新闻中心

NEWS CENTER

首页

视点｜网络平台中未成年人个人信息的法律保护

Published:

2024-12-31

在网络平台中存在未成年人个人信息泄露、滥用等非法处理的问题，极大影响未成年人的身心健康。我国从法律方面不断推进未成年人个人信息权益的保护，16周岁以下的未成年人群体是保护对象，未成年人的个人信息属于敏感信息，应当从严保护。监护人知情同意机制作为网络平台中未成年人个人信息保护的法律前置原则，存在适用上的困境，可以进行“情景化差异”的区分适用。另外未来未成年人个人信息保护的立法进路应当更加专门化和精细化。

摘要：在网络平台中存在未成年人个人信息泄露、滥用等非法处理的问题，极大影响未成年人的身心健康。我国从法律方面不断推进未成年人个人信息权益的保护，16周岁以下的未成年人群体是保护对象，未成年人的个人信息属于敏感信息，应当从严保护。监护人知情同意机制作为网络平台中未成年人个人信息保护的法律前置原则，存在适用上的困境，可以进行“情景化差异”的区分适用。另外未来未成年人个人信息保护的立法进路应当更加专门化和精细化。

关键字：网络平台；未成年人；个人信息保护；法律机制

一、问题的提出

2022年6月未成年人网络保护研讨会发布了《未成年人网络保护现状研究报告》（以下简称“报告”），该报告显示近年来未成年人信息泄露事件频发并分析了未成年人个人信息泄露的原因。报告的发布背景不仅在于网络技术日益发展，未成年人可参与的网络平台层出不穷的社会环境；也是基于近年来网络平台中未成年人个人信息权益纠纷的事件频发，未成年人的个人信息权益亟待保护。2022年8月18日，杭州互联网法院公布了“未成年人网络保护”民事公益诉讼全国第一案的调解结案。该案起因是余杭区检察院发现某公司所运营的一款短视频APP存在侵害众多不特定儿童个人信息的侵权行为，具体表现为该APP没有对未成年人的信息作出区分管理，用户只要点击“关注”后，就可以与未成年人账户进行私信联系，并可以获取未成年人用户的地理位置、面部特征等个人敏感信息。该款APP还会通过后台算法向喜爱浏览未成年人内容的用户推送含有未成年人个人信息的短视频，此种推送机制让犯罪分子有机可乘。检察院于2020年12月2日向杭州市互联网法院提起民事公益诉讼，最终以调解结案，该科技公司赔偿损失150万元用于儿童个人信息安全保护等公益事项，并对短视频APP进行整改。这一起案件是众多违法侵害未成年人个人信息权益的企业的一个反映。

2024年1月1日正式施行《未成年人网络保护条例》，加大了对未成年人网络保护的力度。虽然《民法典》《未成年人保护法》《未成年人网络保护条例》等相关法律法规加大了在法制层面对未成年人在网络平台中个人信息的保护，但有一些问题仍需要进一步的界定和完善：

第一，未成年人个人信息保护的主体范围界定问题。对于未成年人的界定普遍采用年龄标准来划分，但不同的学科领域对于年龄划分标准亦存在不同的主张，本文将探讨网络平台中未成年人个人信息保护主体范围划定时该如何界定未成年人这一概念；第二，未成年人个人信息保护的客体范畴都有哪些？上文案件中提到了未成年人的地理位置、面部信息等，那对于未成年人的个人信息哪些才是需要法律去保护的客体？第三，在《民法典》《网络安全保护法》《个人信息保护法》《未成年人保护法》《未成年人网络保护条例》等一系列法律出台后，对于仍需改善的问题，如何再构建未成年人个人信息权益保护的法律机制？本文将重点对于以上问题进行探析。

二、网络平台中未成年人个人信息保护的主体范围

（一）未成年人年龄标准的界定

自然人的个人信息受到法律保护，未成年人属于自然人范畴中较为特殊的一类主体。之所以特殊，是由未成年人在身心发展方面的不完全性决定的。相较于成年人，未成年人的个人信息更具敏感性特征，其应受到更为特殊的保护。需要注意的是，在我国民法中的未成年人不完全等于个人信息保护法下的未成年人，对其进行特殊个人信息保护的年龄范畴界定应当综合关于未成年人的立法保护与民事行为能力进行综合考虑，平衡好未成年人的人格权益保护与个人社会发展空间是当务之急。中国现行的法律规定未成年人是指年龄在18周岁以下的自然人，与此相关的法律中的关于年龄规定的还有：《中华人民共和国义务教育法》规定我国青少年的义务教育期为6-16周岁，其教育权益的保护周期并未满十八周岁。并且我国《劳动法》中也明确规定，未满16周岁的未成年人不享有劳动权，16周岁以上的未成年人可以参加劳动，并获取相应的报酬。而在我国的《民法典》中的有关年龄规定如下：18周岁以下的自然人是未成年人，8-18周岁的未成年人的民事行为能力类型划分为限制民事行为能力人，但其中有一种例外情形：年龄已满16周岁，而且以自己的劳动收入为主要生活来源的未成年人已获得独立生活能力，其已经具备了等同于成年人的判断能力，人格健全程度，因此，我国民法将其拟制为具有完全民事行为能力的人，此时可以独立承担民事责任。由此引申出关于我国未成年人个人信息保护的年龄范畴应当具体到几岁合适的问题。笔者认为，应当对16周岁以下的未成年人个人信息进行法律上的特殊保护，具体缘由如下：

1.我国现阶段网络使用程度普遍化

16周岁以上的未成年人对于网络的使用程度已经较成年人更高，其如今网络行为已经趋于成年化，监护人对其进行网络行为监督的程度无法全部实现，而且从事信息业的主体难以通过现有的技术逐个甄别信息的发布主体。倘若对16周岁以上的未成年人的个人信息进行特殊保护就需要网络使用行为进行逐个甄别，这注定会对信息业者的经营活动产生过高的成本沉没，于其监护人而言也是几乎不可能完成的任务。倘若如此限制，民法中拟制为完全民事行为能力人的16周岁以上未成年人的特殊主体也无法完全实现其劳动权，对于他们的人格健全与养成是不利的，同样也会限制其社会能力的发展。

2.16周岁以下的未成年人的人格发育的不完全性也是其需要被特殊保护的缘由之一

正处于身心发展过程中的未成年人对网络世界的好奇度较高，其对隐私保护的意识不强，此阶段的未成年人难以做出理性判读，无法甄别个人信息的敏感性。容易将个人信息不加保护地向外界提供，而这些信息一旦被不当处理，将造成非常多无法弥补的损害。在保护难度上来讲，16周岁以下的未成年人正处于接受义务教育的阶段，学校与家庭占据其主要的生活空间，此时，作为监护者的家庭成员与学校都可以对其进行有效地引导与保护，对其使用网络的行为做好监督与控制。

3.不妨碍16周岁以下未成年人的社会参与

16周岁以下的未成年人还无法参与社会工作，对其个人信息的特殊保护也不会造成对其社会参与权的影响，同时其劳动权仍然不会受到限制。参照我国民法典的做法可以将16周岁以上的未成年人视作完全行为能力人，因此无需对其特殊保护，这个过程是个人信息保护逐步让位人格发展的阶段，是一个承上启下的过渡时期。同时，完成了义务教育阶段，16周岁以上的未成年人即将达到高等教育阶段，或参与社会工作，正渐渐与之前较为严格的监控与教育环境相脱离，对其特殊保护个人信息的做法已然不如对16周岁以下的未成年人的特殊保护更具备合理性。

4.小结

基于以上理由，综合考虑中国对未成年人的法律保护传统，结合我国未成年人的网络使用现状，应当对我国16周岁以下的未成年人个人信息进行特殊保护。

（二）个人信息保护中未成年人与监护人的关系

监护人对被监护人有抚养、教育等义务。负有法定的监护人对未成年人的监护过程中需要依法了解关于未成年人的个人信息的处置情况。包括其信息内容，以及被第三方进行获取、存储、使用、利用的情况。为了对未成人的利益与身心发展更有利，监护人有必要对未成年人的个人信息进行更充分地了解，即广泛的知情权，又由于需要在必要时刻代理其做出民事行为，也需要具备广泛的决定权。于是基于此种监护关系，监护人对未成年人个人信息中的隐私性与敏感性信息仍然具备依法获取的权力，对于被监护人在网络社交软件中使用的个人信息：具备可识别信息素的图片、生物信息、聊天记录、地理位置等一系列社会活动数据，以对此进行识别，防止第三方违反对未成年人个人信息保护的法定义务。无可避免地是，在对未成年人个人信息的知情权在使用时需要注意与未成年人个人成长空间的碰撞。监护人行使知情权需服务于未成年人的权利保护，促进其身心的更好更健康发展，帮助其做出更合理的选择。在获取未成年人个人信息的方式方法上应当尽量做好事前的充分沟通，避免使用暴力、欺骗、窃取等不正当的手段获取。

（三）监护人同意制度

国内的各大网络平台在2019年《儿童个人信息网络保护规定》出台后纷纷特设了关于“未成年人信息”条款内容。但具体观察几个具有代表性的网路平台，例如百度，抖音均只模糊规定了关于未成年人信息或许需要监护人同意的条款，但具体到多少岁的未成年人需要被特殊保护均未注明。同时，这种同意制度有虚设意味，如何获取监护人的同意未置可否，缺乏更具有操作性的规定，如果只是简单地需要监护人阅读相关条款。如果不同意“隐私政策”的相关条款，将对其实施终止服务，但实际上，这种制度实际在监护人同意前就已经收集了未成年人的个人信息，相当于是事后通知。一旦将未成年人个人信息在网络上留下记录，就非常难以完全擦除。因此监护人同意制度是否能够继续适用仍然值得学界讨论。

三、未成年人个人信息保护的客体范畴

（一）个人信息权与隐私权的交叉关系

我国在颁布《民法总则》之前，对于个人信息的相关立法是缺乏的。到《民法总则》时期，也只是对个人信息保护作出了一般的规定，只是宣示性的条款。很难落实到司法实践中。2016年通过的《网络安全法》从网络安全的角度对于个人信息进行了保护。到《民法典》时代，沿袭《民法总则》第111条对个人信息保护的宣示性条款的同时，还基本上吸收了《网络安全法》中的相关内容，并置于人格权编之中。同时隐私权作为一项具体人格权与个人信息保护并列在人格权编的一章之中。出现了个人信息与隐私权结构交叉的局面。

细读《民法典》第1032条可发现，对于个人信息又进行了更为细致的划分，其中个人私密信息既属于个人信息又属于个人隐私，并且1033条明确列举了，处理他人私密信息属于侵犯他人隐私权。这两个条文的规定，使得个人信息与个人隐私形成了内容上的交叉。

另外一个体现是适用规则上的交叉。《民法典》第1034条中确立了优先适用隐私权的规定。

在司法实践的案件处理上，还出现了案由的交叉。即为了适应民法典的制定，最高法印发修改后的《民事案件案由规定》，将以前的第三级案由“隐私权纠纷”改成“隐私权、个人信息保护纠纷”。

以上，便形成了个人信息保护与隐私权保护结构交叉、内容交叉、适用规则交叉、案由交叉的关系。随着《个人信息保护法》的出台，个人信息的定义虽然在第4条中给予明确的定义，但依然没有改变这种交叉关系。对于原告而言，因为不容易判断案由到底应该选什么，往往会选择同时提起隐私权与个人信息保护之诉，再由人民法院进行判断。

（二）未成年人个人信息属于隐私个人信息

我国将未成年人个人信息定性为隐私个人信息，其中是基于以下几个方面的价值考量：

1.我国宪法明确规定对公民的人身、财产权利进行保护

对未成年人个人信息保护的特殊性体现了以人为本的法律理念，符合宪法的要求。尊重未成年人的民事主体资格及其依法享有的基本权利，也是我国民法对未成年人的人格尊严进行特殊保护的体现。

2.出于社会公益价值考量，未成年人身心健康发展是必然选择在种种特殊保护的政策下，安全、稳定的网络空间净度提升，能够最大程度保护其合法权益，体现以人为本的社会治理理念。

3.规范市场秩序，维护市场价值

未成年人个人信息的产业化交易秩序得到维护，使其使用标准透明化。维护了信息从事业者的合法利用获取未成人年的个人信息所创造的市场价值。未成年人个人信息保护的重要性不言而喻，应当最大程度地保障其基本权利与人格健全发展，保护其个人隐私不受侵犯，保护其个人信息权不受侵犯。在这个基础上同时也需要有限度的合理开发未成年人个人信息的市场价值，挖掘其中创益因素。同时对我国信息产业进行促进开发，维护社会公共利益。

综合三方价值利益考量，我国个人信息保护立法应把未成年人个人信息作为隐私信息进行更具特殊性、严格性的保护。

四、未成年人个人信息保护法律机制

（一）未成年人个人信息权益的域内法律机制

我国近几年加快了有关未成年人个人信息权益保护的立法脚步，针对信息的收集者、利用者的网络平台以及发布信息和获取信息的用户都可以在现有的法律规范体系下找到规制所在。

1.从严保护：未成年人个人信息作为敏感信息

《民法典》中规定了个人信息与隐私权的交叉关系，个人信息又分为个人敏感信息和个人一般信息：前者属于个人隐私范畴，网络平台若不法收集、处理、使用个人敏感信息，将侵犯信息主体的隐私权，法律对其进行严格的规制；后者的敏感度和可识别性较低，网络平台可以合法合规地进行收集、处理和使用，从而满足网络社会信息可持续化发展的需要。《个人信息保护法》出台后对于个人敏感信息以及个人一般信息进行了更进一步的规范。从相关立法中，也可以看出，未成年人的个人信息的法律定性为个人敏感信息，受到从严保护。

未成年人的个人信息具有高度的隐私性和敏感性。在网络平台中，信息处理者基于合同等其他途径获取的未成年人的个人信息时，必须充分尊重和保护未成年人这一特殊主体的切身利益，保护未成年人的身心健康发展，不可直接采用普通用户信息处理的规则，需作出更加细致的区别划分。例如对于未成年人网络用户，不能直接根据未成年人的个人信息对其进行画像，对于互联网的有些内容不能直接对未成年人予以无限制的开放，对推送的广告、链接等进行严格的控制等等。因为若直接放任未成年人的个人信息如普通用户的个人信息一样，可能对这一特殊主体的权益带来无可估量的损失，在司法实践中，侵犯未成年人个人信息的网络侵权案件，显示出侵权主体分散、举证困难、法律因果关系模糊等问题。因此必须从严把控未成年人个人信息投入网络平台的关卡，将未成年人的个人信息统一划分为敏感个人信息的法律性质范畴，依法从严保护。

2.家长保护：监护人或家长知情同意机制

监护人或家长知情同意机制是基于隐私控制理论和亲权、监护权理论发展而来的，我国在2017年初，在《未成年人网络保护条例（送审稿）》第16条中便明确指出，未成年人的个人信息使用应当征得未成年人或其监护人的同意，此时还是在未成年人和监护人中择一获得同意，随着对未成年人个人信息保护的进一步加强，条件变得更加严格。例如在2019年8月，《儿童个人信息网络保护规定》第9条中明确规定了，网络运营者收集、使用儿童个人信息的，应当以显著清晰的方式告知儿童监护人，并征得儿童监护人的同意。但监护人知情同意机制也存在着一些问题，比如我国相关法律的规定采用了按照年龄划分的方式，进行了区别的对待，即对于收集年满14周岁的未成年人个人信息前，应征得未成年人自身或者其监护人的同意，属于二选一的同意即可；对于不满14周岁的未成年人，在收集使用他们的个人信息前，则必须征得监护人的同意。

家长或监护人知情同意机制存在一些应用困境。首先，仅仅只通过年龄的划分的可行性和合理性受到了学者们的质疑。并且在实际的网络平台中，真正以14岁作出划分的很少，例如在微信的隐私政策中明确限制的是收集16周岁以下的未成年人的个人信息；其次，家长或监护人的知情同意机制仅仅可以为网络平台使用未成年人个人信息前起到一个提示性的保护，众多网络APP的做法仅是在隐私政策中书面化的写明，缺乏实际技术上的保护。比如在网络APP 的入门注册环节，并且虽然在隐私政策中写出了明确的规定，但在具体实操性的技术上并未对未成年人个人信息作出注册上的限制。最后，即使是真正的征得了未成年人和监护人的知情同意，在授权个人信息的使用之时，也难以预料到自己的个人信息会遭到怎样的滥用，用户和信息处理者属于一个不对等的地位，立法过多的关注了收集未成年人个人信息前的同意，忽略了“一揽子”授权后的个人信息若被滥用后的后果处理。

3.教育者保护：明确对未成年人个人信息知情权及义务保护

在未成年人的生活区域除了家庭之外，学校及其他教育机构也是未成年人的主要生活场所。我国《宪法》规定未成年人享有受教育的权利和义务。因此教育者的保护也是未成年人个人信息保护的重要一环。我国的教育立法中缺乏对教育者获取未成年人个人信息范围和方式等的规定。尤其是在一些新型的教育设备的使用中，教育者收集未成年人个人信息的方式和范围应当受到更大的重视。如利用监控获取未成年人生活隐私的问题、“刷脸”等考勤方式是否侵害未成年人个人信息的问题以及在网络上公布未成年人成绩排名同时完成显示未成年人个人信息的问题等。美国的《家庭教育权和隐私法案》中对教育者获取、收集、使用、处理未成年人的个人信息进行了规定，在公立学校中，除了法定情形外，对学生信息的公布需要征得监护人的同意。我国也需要进一步明确教育者对未成年人个人信息的保护义务。

（二）未成年人个人信息权益的域外法律机制

1.美国：未成年人个人信息保护的专门性立法

美国很早之前便针对未成年人个人信息保护作出了一系列的立法。在联邦层面，颁布了《家庭教育权与隐私权法》（Family Educational Right and Privacy Act, FERPA）、《儿童网络隐私保护法》（Children’s Online Privacy Protection Act, COPPA ），以及联邦委员会出台的配套规则。国会也出台了一系列法规，有针对学生市场调研行为的《学生隐私保护法》（The Student Privacy Protection Act, SPPA)，该法规要求公司以市场营销目的收集18周岁以下的未成年人的信息必须征得家长的同意。2015年，国会继续出台《学生数字隐私和家长权利法案》（Student Digital Privacy and Parental Rights Act, SDPPRA）。

2.欧洲：将未成年人个人信息的处理作出了原则性规定

欧洲在2011年针对未成年人提出了网络风险保护的建议。在2018年5月的《一般数据保护条例》（GDPR）里面对未成年人个人信息的处理作出了原则性的规定，即知情同意前置的原则。但GDPR里面作出的原则性规定，在面对具体的网络平台侵犯未成年人个人信息纠纷之时，尚不够发挥有效的规范作用。

（三）未成年人个人信息权益的保护机制的完善

1.监护人：对监护人的知情同意机制的完善

上文提到了监护人知情同意机制的困境，为了对监护人知情同意机制进行改善，在法律机制层面的进路可以作出“情景差异性”的划分，即针对不同的特定场景划分监护人知情同意原则的应用。比如在健康场景下，医疗类的APP对于不同需求的未成年人需要调整监护人知情同意机制的应用，针对有治疗需求的未成年人可以强制应用监护人知情同意，但对于咨询需求的未成年人若强制应用监护人同意，可能阻碍未成年人与专业医疗人员的及时沟通，未必是对未成年人合法权益的保障，此种情况下可放缓监护人知情同意机制的应用。也就是监护人知情同意机制并不是未成年人个人信息保护的唯一标准，也不是唯一途径，应当作为一个服务手段进行“情景差异化”的区分。

另外针对监护人知情同意机制中未成年人的年龄界定，也不应该一刀切的规定，应当根据网络平台性质的不同作出不同的规定。

2.网络平台：信息存储和使用的主动披露和修改、删除提示要求

网络平台与网络用户在信息处理上处于不平等的地位，特别是针对未成年人这以特殊群体的时候，未成年人因其具有心智成熟度低、辨别能力低、知识储备不足等等特点，在授权个人信息之时，不能对网络信息处理者会如何应用他们的个人信息作出预判。此时，需要网络平台增加透明化处理的义务。

首先，针对网络平台对未成年人个人信息的存储和使用应当进行主动的披露。目前网络APP关于存储和使用个人信息的规定的披露采取“一揽子”放置在隐私政策中的做法，有的APP并不会主动弹出提示用户，有的APP即使会主动弹出提示，用户若想继续使用该软件，除了点击“同意”外没有其他选项。并且隐私条款都是基于现有的法律法规作出的笼统性的格式条款。要进一步加强网络平台对未成年人个人信息的存储和使用的披露，笔者认为可以在时间上采用定期公布，比如每三个月更新一次披露公告；在方式上，可以单独独立于隐私条款，单设未成年人个人信息部分。

其次，加大面向未成年人群体的个人信息修改、删除提示要求。我国《个人信息保护法》中规定了个人信息的删除权，但在实际应用中的操作还比较艰难，这一方面需要加大网络平台的技术要求，在网络平台这一端落实好个人信息修改、删除的举措。

3.法律机制：建立专门化和细分化的立法

虽然我们国家先后出台了关于个人信息保护的立法，对于未成年人个人信息保护的立法脚步也在加快。但在未来立法工作中，还需要以专门化和细分化为进路。比如针对网络APP未成年人隐私保障与信息安全的审核流程作出行业规范，对于网络平台滥用未成年人个人信息的行为进行定级处理；针对不同的侵犯行为作出不同的惩罚规范；还可以建立未成年人个人信息安全认证制度；构建未成年人个人信息重大安全事故责任制的机制等等。以上的设想都需要将未成年人个人信息保护的立法向专门化和细分化的方向推进。需要各个法律部门的协调配合以及司法解释、地方条例的配套措施。

五、结语

21世纪，随着科学技术的快速发展，我们已经进入大数据时代。网络平台的不断增多，各行各业利用网络进行的精准营销等等，都会随未成年人的个人信息权益产生着威胁。未成年人个人信息一旦受到侵害往往会比成年人承担更大的伤害。在此背景下，对未成年人个人信息保护的机制的建立与完善变得尤为重要。

在法律层面，未成年人概念及未成年人个人信息保护的客体的界定有利于进一步探讨法律机制的建立。笔者认为可以面对不同主体进行不同的机制建立探讨，在监护人层面，完善监护人知情同意原则；在网络平台层面，加大其对未成年人个人信息使用与处理的披露以及加大对未成年人个人信息修改、删除的提示要求；在立法层面，向着专门化与细分化的方向发展。借鉴吸收美国以及欧洲立法中符合中国实际的部分，形成完善的未成年人个人信息保护的法律机制，为保护我国未成年人身心健康发展的事业添砖加瓦。

关键词：

视点｜银行不良资产处置之路：法律视角下的破局与前行

视点｜行政公益诉讼诉前程序问题研究（下）

视点｜银行不良资产处置之路：法律视角下的破局与前行

视点｜行政公益诉讼诉前程序问题研究（下）