未成年人个人信息保护合规审计与报送要求解读——基于六项法律规范文件及实践指南的十问十答！

2025年12月29日，国家网信办发布《关于报送未成年人个人信息保护合规审计情况的公告》，要求“处理未成年人个人信息的个人信息处理者，应当于每年1月底前报送上一年度未成年人个人信息保护合规审计情况。”该要求是落地2024年1月1日生效的《未成年人网络保护条例》第三十七条之规定：“个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计，并向所在地设区的市级网信部门报送合规审计情况。”

本文将结合《个人信息保护法》《未成年人网络保护条例》《个人信息保护合规审计管理办法》《关于报送未成年人个人信息保护合规审计情况的公告》《未成年人个人信息保护合规审计情况报送系统填报说明（第一版）》《网络安全实践指南——个人信息保护合规审计要求》（TC260-PG-20255A）六项法律规范文件及实践指南要求进行解读。

Q1 为什么我国要对未成年人个人信息实行显著高于一般个人信息的保护标准？

根本原因在于未成年人在信息处理关系中的结构性弱势地位，以及个人信息对其人格形成和长期发展的高度影响性；在数字技术放大风险的背景下，仅依赖事后救济已不足以有效保护未成年人，因而有必要通过前置性、预防性的制度安排，对未成年人个人信息处理活动加以更严格限制。在制度层面，通过提高个人信息处理门槛，限制企业“是否可以处理、如何处理、处理到什么程度”。其中：

• 《个人信息保护法》明确规定：不满十四周岁未成年人的个人信息属于敏感个人信息，适用更严格的合法性、必要性和安全保护要求；
• 《未成年人网络保护条例》将“最有利于未成年人原则”作为适用和解释的基本原则，并在“个人信息网络保护”专章中设置专门规则；
• 合规审计与年度报送制度，进一步将上述保护要求转化为可核验、可追责的合规义务。

依据：《个人信息保护法》第28条、第31条；《未成年人网络保护条例》第2条、第37条。

Q2 哪些主体必须履行未成年人个人信息保护义务并报送合规审计情况？

判断标准在于是否“实际处理了未成年人个人信息”，而不在于个人信息处理者是否“以未成年人为主要服务对象”。

《条例》并未将义务限定在“未成年人专区”或“少儿产品”，而是采取结果导向：一旦处理未成年人个人信息，即应依法履行合规审计和报送义务。

依据：《未成年人网络保护条例》第6条、第37条；《个人信息保护合规审计管理办法》第2条、第3条。

Q3 企业能否以“不知道用户是未成年人”为由免除责任？

不能。监管采用的是“合理识别与合理注意义务”标准，而非主观是否知情。

法律未明确要求企业实现100%的年龄识别准确率，但要求其：

• 结合产品功能和使用场景，合理预见未成年人使用的可能性；
• 设置必要的身份识别或年龄提示机制；
• 在识别或判断为未成年人后，能够切换至差异化保护规则。

长期默认所有用户为成年人、未设置任何识别或提示机制，可能会在审计和执法中被认定为未尽到法定义务。

依据：《未成年人网络保护条例》第31条；《个人信息保护合规审计要求》第6.13节。

Q4 为什么法律必须在未成年人内部区分“14周岁以下”和“14–18周岁”？

这是我国未成年人个人信息保护制度中最核心、最具刚性的分界线。

该区分直接决定三项关键制度安排：

1. 法律属性不同

• 不满14周岁：个人信息直接构成敏感个人信息；
• 14–18周岁：原则上属于一般个人信息，但适用特别保护要求。

2. 合法性基础要求不同

• 不满14周岁：必须取得监护人单独同意；
• 14–18周岁：仍需合法、正当、必要处理，但同意机制相对一般。

3. 审计强度不同

• 在监管和审计实践中，不满14周岁的未成年人被视为个人信息处理中的“高风险对象”，需要单独识别、单独规则、单独审计。

在合规审计中通常体现为：

• 将不满14周岁未成年人个人信息处理单独列项；
• 重点核查是否存在监护人单独同意；
• 核查是否制定并执行专门的处理规则，而非与成人规则混用。

未能识别或区分14周岁以下用户，本身就可能被认定为制度性合规缺陷。

依据：《个人信息保护法》第28条、第31条；《个人信息保护合规审计管理办法》附件《合规审计指引》第13条、第14条；《个人信息保护合规审计要求》第6.13节。

Q5 什么样的“监护人同意”才能在合规审计和报送中被认可？

审计关注的不是形式是否存在，而是“同意”是否真实、可核验、可追溯。

合规审计通常重点核查：

• 是否设置监护人身份验证机制（而非仅由未成年人代为勾选）；
• 是否明确告知处理目的、信息类型、保存期限和使用方式；
• 是否对不满14周岁未成年人设置单独同意流程；
• 是否留存同意时间、方式、版本和主体等记录，便于审计追溯；
• 是否提供明确、可操作的撤回同意路径。

仅在隐私政策中笼统写明“监护人已同意”，在合规审计中通常不被认可。

依据：《个人信息保护法》第14条、第31条；《个人信息保护合规审计要求》第6.1.1条、第6.13节。

Q6 未成年人个人信息处理中，“最小必要原则”如何被具体落实？

最小必要原则不是口头承诺，而是体现在字段设计、功能配置和默认状态中。

重点包括：

• 是否为未成年人单独设计个人信息字段集合；
• 是否收集了与核心功能无关的信息；
• 是否存在“不同意即无法使用服务”的变相强制授权；
• 是否默认关闭个性化推荐、数据共享等非必要功能。

实践中，“默认最少 + 明确选择”被视为较为稳妥的合规设计。

依据：《个人信息保护法》第6条；《未成年人网络保护条例》第32条；《个人信息保护合规审计要求》第6.13.3条。

Q7 算法推荐和自动化决策在未成年人场景下有哪些明确的合规红线？

法律对未成年人场景下的商业化、成瘾性算法使用设置了明确禁区。

《未成年人网络保护条例》明确规定：

• 不得通过自动化决策方式向未成年人进行商业营销；
• 推荐机制应当避免诱导沉迷，符合未成年人身心发展特点。

这意味着企业在算法系统中，应当至少具备未成年人识别与差异化策略，并对行为数据、画像标签的使用保持高度克制。

依据：《未成年人网络保护条例》第24条。

Q8 未成年人个人信息保护合规审计和报送是否属于强制性义务？

是强制性义务。

制度要求未成年人个人信息处理者：

• 每年至少开展一次未成年人个人信息保护合规审计；
• 可自行开展或委托专业机构；
• 并在每年1月31日前将审计情况向所在地设区的市级网信部门报送。

未开展审计或未按要求报送，本身即构成合规风险。

依据：《未成年人网络保护条例》第37条；《个人信息保护合规审计管理办法》；《关于报送未成年人个人信息保护合规审计情况的公告》。

Q9 在合规审计和报送中，监管部门重点核查哪些实质性内容？

监管关注的不是材料是否“写得全面”，而是制度是否真实运行、是否能够被验证。

重点包括：

1. 是否建立并实际运行未成年人识别和年龄分层机制；

2. 监护人同意与单独同意流程是否真实、可核验；

3. 是否存在过度收集或强制授权情形；

4. 是否采取必要的技术和管理安全措施；

5. 是否保障未成年人及监护人的查阅、更正、删除等权利；

6. 是否建立持续的合规管理和改进机制。

依据：《未成年人个人信息保护合规审计情况报送系统填报说明（第一版）》；《个人信息保护合规审计要求》第6章、第6.13节。

Q10 为什么说报送材料本身也是一个重要的合规风险点？

报送材料具有监管承诺和证据属性，可能在后续监督检查或行政执法中被直接引用。

如果报送内容与实际运行情况不一致、无法提供审计证据支撑或前后矛盾或明显夸大，则可能在监督检查或行政执法中形成不利后果。因此，报送应坚持真实、克制、可证明的原则。

报送材料包括：

1. 年度未成年人个人信息保护合规审计情况表（报送系统可下载模版）；

2. 承诺书（报送系统可下载模版）；

3. 未成年人个人信息保护合规审计报告（如有，可参考 TC260-PG-20255A《网络安全实践指南——个人信息保护合规审计要求》附录C个人信息保护合规审计报告模板进行编制）；

4. 其他相关材料扫描件。

依据：《个人信息保护合规审计管理办法》第16条、第18条；《个人信息保护合规审计要求》第4章；《关于报送未成年人个人信息保护合规审计情况的公告》；《未成年人个人信息保护合规审计情况报送系统填报说明（第一版）》。