个保法视野下未成年人个人数据流动与个人信息保护平衡的基本原则探析

◆马锦涛 金马

个保法视野下未成年人个人数据流动与个人信息保护平衡的基本原则探析

◆马锦涛1金马2

（1.山西财经大学 山西 030006；2.天津商业大学法学院 天津 300134）

大数据时代，未成年人作为特殊数据主体面临着个人信息的安全隐患。《中华人民共和国个人信息保护法》出台后，未成年人数据流动与个人信息保护平衡的基本原则得以明晰。基本原则包括最小必要原则、公开透明原则、知情同意原则的一般性原则和个人信息保护优位原则、监护人同意原则、涉未行业专审原则的特殊性原则。

中华人民共和国个人信息保护法；未成年人；最小必要原则

1 引言

大数据时代，互联网信息技术的发展与人们的生活紧密相连，个人数据流动共享机制的完善是促进我国互联网产业发展的必要操作，但在该过程中，个人信息保护却可能面临前所未有的难题。在此环境之下，未成年人作为大数据时代的特殊数据主体当然也会面临个人信息的安全隐患。那么，平衡未成年人数据流动与个人信息保护的基本原则是什么？笔者就上述问题展开研究以期推动未成年人网络保护立法的深化。

2 未成年人数据流动与个人信息保护平衡的基本原则探析

2021年8月20日，我国第一部个人信息保护方面的专门法律《中华人民共和国个人信息保护法》（以下称《个保法》）表决通过，并于2021年11月1日起正式施行。这部法律作为民法领域的特殊性立法对个人信息处理的规则以及数据主体的权利和多方主体的义务作出了相关规定，意图促进大数据时代个人数据流动以推动经济飞速发展的同时为个人信息上好法律之“锁”。

2.1 一般性原则

《个保法》的出台是大数据时代我国法治新进程的重要突破，该法对数据主体的数据流动与个人信息保护的平衡作出了一般性的原则规定，为后续相应的司法解释提供了法律指引，未成年人作为大数据时代的特殊主体理应适用《个保法》所规定的一般性原则。在大数据时代，数据共享是互联网和大数据发展的必然趋势，同时也是数据产业发展必要手段之一，不同数据库之间的数据传输极大地节约了收集成本，推动了数据产业的高速发展。但是，基于个人数据身份识别性的特质，如若不加限制地随意使用“数据池”中的数据，势必会对公民的个人信息权益造成相当的损害，同时也侵犯了对人格尊严、人格自由等权益的宪法性保护。因此，在数据立法进程中，数据流动与个人信息保护之间应当寻找一个平衡性支点，既使各数据主体最大限度地攫取“数据金矿”[1]，又使个人信息权益得到妥善的公法与私法保护。

（1）最小必要原则

《个保法》在第一章第五条和第六条第2款明确了处理公民的个人信息应当遵守最小必要原则①。最小必要原则分别从“量”和“质”两方面对公民个人信息处理规制加以把握。当然，落实最小必要原则须有一定的评估标准，《个保法》第十三条列举了个人信息处理者可以处理个人信息的七种情形，亮明了底线②，而早在2020年12月，工信部发布的《APP收集使用个人信息最小必要评估规范》同样明确了八项系列标准。

由于未成年人在我国的特殊地位以及未成年人个人信息的敏感性，个人信息处理者在收集、存储并使用未成年人的个人信息时，应当严格遵守最小必要原则。未成年人与成年人的不同之处在于，他们的心智并未发育成熟，尚缺乏独立思考和判断的能力，对于何时何地如何将自己的个人信息进行处分以及处分后的后果并没有一个清晰的认识，因此，在大数据时代，未成年人很容易便处于“任人宰割“的境地，因此《中华人民共和国未成年人保护法》（以下简称《未保法》）中所涉及的网络保护等以及《民法典》所规定的监护制度都对未成年人的个人信息权益进行了最大限度的保护。而这些保护的相关法律制度都以最小必要原则为指引加以设计，如《未保法》第七十二条的规定等③。

（2）公开透明原则

《个保法》第七条④明确规定了个人信息处理者应当遵守的义务原则之一——公开透明原则，即个人信息处理流程应当明示，为个人清晰可知，不得秘密进行，且应当保证个人信息的质量，避免因个人信息不准确、不完整对名誉权、隐私权等人格权和其他相关人格利益造成不利影响。未成年人个人信息的重要性不言而喻，故其信息的处理理应为其本人和其监护人所知晓，以免因个人信息不规范处理而对今后漫长的人生之路造成相当的困扰。公开透明原则要求个人信息处理者应当明示且阐释个人信息处理的目的、方式和范围以及产生的相关影响，各大APP在注册时所出示的用户须知应当将重要条款加粗或进行生活化阐释且做好相应的记录和存证。互联网平台的良性构建与未成年人网络保护工作密切相关，互联网企业作为个人信息处理者的巨头应当使信息处理透明化，而非使数据主体，特别是未成年人数据主体透明化。

（3）知情同意原则

《个保法》第十四条⑤规定了个人信息处理活动中的另一重要原则——知情同意原则。该原则是《民法典》的核心原则意思自治原则在其特别法领域中的具体运用。《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》第六条以列举的方式对不同情况明示了APP运营商所应承担的告知义务[2]，在信息处理者合理地尽到告知义务的前提下，个人方可明示同意或者拒绝信息处理者对个人信息的处理。未成年人作为大数据时代的特殊主体，在其选择有利于社会公共利益和自身利益时，应当认定该未成年人具备个人信息处理的“同意”能力，其“同意”有效。

2.2 特殊性原则

上述一般性原则适用于大数据时代的全部数据主体，且基本上都是从义务角度设定的保障个人信息权利的规范[3]。未成年人心智不成熟，其辨别是非的能力有待于随着年龄的增加而逐渐提高，故对于大数据时代的未成年人主体，个人信息处理者应当严格遵守以下特殊性原则。

（1）个人信息保护优位原则

个人数据除具有身份识别性外，还具有财产属性。个人数据的单独价值和联动价值远超每位数据主体的认知。部分财产性利益便利了我们的生活，而部分财产性利益则被数据企业牢牢把控，成为其精准营销的低成本材料。未成年人的教育、购物信息等个人数据极大可能成为某些教育企业、母婴公司推销、引诱消费的筹码。未成年人涉世未深，过度挖掘其数据价值有违公序良俗，对未成年人的健康成长极为不利，使得祖国的未来堪忧。因此，在大数据时代，互联网企业作为个人信息处理者的巨头应当使未成年人的个人信息保护优位于个人数据流动，即使未成年人的个人数据对社会利益有着重要的价值，但只要损害到未成年人的人格权以及相关人格利益或者存在损害风险，都应当采用强制手段及时制止数据流动与交换。《儿童个人信息网络保护规定》（以下称《规定》）全文都以个人信息保护优位原则为底色进行制度设计，笔者认为，不论是不满十四周岁的未成年人（《规定》中的“儿童”）还是十四周岁到十八周岁的未成年人，在《民法典》视野下，其心智均属于尚未完全成熟阶段，故个人信息保护优位原则适用于所有未成年人，不满十四周岁的“儿童”更应当加大保护力度，严格审查个人数据处理流程的规范性，并制定专门的评估标准为未成年人保驾护航。

（2）监护人同意原则

监护制度是传统民法以及现行《民法典》为了维护无民事行为能力人和限制民事行为能力人的切实利益所设计的法律制度。未成年人作为无民事行为能力人和限制民事行为能力人理应受到监护制度的照顾。在监护制度下，根据《民法典》第三十四条的规定⑥，监护人的职责仅在于管理被监护人的财产，保护被监护人的人身，而对于被监护人抚养以及教育等则未见明确规定[4]。父母作为未成年人的法定监护人，既基于监护权管理未成年人的财产，保护未成年人的人身，其更多地是基于亲权和天性对未成年人的身心进行抚养教育，这样的出发点才是真正有助于未成年人的身心健康发展的，因此《个保法》《未保法》《规定》中的监护人同意原则应当以家长同意原则为核心，辅之于其他监护人同意，使得监护制度真正地在未成年人个人信息保护方面发挥其价值。

（3）涉未行业专审原则

《规定》第八条⑦明确了网络运营者在个人信息处理活动中应当遵守涉未行业专审原则。基于未成年人个人信息的特殊性，个人信息处理者在处理过程中应就未成年人的单独信息和涉未复合信息制定专门的处理制度，以未成年人利益保护最大化为活动宗旨，设立终身负责制对未成年人的个人数据进行必要流动。在一定条件下，未成年人与其监护人可以行使《个保法》所设立的个人信息可携带权、被遗忘权等数据权利来要求网络运营者的专门机构实施技术操作对未成年人的个人信息予以保护。

3 结语

2020年10月17日，第十三届全国人民代表大会常务委员会第二十二次会议第二次修订《未保法》）通过，自2021年6月1日起正式施行。该法增设的“网络保护”章下设64条至80条共17个条款，专门就大数据时代未成年人可能面临的网络安全风险明确家庭、学校、社会等不同主体的义务、责任与权利，并规定了相应的保护举措来为未成年人营造良好的网络学习与生活环境。未成年人的网络保护相关立法正逐步完善，个人数据流动与个人信息保护的平衡也正逐步规范化，努力实现未成年人保护、教育、发展以及产业进步、社会效率提高两方面的公共利益[5]。

[1]黄道丽，何治乐.欧美数据跨境流动监管立法的“大数据现象”及中国策略[J].情报杂志，2017（4）：47-53.

[2]朱璇. 加强个人信息收集中知情同意原则的适用[N]. 民主与法制时报，2021-07-21（003）.

[3]高志明，张亚明.论个人信息法的基本原则[J].华东理工大学学报（社会科学版），2013，28（05）：53-60.

[4]尹志强.未成年人监护制度中的监护人范围及监护类型[J].华东政法大学学报，2016，19（05）：26-34.

[5]傅宏宇.论网络环境下未成年人的个人信息保护[J].首都师范大学学报（社会科学版），2019（04）：50-56.

①《中华人民共和国个人信息保护法》第五条规定：“处理个人信息应当遵循合法、正当、必要和诚信原则，不得通过误导、欺诈、胁迫等方式处理个人信息。”第六条第2款规定：“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”

②《中华人民共和国个人信息保护法》第十三条规定：“符合下列情形之一的，个人信息处理者方可处理个人信息：（1）取得个人的同意；（2）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（3）为履行法定职责或者法定义务所必需；（4）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（5）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（6）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（7）法律、行政法规规定的其他情形。”

③《中华人民共和国未成年人保护法》第七十二条规定：“信息处理者通过网络处理未成年人个人信息的，应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意，但法律、行政法规另有规定的除外。未成年人、父母或者其他监护人要求信息处理者更正、删除未成年人个人信息的，信息处理者应当及时采取措施予以更正、删除，但法律、行政法规另有规定的除外。”

④《中华人民共和国个人信息保护法》第七条规定：“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。”

⑤《中华人民共和国个人信息保护法》第十四条规定：“基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。”

⑥《中华人民共和国民法典》第三十四条规定：“监护人的职责是代理被监护人实施民事法律行为，保护被监护人的人身权利、财产权利以及其他合法权益等。监护人依法履行监护职责产生的权利，受法律保护。监护人不履行监护职责或者侵害被监护人合法权益的，应当承担法律责任。因发生突发事件等紧急情况，监护人暂时无法履行监护职责，被监护人的生活处于无人照料状态的，被监护人住所地的居民委员会、村民委员会或者民政部门应当为被监护人安排必要的临时生活照料措施。”

⑦《儿童个人信息网络保护规定》第八条规定：“网络运营者应当设置专门的儿童个人信息保护规则和用户协议，并指定专人负责儿童个人信息保护。”