(一)未成年人个人信息保护的现实困境
个人信息的保护关涉人性尊严和人格自由,其重要性和意义不言而喻。但个人信息的保护举措更多是以一个理性且经济的成年人为中心而思考和构建的,因此存在忽略未成年人特殊需求的情况。未成年人属于限制民事行为能力或无民事行为能力人,因其心理和生理上的不成熟,不足以承担自我选择所带来的不利后果,难以应对因个人信息不当传播和利用带来的状况。同时,部分企业基于经济利益最大化的目的,试图逃避社会责任,不仅存在削减未成年人用户甚或统一默认为成人用户以规避未成年人网络保护规定的行为,还存在形式上依据未成年人网络保护规定但相应的隐私条款或声明沦为一纸空文的情形。具体而言:
第一,虽有相应的保护规定,但未成年人个人信息保护的需求未被充分满足。未成年人个人信息保护相较于个人信息保护,存在保护对象上的特殊性,未成年人不仅主体数量较大,而且其信息内容高度敏感。因此,未成年人个人信息保护的相关规定严格要求了个人信息保护的相关内容,或设置专门规则、协议和责任人,或实行严格的“同意规则”,或明确儿童个人信息保护的“最小原则”,或确立儿童个人信息安全评估制度等。例如,2019年8月22日,国家互联网信息办公室发布了《儿童个人信息网络保护规定》,从立法框架及其内容上看,该规定沿袭了《网络安全法》对个人信息保护的基本原则,吸纳了《信息技术个人信息安全规范》对于个人信息收集、使用、转移、共享、存储、披露、删除等全生命周期的保护逻辑及规范要求,突出了儿童个人信息保护的特殊监管要求,同时强调了儿童监护人的监护职责,网络运营者与监护人协同共治的管理思路。可以看出,未成年人个人信息保护的规定脱胎于个人信息保护的相关规定,虽根据未成年人的特殊情形进行了相应的调整,比如以高标准设计个人信息收集、使用的授权同意机制,包括充分告知收集处理规则、获取儿童监护人的明示授权同意,识别监护关系和监护人授权同意的有效性,并通过一定技术措施满足业务功能的逐一授权等,但这些良好设计仅是宣示性或概括性的内容,缺乏可实践的明确性;只规定了未成年人个人信息权的消极权能,没有规定其积极权能;相关的设置也缺乏有效的执法标准和行业实践指导。同时,线下广泛的未成年人个人信息收集、处理行为和场景缺少相应的法律规范。