保护、司法保护的原则与内容，但未成年人信息保护法制缺乏体系性，导致了针对未成年人的保护行为反而侵犯未成年人信息安全的案例屡见不鲜。例如“施某某、张某某、桂某某诉徐某某肖像权、名誉权、隐私权纠纷案”，(4)最高人民法院2016年公报案例裁判要旨：为保护未成年人利益和揭露可能存在的犯罪行为，发贴人在其微博中发表未成年人受伤害信息，所发微博的内容与客观事实基本一致的，符合社会公共利益原则和儿童利益最大化原则，该网络举报行为不构成侵权。暴露出未成年人的社会保护往往忽视未成年人信息安全，缺乏合理行使社会保护职责的法治轨道。该案反映出未成年人保护现状堪忧的社会热点，以及新闻媒体等机构对未成年人履行社会保护的意愿，同时也侧面体现出社会对未成年信息的宣示性保护，与未成年人权益主体地位遭受轻视形成的强烈反差。因此,需要重视未成年人信息安全制度与未成年人社会保护原则等方面的平衡与协调，处理好信息利用与信息保护在多个领域的内生矛盾。

二是未成年人信息保护的责任不清。我国的未成年人信息保护缺乏明确的责任承担机制。现有的民事救济手段比较困难，一方面维权成本与收益不成比例，导致权利人维权动力不足；另一方面，赔偿金额少对相关业务的运营者起不到威慑作用。鉴于涉个人信息、数据安全保护等规范中民事责任的引致条款均指向侵权责任，现有民事救济作用有限且尚未发挥体系作用，所以现在刑事打击及行政处罚等法律手段的保护效果相对较好，民事救济渠道亟待完善。《网络安全法》《消费者权益保护法》仅规定了针对个人信息的一般性保护规定，例如“公开收集、使用规则”“明示收集、使用信息的目的、方式和范围”“取得用户的用意”，过于笼统且缺乏未成年人信息相关责任规定。虽然《未成年人保护法》第63 条弥补了未成年人信息保护的立法空缺，但其仍然缺乏具体的法律后果和责任承担方式。因此，需要统一未成年人信息保护的原则、相关主体的义务和责任，从而实现未成年人信息的全面保护。

三是现行法律规范对未成年人信息的可识别性界定较为粗略，缺乏可操作的判定标准，导致司法实践中的事实认定难题。法律规范针对未成年人这一特殊主体的个人信息保护规定较为零散，法制协调性不足，综合性立法缺位，(5)傅宏宇：《我国未成年人个人信息保护制度构建问题与解决对策》，载《苏州大学学报(哲学社会科学版)》2018年第3期。亟待统筹协调未成年人信息保护的法律规范性，并通过未成年信息的利益衡量与分析、回应学校、社交平台、网络运营商等场景的实践问题，才能更好地明确依法承担义务的主体及相应责任。

二、未成年人信息的利益分析与场景解构

数字技术重构了传统的信息收集、处理、传输、存储方式，使得承载未成年人信息的数据可以迅速传播、使用，不受数量、期限、用途的限制。移动互联网终端的普及和低龄化使用，使得监护人和教育者难以及时、有效、全面监督和管理未成年人。未成年人作为数字虚拟世界中最需要特别保护的群体，要明确其在法律位阶的境况、场景保护中的价值及其对应的行为规则、责任承担方式。这就需要我们认真研究未成年人信息的利益属性及相关场景下的特殊利益需求等问题。

一是未成年人信息与成年人信息利益属性存在区别，其具有监护人及未成年人信息的双重属性，一方面在法律层面主要表现为个人信息，是泄露后可能会影响监护人履行监护职责的信息；另一方面在道德层面主要表现为子女信息，是泄露后可能导致子女处于危险状态、使成年人陷入不安和痛苦的信息。

具体解释层面上，从民法理论中监护人履行职责的视角来看，未成年人信息的本质是未成年人的重要权益载体，是监护职责保护的对象。未成年人无法独立完成对自我信息的保护，依赖于监护人提供的保护行为、代理行为。民法中的监护制度对监护职责规定了“最有利于被监护人的原则”。未成年人作为特殊群体，享受监护制度提供的抚养和保护。对于未成年人而言，除了特别情形外，大多数情况下监护人是其父母。这其中“监护”与“父母”并非同一概念，在保护未成年子女合法权益的指导下，民法应当分别设立亲权(父母责任)和监护制度。(6)李霞：《协助决定取代成年监护替代决定——兼论民法典婚姻家庭编监护与协助的增设》，载《法学研究》2019年第1期。因此，未成年人信息不仅涉及到监护关系，还涉及亲权视野下父母与子女的关系。亲权属于身份权，指的是父母基于身份关系，对子女享有的抚养和照顾的权利。(7)史尚宽：《亲属法论》，中国政法大学出版社2000年版，第34页。由于存在天然的血缘和伦理关系，对后代的关心和爱护，是人类理性的外在表现形式之一，这在社会愈加重视和尊重未成年人权益的时代背景下，不可避免地成为一个重要的道德归责标准。这种道德归责标准针对的是成年人自我，而不是针对后代。道德指引理性行为，这种规范内生于人类理性、外现于人类行为，因此人类在为调整社会关系、规范自身行为创设法律时，必然将人类理性中蕴含的“立法内容”进行现实化。(8)韩强：《法律因果关系理论研究——以学说史为素材》，北京大学出版社2008年版，第216页。基于日益强盛的未成年人保护道德观，成年人无法遏制自身对子女健康成长的极度关注和期望，在人类信念中的理性驱使下，竭尽所能地保护子女(包括隐藏和控制子女信息)，逐步成为法律规范设计中的“理性人”假设。

具体应用上，国际通行的做法即赋予未成年人的监护人以同意权具有两个层面的必要性。第一，从未成年人个人信息视角来看，通过监护代理制度可以弥补未成年人的行为能力，符合未成年人利益；第二，从监护人的子女信息视角来看，子女承载了家庭和个人的希望和安宁，对子女在特殊阶段的特别保护，符合监护人(成年人)利益。

二是未成年人信息保护较成年人信息保护在利益识别、分析上更为重要。未成年人的私密领域与公共领域的界限因为互联网的出现逐步模糊，并产生了中间地带，即德国“领域理论”中“私人领域”的边界问题。德国法院基于保障个人信息自决权的司法实践，认为《德意志联邦共和国基本法》第1条、第2条为人民保留了个人信息的“私密领域”，亦即“人格的核心”，不受任何侵犯亦排除任何公权干涉。(9)Edward J. Eberle, Observations on the Development of Human Dignity and Personality in German Constitutional Law: An Overview, Liverpool Law Review, 2012,33, pp.212-213.随着私密性的降低，个人信息还存在“私人领域”和“社会领域”的划分，“私人领域”代表着一定条件下可以由他人处理的个人信息；“社会领域”代表着面向公众的个人信息，原则上不存在任何保护。未成年人的“私人领域”为教育者和社会的知情权提供了正当性依据，在符合目的限定和比例原则的基础上，监护人、教育者和社会可以在未成年人的私人领域进行必要的干预，从而实施保护未成年人的行为。在技术进步使得个人与社会生活之间的关系越来越紧密时，人们对私人领域的保护欲也越来越强。未成年人作为弱势群体，在数字社会应当被法律赋予可以与外在势力抗衡的力量。面对未成年人信息保护这一重大议题，如何平衡私人领域和公众领域的内在张力，并认识利益、表达利益、调整利益是法律规范首先要考虑的要素。(10)张新宝：《从隐私到个人信息——利益再衡量的理论与制度安排》，载《中国法学》2015年第3期。

三是要充分将利益衡量理论运用到未成年人信息分布的重点领域进行分类研究并明确立法要求。具体到实践中，利益衡量以利益识别为起点，(11)张新宝：《从隐私到个人信息——利益再衡量的理论与制度安排》，载《中国法学》2015年第3期。结合前文论述，主要存在如下利益需求:

第一，信息业者对未成年人信息的利用需求，体现为育婴、儿童服务等市场需求。未成年人信息安全肇始于信息业者对个人信息进行商业化利用，信息技术的发展水平主导了个人信息相关的商业竞争，而未成年人在内的普通民众往往处于天然的弱势地位。技术和资本的鸿沟，以及网络环境的特点造成了信息不对称、权利主体失语的现象和权力失衡的格局，限制了未成年人及监护人对个人信息的控制。(12)Julie E Cohen, Configuring the Network Self: Law, Code, and the Play of Everyday Practice. Yale University Press.2012.因此，除了传统义务外，信息业者应当承担数字社会中更为细致和可操作的义务。目前隐私政策、信息保护条款已经成为行业通行做法，信息安全的相关协议条款成为未成年人信息安全的重要保障之一。由于各个具体行业的未成年人信息特点和表现形式不同，信息安全的保护程度也不一致，例如，医疗行业的未成年人信息保护要求相比教育行业就应当显著提高。社会生活中各个领域的保护标准不同，因此，统合性立法需要与私法工具接轨汇流，例如立法引导行业标准和范本的制定，将细化的责任要求落实在合约条款中。

第二，教育者对未成年人信息的知情需求，体现为因材施教等教学原则。为了实现教育职能，教育者需要因人而异确定教学方法和内容，以符合未成年人的身心特点，达到因材施教的目的。然而，我国教育法制没有明确教育者对未成年人信息的保护义务、教育者获取未成年人信息的范围和方式，致使教育者侵犯未成年人信息的现象频发。例如通过监控获取并传播未成年人隐私信息、没收并查阅未成年人信息载体(如手机、日记等)、要求“刷脸”打卡完成运动任务、未经同意直接公开学生考试成绩等。从安全保障义务的内涵来看，未成年人信息安全直接关系到未成年人的人身、财产安全，因此教育者应当履行注意义务，在数字社会时代正确界定教育者安全保障义务的外延，重视未成年人信息安全保护工作。依据教育者知情权进行的信息处理，必须符合目的特定原则、收集和使用限制原则，并履行严格保护未成年人信息的义务。

第三，监护人对未成年人信息的保护需求，体现为保护幼者的道德伦理。为了履行监护职责，同时也基于抚养、教育关系，监护人掌握最高程度的未成年人信息知情权和决定权。即使是未成年人最敏感、隐私的信息，也有可能在日常生活中被监护人所掌握。同时，基于共同生活的亲属关系，父母监护人还享有他体人格权，即以他体人格利益为客体，在家庭义务许可的范围内自由行为，并不受第三人非法干涉的人格权。(13)贾淼：《人格权益法研究》，中国政法大学出版社2017年版，第123页。因此，对未成年人信息权益进行保护的第一道关口在于监护人，家庭教育是未成年人健康成长过程中影响最大的因素。从情感上看，未成年人最信赖和依靠的是其监护人，尤其是父母，对未成年人身心健康的关爱和照顾是其他角色无法替代的。从法律责任上看，《民法典》具有监护责任的规定，保护被监护人的人身、财产及其他合法权益是监护人的法定义务。监护人职责的履行程度与家庭成长环境、监护人自身素质紧密相关，不同的监护人可能存在较大差异性。监护人应当作为“理性人”，在数字社会时代采用更高的代理行为标准践行未成年人保护职责。然而实践中，有些监护人不仅不是未成年人个人信息的保护者，反而成为了信息泄露的始作俑者，最为典型的就是在社交媒体上广泛存在的“晒娃”现象，(14)Stacey B. Steinberg. “Sharing: Children’s Privacy in the Age of Social Media”, Emory Law Journal, vol. 66, 2017.以及有意或无意地在公共网络上发布或上传涉及未成年人信息的资料文件，例如报名表、成绩单、医疗记录等。这对未成年人信息保护带来了源头上的风险。因监护人故意或重大过失，导致未成年人利益受到严重侵害时，应当通过未成年人的社会保护、司法保护等机制，发现并追究监护人责任。对监护人要普及正确的抚养观念，在尊重未成年人自由意志和保护未成年人健康成长之间寻求最佳平衡。

第四，政府对未成年人信息的利用需求，体现为对社会的管理和对国家安全的维护。数字社会时代来临，借助于现代科技可以让国家机器精准施力，实现更科学和理性的公共决策，和更高效的行政行为。未成年人信息是特殊的信息资源，直接关系到未成年人群体的人身、财产利益，承载着国家和社会的未来，在参与国际竞争、国家博弈的过程中，政府应当将未成年人信息安全列为核心安全事项。因此，未成年人信息保护需要在数据市场发展、教育者履行职责、监护人履行职责、政府公共监管四个方面之间寻求平衡。上述利益在实践中往往不是单一线性的，而是交织在一起的，所以利益识别后的优劣性保护在实践中平衡具有重要意义。

三、利益衡量与场景理论下的立法建议

未成年人信息特殊保护的具体体现形式为限制性保护，因而保护对象的信息自决权受到监护人同意制度等特殊规制。面对未成年人信息自我决定的不足，加强监护人知情同意规则的适用是重要的实践补充。由于未成年人的成长是一个不断获得民事行为能力的过程，其信息主体意识的提高引发自我决定和未成年人最大利益之间的冲突，从而产生“赋权与保护”(Empowerment versus Protection)的现实困境，即未成年人的身心状态处于变动发展的状态，这就需要立法在两个问题上着重考虑。其一，在幼年和青少年的不同年龄区间，其对信息自决的诉求呈现出明显的差异性，因而年龄分界线如何设置的问题，成为规制范围的核心问题。“什么年龄的孩子可以同意处理其自身的数据？”这个问题被欧洲的数据法专家戏称为“百万欧元问题”。(15)Giovanni Buttarelli, “The Children Faced with the Information Society”, 1st Euro lbero American Seminar On Data Protection:”Children’s Protection” Cartagena de Indias(2009) .正如有专家指出：“为了确定获得权利或失去保护的年龄，需要在未成年人作为权利主体的信息自决利益，与国家特别保护的公共利益之间取得平衡，必须尊重未成年人不断发展的能力。”(16)Rachel Hodgkin and Peter Newell, Implementation Handbook for the Convention on the Rights of the Child (UNICEF,2002). p.1.其二，就是场景理论需要明确和细化。

一是宏观角度看，建议采用统一立法模式，并以《个人信息保护法》《未成年人保护法》为统领。我国未成年人保护相关法制建设中，对未成年人主要立足于《未成年人保护法》《个人信息保护法》两部综合性立法，形成体系化的保护制度。同时，针对14周岁以下的未成年人进行特别法的创设，有针对性地解决具体行业、领域内未成年人信息保护的实践问题。第一，对未成年人信息保护进行专章规定，从《个人信息保护法》的特殊主体层面，确立未成年人信息的专门保护原则；第二，将未成年人信息安全作为未成年人的重要利益之一，从《未成年人保护法》的具体权益层面，确立未成年人信息的特别保护路径。以两部综合性立法为统领，不断建立和完善未成年人信息保护的具体规则与配套机制，加强法律规范之间的互动和协同。

二是中观层面看，建议专门立法应秉持细化场景规则的理论，并引导行业自律和监管。未成年人数据主体地位要求被赋予数据透明权、可携带权、被遗忘权等知情同意原则项下的具体权能，而传统的禁止数字画像、设计和默认的数据保护等措施在大数据背景下显得保护力度不足，为此互联网初期在实践中制定的“监护人知情同意”立法内容，显然需要根据数据收集方式的最新特性、最新场景来细化监护人同意的场景及规则设计。为了解决行业实践难点问题，需要立法创制未成年人信息保护的特殊规则。第一，创设未成年人信息的可识别性判定标准。对未成年人的面部照片、证件号码等直接可识别性信息都应当加以遮蔽和匿名化处理，并严格限制未成年人信息的获取和使用。未成年人限于相对简单的生活环境，个人信息的碎片化程度小、信息分布集中、关联性强，应当从法制层面限制多维度数据拼接技术对未成年人信息可识别性的复原；第二，创设监护人同意的效力标准。从效力认定规则、撤回同意规则等方面构建监护人同意制度，促使信息业者获得有效的监护人同意、履行告知同意要求、便利当事人行使知情权和救济权。在身份认证、监护人同意等关键环节，以“合理性”和“现有技术水平”作为标准，采取多途径、全方位的验证模式。网信部门应及时制定和更新相关行业的合规指引和执法标准。应当在立法中引入行业自律规范，鼓励大型互联网企业或已有的行业组织牵头起草关于保护未成年人个人信息的可行性具体措施，并提交网信部门论证、审核、备案，作为细分领域的合规指引，并形成执法标准。这样既能够实现行业自我管理，也能够达到对未成年人信息保护的目的。

三是微观角度看，立法中需要注意两个大的问题。第一，关于年龄区分段的立法问题，建议采取统一立法与专门立法并行的模式。原则上，界定未成年人信息特殊保护的年龄界限应当综合考虑立法设计的体系性、民事行为能力的规定、敏感信息的区分难度、未成年人信息保护的实践困境等多方面因素。在我国未成年人保护的立法和司法实践中，14周岁成为目前零散的法律规范逐步明确起来的一条年龄线。例如我国《刑法》中儿童相关罪名以14周岁为认定标准，14周岁是综合了实践中的案件特点和未成年人心智发展特征，进行反复斟酌后设定的标准。具体来看，首先关于统一立法模式问题。对于18周岁以下未成年人的信息，基于监护制度、亲权制度的一般原理进行统合式保护。“协助决定”模式一般适用于认知障碍(例如未成年人心智不成熟)时的自然人，在他人的协助支持下准确表达自身意愿，主要特征是自主作出决定。协助决定的方式主要是沟通，而不是替代本人的自我决定。“协助决定”的一般性规则，指的是以未成年人直接接受、作出意思表示为核心，尤其是从14周岁以上未成年人“意志自由化”的角度进行利益平衡。其次，关于专门立法模式问题。对于14周岁以下的未成年人信息，应当认定为个人敏感信息，并采取“替代决定”的特殊规则。对于个人一般信息，目前基于分级分类的个人信息保护原则，对保护的程度和方式难有定论；但对于个人敏感信息，其直接指向公民的隐私权，对其严格保护已成为共识。为了充分尊重未成年人的人格尊严以及信息权益，应当将14周岁以下的未成年人信息作为个人敏感信息予以保护。同时设置一定的除外情形，对教育者、社会媒体等主体作出的符合促进未成年人成长、遵守行为准则、提高社会效益的行为，应当谨慎认定。

第二，“替代决定”的内涵需要立法根据不同情况制定具体规定。该模式一般适用于监护、保佐等行为，采取同意权、撤销权、财产管理权以及代理权等方式，对未成年人进行事务行为，并代受意思表示，履行保护未成年人利益的职责。关于“替代决定”模式的基本特征是：首先，否定未成年人的行为能力，这种否定可以是局限于某一具体事项作出决定的行为能力；其次，替代决定的作出源自于未成年人以外的其他人，这种决定有可能违背本人意愿；再次，替代决定作出的依据是未成年人的“最大利益”，而不是本人的意愿和选择。(17)李霞：《协助决定取代成年监护替代决定——兼论民法典婚姻家庭编监护与协助的增设》，载《法学研究》2019年第1期。对14周岁以下的未成年人信息，考虑到未成年人无法正确理解和行使信息权益，前文已述信息时代的风险隐忧，应采取“替代决定”的监护人同意规则，以监护人代受、作出意思表示为核心，从14周岁以下未成年人“利益最大化”的角度，在个人信息领域否定其行为能力，采取严格的监护人同意规则进行约束和限制，从而实现利益平衡。为此，从立法技术来看，应当采取统一立法与专门立法并行的模式，对整体性的未成年人信息进行一般立法保护，并对14周岁以下未成年人信息进行专门立法。这一点也得到2020年10月公布的《个人信息保护法(草案)》回应，第15条明确了未满14周岁的未成年人信息处理应当取得监护人同意，并与《儿童个人信息网络保护规定》形成体系化衔接。对14周岁以上的未成年人将主要立足于《未成年人保护法》和《个人信息保护法》两部综合性立法，明确未成年人信息保护原则，无须另行专门立法。未来可预见的是继续围绕未成年人信息“替代决定”模式的监护人同意制度，不断完善各个场景下的协同保护和冲突规则，避免保护失当、保护错位的现象，消除保护行为本身的不法性。针对信息业的复杂环境，专门立法可以采取体系化的方式，在确定14岁年龄范围的特别保护原则后，实施分类、分级的方式，根据不同的应用场景精细化立法，防止技术滥用，引导制定行业规范和技术标准。

四、统合式保护相关机制的尝试与探索

由于未成年人信息涉及多方主体的利益平衡，并涉及到诸多行业、诸多领域的社会关系，除了立法存在相对零散的特点，未成年人信息保护相关司法和执法制度也呈现碎片化的特点，应当建立统合式法治保护体系。

一是未成年人信息保护的加重责任认定的尝试。首先，实施必要的举证责任倒置。除了明确未成年人信息的认定标准，还应当在证明责任上予以特殊安排。在认定未成年人信息权益类案件的事实时，需要综合考虑未成年人及其监护人的举证能力、举证过程对未成年人成长的不利影响、未成年人特殊保护的导向性等多方面因素，恰当地作出举证责任分配的司法安排。应当由侵权人承担涉诉信息不具有可识别性、因公共安全等方面的要求得到豁免等抗辩理由的举证责任，实行举证责任倒置。第一，未成年人的举证能力较低。网络技术力量的不对等、商业利益的不平衡等因素，使得未成年人一方在发现侵权行为、限制侵权后果等方面处于弱势地位，举证能力的差距是客观存在的。第二，对未成年人信息的侵权行为进行举证，很可能对为未成年人造成二次伤害，应当避免未成年人过度参与诉讼；第三，未成年人信息侵权的侵害后果往往直接影响到未成年人的健康成长，造成的侵害后果难以逆转，由侵权人举证更能体现未成年人保护的导向性。其次，视情况适用加重责任情形。由于未成年人信息的特殊性，在涉个人信息的司法案件中，应当从情节、法益等多个角度，合理认定涉个人信息的加重责任。例如在“侵犯公民个人信息罪”等案件的情节认定中，在适用情节严重或特别严重时，重点考虑将未成年人信息作为主要作案对象的责任。

二是关于未成年人信息保护的认证机制的探索。欧盟《统一数据保护条例》(General Data Protection Regulation,简称GDPR)首次将个人数据认证机制纳入法律规范中，根据欧盟数据保护理事会制定的《认证和认证标准指南》，认证机制指的是“数据处理规程的第三方证明”，(18)European Data Protection Board. Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679.作为一种商事外观，证明信息业者在个人信息保护能力上达到了一定标准，包括合规标准、风控标准和技术标准。针对未成年人信息保护的认证机制可以显著减少信任成本、增进交易效率。参考大陆法系国家，法国和德国采用了公权认证模式，由信息保护方面的国家机构作为认证主体。例如法国由“国家信息与自由委员会”制定认证规则，并且具有评估权，负责授予认证证书。获得认证的企业不仅仅要达到合规的标准，而且应当可以形成该行业的示范做法，认证相当于一项认可和荣誉，为企业带来商誉、社会认可、公共部门嘉奖等多方面激励，从而激发企业自生自发地保护个人信息的动力。现阶段涉未成年人信息的行业具有较大的合规压力。法律规则的模糊性和执法的难以预测性成为市场主体的痛点，而信息保护认证机制另辟蹊径，通过企业的实践形成更高标准，来调动企业的主观能动性，并贡献大量可行、可操作的范例，经过实践检验后可以成为法律规则设计的重要参照。

三是关于推广嵌入式保护方法的探索。针对未成年人冒用监护人身份信息，绕过监管的问题，应逐步扩大人脸识别等技术应用范围，运用嵌入式保护(Privacy by Design)方法，通过功能设计来保护未成年人权益。嵌入式保护强调的是在企业技术路径、功能设计、业务实践中，从源头上纳入信息保护机制，而不是在产品投入市场使用过程中遇到问题时，再事后救济。嵌入式保护方法强调主动性、预防性、默认方式、嵌入式设计、功能安全、端口安全、透明性等具体产品研发理念。这就需要进一步将未成年人信息安全在内的法治理念，普及到技术人员群体，并着力培养跨学科人才，将法治延伸到公司制定战略、设计和研发产品等市场行为的初期。此外，在应用场景方面，应当注重未成年人的接触行为。例如,公共涉网场所以及智能化软件、硬件设备等网络终端产品应当安装未成年人上网保护软件，或发行未成年人订制版本，通过嵌入式保护方法和技术手段的应用，在未成年人接触网络或其他载体的时候，对网络信息和未成年人信息进行双向过滤，全面达成未成年人保护的制度实效。

四是关于统合式身份识别管理平台的探索。为了解决身份认证难题，既要实现未成年人年龄的准确识别，又要避免对未成年人信息的过度收集，可以采取网信办等公共部门介入的手段，建立统一的识别平台，并配套建立制度规范。目前已经探索的有网络游戏电子身份认证系统等统一平台，创造性的设计了相关制度规范，例如未成年人身心健康信息提示制度等。对于实践中已有成熟做法或管理机制，应当通过法律形式予以固定。此外，通过人工智能等现代科技应用，负责用户身份识别，不进行存储和分析。当识别出未成年人时，并且未成年人认可了对其信息的收集和使用时，应当即时告知监护人并进行显著提示。监护人可以事先在一站式平台进行备案和信息登记，从而及时有效地知晓未成年人的授权行为，便利运营者以可验证的方式获取监护人同意，例如当场语音电话、邮件、短信等方式获取回复。由于个人信息的收集行为纷繁复杂，未成年人及监护人可以提前设置禁止收集的未成年人信息类型和范围，并在身份认证的前端环节予以排除，从而高效地避免敏感信息商业化利用。

五是关于建立涉未成年人信息的公益诉讼机制的探索。由于涉未成年人信息的案件具有群体性、分散性等特点，往往涉及到众多不特定主体，侵害到群体性、社会性的共同权益，属于公益诉讼可救济的社会公共利益。应当树立未成年人国家保护的大局意识，将未成年人信息权益保护纳入检察履职范围，积极开展公益诉讼“等”外探索工作。明确检察院等机构对于非法处理未成年人个人信息的主体提起公益诉讼，实现未成年人“零成本”维权，这是我国未成年人个人信息保护制度构建的应有之义。司法机关应当努力将每一起公益诉讼案件办成标准之诉、制度之诉，便利未成年人保护工作，降低维权门槛。

六是关于涉未成年人信息的强制报告与处置干预机制的探索。在涉未成年人案件的司法实践中，一直存在发现难、报告难、救助难、联动难等问题。一旦报案不及时，可能导致未成年人反复受侵害,而如果缺乏后续的救助措施，则可能导致未成年人的权益难以实现。为了加强涉未成年人的统合式司法保护，可以探索建立侵犯未成年人权益类案件的强制报告制度，尤其是在与未成年人有直接接触的行业，可以缓解长期存在的信息不对称困境。例如上海市闵行区政法单位共同会签《关于侵害未成年人权益案件强制报告与处置干预的实施办法》。其中明确:第一，拓展线索处置机制，将侵犯未成年人权益线索受理平台与“一网统管”相结合，针对不予报告的单位和个人，制定相应追责机制；第二，加强司法机关与政府各职能部门的信息协同，整合信息资源力量，及时发现、及时转送涉未成年人权益案件的线索；第三，建立一站式取证场所，并完善配套机制，降低取证门槛；第四，做好强制报告与处置干预的保障工作，宣传并落实法律监督职能。