未成年人个人信息保护合规审计及其报送工作的法律实务问题

2025年12月29日，国家网信办发布《关于报送未成年人个人信息保护合规审计情况的公告》（下称“报送公告”），明确处理未成年人个人信息的个人信息处理者，应当于每年1月底前报送上一年度未成年人个人信息保护合规审计情况。

情况报送工作及专项审计要求的直接法律依据是2024年1月1日实施的《未成年人网络保护条例》。根据《未成年人网络保护条例》第37条规定，“个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计，并向所在地设区的市级网信部门报送合规审计情况。”

结合类似项目经验，汇业黄春林律师团队简要解读情况报送工作的相关实务问题如下，仅供参考。

一、关于未成年人个人信息的法律认定

根据《未成年人保护法》，未成年人是指未满十八周岁的中国公民。因此，审计的主体对象是未成年人，而不是《儿童个人信息网络保护规定》规定的不满十四周岁的儿童。绝大多数企业的用户协议、隐私政策明示不向儿童提供服务，也限制14周岁以下儿童注册会员，但仍然可能会处理十四至十八周岁的未成年人的个人信息（根据《个人信息保护法》规定，该人群的个人信息不必然是敏感个人信息）。在申报情况表中，也是要求将儿童个人信息和未成年人个人信息分列报送。

尤为关键的是，参照《儿童个人信息网络保护规定》第二十八条的立法精神，未成年人个人信息的识别应当坚持主观标准，即判断某类信息是否属于未成年人个人信息，核心在于个人信息处理者能否识别或应当能够识别所处理的个人信息主体为未成年人。反之，若通过计算机信息系统自动留存处理信息且客观上无法识别所留存处理的信息属于未成年人个人信息的，则可依照其他有关规定执行，无需纳入本次未成年人个人信息保护合规审计及申报范围。

但实践中需注意，即使信息处理时未明确知晓主体为未成年人，但结合业务场景可合理识别、推断为未成年人的（例如收集了生日年月、主要面向未成年人市场等），仍应按未成年人个人信息进行审计及申报。

二、关于合规审计情况报送的基本要求

1. 报送主体

报送主体是《个人信息保护法》意义上的个人信息处理者。如以集团公司等形式运营、有多个分支机构的，可以由总部统一履行情况报送手续，但应列明报告覆盖的组织机构范围。

除了报送机构相关的信息外，本次报送还需要报送法定代表人、经办人基本信息，倒是没有要求申报儿童个人信息保护的“专人”。

对于那些只是零星处理未成年人个人信息的企业（例如为员工子女提供商业福利等），建议综合考虑行业合规水位、法律风险及风险接受度等因素，务实平衡合规成本与风险。

2. 报送时间

根据《通知》要求，企业应当于每年1月底前报送上一年度未成年人个人信息保护合规审计情况。考虑到《未成年人网络保护条例》《个人信息保护合规审计管理办法》都已经在2025年实施，且《通知》发布在2025年，因此我们理解2025年未成年人个人信息保护合规审计情况报送应当在2026年1月31日前完成，对企业来说，要在这个期限内同时完成审计和申报，结果只能“匆匆忙忙、连滚带爬”了。

当然，严格从法律上来说，《未成年人网络保护条例》在2024年1月1日都已经实施，企业早就应该“依法”完成2024、2025年审计工作。本次申报表格的内容还是比较克制，审计报告也没有特殊形式要求，因此，不考虑基础审计工作，单从申报工作来说，企业本来应该“从从容容、游刃有余”。

问题还是出在“有法不依”和“__”。

3. 报送方式

报送工作采用线上方式，企业可以直接访问“个人信息保护业务系统”（https://grxxbh.cacdtsc.cn）提交报送材料，主要是三个附件：《年度未成年人个人信息保护合规审计情况表》、《承诺书》及《未成年人个人信息保护合规审计报告》。《填报说明》中罗列的材料《未成年人个人信息保护合规审计报告》后面括号注明“如有”，难道是允许企业未完成审计报告的情况下缺省申报？如果真是这样，那真是给CAC点个大大的赞，是“反内卷”的经典案例。

三、审计和申报工作坚持三个一致性原则

汇业黄春林律师团队认为，在识别企业是否处理未成年人个人信息，确定审计对象范围，以及申报情况表中关于未成年人个人信息处理的场景、系统，以及主体类型、个人信息范围及规模等时，企业应当坚持三个一致性原则，即

（1） 与隐私政策对外披露的信息一致；

（2） 与之前的PIPO报送、人脸识别报送、数据出境报送的信息一致；

（3） 与个人信息安全事件（若有）的通知、报告的信息一致。

四、客观真实的基础上抓主要矛盾

企业应当如实、客观填报情况表，可以根据行业合规水位确定填报颗粒度，但不能弄虚作假。如果因时间短暂、审计政策学习及审计机构不明确等客观原因，无法梳理完整场景，或者无法全量审计的，可以在申报情况表中注释说明。

在为企业合规减负、反内卷的大背景下，同时考虑年关期限紧迫，我们理解，当前阶段未成年人个保合规审计及申报工作可以坚持在客观真实的基础上抓主要矛盾原则，即：

1. 关于审计范围：只要不是恶意逃避监管责任，在确保不遗漏未成年人主体类型，不大幅缩减数据规模，不遗漏关键字段类型等核心法律要素的前提下，抓住审计和申报工作的“一横一纵”主要矛盾：业务横向（多个BU）的主营场景，链路纵向（系统上下游）的关键系统。

2. 关于审计项：企业本身有依据《个人信息保护法》《个人信息保护合规审计管理办法》开展全面个保合规审计的法律义务，因此建议未成年人个人信息保护合规审计聚焦《个人信息保护合规审计指引》中的未成年人重点审计项，这样也有利于减轻企业合规负担，符合《网络数据安全管理条例》“避免重复审计”的立法精神。

若企业正在开展全量个保合规审计的，我们建议在审计项目中将未成年人个人信息保护成立单独的审计模块，最终审计报告中拆分单独的未成年人个人信息保护合规审计子报告，以方便未来的监管申报及检查。

以上建议仅为我们的个人理解，有待于官方进一步明确。只是，我们相信，在短短一个月的期限内，企业完成几十个场景、系统的全量、全审计项覆盖审计，既不现实，也不符合“反内卷”的宏观政策。

五、建议企业自行审计为主

《未成年人网络保护条例》《网络数据安全管理条例》《个人信息保护合规审计管理办法》均明确，企业可以自行开展审计，也可以委托专业机构开展审计。

考虑到年关近、期限紧，大部分具备个保审计能力和经验的外部专业机构的人力资源普遍紧张，通常也无法在如此短期内完成符合审计规范（例如《网络安全实践指南——个人信息保护合规审计要求》）的独立审计调查、发现、评估等审计工作，并出具适合向监管披露的正式审计报告。

因此，建议企业自行开展未成年人个人信息保护合规审计工作，并以自身名义自行出具简式审计报告（毕竟，官方只给了审计情况和整改发现一个单元格），以满足规定期限内向监管递交情况报送的规定动作。递交后，监管对审计报告有具体整改要求的，再根据具体整改要求不断完善。毕竟，合规工作不是一蹴而就的事情，拥抱监管、小步快跑，在不断迭代中“趋向于合规无穷大”。孔子说：年关当前，大家都很难过。互相都简单点，别自己为难自己。

当然，企业自行开展未成年人个人信息保护合规审计工作中，可以寻求外部专业机构的专业支持，例如审计咨询、技术辅助或人员驻场，等等。

六、未依法开展审计及申报的法律责任

《公告》是政策性文件，不设置具体的罚则。

未成年人个人信息保护合规审计和报送的主要法律依据是《未成年人网络保护条例》第37条规定。但是，《未成年人网络保护条例》的法律责任部分，没有针对违反37条规定的违法行为的专门罚则。

《个人信息保护法》《网络数据安全管理条例》规定了企业的一般个人信息合规审计义务，但未明确规定企业报送的法定义务及针对性罚则。

声明：本文来自网数与人工智能法律实务，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。