随着互联网、大数据、人工智能的发展，数据资料在科技应用中所扮演的角色越来越重要，个人数据的使用让我们的生活更加便捷。然而，以支付宝、Facebook为代表的互联网企业，却在用户使用的过程中涉嫌非法使用用户个人信息数据。在对此感到恐慌过后，我们更应该思考：企业抓取个人信息数据的界限在哪儿？个人信息被利用后用户该如何得到救济？个人信息和数据保护应当如何完善？

近日，人民日报报道短视频平台现大量低龄孕妈视频，以未成年生子为噱头炒作炫耀。同时，笔者也发现在一些短视频平台上有很多关于未成年的视频。信息化时代，人人都可以成为传媒主体，而由于未成年心智尚不成熟，不能充分意识到上传个人信息所涉及的风险，短视频平台未对发布者的身份进行验证的情况下即允许发布涉及未成年隐私的视频，甚至平台并未对发布内容进行审核，这不禁让人担忧。（见下图）

上述照片来源：人民日报

未成年人是特殊群体，在信息化的时代，应当受到特殊保护。未成年人信息数据随意发布、收集和使用的现象引发如下思考：谁有权发布未成年个人信息？未成年自己自愿发布就可以了，还是需要经监护人同意呢？这些孩子成年后意识到个人信息被泄露，如何主张数据被遗忘呢？网络服务提供商的义务又是什么？

2018年国务院公布立法计划，其中包括制定《未成年网络保护条例》，本文将会介绍域外对未成年的网络个人信息保护的经验，以及对2017年的《未成年网络保护条例（征求意见稿）》的思考，最后提出笔者的三点建议。

一、谁有权处理未成年个人信息？

1. 未成年概念

美国《儿童网络隐私保护法案》（Children's Online Privacy Protection Act,以下简称COPPA）中定义child是指未满13周岁的自然人。欧盟《一般数据保护条例》（The General Data Protection Regulations，以下简称GDPR）第8条'信息社会服务中适用儿童同意的条件'中规定child是指未满16周岁，同时指出对于年满13周岁的情形，成员国的法律可以降低年龄要求。英国ICO（Information Commissioner's Office）2017年12月发布的《儿童和GDPR指南征求意见稿》（Consultation: Children and the GDPR guidance）中child是指未满13周岁，并指出该年龄是在《数据保护条例》（Data Protection Bill）中所规定且经国会同意。

综上，美国、欧盟、英国都没有使用'未成年'这一概念，而是使用'儿童'概念，并且年龄各不相同。美国儿童是指未满13周岁；欧盟儿童是指未满16周岁，并允许成员国对年满13周岁的儿童适当降低要求；英国儿童是指未满13周岁。

我国《未成年保护法》第二条规定未成年是指未满十八周岁的公民。2017年国务院《未成年网络保护条例（送审稿）》中直接使用'未成年'概念，作为条例遵守上位法，该条例中的未成年亦应指未满18周岁。

2. 未成年个人信息概念

美国COPPA适用于在网上收集的儿童个人信息，如名字、家庭住址、电子邮箱地址、电话号码或任何某人用以识别或者联系儿童的其他信息,该法案还包含其他类型的信息--如通过cookie或者其他类型的跟踪机制绑定到单独的可识别信息以收集的爱好、兴趣和信息。

欧盟GDPR中的'个人数据'是指任何已识别或可识别的自然人（'数据主体'）相关的信息；一个可识别的自然人是一个能够被直接或间接识别的个体，特别是通过诸如姓名、身份编号、地址数据、网上标识或者自然人所特有的一项或多项的身体性、生理性、遗传性、精神性、经济性、文化性或社会性身份而识别个体。

我国《未成年网络保护条例（送审稿）》中所称未成年人个人信息，是指以电子或者其他方式记录的能够单独或与其他信息结合识别未成年人身份的各种信息，包括但不限于未成年人的姓名、位置、住址、出生日期、联系方式、账号名称、身份证件号码、个人生物识别信息、肖像等。

综上，未成年个人信息的核心要素是能够用以识别未成年身份的信息。

3. 谁有权处理未成年个人信息

美国COPPA要求网络运营者在收集或使用儿童用户的任何个人信息之前必须取得其父母的同意，以应对越来越多的互联网营销技术可能存在的对儿童个人信息的不合理收集和使用。该法案适用于针对儿童的商业网站和在线服务，其立法目的在于增加父母对儿童在线活动的参与，确保儿童参与在线活动期间的安全，最重要的是保护儿童的个人信息。

欧盟GDPR规定当儿童不满16周岁，只有当对儿童具有父母监护责任的主体同意或授权，处理儿童个人数据才是合法的。数据控制者应当采取合理的努力，结合技术可行性，确保此类情形中对儿童具有父母监护责任的主体已经授权或同意。

英国《儿童和GDPR指南征求意见稿》中规定当基于'同意'作为合法基础时，向英国儿童提供信息社会服务（在线服务）时，需要获得13岁以下儿童的父母同意，除非在为儿童提供在线保护和咨询服务时，无须获得父母的同意。

综上，美国、欧盟和英国都规定了儿童个人信息的收集和使用应当经过其监护人的同意。

我国《未成年网络保护条例（送审稿）》第16条规定：'通过网络收集、使用未成年人个人信息的，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经未成年人或其监护人同意。通过网络收集、使用未成年人个人信息的，应当制定专门的收集、使用规则，加强对未成年人网上个人信息的保护。'第22条规定：'网络信息服务提供者提供网络游戏服务的（以下称'网络游戏服务提供者'），应当要求网络游戏用户提供真实身份信息进行注册，有效识别未成年人用户，并妥善保存用户注册信息。'由此可见，我国也规定了收集、使用未成年个人信息应当经过'同意'要件，并且进行实名制认证，有效识别未成年用户。

我国的规定与上述国家、地区规定明显不同之处在于，只要未成年人本人同意的情况下，网络服务提供者有权收集、使用未成年人个人信息，而不是必须经过未成年的监护人同意。然而，未成年在面对个人信息被收集、使用时，未必能够理性地认识到其中的风险和后果。我国并未严格要求信息收集必须经过未成年监护人的同意，是上述未成年孕妈晒娃的乱象得以频发的原因之一。

因此，笔者建议，应当督促网络服务提供者建立年龄认证和识别系统软件，并严格要求未成年用户在上传涉及个人隐私的信息时须经监护人的同意，并且进行显著提示。对此，应当有第三方评估机构，对为未成年人提供服务的网络经营者是否具备上述条件进行评估。

二、成年后如何主张数据被遗忘？

最近几年火爆的短视频平台聚集了大量的未成年人用户，也收集了大量的涉及未成人个人信息的视频数据。试想，这些未成年人将来成年，方意识到儿时的视频影响其个人声誉、侵犯隐私，这时，想删除这些个人信息，是否有权主张网络服务提供商删除呢？是否有诉讼时效限制？

美国COPPA中载有安全港规则（safe harbours），即允许行业组织和其他组织寻求委员会批准实施'COPPA规则'中所载的'相同或更有效的儿童保护措施'的自律准则。大多数情况下，参与美国联邦贸易委员会（Federal Trade Commission，以下简称FTC）批准的'安全港计划'的公司和组织将接受安全港指导方针所规定的审查和纪律处分程序，以取代FTC的正式调查和执法措施。2016年，美国FTC对手机广告公司InMobi提起诉讼，InMobi直接无视了用户同意与否的选择，追踪成千上万的用户（包括儿童）的位置信息，InMobi被判赔95万美元，强制删除全部来自于儿童的信息及未得到明示同意而收集的普通用户信息，此后收集用户信息必须得到明示同意并且强制在InMobi建立持续20年且每两年接受独立审查的全面隐私程序（a comprehensive privacy program）。从美国的判例中可以看出，FTC有权代表儿童起诉要求违法收集儿童信息的服务商删除信息。

欧盟GDPR第17条规定了'数据被遗忘权'（right to be forgotten and erasure），是指数据主体有权要求数据控制者永久删除有关数据主体的个人数据，有权被互联网所遗忘，除非数据的保留有合法的理由。第17条第1款规定了用户依法撤回同意或者数据控制者不再有合法理由继续处理数据时，用户要求删除数据。第2款规定了数据控制者应采取合理的方式予以删除，并有责任通知处理此数据的其他数据控制者，删除关于数据主体所主张的个人数据链接和复制等。第3款是被遗忘权的例外情形：基于言论表达自由；依据欧盟或成员国法律的要求，数据控制者应当履行的法定义务要求其处理数据或者基于公共利益、政府机构的要求处理数据；数据处理依法基于公共健康等公共利益；基于历史、统计和科学研究的目的；处于建立、实施和保护合法权利的需要等。现阶段，欧盟规定了最为完整的数据被遗忘权，包括例外情形。

英国《儿童和GDPR指南征求意见稿》认为当自然人在儿童时同意处理个人信息时，该自然人成年后的数据被遗忘权尤其与之相关。

综上，美国、欧盟和英国都具备儿童个人信息被遗忘的规范基础。

我国《未成年网络保护条例（送审稿）》的立法目的之一是保护未成年人网上个人信息，第18条规定：'未成年人或其监护人要求网络信息服务提供者删除、屏蔽网络空间中与其有关的未成年人个人信息的，网络信息服务提供者应当采取必要措施予以删除、屏蔽。'这条可以看做数据被遗忘权的规定，但是并未规定例外情形。该条也未规定未成年人成年后是否仍然有权要求网络信息服务提供者删除其未成年期间的个人信息，数据一旦受网络信息服务提供者控制，该数据如何被使用就不是数据提供者所能控制的。

因此，笔者建议明确规定未成年人成年后对未成年期间发布的涉及个人隐私的信息享有被遗忘权，同时，不应限制被遗忘权的诉讼时效。

三、网络信息服务提供者的义务

1. 网络信息服务提供者概念

美国COPPA规定运营者（operator）是指在网站经营者或网络服务商,或者收集或维持该网站或网络服务的使用者或访客的个人资料,或为其代表收集或维持信息,为商业目的的运行，包括任何人通过该网站或在线服务销售的提供产品或服务。

欧盟GDPR中定义了'控制者''处理者''接收者'，控制者是指决定个人数据处理目的与方式的自然人或法人、公共机构、规制机构或其他实体；处理者是指为了数据控制者而处理个人数据的自然人或法人、公共机构、规制机构或其他实体；接收者是指接收数据的自然人、法人、公共机构、规制机构或另一实体，不论其是否第三方。然而，公共机构基于欧盟或成员国法律的某项特定调查框架而接收个人数据，则不应当被视为接收者；公共机构对此类数据的处理，应当根据处理目的遵循可适用的数据保护规则。

我国《未成年网络保护条例（送审稿）》中的网络，是指由计算机或其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。网络信息服务提供者，是指通过网络向用户提供信息技术、信息服务、信息产品的组织和个人，包括网络平台服务提供者、网络内容及产品服务提供者。

综上，网络服务提供者的核心是能够对数据进行收集、存储、传输、交换和处理的主体。

2. 网络信息服务提供者义务

结合上述分析以及《未成年网络保护条例（征求意见稿）》的规定，笔者总结了下述网络信息服务提供者应当履行的义务，以作出相应的经营调整，避免可能承担的法律责任。

（1）须对所登载的信息进行审查，发现违反法律、行政法规和部门规章的信息的，应当采取措施进行删除或屏蔽，并向有关主管部门报告。

（2）审查信息时，发现存在下列信息展示，应以显著方式提示：①可能诱导未成年人实施暴力、欺凌、自杀、自残、性接触、流浪、乞讨等不良行为的；②可能诱导未成年人使用烟草、酒类等不适宜未成年人使用的产品的；；③可能诱导未成年人产生厌学、愤世、自卑、恐惧、抑郁等不良情绪的；④其他可能对未成年人身心健康产生不良影响的。

（3）公益性场所为未成年人提供上网设施的，应当安装未成年人上网保护软件。

（4）智能终端产品制造商在产品出厂时、智能终端产品进口商在产品销售前应当在产品上安装未成年人上网保护软件，或者为安装未成年人上网保护软件提供便利并采用显著方式告知用户安装渠道和方法。

（5）通过网络收集、使用未成年人个人信息的，应当制定专门的收集、使用规则，加强对未成年人网上个人信息的保护。

（6）未成年人或其监护人要求网络信息服务提供者删除、屏蔽网络空间中与其有关的未成年人个人信息的，网络信息服务提供者应当采取必要措施予以删除、屏蔽。

（7）网络信息服务提供者提供网络游戏服务的（以下称'网络游戏服务提供者'），应当要求网络游戏用户提供真实身份信息进行注册，有效识别未成年人用户，并妥善保存用户注册信息。

（8）网络游戏服务提供者应当建立、完善预防未成年人沉迷网络游戏的游戏规则，对可能诱发未成年人沉迷网络游戏的游戏规则进行技术改造。

（9）网络游戏服务提供者应当按照国家有关规定和标准，采取技术措施，禁止未成年人接触不适宜其接触的游戏或游戏功能，限制未成年人连续使用游戏的时间和单日累计使用游戏的时间，禁止未成年人在每日的0：00至8:00期间使用网络游戏服务。

（10）网络信息服务提供者应当建立便捷的举报渠道，通过显著方式公示举报途径和举报方法，配备与服务规模相适应的专职人员，及时受理处置公众对本单位网络信息服务活动中违反本条例规定行为的举报。

除以上的法定义务，国家还鼓励相关行业参与未成年人网络保护工作，制定关于未成年人网络保护的行业自律规范，引导行业组织成员加强对未成年人的网络保护。国家鼓励并支持、生产和推广未成年人上网保护软件。国家鼓励网络游戏服务提供者根据国家有关规定和标准开发网络游戏产品年龄认证和识别系统软件。

由于未成年群体的特殊性，建议网络运营者在设计新的系统和程序时重点考虑特殊群体的个人信息和隐私权的保护，采取必要的技术手段加强对未成年群体的保护，最好能够比国家要求的保护程度高，以顺应对未成年权利保护加强的趋势。未成年人的健康成长关乎于国家和民族的未来，笔者也建议除法律规定义务外，网络信息服务提供者也应承担起社会责任，逐利的同时，也应该在处理涉及未成年人个人信息和隐私时尤为慎重。

总结

未成年人在汹涌而来的信息时代，倾向于娱乐性，而忽视自身权利的保护，甚至主动放弃自身权利，不能预测其中存在潜在的风险和可能的后果。这样的背景下，为保护未成年人的健康成长，笔者提出三点建议：

第一，网络服务提供者应当建立年龄认证和识别系统软件，严格要求未成年用户在上传涉及个人隐私的信息时须经监护人的同意，并且进行显著提示。

第二，明确规定未成年人成年后对未成年期间发布的涉及个人隐私的信息享有被遗忘权，同时，不应限制被遗忘权的诉讼时效。

第三，尽早制定关于未成年人网络保护的行业自律规范，网络服务运营者在承担保护未成年个人信息的法定义务后，督促其承担社会责任，提高技术手段加强对未成年人个人信息的保护。

参考网址：
http://www.coppa.org/coppa.htm
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/

编排/郗博鸣