2024年8月，山西省晋中市榆次区人民检察院在办理刑事案件中发现，周某某、陈某某于2023年通过非法手段获取辖区内1万余条未成年学生个人信息（含姓名、学校、年级、家长电话等敏感内容），并将信息交由太原某科技公司向学生家长发送私立学校招生推广短信。在未取得任何监护人同意、未制定专门信息处理规则的情况下，两个月内累计发送推广短信200余万条，严重侵扰未成年人及家庭生活安宁。

检察机关审查认为，该行为违反《个人信息保护法》第三十一条“处理不满十四周岁未成年人个人信息需取得监护人单独同意”及“制定专门处理规则”的强制要求，遂提起刑事附带民事公益诉讼。榆次区人民法院判决：

1、周某某、陈某某犯侵犯公民个人信息罪，判处有期徒刑八个月（缓刑一年）并处罚金1万元；

2、责令彻底删除非法获取的信息，并在省级媒体公开赔礼道歉。

本案例直击未成年人个人信息保护的双重制度性失守——既规避监护人同意机制，又缺失专门处理规则，其违法本质在于漠视法律对儿童信息的特殊保护要求：

一、同意与规则是儿童信息保护的法定“双保险”。

《个人信息保护法》第三十一条明确要求处理儿童信息需“取得监护人单独同意”并“制定专门规则”，旨在通过双重约束防范滥用风险。本案中运营者将未成年人信息视为普通数据，既未履行告知同意义务，又未建立权限管控、使用限制等专门规则，导致信息被无差别商业轰炸，直接违反法律强制性规定。

二、管理缺位必然放大侵害后果。

同意机制失效：未获授权即使用信息，剥夺监护人对子女数据的控制权，使敏感信息沦为营销工具；

规则真空加剧滥用：因无专门规则约束使用场景和频次，单条信息被反复利用发送超200万条短信，远超必要限度。这与2021年杭州某短视频平台未设儿童规则致信息泄露案（检调字〔2021〕1号）逻辑一致——基础制度缺失是规模化侵权的根源。

三、公益诉讼凸显“系统治理”导向。

本案通过“刑事+民事公益诉讼”双路径追责，体现司法实践三大突破：

1、责任扩展：除刑事责任外，增设公开道歉、删除信息等民事救济，弥补个体维权不足；

2、预防性救济：强制删除信息阻断持续风险，呼应2024年《未成年人网络保护条例》第二十条“处理者须主动消除危害”；

3、行业警示：判决明确“商业推广非儿童信息合法使用场景”，为同类行为划定红线。