国家网信办启动未成年人个人信息保护合规审计报送

作者：数据合规组

2025年12月29日，国家互联网信息办公室发布《关于报送未成年人个人信息保护合规审计情况的公告》（以下简称“公告”），并同步上线未成年人个人信息保护合规审计情况报送系统，明确要求相关个人信息处理者按年度报送未成年人个人信息保护合规审计情况。根据公告安排，相关报送工作需在2026年1月底之前完成，整体时间较为紧迫。

本次公告并非孤立出台。一方面，《未成年人网络保护条例》已于2024年正式实施，对未成年人个人信息处理活动提出了系统性、可操作的合规要求；另一方面，《个人信息保护合规审计管理办法》亦已在2025年5月生效，为个人信息保护合规审计提供了明确的制度依据和操作框架。在上述法规陆续落地的背景下，本次公告及配套报送机制，标志着未成年人个人信息保护正式进入常态化、程序化监管阶段。

一、哪些企业需要关注并考虑履行报送义务？

从公告文本及配套的《未成年人个人信息保护合规审计情况报送系统填报说明（第一版）》（以下简称“《填报说明》”）来看，所有“处理未成年人个人信息的个人信息处理者”都需要报送。由于公告并未设置明确的数量门槛，因此是否需要报送的判断并不取决于企业规模或未成年人用户数量，而在于企业是否在其业务活动中实际处理未成年人个人信息。因此，不仅仅游戏行业、教育培训、儿童产品等“未成年导向”的重点行业企业需要关注，其他企业也需要进行内部评估并谨慎履行报送义务。

可预期的是，上述重点行业以及处理大量未成年人个人信息（例如，超过100万人）的数据处理者会成为监管关注的重点，按时高标准完成报送的必要性较高。

二、如何理解本次报送的程序和材料要求？

（一） 报送程序和方式

根据公告和《填报说明》，个人信息处理者需要通过“个人信息保护业务系统”完成线上报送，系统网址为：https://grxxbh.cacdtsc.cn。报送材料包括：（1）年度未成年人个人信息保护合规审计情况表（以下简称“《审计情况表》”）；（2）承诺书；（3）未成年人个人信息保护合规审计报告（如有）；（4）其他相关材料。

特别值得注意的是，《审计情况表》备注栏中明确允许企业进行合并报送，即集团总部统一报送，并在备注中列明覆盖主体范围即可。

（二） 报送材料要求

在《审计情况表》中，企业需要提供基本的工商信息（如法定代表人信息、经办人信息等），其他需要填写的材料包括如下：

• 处理未成年人信息情况：包括处理个人信息、未成年人个人信息、不满十四周岁的未成年个人信息的数量规模。统计维度按照自然人去重计算，精确到万。

• 审计对象范围：列明年度审计涉及的网站、APP、小程序、应用系统等。

• 审计结论和整改情况：对年度审计事项作出总体、有重点的综合性评价，包括但不限于审计发现问题、审计整改情况概况等。

除上述《审计情况表》外，企业可以视情况提交一份《未成年人个人信息保护合规审计报告》（以下简称“《合规审计报告》”）。根据《填报说明》，该《合规审计报告》可以参考《网络安全实践指南 — 个人信息保护合规审计要求（TC260-PG-20255A）》附录C“个人信息保护合规审计报告模板”进行编制。

三、未成年人个人信息保护合规审计有哪些核心问题？

结合公告、《填报说明》及相关法律法规的要求，考虑到当前报送时间较为紧迫，在未成年人个人信息保护合规审计中，建议企业优先关注以下核心风险：

• 未成年人个人信息的识别与区分。企业是否能够在业务流程和系统层面识别未成年人用户，尤其是不满十四周岁的未成年人，并据此实施差异化管理，是合规审计的基础前提。

• 未成年人个人信息专门规则及告知义务的落实。企业是否制定并对外公示面向未成年人的隐私政策或专项规则，相关告知是否清晰、易懂、可实际触达未成年人及其监护人。

• 监护人同意机制的建立与落实（如涉及）。在依法需要取得监护人同意的场景下，企业是否具备相应的同意机制、同意记录的保存安排。

• 个人信息收集与处理的必要性与合理性。企业是否遵循最小必要原则，是否存在与业务目的关联性不足或明显过度收集未成年人个人信息的情形。

• 其他未成年人个人信息处理特殊要求。企业是否能够满足《未成年人网络保护条例》第四章等相关特殊要求，包括身份核验、内部管理机制、私密信息保护等。

对此，若企业尚未开展针对性的合规审计，可以参考上述问题进行重点排查并形成简要的审计发现和结论，作为报送的支撑材料；反之，若企业已经开展或正在开展全量的个人信息保护合规审计，则可以在现有框架上将未成年人个人信息的相关问题整合为单独的模块，以便未来申报和检查。

四、企业应如何推进合规审计与报送工作？

从材料清单及《审计情况表》模板设计可以看出，监管在现阶段并未对报送材料的完整度和审计深度提出苛刻要求。例如，《合规审计报告》以“如有”形式列示；《审计情况表》中关于审计结论与整改情况，仅设置一个概括性填报模块。因此，整体监管导向更偏向于避免明显缺漏，而非要求企业提交高度成熟和全面的审计成果。基于上述背景，我们建议相关企业：

• 相关企业原则上需“应报尽报”：在公告未设置明确数量门槛的情况下，对于在实际业务中持续性、可识别地处理未成年人个人信息的企业，均建议考虑主动报送并配合监管。这将有助于降低后续被动合规风险。

• 报送中宜优先满足时限要求：在2026年1月内完成报送是当前首要目标。对于尚未系统开展未成年人个人信息保护合规审计的企业，不宜因追求“完整度”而延误报送。报送材料在客观真实的基础上，可以进行合理概括，抓住主要矛盾即可。

• 自行或依托第三方开展简式合规审计：相关企业可结合自身业务实际，自行或委托第三方开展未成年人个人信息保护合规审计工作，并以企业自身名义出具简式审计报告或内部评估说明，作为报送材料或支撑性文件。

• 递交后根据监管反馈持续完善：如监管部门在审核过程中提出具体整改或补充要求，企业可再根据监管意见逐步细化、完善审计结论及整改措施。