网络时代未成年人个人信息的法律保护

张翼杰 高大天

1.山西工程科技职业大学，山西 晋中 030619；2.山西上青律师事务所，山西 太原 030024

互联网的发展丰富了未成年人的学习生活，开阔了未成年人的视野，使未成年人参与到信息网络中，但互联网常常在收集用户的信息时造成个人信息的泄露。未成年人由于心智尚未成熟，个人信息保护意识淡薄，加之未成年网民规模持续增长，“触网”年龄越来越低，其个人信息很容易被过度采集。对未成年人网络空间合法权益的侵犯，通常具有传播速度快、覆盖范围广，受害范围广泛、损害扩散迅速、受害时间持续、受害人数众多、受害方式隐秘等特点，导致个体维权成本高、途径少、效果差。未成年人及其监护人对相关侵权行为不仅难以发现、难以取证，甚至不敢维权、不愿维权。因此，未成年人个人信息网络保护面临严峻挑战。

一、未成年人个人信息保护特征

（一）未成年网民数量庞大

根据《2021 年全国未成年人互联网使用情况研究报告》显示，我国未成年网民规模高达1.9亿，互联网普及率达96.8%，呈现接触网络的低龄化趋势［1］。互联网已经成为未成年人学习、娱乐、交友等活动的主要工具，他们通过网络获取信息与知识的同时，也出现了信息泄露风险和安全隐患。

（二）未成年人自我保护意识较弱

由于未成年人年龄小、认知能力较弱、自我保护意识淡薄，不能完全正确表达其个人意思。同时未成年人尚未完全接触社会，对事物的认知不充分，不能预判他人对其个人信息进行采集和分析可能对其生活造成的影响。未成年人思维比较活跃，好奇心及可塑性较强，心灵比较脆弱，自控能力较弱，常常会在无意识情况下将个人信息泄露，极有可能受到威胁、诈骗、绑架等非法侵害，对其身心健康造成极大危害，对家庭造成不可逆的后果，导致社会秩序混乱。

（三）未成年人个人信息受侵害的风险来源较多

未成年人个人信息受侵害有来自线下，更多的是来自线上网络平台和应用软件的信息收集。在线下许多学校、社会组织或未成年人的监护人对保护未成年人个人信息认识不足、重视不够，保护机制不健全，侵害未成年人信息安全和身心健康的事件时有发生。在线上许多未成年人父母大多热衷于“晒娃”、发短视频，不知不觉中就泄露了未成年人的个人信息［2］。很多收集个人信息的应用软件，没有对未成年人尽到审慎注意义务，在隐私条款中对未成年人个人信息的相关内容未作着重提示，甚至未规定相关条款［3］，对未成年人信息没有完整保护。加之某些恶意网站在用户填写信息时，未经用户同意或在用户不知情的情况下，后台自动保存其个人信息数据，对信息进行高价售卖，严重危害未成年人个人信息及人身安全。

二、我国未成年人个人信息保护的现状

（一）相关法律及保护体系不全面

我国《儿童个人信息网络保护规定》第一次引入了未成年人在网络环境中个人信息的保护，但该规定属于网信办发布且位阶较低，缺乏权威性，难以对所有的信息控制者进行管制，可操作性不强。我国对未成年人个人信息的保护更多的是补救措施，缺乏预防措施及对侵权者的惩处措施。

（二）未成年人个人信息保护的年龄划分机制不完善

我国《儿童个人信息网络保护规定》和《个人信息保护法》中，有关儿童个人信息公开、监护人同意、敏感个人信息等规定中保护的仅为14周岁以下的未成年人，对于15 周岁到18 周岁的未成年人缺乏明确的规定。可见，我国对于不同年龄段的未成年人享有的信息处理的权利规定的不够细致，年龄划分较为粗疏，可操作性弱，不利于对未成年人个人信息进行针对性的保护。

（三）监护人同意制度的困境

对未成年人监护人应当承担保护未成年人身心健康、代管未成年人的财产、照顾未成年人的生活、代理民事活动等监督和保护的责任。但我国法律对于监护人同意方式并不清楚，在网络应用平台上弹出的隐私条款仅需点击同意按钮或签字就可以完成，这样会发生未成年人代为点击同意的情况［2］。加上网络运营商提供的隐私政策的内容通常较长，而且含有大量晦涩难懂的专业术语，监护人很难不理解其内容，也难以在短时间内捕捉到有效信息。因此，监护人常常在未充分了解隐私政策的情况下做出同意。

（四）网络平台监管部门治理不到位

目前由于各大网络应用平台竞争激烈，而未成年人会发布比较新奇的网络信息能为平台创造关注度和价值，平台监管系统大多是由本应用平台自行建立的，仅对威胁到平台利益的行为进行监督，而对网络用户对平台的申诉处理时间较长，并没有真正起到监管作用。同时监管人员没有经过专业训练，法律意识淡薄，对未成年人的信息泄露坐视不理，对于网络平台监管不力没有明确的处罚机制，增加了未成年人个人信息泄露的风险。

三、国外未成年人个人信息保护立法现状及启示

（一）美国未成年人个人信息保护的立法现状及启示

1.立法现状

1996年美国出台了《儿童网络隐私保护法》，规定未成年人个人信息受保护的年龄为13 岁，美国网络平台在收集儿童个人信息时必须按照严格程序进行，但因为其与美国宪法中规定的言论自由与匿名通信权相抵触而受质疑。随后美国于2022 年2 月出台了《未成年人在线安全法案》从技术层面对平台内容进行规范，设置了多元化的保护程序，细化了网络平台的告知责任，要求第三方机构对平台进行独立审计评估，发布公开报告。成立未成年人在线安全理事会，动员社会力量，督促平台治理。

2.对我国的启示

我国大部分网络监督平台是由本应用平台自行建立，为了增加本网站的用户流量及关注度，存在监管上包庇现象，忽视未成年人个人信息的保护。我国亟需建立与网络应用平台无利益关系的第三方监管机构对线上各个应用网页进行独立统一的评估及监督，包括对线下社会组织进行定期走访监督，真正实现对网络平台的监督。

（二）欧盟未成年人个人信息保护立法现状及启示

1.立法现状

2018 年欧盟颁布了《通用数据保护条例》，规定了商业企业不能以模糊不清、冗长、难以理解的隐私政策获取用户的信息，对未成年人个人信息保护的具体年龄各成员国根据国情设置13至16 岁不等。特别规定了用户享有的“被遗忘权”即网络用户可以要求责任方删除自己提供的个人信息，赋予网络用户对自己个人信息提供的“反悔权”，这项权利同时适用于欧盟国家的未成年人，对未成年人个人信息的提供尽管当时有监护人知情同意，但是随着未成年人成长与阅历知识的丰富，未来可能不愿意继续提供，则可行使“被遗忘权”来删除自己的个人信息。

2.对我国的启示

未成年人在每个阶段对同一件事物所表达的意思可能完全不同，且未成年人意思表达不清楚，监护人同意并不能完全等同于未成年信息主体的意愿。虽然我国在《个人信息保护法》中规定了个人信息删除权，但两者并不等同，被遗忘权更多体现的是一种用户对于个人信息自决的权利，是对监护人同意制度的一种弥补和完善［3］。为更好地维护未成年人的合法权利，可以根据我国国情借鉴欧盟关于“被遗忘权”的规定，给予未成年人更多的保护。

四、完善我国未成年人个人信息保护的建议

（一）完善未成年人个人信息保护年龄划分机制

对未成年个人信息的保护要平衡好“赋权”和“保护”之间的关系。应以未成年人的认知能力为基础，同时结合不同场景未成年人个人信息可能面临的风险，采用“年龄三分法”，对不同年龄段的未成年人赋予不同权利，采取不同保护措施。

《中华人民共和国城镇土地使用税暂行条例》[10]中明确规定：直接用于农、林、牧、渔业的生产用地免缴土地使用税。

1.针对14 周岁以下的未成年人，法律将其个人信息规定为敏感个人信息，采用最严格的保护制度，即获取14 周岁以下未成年人个人信息应获取监护人同意，可通过绑定监护人账号等方式由监护人进行授权和管理。

2.针对15 ～16 周岁的未成年人，其心智发育有些成熟，对此类未成年人应采用相对严格的保护制度，根据其个人信息应用场景不同给予差别化保护。对私密性较低的个人信息给予其自主决定权，如在线教育类、音视频类、日常生活类软件上独立开设账号、获取其昵称、设备信息、浏览记录等信息时，可由未成年人自主授权，无需经过监护人同意。而在获取未成年人IP 地址、订单信息、肖像等私密性较强的信息，以及将未成年人个人信息与第三方共享时仍然需要征得监护人同意。

3.针对17 ～18 周岁的未成年人，其心智较成熟，对此类未成年人个人信息的保护标准可以适当降低。在获取一般个人信息时只需要获得未成年人本人明示即可，但对于获生物识别信息、银行账号等敏感性较高的个人信息时，仍需获取监护人同意。

（二）完善监护人同意制度

1.明确监护人同意制度中监护人、信息管理者的义务及责任

监护人要尊重未成年人的意思表达，以未成年人的想法为行为实施的目的，不能加入监护人自己的主观臆断。14 周岁以上的未成年人已经有了清楚的个人意思表达，心智发育逐渐成熟，对一些事物有自己的认知，因此监护人应尊重未成年人表达的真正意思［4］。信息管理者在获得未成年人个人信息后，应对其信息严格保密，不能向未经授权的其他人透露被管理者的个人信息，更不能将未成年人个人信息挪作他用，加大对信息管理者违法行为的处罚力度。同时可以引入“弱者保护”规则，未成年人与其监护人可在信息收集前设置禁止收集的信息范围，以避免未成年人的部分敏感信息被商业化利用［5］。

未成年人个人信息会随着认知的增强而转变，主要体现在幼儿时期的身份信息、家庭住址等转变为少年时期的个人日记、网络空间信息、聊天记录等，再随年龄增长转变为学籍信息、网络平台注册信息等，这些信息都与未成年人的生活息息相关，甚至是最为重要的信息。建议根据未成年人发育、认知阶段的不同，设置不同的个人信息保护范围。

（三）加强网络平台监管部门管理力度

1.明确监督主体责任认定

由于我国网络平台对未成年人个人信息的保护，没有权威的监管主体进行监督，引发了众多侵害未成年人个人信息的事件。借鉴美国《未成年人在线安全法案》中关于第三方平台以及未成年人在线安全理事会等相关规定，设立一个统一的未成年人个人信息保护监督机构，充分发挥监督机构的作用。不仅对线上网络平台进行监督管理，而且对学校、医院、酒店等其他的线下的社会组织进行定期走访监督与调查。监管机构的监管人员需要经过专业的训练，学习相关法律知识，履行监督职能。各区可依照本地未成年人个人信息保护的现状、社会容纳度、群众知识普及度等，设置符合各地区发展的监督机构，对未成年人个人信息进行有针对性的监督［6］。

2.加强网络平台信息安全治理

我国正处于信息化时代，网络上各种信息都在飞速传播，未成年人的个人信息也不例外。各部门要依照法律规定，在自身权限范围内对网络信息安全事件进行有效的监控，对收集的内容进行信息共享，及时上报威胁性信息。运营单位要对网络信息安全事件进行重点监测、分析、预警和报告，主动配合主管部门的监督检查，强化对互联网平台信息安全的统一监管和高效治理［7］。

（四）加强教育宣传提升未成年人自我保护意识

建立和完善家庭、学校、社会“三位一体”的未成年人个人信息保护宣传普法教育网络。监护人应注重教育未成年人对个人信息的重视，自觉保护个人信息，做到身体力行。学校等社会组织定期举办未成年人个人信息保护的法律讲堂、活动及安全教育，加强对个人信息保护的普法宣传，增强未成年人的自我保护意识，落实“家校共育”充分发挥家庭、学校、社会的教育、引导、监督作用。