未成年人个人信息保护合规审计报送：监管解读与实务应对建议|个人信息保护|审计报告|法律|邓志松

原标题：邓志松等：未成年人个人信息保护合规审计报送：监管解读与实务应对建议

2025年12月29日，国家互联网信息办公室（以下简称“国家网信办”）正式发布《关于报送未成年人个人信息保护合规审计情况的公告》（以下简称《报送公告》），明确要求处理未成年人个人信息的信息处理者，须于每年1月底前向属地市级网信部门报送上一年度的个人信息保护合规审计情况。这一规定的出台，标志着我国在未成年人个人信息保护领域的监管要求进一步具体化与常态化，是对《个人信息保护法》（以下简称《个保法》）《未成年人网络保护条例》中相关规定的实质性落地，本文将围绕《报送公告》的出台背景，报送的具体实操要求，结合当前实务中存在的难点，为企业合规应对提出具体建议。

一、监管出台背景

个人信息合规审计早在2021年发布实施的《个保法》中已有规定。《个保法》第五十四条明确规定：“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。” 个人信息合规审计是所有类型个人信息处理者（无论是否处理未成年人信息）——包括中国境内的企业和中国境外但受《个保法》管辖的企业，必须履行的法定义务。

2025年5月1日起施行的《个人信息保护合规审计管理办法》（以下简称《合规审计办法》）细化了个人信息保护合规审计的具体要求。《合规审计办法》规定了两类合规审计：企业自行开展的定期审计和监管要求开展的强制审计。对于自行审计的频次，处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计；对于其他企业则没有强制性频次要求。而对于向监管部门的报送义务，《合规审计办法》仅规定了强制审计场景下的报送义务。

2024年1月1日起施行的《未成年人网络保护条例》则是针对处理未成年人个人信息场景的特殊规定。《未成年人网络保护条例》第三十七条规定“个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计，并将审计情况及时报告网信等部门。”相较于《合规审计办法》中的自行审计，《未成年人网络保护条例》一是细化了未成年人个人信息的合规审计频次，即要求“每年”审计一次；二是增加了个人信息处理者的报送义务，从监管层面监督每年合规审计要求的落实。

在这一背景下，2025年12月29日《报送公告》的发布，推动了未成年人个人信息合规审计监管要求的落地。《报送公告》明确了报送的具体时间、具体渠道及具体报送内容，标志着未成年人信息保护合规审计正式从法律文本层面的“应然义务”，转化为监管机关可核验、可追责的“实然行动”。

二、报送内容与程序

（一）谁要报送

与《合规审计办法》不同，本次发布的《报送公告》并未设置明确的数量门槛，即是否需要报送的判断不取决于是否以未成年人为主要服务对象或企业规模，而是仅关注其是否“实际处理未成年人个人信息”。因此，不仅游戏文娱、教育培训、儿童产品、APP等存在大量未成年用户的行业企业需要关注，在业务活动中可能实际偶发性处理未成年人个人信息的其他类型企业也落入报送范围。

在监管部门并未明确何种情况可以豁免报送的情况下，只要处理未成年人个人信息的企业，均负有合规审计和报送义务。

（二）向谁报送

《未成年人网络保护条例》第37条仅规定了向“网信等部门”报送，并未明确具体监管部门层级。本次《报送公告》明确，个人信息处理者向所在地设区的市级网信部门报送。

目前，国家网信办个人信息保护业务系统中配套的《关于未成年人个人信息保护合规审计情况报送系统填报说明(第一版)》（以下简称《填报说明》）仅给出省级网信办联系电话。考虑到《报送公告》发布时间较短，各地可能仍未形成统一的工作办法，建议企业报送过程中遇到问题时可直接向省级网信办咨询。

（三）报送的具体要求

1. 报送时间

《报送公告》规定，个人信息处理者至少每年开展一次未成年人个人信息保护合规审计，并在每年1月31日之前将上一年度审计情况及相关文件向所在地设区的市级网信部门报送。

考虑到《未成年人网络保护条例》于2024年已生效施行，《报送公告》在2025年发布。因此，对于2025年的合规审计情况，应当于2026年1月31日前完成报送。可以说，本次《报送公告》的发布为处理未成年人个人信息的企业设定了较短的报送准备期限。

2. 报送方式

《报送公告》规定，未成年人信息保护合规审计情况报送工作采用线上方式（个人信息保护业务系统，https://grxxbh.cacdtsc.cn）。需要注意的是，履行情况报送手续的个人信息处理者，如以集团公司等形式运营、有多个分支机构的，可以由总部统一履行情况报送手续；如多个个人信息处理者存在关联关系（多个子公司、办公区、连锁店、第三方服务企业等），也可以合并履行情况报送手续。

3. 报送材料

根据《填报说明》，报送系统必须提交的材料仅有两个：年度未成年人个人信息保护合规审计情况表（以下简称《审计情况表》）和承诺书，未对未成年人个人信息保护合规审计报告的提交做强制性要求，且没有要求合规审计报告的形式。对于合规审计报告，《填报说明》仅建议企业可参考TC260-PG-20255A《网络安全实践指南——个人信息保护合规审计要求》（以下简称《审计要求》）附录C个人信息保护合规审计报告模板进行编制。

因此，我们理解，网信部门目前的审核重点是《审计情况表》。《审计情况表》要求企业提供基本的工商信息、法定代表人及经办人信息外，主要需要填报的信息包括：

个人信息规模：区分了三个层次包括（1）企业整体处理个人信息规模，（2）处理未成年人个人信息规模，以及（3）处理不满十四周岁未成年人个人信息规模。需要注意的是，如果企业此前曾因数据出境等向监管部门报送过企业个人信息规模，应当注意报送内容的一致性。
审计对象范围：即合规审计包含的范围，例如网站、APP、小程序、应用系统等，该范围一般对应的是收集处理个人信息所使用的媒介。
审计结论和整改情况：该部分内容对应着合规审计报告的结论部分，需要企业在完成合规审计工作后，按照实际情况填写。

三、实务应对建议

考虑到国家网信办发布《报送公告》已是2025年年末，距离2026年1月末的报送截止日期已经很近，对于企业——特别是尚未进行未成年人个人信息保护合规审计的企业来说，我们建议：

首先，在官方未出台明确报送门槛的情况下，企业仍应尽快按要求梳理未成年人个人信息处理情况，及时完成报送，以降低合规风险。

其次，考虑到本次报送时间紧、任务重，建议企业在未成年人个人信息保护合规审计工作中把握重点、分步推进。目前国家网信办发布的报送材料要求相对简明，未对审计报告格式和内容作出过多限定。因此，企业可优先聚焦涉及未成年人个人信息的业务场景开展梳理，在满足基本合规要求的前提下，先行形成简版报告并及时提交。此举既能够满足当前报送时限要求，也为后续可能的细化要求留有完善空间，企业仍可被视为已在规定期限内履行报送义务。

最后，由于个人信息合规审计仍是一项较新的监管要求，网信部门也将依据实际执行情况，动态调整和更新相关监管标准。因此，建议企业既要持续关注网信部门的监管动向，及时与当地网信部门沟通，也要提前布局未来的合规审计工作，以避免在监管常态化后出现合规风险。

特别声明：

大成律师事务所严格遵守对客户的信息保护义务，本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考，不代表大成律师事务所任何立场，亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源。未经授权，不得转载或使用该等文章中的任何内容。

1. 邓志松：《<个人信息保护法>律师与公司常见问答》引言及全文

2. 邓志松等：收到反垄断局对并购交易的未依法申报调查函，企业如何正确应对？

3. 邓志松等：募投管退 - 私募基金的反垄断风险管理

4. 邓志松等：“Bloomberg Law: China Privacy Profile”中文引言及全文

5. 邓志松等：《反垄断法》修订律师实务评述：9大方面 + 23处调整

6. 邓志松等：中国个人信息出境合规路径 - 安全评估、标准合同及认证

7. 邓志松等：《反不正当竞争法》第三次修订：健全数字经济公平竞争规则

8. 邓志松等：欧盟《外国补贴条例》生效：中国企业涉欧并购的监管影响及法律实务建议

9. 邓志松等：标准合同办法补全第三条路径，完成个人信息出境法律监管拼图

10. 邓志松：中国能源企业海外投资的反垄断监管挑战与实务应对

11. 邓志松：格式条款被规制，“最终解释权”受重罚 ——《合同行政监督管理办法》解析

12. 邓志松等：票务平台退票政策趋势观察——“不可退”成为法律禁止的格式条款？