2021年中国互联网信息中心发布的报告显示，2020年中国未成年网民规模持续增长至1.83亿，未成年人的互联网普及率达到94.9%。^①随着互联网和智能设备的快速普及，未成年人个人信息权益受侵害问题不容小觑，如平台非法获取或泄露未成年人个人信息、利用大数据技术和算法推荐功能对未成年人画像等，严重影响未成年人的人格塑造和身心健康成长。《中国儿童发展纲要(2021—2030年)》在第二部分“儿童与安全”策略措施中指出，要加强未成年人网络保护、信息保护。^②目前，中国《个人信息保护法》《儿童个人信息网络保护规定》等都采取了以欧美国家为代表的国际通行做法，确立了监护人同意规则。但该规则的设计过于笼统，可操作性不强，给实践中确定监护人同意的标准及行为效力造成了困境。学界对监护人同意规则的关注度不足，^③且研究视角多局限于知情同意规则的固有属性，对监护人同意的法律属性并未作出充分说明。基于此，本文以未成年人个人信息的特殊属性为立足点，围绕监护人同意规则的适用困境，结合中国立法和司法现状，进一步解析并完善规则设计，以在平衡多方利益的基础上最大化实现对未成年人个人信息的有效保护。

一.   监护人同意规则的局限性分析

在中国法项下，监护人同意规则要求个人信息处理者在处理不满14周岁的未成年人个人信息时，必须取得未成年人的父母或者其他监护人的同意。作为未成年人个人信息收集、处理的前置程序，该规则散见于《个人信息保护法》《未成年人保护法》《儿童个人信息网络保护规定》等不同法律规范中，且主要从敏感个人信息的角度在特定法律领域进行专门规定，缺少系统性和可操作性。^④这直接导致实践中确定是否要取得监护人同意、获取同意的验证标准等存在模糊性和判断难度，进而削弱了未成年人个人信息保护的力度和效果。当下，结合司法实践和理论问题可知，监护人同意规则的局限性主要表现在三个方面。

第一，适用范围界定不科学。同意的年龄标准设定不仅直接影响未成年人行为自由和个人信息权益的实现，也决定了应在何时允许监护人介入和协助。在适用范围方面，问题主要有二。一是监护人同意的年龄标准界定不科学。《个人信息保护法》第31条将14周岁作为未成年人同意能力的判断标准，并未直接援用《民法典》关于民事行为能力年龄的规定，而是另设了与之相异的年龄界点。此年龄标准的正当性基础尚未从理论上得到明确解释，且设置平均化年龄的弊端日益显露。二是界定角度不完整。仅从年龄角度判断而不区分具体适用场景，刻意忽略个体的实质差异，会导致监护人同意规则流于形式、形同虚设。例如，14至18周岁的未成年人同样可能因缺乏辨别能力而暴露过多个人信息，赋予其决定权是否会带来保护不足的问题？而对于8至14周岁的未成年人，若同意的法律效果使其纯获利益或者与其民事行为能力相适应，是否应认为同意有效？是否需要以例外性规范的方式增强14周岁年龄标准的现实适应力？由此产生的诸多问题需要进一步探讨。

第二，实施方式不明确。主要表现为前同意阶段的身份验证机制缺乏明确规则，导致实效性不足。信息处理者的身份验证机制指向两个方面：验证个人信息主体是否为未成年人和验证同意主体是否为父母或其他监护人。目前，国内尚未有生效的法律法规、政策标准等对验证方式和单独同意的交互问题进行明确规定，导致信息处理者缺乏主动履行身份验证义务的制度激励。虽然国家陆续在网络游戏、金融等领域要求运营商验证用户年龄等身份信息，但是多数运营者仍使用注册信息验证年龄，后续也不会验证监护人身份。例如，腾讯、抖音、快手等APP的隐私条款并未设置强制性的未成年人身份验证机制，且一般采用生日识别的方式，真实性较低。^⑤未成年人可借他人身份注册账号，避开软件对年龄的强制要求，造成信息泄露的风险。

第三，保障方式不完善。目前，监护人同意规则的行政、诉讼监管模式不够完善，行业自律也不够规范。惩罚标准和责任承担都未明确，导致行政监管缺乏明确指引。此外，未成年人公益诉讼领域对“涉及公共利益”的判断在不同法律文本中有不同规定，缺少相对具体、明确的判断标准，使得检察权和公益诉讼权的有关规定成为一纸空文或由于泛化而随意适用。^⑥同时，国家标准对企业内部如何设置监护人同意规则未作详细规定，不健全的行业自律模式无法及时有效弥补法律滞后造成的缺陷。

二.   监护人同意规则的规范冲突与理论罅隙

破解监护人同意制度虚置化问题的逻辑起点是明确未成年人个人信息的特殊属性，需要在厘清未成年人个人信息和敏感个人信息逻辑关系的基础上，进一步审视监护人同意规则与未成年人个人信息权益的逻辑关系，从而对监护人同意的法律属性进行认知识别。

一   保护客体：未成年人个人信息与敏感个人信息的规范冲突

我国《个人信息保护法(草案)》一审稿和二审稿将不满14周岁未成年人个人信息置于个人信息处理规则的一般规定中，而后正式稿第28条将未成年人个人信息列入敏感个人信息范围。尽管这种体系性变化对于敏感信息作内部区分以及具体规则适用具有价值基础和解释工具上的意义，但14周岁以下的未成年人个人信息基于主体特殊性而一概被评价为敏感个人信息，与敏感个人信息的规范定义相冲突。从目的解释的角度，需要厘清未成年人个人信息能否被评价为敏感个人信息，这直接影响监护人同意规则的适用范围。

未成年人个人信息符合个人信息的一般特征，即以可识别性为核心。我国《民法典》和《个人信息保护法》分别形成了“单独识别+结合识别”和“已识别+可识别”的概念结构，均以“识别”为核心。^⑦但相较于一般个人信息，未成年人个人信息的泄露或非法使用更容易使其权益受损。因此，《个人信息保护法》第二章确立了以一般禁止为原则、以特定目的和充分必要性为例外的未成年人个人信息特殊处理规则，并辅之以监护人同意制度。

笔者认为，就评价基础而言，未成年人个人信息和敏感个人信息的关系有价值趋同、逻辑分殊的特点，未成年人个人信息不宜因主体特殊性而一概被评价为敏感个人信息。敏感个人信息的法益内涵不仅包括公民的人格权益，还包括社会利益、公共秩序和国家安全。^⑧敏感个人信息的法律判断基准有个体主观反应基准、客观权益侵害风险基准^⑨和主客观基准兼采的争议，^⑩我国立法所确定的是客观权益侵害风险论，以人格尊严受到侵害或人身安全受到危害的客观结果作为法律判断基准。未成年人个人信息承载着未成年人个人利益、父母的亲权利益等不同的法益内涵，且主体缺少风险识别能力和承担能力。以客观权益侵害风险的法律基准而言，未成年人个人信息的价值取向与敏感个人信息趋同。但是，未成年人个人信息和敏感个人信息的逻辑结构不同。《个人信息保护法》第28条以“列举定义+等外”的涵盖模式列举了典型敏感个人信息，有生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等，均指向特定信息内容属性；而未成年人个人信息系于主体特殊性，即并非所有未成年人个人信息在风险程度上均能达到较高的风险兑换概率，但只要主体是未满14周岁的未成年人，均应适用敏感个人信息处理规则。有学者认为，考虑到未成年人作为特殊场景要素，立法是基于信息主体端而非信息处理者端考察信息处理风险。^⑪因此，未成年人个人信息和敏感个人信息的逻辑关系可以概括为价值趋同而逻辑结构不同。然而，此种逻辑的不同会引发监护人同意规则适用宽泛且不聚焦的问题。根据《个人信息保护法》第29条单独同意的规定，监护人需要对所有类型的未成年人个人信息处理逐一同意，大量烦琐的同意操作无法使监护人聚焦关键信息，且尚未有明确的内容划分标准确定信息类型以供监护人逐项同意。^⑫因此，需要谋求全新的界分方法以明确监护人同意规则的适用范围。

二   理论基础：与未成年人个人信息权益的理论竞合

厘清未成年人个人信息和敏感个人信息的逻辑关系后，需要进一步审视未成年人个人信息权益与监护人同意规则的逻辑关系。监护人同意规则的理论来源主要有两个：信息自决权理论和亲权及监护权理论。笔者认为上述两种理论存在竞合关系：一方面，监护人同意规则是监护人知情权和代理权在未成年人个人信息保护领域的自然延伸；另一方面，未成年人同样适用信息自决权理论，个人信息权益中最核心和最基础的权能是知情决定权。^⑬由此，二者之间存在紧张关系，但并非不可调和。为了避免规则适用受其掣肘，需谨慎平衡二者的关系。

监护人同意规则是监护人知情权和代理权在未成年人个人信息保护领域的自然延伸。信息自决权理论来源于私法中的自治理论，主要内容是自我有权决定以何种方式展示和利用信息，不被无正当理由地干涉。未成年人同样享有个人信息权益，但由于其欠缺同意能力与民事行为能力，需要亲权及监护权理论予以补足。我国亲属法采用大陆法系的立场，《民法典》确立的亲权和监护权是有区别的。亲权是父母和未成年子女间的身份地位和权利义务关系，其监护义务围绕着“抚养、教育和保护”三个方面展开。^⑭监护权是准身份权，确定的是监护人与被监护人间的权利义务关系。^⑮作为一种监督、照护的义务，监护着重于责任内容的限定，不以身份关系为存在基础和前提；而亲权制度更多体现的是伦理秩序和情感连接。基于两种权利的不同，有学者认为亲权和监护权制度下的同意规则是有区别的。^⑯但依照传统民法设计，当父母亲权均灭失时，监护制度应立即补位，实现对未成年人权益保护的无缝对接。^⑰笔者认为，《个人信息保护法》第31条旨在通过监护制度协助无民事行为能力和限制民事行为能力的未成年人实现自身利益，维护交易秩序，因而监护人同意规则采用的是广义的监护概念，将亲权置于监护权之中。综上，监护人同意规则是在保护未成年人信息自决权的基础上，赋予监护人替代做出控制行为的权利。

然而，未成年人随着自身成熟，对自我决定的权利需求日益强烈，依赖成年人并被照顾的需求不断降低。此种赋权和保护之间存在着紧张关系。^⑱监护人同意规则与未成年人个人信息权益相冲突的情形并不少见。实践中，冲突的表现形式主要有两种。一是知悉型冲突。有别于父母监护人对未成年人隐私权的限制，其他监护人或在与未成年人关系缺乏纯粹利他因素的情况下知悉未成年人部分私密信息，从而侵犯其个人信息权益。^⑲二是意思表示型冲突。监护人出于对未成年人沉溺网络的担心，可能对互联网服务产生抵触心理，作出与未成年人相反的意思表示。从法益保护路径的角度来看，上述冲突关系来源于个人自治和保护性他治的固有矛盾。具体而言，监护制度实则是一种保护性他治，体现了家长主义“为了保护行为人的利益而限制行为人的自由”的价值取向。^⑳法律隐含的假设是未成年人缺乏成熟经验，自我保护不足，监护人是未成年人利益的最佳保护者。但未成年人同样适用信息自决权理论，个人信息权益中最核心和最基础的权能是知情决定权，即个人有权知悉并决定个人信息相关事项。^㉑在民法理论中，对自决的保护贯穿始终，无论是物权、人格权还是债权的保护，都可以归结为意思自治的保护。^㉒未成年人对其个人信息所享有的自治利益自然也应当受到保护。由此，建构在个人主义的基础上、以自决为核心的个人信息权益，与监护人同意制度一定程度上互相冲突。

当然，上述冲突关系并非绝对，监护人同意规则和未成年人个人信息权益之间也有相互协调之处。监护人知情权是履行监护职责的必要基础，其保护的法益与未成年人个人信息权益具有同一性。^㉓未成年人的自治利益应当让位于未成年人的整体利益。但过多的监护人介入可能侵害未成年人的个人信息权益，不利于培养未成年人的网络素养。如何在尊重未成年人个人信息权益、自我决定能力的前提下，恰当地协调监护人同意规则和未成人个人信息权益之间的矛盾，关乎监护人同意规则的正当性和有效性。

三   适用范围：同意年龄标准与民事行为能力制度的体系关系

在中国法项下，监护人同意规则的适用范围以14周岁年龄标准为界，实践中能够达到超越个案的抽象法律效果，实现形式合理性与实质合理性的统一。但缘何以低于民法成年年龄的14周岁作为未成年人个人信息的界分，需要论证其是否符合实质正义及背后的价值判断。根据法的一般性原理，法律调整是一种规范性调整，符合同一年龄条件即被赋予相应的法律后果满足形式正义的要求，从而可以保障最基本的社会公正。^㉔因此，设定统一的年龄标准是必不可少的。有学者认为统一而绝对确定的年龄标准无法适应未成年人的个体实质差异，存在评价不准的固有缺陷，并提倡采取弹性的立法模式。^㉕也有学者认为，统一的儿童同意年龄模式符合法律确定性和可行性的要求，但难以妥善处理法律适用中的“临界”现象。^㉖然而，法律年龄制度以法律拟制为技术外壳，意在略去个体的实质差异，赋予不同行为相同的法律效果，即对同一年龄条件下的自然人等同视之。^㉗拉德布鲁赫认为：“法律面前平等和法律规范的一般性都是法律的本质。” ^㉘具体至监护人同意规则的年龄标准，其实质是关于未成年人认识能力的法律推定，目的在于确定需要特殊保护的未成年人个人信息范围。数字化的计量标准能够赋予被保护的未成年人个人信息可计算性，避免了法律必须对每个信息主体的独特性作出鉴定，增强了适法的可操作性。从国外立法例来看，多数国家均选择统一且明确的监护人同意年龄标准。例如，欧盟《通用数据保护条例》(GDPR)授权各成员国自行确定需要保护的未成年人年龄，通常为13—16岁不等；2000年，美国《儿童在线隐私保护法》(COPPA)将该年龄标准设定为13岁。少数国家如日本和瑞士，以未成年人的同意能力和判断能力作为实质标准，并辅之以可推定的年龄参考标准。

然而，“徒法不足以自评”，法学公正、正义的评价标准来源于法律外部。不妨借法经济学的预测解释性分析方法和评价性分析方法，用效率标准来评价14周岁的年龄设定。波斯纳主张将财富最大化作为“评价行为或制度是否正义或善的标准”，也即一项制度的引入如果能实现财富的最大化，该制度便是有效率的。^㉙具体至监护人同意规则，法律赋予14周岁及以上年龄者决定权，是结合社会发展情况及大部分未成年人的心智成熟度而作出的规定。随着网络安全环境不断改善，65.5%的未成年人表示未在上网时遭遇不良信息。^㉚考虑到部分心智发育较成熟的未成年人具备基本的风险判断能力，其生活与网络使用和信息处理紧密结合，对网络环境十分熟悉，可以赋予其同意能力。然而，法律年龄的合理性取决于法律推定的准确性。“一刀切”的做法会使部分14周岁以下但心智较成熟的未成年人被限制意志自由，同时使14—18岁中尚不足以自我决定的未成年人缺少保护。因此，需要进一步细化监护人同意规则的年龄层次，以补强该规则的适用性。

四   法律属性：法律行为理论的适用

基于上述论证，未成年人同意强调信息自决利益，监护人同意更多强调的是适当限制未成年人自主性，在未成年人欠缺同意能力时方可启动。对监护人同意性质的探讨离不开对同意性质的解读。不同体系如抗辩体系、权力处分体系等，其中同意的性质复杂多变，适用规则也不尽相同。具体至个人信息保护领域，《个人信息保护法(草案)》一审稿曾将个人同意定性为“意思表示”，^㉚而后二审稿将“意思表示”删除。与之不同的是，我国台湾地区《个人资料保护法》明确将书面同意界定为“意思表示”。^㉜同意的法律属性究竟为何，理论界主要存在三种观点。其一，双重属性说认为，同意既是侵权法上阻却违法的事由，也是一种法律行为。^㉝其二，权益处分说认为，同意是对个人信息权益的处分，不能脱离商品或服务合同的语境而单独存在，只能被视为个人为了获得相应商品或服务而必须作出的权利处分。^㉞其三，层级理论说认为，按照同意相对人所获法律地位的高低，同意可分为三层：权利移转、债权性许可以及可撤回的单方同意。我国学者在此基础上进一步分析，认为同意使个人信息处理者获得“得为的地位”，属于效力较弱的可撤回的单方法律行为。^㉟

笔者认为，将监护人同意定性为法律行为更具积极意义。具体至监护人同意规则的实践适用，最为常见的情形是，同意被列入合同，但并非订立或履行当事人合同所必需。^㊱例如，企业收集未成年人行为信息用于用户精准画像而获取监护人同意。在上述授权使用或合同语境下，监护人同意兼具允许信息处理者处理信息和积极使用信息商业化价值的双重功能。此时，监护人同意的性质更接近单方法律行为，其法律效果并非针对信息处理(即事实行为)，而是对信息处理行为的允许。申言之，尽管赋予信息处理者处理权限，但法律效果并不覆盖后续可能产生的客观结果。监护人替代未成年人决定是否“容忍”信息的收集处理，并非默认放弃了对于违法行为的救济权利，故而不能将其简单等同于侵权责任法中的“受害人承诺”，法律行为理论更为契合。此外，将监护人同意定性为法律行为，意义有二。其一，有助于参照民法关于法律行为的基本规范内容，确定其有效要件和适用规则。例如，可据此直接推导出监护人同意撤回的法律效果：撤回不影响先前同意的法律效力，因信息处理者已经获得了信息处理权限，法效意思已经实现。其二，能为监护人同意规则的年龄标准问题提供理论支撑。将监护人同意定性为一种法律行为后，其设定的理论基础是自然人的行为能力。同意能力是法律行为能力在同意场景中的具体化。监护人同意的年龄界定属于特别法规则，在适用顺序上应优先于《民法典》关于法律行为能力的规定。^㊲而在中国法项下，信息主体同意能力的判断标准是14周岁。^㊳这与民法区分自然人无民事行为能力、限制民事行为能力以及完全民事行为能力的年龄标准并不相同。不过，某个确定的年龄界限并不是绝对标准。在个案情境中，如果未成年人的理解能力低于同龄人一般水平，或者信息处理场景复杂，需要更高的理解能力，那么即使信息主体已满14周岁，也不能认为其有能力独自同意。

三.   监护人同意规则的困境破解逻辑

由于未成年人民事行为能力不足，同意能力受限，监护人同意规则的有效性是未成年人个人信息保护的关键所在。如何解决该规则可操作性弱等实践难题，需要针对该规则的法律属性总结出一以贯之的核心思路。鉴于国内外司法实践，笔者认为需立足最利于未成年人原则，尊重未成年人的人格独立和人格尊严。未成年人作为特殊保护群体仅是第一层次划分，应基于年龄分层采取有侧重的区别措施, 以平衡未成年人信息素质养成与个人信息保护，并以此作为监护人同意规则的困境破解逻辑。

一   核心出发点：坚持最利于未成年人原则

1989年《儿童权利公约》第3条明确提出未成年人利益最大化原则，要求关于儿童的一切行动，均以儿童的最大利益为首要考虑。^㊴ 2013年，联合国儿童权利委员会第14号一般性意见进一步阐释了未成年人利益最大化原则，将其内涵概括为三个方面：实质性权利、解释性法律原则和具体行事规则。^㊵尽管该原则概念高度含糊、适用标准不确定，但实践中仍探索出部分普适性的规则和不容随意更改的标准。^㊶其中，达成国际共识的是尊重未成年人自主意识的主体地位，即根据未成年人的成熟度与实际年龄听取其意见。^㊷我国自1991年加入《儿童权利公约》后便开始积极探索该原则的具体适用。2021年新修订的《未成年人保护法》第4条首次明确提出最利于未成年人原则，并设定了六项具体要求，其中一项为保护未成年人隐私权和个人信息，直接体现出个人信息保护领域尊重未成年人权利主体地位的导向作用。^㊸

对于监护人同意规则和未成年人个人信息权益的冲突关系(前文已详细论述)，需要立足最利于未成年人原则，尊重未成年人的人格独立和人格尊严。这便要求在给予未成年人特殊、优先保护的基础上，将其视为独立的法律个体，并以此作为完善监护人同意规则的核心思路。未成年人拥有处理自己个人信息的权利，父母及网络运营商不能对其合法权益进行侵害。例如，2021年5月生效的德国《青少年保护法(修正案)》便明确要求媒体保护未成年人完整独立的人格，使其免受有害内容的影响，能够“无忧无虑地在线参与网络”。该法案所提出的具体措施包括年龄默认设置、年龄验证系统以及完善目标受众的投诉机制等。于我国而言，完善监护人同意规则需要根据未成年人的身心成熟度，在未成年人信息自决权益和监护人同意规则相冲突时适当限制监护人的同意权限。有学者认为，此种限制可以通过对未成年人的个人信息区分化管理和核实监护人同意的有效性来实现。^㊹换言之，尊重未成年人主体地位必然要求进一步构建可验证的监护人同意和未成年人个人信息分级管理机制，并且始终以未成年人为本位，以其长远利益和根本利益作为解决问题的根本出发点。^㊺

二   应对思路新解：分级分类管理

在全国首例侵害未成年人个人信息民事公益诉讼案中，法院明确要求某短视频平台公司采取更积极、主动、有效的隐私保护措施。法院提出的整改措施方案首先便要求涉案平台建立未成年人数据分级分类管理机制, 采取涉及未成年人数据全周期保护和管理措施。^㊻中共中央全面深化改革委员会第二十六次会议通过的《关于构建数据基础制度更好发挥数据要素作用的意见》强调，要推进个人数据分类分级确权授权使用，健全数据要素权益保护制度。可见，对未成年人信息区分化管理是未来的监管方向，也是尊重未成年人主体地位的必然选择。区分化管理并不仅仅是法律规范的强行设置，其背后有深厚的理论渊源，如公平信息实践理论、博弈论^㊼等。公平信息实践理论源于美国1973年发布的《公平信息实践准则报告》，其核心是要实现数据分配正义，即在信息主体和信息处理者之间实现利益分配公平，便要求信息处理者对不同类型的个人信息履行差别化的义务。^㊽博弈论指出双方主体博弈的结局是利益关系的平衡，若不对数据分类分级，则可能有损一方利益，无益于数据资源的合理配置。^㊾基于公平信息实践理论和博弈论，应对不同类别的信息施加强度有别的规制措施。具体至未成年人个人信息保护领域，同样应遵循分级分类的管理思路。

目前，以英、美为代表的多个国家，在监护人同意规则的立法设计中都采用了更为精细的分级分类管理思路。例如，2021年9月正式生效的英国《网络服务适龄设计实践守则》(以下简称《适龄守则》)采用基于比例和风险的方法，针对“儿童不同年龄段有不同需求的事实”，在儿童利益最大化的基础上“尊重儿童不断发展的自我选择能力”。^㊿《适龄守则》采用基于风险的进路识别用户年龄，并提出15条对网络服务采取儿童适龄化设计的标准，细化监护人职责和透明度审查，突破了未成年人和成年人二元划分的保护思路。与之相类似，美国《儿童在线隐私保护法》(COPPA)经由联邦贸易委员会(FTC)多次修订，最终版确立了动态调整的监护人同意规则，并补充了通知和同意例外情形。同时，为避免对企业施加过多合规压力，COPPA创建了安全港计划。根据该计划，行业团体或其他组织可以向FTC提交自我监管指南，以实施COPPA的规则。一旦获得批准(目前有7家获得批准的机构)，行业团体就可以转而认证申请网站是否符合COPPA的要求。此外，欧盟GDPR也区分高风险数据与低风险数据的管理措施，对于低风险数据的处理行为豁免了部分规定，而儿童数据作为高风险数据被要求进行影响评估。相较于国外，我国监护人同意规则因缺乏更加精细的分级分类管理机制，可操作性明显较弱，应在借鉴上述国外经验基础上，体系化调整监护人同意规则的适用场景。

四.   监护人同意规则的困境破解进路

我国目前尚未有明确的法律规定及规章政策落实监护人同意规则的实施细则，导致了实践中的应用混乱。欲构建出符合未成年人身心特征的、网络化逻辑组态的监护人同意规则，需要在最利于未成年人原则的基础上，从适用范围、实施方式和保障方式三个方面着手，多层次和体系化完善监护人同意规则的特殊规定。

一   适用范围的三阶层修正

前文已论述，未成年人个人信息因主体特殊性而被概括评价为敏感个人信息存在规范冲突，引发了监护人同意规则适用宽泛而不聚焦的问题。同时，14周岁的数字年龄标准以“一刀切”的保护模式造成了利益失衡的现实困境。未成年人作为特殊保护群体仅是第一层次划分，需在此基础上继续进行区分化管理。本文将其概括为适用范围修正的三阶层体系。

1.第一阶层：敏感个人信息类型化修正。尽管各国基本认同未成年人信息具有敏感性质，但逻辑上并不能完全将其评价为敏感信息。笔者认为，应对《个人信息保护法》第29条敏感信息的单独同意规则和第31条监护人同意规则作目的论限缩解释。未成年人个人信息符合个人信息的一般特征，必然可以根据客观权益侵害风险基准划分为一般未成年人个人信息和敏感未成年人个人信息，从而使敏感未成年人个人信息适用特殊的处理规则，同时前文所述的规范冲突也可恰当消弭。未来修订或制定相关实施细则时，应对未成年人个人信息进行内部二次区分，针对符合客观权益风险论的敏感未成年人个人信息，适用监护人同意规则；不符合的，适用一般个人信息的告知同意规则。此为后续以年龄、智力为标准再次对数字年龄进行二级划分的基础和前提。

2.第二阶层：年龄标准四阶段界分。前文已论述，当下统一的监护人同意年龄标准能够达到超越个案的抽象法律效果，但随着未成年人心智发展水平及认识能力的提高，统一年龄标准的局限愈加显著。我国在网络游戏领域早已有细化未成年人年龄标准的尝试。人民网发起的《游戏适龄提示草案》根据未成年人生理特征、认知能力等要素，将其年龄标准划分为16岁以上(16+)、12岁以上(12+)、6岁以上(6+)三个级别。与之相类似，英国信息专员办公室(ICO)提出“适龄设计”的概念，并强调其基础是了解可能获得服务的儿童的年龄范围以及不同年龄和发育阶段儿童的不同需求，具体将年龄范围划分为五个阶段，辅之以不同的监护人同意要求。借鉴国外关于未成年人保护年龄划分的立法经验，并综合考虑未成年人个人信息权益和监护人同意规则的冲突关系以及民事行为能力制度的规定等多种因素，未成年人数字年龄可界分为四个阶段。

(1) 0至6周岁属于学龄前期。处理该阶段的敏感未成年人个人信息，如生物识别信息、健康基因信息等，应遵循严格的同意规则，须取得父母或监护人的同意。英国ICO在《适龄守则》中将0至5周岁作为数字年龄划分的第一阶段。考虑到我国义务教育始于6周岁，故将0至6周岁作为第一阶段。

(2) 6至8周岁属于学龄早期。此阶段儿童低龄触网趋势开始加强，但同时由于道德体验不足、缺乏选择和自控能力、辨别能力较弱等因素，极易形成对网络信息的不良依赖。因此，尽管不满8周岁的未成年人均属于《民法典》第20条规定的无民事行为能力人，但仍需精细化8周岁以下的数字年龄标准。欧洲现行游戏分级制度PEGI在实证调研的基础上，将等级标识中的年龄类别界分为3+(3岁以上，下同)、7+、12+、16+、18+五个类别，此外还有八类内容描述(如歧视、药品、恐怖、赌博等)。处理6至8周岁的敏感未成年人个人信息，须由其法定代理人代为同意，但网络服务提供者信息保护的主体责任应与之同步跟进。

(3) 处理8至14周岁的敏感未成年人个人信息，如果能够证明不满14周岁但已较成熟的未成年人实际上具备同意能力，应推翻《个人信息保护法》第31条第1款的适用。前文已论述，监护人同意模式限制了8至14周岁未成年人的自治空间，有损未成年人的信息自决利益。毕竟，自治原则才是未成年人最佳利益原则的最佳阐释。有观点认为，为了缓和上述冲突关系，应遵循监护人同意模式，但未成年人成年之后可以要求删除信息、消除影响。同时也有学者批评上述模式的有效性，认为若未成年人已经具备相应的意思能力，父母或监护人便不得自行同意。笔者认为，8—14周岁的未成年人若具备相应的同意能力，可以独立实施纯获利益的同意行为或者与其年龄、智力相适应的同意行为。正如《个人信息保护法》官方释义所明确指出的，同意能力条款不影响《民法典》第19条的适用，此时便可以涵摄于《民法典》第19条。

(4) 处理14至18周岁的敏感未成年人个人信息，应与行为能力制度进行体系衔接。个人信息保护领域的同意作为一种单方法律行为(前文已论证)，其有效作出首先需要信息主体具备同意能力，也即行为能力。《个人信息保护法》第31条将行为能力的年龄标准从18周岁下调至14周岁，由于此规定属于特别法规则，在适用顺序上优先于《民法典》关于行为能力的规定。申言之，14—18周岁未成年人的同意规则与成年人的同意规则相同。与行为能力制度进行体系衔接，14—18周岁的限制民事行为能力者的同意，属于《民法典》第19条所规定的8周岁以上未成年人可以独立实施的与其年龄、智力相适应的民事法律行为。但若该年龄阶段的未成年人不具有完整辨认信息处理行为的同意能力，则应推翻《个人信息保护法》第31条第1款的适用。此时，同意的规范基础重新回归《民法典》第19条，即同意应当“由其法定代理人代理或者经其法定代理人同意、追认”。

3.第三阶层：信息主体个性化评估。英国《适龄守则》强调：“年龄范围并不是每个孩子的兴趣、需求和不断发展的能力的完美指南。” 在划定明确的年龄四阶段并区分设置不同的监护人同意模式后，个性化的评估有助于为网络服务提供者结合自身行业采取灵活调试的标准留出柔性缓冲的空间。在数据处理中结合儿童的成长阶段对不同成熟度的儿童进行区别保护，并不意味着需要对每个未成年人进行单独同意能力测试和评估。这不仅会增加运营成本和立法难度，现有技术条件下也不具有实现可能性。个性化评估是在年龄界分的基础上，要求信息处理者根据具体情况(如智力、辨别力及处理风险程度)对未成年人同意能力进行评估。欧盟第29条工作组采取了类似的灵活方法，没有设定严格精确的年龄限制，而是强调儿童的成熟度和具体案例中信息处理行为的复杂度。大部分欧盟成员国也采取了上述思路，通过个性化评估判断个案适用法规或判例法中既存的基本年龄标准。例如，比利时私法委员会2002年发布《未成年人网络私人生活保护的建议》(Concerning the Protection of the Private Life of Minors on the Internet 2002), 提出情况复杂时(如收集敏感信息或信息处理行为与儿童利益相违背)需要综合评估判断是否征得监护人同意。英国ICO也认为年龄相仿的未成年人可能有不同的成熟度和理解力，需要综合考虑自我声明、AI和第三方验证、账户持有人验证等方式确认年龄，以确保公平处理未成年人信息。

借鉴欧盟的立法经验，我国未来在实施细则中可以在年龄四阶段界分的基础上，以个性化评估作为第三阶层的考量。实践中网络服务提供者个性化评估未成年人同意能力的着力点有二。其一，通过算法模型精准评估未成年人与平台交互的方式，对未成年人的心理状态、生理状态、行为特性进行详细的测试。随着未成年人服务使用量的增加，算法技术会为判断结果提供更大程度的确定性。但需要注意，网络服务提供者须事先充分告知将执行此操作，且收集数据符合最小必要和目的限制原则。其二，网络服务提供者根据个体不同年龄的能力和发展需求进行风险评估，依托风险评估等级调整更灵活的监护人同意适用规则，并将收集或使用信息对未成年人或他人可能构成的风险程度作为考虑的关键因素。例如，若收集信息较少(如账户注册时需提供家庭地址并要求同步确认年龄)，则要求未成年人勾选确认父母同意的选择框并向父母发送电子邮件即可；但若收集人脸信息等生物信息，则需要监护人签署同意书或通过电子邮件表明同意。总之，个性化评估符合最利于未成年人的根本准则，有助于进一步精细化未成年人个人信息区分化管理的颗粒度。

4.补充增加监护人同意规则的例外情形。未成年人个人信息承载多方利益，并不以保护未成年人个人信息权益为唯一目的，同时也要维护公共利益、国家利益等，实现信息的高效利用。因此，信息处理者在满足一定条件时，应当被允许基于法定的许可(legal permission)而未经监护人同意处理未成年人个人信息。在比较法上，美国COPPA第312.5节明确补充了五类同意规则的例外情形：一是为取得家长同意而收集信息，二是通过比赛、赠送等“一次性联系”(one-time contact)，三是以保护儿童安全为目的，四是保护网站安全性或完整性，五是仅以支持网站内部运营为目的。 COPPA规则颗粒度较细，为运营商数据合规提供了明确指引。英国《适龄设计规范》在附件c“处理的法律依据”中规定了除同意外的五类合法处理未成年人个人信息的情形，主要包括合同履行之必要、法律责任承担、涉及未成年人重大利益、涉及公众利益或履行公务职能之必要以及合法权益限制。不难看出，未成年人个人信息权益在特殊情形下与信息处理者合法利益、公共利益和国家利益等存在一定程度的冲突时，如由国家机关及授权部门依法获取未成年人个人信息的，不需要经过监护人同意。在中国法项下，除《个人信息保护法》第13条第2—7款明确规定同意规则的例外情形之外，《儿童个人信息网络保护规定》也设置了例外条款，排除了通过计算机信息系统自动留存处理且无法识别是否为儿童的个人信息，减轻了网络运营者对于非主动收集信息的普遍保护义务；但对于其中能够识别为儿童个人信息的，当然仍需适用监护人同意规则。未来立法实践中可以通过司法解释等形式，进一步规定包括对未成年人信息权益不会造成实质影响的正当行为和高于未成年人信息权益的合法事由在内的同意例外情形(如为取得家长同意而收集信息、一次性联系且基于未成年人重大利益等)。但需要注意的是，适用同意豁免时，目的限定、最小够用、访问限制以及及时删除等规则仍需贯穿未成年人个人信息收集处理的全周期。

二   实施方式更新：区分强度有别的验证方式

分级分类管理的思路要求不同的产品或服务在其受众群体本质差异的基础上，能够采取不同强度的针对性的方式。实践中主要应从区分网络服务平台的产品类型和区分强弱不同的验证方式入手，具体完善监护人同意规则的实施方式。

1.区分网络服务平台的产品类型。借鉴国外相关立法例，美国COPPA将受其管辖的运营者分为两类：一是面向儿童(未满13周岁的未成年人)的网站或在线服务运营商，二是非面向儿童但实际收集或维护未成年人个人信息的网站或在线服务运营商。欧盟第29条工作组在《对第2016/679号条例(GDPR)下同意的解释指南》中建议采用比例法(proportionate approach)，通过获取有限的监护人个人信息(如监护人的联系方式)来达到验证目的。具体来说，可根据现有技术情况及风险等级的差异，决定采用何种验证监护人同意的方式以及收集哪些信息。与上述欧美区分管理的思路相类似，我国2020年发布的《信息安全技术个人信息告知同意指南(征求意见稿)》(以下简称《告知同意指南》)，尝试以场景适用差异区分不同未成年人及监护人的身份验证方式。尽管国外严格的执法行为客观上有效预防了企业侵害未成年人个人信息，然而巨大的合规成本及监管压力使得部分国外网站及APP在不是必须收集未成年人个人信息的业务场景下，为了避免产生违规收集的法律风险，直接在其相关规则中明确说明不收集未成年人个人信息。例如，推特、Instagram直接通过注册时强制填写出生年月日机制来阻断未满13周岁未成年人注册使用其APP，以防止被苛责及处罚。为了缓解企业运营发展和未成年人个人信息保护的紧张关系，综合国内外行业实践情况，笔者认为可将监护人同意机制的适用分为两类：不以未成年人为受众群体的互联网产品和以未成年人为受众群体的互联网产品。例如，对网络游戏等直接面向未成年人的互联网产品，需要采取严格的验证机制以达到强监管的目的；而类似网络直播、短视频平台等面向大众的综合类产品, 同时知道或应当知道平台内有大量未成人用户的，也应受监护人同意规则制约，但可采取相对和缓的验证政策。

2.区分强弱有别的验证方式。为了适当平衡未成年人主体地位和企业高昂的合规成本之间的紧张关系，需要在前述互联网产品二分法的基础上辅以不同的验证方式。针对以未成年人为受众的互联网产品，可借鉴美国FTC 2013年审查通过的知识挑战问题验证方法。此类验证方法通过动态选择题设置确保未成年人正确率很低，成本较低，通常在无须收集用户手机号码、电子邮箱、身份证件信息、银行卡信息的前提下即可验证监护人的身份，落实个人信息收集的最小必要原则。针对不以未成年人为受众的互联网产品，则可进一步根据收集、处理信息的类型和目的评估其处分行为的风险程度，即采用“浮动比例尺(sliding scale)”的方法。经评估为低风险领域，如仅作内部研究，可采取简易验证方式(如短信及电子邮件验证)，具有形式上可以查证的监护人信息即可对“监护同意”的效力“推定真实”；反之，若评估为具有商业性质等的高风险场景，则需采取严格方式，如由监护人签署同意书并邮寄给运营商、由监护人提供支付渠道的证明、提供身份证件等方式。目前国内多数不单独面向未成年人的应用程序往往基于吸引流量和减少成本的目的，在用户协议中推定使用其产品的用户为成年人，在用户注册界面基本为通用的手机号码或电子邮箱注册以及使用第三方平台注册登录使用，未采用强制的年龄验证机制。监护人同意的真实性是监护人同意规则的基础，然而，同意真实性易受复杂的技术或人为因素干扰。是否应要求企业就同意不真实承担严厉的法律后果，实践中一般持否定态度。例如，欧盟GDPR仅以“现有技术水平”(available technology)及“合理努力”(reasonable efforts)为标准要求企业核实同意真实性。换言之，企业达到至少有实质性征询儿童监护人同意的合理努力即可，而不是苛求确实完全获得了监护人的同意。根据《个人信息保护法》第9条和第69条第1款的规定，我国企业应采取与信息处理行为的风险相称的合理努力，且遵循数据收集必要性原则。为了适当平衡企业的安全保障义务与合规运行成本，企业需要举证证明其已经尽最大努力核实未成年人的年龄，但履行前述义务即为已足。

三   保障方式重构：以行政监督为主，诉讼监督为辅

我国尚未具体规定违规行为的惩罚和补救措施，也缺乏未成年人个人信息保护的典型执法案例，导致行业内保护水平参差不齐。行政监督能有效解决诉讼监督所带来的低效率救济问题。我国可借鉴美国COPPA指导下的以FTC为主体的行政监管模式。COPPA授权FTC监督或调查可能侵犯未成年人信息权利的公司，且效果显著，迄今公布了34起执法决定, 在行业内具有较高的威慑力。我国应明确赋予国家互联网信息办公室等相关部门相应的监管调查和行政处罚权，并借鉴美国FTC的做法，制定具体的监管细则并辅以与其相匹配的激励政策，按年度公布典型处罚案例，提高网络服务提供者的合规动力，从而降低执法成本。此外，还应鼓励社会公益组织积极发挥社会监督作用，赋予其要求执法部门开展调查的权利。在诉讼监督方面，由检察机关通过民事公益诉讼、社会治理检察建议的方式依法进行监督，积极保障未成年人的合法权益。在起诉标准方面，对侵犯未成年人个人信息权益且涉及公共利益的行为提起诉讼，并结合监护人同意制度的适用范围和实施方式的法律法规，推定违反强制性保护规则的行为符合“涉及公共利益”的起诉标准，避免“公共利益”的虚化或泛化。总之，需要重新架构起以行政监督为主、诉讼监督为辅的监护人同意规则的保障方式，综合社会各界力量在未成年人网络保护方面持续稳定发力。

目前, 我国针对未成年人个人信息保护仅有原则性规定，难以应对复杂多变的监管需求。监护人同意规则在规则构成和适用方式上的困境尤为严峻。为了保障未成年人在网络空间的合法权益，增强监护人同意规则的有效性，需穿透规则内部，从保护的客体、理论基础和规则的属性出发进行规范分析。针对保护客体，未成年人个人信息不宜因主体特殊性而一概被评价为敏感个人信息，应以客观权益侵害风险基准进行内部划分。针对规则的理论基础和属性，需要在权衡与以自决为核心的个人信息权益的冲突关系后，与传统民法体系相衔接，将监护人同意界定为法律行为，监护人同意规则也即法律行为体系的特别法规则。以此为基础破解现实困境，还需要将未成年人长远利益和根本利益作为根本出发点，坚持最利于未成年人原则，同时以分级分类管理为思路，降低对法的安定性的消极影响。在借鉴国外相关立法、执法经验的基础上，突破未成年人和成年人二元划分的保护思路，从适用范围、适用方式和保障方式三个方面着手，体系化完善监护人同意规则的特殊规定。

我国应抓紧为未成年人个人信息保护提供配套性的特别立法设置，如提升立法层级，制定专门的未成年人个人信息保护法，对未成年人个人信息保护进行专门规定，同时在实践中探寻构建未成年人个人信息保护的执行落地机制，明确法律适用范围和具体场景、企业的合规义务等内容，增强立法的可操作性。未成年人个人信息保护需要国家、信息处理者、监护人和社会组织等多方主体配合，秉持赋权与保护相平衡的理念构建多方共治的新型保护模式，运用法律和技术的二元治理思路为未成年人提供安全、健康的网络环境。

①   共青团中央维护青少年权益部和中国互联网络信息中心2021年7月发布《2020年全国未成年人互联网使用情况研究报告》，https://pic.cyol.com/img/20210720/img_960114c132531c521023e29b6c223e438461.pdf，访问日期：2022年11月2日。

②   《国务院关于印发中国妇女发展纲要和中国儿童发展纲要的通知》(国发〔2021〕16号)，http://www.gov.cn/zhengce/content/2021-09/27/content_5639412.htm，访问日期：2022年11月2日。

③   以中国知网的博硕研究生学位论文和学术期刊的数据库为主，以未成年人个人信息保护和监护人同意制度为检索主题，检索结果为8篇学术期刊和2篇硕士学位论文，且年份集中在2019—2022年。这说明在中国该课题并没有发展成熟，仍处于探讨阶段，该领域仍属于较新的领域。

④   《未成年人保护法》第72条规定，"处理不满14周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意"；第76条规定，"为年满16周岁未成年人提供网络直播发布者账号注册服务时，应当对其身份进行认证，并征得其父母或者其他监护人同意"。《儿童个人信息网络保护规定》第9条规定："处理儿童个人信息的，应以显著、清晰的方式告知儿童监护人并征得其同意。"国家标准《信息安全技术个人信息安全规范》第5.4条规定："收集年满14周岁未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意。"

⑤   毛俪蒙、陈思旭、张阚：《儿童网络隐私权保护现状及对策——基于10款手机APP隐私条款的研究》，《视听界》2021年第4期。

⑥   苏青、陈本正：《未成年人个人信息检察公益诉讼保护之"公共利益"探究》，《预防青少年犯罪研究》2021年第4期。

⑦   曹博：《个人信息可识别性解释路径的反思与重构》，《行政法学研究》2022年第4期。

⑧   张勇：《敏感个人信息的公私法一体化保护》，《东方法学》2022年第1期。

⑨   此类观点的论述详见谢琳、王漩：《我国个人敏感信息的内涵与外延》，《电子知识产权》2020年第9期。

⑩   胡文涛：《我国个人敏感信息界定之构想》，《中国法学》2018年第5期。

⑪   宁园：《敏感个人信息的法律基准与范畴界定——以〈个人信息保护法〉第28条第1款为中心》，《比较法研究》2021年第5期。

⑫   韩旭至：《敏感个人信息处理的告知同意》，《地方立法研究》2022年第7期.

⑬   申卫星：《论个人信息权的构建及其体系化》，《比较法研究》2021年第5期。

⑭   《民法典》第26条第1款。

⑮   王利明、杨立新、王轶等：《民法学》，法律出版社，2020，第961页。

⑯   蔡一博、吴涛：《未成年人个人信息保护的困境与制度应对——以"替代决定"的监护人同意机制完善为视角》，《中国青年社会科学》2021年第2期。

⑰   夏吟兰：《从父母责任到国家监护——以保障儿童人权为视角》，中国政法大学出版社，2018，第54页。

⑱   李永军、张兰兰：《未成年人信息同意能力的双重功能及其法律实现》，《南京社会科学》2022年第4期。

⑲   费宇：《监护制度下未成年人隐私权保护之困境及协调》，《社会科学动态》2022年第1期。

⑳   黄文艺：《作为一种法律干预模式的家长主义》，《法学研究》2010年第5期。

㉑   申卫星：《论个人信息权的构建及其体系化》，《比较法研究》2021年第5期。

㉒   宁园：《个人信息保护中知情同意规则的坚守与修正》，《江西财经大学学报》2020年第2期。

㉓   刘金霞：《未成年人隐私权与监护人知情权：和谐、冲突与法律规制》，《法学杂志》2007年第4期。

㉔   戴津伟：《年龄立法的原理与技术研究》，《学术交流》2016年第12期。

㉕   韩康、蔡栩：《刑事责任年龄制度弹性立法模式之提倡——以法律推定准确性为标准展开的论证》，《犯罪研究》2020年第5期。

㉖   冯恺：《个人信息处理中"儿童同意"的年龄标准》，《暨南学报(哲学社会科学版)》2021年第8期。

㉗   冯恺：《个人信息处理中"儿童同意"的年龄标准》，《暨南学报(哲学社会科学版)》2021年第8期。

㉘   拉德布鲁赫：《法学导论》，米健译，中国大百科全书出版社，1997，第7页。

㉙   林韶：《"科斯定理"到"波斯纳定理"：防御商标制度构建的法经济学解读》，《福建金融管理干部学院学报》2022年第1期。

㉚   《2020年全国未成年人互联网使用情况研究报告》，https://pic.cyol.com/img/20210720/img_960114c132531c521023e29b6c223e438461.pdf，访问日期：2022年7月26日。

㉛   《个人信息保护法(草案)》一审稿第14条第1款规定："处理个人信息的同意，应当由个人在充分知情的前提下，自愿、明确作出意思表示。"

㉜   台湾《个人资料保护法》第7条规定："第十五条第二款及第十九条第一项第五款所称同意，指当事人经搜集者告知本法所定应告知事项后，所为允许之意思表示。第十六条第七款、第二十条第一项第六款所称同意，指当事人经搜集者明确告知特定目的外之其他利用目的、范围及同意与否对其权益之影响后，单独所为之意思表示。"

㉝   刘召成：《人格商业化利用权的教义学构造》，《清华法学》2014年第8期。

㉞   万方：《个人信息处理中的"同意"与"同意撤回"》，《中国法学》2021年第1期。

㉟   王洪亮、李依怡：《个人信息处理中"同意规则"的法教义学构造》，《江苏社会科学》2022年第3期。

㊱   此外还有实践中不常见的情形，如信息主体的同意是合同的重要内容或合同标的。此种以债权性许可的方式授予同意的情形极为少见，因此本文不作讨论。

㊲   王洪亮、李依怡：《个人信息处理中"同意规则"的法教义学构造》，《江苏社会科学》2022年第3期。

㊳   除《个人信息保护法》外，《民法典》第1035条、《未成年人保护法》第72条、《儿童个人信息网络保护规定》第9条、《未成年人网络保护条例(征求意见稿)》第35条以及《信息安全技术个人信息安全规范》第5.4条d项也均将监护人同意规则的年龄界限定为14岁。

㊴   《儿童权利公约》，https://www.un.org/zh/documents/treaty/A-RES-44-25，访问日期：2022年7月28日。

㊵   联合国儿童权利委员会：《第14号一般性意见：儿童将他或她的最大利益列为一种首要考虑的权利》，http://humanrights.cn/html/2014/6_1202/3480.html，访问日期：2022年8月2日。

㊶   黄振威：《论儿童利益最大化原则在司法裁判中的适用——基于199份裁判文书的实证分析》，《法律适用》2019年第24期。

㊷   《儿童权利公约》第12条规定："缔约国应确保有主见能力的儿童有权对影响到其本人的一切事项自由发表自己的意见，对儿童的意见应按照其年龄和成熟程度给以适当的看待。"

㊸   王广聪：《论最有利于未成年人原则的司法适用》，《政治与法律》2022年第3期。

㊹   王子翰：《智能传播中未成年人个人信息网络保护的法律规制问题探析》，《上海法学研究》集刊2022年第1卷。

㊺   刘杰晖：《抚养权争议中实现未成年人利益最大化之探讨》，《法律适用》2021年第11期。

㊻   肖芄：《大型互联网平台侵害儿童个人信息权益的认定——兼评某短视频平台侵害未成年人个人信息民事公益诉讼案》，《法律适用》2022年第6期。

㊼   诺贝尔经济学奖获得者哈特(Oliver Hart) 与格罗斯曼(Sanford Grossman) 在1986年提出"博弈论"，是现代产权的理论基石。

㊽   丁晓东：《论个人信息法律保护的思想渊源与基本原理——基于"公平信息实践"的分析》，《现代法学》2019年第3期。

㊾   商希雪：《政府数据开放中数据收益权制度的建构》，《华东政法大学学报》2021年第4期。

㊿   ICO, "Age Appropriate Design: a Code of Practice for online Services, "accessed August 11, 2022, https://ico.org.uk/for-organisations/guide-to-data-protection/ico-codes-of-practice/age-appropriate-design-a-code-of-practice-for-online-services.

  Josh Fruhlinger, "COPPA explained: How this law protects children's privacy，"accessed August 2, 2022, https://www.csoonline.com/article/3605113/coppa-explained-how-this-law-protects-childrens-privacy.html.

  高奇、刘庆帅：《场景完整性理论在儿童数据保护监管中的应用——以英国〈适龄准则〉和美国COPPA为例》，《中国青年社会科学》2021年第4期。

  例如，美国除COPPA外，加利福尼亚州、弗吉尼亚州和科罗拉多州等多个州通过的法律都明确规定了儿童个人信息的敏感性质。

  ICO, "Age Appropriate Design: a Code of Practice for online Services, "accessed August 8, 2022, https://ico.org.uk/for-organisations/guide-to-data-protection/ico-codes-of-practice/age-appropriate-design-a-code-of-practice-for-online-services.

  《适龄守则》具体将未成年人分为5个阶段：0—5岁，识字前和早期识字；6—9岁，小学时期；10—12岁，过渡时期；13—15岁，青少年早期；16—17岁，接近成年。不同年龄段的未成年人被赋予不同的自我决策权。

  "PEGI age ratings, "accessed, July 28, 2022，https://pegi.info/page/pegi-age-ratings.

  朱广新：《民事行为能力制度的体系性解读》，《中外法学》2017年第3期。

  李永军、张兰兰：《未成年人信息同意能力的双重功能及其法律实现》，《南京社会科学》2022年第4期。

  江必新、郭峰: 《〈中华人民共和国个人信息保护法〉条文理解与适用》，人民法院出版社，2021，第163页。

  李永军、张兰兰：《未成年人信息同意能力的双重功能及其法律实现》，《南京社会科学》2022年第4期。

  ICO, "Age Appropriate Design: a Code of Practice for online Services, "accessed August 6, 2022, https://ico.org.uk/for-organisations/guide-to-data-protection/ico-codes-of-practice/age-appropriate-design-a-code-of-practice-for-online-services.

  华劼：《论〈儿童个人信息网络保护规定〉之完善——以美欧儿童网络隐私保护立法的比较和借鉴为视角》，《重庆邮电大学学报(社会科学版)》2021年第1期。

  Article 29 Data Protection Working Party, "Opinion 2/2009 on the Protection of Children’s Personal Data (General Guidelines and the Special Case of Schools)(WP 160), "accessed February 22，2022，https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2009/wp160_en.pdf.

  Belgian Privacy Commission, "Advice No.38/2002 of 16 September 2002 Concerning the Protection of the Private Life of Minors on the Internet, "accessed July 29, 2022, https://www.ftc.gov/business-guidance/resources/childrens-online-privacy-protection-rule-six-step-compliance-plan-your-business.

  ICO, "Age Appropriate Design: a Code of Practice for online Services, "accessed August 8, 2022, https://ico.org.uk/for-organisations/guide-to-data-protection/ico-codes-of-practice/age-appropriate-design-a-code-of-practice-for-online-services.

  COPPA, "Children’s Online Privacy Protection Act Compliance Guide, "accessed July 25, 2022, https://termly.io/resources/articles/coppa/.

  ICO, "Age Appropriate Design: a Code of Practice for online Services, "accessed August 8, 2022, https://ico.org.uk/for-organisations/guide-to-data-protection/ico-codes-of-practice/age-appropriate-design-a-code-of-practice-for-online-services.

  《信息安全技术个人信息告知同意指南(征求意见稿)》附录A建议核验未成年人身份的方式以产品是否以未年成人为主要受众群体而区分，核验监护人身份以产品界面仅具有单独面向未成年人的应用界面或额外为监护人提供了不同的身份验证应用界面而区分。

  美国COPPA规定的"浮动比例尺(sliding scale) "规则根据不同场景下网络运营商收集、处理未成年人个人信息的目的，浮动调整"监护同意"制度是否需要适用。

  参见GDPR第8条第2款。

  李永军、张兰兰：《未成年人信息同意能力的双重功能及其法律实现》，《南京社会科学》2022年第4期。

  Federal Trade Commission, "Cases Tagged with Children’s Online Privacy Protection Act (COPPA), "accessed August 24, 2022, https://www.ftc.gov/enforcement/cases-proceedings/terms/336.

  例如，美国儿童保护组织可以要求FTC调查可能侵犯儿童信息权利的公司，美国儿童隐私保护团体联盟向FTC提交起诉书要求对TikTok进行调查，认为其违反了监护人同意制度。