基于《个人信息保护法》完善未成年人个人信息法律保护体制

■江雯菁，李 鑫

（福建师范大学，福建 福州 350000）

一、域外未成年人个人信息保护的立法现状——以欧盟和美国为例

（一）欧盟《一般数据保护条例》（GDPR）

《一般数据保护条例》是欧盟出台的一部关于数据和隐私保护的法规，其中包含未成年人个人信息保护条款。其通过对未成年人提供服务的年龄限制、特殊的同意规则，以及赋予数据主体权利等方式保护未成年人个人信息[1]。

1.年龄的限制

《一般数据保护条例》将16周岁作为未成年人数据处理合法的年龄界限，同时赋予各成员国一定的自主权，可以根据现实社会情况降低年龄界限，但不得低于13周岁。

欧盟以13周岁为年龄底线，认为13周岁以下的未成年人身心不够成熟，不具有充分的个人信息处理能力，需要通过对监护人、数据处理者加以特殊的责任来进行未成年人个人信息保护。

2.特殊的同意规则

由于未成年人不具有成熟的个人信息自我决定能力，需要国家通过法律方式特别保护，规定了特殊的同意规则。若未成年用户未达到规定的年龄，则只有在父母或其他监护人的同意或授权下，数据控制者对未成年用户的数据处理才是合法的。同时，数据控制者要证明其获得了父母或监护人的同意，以避免矛盾发生时的责任纠纷。

监护人的同意是数据控制者处理未成年人数据的前提，但条例并未明确规定同意的核实方式，让此条款难以在实践中得以落实。

3.赋予个人权利

欧盟采用的是统一立法的模式，将未成年人与一般主体的个人信息保护纳入同一法律，故在条例中赋予数据主体的个人权利同样适用于未成年人。

《一般数据保护条例》赋予用户广泛的权利，包括数据透明权、拒绝权、被遗忘权、修正权、限制权、数据便携权等。诸多权利中，数据透明权、被遗忘权与儿童个人信息保护息息相关。数据透明权要求相关信息要以儿童易于理解为标准，采用清楚明晰的表达方式。被遗忘权是数据主体不希望个人数据继续被数据控制者进行处理、储存，不允许在信息发布后的很长时间内可以随意查询的权利。被遗忘权属于一般主体的权利，但应着重保护未成年人，原因在于儿童即使同意数据控制商收集、储存、处理其数据，但不能完全等同于儿童的真实意愿，因为他们尚不能够完全意识到数据处理的危害性。

（二）美国《儿童在线隐私保护法》（COPPA）

美国与欧盟的统一立法方式不同，其采用分散立法，专门颁布与未成年人个人信息保护相关的《儿童在线隐私保护法》，提高了对未成年人个人信息保护的立法水平，完善了对监护人同意的核实手段，强化数据控制者的义务与责任[2]。

1.年龄的限制

《儿童在线隐私保护法》将13周岁作为年龄的界限，认为13周岁以下的儿童不具有完全的信息处理能力，应通过法律格外保护。从整体上看，美国与欧盟相比降低了年龄的界限，认为欧盟16周岁的界限一定程度上限制了部分有信息自决能力儿童的自由。

2.可验证的父母同意制度

美国与欧盟相同，对未满规定年龄的儿童的信息处理，需要获得监护人的同意，但在此基础上完善对监护人同意的核实。数据控制者对于父母的同意，可以通过邮件、电话等多种方式进行验证。

同时，《儿童在线隐私保护法》规定了监护人同意的例外情形，在保护未成年人个人信息的基础上，尊重未成年人的言论自由、信息检索和发表的权利。

3.数据控制者的义务

美国《儿童在线隐私保护法》通过强化数据控制者的义务责任，加强监管，提高儿童个人信息保护水平。法律规定数据控制者的首要责任是获得可验证的监护人同意，这是数据控制者提供服务给13周岁以下儿童的前提；其次是履行告知义务，告知父母相关的信息，提供相关途径和方式便利父母知晓儿童信息处理情况；最后是保障父母权利的行使，父母有权审核数据控制者的信息处理情况，对威胁儿童隐私的信息有权要求删除。

二、我国未成年人个人信息保护的立法现状

（一）在民法体系构建下产生

早期，我国规范个人信息的法律法规少之又少，专门保护未成年人个人信息的法律更是处于空白状态。我国的个人信息领域治理主要是以《民法典》为核心，配合其他的部门法加以管制。

《民法典》在人格权编中规定了个人信息保护的相关内容，明确了个人信息的概念、处理原则以及相关民事责任。《民法典》中将个人信息与隐私权归为同一章，共同归属于人格权编，并未将其单列为独立的权利进行保护。

2020年，《未成年人保护法》通过修订，新增网络保护内容，我国未成年人网络保护发展到一个新的阶段[3]。新增内容中规定了数据控制者对于不满14周岁未成年人个人信息的处理，除特殊情况外，应征得监护人的同意；同时要求网络服务提供者履行提示义务，对未成年人私密信息采取必要的保护措施。《未成年人保护法》相较于《民法典》强调了监护人与网络服务提供者的义务责任，进一步细化未成年人个人信息保护的规定。

《民法典》及《未成年人保护法》对未成年人的保护多是现实生活的保护，关于虚拟网络空间的个人信息保护并未专门独立进行立法，而是以部分条款的形式分散于民法体系中。

（二）在《个人信息保护法》推进下完善

《儿童个人信息网络保护规定》是互联网发展催生的产物，以网络空间为背景，是我国首部有关儿童个人信息网络保护的专门立法，努力实现对未成年人各领域保护的全覆盖。但《儿童个人信息网络保护规定》的内容在一定程度上多是笼统性的意见，部分规定较不成熟，还缺少具体可行的操作机制。而且《规定》属于部门规章，法律效力位阶较低，在实际适用上不具有较大的影响力。

2021年11月1日，《个人信息保护法》施行。《个人信息保护法》对个人信息进行分类，将不满14周岁未成年人的个人信息划分为敏感个人信息，实施特别的保护规则。特殊保护规则主要体现在个人信息处理者要取得未成年人父母或者其他监护人的同意，同时要制定专门的个人信息处理规则，区别对一般主体的处理规则。

《个人信息保护法》虽弥补了《儿童个人信息网络保护规定》效力低的缺陷，但二者在内容上都是一般规定，实际操作性较低。总体上看，二者都适应了大数据时代的快速发展，将视野从现实社会转向虚拟空间，初步制定了较全面、有力的未成年人个人信息保护规则，为我国不断完善未成年人个人信息法律保护体制奠定基础。

三、完善未成年人个人信息法律保护体制的必要性

（一）大数据时代的现实需求：儿童信息频遭泄露

近年来的报告显示，我国未成年网民达到1.83亿人，互联网普及率为94.9%。“互联网+”时代延伸至未成年群体。未成年人通过网络游戏、智能手机、智能手表等形成海量的数据信息，成为数据控制者牟利的工具，未成年人个人信息在网络上“裸奔”，花钱买信息的现象屡见不鲜。

1.网游实名制收集个人信息，未成年隐私保护存在隐患

为了更好地管理网络空间，网络实名制应运而生，在此基础上，更为严格的网游实名制产生。未成年人是网络游戏的主要用户，构建未成年人防沉迷系统是网游实名制的推力之一，每个用户都必须完成实名认证，对未成年用户提供有限制的服务。在网游实名制下，游戏运营商收集未成年用户的个人信息，包括个人姓名、出生年月、身份证号码、电话号码等，这些个人信息具有高度可识别性。个人信息关系用户隐私，且游戏运营商存在规模参差不齐的问题，在高利润诱惑面前，不少运营商违法贩卖未成年的个人信息，未成年人隐私保护存在隐患。

2.算法自动化决策处理数据，影响未成年人信息自决权利

近年来，随着大数据时代不断深入，以算法自动化决策为代表的数据处理技术广泛运用于生活当中，在带来便利与个性化信息的同时，个人信息的私密与安全性遭到威胁。

2021年3月，快手公司侵犯儿童个人信息案公开审判，作为我国首例未成年人网络保护民事公益诉讼案件，具有指导性意义。该案反映了现在多数APP运营商没有按照相关法律规定在征得监护人同意的前提下收集、储存未成年人个人信息，且在没有监护人授权的情况下向具有相关浏览喜好的用户直接推送含有未成年人个人信息的内容，同时也没有采取技术手段对儿童信息进行专门保护。

（二）体系完善的制度需求：规定笼统可操作性不强

目前我国关于未成年人个人信息保护的法律法规，主要是以条款的形式在《民法典》《未成年人保护法》《个人信息保护法》中零星出现，而专门规制的《儿童个人信息网络保护规定》又因法律效力位阶低，影响力有限，尚未形成有效的未成年人个人信息保护的法律体系。

在内容方面，现有的法律规定较笼统，可操作性不强。首先是年龄的限制，我国明确了未成年人个人信息保护的年龄界限是14周岁，年龄是未成年人是否具有信息处理能力的客观体现，不可一概而论。由于个体差异和现实社会情况不同，未成年人的心智成熟程度不同，以“一刀切”的规定进行保护不够全面。其次是监护人同意制度的实行，一方面是能否验证同意的真实性，另一方面是能否确保网络服务提供者收到同意，而现有的法律缺乏验证同意方式的具体规定，使得监护人同意制度难以落实。最后是隐私条款冗长不明确，目前各APP或网站在提供服务时，根据《个人信息安全规范》要求用户同意服务协议或隐私政策文件后才可提供服务，但文件内容冗长，未简洁明确地说明规则，且不勾选同意用户便无法享受服务，故一般用户都会忽略内容直接选择同意。文件中关于未成年人个人信息的内容并未着重加以告示，服务提供者也没有制定专门的未成年人个人信息处理规则，导致未成年人个人信息很可能在未实际获得监护人同意的情况下被收集、处理[4]。

四、基于《个人信息保护法》完善我国未成年人个人信息保护的对策和建议

目前《个人信息保护法》对未成年人个人信息以“敏感个人信息”加以专门保护，但是并未详细规定具体的实施规定，司法实践中只能通过结合其他法律引用。作为刚实施不久的法律，《个人信息保护法》适应了大数据时代的发展特点，相比其他法律较全面地涵盖了个人信息保护的内容，故可以此为基础，参考借鉴欧盟及美国儿童个人信息保护，完善我国未成年人个人信息保护。

（一）灵活调整年龄界限

各国在个人信息保护领域所设置的未成年人年龄界限不尽相同，我国明确未成年人个人信息保护的年龄界限是14周岁，但《民法典》中以18周岁划分未成年人的界限，由此可见14～18周岁的未成年人个人信息法律保护存在空缺。

未成年人心智成熟程度受家庭教育或社会环境的影响具有差异性，不能简单地将年龄限制在14周岁，应区分不同个人信息内容实施区别保护。14周岁以下的未成年人信息处理能力较弱，应对其提供全面的个人信息保护，只有在获得监护人同意的情况下才可对其信息进行收集、处理。14～18周岁的未成年人心智较成熟，有一定的信息处理能力，应赋予其自我处理的权利，但在涉及肖像照片、身份证信息、家庭住址、电话号码此类具有高度可识别性的个人信息时也应提供特殊的保护，网络服务提供者要在监护人授权的情况下才可对这类高度涉及个人隐私的信息进行收集、使用。同时，还要考虑16周岁以上以自己的劳动收入为主要生活来源的未成年人，对其应适用一般主体的个人信息保护规则。灵活调整未成年人个人信息保护的年龄界限，尽可能适应儿童心智发育的差异性，考虑不同年龄段未成年人的不同信息需求，提供较为全面的保护。

（二）构建可识别的知情同意制度

《个人信息保护法》第三十一条规定，“个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意”。我国的父母同意制度属于原则性条款，并未规定具体的获取或验证方式，可以借鉴COPPA可验证的父母同意制度，细化该条规则[5]。

监护人同意制度的关键在于同意的真实性，故构建可识别的知情同意制度至关重要。我国可以运用多种技术手段，例如邮件、交易凭证、人脸识别等方式建立一个验证系统，验证监护人的同意是出自监护人本人的真实意愿。

构建可识别的知情同意系统，需要监护人与网络服务提供者形成良性的相互配合。一方面是服务提供者履行好明确的告知义务，将相关的隐私政策以简洁、明确的方式告知监护人，并提供相应的审核未成年人个人信息处理情况的渠道；另一方面是监护人明确的同意，按照服务提供者所提供的方式验证相应的信息，作出明示的同意，避免因歧义、表达不准造成的矛盾。

（三）赋予未成年信息主体被遗忘权

《一般数据保护条例》最早对“被遗忘权”进行了明确的规定。目前，我国的相关法律法规并未明确规定“被遗忘权”，但在《个人信息保护法》中规定了个人信息删除权，但是删除权不等同于被遗忘权。被遗忘权是在删除权的基础上进一步扩大，更多体现的是一种信息自决权，数据主体有权决定其自身信息收集、储存、处理以及利用的控制权。

由于未成年人心智尚未成熟，为更好地保护其合法权益，可以赋予未成年信息主体被遗忘权，其在成年后可对未成年期间发布的涉及隐私的个人信息行使被遗忘权。未成年人的心智发育呈现阶段性的特点，心智随年龄增长逐步成熟，自我信息处理能力不断完善。当其成长到一定的年龄阶段，可能会认为先前在网络上的个人信息侵犯其隐私或其他合法权益，即使当时的信息获得了监护人的同意，但仍有权要求其先前的数据信息在网络上“被遗忘”，不被收集、处理。赋予未成年信息主体被遗忘权，是对监护人同意制度的一种弥补完善。未成年阶段由于信息处理能力的不完善，需要借助监护人来协助未成年人处理信息，但监护人的同意不能完全等同未成年信息主体的意愿，故赋予被遗忘权，在其成年后可对未成年阶段的个人信息“二次处理”，保护信息主体的自决权，完善未成年人个人信息法律保护体制。