构筑数字童年的安全底线：未成年人个人信息保护合规审计实践进路|个人信息保护|审计|数字童年|法律

来源：中国信通院CAICT

未成年人保护始终是社会高度关注的热点议题，2026年政府工作报告再次明确提出加强未成年人网络保护，彰显了国家对这一领域的持续重视。2026年以来，国家网信办等八部门陆续出台的《可能影响未成年人身心健康的网络信息分类办法》《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法》，将《未成年人保护法》《未成年人网络保护条例》中的条款细化为可落地、可认定、可监管的具体标准，推动未成年人网络保护从顶层设计转向落地执行。在此背景下，未成年人个人信息保护合规审计作为企业履行保护义务的重要抓手，成为企业亟需厘清和推进的课题。本文将从审计义务的法定依据、义务主体的准确界定、审计工作的实施逻辑3个维度，对未成年人个人信息保护合规审计进行系统解读。

一、审计义务的法定依据

企业开展未成年人个人信息保护合规审计，并非一项可选项，而是法律法规明确设定的刚性义务。《未成年人网络保护条例》第三十七条规定，个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计，并将审计情况及时报告网信等部门。

2025年12月29日，国家互联网信息办公室发布关于报送未成年人个人信息保护合规审计情况的公告，要求处理未成年人个人信息的个人信息处理者，应当于每年1月底前报送上一年度未成年人个人信息保护合规审计情况。这一公告的发布，将上述法规要求转化为明确的监管动作，标志着未成年人个人信息保护合规审计纳入常态化监管，企业的合规责任得到进一步压实。

二、义务主体的准确界定

在未成年人个人信息保护合规审计的实践中，部分企业存在一种认知误区：认为自身并不提供以未成年人为服务对象的产品或服务，因此不涉及处理未成年人个人信息，无需开展未成年人个人信息保护合规审计并报送审计情况。然而，《未成年人网络保护条例》在个人信息网络保护章节中，将需要履行合规审计义务的主体明确界定为“个人信息处理者”，而非以未成年人为服务对象的网络产品和服务提供者。结合国家网信办发布的公告，是否需开展未成年人个人信息保护合规审计的判断标准，并非企业是否提供以未成年人为服务对象的产品或服务，而在于是否实际处理了不满十八周岁未成年人个人信息。

部分企业在实际业务开展过程中，虽不提供以未成年人为服务对象的产品或服务，但仍有可能在家庭场景、亲子服务等环节涉及对未成年人个人信息的收集与处理，从而落入合规审计的适用范畴。因此，除游戏、教培、母婴等重点行业需持续关注外，任何可能涉及未成年人个人信息处理的企业，均应准确识别合规义务，严格落实未成年人个人信息保护合规审计及报送要求。

三、审计工作的实施逻辑

涉及未成年人个人信息处理的企业属于《个人信息保护法》界定的“个人信息处理者”，依法负有定期开展个人信息保护合规审计的法定义务，审计的工作开展适用《个人信息保护合规审计管理办法》明确的审计要求、审计重点和操作规范。在此基础上，鉴于未成年人主体的特殊性，审计需进一步叠加《未成年人网络保护条例》《儿童个人信息网络保护规定》等专项法规要求，最终构建“一般框架+特殊增量”的审计范围，确保审计工作既符合通用标准，又贴合未成年人个人信息保护的特殊需求。

《个人信息保护法》将不满十四周岁未成年人的个人信息明确界定为敏感个人信息，适用法律规定的更高保护标准。企业在报送未成年人个人信息保护合规审计情况时需填写《年度未成年人个人信息保护合规审计情况表》，其中要求企业提供“处理未成年人个人信息规模”和“处理不满十四周岁的未成年人个人信息规模”两项数据，这一年龄分层设计，既是对上位法相关规定的具体承接，也为审计工作的开展提供了明确指引：

未成年人个人信息保护合规审计的重点，在于审查企业是否建立了基于年龄的差异化个人信息保护机制，即在符合通用个人信息保护合规要求的前提下，对未满十八周岁未成年人个人信息保护嵌入特殊考量，对不满十四周岁未成年人个人信息在前两者的基础上叠加更高层级的保护要求。