提示:完整原文可在文章末尾“阅读原文”处获取。
2025年12月29日,国家网信办正式发布《关于报送未成年人个人信息保护合规审计情况的公告》,根据《中华人民共和国个人信息保护法》《未成年人网络保护条例》《个人信息保护合规审计管理办法》等法律法规规章规定,对相关主体的合规审计与报送义务作出明确规定。
适用主体:所有处理未成年人个人信息的个人信息处理者
无论企业规模大小、处理未成年人信息数量多少,只要业务涉及未成年人个人信息处理(包括收集、存储、使用、传输等),均属于法定责任主体,需履行审计与报送义务。尤其注意三类高风险场景:社交娱乐、在线教育、游戏产品,以及叠加社区互动功能的工具类应用,监管要求更严格。
时间节点:每年1月底前报送上一年度审计情况
2025年度的合规审计情况,需在2026年1月底前完成报送,无缓冲期与试点安排,逾期将面临合规风险。审计频次为每年一次,属于强制性义务,不可通过内部制度豁免。
报送方式:未成年人个人信息保护合规审计情况报送工作采用线上方式;
登录入口:直接访问“个人信息保护业务系统”(https://grxxbh.cacdtsc.cn),报送合规审计情况有关材料,也可从中国网信网(https://www.cac.gov.cn)首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”;
填报依据:严格按照系统首页提供的《未成年人个人信息保护合规审计情况报送系统填报说明(第一版)》准备材料;
法律责任:未按照《中华人民共和国个人信息保护法》《未成年人网络保护条例》《个人信息保护合规审计管理办法》等法律法规规章的规定开展未成年人个人信息保护合规审计并报送合规审计情况的,依照有关法律法规规章的规定处理。
结合《个人信息保护合规审计管理办法》附件指引,未成年人个保审计需重点核查以下内容,避免形式化合规:
第一、合法性基础:是否取得未成年人监护人的有效同意,敏感个人信息处理是否单独获取同意;
第二、告知义务:隐私政策是否以清晰易懂的方式,列明未成年人信息处理的目的、范围、保存期限及权利行使途径;
第三、委托处理:对外委托处理时,是否签订保护协议、开展影响评估,并定期监督受托人合规情况;
第四、年龄验证:是否具备可信的年龄保障机制,避免仅依赖用户自我声明,需根据风险等级匹配验证强度(如生物特征估算、第三方验证等);
第五、安全措施:技术防护是否与未成年人信息规模、敏感程度匹配,是否建立数据泄漏应急预案;
第六、权利响应:是否为监护人提供便捷的信息查询、更正、删除通道,响应时限是否符合法定要求;
第七、自动化决策:是否禁止针对未成年人的个性化广告推送,算法推荐是否设置防沉迷约束;
第八、数据出境:若涉及未成年人信息跨境,是否完成安全评估、认证或备案手续;
第九、内部管理:是否指定个人信息保护负责人,是否开展员工合规培训,审计记录是否完整留存。
本次网信办发布的未成年人个人信息保护合规审计报送公告,进一步明确了相关主体的法定合规义务,体现了监管层对未成年人个人信息权益保护的重视程度。从适用范围来看,该要求覆盖全部未成年人信息处理者,无规模与业务类型的豁免空间,高风险场景企业需重点关注。
未履行审计与报送义务的企业,将面临责令改正、警告、罚款等行政处罚,情节严重构成犯罪的还将被追究刑事责任。对此,企业可优先委托专业机构开展审计,同时建立常态化合规机制,针对审计发现的问题及时完成整改闭环;涉及未成年人信息跨境的企业,还需同步对标目标国监管要求,确保合规措施符合多国标准。
作者简介
