引言
根据国家网信办的通知[1](以下称“通知”),个人信息处理者应在2026年1月底首次报送未成年人个人信息保护合规审计情况。《未成年人网络保护条例》(以下称“《未保条例》”)自2024年1月1日起实施,要求个人信息处理者自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门。
《通知》明确了报送的时间、具体要求和方式,企业侧非常重视但也提出了很多咨询问题,基于我们对未成年人网络保护法规和个人信息保护法规的理解,初步形成了一些判断,供大家参考。
01
哪些企业需要报送?
就主体而言,《未保条例》与《个人信息保护法》衔接,使用了“个人信息处理者”的概念,而未引入“未成年人个人信息处理者”的概念(见《未保条例》第四章)。需要注意的是,《未保条例》区分了“网络产品和服务”和“专门以未成年人为服务对象的网络产品和服务”,可见立法者在个人信息保护上并无意区分一般个人信息处理者和专门处理未成年人个人信息的个人信息处理者。换言之,所有的个人信息处理者都具有处理未成年人个人信息的可能性,而一旦处理了未成年人个人信息,就需要履行未成年人个人信息保护的义务。
不过,很多企业会存有这样的疑问,即认为自己的企业并不以未成年人为服务对象,因此并不处理未成年人个人信息,这也是比较常见的隐私政策声明内容,表明不会收集未成年人个人信息,且会在误收集的情况下尽快删除。常见的表述如:“原则上我们的产品和服务不直接面向未成年人,如果我们发现在未事先获得监护人同意的情况下收集了未成年人的个人信息,会设法尽快删除。同时,我们仍非常重视未成年人个人信息的保护,按照国家相关法律法规的规定保护未成年人的个人信息。如果您是18周岁/14周岁以下的未成年人,在使用我们的产品和服务前,应事先取得您的监护人的同意。”
然而,很难认为收集个人信息(包括非未成年人个人信息)后删除即可免除《个人信息保护法》的合规义务,典型场景如视频监控系统,即便持续覆盖以前的录像信息,也不能认为其不构成个人信息处理活动从而不承担个人信息保护义务。不仅如此,很多企业仍然存在未成年人个人信息处理的场景,宜在全面梳理后确认是否处理未成年人个人信息的结论,以评估是否具有报送义务。根据我们归纳,需要注意以下未成年人个人信息处理的场景:
(1)
直接服务未成年人。这种场景下,个人信息处理者已经确定地掌握了未成年人的身份,从而为其提供服务,如学习教育、交通票务、问诊挂号、酒店服务、儿童社交、智能设备、保险金融、实用工具等,可能以未成年人为服务对象,从而处理其个人信息。如票务场景中,因购买儿童票、学生票等将收集未成年人的姓名、身份证号等身份信息。
(2)
人力资源管理。企业可能因为人力资源信息登记、子女关怀等情况收集未成年人个人信息,目前该种情形并未被排除在合规义务以外。不过,结合个人信息的定义以及《通知》要求的审计对象范围,如非采取网站、APP、小程序、应用系统等电子或其他方式处理的未成年人个人信息,可能不包括其中,否则仍应核实是否具有合规审计及报告义务。
(3)
难以证明不是未成年人。互联网企业作为网络空间中主要的个人信息处理者,通常处理大量的用户数据,具备强大的数据处理和分析能力,其中不可避免地将处理的未成年人个人信息。通常而言,企业掌握未成年人身份的途径即通过身份号码所进行的真实身份登记(甚至是唯一途径),这也正是不少企业存有疑问的关键——比如,很多企业并不允许显示为未成年人的身份证/身份证号码注册产品或服务,因此从真实身份登记的角度来说没有未成年人用户。但是, “特殊、优先保护”是未成年人保护的首要基本原则(《未成年人保护法》第四条第一项),其当然适用于未成年人个人信息保护。即使真实身份登记信息中不存在未成年人用户,企业也必须注意在一些场景中收集了未成年人个人信息,而很难证明其并非未成年人个人信息[2]。例如,智能设备(看护类、摄录像类)可能拍摄未成年人的影音图像,注册为成年人的账号但是选择开启未成年人模式等,都必然收集了未成年人个人信息。当然,这些“误收集”的场景下,企业并不会处理这些未成年人个人信息或者以处理这些未成年人个人信息为目的,而根据个人信息保护法律法规的要求,告知用户如何处理个人信息(包括如何处理误收集的个人信息)是普适性义务而并无在此场景下的豁免。就未成年人个人信息保护而言,企业也很难在前述类似场景中主张自己未处理未成年人个人信息。
《通知》中并未明确报告主体的具体范围,也未见其他权威解释,建议企业结合自身实际情况评估报送义务。虽然我们并不建议,但是考虑到时间因素等客观可能性,如不能完成全面排查,可以上述(1)(2)场景为重点,尽量覆盖到第(3)种场景,以及其他尚未穷尽的可能场景。
02
报送的要求有哪些?
《通知》随附了《未成年人个人信息保护合规审计情况报送系统填报说明(第一版)》(以下简称《填报说明》),对报送的具体信息作出了详细的说明,包括以下方面。
(1)
时间要求。《公告》要求每年1月底前报送上一年度未成年人个人信息保护合规审计情况。据此,本次报送的截止时间应为2026年1月31日,未成年人合规审计情况应覆盖2025年1月1日至2025年12月31日。
(2)
报送方式。《通知》明确采用线上方式报送,即通过“个人信息保护业务系统”(https://grxxbh.cacdtsc.cn),准备相关材料并履行信息报送手续。
(3)
报送材料。根据《填报说明》,需提交的材料包括:(1)年度未成年人个人信息保护合规审计情况表;(2)承诺书;(3)未成年人个人信息保护合规审计报告(如有);(4)其他相关材料扫描件。
就合规审计报告而言,《填报说明》中以括号备注了“如有”,《未保条例》要求开展合规审计并报告合规审计情况,但并未要求必须有合规审计报告,《通知》也没有专门就合规审计报告提出要求。但是,《填报说明》中专门提示未成年人个人信息保护合规审计报告可以参考T260-PG-20255A《网络安全实践指南——个人信息保护合规审计要求》附录C个人信息保护合规审计报告模板进行编制。所以,就合规审计报告而言,我们理解:①建议提交。如果个人信息保护合规审计报告已经全面覆盖未成年人个人信息保护合规审计情况,或者已经完成了未成年人个人信息保护合规审计报告,或者能够按时完成未成年人个人信息保护合规审计报告的企业,显然应该提交报告;②简化填表。如果实际并无合规审计报告,也客观不能在1月31日前完成合规审计报告的,可以不用提交,而是通过填写《未成年人个人信息保护合规审计情况表》报送审计情况。当然,合规审计报告的完整度、详尽度等都优于合规审计情况表,能报送报告更好,本次难以报送报告的,也最好拟定未成年人个人信息保护合规审计报告撰写计划,为下一年度报送做好准备。
03
是否有数量的要求?
《个人信息保护合规审计管理办法》明确,处理超过1000万人个人信息的处理者,具有硬性的定期合规审计义务。很多企业关注,在未成年人个人信息保护合规审计中,是否也有数量的区别。实际上,《未保条例》和《通知》都未基于数量作出区分,结合未成年人保护的特殊性、优先性原则,可以理解未成年人个人信息保护合规审计并不因企业掌握未成年人个人信息的数量而发生变化。因此,虽然“即使一条信息也要报送”的说法有戏谑的成分,但仍应注意就法律规定而言,并无数量区分的要求。
04
未成年人个人信息保护合规审计的要点是什么?
关于未成年人个人信息保护可以依据的法规标准包括《个人信息保护法》《未成年人网络保护条例》《网络数据安全保护条例》《儿童个人信息网络保护规定》《信息安全技术 个人信息安全规范(GB/T 35273-2020)》等;关于合规审计可以依据的法规标准包括《个人信息保护合规审计管理办法》《网络安全实践指南——个人信息保护合规审计要求(T260-PG-20255A)》《未成年人个人信息合规审计标准(T/ISC 0072-2024)》等。我们理解在审计策略和安排上可以关注一些重点方面,避免疏漏重点:
1. 未成年人个人信息保护整体框架
个人信息处理者应具有专门针对未成年人的个人信息保护与管理制度。具体而言,相关制度应该明确其针对未成年人个人信息的收集、使用、存储和删除等个人信息全生命周期中涉及的处理规则,并制定与完善其信息安全政策,结合未成年人个人信息的特殊性,针对性地配套安全技术措施和严格的访问控制机制,还应具备个人信息权利响应渠道,确保投诉处理的公正性、及时性和有效性。
2. 区分儿童和其他未成年人
《儿童个人信息网络保护规定》(国家互联网信息办公室令 第4号)明确,儿童是指不满十四周岁的未成年人。对于儿童个人信息,个人信息处理者负有更高的保护义务。主要包括:(1)单独的隐私政策。设置专门的儿童个人信息保护规则和用户协议;(2)专人负责。制定专人负责儿童个人信息保护;(3)安全评估。向第三方提供或者委托第三方处理时应进行安全评估。
3. 监护人同意
我们理解,《个人信息保护法》第十三条规定的七种合法性基础同样适用儿童个人信息保护,但基于同意的基础在儿童个人信息保护中非常普遍且重要。《未成年人保护法》《个人信息保护法》《儿童个人信息网络保护规定》均要求个人信息处理者处理儿童个人信息的,应当取得监护人同意。
在收集未成年人个人信息前,个人信息处理者应根据《个人信息保护法》第十七条的规定,以显著方式、清晰、准确、完整地向未成年人及其监护人明确告知个人信息处理者的名称或者姓名和联系方式;个人信息处理目的、处理方式、处理种类、保存期限以及个人行使相关权利的方式和程序等。个人信息处理者还应根据《个人信息保护法》第三十条的规定告知未成年人及其监护人未成年人个人信息的必要性以及对未成年人权益的影响。若为未成年人提供信息发布、即时通讯等服务的,应根据《未成年人网络保护条例》第三十一条,要求未成年人或者其监护人提供未成年人真实身份信息。
在完成前述告知义务后,个人信息处理者还应获得处理未成年人个人信息的合法性基础。除了《个人信息保护法》第十三条明确规定的可不获得个人信息主体同意的情况下,其均应获得相应的同意和/或单独同意。具体而言,这可能涉及在用户注册或登录阶段采取多种措施,如实名认证、人脸识别、年龄段选择或出生日期输入。一旦用户被识别为儿童,处理者需验证监护人身份,并通过勾选框或短信验证码等方法进行确认。在获得监护人同意时,应避免一次性同意多项信息处理活动,并确保同意不是永久性的。原则上,收集未成年人信息不应以改善服务或产品开发为目的,而应严格基于提供服务的必要性。
4. 真实身份信息动态核验机制
未成年人个人信息处理应严格遵守相关法律法规,按照数据处理的全生命周期设立完善的管理制度和安全措施,建立完善的未成年人保护体系,确保未成年人个人信息在收集、使用、存储以及删除等环节的安全与合规。但对于网络直播服务提供者而言,《未保条例》首次规定了真实身份信息动态核验机制,这对其未成年人个人信息保护义务要求更高,需要同时满足动态核验要求和个人信息保护合规要求。因此,对于网络直播服务提供者来说,报送未成年人个人信息保护合规审计情况宜将动态核验机制作为审计重点事项之一。同时,除了《未保条例》里明确规定的网络直播服务提供者,其他如网络游戏、网络经纪相关行业也有严格的未成年人年龄限制要求(详见下表),需要平衡识别和保护之间的关系,也应考虑重点审计相关事项。
5. 权利响应机制
《未保条例》以专章对“个人信息网络保护”作出规定,与《个人信息保护法》相衔接,并未重复规定相关内容,将个人信息权利响应作为重点之一。
根据上述条款,可以看出《未成年人网络保护条例》第三十四条在《个人信息保护法》的基础上对个人信息处理者提出了更为细致的要求。未成年人个人信息权利可由未成年人或其监护人行使,且对于合理请求而言,个人信息处理者应当为其提供便捷的行使途径并及时受理。具体而言,针对未成年人或者其监护人对于查阅未成年人个人信息的请求,个人信息处理者需提供便捷的支持其查阅未成年人个人信息种类、数量等的途径。个人信息处理者需提供便捷的支持未成年人及其监护人复制、更正、补充、删除未成年人个人信息的功能,并及时受理未成年人或其监护人对于未成年人个人信息权利的相关申请,如拒绝相关请求,则个人信息处理者应书面告知申请人并说明理由。
05
个人信息保护合规审计可以复用吗?
《个人信息保护合规审计管理办法》所附《个人信息保护合规审计指引》中已经涉及了未成年人个人信息的审计事项,如果企业已经按照要求开展了个人信息保护合规审计,完成了审计报告,我们理解可以作为未成年人个人信息保护合规审计情况进行报送。
对企业合规的启示
我们理解,本次报送要求是《未保条例》实施以来的首次监管活动,兼具合规检查和情况摸底的性质。对于一些企业来说,可能是第一次未成年人个人信息保护合规的实践,正可借此机会全面梳理自身未成年人个人信息的处理情况,查找相关风险和补齐差距。对于所有个人信息处理者来说,应将未成年人个人信息保护纳入个人信息保护合规框架,作为重点内容之一,以完善个人信息保护水平,特别是重点、优先保护未成年人个人信息。更为值得注意的是,未成年人网络保护不仅限于个人信息保护,还有更多丰富的内容,我们也建议在未成年人个人信息保护合规的基础上,进一步构建完整的未成年人网络保护体系,落实相关法律规定,践行企业社会责任。
脚注:
[1] 关于报送未成年人个人信息保护合规审计情况的公告_中央网络安全和信息化委员会办公室
[2] 如果客观无法识别出未成年人的可以除外,如《儿童个人信息网络保护规定》第二十八条规定,通过计算机信息系统自动留存处理信息且无法识别所留存处理的信息属于儿童个人信息的,依照其他有关规定执行。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
方禹
顾问
合规业务部
封面图源:画作·林子豪
声明:本文来自金杜研究,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
