团 体 标 准
T/TAF 238.4—2025
未成年人个人信息网络保护要求
第 4 部分:合规审计
Requirements for network protection of personal information of
minors—Part 4: Compliance audit
2025-02-10 发布 2025-02-10 实施
电信终端产业协会 发布
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件是T/TAF 238《未成年人个人信息网络保护要求》的第4部分。T/TAF 238已经发布了以下部分:
——第1部分: 身份核验;
——第2部分:最小必要;
——第3部分:个人权利响应;
——第4部分:合规审计;
——第5部分:应急响应保障;
——第6部分:分发平台管理。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由电信终端产业协会提出并归口。
本文件起草单位:中国信息通信研究院、小米通讯技术有限公司、阿里巴巴(北京)软件服务有限公司、北京快手科技有限公司、北京微梦创科网络技术有限公司、广东小天才科技有限公司、华为终端有限公司、联想(北京)有限公司、OPPO广东移动通信有限公司、荣耀终端股份有限公司、郑州信大捷安信息技术股份有限公司。
本文件主要起草人: 张向拓、黄亚熙、傅山、冯金金、魏凡星、刘艾婧、落红卫、谷晨、任资政、王天、邹庆、周裕亮、许依榕、阮玲宏、刘俊、李汝鑫、李腾、付艳艳、赵晓娜、李辰淑、刘献伦。
引 言
近年来,随着各类技术的迅猛发展,网络已经深刻影响我国未成年生活和学习的方方面面。各类网络产品和服务带来的针对未成年人的个人信息泄露、网络欺凌等事件时有发生,因此,有必要制定标准实现在网络空间保护未成年人的个人信息。T/TAF 238《未成年人个人信息网络保护要求》系列标准旨在落实法律法规要求,指导行业建立健全管理制度和技术保障措施,保障未成年人在网络空间的合法权利,由六部分组成:
——第1部分:身份核验。目的在于规范未成年人个人信息网络保护中身份核验的要求,主要包括基本原则、未成年人身份核验要求、身份核验流程、失败的处置措施。
——第2部分:最小必要。目的在于规范网络产品和服务提供者处理未成年人网络活动时的原则要求、最小必要要求、监护人同意方式、监护人拒绝同意下的服务提供方式。
——第3部分:个人权利响应。 目的在于规范个人信息处理者响应用户个人权利的要求,包括用户的查阅权、复制权、更正权、删除权等法律法规所要求的用户的合法权利。
——第4部分:合规审计。目的在于规范未成年人个人信息网络保护合规审计规范,主要包括审计目标、审计原则、审计范围、审计管理、审计内容、审计工具功能和审计评估。
——第5部分:应急响应保障。目的在于规范未成年人个人信息泄露、篡改、丢失, 或涉及私密信息的安全事件时应当采取的应急响应保障机制。
——第6部分:分发平台管理。 目的在于规范移动互联网应用程序分发服务平台在未成年人个人信
息网络保护方面应满足的审核要求、展示要求、下载要求、管理要求和功能保障要求。
未成年人个人信息网络保护要求 第 4 部分:合规审计
1 范围
本文件规定了未成年人个人信息网络保护合规审计要求,主要包括审计目标、审计原则、审计范围、审计管理、审计内容、审计工具功能和审计评估。
本文件适用于第三方评估机构开展合规审计工作,同时也适用于个人信息处理者自行开展合规审计工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
T/TAF 139—2022 电信和互联网个人信息保护能力审计规范
3 术语和定义
T/TAF 139—2022界定的以及下列术语和定义适用于本文件。
3.1
未成年人个人信息网络保护合规审计 network protection of personal information of minors compliance audit
针对个人信息处理者的未成年人个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。
3.2
隐私政策 privacy policy
说明个人信息处理者处理个人信息规则的文本。
3.3
未成年人 minors
未满十八周岁的公民。
3.4
儿童 children
不满十四周岁的未成年人。
4 概述
4.1 审计目标
未成年人个人信息网络保护合规审计的目标是通过审查、评价个人信息处理者对未成年人个人信息采取保护措施的充分性和有效性,发现未成年人个人信息处理活动的安全问题和合规风险,促进未成年人个人信息合理利用,督促个人信息处理者及时进行整改,规范未成年人个人信息处理活动,提升个人信息处理者对未成年人个人信息的保护水平,切实保障未成年人的个人合法权益。
4.2 审计原则
应符合T/TAF 139—2022关于审计原则的各项要求。
4.3 审计范围
应符合T/TAF 139—2022关于审计范围的各项要求。
4.4 审计框架
应符合T/TAF 139—2022关于审计框架的各项要求。特别地,全生命周期审计内容包括处理个人信息的合法性基础及告知义务、未成年人个人信息权利保障、未成年人个人信息保护主体责任、未成年人真实身份核验和未成年人私密信息保护。
5 审计管理
5.1 审计制度
建立未成年人个人信息保护审计管理制度,宜符合T/TAF 139—2022关于审计制度的要求。特别地,审计的目的应全面围绕识别是否存在未验证未成年人真实身份、强制要求未成年人或其监护人同意非必要的个人信息处理行为、未对未成年人或其监护人的个人信息权利请求及时响应等内外部风险和违规操作行为。
5.2 审计岗位
设立未成年人个人信息保护审计部门或审计岗位,宜符合T/TAF 139—2022关于审计岗位的要求。
5.3 审计人员
个人信息处理者自行开展的审计,可在内部机构设置或选派审计人员,或委托第三方专业机构的审计人员,应符合T/TAF 139—2022关于审计人员的各项要求。
5.4 其他
审计流程、审计内容、审计方法、审计报告、审计问题整改以及审计评估,应符合T/TAF 139—2022的各项要求。
6 全生命周期审计内容
未成年人个人信息网络保护特殊审计内容如下,针对未成年人个人信息处理全生命周期的合规审计方法见附录A。同时, 未成年人个人信息网络保护特殊审计内容应符合T/TAF 238.4其他各部分的各项要求。
6.1 处理个人信息的合法性基础及告知义务
处理个人信息的合法性基础及告知义务要求包括:
a) 基于同意处理不满十四周岁未成年人个人信息的,应当取得未成年人父母或者其他监护人的同意,并同时提供拒绝选项;同时,应当以显著、清晰的方式向其监护人告知法律法规规定应当告知的事项;
b) 基于同意处理已满十四周岁未成年人个人信息的,应当取得未成年人或其父母或者其他监护人的同意;
c) 不得存在强制要求未成年人或者其监护人同意非必要的个人信息处理的行为;
d) 不得存在因未成年人或者其监护人不同意处理未成年人非必要个人信息或者撤回同意,拒绝未成年人使用其基本功能服务的情况。
6.2 未成年人个人信息权利保障
未成年人个人信息权利保障要求包括:
a) 应当建立渠道和机制,及时响应和处理未成年人或者其监护人查阅、复制、更正、补充、删除、转移未成年人个人信息的权利请求,不得存在违规对未成年人或者其监护人的合理请求进行限制、违规设置不合理条件的情况,对于符合国家网信部门规定条件的未成年人或者其监护人提出转移未成年人个人信息的请求,应当提供转移的途径;拒绝未成年人或者其监护人行使权利的请求的,书面告知申请人并说明理由;
b) 针对不满十四周岁未成年人个人信息权益的权利保障,个人信息处理者还需满足以下要求:
1) 停止运营产品或者服务的,应当立即停止收集不满十四周岁未成年人个人信息的活动,删除其持有的不满十四周岁未成年人个人信息,并将停止运营的通知以逐一送达或公告的形式及时告知不满十四周岁未成年人监护人,法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理;
2) 转移不满十四周岁未成年人个人信息的,应当自行或者委托第三方机构进行安全评估;
3) 不得披露不满十四周岁未成年人个人信息,但法律、行政法规规定应当披露或者根据与不满十四周岁未成年人监护人的约定可以披露的除外。
6.3 未成年人个人信息保护主体责任
未成年人个人信息保护主体责任要求包括:
a) 处理不满十四周岁未成年人个人信息的:
1) 应当制定专门的未成年人个人信息处理规则、用户协议,并指定专人负责不满十四周岁未成年人个人信息保护;
2) 处理不满十四周岁未成年人的个人信息前,应当开展个人信息保护影响评估;
3) 传输和存储个人信息时,应当采用加密等安全措施,确保不满十四周岁未成年人个人信息安全。
b) 个人信息处理者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制未成年人个人信息知悉范围,并建立未成年人个人信息访问管理、授权审批以及记录访问情况等制度、流程;
c) 发生或者可能发生未成年人个人信息泄露、篡改、丢失的,个人信息处理者应当立即启动个人信息安全事件应急预案,采取补救措施,及时向网信等部门报告,并按照国家有关规定将事件
情况以邮件、信函、电话、信息推送等方式告知受影响的未成年人及其监护人;难以逐一告知的,应采取合理、有效的方式及时发布相关警示信息,法律、行政法规另有规定的除外。
6.4 未成年人真实身份核验
未成年人真实身份核验要求包括:
a) 为未成年人提供信息发布、即时通讯等服务的,应依法要求未成年人或者其监护人提供未成年人真实身份信息;
b) 网络直播服务提供者应当建立网络直播发布者真实身份信息动态核验机制,不得向不符合法律规定情形的未成年人用户提供网络直播发布服务。
6.5 未成年人私密信息保护
未成年人私密信息保护要求包括:
a) 发现未成年人私密信息或者未成年人通过网络发布的个人信息中涉及私密信息的,个人信息处理者应当及时提示,并采取停止传输等必要保护措施,防止信息扩散;
b) 通过未成年人私密信息发现未成年人可能遭受侵害的,个人信息处理者应当立即采取必要措施保存有关记录,并向公安机关报告。
7 审计工具功能
应符合T/TAF 139—2022关于审计工具功能的各项要求。
8 未成年人个人信息网络保护能力审计评估
应符合T/TAF 139—2022关于审计评估的各项要求。
附 录 A
(资料性)
未成年人个人信息网络保护合规审计内容和审计方法
A.1 概述
本附录A针对未成年人个人信息网络保护全生命周期审计内容中的特殊审计内容和相关审计方法进行说明,其他审计要求和审计方法应当参照一般个人信息保护合规审计相关的法律法规或标准规定。
A.2 处理个人信息的合法性基础
A.2.1 处理不满十四周岁未成年人个人信息的合法性基础
审计内容、审计证据、审计方法包括:
a) 审计内容:基于同意处理不满十四周岁未成年人个人信息的,是否取得不满十四周岁未成年人父母或者其他监护人的同意,并同时提供拒绝选项;
b) 审计证据:征得同意的机制、征得同意的记录、隐私政策、告知同意书、来往邮件等;
c) 审计方法:查验是否建立征得同意的机制、查看个人信息处理者与不满十四周岁未成年人父母或者其他监护人之间的隐私政策、告知同意书、来往邮件等,查验个人信息处理者是否事前取得不满十四周岁未成年人父母或者其他监护人的有效同意。
A.2.2 处理已满十四周岁未成年人个人信息的合法性基础
审计内容、审计证据、审计方法包括:
a) 审计内容:基于同意处理已满十四周岁未成年人个人信息的,是否取得未成年人或其父母或者其他监护人的同意;
b) 审计证据:征得同意的机制、征得同意的记录、隐私政策、告知同意书、来往邮件等;
c) 审计方法:查验是否建立征得同意的机制、查看个人信息处理者与未成年人或其父母或者其他监护人之间的隐私政策、告知同意书、来往邮件等,查验个人信息处理者是否事前取得未成年人或其父母或者其他监护人的有效同意。
A.2.3 不应强制要求未成年人或者其监护人同意非必要的个人信息处理
审计内容、审计证据、审计方法包括:
a) 审计内容:是否存在强制要求未成年人或者其监护人同意非必要的个人信息处理的行为;
b) 审计证据: 隐私政策、业务实际功能说明、技术检测报告等;
c) 审计方法:查看个人信息处理者处理规则是否区分必要个人信息和非必要个人信息,查验收集个人信息的类型、频率、数量、精度等是否存在强制要求。
A.2.4 未成年人或者其监护人不同意或撤回同意,不影响基本功能服务的使用
审计内容、审计证据、审计方法包括:
a) 审计内容:是否存在因为未成年人或者其监护人不同意处理未成年人非必要个人信息或者撤回同意,拒绝未成年人使用其基本功能服务的情况;
b) 审计证据: 隐私政策、业务实际功能说明、技术检测报告等;
c) 审计方法:查验应用是否存在因未成年人或者其监护人不同意处理未成年人非必要个人信息或者撤回同意而拒绝提供基本功能服务的情况。
A.3 个人信息处理者处理不满十四周岁未成年人个人信息的告知义务
审计内容、审计证据、审计方法包括:
a) 审计内容:处理不满十四周岁未成年人个人信息的,是否以显著、清晰的方式向其监护人告知,并告知处理不满十四周岁未成年人个人信息的必要性以及对个人权益的影响;
b) 审计证据: 隐私政策、告知方式、告知文案、能够证明已履行告知义务的技术检测报告等;
c) 审计方法:查验个人信息处理者是否以显著、清晰的方式履行告知义务,并告知处理不满十四周岁未成年人个人信息的必要性以及对个人权益的影响。显著、清晰的方式包括在展示界面中对不满十四周岁未成年人个人信息处理字体加粗、标星号、下划线、斜体、不同颜色等显著提示注意。
A.4 未成年人个人信息权利保障
A.4.1 未成年人个人信息查阅
审计内容、审计证据、审计方法包括:
a) 审计内容:是否提供便捷的支持未成年人或者其监护人查阅未成年人个人信息种类、数量等的方法和途径;是否存在违规对未成年人或者其监护人的合理请求进行限制、违规设置不合理条件的情况;
b) 审计证据:隐私政策、业务实际页面设计、客服电话、在线客服、个人信息保护负责人/机构联系方式、个人信息权利响应机制、客服答复记录等;
c) 审计方法:查看隐私政策,查验是否通过业务实际页面设计、客服电话、在线客服、个人信息保护负责人/机构联系方式等提供便捷的查阅方法和途径;查验个人信息权利响应机制、客服答复记录等是否存在违规对未成年人或者其监护人的合理请求进行限制、违规设置不合理条件的情况。
A.4.2 未成年人个人信息复制、更正、补充、删除
审计内容、审计证据、审计方法包括:
a) 审计内容:是否提供便捷的支持未成年人或者其监护人复制、更正、补充、删除未成年人个人信息的功能;是否存在违规对未成年人或者其监护人的合理请求进行限制、违规设置不合理条件的情况;
b) 审计证据: 隐私政策、业务实际页面设计、个人信息权利响应机制、客服答复记录等;
c) 审计方法:查看隐私政策,查验业务实际页面设计是否提供便捷的权利行使功能;查验个人信息权利响应机制、客服答复记录等是否存在违规对未成年人或者其监护人的合理请求进行限制、违规设置不合理条件的情况。
A.4.3 及时受理并处理未成年人个人信息行权申请
审计内容、审计证据、审计方法包括:
a) 审计内容:是否及时受理并处理未成年人或者其监护人查阅、复制、更正、补充、删除未成年人个人信息的申请,拒绝未成年人或者其监护人行使权利的请求的,书面告知申请人并说明理由;
b) 审计证据:个人信息权利响应机制、客服答复记录等;
c) 审计方法:查验个人信息权利响应机制、客服答复记录等是否及时受理并处理个人行使权利的申请;拒绝个人行使权利的请求的,是否书面告知申请人并说明理由。
A.4.4 未成年人个人信息转移
审计内容、审计证据、审计方法包括:
a) 审计内容:对于符合国家网信部门规定条件的未成年人或者其监护人提出转移未成年人个人信息的请求,是否提供转移的途径;
b) 审计证据: 隐私政策、业务实际页面设计、个人信息权利响应机制、客服答复记录等;
c) 审计方法:查看隐私政策,查验业务实际页面设计是否提供便捷的权利行使功能;查验是否建立了针对转移请求的个人信息权利响应机制,查验客服答复记录等是否提供转移的途径。
A.4.5 主动删除未成年人个人信息
审计内容、审计证据、审计方法包括:
a) 审计内容:个人信息处理者停止运营产品或者服务的,是否立即停止收集不满十四周岁未成年人个人信息的活动,删除其持有的不满十四周岁未成年人个人信息,并将停止运营的通知以逐一送达或公告的形式及时告知不满十四周岁未成年人监护人,法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理;
b) 审计证据:个人信息删除机制、个人信息删除记录、系统日志、告知记录等;
c) 审计方法:查验停止运营产品或者服务的,是否停止收集不满十四周岁未成年人个人信息的活动,删除其持有的不满十四周岁未成年人个人信息,并将停止运营的通知以逐一送达或公告的形式及时告知不满十四周岁未成年人监护人。
A.4.6 转移不满十四周岁未成年人个人信息的安全评估义务
审计内容、审计证据、审计方法包括:
a) 审计内容:转移不满十四周岁未成年人个人信息的,是否自行或者委托第三方机构进行安全评估;
b) 审计证据: 安全评估记录、安全评估报告等;
c) 审计方法:查看安全评估记录及报告,查验是否已自行或者委托第三方机构进行安全评估。 A.4.7 不得违法违规披露不满十四周岁未成年人个人信息
审计内容、审计证据、审计方法包括:
a) 审计内容:是否存在违法违规披露不满十四周岁未成年人个人信息的情况;
b) 审计证据:隐私政策、与不满十四周岁未成年人监护人合同或约定说明、业务实际页面设计等;
c) 审计方法:查看隐私政策、与不满十四周岁未成年人监护人合同或约定说明,查验业务实际页面设计是否存在违法违规披露不满十四周岁未成年人个人信息的情况。
A.5 未成年人个人信息保护主体责任
A.5.1 制定专门的未成年人个人信息处理规则
审计内容、审计证据、审计方法包括:
a) 审计内容:处理不满十四周岁未成年人个人信息的,是否制定专门的未成年人个人信息处理规则、用户协议,并指定专人负责不满十四周岁未成年人个人信息保护;
b) 审计证据:未成年人个人信息处理规则、用户协议、个人信息管理制度等;
c) 审计方法:查看是否已制定专门的未成年人个人信息处理规则、用户协议;查验个人信息管理制度、人员履职和考核的评价记录,是否已指定专人负责不满十四周岁未成年人个人信息保护。
A.5.2 开展个人信息保护影响评估
审计内容、审计证据、审计方法包括:
a) 审计内容:处理不满十四周岁未成年人个人信息前,个人信息处理者是否开展个人信息保护影响评估;
b) 审计证据:个人信息保护影响评估报告;
c) 审计方法:查看个人信息处理者在处理不满十四周岁未成年人个人信息前开展个人信息保护影响评估的记录,查验个人信息处理者在处理不满十四周岁未成年人个人信息前是否开展了个人信息保护影响评估。
A.6 内部安全措施和操作规程
A.6.1 传输和存储不满十四周岁未成年人个人信息应采取的安全措施
审计内容、审计证据、审计方法包括:
a) 审计内容:传输和存储不满十四周岁未成年人个人信息时,是否采用加密等安全措施;
b) 审计证据:加密等技术文档、采取加密措施的效果(例如,加密算法、加密传输和加密存储的效果)等;
c) 审计方法:查看技术文档等技术措施要求;核查存储和传输不满十四周岁未成年人个人信息的数据库,抽查验证数据字段内容是否按照要求进行保护。
A.6.2 设定未成年人个人信息的访问限制
审计内容、审计证据、审计方法包括:
a) 审计内容:工作人员是否以最小授权为原则,严格设定信息访问权限,控制未成年人个人信息知悉范围;
b) 审计证据:个人信息管理制度、权限管理策略、新增特权账号情况、权限审批流程和记录、日志记录等;
c) 审计方法:查看个人信息管理制度、权限管理策略是否明确以最小授权为原则,严格设定信息访问权限;核查业务系统的用户角色配置、权限设置、新增特权账号情况、权限审批流程和记录、 日志记录,是否控制未成年人个人信息被知悉的范围。
A.6.3 未成年人个人信息的访问审批及访问记录
审计内容、审计证据、审计方法包括:
a) 审计内容:工作人员访问未成年人个人信息的,是否经过相关负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施;
b) 审计证据: 审批记录、日志记录、技术文档等;
c) 审计方法:查看审批记录、日志记录、技术文档等,访问未成年人个人信息是否经过相关负责人或者其授权的管理人员审批,核查记录访问情况,并采取技术措施。
A.7 未成年个人信息安全事件应急响应处置
审计内容、审计证据、审计方法包括:
a) 审计内容:发生或者可能发生未成年人个人信息泄露、篡改、丢失的,是否立即启动个人信息安全事件应急预案,采取补救措施,及时向网信等部门报告,并按照国家有关规定将事件情况以邮件、信函、电话、信息推送等方式告知受影响的未成年人及其监护人;难以逐一告知的,是否采取合理、有效的方式及时发布相关警示信息,法律、行政法规另有规定的除外;
b) 审计证据:个人信息安全事件应急管理制度、个人信息安全事件应急预案、操作流程、事件处置记录/事件处置方案和演练记录等;
c) 审计方法:查看有关文档或记录,查验是否按照应急预案对未成年人个人信息安全事件进行响应和处置;查验相关记录文档,个人信息处理者是否采取补救措施并向网信等部门报告,向受影响的未成年人及其监护人告知;访谈有关人员, 了解事件的真实性和处置情况。
A.8 未成年人真实身份核验
审计内容、审计证据、审计方法包括:
a) 审计内容:为未成年人提供信息发布、即时通讯等服务前,是否要求未成年人或者其监护人提供未成年人真实身份信息,是否对未成年人真实身份信息进行核验;对于网络直播服务提供者,是否建立网络直播发布者真实身份信息动态核验机制;
b) 审计证据:业务实际页面设计、未成年人真实身份信息验证机制、未成年人真实身份信息记录、网络直播发布者真实身份动态核验机制等;
c) 审计方法:查验业务实际页面设计是否设置有具备未成年人真实身份核验功能的信息收集项(例如,要求提供手机号);查验是否建立未成年人真实身份信息的验证机制,验证机制包括但不限于通过设置对于智力、知识等存在一定要求的题库要求用户回答的形式对用户的心智和年龄进行判断、核验;查看核验未成年人真实身份信息记录;查验网络直播服务提供者是否建立有网络直播发布者真实身份信息动态核验机制,包括但不限于要求网络直播发布者提供身份证号,是否通过抽查巡检直播内容等方式对网络直播发布者的身份进行动态核验、判断。
A.9 未成年人私密信息保护
A.9.1 防止未成年人私密信息扩散的保护措施
审计内容、审计证据、审计方法包括:
a) 审计内容:发现未成年人私密信息或者未成年人通过网络发布的个人信息中涉及私密信息的,是否及时提示,并采取停止传输等必要保护措施, 防止信息扩散;
b) 审计证据:个人信息管理制度、监测发现机制、事件处置记录/事件处置方案和演练记录等;
c) 审计方法:查看个人信息管理制度是否规定私密信息保护流程,查验监测发现机制是否可识别未成年人私密信息或者未成年人通过网络发布的个人信息中涉及私密信息;查验事件处置记录,个人信息处理者是否对此及时提示,并采取停止传输等必要保护措施, 防止信息扩散。
A.9.2 通过未成年人私密信息发现未成年人可能遭受侵害的处理措施
审计内容、审计证据、审计方法包括:
a) 审计内容:通过未成年人私密信息发现未成年人可能遭受侵害的,是否立即采取必要措施保存有关记录,并向公安机关报告;
b) 审计证据:个人信息管理制度、监测发现机制、事件处置记录等;
c) 审计方法:查看个人信息管理制度是否规定私密信息保护流程,查验监测发现机制是否可以识别未成年人私密信息;查验事件处置记录,个人信息处理者发现未成年人可能遭受侵害的,是否立即采取必要措施保存有关记录,并向公安机关报告
评论