殷 峻

隨著互聯(lián)網(wǎng)技術(shù)的廣泛運(yùn)用，互聯(lián)網(wǎng)也隨之向低齡人群滲透。根據(jù)全球互聯(lián)網(wǎng)治理委員會(huì)統(tǒng)計(jì)，全球范圍內(nèi)，大約30%的網(wǎng)絡(luò)用戶年齡不足18周歲。①Sonia Livingstone, John Carr and Jasmina Byrne,“One in Three: Internet Governance and Children’s Rights”，Global Commission on Internet Governace Paper, Series No.22, p.6, http://www.cigionline.org/sites/default/f i les/no22_2.pdf, 2018年9月20日。在發(fā)布社交媒體動(dòng)態(tài)、注冊(cè)游戲賬號(hào)、郵件往來(lái)等網(wǎng)絡(luò)活動(dòng)中，兒童會(huì)留下相關(guān)的個(gè)人信息，如家庭住址、喜愛(ài)偏好、教育經(jīng)歷等，此類信息極易被網(wǎng)絡(luò)運(yùn)營(yíng)者收集和利用。由于兒童心智尚未成熟，對(duì)個(gè)人信息安全缺少判斷力，信息遭到泄露、濫用之后將導(dǎo)致個(gè)人權(quán)利受到侵害，甚至威脅到身心健康和人身安全。在網(wǎng)絡(luò)時(shí)代，通過(guò)制定較為完善的法律法規(guī)來(lái)保護(hù)兒童個(gè)人信息是發(fā)達(dá)國(guó)家的普遍做法。美國(guó)、英國(guó)、日本、新加坡、加拿大、澳大利亞等國(guó)家已經(jīng)通過(guò)制定法律法規(guī)對(duì)兒童個(gè)人信息進(jìn)行法律保護(hù)。其中，2013年7月修訂的美國(guó)《兒童網(wǎng)絡(luò)隱私保護(hù)法》（Children’s Online Privacy Protection Act，以下簡(jiǎn)稱2013年COPPA）是兒童個(gè)人信息保護(hù)立法中的典范，而2018年5月生效的歐盟《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡(jiǎn)稱GDPR）對(duì)兒童個(gè)人信息保護(hù)做出了不少創(chuàng)新規(guī)定。本文在比較分析美國(guó)、歐盟和我國(guó)法律制度的基礎(chǔ)上，探討我國(guó)法律法規(guī)中存在的問(wèn)題，提出我國(guó)兒童個(gè)人信息法律保護(hù)的完善建議。

一、兒童個(gè)人信息法律保護(hù)的法理基礎(chǔ)與立法現(xiàn)狀

（一）兒童個(gè)人信息法律保護(hù)的法理基礎(chǔ)。在網(wǎng)絡(luò)時(shí)代中，個(gè)人信息在現(xiàn)代社會(huì)的信息資源中占據(jù)重要地位，不再僅是公民私人領(lǐng)域的事物，而是引起廣泛關(guān)注的社會(huì)熱點(diǎn)問(wèn)題。①楊立新：《個(gè)人信息：法益抑或民事權(quán)利——對(duì)《民法總則》第111 條規(guī)定的“個(gè)人信息”之解讀》，《法學(xué)論壇》2018年第1期。其中，兒童個(gè)人信息安全問(wèn)題更是全社會(huì)關(guān)心的話題，兒童安全、健康的成長(zhǎng)是家長(zhǎng)和國(guó)家的期望，保護(hù)兒童個(gè)人信息免受侵害也是全社會(huì)的責(zé)任，對(duì)兒童個(gè)人信息的保護(hù)需要社會(huì)各界的支持和配合。在兒童個(gè)人信息保護(hù)領(lǐng)域，發(fā)達(dá)國(guó)家通常采取法律規(guī)范、社會(huì)保護(hù)、家庭教育和行業(yè)保障相結(jié)合的多層次綜合治理模式。在不同層次的保護(hù)方式中，法律保護(hù)居于基礎(chǔ)地位，發(fā)揮著關(guān)鍵作用。這里的法律做廣義解釋，是指通過(guò)法律法規(guī)和行業(yè)規(guī)范，明確規(guī)定兒童個(gè)人信息領(lǐng)域各方主體的權(quán)利、義務(wù)和責(zé)任，將各方主體的行為納入法律監(jiān)管的范圍之內(nèi)。

從本質(zhì)上說(shuō)，個(gè)人信息的法律保護(hù)核心在于個(gè)人信息權(quán)的保護(hù)。目前，我國(guó)民法學(xué)者認(rèn)為個(gè)人信息權(quán)屬于人格權(quán)的范疇，旨在實(shí)現(xiàn)與維護(hù)“個(gè)人”人格的獨(dú)立和健全以及精神的自主，所保護(hù)的是為自然人與生俱來(lái)并不能移轉(zhuǎn)的生命、人身與自由等利益。②齊愛(ài)民、李儀：《論利益平衡視野下的個(gè)人信息權(quán)制度——在人格利益與信息自由之間》，《法學(xué)評(píng)論》2011年第3期。信息權(quán)是本人依法對(duì)其個(gè)人信息所享有的支配、控制并排除他人侵害的權(quán)利，是一項(xiàng)獨(dú)立的人格權(quán)，具有獨(dú)立的價(jià)值與內(nèi)涵。③張里安、韓旭至：《大數(shù)據(jù)時(shí)代下個(gè)人信息權(quán)的私法屬性》，《法學(xué)論壇》2016年第3期。不僅需要得到其他民事主體的尊重，更需要國(guó)家公權(quán)力機(jī)構(gòu)予以尊重，不僅權(quán)利主體自身可以采用合法措施保護(hù)該項(xiàng)權(quán)益，公權(quán)力機(jī)構(gòu)也應(yīng)當(dāng)采取積極措施保障該項(xiàng)權(quán)利的實(shí)現(xiàn)。④王利明：《論個(gè)人信息權(quán)在人格權(quán)法中的地位》，《蘇州大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版）》2012年第6期。兒童是個(gè)人信息權(quán)保護(hù)領(lǐng)域的特殊主體，對(duì)兒童的保護(hù)等同于對(duì)兒童權(quán)利的保護(hù)。⑤尹力：《良法視域下中國(guó)兒童保護(hù)法律制度的發(fā)展》，《北京師范大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2015年第3期。而在網(wǎng)絡(luò)世界中，對(duì)兒童個(gè)人信息的保護(hù)主要是對(duì)兒童個(gè)人信息權(quán)的保護(hù)，具體包括兒童對(duì)信息的知情權(quán)、處分權(quán)、修改權(quán)、保密權(quán)等。在對(duì)兒童個(gè)人信息權(quán)進(jìn)行法律保護(hù)時(shí)，立法者應(yīng)當(dāng)需要充分考慮權(quán)利主體的特殊性，尤其是要重視對(duì)兒童個(gè)人信息保密權(quán)的保障。

（二）兒童個(gè)人信息法律保護(hù)的立法現(xiàn)狀。國(guó)際公約層面，聯(lián)合國(guó)于1989年通過(guò)了《兒童權(quán)利公約》（The United Nations Convention on the Rights of the Child），為兒童權(quán)利的保護(hù)訂立了一套較為全面的國(guó)際法準(zhǔn)則，公約第17條規(guī)定了兒童獲取信息的權(quán)利，并且不受可能損害其福祉的信息之害。但公約并沒(méi)有對(duì)此處的“信息”（Information）做出進(jìn)一步解釋，其新任務(wù)是盡快適應(yīng)時(shí)下數(shù)字化、融合性和網(wǎng)絡(luò)化的環(huán)境。⑥Livingstone Sonia and Bulger Monica E,“A Global Research Agenda for Children’s Rights in the Digital Age”，Journal of Children and Media, vol.8, no.4, 2014.

國(guó)內(nèi)和地區(qū)立法層面，縱觀各國(guó)和地區(qū)兒童個(gè)人信息保護(hù)的立法，可分為統(tǒng)一立法模式和分散立法模式。統(tǒng)一立法模式是指國(guó)家專門制定關(guān)于兒童個(gè)人信息保護(hù)的法典，較為系統(tǒng)地規(guī)定兒童個(gè)人信息保護(hù)制度；分散立法模式是指關(guān)于兒童個(gè)人信息保護(hù)的法律條文散見(jiàn)于民法、侵權(quán)責(zé)任法、網(wǎng)絡(luò)信息法、未成年人保護(hù)法等法律中，具體規(guī)定較為分散。采取統(tǒng)一立法模式的典型代表是美國(guó)，歐盟、澳大利亞、日本、新加坡、加拿大等國(guó)家和地區(qū)采取的是分散立法模式。美國(guó)在兒童個(gè)人信息法律保護(hù)領(lǐng)域成果頗豐，最為重要的是1998年10月通過(guò)的《兒童網(wǎng)絡(luò)隱私保護(hù)法》（Children’s Online Privacy Protection Act，以下簡(jiǎn)稱1998年COPPA），該法主要規(guī)范了收集兒童信息的行為，創(chuàng)設(shè)了監(jiān)護(hù)人同意制度，增加了網(wǎng)絡(luò)運(yùn)營(yíng)商的隱私政策等。在該法生效之前，美國(guó)國(guó)會(huì)通過(guò)了《通訊內(nèi)容端正法案》（Communication Decency Act of 1996）和《兒童在線保護(hù)法案》（Child Online Protect Act of 1998），但兩部法案均因違反憲法而未能生效。2000年12月，《兒童網(wǎng)絡(luò)保護(hù)法案》（Children’s Internet Protect Act of 2000）通過(guò)，該法案規(guī)范學(xué)校和圖書館的信息管理機(jī)制，限制兒童接觸網(wǎng)絡(luò)色情及露骨信息。歐盟在兒童個(gè)人信息保護(hù)立法方面取得了不少成績(jī)，2000年出臺(tái)的《歐盟基本權(quán)利憲章》（The Charter of Fundamental Rights of the European Union）第24條規(guī)定了兒童享有的權(quán)利。指導(dǎo)性文件方面，具有代表性的有《關(guān)于基于2016/679規(guī)則目的的自動(dòng)化個(gè)人決定和數(shù)據(jù)畫像的指南》和《關(guān)于2016/679規(guī)則中“同意”的指南》。歐盟條例方面，GDPR對(duì)于兒童個(gè)人信息保護(hù)問(wèn)題沒(méi)有設(shè)立專門的章節(jié)，相關(guān)條文散見(jiàn)于整部條例之中，其中共有5條“序言條款”涉及兒童個(gè)人信息保護(hù)，正文條文共有7條。①該5條“序言條款”分別為：第38條、第58條、第65條、第71條、第75條，主要對(duì)兒童個(gè)人信息保護(hù)做出原則性規(guī)定，起到宣誓的效果，以引起成員國(guó)的重視。正文條文分別為：第6(1)(f)條、第8條、第12(1)條、第17(1)(f)條、第22條、第40(2)(g)條、第57(1)(b)條，主要是具體的技術(shù)性規(guī)定。相較于之前的法律法規(guī)，GDPR對(duì)兒童個(gè)人信息保護(hù)的規(guī)定更加翔實(shí)，體現(xiàn)了兒童個(gè)人信息權(quán)利保護(hù)和個(gè)人表達(dá)自由的雙重價(jià)值，新增了“兒童信息的被遺忘權(quán)”、“自動(dòng)化個(gè)人決定不適用于兒童”“監(jiān)護(hù)人同意制度”等內(nèi)容。

（三）中國(guó)保護(hù)兒童個(gè)人信息的立法現(xiàn)狀。我國(guó)互聯(lián)網(wǎng)治理采取的是“立法為主，行業(yè)自律和技術(shù)手段為輔”的模式，②張化冰：《中國(guó)互聯(lián)網(wǎng)治理的困局與邏輯重構(gòu)》，《學(xué)術(shù)研究》2017年第12期。對(duì)于個(gè)人信息保護(hù)立法采取的是分散立法模式，目前缺乏專門的個(gè)人信息保護(hù)法典，也沒(méi)有專門的兒童個(gè)人信息保護(hù)法典，直接規(guī)范兒童個(gè)人信息保護(hù)的法律法規(guī)較少。

在個(gè)人信息保護(hù)方面，2017年6月1日起施行的《網(wǎng)絡(luò)安全法》的第4章專門規(guī)定了“網(wǎng)絡(luò)信息安全”，2017年10月1日起施行的《民法總則》的第111條規(guī)定了自然人的個(gè)人信息受法律保護(hù)。具體到兒童個(gè)人信息保護(hù)領(lǐng)域，較為相關(guān)的是《網(wǎng)絡(luò)安全法》第13條，該條規(guī)定了國(guó)家為未成年人提供安全、健康的網(wǎng)絡(luò)環(huán)境。而我國(guó)關(guān)于兒童隱私的保護(hù)主要見(jiàn)于《未成年人保護(hù)法》第39條、第58條、第69條，分別規(guī)定了未成年人的隱私保護(hù)、未成年人罪犯信息的保護(hù)以及對(duì)侵犯未成年人隱私采取的行政處罰等內(nèi)容。工業(yè)和信息化部信息安全協(xié)調(diào)司起草的《信息安全技術(shù)個(gè)人信息保護(hù)指南》（以下簡(jiǎn)稱“2011 年指南”）第5.1.4條和第5.4.7條規(guī)定了未成年人信息保護(hù)的年齡界限和監(jiān)護(hù)人同意原則。全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)出臺(tái)的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（以下簡(jiǎn)稱“2013年指南”）第5.2.7條對(duì)了未成年人信息的收集做出限制。“2011 年指南”和“2013年指南”兩份文件借鑒了國(guó)外先進(jìn)的立法經(jīng)驗(yàn)，屬于行政部門制訂的指導(dǎo)性文件，具有一般的行業(yè)約束力和指導(dǎo)性價(jià)值。另外，2017年12月29日，國(guó)家標(biāo)準(zhǔn)GB/T 352273 – 2017《信息安全技術(shù)——個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱“2017信息規(guī)范”）正式發(fā)布，該規(guī)范為網(wǎng)絡(luò)運(yùn)營(yíng)者制訂隱私政策及完善內(nèi)控提供了指引?？傊覈?guó)目前對(duì)兒童個(gè)人信息的保護(hù)存在立法空白，現(xiàn)有的法律條文規(guī)定得過(guò)于籠統(tǒng)，實(shí)操性較弱，而不具有法律強(qiáng)制力的行業(yè)規(guī)范發(fā)展較為迅速，但沒(méi)有形成完整的體系。

二、兒童個(gè)人信息法律保護(hù)中存在的問(wèn)題

（一）兒童個(gè)人信息保護(hù)的年齡界限。年齡是判斷民事權(quán)利能力的重要客觀標(biāo)準(zhǔn)，聯(lián)合國(guó)《兒童權(quán)利公約》第1條規(guī)定了兒童的年齡為18周歲。而在兒童個(gè)人信息保護(hù)領(lǐng)域，各國(guó)法律對(duì)于兒童年齡界限的規(guī)定并不一致。美國(guó)1998年的COPPA第1302條將兒童年齡界限設(shè)定為13周歲，而歐盟GDPR第8條第1款則設(shè)定為16周歲，成員國(guó)可以設(shè)定更低的年齡，但不得低于13周歲。隨著GDPR的生效，歐盟成員國(guó)也將在處理兒童個(gè)人信息的年齡界限上做出相應(yīng)調(diào)整。有學(xué)者認(rèn)為，GDPR對(duì)兒童個(gè)人信息保護(hù)采取的年齡標(biāo)準(zhǔn)并不合理，限制了部分兒童的言論自由，沒(méi)有充分考慮兒童的利益。③Milda Macenaite,“From Universal towards Child-specif i c Protection of the Right to Privacy Online: Dilemmas in the EU General Data Protection Regulation”，New Media & Society, vol.19, Issue 5, 2017.

我國(guó)法律并沒(méi)有對(duì)兒童的年齡做出明確規(guī)定，僅在《未成年人保護(hù)法》中規(guī)定未成年人是指未滿18周歲的公民。2017年3月通過(guò)的《民法總則》第17至19條以年齡的標(biāo)準(zhǔn)規(guī)定了完全民事行為能力人、限制民事行為能力人和無(wú)民事行為能力人。我國(guó)行業(yè)規(guī)范對(duì)兒童年齡的定義并不一致，“2011年指南”和“2013年指南”均將兒童個(gè)人信息保護(hù)的年齡界限設(shè)定為16周歲，而“2017信息規(guī)范”規(guī)定的界限是14周歲。值得一提的是，在兒童個(gè)人信息保護(hù)中討論的年齡界限主要涉及家長(zhǎng)同意問(wèn)題，既兒童在達(dá)到什么年齡才能無(wú)需家長(zhǎng)同意即可自主決定如何處理個(gè)人信息。這與兒童是否擁有民事行為能力、擁有何種民事行為能力等問(wèn)題不能混為一談。民事行為能力是民事主體以自己獨(dú)立的行為享有民事權(quán)利、承擔(dān)民事義務(wù)的資格，而年齡是作為民事主體是否擁有民事行為能力的客觀標(biāo)準(zhǔn)，即達(dá)到某一年齡時(shí)，民事主體可獨(dú)立享有民事權(quán)利、承擔(dān)民事義務(wù)。而兒童個(gè)人信息保護(hù)中的年齡標(biāo)準(zhǔn)主要規(guī)范的是兒童、家長(zhǎng)及網(wǎng)絡(luò)運(yùn)營(yíng)者的處理信息的行為，即達(dá)到某一年齡時(shí)，兒童（信息權(quán)人）得以擁有獨(dú)立處理其信息的能力，家長(zhǎng)則無(wú)權(quán)限制其行使處理信息的權(quán)利，網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)兒童的特別注意義務(wù)也相應(yīng)免除。

（二）兒童年齡的核實(shí)。隨著科技的發(fā)展，網(wǎng)絡(luò)中偽造、變?cè)臁⒋鄹纳矸菪畔?、年齡信息的情況時(shí)有發(fā)生，如何核實(shí)兒童的真實(shí)年齡成為實(shí)踐中的關(guān)鍵問(wèn)題。在2013年COPPA修訂說(shuō)明中，美國(guó)聯(lián)邦貿(mào)易委員會(huì)（Federal Trade Commission，以下簡(jiǎn)稱FTC）提出，可以通過(guò)多種途徑核實(shí)兒童是否達(dá)到年齡界限，包括電子掃描或視頻傳輸技術(shù)；政府簽發(fā)的身份證明；駕照、社保號(hào)的部分片段；金錢交易憑證；替代性網(wǎng)上支付系統(tǒng)；電子簽名；家長(zhǎng)同意平臺(tái)；核實(shí)郵件；安全港規(guī)則等。有學(xué)者認(rèn)為，還可以利用諸如監(jiān)護(hù)人、學(xué)校、第三方出具的擔(dān)保書、兒童的出生證明、生物科技認(rèn)定書等方式來(lái)核實(shí)兒童的年齡。①Adam Thierer,“Social Networking and Age Verification: Many Hard Questions; No Easy Solutions”，Progress &Freedom Foundation Progress on Point Paper, No. 14.5, 2007.與COPPA相比，GDPR對(duì)于兒童年齡的核實(shí)并沒(méi)有作出相關(guān)規(guī)定，而只是對(duì)監(jiān)護(hù)人同意的核實(shí)作出了原則性規(guī)定。牛津大學(xué)網(wǎng)絡(luò)學(xué)院研究團(tuán)隊(duì)在2013年發(fā)布的《在線賭博業(yè)中年齡核實(shí)技術(shù)的研究報(bào)告》中表示，通過(guò)電子身份證核實(shí)年齡相對(duì)較為可靠、快速，減少了欺騙和盜用，提高了客戶的滿意度，為賭博業(yè)提供了更為方便高效的行業(yè)自律方法。并可將此技術(shù)推廣至限制級(jí)電影、社交游戲等與兒童個(gè)人信息保護(hù)緊密相關(guān)的行業(yè)中去，以保護(hù)兒童的信息安全。②Victoria Nash, Rachel O’Connell, Ben Zevenbergen and Allison Mishkin,“Effective Age Verification Techniques:Lessons to be Learnt from the Online Gambling Industry, Final Report.”，https://www.oii.ox.ac.uk/research/projects/effectiveage-verif i cation-techniques/, 2018年9月20日。而也有學(xué)者認(rèn)為，該做法過(guò)分加重了網(wǎng)絡(luò)服務(wù)商的責(zé)任，限制了兒童在網(wǎng)絡(luò)世界的自治權(quán)，并沒(méi)有平衡好家長(zhǎng)和網(wǎng)絡(luò)服務(wù)商之間的利益。③Milda Macenaite and Eleni Kostap,“Consent for Processing Children’s Personal Data in the EU: Following in US Footsteps?”，Information & Communications Technology Law, vol.26, no.2, 2017.在實(shí)踐中，某些核實(shí)方法也存在技術(shù)缺陷，例如：一般情況下成年人才可申請(qǐng)信用卡，但目前也有兒童可以辦理父母信用卡的副卡，這給他們逃避年齡審核提供了便利；網(wǎng)絡(luò)運(yùn)營(yíng)者不可能當(dāng)面驗(yàn)證駕照的真?zhèn)?，兒童也可以通過(guò)購(gòu)買虛假駕照來(lái)通過(guò)年齡驗(yàn)證，而且提交私人駕照也會(huì)造成信息的二次泄露。法律不可能提供萬(wàn)能的方法，也不可能阻止兒童撒謊或鉆科技的空子，年齡核實(shí)方法的主要目的是警示家長(zhǎng)和網(wǎng)絡(luò)運(yùn)營(yíng)者，同時(shí)也對(duì)兒童起到教育和指引作用。

（三）監(jiān)護(hù)人同意。在網(wǎng)絡(luò)運(yùn)營(yíng)者向兒童收集或處理個(gè)人信息之前取得監(jiān)護(hù)人的同意已經(jīng)成為各國(guó)的共識(shí)，但如何取得監(jiān)護(hù)人的同意在技術(shù)上和法律上都是爭(zhēng)論較多的問(wèn)題。GDPR第8條第2款規(guī)定，在考慮到現(xiàn)有的技術(shù)水平的前提下，信息控制者應(yīng)當(dāng)作出合理的努力以核實(shí)在此種情況下相關(guān)同意是否由相關(guān)兒童的監(jiān)護(hù)人作出或者授權(quán)。但GDPR僅僅規(guī)定了作出“合理的努力”（Reasonable Efforts），但并沒(méi)有對(duì)“合理的努力”作出進(jìn)一步解釋。相較于GDPR，COPPA的“監(jiān)護(hù)人同意”制度規(guī)定得更加詳實(shí)。1998年的COPPA第1303 (b) (1) (A) (ii)條規(guī)定了“可驗(yàn)證的家長(zhǎng)同意”制度（Verif i able Parental Consent），第1302條進(jìn)一步規(guī)定，要求運(yùn)營(yíng)者須采取合理努力（考慮到現(xiàn)有技術(shù)），在收集兒童的個(gè)人信息前，保證家長(zhǎng)能夠收到授權(quán)運(yùn)營(yíng)者收集、使用、披露兒童用戶信息詳情的通知書和運(yùn)營(yíng)者收集、使用、披露兒童用戶信息的實(shí)踐情況。2013年COPPA第312.5條列舉“可驗(yàn)證的家長(zhǎng)同意”的6種情形，包括：父母簽名的郵件、傳真件或電子掃描件；金錢交易憑證；電話同意；視頻連線同意；政府簽發(fā)的身份認(rèn)證系統(tǒng)；郵件回復(fù)雙重確認(rèn)。

然而，學(xué)界對(duì)“監(jiān)護(hù)人同意”制度提出了疑慮，主要體現(xiàn)在三個(gè)方面：第一，父母對(duì)兒童的網(wǎng)絡(luò)行為進(jìn)行約束保護(hù)了兒童的安全，但會(huì)限制兒童上網(wǎng)的質(zhì)量和機(jī)遇，不利于兒童鍛煉數(shù)字化技能和抵御傷害的能力。①Andrea Duerager and Sonia Livingstone, How can Parents Support Children’s Internet Safety?，London: EU Kids Online, 2012, p.4.而且過(guò)多的父母監(jiān)督會(huì)嚴(yán)重影響兒童的社交形象，甚至造成兒童被孤立或遭到同伴質(zhì)疑，同性戀、雙性戀或變性人兒童群體則更為明顯。②Shmueli Benjamin and Blecher-Prigat Ayelet,“Privacy for Children”，Columbia Human Rights Law Review, vol.42,2011.第二，有學(xué)者直言，監(jiān)護(hù)人同意制度侵犯了兒童的隱私權(quán)。③Simone van der Hof and Eva Lievens,“The Importance of Privacy by Design and Data Protection Impact Assessments in Strengthening Protection of Children’s Personal Data under the GDPR”，Communications Law, vol.23, no.1, 2018.有的家長(zhǎng)并非兒童個(gè)人信息的保護(hù)者，他們有意或無(wú)意地在網(wǎng)絡(luò)上“曬娃”或發(fā)布子女的照片和個(gè)人信息，這將給兒童個(gè)人信息的保護(hù)帶來(lái)嚴(yán)重的安全隱患。④Stacey B. Steinberg,“Sharenting: Children’s Privacy in the Age of Social Media”，Emory Law Journal, vol. 66, 2017.第三，相對(duì)于加重監(jiān)護(hù)人的監(jiān)督責(zé)任，法律更應(yīng)當(dāng)加重網(wǎng)絡(luò)運(yùn)營(yíng)者的注意義務(wù)，開(kāi)發(fā)新的技術(shù)以約束網(wǎng)絡(luò)運(yùn)營(yíng)者的行為。例如：禁止兒童在其社交賬戶上自我介紹、禁止售賣兒童個(gè)人信息等，這將會(huì)比采用“監(jiān)護(hù)人同意”制度取得更好的效果。⑤Milda Macenaite and Eleni Kostap,“Consent for Processing Children’s Personal Data in the EU: Following in US Footsteps?”，Information & Communications Technology Law, vol.26, no.2, 2017.同時(shí)，政府應(yīng)當(dāng)在保護(hù)兒童網(wǎng)絡(luò)隱私和促進(jìn)經(jīng)濟(jì)發(fā)展之間做出平衡，只有當(dāng)造成明顯傷害或信息驗(yàn)證確實(shí)無(wú)效時(shí)，政府才能進(jìn)行干預(yù)，推測(cè)的恐懼和假想的傷害并不能推動(dòng)網(wǎng)絡(luò)法治的發(fā)展。⑥Adam Thierer,“The Pursuit of Privacy in a World Where Information Control is Failing”，Harvard Journal of Law &Public Policy, vol. 36, no. 2, 2013.

三、完善我國(guó)兒童個(gè)人信息法律保護(hù)的考量

（一）新增“兒童個(gè)人信息保護(hù)”章節(jié)。2011年國(guó)務(wù)院發(fā)布了《中國(guó)兒童發(fā)展綱要》（2011—2020年），這是我國(guó)第一部以兒童為主體、促進(jìn)兒童發(fā)展的國(guó)家行動(dòng)計(jì)劃，綱要規(guī)定要保護(hù)兒童人身權(quán)利，加強(qiáng)兒童財(cái)產(chǎn)權(quán)益保護(hù)。對(duì)兒童個(gè)人信息的保護(hù)體現(xiàn)的是對(duì)兒童人身權(quán)的尊重，也是對(duì)兒童人格尊嚴(yán)的尊重，保護(hù)兒童的個(gè)人信息亦即是對(duì)這一特殊群體信息權(quán)的保護(hù)。相較于美國(guó)的統(tǒng)一立法模式，歐盟制定專門條款的分散立法模式更加符合我國(guó)的國(guó)情。由于我國(guó)已制訂《未成年人保護(hù)法》，《個(gè)人信息保護(hù)法》也在醞釀之中，單獨(dú)制訂《兒童個(gè)人信息保護(hù)法》的現(xiàn)實(shí)意義不大，可以考慮在未來(lái)制定個(gè)人信息保護(hù)法和修訂《未成年人保護(hù)法》時(shí)，設(shè)立“兒童個(gè)人信息保護(hù)”章節(jié)，整合目前已有的條款，增設(shè)新的配套制度。

（二）合理調(diào)整兒童個(gè)人信息保護(hù)的年齡界限。各國(guó)對(duì)于兒童個(gè)人信息保護(hù)的年齡界限規(guī)定不盡相同，我國(guó)法律和行業(yè)自律規(guī)范對(duì)此也并不一致。不同種類的商業(yè)信息適用于不同的年齡階段，而兒童的年齡階段在不同國(guó)家的法律或行業(yè)自律規(guī)定中也并非完全對(duì)應(yīng)，法律和自律規(guī)定上的不一致將會(huì)給運(yùn)營(yíng)商、家長(zhǎng)和兒童帶來(lái)適用法律的困惑。⑦Valerie Verdoodt, Ingrid Lambrecht and Eva Lievens,“Mapping and Analysis of the Current Self and Co-regulatory Framework of Commercial Communication Aimed at Minors”，A Report in the Framework of AdLit Research Project, p.115,http://www.adlit.be., 2018年9月20日。而且，不同年齡階段的兒童也存在差異，以年齡作為判斷標(biāo)準(zhǔn)將會(huì)使部分兒童處于適合的地位，卻使部分兒童處于不適合的地位，不適合的地位將導(dǎo)致兩個(gè)不利后果：要么會(huì)抑制某些早熟兒童獲取新的信息和知識(shí)，要么會(huì)使某些晚熟的兒童接觸到與其智力水平不相適應(yīng)的信息。⑧Susan Stodolsky,“Age Related Changes in the Individual: Childhood and Adolescence”，Chicago Kent Law Review,vol.57, no.4, 1981．在年齡界限的設(shè)定上，美國(guó)（13周歲以下）和歐盟（16周歲以下或13周歲以下）設(shè)定單一年齡界限的方式較為簡(jiǎn)單，未能充分考慮兒童的年齡跨度。而英國(guó)在制定新的《數(shù)據(jù)保護(hù)法》時(shí)，立法者意識(shí)到兒童的年齡跨度的問(wèn)題，并在第123條規(guī)定了“適齡設(shè)計(jì)準(zhǔn)則”（Age-appropriate Design Code），規(guī)定網(wǎng)絡(luò)服務(wù)的設(shè)計(jì)理念應(yīng)當(dāng)充分考慮不同年齡階段兒童的不同需求。我國(guó)在設(shè)定處理兒童個(gè)人信息的年齡界限時(shí)，應(yīng)當(dāng)充分考慮到兒童年齡階段的差異性，不能簡(jiǎn)單地將保護(hù)年齡設(shè)定在18周歲或16周歲，而需根據(jù)兒童個(gè)人信息的類別和重要程度分別設(shè)立。比如：由于兒童的肖像照片私密性更強(qiáng)，一旦泄露將造成更嚴(yán)重的后果，屬于重點(diǎn)保護(hù)的個(gè)人信息，因此需要將兒童的肖像照片和其他的個(gè)人信息區(qū)別開(kāi)來(lái)。在立法時(shí)，可以將兒童照片處理的年齡界限設(shè)定在18周歲以下，即在兒童未滿18周歲時(shí)，其個(gè)人照片不得被任何網(wǎng)絡(luò)運(yùn)營(yíng)商收集或使用，監(jiān)護(hù)人同意或授權(quán)的除外；而對(duì)于兒童的其他個(gè)人信息，可將年齡界限設(shè)定在16周歲以下。

（三）設(shè)立監(jiān)護(hù)人同意制度。由于兒童心智尚未成熟，監(jiān)護(hù)人應(yīng)當(dāng)加強(qiáng)對(duì)兒童網(wǎng)絡(luò)行為的監(jiān)督。我國(guó)在起草“兒童個(gè)人信息保護(hù)”相關(guān)章節(jié)時(shí)，可以借鑒GDPR和COPPA的經(jīng)驗(yàn)，設(shè)立監(jiān)護(hù)人同意制度。在兒童未達(dá)到年齡界限時(shí)，必須取得兒童監(jiān)護(hù)人的同意或授權(quán)，網(wǎng)絡(luò)運(yùn)營(yíng)者方能收集或處理兒童的個(gè)人信息。而對(duì)于“可驗(yàn)證的家長(zhǎng)同意”的驗(yàn)證方式可以參照COPPA的規(guī)定，采取多途徑、全方位的驗(yàn)證模式，包括郵件、傳真、金錢交易憑證、視頻連線、政府簽發(fā)的身份認(rèn)證、電子身份證等方式。

（四）設(shè)立安全港制度。目前我國(guó)互聯(lián)網(wǎng)行業(yè)發(fā)展迅速，但行業(yè)自律程度不高。除了遵守法律法規(guī)，互聯(lián)網(wǎng)行業(yè)應(yīng)當(dāng)打造自身的行業(yè)氛圍。只有塑造法治程度較高的互聯(lián)網(wǎng)行業(yè)，各網(wǎng)絡(luò)運(yùn)營(yíng)者才能積極地參與到兒童個(gè)人信息保護(hù)中去。消費(fèi)者也會(huì)相應(yīng)地提升信任感，為網(wǎng)絡(luò)運(yùn)營(yíng)者提供個(gè)人信息，進(jìn)而促進(jìn)整個(gè)行業(yè)的良性發(fā)展。①?gòu)埿聦殻骸稄碾[私到個(gè)人信息：利益再衡量的理論與制度安排》，《中國(guó)法學(xué)》2015年第3期。而行業(yè)法治的構(gòu)建需要依靠行業(yè)自律規(guī)范，由掌握專業(yè)的網(wǎng)絡(luò)技術(shù)從業(yè)者共同起草和遵守，行業(yè)自律規(guī)范與法律法規(guī)共同提供保護(hù)，這也是在兒童個(gè)人信息保護(hù)領(lǐng)域設(shè)立安全港規(guī)則的初衷。1998年COPPA第1304條設(shè)立了安全港規(guī)則（Safe Harbor Rules），即行業(yè)組織制訂保護(hù)兒童隱私的自律規(guī)范和行為指南，這些規(guī)范和指南必須包括獨(dú)立監(jiān)管或懲戒程序，并提交聯(lián)邦貿(mào)易委員會(huì)審核批準(zhǔn)。安全港規(guī)則的建立不僅增強(qiáng)了行業(yè)自律規(guī)范的實(shí)操性，而且提升了互聯(lián)網(wǎng)行業(yè)適用COPPA的靈活性。我國(guó)在起草“兒童個(gè)人信息保護(hù)”相關(guān)章節(jié)時(shí)，可以考慮設(shè)立安全港規(guī)則，作為其他制度的補(bǔ)充，通過(guò)互聯(lián)網(wǎng)行業(yè)或組織自行起草關(guān)于保護(hù)兒童個(gè)人信息的自律規(guī)范，并提交我國(guó)網(wǎng)絡(luò)監(jiān)管部門審核、備案，對(duì)于其中切實(shí)可行的規(guī)范予以批準(zhǔn)，對(duì)于違反自律規(guī)范的網(wǎng)絡(luò)運(yùn)營(yíng)者予以相應(yīng)處罰和懲戒，在互聯(lián)網(wǎng)行業(yè)自律層面對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者進(jìn)行規(guī)制。