王 婭(吉林大學(xué)法學(xué)院，吉林 長春 130012)

一、問題的提出

信息技術(shù)的高速發(fā)展一直刷新著人類探索未知、認(rèn)識世界的極限。信息本身也以“石油”的姿態(tài)宣示著它獨有的價值與屬性。但與此同時，與之相伴的爭議也從未停止過。在這諸多爭議中存在著未成年人個人信息保護(hù)的問題，因這一問題關(guān)涉主體的特殊性和社會情境的復(fù)雜性，讓社會各界頗為關(guān)注。

根據(jù)《2020年全國未成年人互聯(lián)網(wǎng)使用情況研究報告》顯示，我國未成年網(wǎng)民規(guī)模為1.83億，未成年人互聯(lián)網(wǎng)普及率達(dá)到94.9%[注]《2020年全國未成年人互聯(lián)網(wǎng)使用情況研究報告》在京發(fā)布[EB/OL].(2021-07-20)[2022-02-18].http://www.cnnic.cn/hlwfzyj/hlwxzbg/qsnbg/202107/t20210720_71505.htm.。特別是2020年以來，很多學(xué)校將教學(xué)工作轉(zhuǎn)移至線上，利用網(wǎng)課進(jìn)行在線教學(xué)，推動了未成年人互聯(lián)網(wǎng)普及率的進(jìn)一步提升。網(wǎng)絡(luò)生活早已成為未成年人日常社交、娛樂與學(xué)習(xí)的一部分，因而，未成年人主動暴露自身信息(如位置、照片等)具有極大的可能性。在現(xiàn)實生活中，未成年人被動“交付”自身信息的現(xiàn)象也頗為顯著。比如，父母在微信、微博、快手以及抖音上瘋狂“曬娃”的視頻和照片；以教育、學(xué)習(xí)為主要應(yīng)用場景的各類App違法收集或濫用學(xué)生信息；學(xué)校部署的人臉識別門禁、課堂監(jiān)控設(shè)備等過度收集學(xué)生信息等等。上述諸多現(xiàn)象無不意味著，網(wǎng)絡(luò)服務(wù)提供者不僅可以輕松獲得兒童上網(wǎng)的實時數(shù)據(jù)，還可以獲得兒童成長的全歷程數(shù)據(jù)。因此，網(wǎng)絡(luò)環(huán)境下未成年人個人信息保護(hù)具有現(xiàn)實必要性。但是，未成年人正處于從無知到有知、不成熟到成熟的轉(zhuǎn)變時期，理解能力和認(rèn)知能力不足，缺乏生活經(jīng)驗和社會經(jīng)驗，在自我控制和自我保護(hù)方面存在短板。加之，互聯(lián)網(wǎng)的開放性、自由性、虛擬性、流動性和交互性使得未成年人隱私和信息更易于被傳播[注]劉德良，楊飛.網(wǎng)絡(luò)時代弱勢群體的法律保護(hù)[M].北京：法律出版社,2013.81-84.，范圍和影響力比傳統(tǒng)媒介更加廣泛，一旦其信息和隱私受到侵害，將引發(fā)未成年人數(shù)字身份失控、隱私風(fēng)險增加和潛在的歧視傾向等問題，給未成年人造成巨大的生理或心理上的傷害。因此，建構(gòu)未成年人個人信息保護(hù)機制不僅十分必要，而且迫在眉睫。

二、未成年人個人信息保護(hù)面臨的困境與爭議

(一)未成年人個人信息保護(hù)的現(xiàn)實困境

個人信息的保護(hù)關(guān)涉人性尊嚴(yán)和人格自由，其重要性和意義不言而喻。但個人信息的保護(hù)舉措更多是以理性且經(jīng)濟的成年人為中心而思考和構(gòu)建的，存在忽略未成年人特殊需求的現(xiàn)象。未成年人大多屬于限制民事行為能力或無民事行為能力人，因其心理和生理上的不成熟，不足以承擔(dān)自我選擇所帶來的不利后果，難以應(yīng)對因個人信息不當(dāng)傳播和利用帶來的狀況。同時，部分企業(yè)基于經(jīng)濟利益最大化的目的，試圖逃避社會責(zé)任，不僅存在削減未成年人用戶甚或統(tǒng)一默認(rèn)為成人用戶以規(guī)避未成年人網(wǎng)絡(luò)保護(hù)規(guī)定的行為，還存在形式上依據(jù)未成年人網(wǎng)絡(luò)保護(hù)規(guī)定但相應(yīng)的隱私條款或聲明淪為一紙空文的情形。具體而言：

第一，雖有相應(yīng)的保護(hù)規(guī)定，但未成年人個人信息保護(hù)的需求未被充分滿足。未成年人個人信息保護(hù)相較于個人信息保護(hù)，存在保護(hù)對象的特殊性。未成年人不僅主體數(shù)量較大，而且其信息內(nèi)容高度敏感。因此，未成年人個人信息保護(hù)的相關(guān)規(guī)定應(yīng)被嚴(yán)格細(xì)化并落實到個人信息保護(hù)的相關(guān)內(nèi)容中去。但從《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》的立法框架及其內(nèi)容上看，該規(guī)定雖根據(jù)未成年人的特殊情形進(jìn)行了相應(yīng)的調(diào)整，比如充分告知收集處理規(guī)則、獲取兒童監(jiān)護(hù)人的明示授權(quán)同意，識別監(jiān)護(hù)關(guān)系和監(jiān)護(hù)人授權(quán)同意的有效性，并通過一定技術(shù)措施滿足業(yè)務(wù)功能的逐一授權(quán)等，但這些設(shè)計僅是宣示性或概括性的內(nèi)容，缺乏切實可行的實操性，只規(guī)定了未成年人個人信息權(quán)的消極權(quán)能，沒有規(guī)定其積極權(quán)能，相關(guān)的設(shè)置也缺乏有效的執(zhí)法標(biāo)準(zhǔn)和行業(yè)實踐指導(dǎo)。同時，對線下廣泛的未成年人個人信息收集、處理行為和場景也缺少相應(yīng)的法律規(guī)范。

第二，雖考慮到年齡的因素，但未能充分理解未成年人的特殊性和社會情境的復(fù)雜性。美國《兒童在線隱私權(quán)保護(hù)》明確將在線隱私保護(hù)的兒童年齡設(shè)定在精準(zhǔn)年齡——13歲以內(nèi)。受其影響，歐盟在制定《通用數(shù)據(jù)保護(hù)條例》時也是以13歲為底線年齡。我國《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》將兒童定義為不滿14周歲的未成年人。然而兒童與未成年人并非同一概念，過高的兒童年齡上限，不僅會對一定年齡的兒童產(chǎn)生過度保護(hù)嫌疑，進(jìn)而有損適齡兒童的隱私權(quán)利，同時也會造成數(shù)字年齡之上到未成年人這一年齡段未成年人個人信息保護(hù)的空檔。因此，數(shù)字年齡的單一界定，只是突出了兒童個人信息保護(hù)的方面，并不足以充分實現(xiàn)保護(hù)未成年人個人信息的目的，特別是數(shù)字年齡之上的未成年人利益。此外，在大數(shù)據(jù)時代，個人信息保護(hù)的目標(biāo)是防范個人信息的濫用和倡導(dǎo)個人信息的合理使用。但未成年人個人信息保護(hù)的目標(biāo)不只是防范個人信息的濫用，還應(yīng)規(guī)范甚或限制未成年人個人信息的收集、比對、處理等行為。因為GDPR在界定隱私風(fēng)險諸種情形時，認(rèn)為處理兒童等弱勢群體的信息是其中一種隱私風(fēng)險，必須警惕以收集、處理并利用未成年人個人信息為主要業(yè)務(wù)內(nèi)容的企業(yè)對未成年人帶來的損害或負(fù)面影響[注]范為.大數(shù)據(jù)時代個人信息保護(hù)的路徑重構(gòu)——初探歐美改革法案中的場景與風(fēng)險理念[J].網(wǎng)絡(luò)信息法學(xué)研究,2017,(1):258.。

第三，雖有諸多合規(guī)努力，但合規(guī)的情況不盡人意，且存在有效執(zhí)行困難的問題。數(shù)字年齡的確定，意味著兒童身份的識別需要行之有效的原則。根據(jù)《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第28條規(guī)定并參照國際通行慣例，對兒童身份的識別采取“形式確認(rèn)”而非“客觀確認(rèn)”的原則。即只要通過目標(biāo)市場、注冊年齡等形式上確認(rèn)用戶是或不是“兒童”，而無須客觀確認(rèn)“兒童”確實不滿或滿十四周歲。例如，用戶注冊時填寫的年齡為十四周歲以下的，不論是否真實為兒童，在兒童個人信息保護(hù)合規(guī)方面即視其為“兒童”；相反地，用戶注冊時填寫的年齡不明，或者為十四周歲以上的，在兒童個人信息保護(hù)合規(guī)方面即視為非兒童。此外，《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第8條規(guī)定網(wǎng)絡(luò)運營者應(yīng)當(dāng)設(shè)置專門的兒童個人信息保護(hù)規(guī)則和用戶協(xié)議，并指定專人負(fù)責(zé)兒童個人信息保護(hù)。兒童個人信息保護(hù)規(guī)則和用戶協(xié)議在具體實踐中主要表現(xiàn)為兒童隱私政策或兒童隱私條款，但兒童隱私政策的大量內(nèi)容和通用版隱私政策內(nèi)容相同，缺乏特殊性。兒童隱私政策的內(nèi)容要求以明確、易懂和適宜的方式告知，但實踐中往往相反。比如，必須設(shè)置的投訴舉報方式要么沒有設(shè)置，要么設(shè)置的位置不顯眼，不易找到，以至于難以有效發(fā)揮投訴舉報方式帶來的監(jiān)督功能。

(二)未成年人個人信息保護(hù)的法律爭議

針對未成年人個人信息被不當(dāng)收集并濫用的現(xiàn)象，各國各地區(qū)均出臺相應(yīng)的法律法規(guī)，意圖為未成年人個人信息保駕護(hù)航。我國個人信息保護(hù)相關(guān)立法及執(zhí)法態(tài)度借鑒了域外數(shù)據(jù)保護(hù)相關(guān)法律的立法原則。例如，我國《網(wǎng)絡(luò)安全法》規(guī)定，國家依法懲治利用網(wǎng)絡(luò)從事危害未成年人身心健康的活動，為未成年人提供安全、健康的網(wǎng)絡(luò)環(huán)境?！段闯赡耆吮Ｗo(hù)法》規(guī)定，未成年人享有生存權(quán)、發(fā)展權(quán)、受保護(hù)權(quán)、參與權(quán)等權(quán)利，國家根據(jù)未成年人身心發(fā)展特點給予特殊、優(yōu)先保護(hù)，保障未成年人的合法權(quán)益不受侵犯?！秲和瘋€人信息網(wǎng)絡(luò)保護(hù)規(guī)定》針對14歲以下未成年人的個人信息進(jìn)行特殊、優(yōu)先的全生命周期保護(hù)。但這些法律法規(guī)并未能提供行業(yè)可遵循的明確性標(biāo)準(zhǔn)，又未能對未成年人隱私提供充分有效的保障。法律措施的實施有效與否是評價法律規(guī)定本身好壞的標(biāo)準(zhǔn)，至少這些法律規(guī)定傳達(dá)出的保護(hù)未成年人個人信息的意識和決心值得高度肯定。

荷蘭學(xué)者米爾達(dá)·馬賽納特(Milda Macenaite)認(rèn)為，大數(shù)據(jù)時代兒童個人信息的法律保護(hù)面臨著兩大爭議：一為“賦權(quán)與保護(hù)”，二為“個性化與平均年齡”[注]Milda Macenaite. From Universal Towards Child-specific Protection of the Right to Privacy Online:Dilemmas in the EU General Data Protection Regulation[J]. New Media & Society, 2017, 19(5):765-779.。就“賦權(quán)與保護(hù)”而言，賦權(quán)性規(guī)定是因為兒童處于不斷成長和發(fā)展中，具有“不斷發(fā)展的能力” (the involving capacity)，他們的理解力和成熟度會隨著年齡的增長逐漸提高，因此需要賦予其自我決策與參與的權(quán)利，如自由表達(dá)思想和發(fā)表言論等接近成年人的權(quán)利；保護(hù)性規(guī)定是因為兒童具有脆弱性、依賴成年人和需要身心照顧等特點，因此需要對其進(jìn)行行為干預(yù)以確保其基本權(quán)益，如國家干預(yù)、父母干預(yù)等。由此，賦權(quán)性規(guī)定與保護(hù)性規(guī)定之間存在一定的緊張關(guān)系，即兒童作為“成人干預(yù)的受益者”和“自我決策的代理人”之間存在一定的矛盾。換言之，如果賦權(quán)性規(guī)定過多，可能會導(dǎo)致對兒童的保護(hù)不力；如果保護(hù)性規(guī)定過多，則可能限制兒童的自我決策權(quán)等賦權(quán)性利益。但是“賦權(quán)與保護(hù)”的困境又不能被徹底消除，只能在“賦權(quán)”與“保護(hù)”之間尋求一定的平衡[注]付新華.大數(shù)據(jù)時代兒童數(shù)據(jù)法律保護(hù)的困境及其應(yīng)對——兼評歐盟《一般數(shù)據(jù)保護(hù)條例》的相關(guān)規(guī)定[J].暨南學(xué)報(哲學(xué)社會科學(xué)版),2018,40(12):84-85.?！皞€性化與平均年齡”的爭議源自“賦權(quán)與保護(hù)”爭議，是“賦權(quán)與保護(hù)”爭議的具體指涉?！百x權(quán)與保護(hù)”爭議所考慮的核心問題就是兒童心理成熟度的評估。即對達(dá)到一定成熟度的兒童賦予其自我決策的權(quán)利，對未達(dá)到一定成熟度的兒童則給予一定的保護(hù)。目前，主要有兩種方法對兒童進(jìn)行成熟度評估：一是劃定一個明確的年齡界限作為所有兒童是否成熟的分界線，二是對每個兒童的成熟度進(jìn)行個性化的評估。從法律適用的角度來看，采用明確的年齡界限可以限制司法者的自由裁量權(quán)且執(zhí)行起來更為方便，但也容易造成“一刀切”，忽視兒童的個體差異的現(xiàn)象。人類學(xué)家瑪麗·道格拉斯(Mary Douglas)也認(rèn)為：“為了滿足社會對清晰度和一致性的要求，人們經(jīng)常努力劃定一條年齡界限以確定孩子是否具有完全法律能力，然而這通常是人為的和武斷的?！盵注]Mary Douglas. Rules and Meanings[M]. New York:Routledge Press, 2003.113.事實上，即使是相同年齡的兒童，由于先天和后天環(huán)境等因素的影響，各方面能力的差異往往很大。因此，對每個兒童進(jìn)行個性化評估可以更好地照顧到能力較強的兒童從事相關(guān)活動的需求。然而，對每一個兒童的成熟度逐一進(jìn)行個案評估，執(zhí)行起來會非常困難，也會對網(wǎng)絡(luò)服務(wù)提供者造成過度的負(fù)擔(dān)。因此，如何處理“個性化”和“平均年齡”之間的關(guān)系是大數(shù)據(jù)時代兒童數(shù)據(jù)法律保護(hù)面臨的另一爭議。

無論是“賦權(quán)與保護(hù)”的爭議，還是更為具體的“個性化與平均年齡”的爭議，歸根結(jié)底只是未成年人個人信息保護(hù)問題的表象，其核心要旨還是維護(hù)未成年人的利益。因此,大數(shù)據(jù)時代未成年人個人信息法律保護(hù)所重點關(guān)注的是，采取何種手段可以更好地維護(hù)未成年人的利益，特別是具有一定行為能力的未成年人的利益。只有把握住未成年人個人信息保護(hù)的實質(zhì)或核心，并以此為基本點才能構(gòu)建出切實可行的保護(hù)路徑。

三、未成年人利益是未成年人個人信息保護(hù)的核心

(一)未成年人個人信息保護(hù)中的利益劃分

未成年人個人信息保護(hù)的目的在于維護(hù)未成年人的利益。為實現(xiàn)這一目的，勢必涉及對其他利益主體的態(tài)度。因此，有必要了解與之相關(guān)的其他利益。那么，未成年人個人信息保護(hù)中涉及了哪些主要的利益類型呢？未成年人個人信息保護(hù)中涉及了許多主體，例如未成年人、同學(xué)/朋友、父母、學(xué)校、企業(yè)和監(jiān)管機構(gòu)等。這些主體之間的利益有交叉或沖突，但最根本的利益沖突還是存在于未成年人、企業(yè)和監(jiān)管機構(gòu)之間。因此，主要列舉這三類主體之間的利益及表現(xiàn)形式，利益排序也將是對這三類利益之間的考量。

其一，未成年人的人格尊嚴(yán)和自由利益。未成年人在未成年人個人信息保護(hù)中具有雙重身份，即“成人干預(yù)的受益者”和“自我決策的代理人”。這兩種身份的強弱表現(xiàn)在于未成年人心理成熟度的評估。當(dāng)認(rèn)為未成年人成熟度足夠時，他就可以自我決策自我負(fù)責(zé)。就這一方面而言，保護(hù)未成年人的利益就是保護(hù)未成年人信息自決的利益，即未成年人對自己信息的控制能力，由他來決定是否公開某些信息，是否由某個App運營者收集、處理并利用自己的信息等。當(dāng)認(rèn)為未成年人成熟度不足時，父母、學(xué)?；蛘涂梢愿深A(yù)，以“家長”的姿態(tài)替未成年人控制他們的信息。就這一方面而言，保護(hù)未成年人的利益就是保護(hù)未成年人的人格尊嚴(yán)，即主要由父母或?qū)W校來決定未成年人的哪些信息可以被公開、收集或利用，從而更好地維護(hù)他們的“數(shù)字形象”等。所以，為了更好地維護(hù)未成年人的人格尊嚴(yán)和自由利益，就需要充分理解未成年人的心理和行為，充分了解社會情境和應(yīng)用場景的特點。

其二，企業(yè)的經(jīng)濟利益。強調(diào)企業(yè)的經(jīng)濟利益主要是依據(jù)企業(yè)的經(jīng)營目的而言的。企業(yè)開發(fā)并運營完全或部分面向未成年人的App時，需要充分掌握用戶的基本信息和價值傾向，以改進(jìn)或修正App使其能吸引更多的用戶。因此，收集、處理并利用未成年人信息的行為難以避免。如此行為的根本目的在于獲取并擴大市場份額，提升經(jīng)濟效益。企業(yè)營利的本性決定了其經(jīng)營發(fā)展更多的是以“理性人”的視角去行動。但是當(dāng)我們承認(rèn)“理性人”這一設(shè)定時，就意味著企業(yè)也應(yīng)承擔(dān)一定的社會責(zé)任。換言之，在未成年人個人信息保護(hù)方面，要求企業(yè)不僅僅致力于逐利性的滿足，還要注重未成年人利益的維護(hù)，這種為他人立場考慮的要求便是社會責(zé)任的內(nèi)涵。當(dāng)然，企業(yè)社會責(zé)任與經(jīng)營決策之間會處于緊張的關(guān)系之中，但這取決于企業(yè)如何有效地將二者結(jié)合在一起，使它們共存。

其三，監(jiān)管機構(gòu)的公共利益。雖然對“理性人”的理解要求企業(yè)應(yīng)承擔(dān)社會責(zé)任，但當(dāng)缺乏相應(yīng)的監(jiān)管機制時，企業(yè)行為可能越軌或失控，給用戶甚或國家造成不必要的損失。比如，2015年香港偉易達(dá)公司因應(yīng)用程序本身的缺陷造成黑客入侵，導(dǎo)致640萬名兒童和490萬名成人的用戶身份、賬戶密碼、密保問題和答案在內(nèi)的海量用戶信息遭到泄露[注]李瀚琰.兒童個人信息保護(hù)的父母知情同意原則[J].圖書館論壇,2020,40(8):59-69.。為了避免企業(yè)的非理性行為造成的不必要損失，對企業(yè)行為進(jìn)行監(jiān)管尤為必要。因此，承認(rèn)監(jiān)管機構(gòu)所代表的公共利益就成為必然。但是，承認(rèn)監(jiān)管機構(gòu)的公共利益到底意味著什么？從某種程度上說，承認(rèn)監(jiān)管機構(gòu)的公共利益之于未成年人是一種善(good/benefit)[注]本文中對于good和benefit的使用不予區(qū)分，采取同一個意思，即是對某一個人好的事物，因此此處論及的善也可稱之為利益。，之于企業(yè)和社會更是一種善。因為，這是一種無沖突(conflict-free)、非獨占(non-exclusive)和非排他(non-excludable)的利益[注]Joseph Raz. Ethics in the Public Domain[M].Oxford:Oxford University Press,1995.52.。所謂無沖突、非獨占和非排他的利益，就意味著任何主體都可因其受益，某一主體受益不影響其他主體受益，即所有主體對此種利益是一種全有全無式的適用。正是因為公共利益的此種屬性，當(dāng)其與未成年人利益、企業(yè)經(jīng)濟利益發(fā)生沖突時，優(yōu)先考量公共利益具有了一定的合理性和可接受性。

(二)未成年人個人信息保護(hù)中的利益排序

為充分實現(xiàn)對未成年人個人信息的保護(hù)，有必要對上述三類利益進(jìn)行排序。那么，對這些利益排序的依據(jù)是什么呢？在對上述三類利益進(jìn)行排序之前，需要對它們進(jìn)行抽象思考，明確其背后的利益性質(zhì)。只有這樣，才能有效地進(jìn)行利益排序，確立一個普遍性的解決思路，助力未成年人個人信息保護(hù)路徑的構(gòu)建。

其一，未成年人利益是一種私人利益。無論未成年人是何種身份，其人格尊嚴(yán)和自由利益均是以個人生活的名義提出的，直接涉及個人生活和從個人生活的立場看待的請求、需求和欲望。根據(jù)龐德對于利益的分類和理解，未成年人人格尊嚴(yán)和自由的利益屬于個人利益中的人格利益。那么，在未成年人個人信息保護(hù)場景中可具體處理為：(1)個人人身不可侵犯性(保持和增進(jìn)精神健康)；(2)自由意志(控制信息的能力)；(3)尊嚴(yán)和榮譽(數(shù)字形象)；(4)隱私與情感(數(shù)字形象)；(5)信仰與思想(精神自由活動)[注][美]羅斯科·龐德.法理學(xué)(第3卷)[M].廖德宇譯.北京：法律出版社,2007.26.。

其二，企業(yè)利益是一種私人利益。企業(yè)的經(jīng)濟利益其主體指向是各類不同的經(jīng)營主體，他們之間的經(jīng)營策略并不是和諧一致的。企業(yè)本身也具有兩面性：侵犯性的、我行我素的一面和合作性的、社會性的一面。前一方面會導(dǎo)致企業(yè)忽視他人的需要而一味追求滿足自己的需要，后一方面則使人們在共同目標(biāo)的基礎(chǔ)上，與他人在團隊和群體中協(xié)作。因此，企業(yè)就需要社會責(zé)任來維持其兩面屬性的平衡。

其三，監(jiān)管利益是一種公共利益。監(jiān)管機構(gòu)具有雙重角色，當(dāng)其僅為自身謀利時就是私利益主體；當(dāng)其依法執(zhí)行其職權(quán)內(nèi)之行為，為不確定的多數(shù)人謀利時就是公益的代表，可以此作為行為“合法性”的理由以及行為之動機。維護(hù)及提倡這樣的公共利益是國家積極的任務(wù)，也是許多法律行為所追求的目標(biāo)之一。當(dāng)我們承認(rèn)監(jiān)管利益是一種公共利益時，就意味著監(jiān)管機構(gòu)不僅可以依法律行使制止企業(yè)有害公益行為之權(quán)力，還可以由法律授權(quán)，積極行使增進(jìn)公益之行為。比如，倡導(dǎo)企業(yè)形成行業(yè)自律并制定行業(yè)標(biāo)準(zhǔn)等。

在公共利益與私人利益之間，一般而言，公共利益要優(yōu)先于私人利益[注]西塞羅語。。而在不同的私人利益之間，很難直接確立何種私人利益優(yōu)先于另一種私人利益，這就需要根據(jù)具體情形予以判斷。在未成年人個人信息保護(hù)的情境中，我們優(yōu)先承認(rèn)了未成年人利益的重要性。這不僅是因為保護(hù)未成年人利益是國家所追求目標(biāo)之一，還因為未成年人利益具有升格為公共利益的可能性。根據(jù)萊斯納(Leisner)關(guān)于公益與私益之間的關(guān)系理論可知，多數(shù)人之私益可以形成公益。因此，有三種私益可以升格為公益：第一，是不確定多數(shù)人之利益；第二，是具有某些性質(zhì)(特指生命及健康方面)的私益；第三，可以透過民主之原則，對于某些居于少數(shù)的特別數(shù)量的私益，使之形成公益[注]陳新民.德國公法學(xué)基礎(chǔ)理論(上)[M].濟南：山東人民出版社,2001.200.。未成年人利益涉及不確定多數(shù)人的利益，關(guān)涉未成年人的生命、財產(chǎn)及健康，具有了升格為公益的可能。因此，在未成年人利益與企業(yè)利益之間，未成年人利益優(yōu)先于企業(yè)利益。故此，上述三類利益之間的初步排序應(yīng)該是“公共利益>未成年人利益>企業(yè)利益”。

四、構(gòu)建以維護(hù)未成年人利益為核心的未成年人個人信息保護(hù)路徑

未成年人個人信息保護(hù)路徑的構(gòu)建需要堅持“一個基本三方聯(lián)動”。所謂的“一個基本”，是指堅持維護(hù)未成年人利益的原則。即未成年人個人信息保護(hù)路徑以維護(hù)未成年人利益為核心，所有舉措的最終結(jié)果都是維護(hù)了未成年人利益。所謂的“三方聯(lián)動”，是指協(xié)調(diào)三方主體之間的利益沖突。即在未成年人利益、企業(yè)利益和公共利益之間，三方主體需各守其位，各負(fù)其責(zé)。只有在承認(rèn)“一個基本和三方聯(lián)動”的基礎(chǔ)上，才能構(gòu)建一個綜合治理的體系，達(dá)致未成年人個人信息保護(hù)的良好目的。

(一)維護(hù)未成年人利益：未成年人、父母、學(xué)校各負(fù)其責(zé)

未成年人較成年人認(rèn)知能力低，社會閱歷少，容易主動泄露個人信息，致使其面臨個人信息被不當(dāng)利用的風(fēng)險。隨著各類應(yīng)用App的涌現(xiàn)，“父母曬娃”致使未成年人個人信息(文字描述、照片或視頻等)泄露。學(xué)校介紹未成年人使用教育類App，部署人臉識別系統(tǒng)管理學(xué)生致使未成年人個人信息被不當(dāng)收集和利用的情形亦比比皆是。除了這些可見的風(fēng)險之外，未成年人個人信息還面臨未知的不確定的風(fēng)險。比如，聯(lián)合國兒童基金會研究中心倫理顧問加布里埃爾·伯曼(Gabrielle Berman) 等兒童權(quán)利專家認(rèn)為：“從兒童那里收集的數(shù)據(jù)可能在未來的任何不確定的時間，被不確定的算法對不確定的客戶所利用和分析，以創(chuàng)建個人/兒童不知道的數(shù)字身份?！盵注]Gabrielle Berman, Kerry Albright. Children and the Data Cycle:Rights and Ethics in a Big Data World[J].Innocenti Working Paper, 2017-05.11.網(wǎng)絡(luò)數(shù)據(jù)具有持久性的特點，這意味著人類記憶歷史中“遺忘是常態(tài)，記憶是例外”的情況，反轉(zhuǎn)為“記憶成為常態(tài)，遺忘成為例外”的情況。因此，網(wǎng)絡(luò)數(shù)據(jù)一旦形成不良的社會影響，就很難徹底刪除。然而，未成年人對信息泄露對自身人格聲譽、未來發(fā)展造成的影響缺乏足夠認(rèn)識。因此，為保護(hù)未成年人個人信息，未成年人、父母和學(xué)校都應(yīng)該有積極負(fù)責(zé)的意識。

未成年人作為核心主體，本身就應(yīng)該加強防范意識，提升認(rèn)知能力。未成年人個人信息保護(hù)要求父母或?qū)W校對未成年人進(jìn)行指導(dǎo)或培養(yǎng)。但培養(yǎng)也是有條件的。所謂條件意味著，其一，未成年人自己保有防范和警惕意識；其二，未成年人獲取的網(wǎng)絡(luò)資源的途徑必須是安全并可接受的。后者就要求父母或?qū)W校承擔(dān)審核(過濾篩選)義務(wù)，為未成年人創(chuàng)造一個較為安全可靠的網(wǎng)絡(luò)環(huán)境。

父母作為監(jiān)護(hù)人，是孩子的第一任老師和第一責(zé)任人?！秲和瘋€人信息網(wǎng)絡(luò)保護(hù)規(guī)定》特別明確，兒童監(jiān)護(hù)人應(yīng)當(dāng)正確履行監(jiān)護(hù)職責(zé)，教育引導(dǎo)兒童增強個人信息保護(hù)的意識和能力，以維護(hù)兒童個人信息安全。網(wǎng)絡(luò)技術(shù)的出現(xiàn)，使得現(xiàn)代家庭已成為網(wǎng)絡(luò)活動的主要場所，但也對監(jiān)護(hù)人家庭保護(hù)的能力提出了新的要求。不過，一個明顯的事實是，伴隨著網(wǎng)絡(luò)技術(shù)成長起來的未成年人，很多孩子的網(wǎng)絡(luò)技能遠(yuǎn)遠(yuǎn)超過了他們的父母或其他監(jiān)護(hù)人。為此，父母應(yīng)當(dāng)主動學(xué)習(xí)網(wǎng)絡(luò)安全知識，增強網(wǎng)絡(luò)安全意識，具備基本的網(wǎng)絡(luò)保護(hù)能力，以便更好地保護(hù)好自己的孩子，成為網(wǎng)絡(luò)信息時代的合格父母，更有效地履行家庭保護(hù)的義務(wù)。

學(xué)校是未成年人的主要學(xué)習(xí)和生活場所。作為承擔(dān)“學(xué)校保護(hù)”責(zé)任的主體，學(xué)校負(fù)有履行“全面貫徹國家的教育方針，對未成年學(xué)生進(jìn)行德育、智育、體育、美育、勞動教育以及社會生活指導(dǎo)和青春期教育”的法定義務(wù)。但學(xué)校的網(wǎng)絡(luò)媒介素養(yǎng)教育尚是一個薄弱環(huán)節(jié)。因此，學(xué)校教育應(yīng)發(fā)揮其特有的制度化、強制性以及良好的持續(xù)性等功能，保證網(wǎng)絡(luò)媒介素養(yǎng)教育的理念和內(nèi)容得到比較穩(wěn)定的貫徹，使未成年學(xué)生在學(xué)習(xí)、接受相關(guān)知識理論，增強對網(wǎng)絡(luò)的理性分析和科學(xué)運用能力的基礎(chǔ)上，不斷升華自己的網(wǎng)絡(luò)情感，強化自己的網(wǎng)絡(luò)素養(yǎng)意識，提高并完善自身的素質(zhì)結(jié)構(gòu)[注]中央文明辦三局.未成年人思想道德建設(shè)工作簡報2019年第11期[EB/OL].(2019-09-02)[2022-02-18]. http://www.wenming.cn/ziliao/jianbao/weichengnianrensixiangdaode/201909/t20190902_5239549.shtml.。同時，學(xué)校教師的網(wǎng)絡(luò)素質(zhì)也需要提高，以有效履行學(xué)校保護(hù)職責(zé)。

(二)約束企業(yè)經(jīng)濟利益：企業(yè)主動地承擔(dān)社會責(zé)任

根據(jù)《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第6條規(guī)定，鼓勵互聯(lián)網(wǎng)行業(yè)組織指導(dǎo)推動網(wǎng)絡(luò)運營者制定兒童個人信息保護(hù)的行業(yè)規(guī)范、行為準(zhǔn)則等，加強行業(yè)自律，履行社會責(zé)任。傳統(tǒng)的公司法理論認(rèn)為，公司的唯一目的是謀求利潤最大化，進(jìn)而為股東創(chuàng)造最大利益，公司僅對股東負(fù)責(zé)，社會責(zé)任則歸屬于國家和政府。但張憲麗等學(xué)者認(rèn)為，企業(yè)社會責(zé)任應(yīng)堅持社群主義的理論基礎(chǔ)，因為企業(yè)作為社會大社群中的一份子，其存在得到了社群的支持。同時，企業(yè)也應(yīng)該以社會產(chǎn)品和社會服務(wù)來回報社群。社群主義的行為邏輯是惠報。所謂惠報，不是短期行為，而是一種長期的、不用契約來規(guī)定卻附加了認(rèn)同和信任要素的一種新邏輯[注]張憲麗.企業(yè)社會責(zé)任的硬法與軟法之治[M].北京：中央編譯出版社,2018.40-42.。因此，企業(yè)社會責(zé)任要求其管理層呵護(hù)與關(guān)心未成年人的利益[注]David Millon. Shareholder Social Responsibility[J]. Seattle University Law Review, 2013,36(2):921-926.。

然而，在當(dāng)前情境中，企業(yè)借助各類App，在收集、使用和轉(zhuǎn)移未成年人個人信息的過程中，表現(xiàn)出如下方面的問題：(1)規(guī)避未成年人用戶，混同收集一切可利用的信息；(2)設(shè)置專門的兒童隱私政策或兒童隱私條款，但只是企業(yè)合規(guī)義務(wù)的“形式”要件，用戶通常既不閱讀亦不理解其內(nèi)涵；(3)設(shè)置專門的兒童隱私政策或兒童隱私條款，但相應(yīng)的救濟措施要么缺失要么難有成效?；谏鲜鑫闯赡耆藗€人信息被收集和利用的現(xiàn)狀，企業(yè)應(yīng)該承擔(dān)相應(yīng)的社會責(zé)任。就實踐來看，隨著社會對企業(yè)社會責(zé)任的日益關(guān)注，企業(yè)、行業(yè)協(xié)會、國際組織等紛紛推出關(guān)于企業(yè)社會責(zé)任的行為準(zhǔn)則。各國政府也在不同的部門法中，設(shè)置了相應(yīng)的企業(yè)社會責(zé)任法律條款，但相關(guān)法律條款分散以致其缺乏系統(tǒng)支撐，相關(guān)行為準(zhǔn)則往往依賴于企業(yè)的“自覺自愿”。由此帶來的卻是“企業(yè)履責(zé)隨意性、碎片化、不平衡性的現(xiàn)象較為突出，企業(yè)在發(fā)展過程中良莠不齊，對社會責(zé)任的理解和實踐水平差異較大”；“不同企業(yè)對于社會責(zé)任基本內(nèi)涵、主要議題等的理解存在偏差”；“社會責(zé)任方面的軟法不少，但強制性的制度供給不足”等情況[注]張憲麗.企業(yè)社會責(zé)任的硬法與軟法之治[M].北京：中央編譯出版社,2018.55.。

哈佛大學(xué)法學(xué)院教授雅各布·格森(Jacob E. Gersen)和美國聯(lián)邦大法官埃里克·波斯納(Eric A. Posner)指出：“立法主體制定軟法是因為硬法有缺點。有時候，當(dāng)然并非總是如此，在同樣的情況下軟法能產(chǎn)生同硬法一樣的行為效果；在其他時候，軟法的效果比硬法的效果更令人滿意。”[注]Jacob E. Gersen, Eric A. Posner. Soft Law:Lessons from Congressional Practice[J]. Stanford Law Review, 2008, 61(3):579.因此，政府除卻對企業(yè)的硬性規(guī)定之外[注]比如，2018年新修訂的《公司法》第5條第1款規(guī)定：“公司從事經(jīng)營活動，必須遵守法律、行政法規(guī)，遵守社會公德、商業(yè)道德，誠實守信，接受政府和社會公眾的監(jiān)督，承擔(dān)社會責(zé)任?！保珜?dǎo)企業(yè)進(jìn)行一種新的技術(shù)性嘗試很有必要。比如，企業(yè)充分運用隱私架構(gòu)設(shè)計(Privacy by Design)以延伸未成年人用戶的控制范圍，增加透明度及未成年人本身對信息控制的可操作性，這也是GDPR中大力倡導(dǎo)的理念。具體而言，機構(gòu)可以場景構(gòu)成要素為指引，采取一定的技術(shù)架構(gòu)和制度措施，增加/加強未成年人對高中低風(fēng)險要素的辨別；伴隨未成年人個人信息的整個生命周期采用“元數(shù)據(jù)標(biāo)簽”(meta-data tagging)設(shè)計，記錄信息收集、利用及傳輸?shù)娜^程，使未成年人有機會詳細(xì)掌握其信息的利用狀況與流程。更進(jìn)一步地，企業(yè)應(yīng)當(dāng)利用技術(shù)限制未成年人使用時長，明確適齡范圍，對內(nèi)容嚴(yán)格把關(guān)(如青少年模式的運用)；不以默認(rèn)、捆綁、停止安裝使用等手段變相強迫用戶授權(quán)，從而重新陷入“全有全無”的路徑困境；根據(jù)自身的規(guī)模及狀況建立適當(dāng)?shù)奈闯赡耆藗€人信息保護(hù)政策、隱私管理體系等。通過隱私設(shè)計可使未成年人個人信息流轉(zhuǎn)更加透明，調(diào)動未成年人參與信息生命周期的積極性，扭轉(zhuǎn)未成年人在個人信息生態(tài)系統(tǒng)中的弱勢地位，同時推動信息價值的開發(fā)，甚至衍生出新的商業(yè)模式[注]范為.大數(shù)據(jù)時代個人信息保護(hù)的路徑重構(gòu)——初探歐美改革法案中的場景與風(fēng)險理念[J].網(wǎng)絡(luò)信息法學(xué)研究,2017,(1):279.。當(dāng)然，在強調(diào)企業(yè)社會責(zé)任承擔(dān)的同時，需要考慮企業(yè)規(guī)模、層次和時間帶來的差異。比如應(yīng)對生存型、發(fā)展型和社會型企業(yè)有不同的定位和要求。

(三)規(guī)范監(jiān)管機構(gòu)行為：監(jiān)管機構(gòu)獨立地履職盡責(zé)

在未成年人個人信息保護(hù)中，當(dāng)我們維護(hù)未成年人利益，約束企業(yè)利益時，規(guī)范監(jiān)管機構(gòu)的利益不可或缺。人類總是試圖過一種理性的、有意義的和有目的的生活，但對不確定性的恐懼使其一直渴求可預(yù)見性和規(guī)則性?？深A(yù)見性意味著行動者可以計劃和安排自己的行為，并自甘風(fēng)險或自負(fù)其責(zé)。規(guī)則性意味著行動者依據(jù)一定的標(biāo)準(zhǔn)、規(guī)則或原則去行為，且行為具有較高程度的有序性和穩(wěn)定性，當(dāng)行為偏離規(guī)則時默認(rèn)應(yīng)受指責(zé)或懲罰[注]沈宗靈著.現(xiàn)代西方法理學(xué)[M].北京：北京大學(xué)出版社,2007.147-149.。根據(jù)哈特在《法律的概念》中對于規(guī)則的論證：公民對規(guī)則的接受，大部分人可以基于內(nèi)在觀點的視角將規(guī)則的要求內(nèi)在化，以作為自身的行為標(biāo)準(zhǔn)予以遵循。但是總有少部分人，出于其他理由或利益的考量，對規(guī)則僅是一種外在觀點的態(tài)度，即出于對懲罰的恐懼才遵從規(guī)則。權(quán)力的行使不僅要求正視權(quán)力的存在，同樣也要求其他人對這種合法性權(quán)力的接受。監(jiān)管恰好提供了可預(yù)測性和規(guī)則程序的承諾，提供了一種紀(jì)律和控制的形象[注][英]馬丁·洛奇，[英]凱·韋格里奇.現(xiàn)代國家解決問題的能力[M].徐蘭飛，王志慧譯.北京：中國發(fā)展出版社,2019.73-76.。因此，制定監(jiān)管機構(gòu)管理規(guī)定的主體應(yīng)清楚明白，不僅要規(guī)定行為的標(biāo)準(zhǔn)或指南，還應(yīng)規(guī)定偏離行為后的后果或責(zé)任。

監(jiān)管機構(gòu)行使職能的領(lǐng)域很寬泛，即一切可被監(jiān)督的領(lǐng)域皆可監(jiān)督。而未成年人個人信息保護(hù)中最重要的領(lǐng)域就是企業(yè)，特別是對未成年人個人信息后續(xù)利用的第三方主體。其次就是未成年人、父母注冊賬號并發(fā)布信息的行為，學(xué)校對移動App的審核行為和人臉識別技術(shù)獲取信息的安保行為。監(jiān)管機構(gòu)的監(jiān)督管理職能，如果僅停留于淺層的、概括性的“監(jiān)督管理”，那么容易變成口號，流于形式，不足以制約企業(yè)等主體的逐利行為。同時，若監(jiān)管機構(gòu)缺乏被監(jiān)管企業(yè)的接受認(rèn)可，任何形式的執(zhí)法活動可能被這些企業(yè)依靠他們的資源優(yōu)勢和無數(shù)的法律審查來挫敗。因此，緊隨監(jiān)督管理之后的應(yīng)該是一些合理且相稱的懲戒性規(guī)定或制裁，以確保法律規(guī)定得到遵守或執(zhí)行。即監(jiān)管是以法律制裁為后盾的直接命令指導(dǎo)。正如戈登·塔洛克所言，有效制裁相當(dāng)于其他人受益于遵守管理當(dāng)局規(guī)定的價值[注][美]戈登·塔洛克.公共選擇[M].柏克，鄭景勝譯.北京：商務(wù)印書館,2015.580.。當(dāng)然，絕對嚴(yán)格的懲戒性規(guī)定，有可能限制企業(yè)的創(chuàng)新動力，不僅不利于維護(hù)未成年人利益，反而影響未成年人在社會媒體平臺上的言論自由。所以，更恰當(dāng)?shù)囊环N做法是建立完善的非強制激勵性監(jiān)管。也就是說，以系統(tǒng)設(shè)計的方法進(jìn)行創(chuàng)新，嘗試去發(fā)展出一套主要依賴被監(jiān)管者自我監(jiān)管的體制，并將監(jiān)管者的角色轉(zhuǎn)變?yōu)闄z查自我遵守。這種方法可以使監(jiān)管聚焦重點，鼓勵靈活性和自由裁量。同樣可以說，它也鼓勵監(jiān)管者和被監(jiān)管者就目標(biāo)和方法進(jìn)行專業(yè)化對話[注][英]馬丁·洛奇，[英]凱·韋格里奇.現(xiàn)代國家解決問題的能力[M].徐蘭飛，王志慧譯.北京：中國發(fā)展出版社,2019.80.。

監(jiān)管可以矯正因企業(yè)過分逐利帶來的市場失靈以維護(hù)公共利益，但當(dāng)監(jiān)管被俘獲、濫用或虛設(shè)時，就會抑制市場和企業(yè)自律治理的有效性，導(dǎo)致市場秩序惡化，嚴(yán)重制約經(jīng)濟發(fā)展，損害公眾利益，造成社會不公。因此，為有效發(fā)揮監(jiān)管的作用，就需要必要的設(shè)計和要求。比如，形成信息公開以確保監(jiān)管權(quán)透明運行；建立行政程序以確保監(jiān)管的民主參與；確立行政問責(zé)以確保權(quán)責(zé)一致原則的踐行；建立審查機制對監(jiān)管規(guī)定定期更新和廢棄等。需要注意的是，監(jiān)管若要發(fā)揮應(yīng)有的價值和作用，最重要的是保證監(jiān)管機構(gòu)與傳統(tǒng)行政部門之間形式上和實質(zhì)上的獨立性。正如斯特恩所說，“真正獨立的監(jiān)管者”是那些不由一般性預(yù)算支持的機構(gòu)，同時又保證監(jiān)管員工的任期穩(wěn)定性[注][英]馬丁·洛奇，[英]凱·韋格里奇.現(xiàn)代國家解決問題的能力[M].徐蘭飛，王志慧譯.北京：中國發(fā)展出版社,2019.80.。

無論是對個體還是國家而言，堅持某種原則、標(biāo)準(zhǔn)或價值會帶來損失，但也會帶來收獲。在未成年人個人信息保護(hù)中，堅持“一個基本三方聯(lián)動”，會使企業(yè)經(jīng)濟利益受限，但這種受限是一種必要的損失。因為，只有通過限制企業(yè)經(jīng)濟利益，規(guī)范監(jiān)管利益，才能有效維護(hù)未成年人利益。