T/TAF 238.3-2025 未成年人个人信息网络保护要求 第3部分：个人权利响应

　　团 体 标 准

T/TAF 238.3—2025

未成年人个人信息网络保护要求

第 3 部分：个人权利响应

Requirements for network protection of personal information of

minors—Part 3：Individual rights response

2025-02-10 发布 2025-02-10 实施

电信终端产业协会 发布

前 言

本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

本文件是T/TAF 238《未成年人个人信息网络保护要求》的第3部分。T/TAF 238已经发布了以下部分：

——第1部分： 身份核验;

——第2部分：最小必要;

——第3部分：个人权利响应;

——第4部分：合规审计;

——第5部分：应急响应保障;

——第6部分：分发平台管理。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由电信终端产业协会提出并归口。

本文件起草单位： 中国信息通信研究院、广东小天才科技有限公司、OPPO广东移动通信有限公司、北京快手科技有限公司、北京微梦创科网络技术有限公司、荣耀终端股份有限公司、新华三技术有限公司、阿里巴巴(北京)软件服务有限公司、华为终端有限公司、上海合合信息科技股份有限公司、广州视源电子科技股份有限公司。

本文件主要起草人：周裕亮、许依榕、傅山、冯金金、刘陶、李腾、付艳艳、落红卫、谷晨、任资政、邹庆、赵晓娜、李辰淑、李培、刘艾婧、阮玲宏、廖超豪、宋宏宇、肖洋。

引 言

近年来，随着各类技术的迅猛发展，网络已经深刻影响我国未成年生活和学习的方方面面。各类网络产品和服务带来的针对未成年人的个人信息泄露、网络欺凌等事件时有发生，因此，有必要制定标准实现在网络空间保护未成年人的个人信息。T/TAF 238《未成年人个人信息网络保护要求》系列标准旨在落实法律法规要求，指导行业建立健全管理制度和技术保障措施，保障未成年人在网络空间的合法权利，由六部分组成：

——第1部分：身份核验。目的在于规范未成年人个人信息网络保护的要求，主要包括基本原则、未成年人身份核验要求、身份核验流程、失败的处置措施。

——第2部分：最小必要。目的在于规范网络产品和服务提供者处理未成年人网络活动时的原则要求、必要个人信息范围、监护人拒绝同意下的服务提供方式。

——第3部分：个人权利响应。目的在于规范个人信息处理者响应用户个人权利的要求，包括用户的查阅权、复制权、更正权、删除权等法律法规所要求的用户的合法权利。

——第4部分：合规审计。目的在于规范未成年人个人信息网络保护合规审计规范，主要包括审计目标、审计原则、审计范围、审计管理、审计内容、审计工具功能和审计评估。

——第5部分：应急响应保障。目的在于规范未成年人个人信息泄露、篡改、丢失， 或涉及私密信息的安全事件时应当采取的应急响应保障机制。

——第6部分：分发平台管理。目的在于规范移动互联网应用程序分发服务平台在未成年人个人信

息网络保护方面应满足的审核要求、展示要求、下载要求、管理要求和功能保障要求。

未成年人个人信息网络保护要求 第 3 部分：个人权利响应

1 范围

本文件主要针对个人信息处理者响应用户个人权利的要求，包括用户的查阅权、复制权、更正权、删除权等法律法规所要求的用户的合法权利。

本文件适用于规范个人信息处理者响应未成年人个人信息主体权利的要求，同时也适用于网络产品和服务提供者开展自评估或第三方评估机构开展评估工作。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

T/TAF 210.2—2024 移动互联网应用程序保障个人权利实施指南 第2部分： 复制权

3 术语和定义

下列术语和定义适用于本文件。

3.1

未成年人 minors

未满十八周岁的公民。

3.2

监护人 guardian

对无民事行为能力人和限制民事行为能力人的人身、财产和其他一切合法权益负有监护职责的人。 3.3

个人信息处理者 personal information handler

在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

[来源：《中华人民共和国个人信息保护法》 ]

3.4

个人信息 personal information

以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

[来源：《中华人民共和国个人信息保护法》 ]

3.5

敏感个人信息 sensitive personal information

一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

[来源：《中华人民共和国个人信息保护法》 ]

3.6

匿名化 anonymization

个人信息经过处理无法识别特定自然人且不能复原的过程。

[来源：《中华人民共和国个人信息保护法》 ]

4 个人权利响应基本要求

4.1 概述

依据《未成年人网络保护条例》要求，个人信息处理者应保障未成年人的个人信息主体权利，提供能够查阅、复制、更正、补充、删除等未成年人个人信息的方法。

4.2 时效性

在受理未成年人或其监护人个人信息权利请求后，宜在承诺时限内(不超过15个工作日)完成核验和处理。

4.3 便捷性

个人信息处理者满足以下要求：

a) 应向未成年人或其监护人提供便捷的个人权利响应的访问入口，如采用交互式页面提供产品或服务的，宜在产品或服务内直接提供路径便于个人信息主体行使其查阅、复制、更正、删除的权利;

b) 对未成年人或其监护人的合理请求，不宜收取费用;如未成年人或其监护人在一定时间内的请求过于频繁或响应成本较高，经协商后，个人信息处理者可提供其他响应方式或收取一定成本费用;

c) 如决定不响应未成年人或其监护人的请求，应告知未成年人或其监护人拒绝的理由;

d) 当自然人死亡后，个人信息处理者应提供其近亲属为了自身的合法、正当利益请求查阅、复制、更正、删除死者相关个人信息的渠道，死者生前另有安排的除外。

注：可要求请求者提供请求实现逝者个人信息权利的理由以及身份证明材料、逝者死亡证明材料、其与逝者的关系证明等合法性证明材料。

4.4 对等性

个人权利响应过程如需要进行身份核验，要求未成年人或其监护人提供的个人信息类型不应多于注册、使用等服务环节已收集的个人信息类型。

5 查阅权

个人信息处理者应满足以下要求：

a) 应提供未成年人或其监护人查询或访问未成年人的个人信息的方式，例如通过产品或服务内直接查询个人信息或通过个人信息处理提供的联系方式进行查询;

b) 应提供便捷的方式供未成年人或其监护人查询或访问隐私政策，并且进入主界面后，不得多于

4 次点击操作就能访问到隐私政策;

c) 如未成年人或其监护人在行使查阅权过程中遇到任何问题，个人信息处理者应提供包括但不限于电子邮件、书面申请等其他方式保障未成年人或其监护人进行查阅。

6 复制权

个人信息处理者满足以下要求：

a) 未成年人或其监护人如要求个人信息处理者提供未成年个人信息副本，个人信息处理者应在承诺时间内完成;

b) 未成年人或其监护人要求复制的个人信息中既有自己的个人信息，也有其他自然人的个人信息，应满足 T/TAF 210.2—2024 第 6.3 章的 c)要求。

c) 宜在产品或服务内提供个人信息副本下载途径，包括但不限于通过复制文本、图片等途径。

7 更正、补充权

个人信息处理者应提供途径满足未成年人或其监护人更正、补充其未成年人个人信息的请求，例如产品或服务内提供路径直接更正信息，未成年人或其监护人通过邮件等方式联系个人信息保护处理者进行更正等。

8 删除权

个人信息处理者应满足以下要求：

a) 未成年人或其监护人注销账户，个人信息处理者应对该未成年人个人信息进行删除或匿名化处理。法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理;

b) 个人信息处理者应提供注销账户或删除未成年人个人信息的途径，如产品或服务相关功能页面;

c) 个人信息处理者应提供邮件等方式供未成年人或其监护人联系并申请删除个人信息。

参 考 文 献

[1] 《中华人民共和国个人信息保护法》

[2] 《未成年人网络保护条例》