围绕未成年人个人信息保护的制度落实,国家互联网信息办公室近日就合规审计情况报送工作作出进一步明确。
公告提出,依据《中华人民共和国个人信息保护法》《未成年人网络保护条例》《个人信息保护合规审计管理办法》等规定,个人信息处理者应当自行或者委托专业机构,每年对其处理未成年人个人信息是否符合法律、行政法规开展合规审计,并向所在地设区的市级网信部门报送审计情况。
报送节点为每年1月底前,采取线上报送方式,通过“个人信息保护业务系统”按填报说明提交相关材料。
问题:未成年人个人信息保护链条长、场景多,合规审计“有没有、真不真、细不细”直接关系到制度落地效果。
当前,未成年人网络活动高度频繁,涉及注册登录、内容推荐、社交互动、在线教育、游戏娱乐、智能终端等多类场景,个人信息采集、使用、共享、存储的环节复杂。
一些机构在数据最小必要、告知同意、权限管理、第三方共享、留存期限、安全防护等方面仍存在边界不清、流程不完善、内部控制薄弱等风险点,容易造成过度收集、违规使用或安全事件隐患。
建立常态化审计与报送机制,旨在通过“定期体检”促进问题发现与整改闭环。
原因:制度明确的背后,是对未成年人个人信息特殊敏感性与保护紧迫性的综合考量。
一方面,未成年人识别与自我保护能力相对有限,一旦信息被不当收集、泄露或滥用,可能引发长期影响,甚至衍生精准诱导、网络欺凌、诈骗侵害等风险。
另一方面,数据要素流动加速、平台业务边界扩张、算法驱动的精细化运营,使得数据处理活动更具隐蔽性和专业性,仅靠事后处置难以覆盖全链条。
通过明确“每年审计+向属地市级网信部门报送”,有助于压实处理者主体责任,将合规要求嵌入内部治理、产品设计和运营管理之中。
影响:该公告对相关主体提出更清晰的履责路径,也将推动行业治理从“被动应对”转向“主动合规”。
对个人信息处理者而言,按期审计并报送意味着需要形成可核查的合规证据链,包括制度建设、风险评估、授权同意管理、数据安全技术措施、人员培训与应急处置等环节的材料沉淀。
对监管侧而言,线上报送与统一系统入口有利于提升工作效率和数据化管理水平,为分级分类监管、风险预警、专项检查提供依据。
对社会层面而言,制度落地将有助于强化公众对未成年人网络环境安全的预期,推动家庭、学校、企业等共同参与未成年人保护。
对策:围绕审计与报送要求,个人信息处理者需把握“合规、可证、可追溯”三项关键。
其一,建立覆盖全流程的未成年人个人信息治理体系,明确责任人和岗位职责,完善制度、流程和台账,做到采集有依据、使用有边界、共享有规则、存储有期限、删除有机制。
其二,开展面向未成年人场景的合规审计与风险排查,重点关注是否坚持最小必要原则、是否履行充分告知、是否依法取得同意、是否建立第三方管理与数据出境等合规控制、是否具备相应安全防护能力。
其三,提升技术与管理并重的保护能力,完善权限控制、访问审计、加密脱敏、日志留存、漏洞管理和应急演练,降低泄露与滥用风险。
其四,依托线上系统按要求报送,确保材料真实、准确、完整,避免形式化审计、走过场报送。
公告同时明确,对未按规定开展合规审计并报送情况的,将依照相关法律法规规章处理,释放了严格执法、强化约束的政策信号。
前景:从趋势看,未成年人个人信息保护将进一步从“原则性要求”向“可操作标准”深化,合规审计与报送制度将成为常态化监管的重要抓手。
随着线上报送体系逐步完善,审计内容与评价维度有望更加细化,行业将形成对标改进的治理路径。
企业和机构若能把审计结果转化为产品改造和流程优化,将在合规经营、风险管理和社会责任方面形成综合收益。
对监管部门而言,推动审计、报送、整改、复核的闭环机制,将有助于提升治理精准度,促进未成年人网络保护从点状治理迈向系统治理。
保护未成年人的个人信息安全是全社会的共同责任。
国家网信办发布的这一公告,通过建立年度合规审计制度,进一步明确了信息处理者的法律义务,强化了对未成年人数据权益的保护。
这既是对未成年人合法权益的有力保护,也是推动网络治理制度化、规范化的重要举措。
随着这一制度的深入推进,必将有助于营造更加安全、清朗的网络环境,为未成年人的健康成长提供坚实的法治保障。