数字时代未成年人个人信息保护的困境与突破

一、数字时代未成年人个人信息保护概述

数字技术的迭代升级使个人信息成为数字经济的核心资源，但未成年人因身心发育不成熟，其个人信息面临更高安全风险。据共青团中央2024 年 11 月发布的《第6 次中国未成年人互联网使用情况调查报告》显示，我国未成年网民规模突破1.96 亿，互联网接入率达 97.3% ，未成年人已深度融入网络空间中的在线学习、娱乐互动等场景中，其个人信息易被非法采集、违规利用，不仅威胁人格尊严、人身自由与财产安全，还可能对身心发育产生长期负面影响。

从理论价值看，未成年人个人信息保护研究可填补特殊群体信息保护的理论空白，完善个人信息保护法学体系，为制度构建提供理论支撑；从实践价值看，我国当前虽已形成《网络安全法》《民法典》《个人信息保护法》《未成年人网络保护条例》等法律框架，但仍存在法律碎片化、监护人同意规则失灵、监管效能不足、救济渠道不畅等问题。破解这些难题，既能为未成年人营造安全的网络环境，也能推动数字生态良性发展，维护社会和谐稳定。

二、数字时代未成年人个人信息保护的现状与困境

（一）法律规范体系不完善

我国已构建多部门法协同的保护框架，但尚未形成全面覆盖、高效协同的法律体系，核心问题集中于碎片化与实操性不足。

法律规范碎片化导致适用冲突。相关条款分散于不同法律文本，未成年人年龄界定标准存在明显差异，《儿童个人信息网络保护规定》将14 岁以下儿童信息归为“敏感信息”，《信息安全技术公共及商用服务信息系统个人信息保护指南》要求16 周岁以下未成年人敏感信息收集需监护人同意，《未成年人保护法》与《民法典》则以“不满18 周岁”界定未成年人。[1]这种标准冲突使执法与司法缺乏统一依据，既削弱法律权威，也降低保护实效。同时法律规范实操性较弱。多数条款为框架性规定，缺乏具体实施细则：例如，《个人信息保护法》虽要求信息处理者履行未成年人信息保护义务，但未明确信息处理者的具体义务清单、侵权责任认定标准、赔偿计算依据等核心内容；《未成年人网络保护条例》对未成年人敏感信息的界定、身份验证的具体方式等关键问题未作细化，导致信息处理者易规避责任，难以切实保障未成年人权益。[2]

（二）监护人同意制度存在缺陷

监护人同意制度是未成年人个人信息保护的核心机制，但实践中因规则模糊和执行受阻陷入困境。首先，同意的年龄与信息范围界定模糊。法律对监护人同意的适用年龄存在矛盾：《民法典》覆盖18 周岁以下限制与无民事行为能力人，《未成年人保护法》《个人信息保护法》仅要求 14 周岁以下需监护人同意，导致14-18 周岁未成年人信息处理的同意规则存在空白。同时，法律未明确“未成年人敏感信息与一般信息的区分标准”，监护人行使同意权时缺乏依据，难以判断信息处理行为的合理性。[3]其次，身份识别与监护人履职双重受阻。从身份识别看，网络平台多依赖用户自主注册，未设置强制性未成年人认证，易出现身份冒用。未成年人冒用他人账号时，监护人无法掌握其网络活动，同意权与监督权形同虚设。最后从监护人履职看，信息处理者的隐私政策冗长且专业术语密集，监护人难以充分理解；面对频繁的隐私政策确认请求，监护人易产生“同意疲劳”，未细读便点击确认，导致“知情-同意”规则流于形式；部分监护人过度限制未成年人网络活动，既侵犯信息自决权，也不利于其数字素养提升。

（三）侵害未成年人个人信息权益的现象频发

数字时代的侵害行为呈现主体多元、手段隐蔽、范围扩大、目的商业化的特征，对未成年人权益构成多维度威胁。从侵害主体看，已形成利益链条：儿童教育APP、游戏平台、智能玩具厂商等网络平台为扩大用户规模，通过诱导性界面、强制条款过度收集敏感信息；信息中间商收购、倒卖未成年人信息赚取差价；数据加工企业借助大数据挖掘消费偏好、家庭经济状况等隐私信息，加剧侵害风险。[4]从侵害手段看，隐蔽性尤为突出：网络平台将信息收集嵌入服务流程，未成年人难以察觉；隐私政策表述模糊、关键信息隐藏，部分平台默认勾选“同意”，监护人快速浏览时易忽视风险。从侵害范围看，呈现多维度扩大：主体上，覆盖胎儿至未成年群体（如医疗机构收集胎儿健康数据）；时间上，信息泄露影响延伸至成年后（如童年不当记录影响信用评价）；空间上，境外监管差异导致信息滥用，数据跨境流动增加泄露风险。从侵害目的看，商业化已成主流。相关主体通过数据清洗、用户画像开展精准营销，不仅侵犯信息自决权，还可能引发诈骗等安全问题，损害未成年人身心健康。

（四）权利救济渠道不畅

未成年人个人信息权益受侵害后，难以通过有效途径维权，核心困境集中于损害认定难与救济机制不足。一方面，个人诉讼面临多重障碍。个人信息泄露的损害后果具有“不确定性、难以量化、证据无形”的特征，未成年人缺乏专业法律知识与举证能力，而且个人诉讼成本高、周期长，多数受害者选择放弃维权。[5]另一方面，公益诉讼存在实践难题。虽有《个人信息保护法》《未成年人保护法》的公益诉讼条款，但公权力机关难以获取平台违规证据，且需在“平台自治”与“公权力介入”间平衡；选择公益诉讼但是它的的程序设计、赔偿标准尚未细化，实际保护效果大打折扣。

三、域外未成年人个人信息保护的经验借鉴

（一）域外立法与实践

1.欧盟：统一立法与弹性保护

欧盟以 GDPR 为核心构建统一保护体系，对未成年人信息保护的关键规则包括：一是弹性年龄标准，GDPR以16 周岁为同意基准，允许成员国在 13-16 周岁区间调整；二是严格监护人同意，要求处理16 周岁以下信息需“充分知情+自愿同意”，平台需以通俗语言告知处理细节；三是特殊权利保障，赋予未成年人成年后删除未成年时期信息的“被遗忘权”，禁止用户画像与精准营销。[6]

2.美国：分层立法与事后惩戒

美国采取“联邦+州”分层模式，联邦层面以COPPA 为核心，针对13 周岁以下儿童：要求平台收集信息前需家长法定授权，家长享有访问、删除信息的权利，平台仅能收集必要信息；州层面如加州“第 568 号法案”赋予18 周岁以下未成年人永久删除数据权。同时，美国侧重事后监管，由联邦贸易委员会（FTC）对违规平台处以民事罚款，形成有效威慑。[7]

（二）对我国的启示

1.年龄划分：构建三阶段同意规则。结合未成年人认知能力，将其划分为0-8 周岁（无民事行为能力，需严格监护人同意）、8-14 周岁（限制行为能力，低风险信息可自主同意）、14-18 周岁（准完全行为能力，高风险场景需监护人介入），适配不同年龄段的信息自决能力。

2.同意机制：建立可验证的授权体系。参考COPPA 的验证方式与GDPR 的知情要求，区分信息风险设计验证方式：学习进度等低风险信息采用短信、邮件验证；生物特征等高风险信息采用人脸识别、视频通话验证；

明确监护人与平台的权责，避免同意流于形式。

3.惩戒机制：提高违法成本。借鉴欧盟“严格责任”与美国民事罚款模式，按侵权时长、信息敏感度计罚，最高处年营业额 5%罚款等设置阶梯式处罚，还可以建立违法企业“黑名单”，限制其参与政府采购与数据合作。

四、完善数字时代未成年人个人信息保护的建议（一）完善立法体系，增强法律规范的系统性与可操作性

构建统分结合的立法框架。以《未成年人网络保护条例》为基础，制定专门的《未成年人个人信息保护法》，明确不满18 周岁信息为“敏感信息”、不满14 周岁为“核心敏感信息”，消除年龄界定冲突；推动行业自律公约与国家法律衔接，建立合规企业信用加分机制，平衡欧盟统一模式与美国分散模式的优势。

结合“动态场景理论”与新兴领域保护需求，细化分类保护标准。针对未成年人网络安全需覆盖网络游戏、电子身份认证等新兴领域的现实诉求，设置场景化信息保护规则。社交平台严格限制未成年人位置信息、生物识别信息的采集；金融服务强制监护人二次验证。同时，明确信息处理者全流程义务，收集前开展数据保护影响评估，存储采用加密与安全审计，每季度向网信部门提交台账。

健全配套细则。细化《信息安全技术个人信息处理中告知和同意的实施指南》的身份验证方式，明确电子签名、人脸识别的法律效力；建立“线上投诉+线下热线”联动渠道，实行“72 小时响应”，并推动行政监管与民事救济协同，形成多维度保障。

（二）改进监护人同意制度，破解实践困境

构建信托式监护义务与差异化同意机制。将监护人定位为未成年人信息的“利益受托人”，要求其履行“利益最大化”义务，若因故意或疏忽导致信息泄露需承担民事责任；同意机制按“年龄+风险”划分：不满14 周岁需监护人单方同意，14-18 周岁低风险信息可自主同意、高风险信息需二次确认。

优化国家主导的身份识别体系。由网信部门建设统一的未成年人身份核验平台，整合户籍、学籍数据，注册时触发“人脸识别+监护人短信验证”。游戏、直播等高风险场景设置强制多模态认证，建立“首次识别+动态追溯”机制。

引入AI 辅助的同意保障机制。开发智能解读系统，以漫画、短视频解读隐私政策，记录监护人阅读轨迹；检测到“同意疲劳”时自动暂停操作并提示风险；按场景设置同意强度：教育类APP 一次性基础同意、游戏平台分级同意、社交平台全程同意。

(Ξ) 强化保护与监管，构建全链条防控体系

搭建多元协同的监管网络。政府层面，成立未成年人网络安全专门委员会，制定高风险APP 清单。平台层面，大型平台设立独立监督机构，中小平台落实专人负责，推行合规认证激励。社会组织开展宣传教育；家校层面将信息保护纳入安全教育，编制监护人操作指南。[8]

技术赋能监管升级。构建未成年人信息安全监测平台，实时预警“诱导填信息”“超范围收集”等行为；智能设备强制植入“信息安全芯片”，限制收集类型并加密存储。借鉴杭州互联网法院案例，要求平台建立未成年人信息保护池，实现全流程数据溯源。

加大惩戒与跨境监管力度。对非法倒卖信息的中间商追究刑事责任，平台按侵权情节计罚；建立数据跨境事前评估、事中备案、事后核查机制，确保接收国保护标准达标。

（四）健全救济机制，畅通权利保障渠道

采用“过错推定+无过错责任”双重归责，优化举证责任与损害认定：一般侵害由平台举证合规，生物信息侵害适用无过错责任；将“长期心理影响”“未来信用受损”纳入赔偿范围，建立信息泄露与公共安全事件联动统计机制。[9]

完善公益诉讼制度扩大原告范围，可以扩展到检察机关、未成年人组织、行业协会都可以作为原告，同时建立“公益诉讼证据支持”机制。设置“优先审理”通道，引入预防性公益诉讼，设立公益赔偿基金，用于宣传教育与受害者疏导。

拓宽多元化救济路径，覆盖不同场景下的维权需求。除传统司法救济外，建立“行政救济快速通道”。监护人可向网信部门申请行政调解，由监管部门组织未成年人方与信息处理者协商赔偿事宜，调解不成的再转入诉讼程序；推行“小额纠纷仲裁”制度，对单条信息泄露、小额财产损失等简单侵权案件，由专门的仲裁机构按照简易程序快速裁决，降低维权成本与时间成本。搭建全国统一的未成年人信息维权服务平台，为未成年人及其监护人提供免费的法律支持，推动维权机制落地，确保救济渠道便捷可及，契合“覆盖全社会的现代公共法律服务体系”建设要求。

五、结语

数字时代未成年人个人信息保护是一项系统工程，需平衡“保护”与“赋权”、“安全”与“发展”。当前我国虽面临法律碎片化、制度失灵、监管不足等困境，但可通过借鉴域外经验、结合本土实际，从立法、制度、监管、救济四个维度构建完善体系。唯有多方协同、久久为功，才能为未成年人营造安全的网络环境，切实维护其合法权益，助力其健康成长，为数字中国建设筑牢根基。

参考文献:

1]白文丹.教育数字化中未成年人个人信息保护研究[J].上海城市管理，2024(4):66-71.

[2]陈兵,胡诗韵.未成年人个人信息保护的家长同意规则:困境与出路[J].青少年学刊,2024(3):30-36.

[3]龚保跃.张建容.数字时代未成年人信息保护的监护人同意规则完善[J].甘肃开放大学学报,2025(3):1-

4]黄佳艺.加强未成年人数据保护：法律要求与合规审计的实践[J].中国律师，2024（10）:66-6

[5]赵雪.数字时代未成年人个人信息保护的困境与突破[J].理论月刊，2025(2):135-143.

[6]EuropeanUnion.GeneralDataProtectionRegulation(GDPR)[EB/OL].(2016-04-27)[2024-12-10].https://eur-lex.eu ropa.eu/eli/reg/2016/679/oj.

[7]UnitedStates.Children'sOnlinePrivacyProtectionAct(COPPA)[EB/OL].(1998-10-21)[2024-12-10].https://www.ft c.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-rule

[8]中国人民大学国家发展与战略研究院数字时代未成年人保护研究课题组，王鹏，胡明远，等.数字时代加强未成年人保护的实践与思考[J].中国党政干部论坛，2024(7):63-66.

[9]朱晓峰，马文轩.未成年人个人信息保护的现实困境与路径选择[J].情报理论与实践，2024，47(5):40-47.

基金项目:2022 年度安徽省高校优秀青年人才支持计划重点项目“大数据时代关于个人信息保护问题的研究—以《个人信息保护法》出台为背景”（gxyqZD2022137）的阶段性成果；2023 年度安徽省高校哲学社会科学研究重点项目“敏感个人信息的法律保护及其规制研究——以《民法典》和《个人信息保护法》解释为背景”（2023AH052752）的阶段性成果。

作者简介:李玲（1985-），女，安徽广德人，法学硕士，副教授，研究方向：民商法、司法警务。