郑飞

《未成年人网络保护条例》（以下简称《条例》）近日公布，自2024年1月1日起施行。《条例》构建了完整的未成年人网络保护框架，其个人信息网络保护部分的内容涵盖了未成年人信息的收集、处理、提供、访问、复制、更正、补充、删除等过程，立足于个人信息保护法以及未成年人保护法基本规定，针对未成年人个人信息的特殊性进行了规则细化和完善。

第一，规定了未成年人身份信息认证规范。未成年人在获得网络服务时，需提供真实身份信息。在网络直播领域，需建立身份信息动态核验机制，不得向不符合法律规定情形的未成年用户提供网络直播发布服务。网络服务中未成年人身份信息认证规则早已有之，《条例》进一步提高了其法律位阶，并明确了网络直播领域未成年人保护规则。

第二，完善了未成年人个人信息处理原则。包括最小授权原则和监护人同意原则，二者都是专门针对未成年人信息保护的特殊原则。最小授权原则是指严格设定信息处理者内部工作人员的信息访问权限，并设置相应的审批、记录规则，类似于个人信息处理原则中必要原则和目的限制原则的延伸。其中暗含了未成年人个人信息处理应当出于特定、明确、合理目的的要求，在进行处理时采取损害最小的手段。最小授权原则可以说是更加严格和根本性的规定。监护人同意原则在未成年人保护法第七十二条中进行过规定，要求处理不满十四周岁的未成年人个人信息需征得未成年人的父母或其他监护人同意。《条例》在原有规则的基础上进行了细节完善，正是国务院行政法规应当起到的规范作用。当然，个人信息保护法中合法、正当、必要和诚信原则、公开原则、目的限制原则作为上位法基本规范，仍应得到遵守。

第三，强化了监护人的教育保护义务。监护人是未成年人个人信息保护的第一防线，对未成年人的教育、指导会起到直接作用。明确监护人的保护义务能够促进监护人提升自身的个人信息保护意识，进而才能对未成年人进行教育。同时，监护人保护义务也避免了个人信息控制者和处理者承担过于严苛的责任。

第四，明确了未成年人个人信息可查阅、复制、更正、补充、删除、转移的特性，并且为个人信息处理者设置了配合上述要求的义务。长期以来，网络中个人信息的可获得性、准确性以及信息主体的被遗忘权等问题受到广泛关注，从《条例》中可见，在应受到更严格保护的未成年人个人信息领域，上述问题不再是有争论余地的问题，而应成为未成年人个人信息保护的原则性规定，体现出立法机关对未成年人个人信息加强保护、彻底保护的态度。

第五，完善了未成年人个人信息处理风险规范。对于信息泄露、篡改和丢失，处理者应当采取补救措施，包括个人信息安全事件应急预案，向有关部门进行报告，以及告知未成年人及其监护人。对于难以逐一告知的情形，也应当采取合理、有效的方式及时发布相关警示信息。这一规定对不同情形下的风险状况都进行了明确。

对于未成年人私密信息的泄露，网络服务提供者应及时提示，并采取相应必要措施，防止信息扩散。虽然《条例》中只明确了停止传输必要措施，但采取了开放式规定，或可参考民法典中提到的删除、屏蔽、断开连接等必要措施。儿童私密信息是容易产生诸如儿童色情等相关犯罪的领域，《条例》因此设置了与公安机关相衔接的条款，将未成年人私密信息涉罪的报告义务施加给网络服务提供者，也是与未成年人保护法第八十条第三款规定的衔接。

第六，创设了未成年人个人信息保护合规审计规定。《条例》将未成年人个人信息保护归入个人信息处理者的合规事项，要求其自行或委托专业机构，每年对处理未成年人个人信息遵守法律、行政法规的情况进行合规审计，并将审计情况报告相关部门，通过合规制度辅助未成年人网络保护，是一种创新。

整体来看，《条例》个人信息网络保护一章既有对个人信息保护法中基本个人信息保护原则和规范的承接，又有对未成年人保护法相关规范的细化，对未成年人个人信息保护进行了全方位规定，能够承上启下，保障未成年人个人信息规范化收集、处理，实现风险预防。

（作者系北京交通大学法学院副院长）