您的位置 : 环球研究 / 环球评论 / 新闻详情
以审促治——聚焦未成年人个人信息保护合规审计及报送义务的履行
2026年01月12日孟洁 | 殷坤 | 郑绮雯 | 张语涵

一、合规审计要求速览

 

2025年12月29日,国家互联网信息办公室发布《关于报送未成年人个人信息保护合规审计情况的公告》[1](以下简称《公告》),要求处理未成年人个人信息的个人信息处理者于每年的1月底前向网信部门报送上一年度的审计情况。个人信息处理者需提交《承诺书》《未成年人个人信息保护合规审计报告》(如有)以及《年度未成年人个人信息保护合规审计情况表》(以下简称《情况表》)。其中个人信息处理者需要在《情况表》中披露以下信息:

  • 处理未成年人信息情况:

    (1)处理个人信息规模(按去重后的自然人统计数量,精准到万)
    (2)处理未成年人个人信息规模(同上)
    (3)处理不满十四周岁的未成年人个人信息规模(同上)

  • 审计对象范围(列明年度审计涉及的网站、APP、小程序、应用系统等)
     

  • 审计结论与整改情况(对年度审计事项作出总体、有重点的综合性评价、包括但不限于审计发现问题、审计整改情况概况等)

二、与《公告》相关的法律依据

 

(一)直接依据

 

根据《公告》,未成年人个人信息保护合规审计应当围绕《个人信息保护法》《未成年人网络保护条例》《个人信息保护合规审计管理办法》等法律法规规章进行展开。

 

早在2021年生效的《个人信息保护法》第54条即规定,个人信息处理者应当定期对其处理的个人信息进行合规审计。2024年1月1日,《未成年人网络保护条例》第37条进一步要求个人信息处理者对未成年人个人信息处理进行合规审计,并将审计情况向网信等部门报告。

 

(二)与未成年人个人信息保护有关的法律义务

 

我国法律法规中有两类概念,一是儿童,即不满十四周岁的未成年人;二是未成年人,即未满十八周岁的公民。

 

1. 儿童的个人信息保护

 

《个人信息保护法》将不满十四周岁的未成年人个人信息直接列为敏感个人信息进行保护,提出了更高的保护要求,规定在处理不满十四周岁的未成年人个人信息前,需要获得未成年人的父母或其他监护人的同意,制定专门的个人信息处理规则,并在处理前开展个人信息保护影响评估。《网络数据安全管理条例》第22条第三项也强调了处理相关信息前获得父母或其他监护人同意的合规义务。

 

《儿童个人信息网络保护规定》作为部门规章,针对处理不满十四周岁未成年人个人信息的收集、存储、使用、转移、披露活动进行了较为细致和具体的规定,虽然大部分内容已被《未成年人网络保护条例》吸收,但仍有委托处理、发生安全事件的处理流程等内容具有参考价值,在进行审计时也应当纳入合规义务的梳理范围。

 

2. 未成年人的个人信息保护

 

《未成年人保护法》对不满十八周岁的未成年人进行一视同仁的保护,在第五章网络保护中规定了国家、社会、学校、家庭等主体对未成年人使用网络时的不同保护义务,并详细规定了企业在向未成年人提供服务时,应当遵循未成年人信息处理原则,设置未成年人防沉迷模式,履行相关的产品或服务的内容监督管理义务,设置便捷的投诉和举报渠道等。此外,《未成年人保护法》还特别规定了网络在线教育、网络游戏、网络直播、网络音视频、网络社交等服务提供者的特殊义务,若企业为提供该等服务的主体,则应当审查是否满足法律规定的具体要求。

 

此外,《未成年人网络保护条例》总体上未明确区分不同年龄阶段的保护义务,但从网络素养促进、网络信息内容规范、个人信息网络保护、网络沉迷防治四个方面对未成年人个人信息处理者提出具体要求。该条例在第四章设立了个人信息网络保护专章,明确要求保障未成年人查询、复制、更正、补充等权利,并要求个人信息处理者在应急预案、访问权限等方面提供保障措施。同时,该条例承接《未成年人保护法》规定,要求网络在线教育、网络游戏、网络直播、网络音视频、网络社交等服务提供者针对不同年龄阶段未成年人的身心发展特点、认知能力及习惯偏好,提供不同的服务。

 

《网络信息内容生态治理规定》《网络暴力信息治理规定》两部规章分别指出在涉及向未成年人提供服务时,应当对一般网络信息内容进行过滤筛选,应当畅通涉未成年人网络暴力信息的投诉和举报机制等要求。

 

综上可见,我国未成年人个人信息保护已基本形成层次分明、重点突出的法律规范体系。在合规审计中,重点是保护不满十四周岁的未成年人的个人信息,应当严格遵循具体法律法规和规章的规定;对于已满十四周岁的未成年人,企业仍需注意履行《未成年人保护法》及《未成年人网络保护条例》中的一般性义务;对于特定领域服务的提供者,还应当重点关注是否符合具体合规义务要求(例如游戏行业实名认证和防沉迷要求等),而不仅仅针对一般性合规要求进行审计。

 

(三)相关罚则

 

《公告》中明确,关于未报送未成年人个人信息保护合规审计情况的法律责任,应依照有关法律法规规章的规定处理。

 

《未成年人网络保护条例》未直接规定违反该条例第37条(即审计和报送义务)的相关罚则。但《个人信息保护法》第66条规定了违法处理个人信息,或处理个人信息未履行法律规定的个人信息保护义务的处罚方式(具体规定详见附表)。虽然未成年人个人信息保护合规审计情况的报送义务并未直接规定在《个人信息保护法》中,但《个人信息保护法》第54条明确规定了定期审计企业处理的个人信息的义务。未开展审计或未提供审计证明材料(含审计报告)可能被视为“处理个人信息未履行本法(《个人信息保护法》)规定的个人信息保护义务”,受到警告、没收违法所得、责令暂停或终止提供服务,甚至是高达五千万元以下或者上一年度营业额百分之五以下罚款等行政处罚。

 

为避免此种情况,我们建议企业抓住主要矛盾、应报尽报,严格遵守法律法规相关要求。

 

三、如何看待《公告》的要求

 

(一)贯彻落实未成年人保护的新里程

 

2025年6月,工信部发布的《未成年人个人信息保护倡议》提及“推动企业严格落实未成年人个人信息保护义务,定期开展自查评估”,此次《公告》的发布也是对该倡导的积极响应。企业每年定期开展审计并报送,预示着监管思路从事后追责向常态化事前预防的转变,也预示着未来的监管重点。

 

共青团中央2024年11月发布的《第6次中国未成年人互联网使用情况调查报告》显示[2],我国未成年网民规模已经突破1.96亿,未成年人互联网普及率已达97.3%。数据采集也已经融入未成年人生活的方方面面。

 

基于我们的检索,目前已有企业因违反未成年人个人信息保护义务被予以处罚。例如,某科技公司在运营智慧校园系统中未取得未成年学生的父母或者其他监护人的同意收集处理未成年人个人信息,涉事系统对个人信息未采取加密、去标识化等安全技术措施,存在未授权访问漏洞,存在泄露风险,最终网信办对该公司依法责令其改正,并予以警告处罚[3]。

 

此类事件暴露出仅依赖事后处罚难以及时有效遏制风险,而《公告》通过提出年度合规审计报送要求,促使企业进行合规审计,系统性梳理并识别数据处理流程中的漏洞(如监护人同意记录缺失、未有效设置访问权限等),从而将风险控制在萌芽阶段。

 

(二)需要重点关注的主体

 

本次《公告》使用的是“处理未成年人个人信息的个人信息处理者”的概念,仅从文义上看,落脚点在于“处理未成年个人信息”的动作,而无关服务对象是否主要面对未成年人。

 

对于游戏和直播、教培、医疗问诊、母婴、儿童穿戴设备等长期稳定服务于未成年人的行业,属于在本次《公告》的重点辐射范围,这些行业可能直接面向未成年人提供服务,或者由于本场景特殊要求需要收集身份证号从而收集未成年人真实个人信息,因此我们建议相关企业在1月31日前落实相应审计要求。

 

此外,在互联网空间中,很多企业不具备收集用户身份证号的必要性,因此无法识别用户是否为未成年人真实身份。在此情况下,企业需要审慎判断自身业务场景,例如是否存在用户自行填写生日、未成年人模式等。这些因素可能导致企业很难证明其未收集未成年人个人信息,换言之,企业提供产品或服务应用自身的功能决定了企业存在收集未成年人个人信息的可能性。从《公告》本身措辞以及相关法律规则来看,即便是误收集、偶然收集了未成年人个人信息,只要对未成年人个人信息进行了处理,就应当履行未成年人个人信息保护的义务。我们理解,监管机关关注的是“产品与服务的功能是否指向未成年人(例如未成年人社交、面向未成年人的游戏)。即便企业主张“未收集实名信息”,但如果通过算法进行了未成年人画像或提供了“未成年人模式”,在法律上应当视为“明知或应知”。

 

因此,我们建议企业梳理自身业务场景,如确实无法完全排除收集未成年人个人信息的可能性,则宜结合监管口径开展报送工作。

 

目前还有不少企业的做法是默认所有用户均是成年人,并声明原则上不直接面向未成年提供服务。如经过排查不存在任何收集未成年人个人信息的可能,则留存相关记录以备可能的审查。

 

(三)合规审计的真正意指

 

合规审计可能意味着暴露问题,但问题并非是凭空或因审计本身而出现。从本次《情况表》所需填写的内容中也不难看出,监管部门并不是让企业通过文件堆砌自证不存在合规问题,而是希望企业重视未成年人数据的保护、有能力梳理并识别风险问题、将合规常态化。对于企业来说,应当将合规审计视为提升自身管理水平和风险防控能力的契机。扎实做好未成年人数据保护工作,长远来看收益将远高于成本。

 

四、未成年人个人信息保护合规审计重点

 

(一)重点事项

 

整体来看,对未成年人个人信息保护的合规审计应当包含所有年龄阶段的未成年人,贯通未成年人个人信息的收集、存储、使用、共享、传输等阶段。为避免合规审计报告存在明显缺漏,我们建议企业就以下重点事项进行审计:

 

第一,核查是否面向未成年人提供服务以及是否设置了身份或年龄验证机制;是否存在可能处理未成年人个人信息的情况(例如存在生日填写、未成年人模式等场景)。如结合上述因素判断确需报送的,则需结合业务场景和实际情况确定是否需要委托外部律所开展审计工作,或可自行开展审计工作。

 

第二,全量核查企业提供的产品和/或服务,详细梳理掌握的未成年用户的个人信息数量及具体字段,同步确认是否落实相关合规措施。例如,是否专门制定未成年人个人信息处理规则或儿童隐私保护声明,向未成年人及其监护人告知处理的个人信息种类、处理目的、方式、必要性,以及所采取的保护措施等;是否在处理前取得未成年人父母或其他监护人的同意,是否在处理前开展了个人信息保护影响评估;是否为未成年人和/或其监护人提供行使用户主体权利的途径,便利其访问、复制、更正、补充、删除、转移未成年人个人数据;是否面向未成年人提供生成式人工智能服务,是否对未成年人进行用户画像,是否向未成年人提供个性化推荐服务等。

 

第三,在准备审计报告的过程中,同步准备报送给相关材料,包括确定填报主体、完成《情况表》(需注意未成年人/儿童数量应当与企业对外公布的年报、ESG报告、App备案、个人信息保护负责人等报送工作中的披露的数量保持一致)、承诺书等,并在递交监管后根据反馈持续完善。

 

(二)短期任务与长期规划

 

结合《网络数据安全管理条例》第52条第二款所确立的原则[4],未成年人个人信息保护合规审计应当加强与个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等的衔接,避免重复评估和审计,为企业增加不必要的负担。由于合规审计报送时间紧、任务重,若企业已对2025年个人信息保护情况进行过审计,或对2025年重要数据及重要数据出境安全进行了风险评估,可以摘取其中关于未成年人个人信息处理的部分,结合上述合规审计重点及实际处理情况进行补充和更新,首先确保在规定时间内履行报送义务。反之,如果企业还未开展审计工作,那么可以以未成年人个人信息保护合规审计为切入点,先行开展未成年人个人信息保护合规审计,而后续的个人信息保护合规审计工作则可不再就未成年人部分逐项赘述。

 

但是,鉴于《公告》要求每年1月底前报送上一年度未成年人个人信息保护合规审计情况,为避免后续再出现审计时间不足、审计内容不全面等可能影响企业合规情况,导致企业受到网信部门重点监管、要求整改甚至是处罚的情况,我们建议各企业咨询或委托专业机构协助梳理未成年人个人信息保护审计具体要求和细则,提前制定审计计划,规范企业内部的审计流程,并及时关注法律法规等的更新,将未成年人个人信息保护合规审计规范化、制度化、流程化。

 

五、结语

 

本次《公告》将推动针对特殊类型群体的个人信息保护检视的常规性工作。在未成年人网络保护相关法律已实施多年的背景下,它既在检验企业是否已为未成年人信息保护筑牢了事前预防的“防火墙”,也将倒逼企业持续对合规工作,特别是对弱势群体的保障加大投入。长期来看,这些投入也会将倒逼企业不断升级技术、优化管理。合规审计不是形式审查,而是推动企业将法律要求转化为技术标准和管理流程的契机。随着未来未成年人个人信息保护的监管要求的进一步细化,企业唯有将合规审计常态化、制度化,建立覆盖数据全生命周期的动态管理机制,方能在严格监管与业务创新之间找到平衡点,真正实现社会效益与商业价值的双赢。

 

附表:违反未成年人个人信息具体保护义务的处罚

 

 

注释:

[1] 国家互联网信息办公室《关于报送未成年人个人信息保护合规审计情况的公告》https://www.cac.gov.cn/2025-12/29/c_1768735145606358.htm。

[2] 详见https://news.bjd.com.cn/2024/05/31/10790057.shtml。

[3] 详见https://mp.weixin.qq.com/s/uJX0kUm7Ob1a-WAXTBy1ow。

[4] 《网络数据安全管理条例》第52条第二款:个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接,避免重复评估、审计。重要数据风险评估和网络安全等级测评的内容重合的,相关结果可以互相采信。

 

返回列表
相关业务领域
相关人士
关注环球律师事务所

2020 北京市环球律师事务所    京ICP备05052416