大数据时代儿童的个人信息保护制度的完善ImprovingtheProtectionSystemofChildren’sPersonalInformationintheEraofBigData

大数据时代儿童的个人信息保护制度的完善

彭馨雨，刘远征

中国海洋大学法学院，山东青岛

收稿日期：2024年4月15日；录用日期：2024年4月23日；发布日期：2024年5月31日

摘要

关键词

个人信息保护，儿童，基本权利，大数据时代

ImprovingtheProtectionSystemofChildren’sPersonalInformationintheEraofBigData

XinyuPeng,YuanzhengLiu

SchoolofLaw,OceanUniversityofChina,QingdaoShandong

Received:Apr.15th,2024;accepted:Apr.23rd,2024;published:May31st,2024

ABSTRACT

Keywords:PersonalInformationProtection,Children,FundamentalRights,BigDataEra

ThisworkislicensedundertheCreativeCommonsAttributionInternationalLicense(CCBY4.0).

1.问题的提出

综合以上案例来看，大数据分析技术的不断发展使得从海量数据中提取个人敏感信息变得更加容易。但在实际操作的过程中，我国现行的法律体制很难为其提供及时的救济。大数据时代，儿童利益最大化的共识为世界所承认，儿童的个人信息、隐私数据保护正逐步成为个人信息保护的重点领域。2020年修订后的《中华人民共和国未成年人保护法》(以下简称《未成年人保护法》)新增设“网络保护”专章用于应对数字时代的对儿童个人信息带来的种种挑战。因此，对儿童个人信息权值得进行深入的研究。由此，本文以我国20世纪末以来颁布的有关儿童信息保护法律法规为基础，对我国近20年儿童信息保护机制演进进行分析，为我国构建新时代中国特色社会主义儿童信息保护机制提供历史参考和理论借鉴。

2.我国儿童个人信息保护制度的立法现状

(一)我国儿童个人信息保护的法理基础

从儿童本身来看，儿童是“自然弱势群体”[6]，其特征显著地体现在其“未成熟状态”上[7]。这种未成熟状态不仅指的是生理上的尚未发育完全，更重要的是指儿童在认知、情感和行为上的稚嫩和缺乏经验。由于他们尚未形成完整的思维体系和自我保护意识，因此无法运用理性为自己的权益进行斗争，也无法独立承担自己的行为所带来的后果。因此，儿童个人信息的保护显得尤为重要。而儿童个人信息保护面临着立法不足、技术滞后、社会认知不足等一系列问题。大数据时代如何有效地保护儿童信息权利成为亟待解决的问题。为此，有必要深入研究大数据时代儿童个人信息的制度演进过程。

(二)我国儿童个人信息保护的演进发展

就历史发展而言，我国对数据信息的最初保护应该可以追溯到2003年的《居民身份证法》[8]，2009年《刑法(修正案七)》在第253条增设了“侵犯公民个人信息罪”，首次将非法提供获取公民个人信息的行为纳入刑法的调整范围。2012年全国人大常委会通过了《关于加强网络信息保护的决定》，明确国家保护网络信息安全，网络服务提供者和其他企业事业单位及其工作人员收集个人信息应当遵循合法、正当、必要的原则，并履行防止信息泄露的义务。此后，国务院于2013年1月21日发布了《征信业管理条例》，2013年7月16日工业和信息化部制定了《电信和互联网用户个人信息保护规定》，全面加强对个人信息的保护。而国家互联网信息办公室于2019年8月22日审议通过，并于同年10月1日正式实施的《儿童个人信息网络保护规定》(以下简称《规定》)更是开启了儿童个人信息保护专门立法的进程[9]。

(三)我国儿童个人信息保护的立法现状

我国在儿童互联网治理方面，采取了一种“以立法为主导，辅以行业自律和技术手段”的模式[10]。目前尚未出台专门针对儿童个人信息保护的法律，因此，对儿童个人信息的保护采用一种“分散立法”的模式。

我国对儿童个人信息的保护虽然可以在许多法律法规中找到依据，但多为原则性规定且相对分散，未对其进行特殊保护。比如在我国《宪法》第33条“人权条款”，第37条“人身自由条款”，第38条“人格尊严条款”和第40条“儿童保护条款”都可以找到对儿童个人信息保护的影子，但是毕竟还是没将儿童个人信息保护以明确规定，在保护力度上略显不足。又如《民法典》第110条对自然人的个人信息予以明确的法律保护，但是仍旧缺乏对儿童个人信息保护的专门规定。这极易使得儿童在个人信息受到侵害时由于缺乏具体保护和处罚措施，儿童个人信息难以得到真正保护。因此，我国在儿童个人信息权保护方面仍需加强立法，明确保护措施和处罚机制，以更好地保障儿童的合法权益。

3.我国儿童个人信息保护制度的主要问题

我国对于个人信息的保护力度在法律法规的修改与出台中得到了不断加强，这体现了立法机关对于个人信息权益的高度重视。同时，也开始逐步认识到儿童个人信息需要得到更为特殊的保护。然而，在立法层面，我们仍然面临着诸多亟待解决的问题与挑战。

(一)儿童个人信息保护法律体系不完整

(二)儿童个人信息的年龄界限不统一

在我国，儿童的年龄并没有一个明确的法律定义。《预防未成年人犯罪法》和《未成年人保护法》将18岁作为未成年人的年龄标准，这为我们提供了一个基本的参考。我国《民法典》以年龄标准划分自然人民事行为能力，而在行政法规中，儿童年龄的标准也并不统一。例如2019年网信办颁布的《规定》中明确指出其保护对象为不满14周岁的儿童，其中并未涵盖14至18周岁年龄段的未成年人，但工业和信息化部2013年2月21日实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》却将对儿童个人信息进行保护的年龄限定为16周岁，这种差异导致在实际操作中，对于儿童个人信息的保护存在一定的混乱和不一致性。儿童年龄的定义问题如此重要是因为这涉及家长同意的问题，即儿童何时才能独立决定个人信息的处理问题而无需家长同意，而这与儿童的民事行为能力是截然不同的两类问题，这一问题的答案直接关系到儿童个人信息的安全和隐私保护。

(三)监护人知情同意的合理性存疑

网络运营者收集或处理儿童信息必须征得监护人同意已成为全球共识，但针对“监护人同意”，学界主要存在三种质疑：

4.我国儿童信息保护制度完善的路径

党的十八大以来，党中央高度重视数据秩序的法律治理工作。网络与信息安全保障体系被放到了前所未有的高度。党的二十大报告中提到要加强个人信息保护，强化数据等安全保障体系建设。而我国儿童个人信息保护的治理实践起步较晚，面临诸多现实困境，具体表现为儿童个人信息保护制度不完善、责任主体不明确、监护同意规则规定不明确、信息管理制度体系不健全等。

(一)完善儿童个人信息保护法律体系

(二)构建多方一体的儿童个人信息保护体系

对儿童个人信息进行完善保护的前提是厘清包括国家、网络运营者以及儿童的父母监护人等主体在其中扮演的角色与承担的责任。国家应该积极响应儿童隐私保护的需要，在儿童信息权利保护专门性立法上应当持续发力，着力解决“政出多门”可能导致法律条文衔接不畅的问题，健全立法部门协调机制，加强沟通交流，减少法律法规之间的冲突。同时以法律条文的形式明确规定儿童信息的监管主体，完善儿童个人泄漏事件发生后的救济机制，建立健全儿童权利保障的特殊司法机构和司法程序，为儿童信息权益的保护提供强大的法律屏障。网络运营者要强化责任意识，加强行业自律，除了传统的事后监督模式外，更应该自觉营造良好网络环境，充分做到事前和事后双向发力；监护人需要增强儿童个人信息的保护意识，认识到儿童信息泄漏带来的严重后果，防范自身行为可能给儿童招致的风险。

(三)合理调整儿童的年龄界限

由于未成年人在认知能力和理解能力上尚未完全成熟，因此，法律设立了父母知情同意规则，以确保他们在处理个人信息等事务时得到充分的保护。然而，仅仅依赖年龄标准来评价未成年人的认知能力显然是不够的。儿童的认知水平受到地域、经济发展水平、文化传统等多种因素的影响，因此，设定一个相对宽泛的年龄界限是必要的。在这个背景下，法律对未成年人个人信息保护的规定并非一成不变。因此，如果存在足够的证据表明未成年人已经具备了相应的认知能力，那么法律将不再为其提供特殊保护，同时也不再赋予父母或其他监护人相应的权利。这种灵活的处理方式既体现了法律的公正性，又兼顾了未成年人的成长需求。

在探讨未成年人个人信息保护的问题时，我们不可避免地要面对如何界定“未成年人”这一群体的难题。现有的以某个具体年龄作为界限的“一刀切”做法，虽然操作简单，但往往忽视了未成年人在不同年龄阶段的认知能力和心智成熟度的差异。因此，本文主张以义务教育阶段作为划分标准，以此更全面地反映未成年人的实际认知水平，并适应社会发展做出灵活调整[17]。同时，这种划分方式也允许监护人在《民法典》规定的8周岁至完成义务教育这一范围内，根据未成年人认知能力的实际发展情况自主决定是否同意其独立处理个人信息。我们可以根据学生在校表现、学习成绩等多方面的指标来综合评估其认知能力和心智成熟度。这相较于单纯以年龄为界限的划分方式，这样更能减少法律执行中的争议和纠纷，提高法律实施的效率和公正性。

(四)建立监护人同意验证机制

为此，可以借鉴欧洲GDPR关于“数据保护认证”的做法，我国可以构建一套完善的儿童数据保护体系。具体而言，应建立统一的认证机制，确保通过认证的平台具备儿童数据保护的能力，并由官方认证机构颁发相应资质证书。这样，不仅有利于降低中小企业的运营成本，还能在加强儿童保护与促进市场发展之间找到平衡点。为了进一步确保儿童数据的安全，还需建立统一的监护人身份验证平台。这个平台可以综合运用支付系统、人脸识别、政府数据库核对等多种方式，以验证监护人同意的有效性。这种一致的验证平台和验证方法不仅简化了监护人的操作流程，降低了学习成本，还有助于防止监护人因难以理解相应条款或掌握验证方法而逃避履行监护义务。关于如何验证父母同意这一问题，则可以参考美国COPPA的“可验证的父母同意”原则，即任何涉及儿童个人信息的收集、使用、披露的后续使用，都应当由操作主体尽到向孩子父母通知的义务，并在征得父母同意的前提下进行。

(五)采取双重同意模式

我们要明确的是，儿童的利益与其父母或其他监护人的利益并不总是完全一致的。在某些情况下，这两者的利益甚至可能发生冲突。例如，父母可能为了孩子的安全和方便，而过度披露孩子的个人信息，但这样做可能会侵犯孩子的隐私权。因此，在处理儿童个人信息时，我们应遵循儿童最大利益原则，确保儿童的权益得到充分保障。尽管儿童在多数情况下不具备完全的行为能力，也不能像成年人那样独立地保护自己的权益，但这并不意味着我们可以忽视他们的需求和权益。相反，我们应该将儿童视为独立的个体，尊重他们的权利，并通过教育和引导，提高他们的自我保护能力。这样，即使在没有父母或其他监护人监督的情况下，儿童也能更好地保护自己的个人信息。