别把报送当填表：未成年人个保审计如何经得起监管核验？

原标题：王凌光等：别把报送当填表：未成年人个保审计如何经得起监管核验？

2025年12月29日，国家互联网信息办公室发布了《关于报送未成年人个人信息保护合规审计情况的公告》（以下简称《公告》），要求处理未成年人个人信息的个人信息处理者于每年1月底前报送上一年度未成年人个人信息保护合规审计情况。《公告》表面上看是一次“报送提示”，实质上是在既有制度基础上，把未成年人个人信息保护从“原则要求”进一步推向“监管核验”：一方面，通过“每年审计、按期报送”的方式，把企业内部的合规自查固定为年度动作；另一方面，通过统一的线上报送渠道与材料结构，将审计结论转化为可被留存、可被抽查、可被交叉验证的合规陈述。

对企业而言，这意味着未成年人个人信息保护不再只是隐私政策上的宣示或制度文本的完备，而是能否经得起监管核验的“证据工程”：你如何识别未成年人、如何取得并证明监护人同意、如何限制商业营销与个性化推荐、如何治理第三方SDK、如何做到最小授权与访问留痕——这些关键控制点是否真实落地，最终都会在年度审计与报送中接受检验。本文将以“制度依据—监管核验—证据工程”的结构，提示企业在报送前后最需要关注的核验逻辑与证据链条搭建要点。

一、制度依据：从义务到节点，从节点到核验

（一）法定义务

未成年人个人信息保护的合规审计与报送义务主要来源于下列规范：

第一，《个人信息保护法》第五十四条规定：“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”同时，该法第二十八条还将不满十四周岁的未成年人的个人信息定义为敏感个人信息，采取更高强度的保护。实践中，企业是否建立了分龄识别机制、是否能有效区分不满十四周岁与十四至十八周岁的用户并在关键环节落实差异化保护，往往是审计与核验的第一道门槛。

第二，《未成年人网络保护条例》第三十七条规定：“个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计，并将审计情况及时报告网信等部门。”该条例将上位法中的“定期合规审计”细化为“每年合规审计”，意在把未成年人个人信息保护从“日常分散管理”升级为“定期集中体检”，并将体检结果纳入监管视野。

第三，《个人信息保护合规审计管理办法》及其配套指引、标准确定了合规审计的流程和方法：一方面明确合规审计是对个人信息处理活动是否遵守法律法规的审查与评价；另一方面提供审计要点与工作方法，便于企业将“合规要求”转换成可执行的审计范围、审计程序与审计底稿。对于未成年人个人信息的使用场景而言，年度审计可以理解为在通用审计框架之下嵌入“未成年人专项模块”。

（二）公告节点

《公告》的制度价值在于把上述法定义务进一步“节点化”。它至少在四个维度给企业划定了清晰的合规坐标：其一，报送主体是“处理未成年人个人信息”的个人信息处理者；其二，报送对象是所在地设区市级网信部门；其三，报送时间为每年1月底前报送上一年度审计情况；其四，报送方式为线上通过统一业务系统提交材料。对企业而言，这四个要素共同构成了可预期、可追踪的年度合规流程：年度审计不是“想起来再做”，报送也不是“可做可不做”，而是具有明确窗口期的合规动作。

（三）证据自洽

需要强调的是，公告将“审计+报送”固定为年度动作后，企业面临的核心挑战并不是把材料上传到系统，而是能否在监管问询甚至抽查核验中证明：报送所呈现的合规结论并非主观判断，而是建立在可复核的证据链条之上，并能与企业对外披露、系统配置、第三方调用、日志记录，以及事件处置与整改闭环相互印证。换言之，报送材料本质上是一组“可被交叉验证的陈述”。以下第二部分将以“监管十问”的方式，拆解报送后最可能被核验的关键问题与对应证据链条。

二、监管十问：报送材料如何经得起监管核验

对企业而言，报送往往不是终点：监管部门更关心的是企业在报送中形成的“合规陈述”是否自洽、能否复核，特别是能否与企业既有对外披露、既往报送以及安全事件处置记录相互印证。以下以“监管十问”的形式，梳理报送后可能面临的核验/问询重点，并为每一问给出建议的“证据链条”，建议企业形成可复用的底稿目录，而非临时拼接材料。

（一）你是否属于报送主体？

关注重点：即便企业“声明不向儿童提供服务”或限制十四周岁以下注册，只要客观上仍可能处理十四至十八周岁用户信息，仍会落入审计与报送范围。

典型错误：仅以“产品定位不是儿童/未成年人”作否定结论；忽视业务场景可合理推断用户为未成年人。

证据链条：

• 用户画像/渠道分析：校园渠道、青少年内容板块、家庭账号等触达证据；
• 年龄相关字段与逻辑：是否收集生日/学段/监护关系，触发规则说明；
• 业务判定备忘录：为何应/不应纳入未成年人审计口径的论证与审批留痕。

（二）如何识别未成年人？

关注重点：未成年人识别在很多情况下采取“可识别性/应当可识别性”的判断，关键在于处理者能否识别、或结合业务场景应当能够识别信息主体为未成年人。

典型错误：只说“我们不知道谁是未成年人”，但同时又收集生日/学籍/监护关系等强识别信息。

证据链条：

• 年龄识别策略：实名认证/年龄校验/风险提示/兜底限制；
• 漏识与误识控制：抽检机制、投诉/人工更正通道；
• 分层处置规则：十四周岁以下与十四至十八周岁不同链路的差异化控制点。

（三）哪些产品、场景、系统纳入审计范围？

关注重点：监管往往先问“你审计覆盖了什么”，再问“为什么没覆盖”。

典型错误：只覆盖主App，不覆盖小程序、H5、线下活动转线上系统、客服/工单、营销后台等“边缘系统”。

证据链条：

• 未成年人相关场景清单：注册登录、内容互动、客服、活动报名、支付与退款等；
• 系统清单与数据流：涉及未成年人信息的系统边界、上下游、接口；
• 处理活动记录切片：从既有处理活动清单中筛出“未成年人维度”处理活动并编号归档。

（四）监护人同意如何取得、如何证明？

关注重点：不是“有没有弹窗”，而是能否证明同意发生在何时、针对哪个告知版本、由谁完成、覆盖哪些处理目的与范围。

典型错误：同意日志不完整；无法回溯同意版本；监护关系不清晰；撤回后仍继续处理。

证据链条：

• 告知与同意界面（含版本号）：弹窗、隐私政策、未成年人个人信息处理规则；
• 同意留痕：时间戳、账号/设备、版本号、同意范围（目的/字段/第三方）；
• 撤回与重新同意机制：撤回后功能降级/停止处理的系统验证证据（穿行测试记录）。

（五）未成年人是否看得懂、监护人能否管得住？

关注重点：未成年人个人信息保护的告知，通常要求更通俗、可理解、适龄表达；监管核验时也更容易从告知材料“直观抽查”。

典型错误：用一份成人版隐私政策打天下，导致信息过长、层级混乱、关键点不突出。

证据链条：

• 分层告知稿：摘要版/弹窗版/完整政策版/未成年人个人信息处理规则；
• 关键事项清单：收集目的、第三方共享、画像/推荐、保存期限、权利行使方式；
• 触达证据：在注册、敏感功能开启、第三方SDK调用前的触发位置与截图。

（六）信息处理是否做到了最小必要？

关注重点：监管可能会关注“字段级的必要性”，是否存在“业务惯性收集”“能不收但仍收”。

典型错误：只给原则性表述，没有字段级论证；保存期限缺失或一律“永久”“长期保存”。

证据链条：

• 字段映射表：字段—目的—合法性基础—保存期限—访问角色；
• 敏感信息识别：健康、位置、影像、身份核验要素等；
• 清理机制：到期删除/匿名化策略及执行日志。

（七）用户画像、个性化推荐等自动化决策是否“踩线”？

关注重点：针对未成年人的用户画像、个性化推荐等自动化决策更为敏感，监管可能会更关注“是否对未成年人做了差异化限制”。

典型错误：口头承诺“不给未成年人推送个性化广告”，但技术上无法区分/无法证明；推荐与风控模型“顺带”用到未成年人标签。

证据链条：

• 未成年人模式/限制策略：功能清单与生效条件（区分年龄）；
• 个性化与广告：对未成年人关闭个性化推荐、限制商业营销触达的配置与日志；
• 自动化决策：是否存在评分/画像/风控自动决策，是否提供退出、解释与人工复核通道。

（八）谁在处理、处理到哪一步、能否约束二次利用？

关注重点：监管可能会从SDK入手核验“实际调用与合同条款是否一致”，以及是否存在“超范围采集/回传”。

典型错误：只有合同，没有“实际字段调用清单”；第三方变更未更新告知与同意；无法证明“不得二次利用”的可执行性。

证据链条：

• SDK/第三方共享清单：第三方名称、联系方式、版本、调用目的、字段、回传路径、开关策略；
• 合同与条款：委托处理/共同处理/独立处理关系界定与责任分配；
• 变更管理：新增SDK的评审记录、告知更新记录、灰度/回滚记录。

（九）最小授权、访问留痕等安全措施和制度是否“可落地”？

关注重点：监管不仅看制度文本，更看权限与日志：谁能看未成年人数据、是否经过审批、能否追溯到具体账号与具体操作。

典型错误：制度写得很全，但权限与日志拿不出来；“谁能看未成年人数据”说不清。

证据链条：

• 权限矩阵：岗位—系统—数据类型—审批链；
• 访问日志样例：可追溯到具体账号的查询/导出/变更记录；
• 安全控制：加密、密钥管理、备份与恢复演练、漏洞整改闭环。

（十）权利保障与事件处置是否“及时、充分、闭环”？

关注重点：未成年人/监护人的查阅、更正、删除、撤回同意等权利如何响应；安全事件如何分级、处置、复盘与整改。

典型错误：权利请求入口难找、流程跑不通；投诉与事件记录与报送口径不一致。

证据链条：

• 权利响应SOP与工单样例：时限、身份核验、处理结论与通知模板；
• 事件处置材料：分级标准、处置记录、复盘报告、整改复测；
• 口径一致性校验：与隐私政策披露、既往相关报送、事件报告信息保持一致。

三、把年度审计做成可复用的证据工程

未成年人个人信息保护的年度审计与报送不仅仅是“年末出一份报告”，而应当理解为：以未成年人相关处理活动为对象，围绕识别、同意、限制使用、第三方治理与安全控制等关键控制点，形成能被复核的证据链条，并在年度节奏下持续更新。实务中，建议从边界、版本、技术、整改四个方面组织证据，既便于内部协同，也便于报送后面对问询时快速调取与解释。

（一）边界：用“两张清单”把审计范围一次讲清

未成年人合规审计最容易在“范围”上失分：要么覆盖过窄，留下明显缺口；要么覆盖泛化，导致证据无法落地。建议以“两张清单”锁定边界，并把“不纳入的理由”写进底稿，而不是临时口头解释。

1. 场景清单：从业务链路定义审计对象

以“未成年人可能触达”为标准，将场景拆分到可核验的颗粒度，例如：注册登录与身份/年龄识别、内容浏览与互动、搜索与推荐、私信/评论、客服与工单、活动报名与线下转线上、支付与退款、风控与反欺诈、运营与商业营销触达等。场景清单的价值在于：一旦监管问到“你审计了哪些场景”，企业可以直接给出编号化的范围说明。

2. 系统清单：从系统边界定义数据流与责任边界

以“涉及未成年人个人信息的系统/组件”为口径，列明主App、小程序、H5、SDK组件、埋点与分析系统、客服工单系统、营销后台、风控系统、内容审核系统、数据仓库与报表等，并标注系统间接口与数据流向。系统清单应当与场景清单一一对应，形成“场景—系统—数据项—责任人”的映射关系。

（二）版本：让“告知与同意”可回溯到“具体版本与具体触发点”

未成年人保护的核验，最直观的抓手往往是告知与同意：监管抽查时不只看“有没有政策”，而是看能否回溯到谁在什么时候看到什么版本、点了什么同意、覆盖哪些目的与范围。因此，版本化管理是证据链条的核心抓手之一。

1. 告知材料版本台账：把“披露”做成可追溯记录

建议对隐私政策、弹窗告知、未成年人/监护人专门规则、功能启用前提示等建立版本号与生效时间台账，并记录触发位置（注册时、首次启用敏感权限时、首次调用某类SDK时、营销触达前等）。

2. 同意日志与版本号绑定：避免“同意发生过但证明不了”

同意留痕应当能够关联告知版本号与同意范围（目的、字段、第三方类别），并保留撤回、重新同意，以及同意失效后的处理逻辑（例如功能降级、停止处理）。对于不满十四周岁场景，还应考虑“监护人同意”与“监护关系校验”的可证明性。

（三）技术：用“可验证的配置与日志”替代口头承诺

未成年人合规最容易出现的问题在于制度写得对、对外也披露了，但系统是否真正限制了相应行为，缺乏可验证证据。建议以技术抓手为主，围绕关键控制点建立“配置—日志—测试”三件套，使合规主张可复核。

1. 关键开关可证明：未成年人模式、营销限制、个性化控制

涉及未成年人模式、个性化推荐开关、商业营销触达限制、广告定向/画像限制，以及自动化决策相关的退出机制等，建议沉淀可截图、可导出的配置证据，并记录变更历史（何时启用、何时调整、为何调整）。

2. 最小授权与访问留痕可证明：谁能看、谁看过、怎么审批

对未成年人数据的访问控制，应当能以权限矩阵说明“哪些岗位/账号可以访问哪些数据”，并以访问日志样例证明“查询/导出/变更”均可追溯到具体账号、时间、对象与操作类型。若存在人工审批或工单机制，应保留审批链条记录。

3. 穿行测试可证明：把关键主张跑一遍

建议对关键链路（识别—同意—使用限制—第三方调用—权利响应）至少做一次穿行测试，形成“测试步骤—预期结果—实际结果—截图/日志证据”的底稿，作为审计报告的核心支撑材料。

（四）整改：“前后可对照、可复测、可追责”的闭环

年度审计一定会发现问题。监管真正关心的不是“你有没有问题”，而是“你如何分级、如何推进、如何证明整改有效”，因而审计的核心是把整改从“计划”变成“可对照的证据”。

1. 问题分级与责任落实：先把“该先改什么”讲明白

建议将问题按影响范围、数据敏感性、是否涉及十四周岁以下、是否涉及第三方扩散等维度分级，并明确责任人、期限、资源依赖与风险缓释措施（例如临时开关、权限收敛）。

2. 整改证据可对照：用“整改前/整改后”证明变化

技术配置、权限策略、告知版本、SDK调用等整改项，尽量形成“前后对照”材料，辅以变更记录、上线记录、审批记录与测试记录。

3. 复测与复盘：让整改结论可复核、可复用

对关键问题完成整改后，应当复测并留底稿；对反复出现或高风险问题，做一次复盘，形成“原因—改进措施—预防机制”，作为下一年度审计的输入。

四、结语

《公告》将未成年人个人信息保护合规审计与报送“节点化”之后，企业真正需要建设的，不是年末突击式的材料拼装，而是贯穿全年、可持续运转的证据化机制：以场景清单和系统清单为边界，以识别与同意为入口控制，以限制使用与第三方治理为重点治理，以最小授权与访问留痕为安全底座，并通过年度审计把上述要点复核、固化。当报送材料能够在监管问询下做到口径一致、证据自洽，企业面对的不仅是一次合规任务的完成，更是未成年人个人信息保护治理能力的自我证明与迭代更新。

特别声明：

大成律师事务所严格遵守对客户的信息保护义务，本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考，不代表大成律师事务所任何立场，亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源。未经授权，不得转载或使用该等文章中的任何内容。

本文作者