未成年人信息保护中监护人知情同意规则的完善

摘要21世纪数字经济的蓬勃发展，对个人信息的保护提出了全新的挑战，未成年人由于其心智尚不成熟往往更加容易遭受侵害，因此法律对其给予特殊的保护，我国立法目前确立了监护人知情同意规则，但该规则在司法实践过程出现了“监护人同意范围”、“监护人同意范围的内在缺陷”、“监护人同意的年龄限制”等问题和由此产生的争议，围绕相关争议，欧美国家在立法中设置了更为具体细致的知情同意验证规则以及基于不同等级的差异化父母同意方式可供我国吸收借鉴，根据中国的实际情况，结合国外的立法经验，可以在现有法律规定14周岁以下未成年人的个人信息处理需要监护人同意的基础上，增加14-18岁未成年人个人信息的双主体同意模式。同时借鉴美国COPPA根据不同场景采取个性化的同意方式，在责任承担模式上改变为网络服务提供者为主、监护人为辅的责任承担模式，通过制度激励与惩戒进一步加强行业监管，以达到保护未成年人合法权益、保障互联网经济持续健康发展的目的。关键词：未成年人个人信息监护人知情同意规则ABSTRACTWiththevigorousdevelopmentofthedigitaleconomyinthe21stcentury,theprotectionofpersonalinformationhaspresentedanewchallenge.Minorsaremorelikelytobeinfringedduetotheirimmaturemind.Therefore,thelawgivesthemspecialprotection.However,inthejudicialpracticeprocessofthisrule,therehavebeensomeproblemssuchas"scopeofguardianconsent","inherentdefectsofscopeofguardianconsent"and"agelimitofguardianconsent"andtheresultingdisputes.Aroundtherelevantdisputes,EuropeanandAmericancountrieshavesetupmoredetailedinformedconsentverificationrulesanddifferentiatedparentalconsentmethodsbasedondifferentlevelsintheirlegislationforChinatolearnfrom.AccordingtotheactualsituationinChinaandcombinedwithforeignlegislativeexperience,onthebasisoftheexistinglawthatrequiresguardianconsentforpersonalinformationprocessingofminorsundertheageof14,Addatwo-subjectconsentmodeforthepersonalinformationofminorsaged14-18.Atthesametime,COPPAintheUnitedStatesadoptspersonalizedconsentmethodaccordingtodifferentscenarios,changestheresponsibilitymodetotheresponsibilitymodeofInternetserviceprovidersandguardians,furtherstrengthenstheindustrysupervisionthroughinstitutionalincentivesandpunishments,soastoprotectthelegitimaterightsandinterestsofminorsandensurethesustainableandhealthydevelopmentoftheInterneteconomy.Keywords:minorspersonalinformationguardianinformedconsentrules目录TOC\o"1-3"\h\u23043一、问题的提出 716884二、监护人知情同意规则适用的困境 87395（一）如何判定监护人知情同意的范围 812100（二）知情同意机制的固有缺陷 915428（三）以年龄为划分基础的监护人同意的悖论 1032720三、欧美监护人知情同意规则适用的可供借鉴之处 114276（一）知情同意的验证方式的具体化 1114813（二）基于不同风险等级的差异化父母同意方式 128083四、对我国监护人知情同意规则完善的建议 1211474（一）细化取得监护人同意的年龄标准及模式 1225633（二）引入场景化理论划定个人信息风险等级 134733（三）网络服务提供者为主、监护人为辅的责任承担模式 1430274（四）通过制度激励与惩戒进一步加强行业监管 1526092参考文献 1932394致谢 20未成年人信息保护中监护人知情同意规则的完善前言大数据时代，未成年人一方面分享着数据红利，一方面也面临着信息被泄露及非法使用的威胁，一旦信息被泄露或非法使用都可能对其成长造成不利的影响。未成年人是我国今后发展建设的重要力量群体，他们的健康成长是十分重要的问题，因此，不断完善未成年人个人信息法律保护的内容至关重要。我国2020年通过《民法典》，增设了对于个人信息权益的保护规定，其中对未成年人的个人信息保护并未作出具体规定，但从条文内容中可以看出我国所采用的是监护人替代同意规则，此后，2021年通过的《中华人民共和国个人信息保护法》第28条敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。、第31条个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。及第5章主要规定了个人信息处理者的义务。，对未成年人特别是儿童的个人信息、网络安全保护作出了明确规定，《个人信息保护法》中将不满14周岁的未成年人信息列为敏感个人信息，规定个人信息处理者处理此类信息时，应当取得未成年人的父母或者其他监护人的同意REF_Ref14898\r\h[1]。敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。主要规定了个人信息处理者的义务。对比国际立法可知，我国在未成年人个人信息保护的理论基础、制度实践方面没有脱离以欧美为代表的国际通行做法，但由于我国制度建设刚刚起步，规则设计过于笼统，体系性和可操作性并不理想。立法中仅规定了监护人的替代同意规则，但对于如何验证监护人是否同意、针对不同场景下的个人信息同意是否需要具体规定等问题并未涉及，为实践中确定监护人知情同意的标准及行为效力制造了困难，因此，细化知情同意机制的法律适用，避免其在法律上和技术上欠缺实操性是有效保护未成年人个人信息合法权益的关键。因此本文旨在从我国未成年人信息保护的监护人替代同意规则入手，分析我国监护模式下的知情同意规则，对比欧美国家立法例，结合学界对此问题的前沿理论，重新审视知情同意原则在未成年人个人信息保护中的实现方式，以弥补当前立法的不足。本文具有理论和现实两大双重意义，在理论意义上，第一，本文通过比较研究的方法对欧美立法例进行梳理和分析，借鉴和吸收其对用户识别、可验证同意方式等方面的具体规定，为我国相关制度完善提供了有效的理论参考。第二，本文采用隐私场景理论，围绕成年人个人信息“替代决定”模式的监护人同意制度，不断完善各个场景下的协同保护和冲突规则。在现实意义上，本文研究是基于未成年人个人信息安全面临困境，现有体制机制存在不足进行分析，通过比较研究等方法就当前存在的问题进行分析并提出对策，以期完善当前未成年人信息保护机制，保护未成年人个人信息合法权益，明确各方在未成年人个人信息保护中的责任，切实发挥监护人责任，防止互联网企业对未成年人个人信息的滥用，促进数字经济的健康有序发展和网络良好秩序的建立。问题的提出大数据时代，个人信息弥足珍贵，具有重要的价值，被称为数字经济时代的“石油”。一方面，技术的发展给未成年人的生活、学习带来了方便。另一方面，又增加了未成年人个人信息被恶意收集、使用的风险。这就对个人信息保护提出了全新的挑战。未成年人由于心智不成熟，辨别能力薄弱，往往更容易成为被侵害的对象，因此法律给予了他们特殊的保护REF_Ref15283\r\h[2]。2021年1月1日起施行的《中华人民共和国民法典》第1035条《民法典》1035条规定：处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理。和202年11月1日起施行的《中华人民共和国个人信息保护法》第31条分别对该问题作出规定，上述立法规定表明，我国立法者已经意识到保护未成年人这类特殊主体的个人信息的重要性并开始对其通过特殊的法律规范加以保护，但我国在这方面的立法还处于初步阶段，从中国目前的立法规定来看，针对未成年人个人信息自我决定能力的不足，完善监护人知情同意规则的适用是重要的实践补充，在未成年人个人信息保护方面发挥着重要作用。这一规定的理论根源主要有两个:一是隐私控制理论;二是亲权和监护权理论，即隐私是一种自我决定的利益，也应该由未成年人享有，因为未成年人无法理性且成熟地做决定，所以需要限制他们的自主权来保护他们，由监护人代替他们同意个人信息的处理。纵观世界各国未成年人个人信息保护的立法过程，美国1974年的《家庭教育权与隐私法》和1998年的《儿童在线隐私保护法》(COPPA)都设定了监护人同意规则。同样地，2018年5月25日生效的欧盟《通用数据保护条例》(GDPR)也将监护人的明确同意作为前提条件。由此可见，中国目前的制度设计，很大程度上借鉴了欧美国家的立法范例。但是，由于我国立法对该规则规定尚不完善以及该规则本身的固有缺陷，在司法实践过程出现了“监护人同意范围”、“监护人同意范围的内在缺陷”等“监护人同意的年龄限制”等问题和由此产生的争议，这使得监护人知情同意规则在实践操作中仍存在一定的困难，难以达到保护未成年人合法权益、促进互联网经济合规发展的目的REF_Ref16146\r\h[3]。《民法典》1035条规定：处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理。因此，本文拟从未成年人信息保护中监护人知情同意规则适用的困境与成因、对欧美国家立法例的借鉴以及寻求具有中国特色的未成年人个人信息保护的法律路径三个方面展开，以更好地保障未成年人的信息权益，达到个人利益与社会利益的统一。监护人知情同意规则适用的困境如何判定监护人知情同意的范围我国《民法典》的立法宗旨是最大程度保护民事权利，《民法典》中随处可见“当事人另有约定的，从其约定”这一意思自治条款的规定，同时出于维护秩序、公平、效率等价值的考虑，在必要时又需要利用国家公权力对私人权利进行必要的限制和约束。对于未成年人信息的保护，我国仍然需要在立法中进行赋权与保护的价值平衡REF_Ref16296\r\h[4]。这一规则的内在逻辑是民法监护理论中的“替代决定”模式REF_Ref15963\r\h[5]。从本质上讲，监护人替代同意规则则可视为个人信息保护场景中监护关系的具体法律规范。因此，如何在立法中设置同意的范围，使得既能发挥父母教育和保护的作用，又能最大限度地尊重未成年人的自由意志，成为大数据时代未成年人信息保护的一大难题。我国《民法典》和《个人信息保护法》对个人信息的基本概念进行了界定，分别采用了“识别+不完全枚举法”和“识别+排除法”。在这两种模式中，《民法典》将个人信息划分为“私密信息”和“非私密信息”，《个人信息保护法》则划分为“敏感信息”和“非敏感信息”。其重点都强调的是个人信息的可识别性，但由于对于识别概念很难界定,在司法实践中，法官往往需要行使自己的自由裁量权来判断是否属于私密信息。同时，鉴于数据技术的进步，大数据分析使得可识别信息和不可识别信息的区别变得缺乏意义，越来越多表面上不可识别的信息转化为可识别的信息，现行立法采取“识别性”的判断路径存在着明显的局限性，将导致司法审判中的自由裁量权的滥用，同时也难以适应社会科技的飞速发展。因而，有必要思考跳脱传统架构中的二元式划分，采取更为多元化、个性化的评定标准，评定未成年人信息风险等级并加以区别对待将是一种保护趋势REF_Ref16648\r\h[6]。知情同意机制的固有缺陷知情同意机制作为收集和处理个人信息的法律依据，长期以来一直受到学术界的诟病。这一机制主要有以下几个局限，第一，在互联网时代，面对复杂的信息收集，个人对自己信息的控制能力非常有限。现行立法过于注重在收集前获得同意，忽略了人们在同意时无法预测个人信息未来的使用情况，过度的信息自决权反而会导致“一揽子”同意REF_Ref16828\r\h[7]，这实质上反而使个人丧失了信息自决权。其次，民众的信息素养参差不齐，未成年人的个人信息本就由于其难以预测性、复杂性格外需要保护，但现实中监护人往往不具备足够的信息素养导致错误同意。同时由于法律对未成年人信息处理的特殊规定，网络服务提供者往往会设置更为复杂的同意条件，监护人知情同意规则的初衷是保护未成年人的权益，但是过度的监护人同意要求可能会导致陷入“同意疲劳”，事实上现实生活中很少有人去阅读冗长且晦涩的隐私政策，况且即便监护人阅读了隐私政策，也不一定明白同意的后续影响，这也涉及到个人对信息控制力、预判力有限的问题，目前立法规定的前提是具有较高信息素养的理性的监护人代替未成年人作出同意，而现实情况却是监护人本身的信息素养参差不齐，甚至部分未成年人由于能够快速接受新鲜事物对互联网有着更深的了解。出于顺利使用相关服务的目的，大量缺乏专业信息素养的父母直接勾选同意隐私声明，其错误同意却可能带来巨大的风险隐患。因此，如何弥补用户技术欠缺的客观局限和未加以理性判断的主观疏漏，从而获得有效的知情同意，是达到未成年人信息权益保护和企业经济利益平衡这一立法目的所亟待解决的问题。此外，同意机制的又一问题在于网络服务提供者如果过度依赖家长同意机制，便会在程序设计上疏忽大意，这实质上是将本该由网络服务提供者承担的大部分责任转嫁到了普通网民身上，因此有必要在立法中进一步细化和增设相关责任规定。除了针对同意内容的争议，判断监护人同意本身的真实有效也一直是一大难题，虽然随着技术发展和法律规制的加强，验证手段逐渐多样化，比如电话询问、人脸识别等。但这些做法不仅会带来更严重的隐私担忧，而且会使得监护人同意还面临着成本难题。通过人脸识别等验证身份需要耗费大量的人力、物力成本，对于小微企业而言往往无法承受，成本过高进而会导致两个结果：要么消极对待法律规定形成普遍违法，要么直接放弃儿童市场以规避法律监管，如Facebook拒绝儿童使用的做法。因此，鉴于同意机制存在诸多固有缺陷，我国立法须进一步进行细化规定，并通过其他方式对其加以完善。以年龄为划分基础的监护人同意的悖论目前我国立法规定14周岁是划分监护人同意的分界线，以年龄作为分界线存在的问题有二，第一，存在以何一年龄作为界分标准的观点争议。以年龄作为划分界限是立法中的惯常做法，然而单纯以年龄作为划分标准必然导致一系列争议，在未成年人个人信息保护这一问题上，关键是进行赋权与保护的价值平衡，讨论赋权与保护其哲学基础是乐观主义和现实主义两种观点，如前所述，目前针对未成年人个人信息权益的保护仍存在诸多可供完善之处，此时采取更为现实主义的观点，结合社会实际情况制定更为个性化、灵活化的规则是有必要的REF_Ref17053\r\h[8]。纵观世界各国立法，实际上，自从COPPA在美国发布以来，关于年龄的质疑一直不绝于耳。部分学者对放弃对13岁以上18岁以下青少年的网络隐私保护提出质疑，面对这些批评，2018年的《儿童反跟踪法》修改了儿童的年龄限制。以前只覆盖13岁以下儿童的保护制度将扩大到未成年人(12至16岁)，欧盟GDPR让成员国有权设定自己的监护人同意年龄，比如德国为14岁，荷兰为16岁，也有批评人士认为，这些规定忽视了未成年人的自主权。我国刑法中针对未成年人的刑事责任年龄规定了恶意补足年龄制度，在极其严格的条件下惩治已满12周岁不满14周岁的未成年犯罪人，我国《民法典》中针对未成年人的民事责任能力也进行了例外规定，对于限制民事行为能力人规定了纯获利益和接受赠予两种例外情形，这表明单纯的年龄界分确实存在僵化的问题，法律需要“明线规则明线规则，指的是美国法律中要求规则或标准必须有明确清晰的定义，不预留或极少预留解释空间。”以确保稳定性、明确性，但在客观的年龄标准之外还需要其他条件加以扩张，以适应现实生活所需，赋予法律灵活性和适应性。在未成年人个人信息保护上，则需要以客观年龄标准为基础结合具体场景进行主观化判断，主要表现在对于儿童自主权的限制以及由于潜在的风险不同，应区分风险等级区别对待，如针对未成年人发送即时消息可能不需要父母同意，但是创建社交媒体账号则需要父母同意。即使年龄划分明确，监护人知情同意规则也经常难以发挥作用，因为在某些情况下，监护人自愿帮助未成年人谎报年龄以获得网络服务。随着未成年人触网明线规则，指的是美国法律中要求规则或标准必须有明确清晰的定义，不预留或极少预留解释空间。欧美监护人知情同意规则适用的可供借鉴之处知情同意的验证方式的具体化针对同意的验证方式，美国COPPA采用“可验证的父母同意”原则，指的是在目前信息技术的情况下，无论个人和组织在对未成年人个人信息进行收集、处理、使用前都应该先获取其法定监护人的同意。综合来看，获取其监护人同意主要包含以下几个步骤(1)给予充分的通知;(2)直接告知家长;(3)取得可核实的父母同意;(4)建立并保持合理的程序;(5)提供合理的评审方法。在此基础上，制定全面灵活的机制来应对各种情况，具体问题具体分析，使用多种验证方式来应对信息控制者的行为，欧盟则在《数据保护指令》解释了数据主体“同意”的具体含义，而且对GDPR中相关的内容进行了更为细致的说明，即“暗示、留空复选框或未按要求行事不构成同意”。对同意的具体环节、方式等进行了更为细致的规定REF_Ref17269\r\h[9]。基于不同风险等级的差异化父母同意方式美国的COPPA划分了不同网络场景下的不同风险等级，规定了不同的家长同意方式。这一规定的理论根源是场景正义理论隐私保护的场景理论认为，“场景正义”（contextualintegrity）意味着，信息保护与信息流动在特定的情景中应符合各方的预期。场景理论的创立者为海伦·尼森鲍姆（HelenNissenbaum），其核心在于合理的信息流，即只要信息流是合理的，就不会侵犯隐私权益。合理的信息流通应该符合公众利益和个人利益。例如，在医疗场景中，国家基于公共利益，可以在患者不同意的情况下与相关部门共享传染病记录，这符合医疗场景中的公平，是合理的信息流。对未成年人来说，风险最小的互联网服务不需要父母同意，比如没有互动或数据共享的互联网服务;其次，中等风险的网络服务使用更宽松的同意形式。例如，当信息处理机构只在内部使用数据而不向第三方披露数据时，它可以向家长发送电子邮件征求同意。最后，最高级的互联网服务需要通过同意书、提供验证文件和免费电话等方式进行同意，这在一定程度上避免了家长的“同意霸权”和对未成年人的“过度保护”，也有助于减少家长的“同意疲劳”REF_Ref17308\r\h[10]。隐私保护的场景理论认为，“场景正义”（contextualintegrity）意味着，信息保护与信息流动在特定的情景中应符合各方的预期。场景理论的创立者为海伦·尼森鲍姆（HelenNissenbaum）对我国监护人知情同意规则完善的建议细化取得监护人同意的年龄标准及模式虽然年龄限制受到了批评，但如果不设定年龄限制，就需要对所有未成年人的上网活动进行个性化评估，这必然会增加信息处理者的合规风险和网络治理机构的实施成本。美国COPPA明确规定了年龄限制，收集和处理13岁以下儿童的个人数据需要征得父母同意。欧盟的GOPR规定父母同意的年龄门槛为16岁，但允许成员国根据自身情况将年龄限制设置在16岁以下，不低于13岁。欧盟非政府组织“儿童上网安全联盟”认为，在目前的互联网环境和技术条件下，不可能对未成年人进行个体评估，但可以对不同年龄的未成年人采取差异化的规则，而不是对平均年龄采取统一的规则。根据中国的实际情况，结合国外的立法经验，可以在现有法律规定14周龄以下未成年人的个人信息处理需要监护人同意的基础上，增加14-18岁未成年人个人信息的双主体同意模式REF_Ref17674\r\h[11]，具体的同意模式是在征得监护人同意之前，先征求未成年人的意见。如果未取得未成年人的同意，则无需征求监护人的同意。如果已获得未成年人的同意，则必须获得其监护人的进一步同意。要做到以年龄划分为基础的场景化评估，首先，立法有必要划分基本的年龄界限，其次要在标准之上进一步进行细化和灵活规定，尤其是未满十四周岁的未成年人由于年龄太小、心智发育不成熟、认识和理解能力太低，没有建立正确的信息安全意识，对信息处理者将要如何处理自己的个人信息即处理信息的目的、处理方式、保存期限、个人权利的行使程序等内容都不能产生正确的认识，也意识不到个人信息泄露后会给自身权益带来严重的侵害。因此，对未满14周岁的未成年人采取特殊保护，要求处理者必须取得其监护人的同意，是处理者的法定义务，即利用未成年人的个人信息从事何种业务以及采取何种处理方式等内容都需要明确告知其监护人并征得其监护人的同意。引入场景化理论划定个人信息风险等级在前述年龄划分的基础上，对于未成年人个人信息的保护，我国可以借鉴美国COPPA根据不同场景采取个性化的同意方式，尼森鲍姆提出，符合场景公正的信息流通即合理的信息流通。衡量合理的信息流通包括信息主体、信息发送人、信息接收者、信息种类以及信息传输原则五个要件，五个要件缺少任意一个都将导致信息流通的不合理。在未成年人个人信息保护框架下，未成年人作为信息主体，其他四要件随着场景的改变而改变。参考欧美立法例，针对网络服务运营者的目标群体的分析应结合其主观意愿和客观元素进行综合分析，在认定目标群体为未成年人时，应收集该用户的年龄信息，进而采取差异化保护，根据不同的场景来灵活划分取得监护人同意的信息范围，以教育类应用为例。根据教育部印发的《关于禁止有害应用程序进入中小学校园的通知》在这个场景中，信息的主体是未成年中小学生。学校对于APP进入校园有着审核义务，在这种场景下，需要衡量信息流是否符合教育部的通知规定(传输原则)。即使此时即便取得家长同意，也不符合合理的信息流。由此可见，监护人知情同意在场景化模式中只是几种传播原则的其中之一。在学习类app进入中小学的教育场景中，传输原则是提供通知，使用学校批准的app不需要家长批准REF_Ref17778\r\h[12]。但是，因此，未成年人的利益是否会受到侵害，不能仅仅以监护人的同意为依据。最终要衡量的是，在不同的社会场景下设定不同的同意标准，未成年人个人信息的传播是否合理。衡量合理的信息流通包括信息主体、信息发送人、信息接收者、信息种类以及信息传输原则五个要件，五个要件缺少任意一个都将导致信息流通的不合理。同时，针对十四周岁以下和十四周岁至十八周岁年龄阶段的孩子应注意在评估时的区别化对待，十四周岁至十八周岁年龄阶段的未成年人相比十四周岁以下的未成年人，他们的身心发育相对成熟，接受了更多的教育并且有了一定的社会经验，认知判断风险能力有所增强，对信息处理者将要如何处理自己的个人信息即处理信息的目的、处理方式、保存期限、个人权利的行使程序等内容有了一定的认识和见解。在这种情况下，可以给予处于该年龄阶段的未成年人部分自主“同意”权，不再是完全接受监护人的监督并由监护人单独决定。比如，学校内部的信息统计，包括家庭住址、父母年龄、父母健康状态等信息，只需要未成年人本人同意就行，无需再告知其监护人，但是必须保证信息不会转为他用。网络服务提供者为主、监护人为辅的责任承担模式网络服务提供者是大数据时代信息的收集、处理和分析的实际操控者，其拥有着足够的权力也必须承担更多的责任，鉴于监护人知情同意规则存在缺陷，针对未成年人个人信息保护不应仅局限于规定监护人责任，也不应将监护人知情同意置于过高地位，以免网络服务提供者借此逃避责任，因此有必要对网络服务提供者的责任加以更加严格的规制。首先，个人信息处理者在履行告知义务之外，还要积极履行个人信息的安全保障义务REF_Ref18383\r\h[14]。现阶段信息处理者对未成年人个人信息保护的重视度不够，单依靠未成年人及其监护人的事前同意无法很好地保护未成年人的信息权益，通过结合上文，有以下建议：第一，网络服务提供者在收集未成年人个人信息的过程中，要使用成熟可靠的技术，培养专门的技术人员，对未成年人个人信息做到最大程度的保护。第二，根据未成年人的不同年龄阶段，制定与其年龄阶段相适配的隐私政策。第三，网络服务提供者应在未成年人个人信息保护上设立专门的监督部门，对风险进行观测和预防REF_Ref18007\r\h[13]。其次，网络服务提供者的责任不仅应局限于事后的预防、监督和补救环节我国《个人信息保护法》第五章中对信息处理者的义务进行了规定，但主要涉及预防、监督和补救环节。，更应在产品研发过程之初将隐私保护理念贯穿始终。GDPR以“通过设计保护隐私”为指导原则REF_Ref18405\r\h[15]。这一原则的核心思想是，隐私保护不仅仅是事后的法律救济，而是贯穿于产品开发和设计的隐私保护理念。鉴于个人权利的局限性，个人信息保护的责任应转变为互联网服务提供者为主、监护人为辅的模式，确保信息控制、信息处理者和产品开发人员履行其数据保护义务，确保产品本身能够最大限度地保护用户隐私。例如，腾讯建立的“成长监护人平台”通过关联家长账号，提醒家长孩子的网络交易等重要信息，同时开放实名认证信息，这一措施能够较好地达到保护未成年人信息权益的目的，但是暂且不论实名认证存在身份信息泄露的风险，对于多数网站来说，实名认证将带来流量的损失、个性化推送服务的难以开展进而带来商业利益的损失，设置保护用户隐私的产品往往与产品开发者追求商业利益的愿望存在冲突。这导致在很多情况下，未成年人隐私保护的名义远大于实际。但是法律始终是价值权衡的艺术，由于对未成年人个人信息权益的保护涉及儿童以及青少年的健康成长，关乎社会发展，立法在此时应当更加注重未成年人权益保护，网络服务提供者的商业利益此时应当作出适当让步。因此，“通过设计保护隐私”不应仅仅作为一种指导原则而存在，而应成为明确的法律规则。我国也可以借鉴欧盟的GDPR和美国的COPPA规定，将系统开发者纳入个人信息保护的责任主体范围。从而降低执法成本，促使互联网服务提供商守法合规。我国《个人信息保护法》第五章中对信息处理者的义务进行了规定，但主要涉及预防、监督和补救环节。通过制度激励与惩戒进一步加强行业监管首先是确立未成年人个人信息权益的认证机制。认证机制的作用类似于商标，作为一种商事外观，获得认证表明网络服务提供者在个人信息保护能力上达到了一定标准，同时对具备更高要求的未成年人信息处理能力的企业进行进一步认证，欧盟国家普遍采用了公权认证模式，例如，法国由“国家信息与自由委员会”制定认证规则，并且具有评估权，负责授予认证证书。认证、能够为企业带来商誉、公共部门嘉奖等多方面激励，最主要的是带来更大的行业优势和经济效益当前企业保护个人信息的成本过高，动力不足，认证机制能够一定程度上提高企业技术研发、运营监管的积极性，从内在提升企业进行个人信息保护尤其是未成年人个人信息保护的动力。第二是设置违反监护人同意规则的处罚机制。在前述确定责任的基础上，有必要进一步明确需要建立的处罚机制REF_Ref18565\r\h[16]。对于违反监护人知情同意规则的处罚机制，我国尚缺乏相应规定，相比之下，美国的COPPA和欧盟的GOPR都做出了具体的处罚规定，如GDPR规定了违反监护人知情同意规则将处以巨额罚款。如果数据运营商未能遵守GDPR，没有采取具体措施保护未成年人的个人信息，则可能被处以最高1亿欧元的罚款。相比之下，中国现行立法仅在《儿童个人信息网络保护条例》中规定了实际数据控制者的法律责任，而忽略了不遵守监护人同意规则的主要责任。因此，在国外处罚机制的基础上，建议对侵权的企业建立双向处罚机制，双向处罚机制的内容为一是要强化互联网行业经营者的告知义务。在收集、处理未成年人个人信息时，应最大限度明确告知监护人，并征得其同意。对未履行明确告知义务，却非法收集、使用未成年人个人信息的企业，将根据自身周转率处以罚款。对严重侵犯未成年人信息权益的企业，对法人、违法组织及其代表给予行政、刑事处罚。二是规定信息处理者具有双重核实的法律义务:一是处理者必须核实被处理个人信息的自然人为未成年人。如果处理者未能核实这一点，那么从个人那里获得的同意是无效的，处理是非法的。其次，应核实代表未成年人给予同意的人是本人还是其监护人。信息处理者对这两种核查义务都负有举证责任。否则，当未成年人信息权益受到损害的事件发生时，即使信息处理者的行为并非信息处理者的责任，信息处理者也需要承担督促信息的无过错责任信息处理者履行相应的安全义务。综上所述，针对未成年人个人信息的保护，我国借鉴吸收了欧美的监护人知情同意规则，但是由于该规则在实践中存在知情同意的范围确定、知情同意机制的固有缺陷以及以年龄作为划分知情同意规则适用范围的合理性之争议等问题，有必要进一步借鉴欧美国家立法，结合我国的社会现状以及经济社会发展需要，有必要进一步完善和丰富该规则，首先，引入场景化理论，个性化评估个人信息风险等级，如将教育类APP和未成年人求助网站的注册标准区别对待，要改变原有单纯以可识别性作为判断信息私密与否的标准；第二，引入场景化理论，在现有关于年龄的规定基础上进一步细分，在现有法律规定14周龄以下未成年人的个人信息处理需要监护人同意的基础上，增加14-18岁未成年人个人信息的双