未成年人個人信息保護的現(xiàn)實困境及路徑優(yōu)化

王 婭(吉林大學法學院，吉林 長春 130012)

一、問題的提出

信息技術的高速發(fā)展一直刷新著人類探索未知、認識世界的極限。信息本身也以“石油”的姿態(tài)宣示著它獨有的價值與屬性。但與此同時，與之相伴的爭議也從未停止過。在這諸多爭議中存在著未成年人個人信息保護的問題，因這一問題關涉主體的特殊性和社會情境的復雜性，讓社會各界頗為關注。

根據(jù)《2020年全國未成年人互聯(lián)網(wǎng)使用情況研究報告》顯示，我國未成年網(wǎng)民規(guī)模為1.83億，未成年人互聯(lián)網(wǎng)普及率達到94.9%[注]《2020年全國未成年人互聯(lián)網(wǎng)使用情況研究報告》在京發(fā)布[EB/OL].(2021-07-20)[2022-02-18].http://www.cnnic.cn/hlwfzyj/hlwxzbg/qsnbg/202107/t20210720_71505.htm.。特別是2020年以來，很多學校將教學工作轉移至線上，利用網(wǎng)課進行在線教學，推動了未成年人互聯(lián)網(wǎng)普及率的進一步提升。網(wǎng)絡生活早已成為未成年人日常社交、娛樂與學習的一部分，因而，未成年人主動暴露自身信息(如位置、照片等)具有極大的可能性。在現(xiàn)實生活中，未成年人被動“交付”自身信息的現(xiàn)象也頗為顯著。比如，父母在微信、微博、快手以及抖音上瘋狂“曬娃”的視頻和照片；以教育、學習為主要應用場景的各類App違法收集或濫用學生信息；學校部署的人臉識別門禁、課堂監(jiān)控設備等過度收集學生信息等等。上述諸多現(xiàn)象無不意味著，網(wǎng)絡服務提供者不僅可以輕松獲得兒童上網(wǎng)的實時數(shù)據(jù)，還可以獲得兒童成長的全歷程數(shù)據(jù)。因此，網(wǎng)絡環(huán)境下未成年人個人信息保護具有現(xiàn)實必要性。但是，未成年人正處于從無知到有知、不成熟到成熟的轉變時期，理解能力和認知能力不足，缺乏生活經(jīng)驗和社會經(jīng)驗，在自我控制和自我保護方面存在短板。加之，互聯(lián)網(wǎng)的開放性、自由性、虛擬性、流動性和交互性使得未成年人隱私和信息更易于被傳播[注]劉德良，楊飛.網(wǎng)絡時代弱勢群體的法律保護[M].北京：法律出版社,2013.81-84.，范圍和影響力比傳統(tǒng)媒介更加廣泛，一旦其信息和隱私受到侵害，將引發(fā)未成年人數(shù)字身份失控、隱私風險增加和潛在的歧視傾向等問題，給未成年人造成巨大的生理或心理上的傷害。因此，建構未成年人個人信息保護機制不僅十分必要，而且迫在眉睫。

二、未成年人個人信息保護面臨的困境與爭議

(一)未成年人個人信息保護的現(xiàn)實困境

個人信息的保護關涉人性尊嚴和人格自由，其重要性和意義不言而喻。但個人信息的保護舉措更多是以理性且經(jīng)濟的成年人為中心而思考和構建的，存在忽略未成年人特殊需求的現(xiàn)象。未成年人大多屬于限制民事行為能力或無民事行為能力人，因其心理和生理上的不成熟，不足以承擔自我選擇所帶來的不利后果，難以應對因個人信息不當傳播和利用帶來的狀況。同時，部分企業(yè)基于經(jīng)濟利益最大化的目的，試圖逃避社會責任，不僅存在削減未成年人用戶甚或統(tǒng)一默認為成人用戶以規(guī)避未成年人網(wǎng)絡保護規(guī)定的行為，還存在形式上依據(jù)未成年人網(wǎng)絡保護規(guī)定但相應的隱私條款或聲明淪為一紙空文的情形。具體而言：

第一，雖有相應的保護規(guī)定，但未成年人個人信息保護的需求未被充分滿足。未成年人個人信息保護相較于個人信息保護，存在保護對象的特殊性。未成年人不僅主體數(shù)量較大，而且其信息內容高度敏感。因此，未成年人個人信息保護的相關規(guī)定應被嚴格細化并落實到個人信息保護的相關內容中去。但從《兒童個人信息網(wǎng)絡保護規(guī)定》的立法框架及其內容上看，該規(guī)定雖根據(jù)未成年人的特殊情形進行了相應的調整，比如充分告知收集處理規(guī)則、獲取兒童監(jiān)護人的明示授權同意，識別監(jiān)護關系和監(jiān)護人授權同意的有效性，并通過一定技術措施滿足業(yè)務功能的逐一授權等，但這些設計僅是宣示性或概括性的內容，缺乏切實可行的實操性，只規(guī)定了未成年人個人信息權的消極權能，沒有規(guī)定其積極權能，相關的設置也缺乏有效的執(zhí)法標準和行業(yè)實踐指導。同時，對線下廣泛的未成年人個人信息收集、處理行為和場景也缺少相應的法律規(guī)范。

第二，雖考慮到年齡的因素，但未能充分理解未成年人的特殊性和社會情境的復雜性。美國《兒童在線隱私權保護》明確將在線隱私保護的兒童年齡設定在精準年齡——13歲以內。受其影響，歐盟在制定《通用數(shù)據(jù)保護條例》時也是以13歲為底線年齡。我國《兒童個人信息網(wǎng)絡保護規(guī)定》將兒童定義為不滿14周歲的未成年人。然而兒童與未成年人并非同一概念，過高的兒童年齡上限，不僅會對一定年齡的兒童產(chǎn)生過度保護嫌疑，進而有損適齡兒童的隱私權利，同時也會造成數(shù)字年齡之上到未成年人這一年齡段未成年人個人信息保護的空檔。因此，數(shù)字年齡的單一界定，只是突出了兒童個人信息保護的方面，并不足以充分實現(xiàn)保護未成年人個人信息的目的，特別是數(shù)字年齡之上的未成年人利益。此外，在大數(shù)據(jù)時代，個人信息保護的目標是防范個人信息的濫用和倡導個人信息的合理使用。但未成年人個人信息保護的目標不只是防范個人信息的濫用，還應規(guī)范甚或限制未成年人個人信息的收集、比對、處理等行為。因為GDPR在界定隱私風險諸種情形時，認為處理兒童等弱勢群體的信息是其中一種隱私風險，必須警惕以收集、處理并利用未成年人個人信息為主要業(yè)務內容的企業(yè)對未成年人帶來的損害或負面影響[注]范為.大數(shù)據(jù)時代個人信息保護的路徑重構——初探歐美改革法案中的場景與風險理念[J].網(wǎng)絡信息法學研究,2017,(1):258.。

第三，雖有諸多合規(guī)努力，但合規(guī)的情況不盡人意，且存在有效執(zhí)行困難的問題。數(shù)字年齡的確定，意味著兒童身份的識別需要行之有效的原則。根據(jù)《兒童個人信息網(wǎng)絡保護規(guī)定》第28條規(guī)定并參照國際通行慣例，對兒童身份的識別采取“形式確認”而非“客觀確認”的原則。即只要通過目標市場、注冊年齡等形式上確認用戶是或不是“兒童”，而無須客觀確認“兒童”確實不滿或滿十四周歲。例如，用戶注冊時填寫的年齡為十四周歲以下的，不論是否真實為兒童，在兒童個人信息保護合規(guī)方面即視其為“兒童”；相反地，用戶注冊時填寫的年齡不明，或者為十四周歲以上的，在兒童個人信息保護合規(guī)方面即視為非兒童。此外，《兒童個人信息網(wǎng)絡保護規(guī)定》第8條規(guī)定網(wǎng)絡運營者應當設置專門的兒童個人信息保護規(guī)則和用戶協(xié)議，并指定專人負責兒童個人信息保護。兒童個人信息保護規(guī)則和用戶協(xié)議在具體實踐中主要表現(xiàn)為兒童隱私政策或兒童隱私條款，但兒童隱私政策的大量內容和通用版隱私政策內容相同，缺乏特殊性。兒童隱私政策的內容要求以明確、易懂和適宜的方式告知，但實踐中往往相反。比如，必須設置的投訴舉報方式要么沒有設置，要么設置的位置不顯眼，不易找到，以至于難以有效發(fā)揮投訴舉報方式帶來的監(jiān)督功能。

(二)未成年人個人信息保護的法律爭議

針對未成年人個人信息被不當收集并濫用的現(xiàn)象，各國各地區(qū)均出臺相應的法律法規(guī)，意圖為未成年人個人信息保駕護航。我國個人信息保護相關立法及執(zhí)法態(tài)度借鑒了域外數(shù)據(jù)保護相關法律的立法原則。例如，我國《網(wǎng)絡安全法》規(guī)定，國家依法懲治利用網(wǎng)絡從事危害未成年人身心健康的活動，為未成年人提供安全、健康的網(wǎng)絡環(huán)境?！段闯赡耆吮Ｗo法》規(guī)定，未成年人享有生存權、發(fā)展權、受保護權、參與權等權利，國家根據(jù)未成年人身心發(fā)展特點給予特殊、優(yōu)先保護，保障未成年人的合法權益不受侵犯?！秲和瘋€人信息網(wǎng)絡保護規(guī)定》針對14歲以下未成年人的個人信息進行特殊、優(yōu)先的全生命周期保護。但這些法律法規(guī)并未能提供行業(yè)可遵循的明確性標準，又未能對未成年人隱私提供充分有效的保障。法律措施的實施有效與否是評價法律規(guī)定本身好壞的標準，至少這些法律規(guī)定傳達出的保護未成年人個人信息的意識和決心值得高度肯定。

荷蘭學者米爾達·馬賽納特(Milda Macenaite)認為，大數(shù)據(jù)時代兒童個人信息的法律保護面臨著兩大爭議：一為“賦權與保護”，二為“個性化與平均年齡”[注]Milda Macenaite. From Universal Towards Child-specific Protection of the Right to Privacy Online:Dilemmas in the EU General Data Protection Regulation[J]. New Media & Society, 2017, 19(5):765-779.。就“賦權與保護”而言，賦權性規(guī)定是因為兒童處于不斷成長和發(fā)展中，具有“不斷發(fā)展的能力” (the involving capacity)，他們的理解力和成熟度會隨著年齡的增長逐漸提高，因此需要賦予其自我決策與參與的權利，如自由表達思想和發(fā)表言論等接近成年人的權利；保護性規(guī)定是因為兒童具有脆弱性、依賴成年人和需要身心照顧等特點，因此需要對其進行行為干預以確保其基本權益，如國家干預、父母干預等。由此，賦權性規(guī)定與保護性規(guī)定之間存在一定的緊張關系，即兒童作為“成人干預的受益者”和“自我決策的代理人”之間存在一定的矛盾。換言之，如果賦權性規(guī)定過多，可能會導致對兒童的保護不力；如果保護性規(guī)定過多，則可能限制兒童的自我決策權等賦權性利益。但是“賦權與保護”的困境又不能被徹底消除，只能在“賦權”與“保護”之間尋求一定的平衡[注]付新華.大數(shù)據(jù)時代兒童數(shù)據(jù)法律保護的困境及其應對——兼評歐盟《一般數(shù)據(jù)保護條例》的相關規(guī)定[J].暨南學報(哲學社會科學版),2018,40(12):84-85.?！皞€性化與平均年齡”的爭議源自“賦權與保護”爭議，是“賦權與保護”爭議的具體指涉?！百x權與保護”爭議所考慮的核心問題就是兒童心理成熟度的評估。即對達到一定成熟度的兒童賦予其自我決策的權利，對未達到一定成熟度的兒童則給予一定的保護。目前，主要有兩種方法對兒童進行成熟度評估：一是劃定一個明確的年齡界限作為所有兒童是否成熟的分界線，二是對每個兒童的成熟度進行個性化的評估。從法律適用的角度來看，采用明確的年齡界限可以限制司法者的自由裁量權且執(zhí)行起來更為方便，但也容易造成“一刀切”，忽視兒童的個體差異的現(xiàn)象。人類學家瑪麗·道格拉斯(Mary Douglas)也認為：“為了滿足社會對清晰度和一致性的要求，人們經(jīng)常努力劃定一條年齡界限以確定孩子是否具有完全法律能力，然而這通常是人為的和武斷的?！盵注]Mary Douglas. Rules and Meanings[M]. New York:Routledge Press, 2003.113.事實上，即使是相同年齡的兒童，由于先天和后天環(huán)境等因素的影響，各方面能力的差異往往很大。因此，對每個兒童進行個性化評估可以更好地照顧到能力較強的兒童從事相關活動的需求。然而，對每一個兒童的成熟度逐一進行個案評估，執(zhí)行起來會非常困難，也會對網(wǎng)絡服務提供者造成過度的負擔。因此，如何處理“個性化”和“平均年齡”之間的關系是大數(shù)據(jù)時代兒童數(shù)據(jù)法律保護面臨的另一爭議。

無論是“賦權與保護”的爭議，還是更為具體的“個性化與平均年齡”的爭議，歸根結底只是未成年人個人信息保護問題的表象，其核心要旨還是維護未成年人的利益。因此,大數(shù)據(jù)時代未成年人個人信息法律保護所重點關注的是，采取何種手段可以更好地維護未成年人的利益，特別是具有一定行為能力的未成年人的利益。只有把握住未成年人個人信息保護的實質或核心，并以此為基本點才能構建出切實可行的保護路徑。

三、未成年人利益是未成年人個人信息保護的核心

(一)未成年人個人信息保護中的利益劃分

未成年人個人信息保護的目的在于維護未成年人的利益。為實現(xiàn)這一目的，勢必涉及對其他利益主體的態(tài)度。因此，有必要了解與之相關的其他利益。那么，未成年人個人信息保護中涉及了哪些主要的利益類型呢？未成年人個人信息保護中涉及了許多主體，例如未成年人、同學/朋友、父母、學校、企業(yè)和監(jiān)管機構等。這些主體之間的利益有交叉或沖突，但最根本的利益沖突還是存在于未成年人、企業(yè)和監(jiān)管機構之間。因此，主要列舉這三類主體之間的利益及表現(xiàn)形式，利益排序也將是對這三類利益之間的考量。

其一，未成年人的人格尊嚴和自由利益。未成年人在未成年人個人信息保護中具有雙重身份，即“成人干預的受益者”和“自我決策的代理人”。這兩種身份的強弱表現(xiàn)在于未成年人心理成熟度的評估。當認為未成年人成熟度足夠時，他就可以自我決策自我負責。就這一方面而言，保護未成年人的利益就是保護未成年人信息自決的利益，即未成年人對自己信息的控制能力，由他來決定是否公開某些信息，是否由某個App運營者收集、處理并利用自己的信息等。當認為未成年人成熟度不足時，父母、學?；蛘涂梢愿深A，以“家長”的姿態(tài)替未成年人控制他們的信息。就這一方面而言，保護未成年人的利益就是保護未成年人的人格尊嚴，即主要由父母或學校來決定未成年人的哪些信息可以被公開、收集或利用，從而更好地維護他們的“數(shù)字形象”等。所以，為了更好地維護未成年人的人格尊嚴和自由利益，就需要充分理解未成年人的心理和行為，充分了解社會情境和應用場景的特點。

其二，企業(yè)的經(jīng)濟利益。強調企業(yè)的經(jīng)濟利益主要是依據(jù)企業(yè)的經(jīng)營目的而言的。企業(yè)開發(fā)并運營完全或部分面向未成年人的App時，需要充分掌握用戶的基本信息和價值傾向，以改進或修正App使其能吸引更多的用戶。因此，收集、處理并利用未成年人信息的行為難以避免。如此行為的根本目的在于獲取并擴大市場份額，提升經(jīng)濟效益。企業(yè)營利的本性決定了其經(jīng)營發(fā)展更多的是以“理性人”的視角去行動。但是當我們承認“理性人”這一設定時，就意味著企業(yè)也應承擔一定的社會責任。換言之，在未成年人個人信息保護方面，要求企業(yè)不僅僅致力于逐利性的滿足，還要注重未成年人利益的維護，這種為他人立場考慮的要求便是社會責任的內涵。當然，企業(yè)社會責任與經(jīng)營決策之間會處于緊張的關系之中，但這取決于企業(yè)如何有效地將二者結合在一起，使它們共存。

其三，監(jiān)管機構的公共利益。雖然對“理性人”的理解要求企業(yè)應承擔社會責任，但當缺乏相應的監(jiān)管機制時，企業(yè)行為可能越軌或失控，給用戶甚或國家造成不必要的損失。比如，2015年香港偉易達公司因應用程序本身的缺陷造成黑客入侵，導致640萬名兒童和490萬名成人的用戶身份、賬戶密碼、密保問題和答案在內的海量用戶信息遭到泄露[注]李瀚琰.兒童個人信息保護的父母知情同意原則[J].圖書館論壇,2020,40(8):59-69.。為了避免企業(yè)的非理性行為造成的不必要損失，對企業(yè)行為進行監(jiān)管尤為必要。因此，承認監(jiān)管機構所代表的公共利益就成為必然。但是，承認監(jiān)管機構的公共利益到底意味著什么？從某種程度上說，承認監(jiān)管機構的公共利益之于未成年人是一種善(good/benefit)[注]本文中對于good和benefit的使用不予區(qū)分，采取同一個意思，即是對某一個人好的事物，因此此處論及的善也可稱之為利益。，之于企業(yè)和社會更是一種善。因為，這是一種無沖突(conflict-free)、非獨占(non-exclusive)和非排他(non-excludable)的利益[注]Joseph Raz. Ethics in the Public Domain[M].Oxford:Oxford University Press,1995.52.。所謂無沖突、非獨占和非排他的利益，就意味著任何主體都可因其受益，某一主體受益不影響其他主體受益，即所有主體對此種利益是一種全有全無式的適用。正是因為公共利益的此種屬性，當其與未成年人利益、企業(yè)經(jīng)濟利益發(fā)生沖突時，優(yōu)先考量公共利益具有了一定的合理性和可接受性。

(二)未成年人個人信息保護中的利益排序

為充分實現(xiàn)對未成年人個人信息的保護，有必要對上述三類利益進行排序。那么，對這些利益排序的依據(jù)是什么呢？在對上述三類利益進行排序之前，需要對它們進行抽象思考，明確其背后的利益性質。只有這樣，才能有效地進行利益排序，確立一個普遍性的解決思路，助力未成年人個人信息保護路徑的構建。

其一，未成年人利益是一種私人利益。無論未成年人是何種身份，其人格尊嚴和自由利益均是以個人生活的名義提出的，直接涉及個人生活和從個人生活的立場看待的請求、需求和欲望。根據(jù)龐德對于利益的分類和理解，未成年人人格尊嚴和自由的利益屬于個人利益中的人格利益。那么，在未成年人個人信息保護場景中可具體處理為：(1)個人人身不可侵犯性(保持和增進精神健康)；(2)自由意志(控制信息的能力)；(3)尊嚴和榮譽(數(shù)字形象)；(4)隱私與情感(數(shù)字形象)；(5)信仰與思想(精神自由活動)[注][美]羅斯科·龐德.法理學(第3卷)[M].廖德宇譯.北京：法律出版社,2007.26.。

其二，企業(yè)利益是一種私人利益。企業(yè)的經(jīng)濟利益其主體指向是各類不同的經(jīng)營主體，他們之間的經(jīng)營策略并不是和諧一致的。企業(yè)本身也具有兩面性：侵犯性的、我行我素的一面和合作性的、社會性的一面。前一方面會導致企業(yè)忽視他人的需要而一味追求滿足自己的需要，后一方面則使人們在共同目標的基礎上，與他人在團隊和群體中協(xié)作。因此，企業(yè)就需要社會責任來維持其兩面屬性的平衡。

其三，監(jiān)管利益是一種公共利益。監(jiān)管機構具有雙重角色，當其僅為自身謀利時就是私利益主體；當其依法執(zhí)行其職權內之行為，為不確定的多數(shù)人謀利時就是公益的代表，可以此作為行為“合法性”的理由以及行為之動機。維護及提倡這樣的公共利益是國家積極的任務，也是許多法律行為所追求的目標之一。當我們承認監(jiān)管利益是一種公共利益時，就意味著監(jiān)管機構不僅可以依法律行使制止企業(yè)有害公益行為之權力，還可以由法律授權，積極行使增進公益之行為。比如，倡導企業(yè)形成行業(yè)自律并制定行業(yè)標準等。

在公共利益與私人利益之間，一般而言，公共利益要優(yōu)先于私人利益[注]西塞羅語。。而在不同的私人利益之間，很難直接確立何種私人利益優(yōu)先于另一種私人利益，這就需要根據(jù)具體情形予以判斷。在未成年人個人信息保護的情境中，我們優(yōu)先承認了未成年人利益的重要性。這不僅是因為保護未成年人利益是國家所追求目標之一，還因為未成年人利益具有升格為公共利益的可能性。根據(jù)萊斯納(Leisner)關于公益與私益之間的關系理論可知，多數(shù)人之私益可以形成公益。因此，有三種私益可以升格為公益：第一，是不確定多數(shù)人之利益；第二，是具有某些性質(特指生命及健康方面)的私益；第三，可以透過民主之原則，對于某些居于少數(shù)的特別數(shù)量的私益，使之形成公益[注]陳新民.德國公法學基礎理論(上)[M].濟南：山東人民出版社,2001.200.。未成年人利益涉及不確定多數(shù)人的利益，關涉未成年人的生命、財產(chǎn)及健康，具有了升格為公益的可能。因此，在未成年人利益與企業(yè)利益之間，未成年人利益優(yōu)先于企業(yè)利益。故此，上述三類利益之間的初步排序應該是“公共利益>未成年人利益>企業(yè)利益”。

四、構建以維護未成年人利益為核心的未成年人個人信息保護路徑

未成年人個人信息保護路徑的構建需要堅持“一個基本三方聯(lián)動”。所謂的“一個基本”，是指堅持維護未成年人利益的原則。即未成年人個人信息保護路徑以維護未成年人利益為核心，所有舉措的最終結果都是維護了未成年人利益。所謂的“三方聯(lián)動”，是指協(xié)調三方主體之間的利益沖突。即在未成年人利益、企業(yè)利益和公共利益之間，三方主體需各守其位，各負其責。只有在承認“一個基本和三方聯(lián)動”的基礎上，才能構建一個綜合治理的體系，達致未成年人個人信息保護的良好目的。

(一)維護未成年人利益：未成年人、父母、學校各負其責

未成年人較成年人認知能力低，社會閱歷少，容易主動泄露個人信息，致使其面臨個人信息被不當利用的風險。隨著各類應用App的涌現(xiàn)，“父母曬娃”致使未成年人個人信息(文字描述、照片或視頻等)泄露。學校介紹未成年人使用教育類App，部署人臉識別系統(tǒng)管理學生致使未成年人個人信息被不當收集和利用的情形亦比比皆是。除了這些可見的風險之外，未成年人個人信息還面臨未知的不確定的風險。比如，聯(lián)合國兒童基金會研究中心倫理顧問加布里埃爾·伯曼(Gabrielle Berman) 等兒童權利專家認為：“從兒童那里收集的數(shù)據(jù)可能在未來的任何不確定的時間，被不確定的算法對不確定的客戶所利用和分析，以創(chuàng)建個人/兒童不知道的數(shù)字身份?！盵注]Gabrielle Berman, Kerry Albright. Children and the Data Cycle:Rights and Ethics in a Big Data World[J].Innocenti Working Paper, 2017-05.11.網(wǎng)絡數(shù)據(jù)具有持久性的特點，這意味著人類記憶歷史中“遺忘是常態(tài)，記憶是例外”的情況，反轉為“記憶成為常態(tài)，遺忘成為例外”的情況。因此，網(wǎng)絡數(shù)據(jù)一旦形成不良的社會影響，就很難徹底刪除。然而，未成年人對信息泄露對自身人格聲譽、未來發(fā)展造成的影響缺乏足夠認識。因此，為保護未成年人個人信息，未成年人、父母和學校都應該有積極負責的意識。

未成年人作為核心主體，本身就應該加強防范意識，提升認知能力。未成年人個人信息保護要求父母或學校對未成年人進行指導或培養(yǎng)。但培養(yǎng)也是有條件的。所謂條件意味著，其一，未成年人自己保有防范和警惕意識；其二，未成年人獲取的網(wǎng)絡資源的途徑必須是安全并可接受的。后者就要求父母或學校承擔審核(過濾篩選)義務，為未成年人創(chuàng)造一個較為安全可靠的網(wǎng)絡環(huán)境。

父母作為監(jiān)護人，是孩子的第一任老師和第一責任人?！秲和瘋€人信息網(wǎng)絡保護規(guī)定》特別明確，兒童監(jiān)護人應當正確履行監(jiān)護職責，教育引導兒童增強個人信息保護的意識和能力，以維護兒童個人信息安全。網(wǎng)絡技術的出現(xiàn)，使得現(xiàn)代家庭已成為網(wǎng)絡活動的主要場所，但也對監(jiān)護人家庭保護的能力提出了新的要求。不過，一個明顯的事實是，伴隨著網(wǎng)絡技術成長起來的未成年人，很多孩子的網(wǎng)絡技能遠遠超過了他們的父母或其他監(jiān)護人。為此，父母應當主動學習網(wǎng)絡安全知識，增強網(wǎng)絡安全意識，具備基本的網(wǎng)絡保護能力，以便更好地保護好自己的孩子，成為網(wǎng)絡信息時代的合格父母，更有效地履行家庭保護的義務。

學校是未成年人的主要學習和生活場所。作為承擔“學校保護”責任的主體，學校負有履行“全面貫徹國家的教育方針，對未成年學生進行德育、智育、體育、美育、勞動教育以及社會生活指導和青春期教育”的法定義務。但學校的網(wǎng)絡媒介素養(yǎng)教育尚是一個薄弱環(huán)節(jié)。因此，學校教育應發(fā)揮其特有的制度化、強制性以及良好的持續(xù)性等功能，保證網(wǎng)絡媒介素養(yǎng)教育的理念和內容得到比較穩(wěn)定的貫徹，使未成年學生在學習、接受相關知識理論，增強對網(wǎng)絡的理性分析和科學運用能力的基礎上，不斷升華自己的網(wǎng)絡情感，強化自己的網(wǎng)絡素養(yǎng)意識，提高并完善自身的素質結構[注]中央文明辦三局.未成年人思想道德建設工作簡報2019年第11期[EB/OL].(2019-09-02)[2022-02-18]. http://www.wenming.cn/ziliao/jianbao/weichengnianrensixiangdaode/201909/t20190902_5239549.shtml.。同時，學校教師的網(wǎng)絡素質也需要提高，以有效履行學校保護職責。

(二)約束企業(yè)經(jīng)濟利益：企業(yè)主動地承擔社會責任

根據(jù)《兒童個人信息網(wǎng)絡保護規(guī)定》第6條規(guī)定，鼓勵互聯(lián)網(wǎng)行業(yè)組織指導推動網(wǎng)絡運營者制定兒童個人信息保護的行業(yè)規(guī)范、行為準則等，加強行業(yè)自律，履行社會責任。傳統(tǒng)的公司法理論認為，公司的唯一目的是謀求利潤最大化，進而為股東創(chuàng)造最大利益，公司僅對股東負責，社會責任則歸屬于國家和政府。但張憲麗等學者認為，企業(yè)社會責任應堅持社群主義的理論基礎，因為企業(yè)作為社會大社群中的一份子，其存在得到了社群的支持。同時，企業(yè)也應該以社會產(chǎn)品和社會服務來回報社群。社群主義的行為邏輯是惠報。所謂惠報，不是短期行為，而是一種長期的、不用契約來規(guī)定卻附加了認同和信任要素的一種新邏輯[注]張憲麗.企業(yè)社會責任的硬法與軟法之治[M].北京：中央編譯出版社,2018.40-42.。因此，企業(yè)社會責任要求其管理層呵護與關心未成年人的利益[注]David Millon. Shareholder Social Responsibility[J]. Seattle University Law Review, 2013,36(2):921-926.。

然而，在當前情境中，企業(yè)借助各類App，在收集、使用和轉移未成年人個人信息的過程中，表現(xiàn)出如下方面的問題：(1)規(guī)避未成年人用戶，混同收集一切可利用的信息；(2)設置專門的兒童隱私政策或兒童隱私條款，但只是企業(yè)合規(guī)義務的“形式”要件，用戶通常既不閱讀亦不理解其內涵；(3)設置專門的兒童隱私政策或兒童隱私條款，但相應的救濟措施要么缺失要么難有成效?；谏鲜鑫闯赡耆藗€人信息被收集和利用的現(xiàn)狀，企業(yè)應該承擔相應的社會責任。就實踐來看，隨著社會對企業(yè)社會責任的日益關注，企業(yè)、行業(yè)協(xié)會、國際組織等紛紛推出關于企業(yè)社會責任的行為準則。各國政府也在不同的部門法中，設置了相應的企業(yè)社會責任法律條款，但相關法律條款分散以致其缺乏系統(tǒng)支撐，相關行為準則往往依賴于企業(yè)的“自覺自愿”。由此帶來的卻是“企業(yè)履責隨意性、碎片化、不平衡性的現(xiàn)象較為突出，企業(yè)在發(fā)展過程中良莠不齊，對社會責任的理解和實踐水平差異較大”；“不同企業(yè)對于社會責任基本內涵、主要議題等的理解存在偏差”；“社會責任方面的軟法不少，但強制性的制度供給不足”等情況[注]張憲麗.企業(yè)社會責任的硬法與軟法之治[M].北京：中央編譯出版社,2018.55.。

哈佛大學法學院教授雅各布·格森(Jacob E. Gersen)和美國聯(lián)邦大法官埃里克·波斯納(Eric A. Posner)指出：“立法主體制定軟法是因為硬法有缺點。有時候，當然并非總是如此，在同樣的情況下軟法能產(chǎn)生同硬法一樣的行為效果；在其他時候，軟法的效果比硬法的效果更令人滿意?！盵注]Jacob E. Gersen, Eric A. Posner. Soft Law:Lessons from Congressional Practice[J]. Stanford Law Review, 2008, 61(3):579.因此，政府除卻對企業(yè)的硬性規(guī)定之外[注]比如，2018年新修訂的《公司法》第5條第1款規(guī)定：“公司從事經(jīng)營活動，必須遵守法律、行政法規(guī)，遵守社會公德、商業(yè)道德，誠實守信，接受政府和社會公眾的監(jiān)督，承擔社會責任。”，倡導企業(yè)進行一種新的技術性嘗試很有必要。比如，企業(yè)充分運用隱私架構設計(Privacy by Design)以延伸未成年人用戶的控制范圍，增加透明度及未成年人本身對信息控制的可操作性，這也是GDPR中大力倡導的理念。具體而言，機構可以場景構成要素為指引，采取一定的技術架構和制度措施，增加/加強未成年人對高中低風險要素的辨別；伴隨未成年人個人信息的整個生命周期采用“元數(shù)據(jù)標簽”(meta-data tagging)設計，記錄信息收集、利用及傳輸?shù)娜^程，使未成年人有機會詳細掌握其信息的利用狀況與流程。更進一步地，企業(yè)應當利用技術限制未成年人使用時長，明確適齡范圍，對內容嚴格把關(如青少年模式的運用)；不以默認、捆綁、停止安裝使用等手段變相強迫用戶授權，從而重新陷入“全有全無”的路徑困境；根據(jù)自身的規(guī)模及狀況建立適當?shù)奈闯赡耆藗€人信息保護政策、隱私管理體系等。通過隱私設計可使未成年人個人信息流轉更加透明，調動未成年人參與信息生命周期的積極性，扭轉未成年人在個人信息生態(tài)系統(tǒng)中的弱勢地位，同時推動信息價值的開發(fā)，甚至衍生出新的商業(yè)模式[注]范為.大數(shù)據(jù)時代個人信息保護的路徑重構——初探歐美改革法案中的場景與風險理念[J].網(wǎng)絡信息法學研究,2017,(1):279.。當然，在強調企業(yè)社會責任承擔的同時，需要考慮企業(yè)規(guī)模、層次和時間帶來的差異。比如應對生存型、發(fā)展型和社會型企業(yè)有不同的定位和要求。

(三)規(guī)范監(jiān)管機構行為：監(jiān)管機構獨立地履職盡責

在未成年人個人信息保護中，當我們維護未成年人利益，約束企業(yè)利益時，規(guī)范監(jiān)管機構的利益不可或缺。人類總是試圖過一種理性的、有意義的和有目的的生活，但對不確定性的恐懼使其一直渴求可預見性和規(guī)則性?？深A見性意味著行動者可以計劃和安排自己的行為，并自甘風險或自負其責。規(guī)則性意味著行動者依據(jù)一定的標準、規(guī)則或原則去行為，且行為具有較高程度的有序性和穩(wěn)定性，當行為偏離規(guī)則時默認應受指責或懲罰[注]沈宗靈著.現(xiàn)代西方法理學[M].北京：北京大學出版社,2007.147-149.。根據(jù)哈特在《法律的概念》中對于規(guī)則的論證：公民對規(guī)則的接受，大部分人可以基于內在觀點的視角將規(guī)則的要求內在化，以作為自身的行為標準予以遵循。但是總有少部分人，出于其他理由或利益的考量，對規(guī)則僅是一種外在觀點的態(tài)度，即出于對懲罰的恐懼才遵從規(guī)則。權力的行使不僅要求正視權力的存在，同樣也要求其他人對這種合法性權力的接受。監(jiān)管恰好提供了可預測性和規(guī)則程序的承諾，提供了一種紀律和控制的形象[注][英]馬丁·洛奇，[英]凱·韋格里奇.現(xiàn)代國家解決問題的能力[M].徐蘭飛，王志慧譯.北京：中國發(fā)展出版社,2019.73-76.。因此，制定監(jiān)管機構管理規(guī)定的主體應清楚明白，不僅要規(guī)定行為的標準或指南，還應規(guī)定偏離行為后的后果或責任。

監(jiān)管機構行使職能的領域很寬泛，即一切可被監(jiān)督的領域皆可監(jiān)督。而未成年人個人信息保護中最重要的領域就是企業(yè)，特別是對未成年人個人信息后續(xù)利用的第三方主體。其次就是未成年人、父母注冊賬號并發(fā)布信息的行為，學校對移動App的審核行為和人臉識別技術獲取信息的安保行為。監(jiān)管機構的監(jiān)督管理職能，如果僅停留于淺層的、概括性的“監(jiān)督管理”，那么容易變成口號，流于形式，不足以制約企業(yè)等主體的逐利行為。同時，若監(jiān)管機構缺乏被監(jiān)管企業(yè)的接受認可，任何形式的執(zhí)法活動可能被這些企業(yè)依靠他們的資源優(yōu)勢和無數(shù)的法律審查來挫敗。因此，緊隨監(jiān)督管理之后的應該是一些合理且相稱的懲戒性規(guī)定或制裁，以確保法律規(guī)定得到遵守或執(zhí)行。即監(jiān)管是以法律制裁為后盾的直接命令指導。正如戈登·塔洛克所言，有效制裁相當于其他人受益于遵守管理當局規(guī)定的價值[注][美]戈登·塔洛克.公共選擇[M].柏克，鄭景勝譯.北京：商務印書館,2015.580.。當然，絕對嚴格的懲戒性規(guī)定，有可能限制企業(yè)的創(chuàng)新動力，不僅不利于維護未成年人利益，反而影響未成年人在社會媒體平臺上的言論自由。所以，更恰當?shù)囊环N做法是建立完善的非強制激勵性監(jiān)管。也就是說，以系統(tǒng)設計的方法進行創(chuàng)新，嘗試去發(fā)展出一套主要依賴被監(jiān)管者自我監(jiān)管的體制，并將監(jiān)管者的角色轉變?yōu)闄z查自我遵守。這種方法可以使監(jiān)管聚焦重點，鼓勵靈活性和自由裁量。同樣可以說，它也鼓勵監(jiān)管者和被監(jiān)管者就目標和方法進行專業(yè)化對話[注][英]馬丁·洛奇，[英]凱·韋格里奇.現(xiàn)代國家解決問題的能力[M].徐蘭飛，王志慧譯.北京：中國發(fā)展出版社,2019.80.。

監(jiān)管可以矯正因企業(yè)過分逐利帶來的市場失靈以維護公共利益，但當監(jiān)管被俘獲、濫用或虛設時，就會抑制市場和企業(yè)自律治理的有效性，導致市場秩序惡化，嚴重制約經(jīng)濟發(fā)展，損害公眾利益，造成社會不公。因此，為有效發(fā)揮監(jiān)管的作用，就需要必要的設計和要求。比如，形成信息公開以確保監(jiān)管權透明運行；建立行政程序以確保監(jiān)管的民主參與；確立行政問責以確保權責一致原則的踐行；建立審查機制對監(jiān)管規(guī)定定期更新和廢棄等。需要注意的是，監(jiān)管若要發(fā)揮應有的價值和作用，最重要的是保證監(jiān)管機構與傳統(tǒng)行政部門之間形式上和實質上的獨立性。正如斯特恩所說，“真正獨立的監(jiān)管者”是那些不由一般性預算支持的機構，同時又保證監(jiān)管員工的任期穩(wěn)定性[注][英]馬丁·洛奇，[英]凱·韋格里奇.現(xiàn)代國家解決問題的能力[M].徐蘭飛，王志慧譯.北京：中國發(fā)展出版社,2019.80.。

無論是對個體還是國家而言，堅持某種原則、標準或價值會帶來損失，但也會帶來收獲。在未成年人個人信息保護中，堅持“一個基本三方聯(lián)動”，會使企業(yè)經(jīng)濟利益受限，但這種受限是一種必要的損失。因為，只有通過限制企業(yè)經(jīng)濟利益，規(guī)范監(jiān)管利益，才能有效維護未成年人利益。