互联网技术近年来飞速发展,由此带来的不良后果是自然人的个人信息被收集、使用的风险增加。个人信息的收集、使用既可能是信息主体本人自主选择提供,也可能是互联网企业采用各种信息技术抓取、跟踪、被动收集的结果。以Cookie为例,其可以储存小型计算机上的程序信息,比如用户名、密码。如果网站经营者将cookie放置在用户硬盘上,其实质上充当了电子跟踪设备的作用,可以跟踪用户访问的每个网站,记录偏好信息,并将该信息提供给原始网站经营者,①之后经营者既可以将数据出售或披露给第三方进行盈利,也可以对用户进行画像,实施精准化营销和广告的定向投放,从而谋取巨额广告收入。用户在不知情的情况下,个人信息被记录、收集甚至使用、共享。大数据时代下,自然人的个人信息利益岌岌可危,收集、处理信息等行为理应受到法律规制。 在此背景下,我国立法开始逐渐关注个人信息保护的议题,不仅2017年公布了专门规制个人信息保护的法案《个人信息保护法(草案)》,在《网络安全法》《电子商务法》《消费者权益保护法》以及新公布的《民法典(草案)》中也都强调了自然人的个人信息保护与利用的问题,②明确收集、处理个人信息需要经过信息主体的同意,此即为知情-同意规则。但立法上对于未成年人的个人信息保护却鲜有提及,专门性规定仅有国家网信办发布的《儿童个人信息网络保护规定》(下称《规定》),③但该规定属于部委规章,位阶较低,约束力也有限。2019年11月公布的《未成年人保护法(修订草案)》(下称《草案》)中的第63条规定:“网络产品和服务提供者应当提示未成年人保护其个人信息,并对未成年用户使用其个人信息进行保护性限制。网络产品和服务提供者通过网络收集、使用、保存未成年人个人信息的,应当符合国家有关规定,且经过未成年人及其父母或者其他监护人同意”,弥补了这一立法空白。63条是我国首次从法律层面赋予网络产品和服务提供者保护未成年人个人信息的义务,④是立法者对当前未成年人个人信息受到滥用的潜在问题的回应。该规定在原有知情-同意规则的基础上对其进行创新和调整,以更符合未成年人个人信息保护的实践,但同时也存在些许不足和缺陷,需要在未来加以完善。 一、未成年人个人信息保护的特殊性 个人信息,系指以电子等方式记载的能够单独或与其他信息结合以识别出信息主体身份的各类信息,⑤本质特征为可识别性,常见的个人信息例如姓名、出生日期、身份证号、个人生物识别信息、家庭住址、电话号码等。个人信息关乎信息主体的人格尊严与人格自由,一旦泄露或被不当使用,极有可能引发人格尊严受损、不公平对待、形象被歪曲、社会评价降低,甚至损及名誉权等不良后果,阻碍人格发展。此外,个人信息也与隐私权息息相关,个人信息中的私密信息属于隐私信息,适用隐私权保护的有关规定。⑥而隐私权包括私生活安宁与私生活秘密两大内容,如果私密信息被非法利用会极大威胁信息主体的私生活安宁、暴露私生活秘密;个人信息同时也内含巨大经济价值,存在利益空间,例如明星的个人信息被明码标价在网络上出售。据此,个人信息上不仅附着人格权益,还包括财产利益,保护个人信息安全实质上是对个人信息背后各项利益的保护。⑦ 与成年人相比,未成年人的个人信息保护有其特殊性所在,分为主体特殊和个人信息特殊两个方面。 就主体特殊而言,未成年人因其年龄、智力发展尚未成熟,无法独立实施民事法律行为,因此《民法总则》以八周岁为分界线,将其分为限制民事行为能力人与无民事行为能力人,由监护人代理其为部分或全部法律行为。我国《消费者权益保护法》《网络安全法》《刑事诉讼法》等基本法律对未成年人进行了特殊规定,体现优先保护、侧重保护的立法理念;同时,还出台了专门法律——《未成年人保护法》和《预防未成年人犯罪法》突出对未成年主体的特别对待。另外,在复杂的网络世界中,即使是成年人也往往难以抵制网络诱惑、辨别网络环境,遑论不具备完全民事行为能力的未成年人。由于网络世界的虚拟性与实际的差距,在个人信息受到侵害之后,未成年人难以举证证明信息控制者实施了侵权行为以及行为与损害之间的因果关系,且维权成本过高。因此,基于未成年人主体的有限理性与权利救济障碍,需要法律对其加以特殊保护。 就未成年用户的个人信息特殊而言,个人信息分为个人敏感信息与个人一般信息,前者指的是“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或非歧视性待遇等的个人信息”,⑧包括但不限于个人身份证号、个人生物识别信息、银行账户、通信记录、住宿信息、地理位置信息、交易信息等等。而后者则是个人敏感信息之外的、即使泄露对个人影响也比较轻微的、仍然具有可识别性的个人信息,故敏感信息与个人信息的保护力度及损害后果存在较大差异。至于未成年人的个人信息属于何种性质,2019年10月24日公布的《信息安全技术个人信息安全规范(征求意见稿)》(下称《安全规范》)中将14周岁以下儿童的个人信息作为敏感信息的一类加以认定,但也有学者主张将所有未成年人的个人信息作为个人敏感信息予以特殊保护。⑨本文赞同后一观点,未成年人的个人信息具有高度敏感性与私密性,泄露之后的损害是长期的、难以挽回的,且基于主体的脆弱性,其个人信息被不法利用的可能性也比较大。前述《安全规范》可能是顾及14周岁以上的未成年人已然具有相应的辨别能力,其个人信息与一般信息无异,无须特殊保护;也可能是出于与《规定》⑩保持立法上一致的考量。但无论基于何种考虑,该《安全规范》仅仅是一种推荐性国家标准,不具备法律约束力和强制执行力。基于未成年主体的特殊性和网络的复杂性,14周岁至18周岁的未成年人依然属于限制行为能力人,不具备保护自己的能力和意识,同样需要予以特殊对待。故,所有未成年人的个人信息宜统一作为敏感信息予以保护。