作者:袁立志 文璐玺
2025年底,国家网信办发布公告,要求相关企业等报送未成年人个保合规审计报告,截止期限是一月底。由于时间仓促,很多企业措手不及。好在后来报送期限放宽,相关企业陆续报送了审计报告。我们在协助企业开展审计和报送工作的过程中,对具体执行中遇到的一些问题进行了总结。
1.未成年人个人信息保护合规审计(以下简称“未保审计”)与个人信息保护合规审计(以下简称“个保审计”)之间是何关系?应单独开展,还是合并进行?
答:未保审计是在个保审计基础上,针对未成年人个人信息保护叠加的特殊要求,是特殊与一般的关系。
二者的区别在于:个保审计,1000万人以上个人信息处理者每2年必须开展一次,对其他企业则无强制性审计频率要求,而且没有报送要求;未保审计,则必须每年开展一次,无规模数量门槛,且需在每年1月底报送地市级网信部门。
根据《网络数据安全管理条例》第52条确立的“避免重复审计”的原则,二者可以合并开展,成果复用。可在个保审计中设立独立的未保审计模块,复用个保审计成果。最终交付时,单独形成未保审计报告。合并审计时要注意保持数据口径一致,向监管报送的未成年人个人信息处理规模和合规结论,须与个保审计底稿及历史备案数据保持一致,避免审计报告之间相互矛盾。
需要注意的是,未保审计不是对未成年人网络保护事项的全面审计,而是聚焦于未成年人个人信息保护事项,故网络素养促进、信息内容规范、网络沉迷防治等事项不属于未保审计范围。
2.未保审计的主要法律依据是什么?
答:未保审计的主要法律依据如下:
(1) 实体规则:《个人信息保护法》《未成年人保护法》《未成年人网络保护条例》《网络数据安全管理条例》《儿童个人信息网络保护规定》等,界定义务主体与各项保护要求。
(2)程序规则:《个人信息保护合规审计管理办法》,提供审计方法、流程。
(3)实操指引:《数据安全技术个人信息保护合规审计要求》(GB/T 46903—2025)、《数据安全技术敏感个人信息处理安全要求》(GB/T 45574—2025)、《信息安全技术个人信息安全规范》(GB/T 35273—2020)、《未成年人个人信息合规审计标准》(T/ISC 0072-2024)等,指导审计工作的实际操作。
3.从事2B业务的企业是否需要开展未保审计?
答:只要企业实际处理未成年人个人信息,即需依法开展未保审计。
从事B2B业务的企业,如果服务对象仅为企业客户,不直接面向个人用户(包括未成年人),也不间接处理最终用户(包括未成年人)的个人信息(如B2B2C模式),则一般无需开展未保审计。
当前的未成年人个人信息保护主要是针对业务场景的,但是对企业内部人力资源管理等非业务场景中处理未成年人信息(如为员工福利目的处理员工子女信息),法律也没有排除适用。如有此类情形,也会触发未保审计义务。
4.法律是否设置了未成年人数量门槛?少量或偶发处理未成年人信息能否豁免审计?
答:法律未设置未成年人数量门槛。即使少量或偶发处理未成年人个人信息,也会触发未保审计与报送义务。这样一刀切的规定不甚合理。近期国家网信部门发布了《小型个人信息处理者个人信息保护简化措施规定(征求意见稿)》,虽未提到未保审计,但不排除未来网信部门对未保审计义务也进行适当简化,或者设置触发门槛。
当前阶段,如果在业务场景中仅处理少量未成年人信息,可参考《小型个人信息处理者个人信息保护简化措施规定(征求意见稿)》,简化审计要求和审计流程,自行开展审计。
如果在业务场景中不处理未成年人信息,仅在劳动人事管理等非业务场景处理未成年人信息,企业可重新评估处理该等未成年人信息的必要性,选择停止处理或者寻找替代方案,以避免仅因此而触发未保审计义务。如果确有必要继续处理,可参考上述简化方式开展审计。
5.若未区分用户年龄,能否以此为由不开展未保审计?
答:不能一概而论。企业对于是否处理未成年人信息应尽合理注意义务。如果从产品定位、功能、使用场景、行为特征、用户反馈等因素,可以合理地预见用户中可能有未成年人,则应设置适当的识别或提示机制,比如要求用户填报出生日期、年龄段,或者设置未成年人模式入口供用户选择,或者根据行为特征推断用户是否未成年人。如果未尽合理识别义务,进而规避未保审计,将面临法律风险。
对于明显不面向未成年人的产品,如企业软件、智能网联汽车,可仅在用户协议和隐私政策中说明不面向未成年人,通常无需开展未保审计。
6.不满14周岁的未成年人与14至18周岁的未成年人,在个人信息保护方面有何区别?审计时应如何把握二者的差异?
答:以是否满14周岁作为分界线,未成年人细分两类人群,在未保审计时主要差异如下:
区分维度 | 不满14周岁(儿童) | 14至18周岁 |
法律定性 | 敏感个人信息 | 叠加特殊保护的一般个人信息 |
告知要求 | 向监护人告知,常规告知内容外还要告知处理必要性及对个人权益影响 | 向本人告知+常规告知内容 |
同意机制 | 监护人单独同意 (需有监护人身份验证机制) | 本人或监护人同意 |
处理规则 | 专门的儿童个保规则 | 可一般隐私政策,也可制定未成年人个保规则 |
影响评估 | 强制要求 | 视情况 |
安全措施 | 最严格保护 | 严格保护 |
留存期限 | 最短必要 | 合理期限 |
权利行使 | 监护人代行 | 监护人指导+本人行使 |
审计报告 | 相关事项单独说明 | 统一说明 |
与第5问类似,企业对于是否处理儿童信息负有合理注意义务,应采取合理措施识别用户是否为儿童。
7.如何确保监护人同意的有效性与可追溯性?
答:监护人的同意必须是知情的、自愿的、明确的、单独的和可撤回的,其关键在于监护人身份验证,以确保同意真正来自监护人而非儿童冒用。
根据风险程度,监护人的身份验证可采用以下几种方式之一:监护人身份证+短信验证、监护人身份证+人脸识别、小额扣款、知识问答等。
监护人的同意应可追溯,因此需要留存同意记录,包括同意时间、同意方式、同意的隐私政策版本号、监护人身份信息、同意页面截图、撤回同意的记录等。
8.如何把握“最小必要”原则?
答:开展未保审计时,最小必要原则应从功能配置、默认设置、字段筛选、留存期限等维度进行把握。
企业通常不应以改善服务、优化产品为目的收集儿童信息。针对未成年人用户,一般应默认关闭非必要功能以及个性化推荐、精准营销、数据共享等高风险功能。
收集的未成年人信息的字段、数量和精度应为实现业务功能所必需的最低限度,故需逐个字段进行必要性论证,筛除无必要性或必要性不够充分的字段。
9.企业应提前多久启动准备工作?审计前可或应做好哪些关键准备?
答:我们建议至少提前两周至一个月开始准备工作。日常合规基础较好的企业可直接进入审计,基础较弱的可先开展一轮摸底整改。
关键准备工作包括:由负责审计的部门牵头成立专项小组、界定审计边界、调取历史评估报告并进行未成年人维度切片、准备跨部门资料清单等。建议形成审计工作实施方案和协作清单。
对于集团型公司等公章用印流程较长的企业,建议在准备阶段提前规划《承诺书》等需用印文件的内部审批流程,避免后期报送时因流程延误导致时间不足。
10.在业务线多、系统复杂的情况下,如何适当划定审计范围?
答:我们建议采用五步法进行结构化梳理,即从运营实体、业务和产品、支撑系统、数据处理、现有合规基础五个维度逐步展开,避免审计范围过宽或遗漏核心风险点。
对于经内部评估后决定不纳入本次深度审计的边缘偶发场景,应在审计底稿中明确写明不纳入的详细论证理由。建议同时保留场景清单和系统清单两张底稿,两者结合使用可形成清晰的“场景—系统”映射关系,便于跨部门协作及说明审计范围的合理性。
企业资源有限时,可优先确保核心业务场景不遗漏、数据统计真实客观及最终法律定性准确无误,同时对低风险偶发场景进行简化处理。
11.如何有效复用既有的RoPA、PIA等合规成果,避免重复工作?
答:可直接调取已有的PIA、RoPA等成果,重点提取其中涉及年龄字段、身份核验及未成年人模式的相关信息,作为本次专项审计的直接输入。底层业务逻辑未发生实质性变化的,成果复用可大幅减少重复盘点工作,同时保持不同报告间的数据一致性。
实务中建议优先筛选注册、实名认证、家庭账号绑定等易涉及未成年人的场景,将相关评估结论和证据直接纳入专项审计底稿。通过建立统一的合规证据池,既能节约审计资源,又可确保向监管报送的未成年人处理规模与历史备案数据保持逻辑自洽。
12.向监管报送的截止时间是什么时候?需完成哪些关键动作?
答:法定截止时间为每年1月31日,今年是第一年报送,实际上截止期限已延长。在截止日前,企业须登录个人信息保护业务系统,完成以下四个步骤:
(1) 盘点校验:核对去重后的真实用户规模,区分全部、未成年及不满14周岁三层,与既往出境评估等报送口径保持一致。
(2)填表用印:填写《情况表》与《承诺书》,承诺书须由法定代表人签字并加盖公章,需及时发起内部用印流程。
(3)上传报告:《合规审计报告》(如有);时间紧张时建议优先上传简式报告,以满足报送要求,同时为后续可能的补充或核验预留空间。
(4)跟进补正:提交后一旦系统显示“退回完善”,须在10个工作日内迅速补充材料,应安排专人持续关注系统审核状态。
13.对于集团公司或下设多家子公司的情形,是否允许合并报送?具体如何操作?
答:监管部门允许以集团形式运营的企业由总部统一履行报送手续,尤其在业务协同、数据共享的情况下,可有效降低重复工作量。操作时在《情况表》备注栏中列明本次报告所覆盖的所有下属机构名称及统一社会信用代码即可,建议同时保留集团股权架构图和内部数据共享说明作为底稿,以备监管问询。
若由各子公司分别单独报送,则需注意以下方面:
(1) 确保各子公司的业务与底层数据已实现相对独立,在数据打通、业务混同的情况下不宜强行拆分报送;
(2)确保集团制度在本企业的落地,子公司不能简单直接上传集团总部的全套制度文件,而应留存带有子公司印章的内部制度印发通知文件及员工签收单等佐证材料,证明集团制度已在本企业实施;
(3)各子公司需按去重后的真实自然人数量独立填报,避免数据规模交叉重复;若母子公司之间存在未成年人数据交互,应补齐内部数据共享协议或统一管控说明。
总体而言,合并报送适合业务和数据协同紧密的企业集团,独立报送则适用于各子公司业务和数据相对独立的企业集团。
14.《情况表》数据填报应注意什么?
答:核心要求为真实去重、分层统计(全部个人信息、未成年人、不满14周岁儿童),以“万人”为单位填报。数据口径须与历史备案及公开信息保持一致;合并报送时应在备注栏写明覆盖范围。若客观存在技术限制,可如实说明。
15.提交简式报告与详式报告哪种更合适?“如有”报告是否意味着可不提交?
答:多数情况下提交简式报告更为合适,可体现合规态度,又可避免在尚未最终定论的环节提交过细内容,降低后续补充修正的沟通成本。
“如有”的表述意味着客观无法完成时可不提交,但建议至少提交简式报告;详式报告可留存企业内部备查,用于应对可能的后续核验。
声明:本文来自减熵实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
