未成年人网络保护中的企业合规实践与制度完善

邵 聪

（苏州大学王健法学院，江苏苏州 215006）

当今，互联网企业尤其是大型网络平台服务提供者，在国内外企业合规的浪潮下面临着建立合规体系的压力。首先，我国互联网企业因涉嫌犯罪或者为防范刑事法律风险而需要建立刑事合规体系。例如，上海市检察院要求涉案互联网企业进行合规整改，并推动政府部门、司法机关及30余家互联网企业深入落实《普陀区互联网企业合规共识框架》［1］。其次，我国互联网企业因涉嫌行政违法或者为防范行政违法而需要建立行政合规体系。例如，对于一些大型互联网企业的合规问题①如芒果TV向未成年人推送低俗信息及游戏。，我国行政监管部门进行了通报并要求其实施合规整改［2］。最后，我国互联网企业在境外经营上面临着更大的合规压力。例如，2023年9月15日，欧盟以TikTok在儿童数据安全保护方面违反《欧盟通用数据保护条例》并导致儿童隐私泄露为由，重罚该公司27亿元人民币，并要求其在3个月内进行有效的合规整改［3］。

此外，建立针对未成年人保护的合规体系，是互联网企业合规的一项基本要求。《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）和《中华人民共和国未成年人保护法》（以下简称《未成年人保护法》）等法律法规规定了互联网企业保护未成年人的相应义务。全国互联网信息办公室（以下简称“网信办”）在2023年8月出台的《移动互联网未成年人模式建设指南（征求意见稿）》更是要求互联网企业逐步建立未成年人模式，以防止未成年人沉迷于互联网或者受到互联网的不良影响［4］。

目前，学术界关于互联网企业未成年人保护合规的研究大致包含以下两个方面。一方面，部分研究者探讨了现行法律在未成年人保护问题上对互联网企业提出的要求。有学者认为，《未成年人保护法》等法律法规在未成年人网络安全保护上的行政规制主要体现在规制主体、规制实施、规制问责三个要素层面［5］。也有学者认为，在未成年人个人信息的保护上，要坚持“公共利益＞未成年人利益＞企业利益”的排序［6］。另一方面，部分研究者探讨了互联网企业在未成年人保护上的实践现状、存在的问题及其对策。有学者认为，当下我国网络平台的青少年模式存在国家统一标准和相关规则缺失等问题，为此应当采取制定青少年模式国家统一标准等措施［7］。另有学者认为，当前移动互联网应用的儿童网络保护措施主要实现了防沉迷、内容管理的功能，而隐私保护、年龄识别仍需在制度体系、合规程度等层面上进行完善［8］。总之，学术界的这些讨论虽然对本文的研究主题有所启发，但是还没有将互联网企业的未成年人保护义务上升到企业专项合规的高度来进行讨论。我国互联网企业在未成年人保护上，需履行哪些合规义务，应遵循哪些合规原则？当前互联网企业的未成年人保护制度存在哪些问题，需要在哪些方面进行完善？本文将围绕这些问题逐一进行探讨。

一、企业的未成年人网络保护义务

近年来，我国越来越重视互联网企业的未成年人保护义务。2020年修订的《未成年人保护法》的一大亮点在于新增“网络保护”专章，正式搭建家庭保护、学校保护、社会保护、网络保护、政府保护、司法保护“六位一体”的未成年人保护体系。从此部法律和其他相关规范性文件来看，在未成年人网络保护方面，我国法律着重督促企业承担以下合规义务。

（一）保护个人信息义务

互联网企业对于其未成年用户的个人信息，均有保护的义务；对于未满14 周岁未成年人的个人信息，应视为敏感信息，由专人负责，遵守更为严格的处理规则。《未成年人保护法》第七十二条、第七十三条对未成年人个人信息保护作出专门规定，确立了信息处理者通过网络处理未成年人个人信息时应当遵循的基本原则——合法、正当和必要。2021 年，国务院办公厅发布的《中国反对拐卖人口行动计划（2021—2030）》进一步提出，应当“监督网络平台切实履行信息生态管理主体责任，切实做好儿童个人信息网络保护，不得违法收集、使用、披露儿童个人信息”。

我国法律规范正在逐步对互联网平台的未成年人个人信息收集、使用、披露、处理等行为作出规范。根据《个人信息保护法》第五十四条的规定，作为“个人信息处理者”的互联网企业，应定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。这一条也被认为，处理个人信息的互联网企业应进行“主动”“定期”的合规管理［9］。《个人信息保护法》第五十八条规定，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当建立个人信息保护合规制度体系，并且成立由外部成员组成的独立机构对个人信息保护情况进行监督，对于严重违规处理个人信息的产品和服务提供者还负有“停止服务”的监督惩戒义务。国家网信办发布的《儿童个人信息网络保护规定》第八条规定，互联网企业应当设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护。

除前述文件外，2023年8月，为指导、规范个人信息保护合规审计工作，国家网信办起草完成《个人信息保护合规审计管理办法（征求意见稿）》并向社会公开征求意见。从征求意见稿内容来看，一方面，立足互联网企业视角，它对作为“个人信息处理者”的互联网企业，提出“处理超过100万个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计”的要求；另一方面，立足执行个人信息保护合规审计的专业机构视角，就合规审计参考要点来说，审计范围和操作方式被进一步细化规范，其中对于未成年人个人信息，合规审计参考要点第十三条明确将其列入“敏感个人信息”范围，并要求审计时重点审查处理相关信息是否以经相关主体监护人同意为前提。

（二）防止沉迷义务

网信办当前重点打击的互联网企业不合规行为主要包括：其一，诱导未成年人长时间观看直播短视频；其二，利用算法向未成年人集中推送诱导沉迷内容，形成信息茧房；其三，通过聊天交友、虚拟空间装饰等娱乐功能诱导未成年人消费；其四，违规提供网络游戏账号租售服务，教授未成年人破解防沉迷系统、绕过青少年模式［10］。由此可见，网信办重点打击的是互联网企业诱导未成年人沉迷网络的行为。

根据《未成年人保护法》第七十四条的规定，在线视频、直播或者游戏类型的互联网产品提供者，不得引诱未成年人陷入沉迷状态，并且应当通过限制使用时间、权限和消费等方式积极防止未成年人沉迷。该法第七十五条继续规定，网络游戏服务提供者应当建立网络游戏电子身份识别系统以有效“识别”未成年人，并且不得在每天22点至次日8点向未成年人提供网络游戏服务。值得注意的是，该法第七十条、第七十一条、第七十四条和第七十五条的规定意在建立一个包括学校、父母和互联网企业的“防沉迷社会系统”，以有效防止未成年人陷入网络沉迷。这套系统可能还隐含着互联网企业识别网瘾少年并向学校、父母告知的义务，否则这套系统的各个主体之间会存在孤立和割裂的现象。因此，青少年网络沉迷问题的治理，需要政府、社会、学校、家庭和青少年五个方面的共同努力［11］。

（三）内容审查和推送义务

互联网服务提供者有义务审查本平台或者本平台用户上传的文字、图片和音视频等内容是否会对未成年人产生不良影响，并且有义务向未成年人推送有益内容。具体来说，其一，对未成年人实施侮辱诽谤等网络欺凌的内容，互联网企业应当及时制止，防止信息扩散①参见《未成年人保护法》第七十七条。。其二，对于危害未成年人身心健康的信息，互联网企业不仅应当删除、屏蔽，还应当将发布者信息报告网信、公安部门②参见《未成年人保护法》第七十九条、第八十条。。何为“危害未成年人身心健康”的信息，网信办根据《未成年人保护法》第六十七条规定的“确定可能影响未成年人身心健康网络信息的种类、范围和判断标准”进行归类，具体分为“有害内容”和“不良内容”。其中“有害内容”包括以谐音字、变体字等传播色情、赌博、迷信等，“不良内容”包括丑化学校形象和激化师生矛盾的主体剧情演绎类视频等［12］。目前，头部互联网企业字节跳动在抖音等短视频平台已开展了庞大的合规工作，据抖音统计，其2022 年日均拦截诈骗未成年人等高风险行为的数量为10.8 万次［13］。其三，互联网企业应当根据未成年用户所处的年龄段向未成年人推送健康有益的内容。国家网信办在《移动互联网未成年人模式建设指南（征求意见稿）》中提出，互联网信息服务提供者应为未成年人提供“分龄内容服务”，如给不满3 周岁的幼儿推荐儿歌和启蒙教育内容，给12－16 周岁未成年人推送通识教育、学科教育、知识科普、生活技能、具有正向引导意义的娱乐性内容等［14］。

（四）其他义务

除前述内容外，互联网企业仍需参考网信办和其他部门发布的法律法规、典型案例和合规指引等进行整改，相对重要的合规义务包括如下内容。

首先，处置涉诈有害信息，整治针对未成年人的诈骗犯罪。互联网诈骗犯罪已成为新型和高发的犯罪类型。未成年人容易轻信陌生人，受骗可能性高。国家网信办发布了一批典型案例，并要求QQ、快手等网诈高发的平台持续排查涉诈信息、群圈、账号，建立账号监测预警机制，完善诈骗举报机制，对有诈骗漏洞的业务和技术进行整改等［15］。

其次，监控和治理“隔空猥亵”犯罪行为。目前，高发的隔空猥亵行为主要有如下三种：一是借“个性交友”“童星招募”“有偿收图”等名义，诱骗或胁迫未成年人进行在线裸聊、做出淫秽动作、提供裸照视频等；二是通过群组、私信等渠道向未成年人发送色情图片、淫秽语言；三是在涉未成年人账号、文章页面发布低俗色情跟帖评论，诱导不良交友或实施性引诱［16］。互联网平台有义务监控此类行为，在发现未成年人可能受到犯罪行为侵害时，有“阻断犯罪”“帮助取证”和“报告公安”的义务。

最后，加强“饭圈”乱象治理，严控未成年人参与。根据国家网信办2021 年发布的《关于进一步加强“饭圈”乱象治理的通知》的要求，互联网平台应当“严禁未成年人打赏，严禁未成年人应援消费，不得由未成年人担任相关群主或管理者，限制未成年人投票打榜，明确明星粉丝团、后援会等线上活动不得影响未成年人正常学习、休息，不得组织未成年人开展各种线上集会。”［17］

二、未成年人网络保护中的企业合规原则

新修订的《未成年人保护法》明确规定了最有利于未成年人原则和国家责任原则。其中，最有利于未成年人原则是“儿童利益最大化原则”的中国化表达［18］，是指导与未成年人利益相关的一切活动的基本准则［19－20］。但笔者认为当前还应当关注协同确立区分对待原则和比例原则。其中，前者可以充分考虑到未成年人特殊的身心发育特点，并能够协调运用现有的其他未成年人权利保护机制，如监护制度、合适成年人制度等；后者则可以考虑到企业在市场经济环境中的私权利主体身份，因此不能一味地遏制其对经济利益的追求。

（一）根本遵循：最有利于未成年人原则

《未成年人保护法》第四条提出保护未成年人应当坚持最有利于未成年人原则，具体内容包括：“给予未成年人特殊、优先保护；尊重未成年人人格尊严；保护未成年人隐私权和个人信息；适应未成年人身心健康规律和特点；听取未成年人意见；保护与教育相结合”。最有利于未成年人原则移植自1989年联合国大会通过的《儿童权利公约》，在有些国家也被称为“儿童利益优先原则”。这一原则在本土化后，内涵逐渐变得丰富，但仍需在与本土文化、价值、法律传统不断融合的基础上进行具体的阐释［21］。

具体而言，最有利于未成年人原则在我国主要包括以下六项内容。其一，给予未成年人特殊、优先保护。这种保护投射了“国家亲权”的理念，允许国家为保护未成年人对企业进行适当干预［22］。其二，尊重未成年人的人格尊严。从正面来讲，这是指承认未成年人的人格自由、人格平等、人格独立和人格尊严，保障未成年人个性的自由发展；从反面来讲，这是指警惕未成年人在对互联网的依赖中可能出现的网络暴力、网络歧视等现象［23］。其三，保护未成年人隐私权和个人信息。其四，适应特定年龄段未成年人的身心健康需求。性别或者年龄段不同的未成年人在心理成熟程度上并不相同，应当根据各自的特点进行区别对待。其五，听取未成年人意见。这一原则要求制度的设计要保障未成年人的参与，比如通过设计一些听证程序来保障未成年人的意见得到反馈。其六，保护与教育相结合原则。在保护层面，要防止未成年人受到网络霸凌、网络诈骗或者隔空猥亵等违法犯罪行为的侵害；就教育层面而言，要给未成年人多推送积极向上的内容，引导未成年人树立正确的世界观和人生观。

（二）聚焦重点：区分对待原则

区分对待原则要求基于保障未成年人健康成长的目标，根据未成年人心智和世界观不成熟的特点，对未成年人与成年人进行区别对待，以及对不同年龄段的未成年人进行区别对待。

一方面，对成年人和未成年人进行区别对待。其一，智能终端产品的制造者、销售者应当在产品上安装未成年人网络保护软件。这是《未成年人保护法》第六十九条提出的要求，而《移动互联网未成年人模式建设指南（征求意见稿）》进一步要求移动智能终端提供者、应用程序提供者以及应用程序分发平台提供者等相关主体建立未成年人模式。其二，在防沉迷和限制打赏等领域提出更严格的要求。互联网企业不得引诱未成年人沉迷于互联网，在游戏、直播等领域应对未成年人进行相应的时间管理、权限管理和消费管理。服务未成年人的在线教育网络产品和服务，不得插入网络游戏链接或者推送广告①参见《未成年人保护法》第七十四条。。其三，对未成年人个人信息提供更大力度的保护。互联网服务提供者发现未成年人通过网络发布私密信息的，应及时提示并提供必要保护②参见《未成年人保护法》第七十三条。。

另一方面，对不同年龄段的未成年人也应当区别对待。从1岁到不满18周岁的未成年人涵盖5个年龄段，包括不满3周岁、3周岁以上不满8周岁、8周岁以上不满12周岁、12周岁以上不满16周岁以及16周岁以上不满18周岁。其中，3岁幼儿和17岁高中生的心理特征和知识需求必然不相同。对于不同年龄段的未成年人，互联网企业应当设置不同的下载权限、使用时长以及推送内容。基于前述情况，目前已出台多项分龄合规要求。2021年发布的《文化和旅游部办公厅关于加强网络文化市场未成年人保护工作的意见》第四条规定，“网络文化服务提供者不得为未满16周岁的未成年人提供网络直播发布者账号注册服务，对年满16周岁的未成年人提供注册服务应当依法认证身份信息并征得监护人同意。”国家网信办2023年8月2日公布的《移动互联网未成年人模式建设指南（征求意见稿）》要求，移动互联网应根据不同年龄段的未成年人身心发展特点，通过评估产品的类型、内容与功能等要素，为不同年龄段用户提供适合其身心发展的信息和服务。

（三）利益权衡：比例原则

互联网企业的未成年人保护合规应符合比例原则。在企业合规领域，比例原则具有丰富的内涵［24］，包括获取和处理个人信息符合必要原则，合规改造的模式和有效性标准与企业类型、规模和业务范围等相适应，监督合规整改的主体与企业规模相适应，等等［25］。

其一，互联网企业处理个人信息，应当符合必要原则。《个人信息保护法》第五条和第六条规定，处理个人信息应当遵循“必要”原则，收集个人信息应当限于实现处理目的的最小范围。对于未成年人个人信息的处理，更应当符合必要原则，在非必要时不收集未成年人个人信息，处理未满14周岁未成年人个人信息应征得家长或监护人同意，并且严格监管本平台视频博主对于未成年人信息的获取和使用［26］。

其二，互联网企业合规整改有效的标准应当与“涉案企业类型、规模、业务范围、行业特点以及涉罪行为等因素相适应”①参见《涉案企业合规建设、评估和审查办法》第十五条。。《涉案企业合规建设、评估和审查办法》规定，大中型企业有效合规须满足合规风险识别、违法行为处置、管理人员配置、人力物力保障、监测举报等机制构建和合规文化形成等六个层面的要求，小微企业合规有效性评估则可将重点放在“合规承诺的履行、合规计划的执行、合规整改的实效”三个基本方面。中国中小企业协会发布的《中小企业合规管理体系有效性评价》同样在中型企业和小微企业之间划了一道明确的分界线，采取了一种对大中企业和小微企业合规有效性标准进行二元化区分的模式［27］。

其三，互联网企业合规整改的监督主体，应当与企业规模相适应［28］。根据《个人信息保护法》第五十八条规定，符合特定特征的个人信息处理者，必须有由外部成员组成的独立监督机构负责监督企业完成合规建设。根据此要求，大型互联网企业在接受网信办等行政监管机关监督之外，还应当建立独立监督机构，以监督企业处理个人信息的方式和过程。

三、未成年人网络保护中企业合规的实践困境

如前所述，当前我国互联网企业在未成年人保护方面应当履行的义务以及应当遵循的原则都相对清晰，但整体而言，相关的合规制度仍存在一些问题。

（一）相关合规文件零散

在互联网企业未成年人保护合规领域，长期存在规范层级低且规范零散的问题［29］。2020年《未成年人保护法》修订前，有关未成年人网络行为的时间限制、消费限制、内容审查等均由低级别规范性文件加以规制。比如，2002年2月，国务院发布《关于进一步加强和改进未成年人思想道德建设的若干意见》，对游戏内容和上网场所进行规制；2010年，当时的文化部发布《网络游戏暂行管理办法》，要求互联网游戏经营企业履行预防未成年人沉迷的义务。虽然新修订的《未成年人保护法》对互联网企业的未成年人保护合规义务进行了宏观规定，但仍然依赖网信办等部门公布的条例、通知或者典型案例进行细化，比如网信办发布的《关于进一步加强“饭圈”乱象治理的通知》《关于开展“清朗·2023年暑期未成年人网络环境整治”专项行动的通知》《清朗·2023年暑期未成年人网络环境整治”专项行动曝光第一批典型处置案例》等。目前，网信办仍在征求意见的《移动互联网未成年人模式建设指南（征求意见稿）》等未来亦会成为互联网企业建立未成年人保护合规机制的重要依据。

（二）行政合规与刑事合规体系割裂

一方面，网信、公安、文化和旅游、新闻出版、电影、广播电视等诸多部门，都有权对互联网企业经营过程中涉及的数据和内容等进行监督，并要求相关企业按要求进行合规整改。作为最主要的监管机构，网信部门依据相关法律法规，通过发布通知和典型案例等方式，要求互联网企业进行合规改造［30］。对于未建立合规体系或者有违规行为的企业，可以依据《中华人民共和国网络安全法》（以下简称《网络安全法》）和《个人信息保护法》等进行处罚。违规行为性质严重的，可以由公安机关要求关闭用于实施违法犯罪活动的网站、通讯群组，对相关人员处以行政拘留，或者冻结相关财产等［31－32］。《个人信息保护法》第五十八条要求，提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者不仅应自行建立“个人信息保护合规制度体系”，还应当成立“由外部成员组成的独立机构对个人信息保护情况进行监督”①可理解为一种互联网企业出资但具有独立地位的第三方监督组织。。之所以有前述规定，主要是各级网信办公职人员数量有限，无法形成对庞大的互联网企业的有效监督［33］。实践中，网信办尚未建立与互联网企业的常态沟通机制，更多是待问题严重后采取“运动式执法”予以修补，容易形成“一管就死，一放就乱”的尴尬境地［34］。目前，这种“外部独立机构”仍然面临立场不中立、履职不积极等诸多问题，无法成为监管部门监督互联网企业合规的“好帮手”。

另一方面，最高人民检察院于2020 年启动涉案企业合规试点，目前这项改革已铺开至全国，刑事涉案企业合规案件办理数量已超过5000起［35］。自2021年起，我国有关部门先后出台《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》《〈关于建立涉案企业合规第三方监督评估机制的指导意见（试行）〉实施细则》《涉案企业合规第三方监督评估机制专业人员选任管理办法（试行）》和《涉案企业合规建设、评估和审查办法》四份规范性文件，针对大型涉案企业逐步建立起由企业自行合规整改、第三方组织进行监督和评估、检察院进行合规有效性审查的制度［36］。如今涉案企业合规已深入刑事审查起诉和审判阶段，依托立场上中立、技术上专业的第三方组织对涉案企业合规整改进行监督评估。

当下的问题在于，行政合规体系与刑事合规体系的衔接机制未建立。由设在各级工商联的第三方管委会抽选产生的第三方组织虽然相对成熟，但基本仍在刑事涉案企业合规的程序框架下发挥作用，未能在互联网企业的日常合规和行政涉案合规中发挥作用。而《个人信息保护法》所要求的重要个人信息处理者要组建独立机构对自身合规进行监督，目前改革试点仍不成熟，保障此独立机构之独立性亦成问题。

（三）青少年模式效果不明显

青少年模式是指国家网信办在视频、社交、直播、游戏等网络平台上线的青少年防沉迷系统。在青少年模式下，用户的使用时长、服务功能和消费权限等会受到限制。例如，青少年用户在此模式下无法使用打赏功能，夜间无法进行游戏。2019年3月，国家网信办组织抖音、快手等短视频平台试点青少年模式，后逐渐在各网络平台推广［37］。该模式依赖大流量平台的自我监管，互联网企业需要聘用专门人员，建设青少年模式下的用户识别、内容池建设和投诉反馈等机制。

遗憾的是，青少年模式在现实中并未起到应有的作用，目前存在的问题主要包括：其一，保护模式形同虚设，青少年只需要一个“身份证生成器”就可破解青少年模式。其二，许多互联网平台对青少年用户的认证并不积极。其三，青少年模式下的内容池建设不完善，有的导致内容缺乏吸引力，还有的内容池里存在不适合青少年接触的信息［38］。其四，互联网平台面对流量诱惑，以吸引青少年浏览为导向，使得自我监管机制失效［39］。在青少年内容池的建设上，目前仍存在吸引流量与教育导向之间的冲突，以及互联网平台海量内容加重互联网企业审核成本的问题。

四、未成年人网络保护中企业合规制度的完善

针对前述互联网企业未成年人保护合规存在的问题，可以从以下三个方面进行制度完善。

（一）发布多部门合规指引和本部门典型案例

针对互联网企业的未成年人合规保护要求，我国已经出现了多部门联合发布规范性文件的先例。2020年8月，教育部、国家新闻出版署、中央网络安全和信息化委员会办公室、工信部、公安部和国家市场监督管理总局六部门发布《教育部等六部门关于联合开展未成年人网络环境专项治理行动的通知》，对互联网企业建立青少年防沉迷系统等合规义务作出了规定。但该文件的内容非常笼统，对互联网企业合规的参考性有限。2023年9月11日，深圳市检察院、网信办、发改委、司法局和数据交易所发布了《深圳市企业数据合规指引》，该文件共77条，包括合规组织建设、合规制度建设、数据处理流程和数据跨境合规等，对当地的互联网企业数据合规提供了较为全面细致的指引。从未来发展趋势看，多部门如果就某领域问题协同发布合规指引（或者要求、通知），能够有效凝聚各部门的共识与合力，使得互联网企业合规依据更加明晰和简化，企业合规改革的推进更加顺利。就未成年人保护领域合规指引而言，应当明确，必须由企业通过合规整改实现未成年人保护目的的具体场景，并对互联网企业进行分类管理。对企业的具体要求主要包括：其一，所有企业的一切商业行为，涉及收集、使用、处理未成年人信息的，都应当遵循必要性原则；其二，所有企业的一切商业行为，涉及未成年人利益的，即使监护人同意放弃未成年人利益，企业方也应当优先考虑是否必要以及能否实现未成年人利益最大化，此时，未成年人一旦提出反对意见，企业也应当充分考虑；其三，游戏开发平台、视频发布平台、社交软件等未成年人接触较多的娱乐性较强的网络服务平台，应当充分履行内容审查和推送义务、防沉迷义务；其四，诈骗、网络暴力等犯罪高发的网络平台的提供者和管理者，应当预防性地配置未成年人保护相关监控、报告等技术措施，配合建立取证机制，为发现和治理相关违法活动提供必要支撑；其五，所有互联网企业都有义务保障未成年人的生存权和发展权，并为具体权利的实现提供帮助与支持。在合规整改过程中，除依照一般的合规指引规则外，还应当从未成年人利益出发，建立一些特殊的指引规则，比如，作为敏感信息的未成年人信息非必要不得向包括第三方监管组织在内的其他主体披露，如果必须披露，需要经过检察机关同意，并作隐名处理；再如，需要向信息主体征求意见时，一般询问未成年人监护人意见，但如果未成年人本人心智成熟且有发表意见的意向时，也可以听取未成年人意见；又如，未成年人保护合规的第三方监管组织可以适当引入妇联、团委、检察院未检部门等单位中长期从事未成年人保护工作的人员。

各互联网监管部门发布了一些合规典型案例，对于推进互联网企业合规体系建设具有重要意义。作为主要的互联网监督机构，国家网信办发布典型案例，有助于督促互联网企业落实合规责任，完善相关制度或技术［40］。比如在涉未成年人网络诈骗领域，国家网信办发布了一批典型案例，将未成年人被诈骗的典型情况如免费送皮肤、引诱刷单、免费抽奖、交易游戏账号等进行通报，并通报了个别社交或短视频网站存在的技术漏洞可能导致诈骗发生［41］。在刑事涉案合规领域，最高检同样公布了关于互联网企业合规的典型案例。2019年，上海市Z公司非法使用网络技术获取E公司的外卖平台数据，带来的直接经济损失达4万余元。后涉案公司开展合规整改，检察院对该公司及责任人均作出了不起诉决定［42］。对互联网企业负有监管职责的部门可就本部门监管范围内的事项发布典型案例，为互联网企业避免典型问题、抓住关键漏洞提供参考，推动互联网企业更好地实施合规整改。

（二）建立行刑衔接的合规体系

建立互联网企业未成年人保护合规的行刑衔接体系，关键在于解决当下两套体系之间制度建设割裂、部门沟通不畅和程序衔接困难的问题。

一方面，应当将当下在刑事涉案企业合规轨道下建立起来的第三方监督评估机制运用到行政合规中去。目前，刑事涉案企业合规改革中已经建立了第三方监督评估组织，由设在各级工商业联合会的第三方管委会负责抽选产生，第三方管委会由检察院、工商联、司法局、财政局等联合商议组建。笔者建议，未来网信部门、公安机关、法院和文旅部门等互联网企业监督机关可以加入其中。对于根据《个人信息保护法》第五十八条需要成立“外部独立机构”进行监督的重要互联网企业，可以由第三方管委会抽选数据合规方面的人才对该企业的合规进行监管。成立第三方组织的费用，由第三方管委会计算后，要求互联网企业提交到第三方管委会的专门银行账户中，由第三方管委会负责代为发放。

另一方面，需要理顺行政合规与刑事合规之间衔接的程序。其一，针对实施有效合规整改的涉罪企业，检察机关应当有权向行政监管部门提出予以从宽处罚的建议。《深圳市企业数据合规指引》第三条“涉案企业合规从宽”第二款即有类似规定，对于涉案企业合规建设评估有效、符合行政处罚法规定条件的，可以向有关主管机关提出从轻或者减轻行政处罚等建议、意见。其二，针对建立了有效合规管理体系、所涉犯罪系偶然发生的涉案企业，行政监管部门应有权向检察院建议不起诉、不逮捕或者提起轻缓的量刑建议［43］。

（三）建立未成年人模式

过去建立的青少年模式发挥了一定的积极作用，但近年的实践中仍然存在诸多难以解决的问题。为了进一步提升保护效能，《未成年人网络保护条例》第二十条和第四十三条对于大型平台互联网企业和网络游戏、网络直播等互联网企业提出了建立未成年人模式的要求。参考国家网信办已发布的《移动互联网未成年人模式建设指南（征求意见稿）》，青少年模式将全面升级为未成年人模式，覆盖范围由APP扩大到移动智能终端、应用商店，实现软硬件三方联动，方便用户一键进入未成年人模式，从而为未成年人营造健康的网络环境。从该征求意见稿的内容来看，其中的“一键启用”“软硬件三方联动”“分龄对待”等内容能够在一定程度上补足青少年模式的缺陷。但目前来看，仍然可以从以下几个方面进行完善。

其一，进一步明确要求，重要互联网平台和用户数量巨大、业务类型复杂的未成年人信息处理者等主体，应当接受市级或者省级第三方合规管委会选任的第三方组织的监督。该第三方组织有责任监督和评估该互联网企业“未成年人模式”建设的有效性，且须每年向本级网信办提交监督评估报告。

其二，在《个人信息保护法》《未成年人保护法》《网络安全法》授权或者解释的范围内，于《移动互联网未成年人模式建设指南（征求意见稿）》中进一步明确互联网企业不履行合规义务的法律责任。

其三，建立更为集约化的未成年人身份验证方式。每个互联网企业均各自识别和验证未成年人信息的做法，不仅极大增加了互联网企业合规成本，还加剧了信息泄露的风险。鉴于此，可以由国家网信部门主导建立“一站式”未成年人身份识别管理平台，并依托该平台建立相应的保护制度［44］。这一官方集约化的未成年人验证模式，配合目前拟建立的未成年人模式，能够更好地将相关保护机制应用于未成年用户。

其四，引导互联网企业建立行业自律组织，制定行业规则［45］。目前，我国互联网行业的未成年人保护缺乏统一管理的行业组织和统一适用的行业规则。我国应当组建由政府官员、企业代表、专家学者等参加的互联网企业未成年人行业协会，并由行业协会制定未成年人保护行业标准，一方面为互联网企业提供规范指引，另一方面对失范行为规定相应的惩戒措施。