T/ISC 0072-2024 未成年人个人信息合规审计标准

ISC 03.100
CCS A16
团体标准
T/ISC 0072-2024
未成年人个人信息合规审计标准
Requirements for compliance audits of minors' personal information
2024-11-26 发布2024-12-25 实施
中国互联网协会发布

目次
前言............................................................................. IV
引言............................................................................. VI
未成年人个人信息合规审计标准.......................................................... 1
1 范围................................................................................ 1
2 规范性引用文件.......................................................................1
3 术语和定义.......................................................................... 1
3.1................................................................................. 1
3.2................................................................................. 1
3.3................................................................................. 1
3.4................................................................................. 1
3.5................................................................................. 1
3.6................................................................................. 2
4 审计方式............................................................................ 2
5 未成年人个人信息合规审计制度.........................................................2
5.1 未成年人个人信息合规审计基本要求.................................................2
5.2 未成年人个人信息合规审计流程.....................................................2
5.3 未成年人个人信息合规审计证据.....................................................3
6 基本原则............................................................................ 3
6.1 专项保护原则.....................................................................3
6.2 主动保护原则.....................................................................3
6.3 便捷使用原则.....................................................................3
6.4 适龄原则.........................................................................3
6.5 多方协作原则.....................................................................3
7 未成年人个人信息的收集...............................................................4
7.1 未成年人个人信息处理者对未成年人个人信息的收集...................................4
7.2 对未成年人个人信息收集的审计要求.................................................4
8 未成年人个人信息的使用...............................................................5
8.1 未成年人个人信息处理者对未成年人个人信息的使用...................................5
8.2 对未成年人个人信息使用的审计要求.................................................5
9 未成年人个人信息转移.................................................................6
9.1 未成年人个人信息处理者对未成年人个人信息的转移...................................6
9.2 对未成年人个人信息转移的审计要求.................................................6
10 未成年人个人信息的存储..............................................................6
10.1 未成年人个人信息处理者对未成年人个人信息的存储..................................6
10.2 对未成年人个人信息存储的审计要求................................................7
11 未成年人个人信息的删除..............................................................7
11.1 未成年人个人信息处理者对未成年人个人信息的删除..................................7
11.2 对未成年人个人信息删除的审计要求................................................7
12 未成年人个人信息主体的权利..........................................................7
12.1 未成年人个人信息主体的权利......................................................7
12.2 对未成年人个人信息主体权利的审计要求............................................7
13 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者..................7
14 个人信息安全事件处置................................................................8
14.1 个人信息安全事件处置基本要求....................................................8
14.2 个人信息安全事件处置审计要求....................................................8
15 监护人服务平台......................................................................8
15.1 监护人服务平台的基本要求........................................................8
15.2 对监护人服务平台的审计要求......................................................9
参考文献....................................................................... 10

III
前言
本文件按照GB 1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本文件由中国互联网协会归口。
本文件主要起草单位：中国网络空间研究院、北京市金杜律师事务所、三七互娱网络科技集团股份
有限公司、映宇宙集团有限公司、北京三快科技有限公司、上海寻梦信息技术有限公司、淘天有限公司、
北京小桔科技有限公司、联想（北京）有限公司、咪咕文化科技有限公司、携程集团、上海宽娱数码科
技有限公司。
本文件主要起草人：李晓娇、宁宣凤、吴涵、方禹、伊芳菲、袁涵、浦洋、董思萌、王志强、高唤
栋、孔蕾、马力鹏、陈陆敏、张希瑶。
——

V
引言
当前，互联网与经济社会深度融合，已成为未成年人了解世界、学习知识、休闲娱乐、交流交往的
重要平台。然而，未成年人在心理与生理上尚未成熟，在自我防护、判断是非以及自我调控方面相较于
成年人显得较为薄弱。对此，我国已经建立了一套较为完善的法律法规体系，包括《未成年人保护法》
《网络安全法》《个人信息保护法》《儿童个人信息网络保护规定》《未成年人网络保护条例》等，旨
在为未成年人个人信息提供全方位的法律保护。
本文件将落实法律法规的要求，提出未成年人个人信息合规审计标准，指导行业进行系统性的未成
年人个人信息合规审计，细化并落实未成年人个人信息保护的义务和要求，助力企业开展未成年人个人
信息合规审计工作。

1
未成年人个人信息合规审计标准
1 范围
本文件规定并提供了开展收集、存储、使用等未成年人个人信息处理活动应遵循的原则、安全要求
以及合规审计要点。
本文件适用于指导未成年人个人信息处理者进行未成年人个人信息保护。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，
仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改版）适用于本
文件。
GB 25069 信息安全技术术语
GB 35273 信息安全技术个人信息安全规范
3 术语和定义
GB 25069和GB 35273界定的以及下列术语和定义适用于本文件。
3.1
未成年人Minors
未满十八周岁的公民。
3.2
儿童Children
不满十四周岁的未成年人。
3.3
未成年人个人信息Personal Information of Minors
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定未成年人身份或者反映特定未
成年人活动情况的各种信息。
3.4
监护人Guardian
对无民事行为能力人和限制民事行为能力人的人身、财产和其他一切合法权益负有监护和保护职责
的人。
3.5
个人信息处理者Personal Information Processor
有权决定个人信息处理目的、方式等的组织或个人。

2
3.6
未成年人个人信息处理者Minors Personal Information Processor
有权决定未成年人个人信息处理目的、方式等的组织或个人。
4 审计方式
未成年人个人信息处理者应当自行或者委托专业机构对其处理未成年人个人信息遵守法律、行政法
规的情况进行合规审计，并将审计情况及时报告网信等部门。
5 未成年人个人信息合规审计制度
5.1 未成年人个人信息合规审计基本要求
5.1.1 法律法规及行业标准要求
个人信息处理者开展未成年人个人信息处理活动，除应满足《个人信息保护法》、《数据安全法》、
《网络安全法》、《未成年人网络保护条例》以及《儿童个人信息网络保护规定》等法律规定外，还应
遵循GB 35273 信息安全技术个人信息安全规范等相关规定。
5.1.2 审计原则
未成年人个人信息保护合规审计应遵循合法性、独立性、客观性、全面性、公正性、保密性原则。
5.1.3 专项要求
未成年人个人信息处理者宜对其开展的未成年人个人信息处理活动进行单独审计。
未成年人个人信息处理者也可以在一般个人信息保护合规审计中纳入未成年人个人信息保护审计
内容，但应当具有相对的独立性。
5.1.4 审计周期
未成年人个人信息处理者应当每年对其开展的未成年个人信息处理活动进行审计工作。
5.2 未成年人个人信息合规审计流程
未成年人个人信息保护合规审计通常包括审计准备、审计实施、审计报告、问题整改、归档管理等
阶段。
5.2.1 审计准备阶段
审计准备阶段包括建立审计组、开展审前调查、确定审计方式方法、编制和评审审计方案等。
5.2.2 审计实施阶段
审计实施阶段包括发送审计通知、收集审计证据、采信审计证据、撰写审计底稿和确认审计发现等。
5.2.3 审计报告阶段
审计实施阶段包括异议解决、撰写审计报告、交付审计报告等。

3
5.2.4 问题整改阶段
审计人员应对审计中发现的不合规项进行跟踪，督促被审计方在规定期限内整改。必要时，审计人
员可对整改措施的完成情况及有效性进行跟踪审计。
5.2.5 归档管理阶段
未成年人个人信息处理者和第三方专业机构应妥善保管个人信息保护合规审计底稿、报告以及日志
等档案资料。
5.3 未成年人个人信息合规审计证据
未成年人个人信息处理者应保证提供的审计证据真实、完整、有效，并满足以下要求：
a)管理文件应经过正当的起草或批准程序并生效实施；
b)协议文件应获得协议各方的有效同意并实际生效和执行；
c)纸质或者电子记录的工作档案应能够反映真实情况；
d)访问日志、存储日志、传输日志、删除日志等网络日志应是未经篡改的原始记录；
e)网络安全等级保护、个人信息保护认证、数据安全管理认证等证明应在有效期内；
f)个人信息处理相关检测报告应加盖测试机构公章并对内容真实性做出负责任承诺。
6 基本原则
未成年人个人信息处理者开展未成年人个人信息处理活动除应遵循合法、正当、必要和诚信原则，
不得通过误导、欺诈、胁迫等方式处理个人信息外，还应遵循如下原则，具体包括：
6.1 专项保护原则
对未成年人个人信息开展专项保护，包括专人负责、针对性的保护措施与保护规则等，将未成年人
权益作为优先保护事项。
6.2 主动保护原则
发生或者可能发生未成年人个人信息泄露、篡改、丢失的，未成年人个人信息处理者应主动采取包
括停止传输、删除、屏蔽、断开链接等手段。
6.3 便捷使用原则
应设立未成年人模式，便于家长履行监护职责，并建立便捷的投诉、举报渠道，及时受理处置涉未
成年人投诉举报，维护未成年人合法权益。
6.4 适龄原则
应细分未成年人模式，并根据其身心发展特点，评估产品类型、内容与功能等要素，为不同年龄段
未成年人提供不同的信息和服务。
6.5 多方协作原则
未成年人个人信息处理者应与监护人、相关组织、机构以及政府部门协作开展未成年人信息保护工
作，实现未成年人保护社会共治。

4
7 未成年人个人信息的收集
7.1 未成年人个人信息处理者对未成年人个人信息的收集
未成年人个人信息处理者需严格遵守相关法律法规收集未成年人的个人信息。对未成年人个人信息
处理者的要求包括：
a)应有效识别儿童/未成年人用户；
b)区分儿童或未成年人进行告知；
c)区分儿童或未成年人取得同意；
d)收集儿童/未成年人个人信息应严格遵循最小必要原则。
7.2 对未成年人个人信息收集的审计要求
7.2.1 对未成年人用户有效识别的审计要求
未成年人个人信息处理者处理未成年人个人信息的，应对未成年人个人信息处理者是否识别用户为
未成年人进行审计，审计未成年人个人信息处理者是否根据差异化功能场景提供有效的识别措施。未成
年人个人信息处理者应在注册和/或登录阶段采取下列措施之一对未成年人进行识别：年龄段选择下拉
菜单；输入出生日期；输入身份证号进行实名认证；进行人脸识别验证；其他可以有效识别未成年人的
措施。
7.2.2 对未成年人及其监护人告知的审计要求
处理未成年人个人信息的，宜制定专门的未成年人/儿童个人信息处理规则，并对未成年人个人信
息处理者是否履行下列告知要求进行审计：
a)应通过至少一种显著方式向未成年人及其监护人告知未成年人个人信息处理规则。根据业务需
要，网络服务提供者还应就儿童个人信息处理规则进行单独告知，显著方式包括：单独的勾选框；单独
弹窗提示；单独引导页面；语音播放；其他可以有效告知的措施。
b)应使用清晰易懂的文字向未成年人及其监护人说明收集个人信息的具体目的和必要性。
c)处理敏感个人信息的，应当向监护人告知处理敏感个人信息的必要性以及对未成年人权益的影
响。
d)应确保告知个人信息处理规则对残疾人无障碍，如提供易读的文本格式、提供语音提示功能、提
供视觉辅助功能以及提供其他辅助功能。
7.2.3 未成年人及其监护人同意的审计要求
未成年人个人信息处理者处理儿童个人信息的，应对其是否取得未成年人的父母或者其他监护人的
单独同意进行审计，审计要求包括：
a)应取得儿童监护人单独同意，不应一次性针对多项儿童个人信息或多种处理活动取得同意；
b)取得儿童监护人单独同意时，处理个人信息的同意期限不应设置为“始终允许”或“永久”；
c)不应以改善服务质量、提升用户体验以及研发新产品等为目的收集儿童个人信息。
7.2.4 收集未成年人个人信息最小必要的审计要求
对未成年人个人信息处理者收集未成年人个人信息的最小必要审计要求包括：
a)收集儿童的生物识别、身份相关等个人信息具有充分的必要性；
b)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；

5
c)对提供产品或服务所需的未成年人个人信息分为必要和非必要两类，并在处理规则中进行充分告
知。
8 未成年人个人信息的使用
8.1 未成年人个人信息处理者对未成年人个人信息的使用
未成年人个人信息处理者需严格遵守相关法律法规处理未成年人的个人信息。对未成年人个人信息
处理者的要求包括：
a)应采取安全技术措施；
b)应减少使用自动化决策处理未成年人个人信息；
c)应进行权限管控及审批记录；
d)应建立未成年人真实身份信息动态识别机制；
e)应对识别为疑似未成年人的用户进行动态核验。
8.2 对未成年人个人信息使用的审计要求
8.2.1 安全技术措施
未成年人个人信息处理者使用未成年人个人信息的，应对未成年人个人信息处理者是否采取加密、
去标识化等安全技术措施进行审计，确保未成年人个人信息处理者在不借助额外信息的情况下，消除或
者降低个人信息的可识别性。
8.2.2 自动化决策
未成年人个人信息自动化决策处理的审计要求包括：
a)除对未成年人身份进行动态核验及适龄化推送目的以外，原则上未成年人个人信息处理者应默认
关闭使用群体画像并需经监护人同意再开启；
b)使用自动化决策处理未成年人个人信息的应事前告知处理未成年人个人信息的种类、涉及的场景
及可能带来的影响；
c)不得通过自动化决策方式向未成年人进行商业营销。
8.2.3 权限管控及审批记录
未成年人个人信息处理的权限管控及审批记录审计要求包括：
a)针对未成年人个人信息的访问应制定严格信息访问权限，控制未成年人个人信息的内部访问范
围。
b)确有必要访问未成年人个人信息的，应当经过相关负责人或者其授权的管理人员审批，记录访问
情况，并采取技术措施，避免违法处理未成年人个人信息。
8.2.4 动态识别机制
未成年人个人信息处理者依法应对用户是否为未成年人进行动态识别的，具体审计要求包括：
a)应建立相关管理制度及技术手段，根据用户使用习惯（登陆时间、使用时长）、发布内容等，依
据具体制度与自动化决策对用户进行动态识别，尽到合理注意义务；
b)对未成年人动态识别机制向未成年人及其监护人进行告知。

6
8.2.5 动态核验机制
若用户被识别为疑似未成年人的，未成年人个人信息处理者应对该用户是否为未成年人进行动态核
验，具体审计要求包括：
a)未成年人个人信息处理者应根据差异化功能场景，提供不同的动态核验措施，具体核验措施包括
但不限于：身份证认证、人脸识别、监护人认证以及符合法律、行政法规或者国家网信部门规定的其他
验证方法。
*注：监护人认证的具体措施包括但不限于，要求用户提供其监护人的联络方式，再通过短信、电
话、邮箱等方式进行监护人身份鉴别；要求监护人拨打免费号码与经过相关知识培训的人员通话；要求
监护人签署动态验证表格，并通过邮箱或电子扫描方式等邮寄；要求用户提供其与监护人手持身份证照
片以证明其监护人已明确知晓未成年人个人信息处理规则并作出单独同意；要求用户提供其家庭户口本
等信息以证明作出单独同意的个人为其合法的监护人。
b)对未成年人动态核验机制向未成年人及其监护人进行告知。
9 未成年人个人信息转移
9.1 未成年人个人信息处理者对未成年人个人信息的转移
未成年人个人信息处理者需严格遵守相关法律法规转移未成年人的个人信息。对未成年人个人信息
处理者的要求包括：
a)应根据接收方进行告知；
b)应根据自身的用户群体取得同意；
c)应根据自身的用户群体自行或者委托第三方机构进行影响评估。
9.2 对未成年人个人信息转移的审计要求
9.2.1 告知义务
应向未成年人告知接收方的名称或者姓名和联系方式；用户为儿童的，应同时向其监护人告知。
9.2.2 同意义务
接收方变更原先处理目的、处理方式的，是否依照法律、行政法规有关规定重新取得个人同意；用
户为儿童的，应同时取得监护人的同意。
9.2.3 影响评估/安全评估
向第三方转移未成年人个人信息的，应当自行或者委托第三方机构进行影响评估/安全评估。
10 未成年人个人信息的存储
10.1 未成年人个人信息处理者对未成年人个人信息的存储
未成年人个人信息处理者需严格遵守相关法律法规存储未成年人的个人信息，应建立未成年人个人
信息存储机制。

7
10.2 对未成年人个人信息存储的审计要求
a)应明确评估具体存储期限，并将该存储期限向未成年人及其监护人进行告知。若存储期限评估确
有困难，应在处理规则中明确存储期限为实现处理目的的最小必要期限，并在达成目的后立即删除。如
存在法律行政法规规定的其他情形，可以延长未成年人个人信息的存储时间。
b)应存储于中华人民共和国境内。
c)应采取去标识化、加密存储等技术手段保证信息安全。
11 未成年人个人信息的删除
11.1 未成年人个人信息处理者对未成年人个人信息的删除
未成年人个人信息处理者需严格遵守相关法律法规删除未成年人的个人信息，应建立未成年人个人
信息删除机制。
11.2 对未成年人个人信息删除的审计要求
a)应在制度层面建立未成年人个人信息删除或匿名化机制；
b)超出未成年人个人信息存储期限后，应对个人信息进行删除或匿名化处理，或者依法停止除存储
和采取必要的安全保障措施之外的处理；
c)未成年人个人信息处理目的已实现、无法实现或者为实现处理目的不再必要，应删除或匿名化处
理个人信息，或者依法停止除存储和采取必要的安全保障措施之外的处理；
d)个人撤回同意的，应对个人信息进行删除或匿名化处理，或者依法停止除存储和采取必要的安全
保障措施之外的处理。
12 未成年人个人信息主体的权利
12.1 未成年人个人信息主体的权利
未成年人个人信息处理者需严格保障法律赋予未成年人的知情、查阅、更正、删除、撤回同意、注
销账户、获取个人信息副本等个人信息主体权利，并便捷的支持未成年人或者其监护人行使。
12.2 对未成年人个人信息主体权利的审计要求
a)应为未成年人及其监护人提供便捷的查阅、复制和删除等个人信息管理功能，不得限制未成年人
或者其监护人的合理请求，或者设置不合理的条件；
b)应保障未成年人及其监护人有权通过电话或在线平台等便捷方式行使权利，并指定专人及时处
理；
c)应在接到权利人申请后15个工作日内处理完成，并对处理过程以及处理结果进行完整记录；
d)拒绝未成年人或其监护人权利请求的，应书面告知申请人并说明理由。
13 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者
若未成年人个人信息处理者属于提供重要互联网平台服务、用户数量巨大、业务类型复杂的，应当
履行以下义务：

8
a）按照国家规定建立健全未成年人个人信息保护合规制度体系，成立主要由外部成员组成的独立
机构对未成年人个人信息保护情况进行监督；
b）遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或者服务提供者处理个人信息
的规范和保护个人信息的义务；
c）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；
d）定期发布个人信息保护社会责任报告，接受社会监督。
14 个人信息安全事件处置
14.1 个人信息安全事件处置基本要求
发生或者可能发生未成年人个人信息泄露、篡改、丢失的，未成年人个人信息处理者应当立即启动
个人信息安全事件应急预案，采取补救措施，及时向网信等部门报告，并按照国家有关规定将事件情况
以邮件、信函、电话、信息推送等方式告知受影响的未成年人及其监护人。
14.2 个人信息安全事件处置审计要求
发生或者可能发生未成年人个人信息泄露、篡改、丢失的，应当审计未成年人个人信息处理者是否
遵循了下列未成年人个人信息安全事件处置的要求。
14.2.1 主动通知
未成年人个人信息处理者发现个人信息处理活动存在较大风险或者发生个人信息安全事件的，应及
时将未成年人个人信息安全事件相关情况通过邮件、推送通知、公告等方式告知受影响的个人信息主体
及其监护人，并向有关主管部门报告。
14.2.2 防止扩散
未成年人个人信息处理者发现未成年人私密信息或者未成年人通过网络发布的个人信息中涉及私
密信息的，应当及时提示，并采取停止传输等必要保护措施，防止信息扩散。
14.2.3 主动报告
未成年人个人信息处理者通过未成年人发布的私密信息发现未成年人可能遭受侵害的，应当立即采
取必要措施保存有关记录，并向公安机关报告。
15 监护人服务平台
15.1 监护人服务平台的基本要求
鼓励未成年人个人信息处理者根据差异化功能场景，设置监护人服务平台，协助监护人做好未成年
人网络保护工作，维护未成年人合法权益。对监护人服务平台的要求包括：
a)监护人可以通过监护人服务平台代为行使未成年人各项个人信息权利；
b)监护人可以通过监护人服务平台代为行使的权利包括知情、查阅、更正、删除、撤回同意、获取
个人信息副本等。

9
15.2 对监护人服务平台的审计要求
若未成年人个人信息处理者设置监护人服务平台，应提供相应的支持和服务，并对监护人服务平台
是否履行下列义务进行审计：
a)监护人服务平台应具有独立页面（如网站、移动互联网应用程序、客户端软件等）向监护人提供
产品或服务，可以设置便捷的交互式页面便于监护人代为行使知情、查阅、更正、删除、撤回同意、获
取个人信息副本等权利；
b)监护人服务平台收集个人信息，应具有独立的处理规则向监护人告知处理个人信息的目的、方式
和范围等，并获得监护人的授权同意；
c)监护人服务平台应保证处理个人信息的目的、方式、范围与告知的个人信息处理规则一致。

10
参考文献
[1] 中华人民共和国未成年人保护法（2024 年4 月26 日第十四届全国人民代表大会常务委员会第
九次会议修正通过）
[2] 中华人民共和国个人信息保护法（2021 年8 月20 日第十三届全国人民代表大会常务委员会第
三十次会议通过）
[3] 中华人民共和国网络安全法（2016 年11 月7 日第十二届全国人民代表大会常务委员会第二十
四次会议通过）
[4] 未成年人网络保护条例（2023 年10 月16 日中华人民共和国国务院令第766 号公布）
[5] 儿童个人信息网络保护规定（2019 年8 月22 日国家互联网信息办公室令第4 号公布）
[6] GB 35273—2020 信息安全技术个人信息安全规范
[7] GB 25069—2022 信息安全技术术语