解析未成年人个人信息保护替...__探索年龄界分“阶段化”_代超越.pdf

法治经纬70探索年龄界分“阶段化”法人特约撰稿 代超越 金励未成年人在享受互联网带来的便利之余，其个人信息也被各类互联网应用广泛收集。中华人民共和国个人信息保护法将不满 14 周岁未成年人的个人信息列为敏感个人信息。第三十一条第一款强调，处理不满 14 周岁未成年人的个人信息应当取得父母或其他监护人同意，即替代同意制度。法律规定中，年龄界分成为限制未成年人个人信息处理活动的唯一标准，决定信息处理者处理行为的受限范围。本文从保护未成年人个人信息的核心制度出发，分析未成年人个人信息保护的年龄界分标准存在问题，提出“阶段性”划分方法，探索全面保护未成年人个人信息的新路径。“赋权与保护”困境根据替代同意制度的规定，个人信息处理者应当尽到“双重验证”义务，即首先验证个人信息被处理的自然人是 14 周岁（下称“14 岁”，16 周岁下称“16岁”）以下的未成年人，其次验证作出同意的主体是该未成年人父母或其他监护人。从“保护”角度看，替代同意制度本质上是通过对未成年人自决权利的限制实现保护未成年人个人信息的目的，监护人能够完全取代作为权利主体的未成年人作出决定。年龄界分决定了未成年人自决权利被限制和让渡的时间长度及严格程度，从而间接影响个CFP解析未成年人个人信息保护替代同意制度新知法人杂志2023年07期71人信息处理者的处理行为被制约程度。因此，合理划分该制度适用年龄与制度本质相符合，对于实现该制度的初衷具有重要意义。从“赋权”角度看，父母或其他监护人既不是权利主体，也不是义务承担者，而应当是基于法律规定受让未成年人个人信息自决权的“受让人”。互联网时代为未成年人提供了更丰富的信息、更广阔的视野，其学习能力迅速发展，表达需求随之增长。监护人受让未成年人的信息自决权利后不应长期、完全地掌控该权利，而应当根据未成年人的心智发展程度适时将权利“归还”未成年人，防止监护人过分剥夺未成年人的自决权利。因此，替代同意制度的年龄界限决定了对未成年人“赋权”的时间节点，合理划分年龄界限是尊重未成年人权利主体地位和信息自决权利的要求。总之，“赋权与保护”困境是互联网时代未成年人个人信息保护必须解决的问题，法律应当在保护未成年人个人信息和尊重未成年人的自我决策权之间寻求平衡。年龄界分是替代同意制度实现该种平衡的支撑点和关键点，是保护未成年人个人信息的起点和前提。“年龄划分”困境从世界范围来看，各国确定了不同年龄界限。美国儿童网络隐私保护法（COPPA）将“儿童”定义为“16岁以下的个人”。欧盟 GDPR 以 16 岁为适用标准，但在13 岁到 16 岁之间保留了各成员国的自由裁量空间。中国主要以 14 岁作为年龄划分界限。从替代同意制度的内容和实施情况看，年龄界限的划分面临如下困境：（一）年龄划分标准缺乏层次性立法通过延续现有法律规则，规定了 14 岁这一年龄界分点。但固定年龄标准不仅可能剥夺未成年人利用网络学习和社交的自由，也会导致未成年人难以理解这一标准很难向一个 14 岁的孩子解释为什么使用互联网需要家长替代同意，而到 15 岁就不需要了。法律应当尊重未成年人的发展规律，关注其发展的层次性。具体而言，未成年人成长的层次性主要表现为纵向的阶段性和横向的场景性。从纵向看，未成年人随着年龄增长，心智不断成熟，逐渐能独立行使其信息自决权利。从横向看，网络环境的场景会影响信息的性质，同一年龄段的未成年人个人信息在不同网络场景下的风险可能不同。因此，单一年龄界分难以满足替代同意制度更加合理实施的需要。（二）评价划分标准缺乏实践基础一项制度实施效果需要通过解决实践中的纠纷来验证。信息网络技术性强、用户数量多导致影响范围广、维权难度大和成本高昂的特点，使得有关替代同意制度的司法案例较少。从年龄划分角度看，司法案例缺乏的原因亦有年龄界分单一导致的保护范围过小、对不同阶段未成年人个人信息权益关注不足的因素。因此，制度内容本身及制度实施现状都要求对年龄界分进行反思和改进。完善年龄界分标准目前，对年龄标准的完善建议大体有三种：一是保留单一年龄划分标准，但在 14 岁基础上适当提高（如改为 16 周岁）。二是避免“一刀切”式的唯一标准，进一步细化年龄段。三是以结合场景个性化评估取代单一年龄标准。“一刀切”式的划分方法忽视了未成年人成长的层次性，而以成熟度为标准需要出台配套的个性化评估标准或指南，目前国内法律规定不存在依据场景而个性化评估的解释空间。笔者认为，解决替代同意制度中年龄界分困境，应当以 14 岁、16 岁为标准，采取阶段性划分的方法（参见下页图表）。首先，应当保持现有 14 岁的标准，处理 14 岁以下未成年人个人信息应当取得其父母或监护人同意。保持法律规定现状能够节约立法和司法成本，促进法法治经纬72律制度推行和适用，有利于维护法律体系性和完整性。其次，处理 14 岁到 16 岁的未成年人个人信息只需经过未成年人本人同意，但是个人信息处理者应当协助监护人知情并设置监护人反馈其意见的途径和渠道，及时根据监护人反馈情况调整处理行为。以 16岁为标准，是因为随着未成年人同意能力的提高，应当允许其作为信息主体行使自决权利，同时可与欧盟GDPR、美国 COPPA 等国内外立法趋势相接轨，有利于减轻企业合规负担，推进标准的适用。之所以让监护人知情并提供反馈意见的渠道，是因为此阶段未成年人对于个人信息处理者的行为不能形成全面认识，需要监护人加以监督，并可以发挥监护人积极作用，逐步培养未成年人个人信息安全意识。最后，处理 16 岁以上未成年人个人信息须经本人同意，但是应当注意区分场景，在高风险场景应当协助监护人知情并提供反馈意见渠道。16 岁以上未成年人的网络行为愈发成熟,应当减少对其个人信息自决权利的干预。但是，16 岁以上未成年人对网络金融等高风险场景下的个人信息处理行为仍难有足够认知和充分判断，需要监护人辅助和监督。此外，应当增强上述年龄界分标准适用的灵活性。以 14 岁和 16 岁为标准虽然细化和扩展了替代同意制度的实施模式，但是仍然可能面临实践中适用的模糊性。比如，实践中若纠纷当事人信息被处理的时间刚好处在划分节点前后，应适用何种规则？僵化适用年龄界分规则容易导致赋权与保护的失衡。因此，在年龄界分标准不明确时，应当结合具体场景判断信息处理的风险、未成年人的同意能力与风险是否匹配等，从而明确应当依照哪一年龄段适用替代同意制度。综上所述，未成年人心智成熟不会一蹴而就，监护人保护不应生硬地终结。对未成年人的赋权与保护正如天平的两端，在未成年人 14 岁之前，保护端应当重于赋权端。在 14 岁之后，天平才逐步趋于平衡。因此，在替代同意制度下，监护人的干预并非只包含“有”或“无”两种绝对情形，而应当采用“监护人知情设置反馈渠道”的模式，使赋权和保护都是和缓而协调的、处于动态平衡之中，从而更加契合未成年人发展的层次性特征。（作者金励系西南政法大学经济法学院副教授；作者代超越系西南政法大学民商法学院学生）（责编 王茜）年龄段 个人信息处理者适用替代同意制度的规则 结合具体场景选择与场景相符的替代同意规则014周岁14周岁16周岁16周岁18周岁适用年龄标准不明确须经父母或其监护人同意须经未成年人本人同意；协助监护人知情并设置监护人反馈渠道须经未成年人本人同意；在高风险场景下协助监护人知情并设置监护人反馈渠道