然而，筆者非常遺憾地發現，在大量針對個人數據保護的中文研究當中，專門關注未成年人的鳳毛麟角，很大程度上反映出國內業界和學界對這一問題的重要性尚認識不足。因此，筆者嘗試從兒童權利視角出發，簡要闡述對未成年人數據和隱私進行特殊保護的必要性，并梳理國際上現有的一些政策實踐，為在國內進行相應探索提供借鑒。

        聯合國《兒童權利公約》第16條規定，“兒童的隱私、家庭、住宅或通信不受任意或非法干涉，其榮譽和名譽不受非法攻擊。兒童有權享受法律保護，以免受這類干涉或攻擊。”這一條款確立了對兒童隱私權的國際法保護?！秲和瘷嗬s》作為獲得最普遍批準的國際人權公約，明確了締約國政府是首要的義務承擔者，必須在國內政策立法、預算分配、服務提供等各個方面致力于實現其對兒童權利的承諾，包括政府相關部門各司其職；支持并督促家庭和父母切實承擔起對兒童的責任；創設有利于兒童權利實現的良好社會環境和社會支持體系等。需要指出，公約所指的“兒童”（children），均指18歲以下的人，與我國法律上的“未成年人”同義。后文除非特別說明，在使用“兒童”一詞時亦取此意，并與“未成年人”通用。

        數字時代兒童個人隱私和數據的保護具有極大的特殊性。一方面，未成年人與成年人一樣，享有其作為數據主體的各項權利，但與此同時，未成年人基于其身心發展階段，往往需要政府和企業設計特殊的保護措施以幫助其權利的實現。這也是為什么GDPR在序言第38節會明確提出，“兒童的個人數據應該受到特殊保護，因為兒童對與其個人數據處理有關的風險、后果、保障措施和相關權利不盡了解。”

        讓我們隨意選取幾個日常生活中非常熟悉的場景，就能夠使大家意識到這個問題的重要性。如今，隨著“物聯網”的發展，很多企業都在開發專門面向幼兒市場的智能玩具，這些玩具內置話筒、攝像頭、GPS和語音識別等技術，能讓孩子們快樂地玩耍，促進語言發展和社會情感學習，但它們在聯網時也會引發嚴重的隱私和安全問題。歐美有案例表明，有人曾經通過聯機玩具取得過數百萬名父母及兒童的個人資料，包括孩子的照片和語音記錄。大一些的孩子往往開始自己使用社交網絡，他們可能會在網上發布照片、顯示定位、搜索網頁，產生大量數字足跡，有心的犯罪分子甚至可以以此勾勒出某個孩子的大致生活圖景。國際隱私保護執法促進網絡（Global Privacy Enforcement Network）2015年的調查表明，在其調查的1494個服務兒童的網站和APP中，有三分之二沒有任何保護性措施可以幫助兒童及其家長限制分享兒童的個人數據。

        另外，很多家長在社交網絡上過度分享自己孩子照片和其他信息的行為，也為未成年人的數據保護提出了挑戰。2010 年的一項調查發現，10 個高收入國家中（澳大利亞、加拿大、法國、德國、 意大利、日本、新西蘭、西班牙、英國和美國），有高達81% 的2歲以下兒童留下了數字足跡，也就是說在網上可以找到他們的個人資料或照片。家長們分享孩子成長軌跡的心情可以理解，但過度分享的一些私密信息可能會被犯罪分子濫用，從長遠來看，家長的過度分享也可能會干擾孩子自我身份意識的建立和自我實現。

        此外，除了這些顯而易見的風險之外，未成年人在網上的個人數據，可能還會對其成人后的就學、就業、婚戀等產生影響，也就是有專家提出的“數字紋身”，它們不像個人私密影像等隱私泄露這么極端，卻也可能會在某一時刻影響到數據主體的公眾形象和個人聲譽，比如，年少時一條在網上留下的愚蠢評論可能會導致其遭受持續的網絡欺凌 ，甚至會在多年后就業時被雇主審查。

        如今的大數據時代，數據已經成為了比石油更寶貴的資源。不管愿不愿意承認，企業獲得的未成年人相關數據尤為寶貴。一方面，孩子如今在很大程度上能夠影響其家庭的消費決定；另一方面，孩子自己也是消費者，不僅是當下，更是未來的消費者，培養他們的品牌忠誠度和消費習慣具有長遠意義。然而，收集未成年人個人數據并進行畫像（profiling），進而對其進行定向的網絡營銷，雖是目前許多企業通行的做法，但卻有著將童年過度商業化的風險。而更需要警惕的是，當企業開始對兒童的網絡行為產生興趣時，兒童的整個世界都暴露在了網絡這臺巨大的營銷機器面前。這臺機器不僅會觀察和記錄兒童在網上的一舉一動，還不斷重新建構和操控著兒童所在的網絡環境，這種無孔不入的影響，不但會給兒童帶來許多潛藏的網絡風險，而且可能會影響到兒童的認知發展、價值觀塑造和自主性。世界衛生組織2016年在一份關于網上食品營銷定向兒童群體的報告中就曾指出，家長并不清楚這些針對兒童的數字畫像和定向營銷技術，也不了解其可能帶來的風險。

        對于兒童的個人信息和隱私保護，其實在互聯網出現前就有了一些政策實踐。1974年美國就出臺了《家庭教育權與隱私權法案》這一聯邦法律，禁止那些接受了聯邦政府資金的教育機構向未經授權的任何人提供學生的教育檔案，包括學生的姓名、家庭住址以及其他可以合理確定其身份的信息。值得注意的是，對于未滿18歲的未成年學生，學校如需發布其信息，必須征得其家長的同意。 這一原則被后續很多法律所沿用。

進入互聯網時代，一些國家開始制定專門針對網上兒童信息和隱私保護的政策法律。美國著名的《兒童在線隱私保護法案》及其配套的《兒童在線隱私保護規則》，沿用了家長同意這一核心原則，保護對象是未滿13歲的兒童。按照法案和規則的要求，互聯網服務提供商必須“在任何收集、使用和/或披露兒童個人信息之前，獲得可被驗證核實的家長同意”。南非和西班牙也有類似的法律條款，要求在獲取和處理特定年齡以下兒童的數據之前獲得家長同意，但對年齡的門檻規定與美國的13歲有所不同——南非規定了18歲，而西班牙則是14歲。

        當然，這種立法的思路也招致了一些批評，包括這有可能不利于未成年人充分獲取信息、發展數字素養、參與網絡生活。未成年人往往并不樂意與父母分享其網絡經歷，要求父母同意孩子所有的數據分享行為實際上削弱了他們的網絡自主權，特別是對于很多已經初步具備了網絡安全意識和數字素養的青少年來說尤其如此。這些批評有其合理之處。如何更好地在保護兒童網絡安全和尊重兒童成長過程中的獨立性這二者之間達到動態平衡，確實是政策制定者、教育者特別是家長都亟待思考的一個問題。不過，在現有的互聯網服務模式和政策框架下，“家長同意”不失為一條可繼續探索的路徑。

        因此，剛剛生效的GDPR第6條規定的處理個人數據必須要有合法理由，其中第一種理由即為數據主體的同意。第7條進一步闡明了“同意”的構成。第8條專門針對兒童用戶，規定在處理低于特定年齡的兒童個人數據時，必須獲得其父母或者其他監護人的同意。并且該舉證責任在于數據控制者，數據控制者必須能夠證明其從監護人那里獲得了“同意”。GDPR將需要家長同意的兒童年齡設置在了16歲以下，但允許成員國自行設置更低的年齡門檻，但這一門檻不得低于13歲。值得注意的一點是，這樣的規定可能會促使兒童對網絡服務提供商謊報年齡，而國外一些研究表明這種現象已經相當普遍，而謊報年齡卻可能會成為專門針對兒童下手的潛在網絡性犯罪者脫罪的借口。