T/TAF 238.1-2024 未成年人个人信息网络保护要求 第1部分：身份核验

　　团 体 标 准

T/TAF 238.1—2024

未成年人个人信息网络保护要求

第 1 部分：身份核验

Requirements for network protection of personal information of

minors—Part 1: Identification verification

2024-09-02 发布 2024-09-02 实施

电信终端产业协会 发布

前 言

本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

本文件是T/TAF 238《未成年人个人信息网络保护要求》的第1部分。T/TAF 238已经发布了以下部分：

——第1部分： 身份核验;

——第5部分：应急响应保障。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由电信终端产业协会提出并归口。

本文件起草单位：中国信息通信研究院、北京快手科技有限公司、OPPO广东移动通信有限公司、广东小天才科技有限公司、华为终端有限公司、中兴通讯股份有限公司、百度在线网络技术(北京)有限公司、北京微梦创科网络技术有限公司、联想(北京)有限公司、北京卡路里科技有限公司、郑州信大捷安信息技术股份有限公司、广州视源电子科技股份有限公司。

本文件主要起草人：落红卫、谷晨、傅山、刘陶、宫天翔、刘冠廷、冯金金、王嘉义、付艳艳、李腾、佘豪情、潘洁、潘万鹏、郭建领、任资政、刘俊、曹昉赫、刘献伦、肖洋。

引 言

近年来，随着各类技术的迅猛发展，网络已经深刻影响我国未成年生活和学习的方方面面。各类网络产品和服务带来的针对未成年人的个人信息泄露、网络欺凌等事件时有发生，因此，有必要制定标准实现在网络空间保护未成年人的个人信息。T/TAF 238《未成年人个人信息网络保护要求》系列标准旨在落实法律法规要求，指导行业建立健全管理制度和技术保障措施，保障未成年人在网络空间的合法权利，拟由六部分组成。

——第1部分：身份核验。目的在于规范未成年人个人信息网络保护中身份核验的要求，主要包括基本原则、未成年人身份核验要求、身份核验流程、失败的处置措施。

——第2部分：最小必要。目的在于规范网络产品和服务提供者处理未成年人网络活动时的原则要求、必要个人信息范围、监护人拒绝同意下的服务提供方式。

——第3部分：个人权利响应。目的在于规范个人信息处理者响应用户个人权利的要求，包括用户的查阅权、复制权、更正权、删除权等法律法规所要求的用户的合法权利。

——第4部分：合规审计。目的在于规范未成年人个人信息网络保护合规审计规范，主要包括审计目标、审计原则、审计范围、审计管理、审计内容、审计工具功能和审计评估。

——第5部分：应急响应保障。目的在于规范未成年人个人信息泄露、篡改、丢失，或涉及私密信息的安全事件时应当采取的应急响应保障机制。

——第6部分：分发平台。目的在于规范移动互联网应用程序分发服务平台在未成年人个人信息网

络保护方面应满足的审核要求、展示要求、下载要求、管理要求和功能保障要求。

未成年人个人信息网络保护要求 第 1 部分：身份核验

1 范围

本文件规范了未成年人个人信息网络保护中身份核验的要求，主要包括基本原则、未成年人身份核验要求、身份核验流程、失败的处置措施。

本文件适用于规范需要开展身份核验的网络服务提供者处理未成年人网络活动时的身份核验要求，同时也适用于网络服务提供方开展自评估或第三方评估机构开展评估工作。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T 35273-2020 信息安全技术 个人信息安全规范

GB/T 42574-2023 信息安全技术 个人信息处理中告知和同意的实施指南

3 术语和定义

GB/T 25069界定的以及下列术语和定义适用于本文件。

3.1

未成年人 minors

未满十八周岁的公民。

3.2

儿童 child

不满十四周岁的未成年人。

3.3

监护人 guardian

对无民事行为能力人和限制民事行为能力人的人身、财产和其他一切合法权益负有监护职责的人。 3.4

网络直播服务 network live streaming service

基于网络并以视频、音频、图文等形式向公众持续发布实时信息的活动。

3.5

直播发布者 network live streaming publisher

申请并开通网络直播服务的网络直播服务使用者。

4 缩略语

下列缩略语适用于本文件。

APP：移动互联网应用程序(Application)

5 基本原则

未成年人的身份核验应满足以下原则：

a) 合法合规—应根据所提供服务的要求，合法合规的进行身份核验;

b) 最小必要—不应因身份核验而超范围收集或违规收集个人信息;

c) 服务匹配—应根据提供的服务或应用，采用合适的方式进行身份核验。

6 未成年人身份核验要求

未成年人身份核验应满足以下要求：

a) 应制定并公开个人信息处理规则，明确针对用户真实身份信息认证的相关个人信息收集和使用规则;

b) 应制定并公开专门的儿童个人信息保护规则， 明确针对儿童相关身份信息的收集和使用规则等;

c) 为未成年人提供信息发布、即时通讯等服务的网络服务提供者，应对未成年人用户进行基于移动电话号码或身份证件号码等真实身份信息的认证，遵循 7.1或 7.2 的要求;

注：专门供未成年人使用的智能终端产品可遵循相关法律法规规定要求。

d) 网络服务提供者提供的服务要求基于身份证件信息的认证时，应对申请该服务的未成年人进行基于身份证件信息的真实身份信息认证。如提供互联网直播服务的网络服务提供者，应对直播

发布者进行基于身份证件信息的真实身份信息认证，遵循 7.2 的要求;

注：网络服务提供者提供的服务是否要求基于身份证件的认证，通常由相关的法律法规规定。

e) 提供互联网直播服务的网络服务提供者，不应向未满十六周岁的未成年人提供直播发布者账号开通服务;

f) 提供互联网直播服务的网络服务提供者，为年满十六周岁的未成年人提供直播发布者账号开通服务时，应对其监护人进行身份核验和监护关系核验，并征得其监护人的同意。

7 身份核验流程

7.1 基于移动电话号码的真实身份核验流程

当需要对未成年人进行基于移动电话号码的真实身份核验时，流程见图1。

图1 基于移动电话号码的真实身份核验流程图未成年人基于移动电话号码的真实身份核验应满足以下流程：

a) 网络服务提供者根据服务需要，启动真实身份信息核验;

注 1：需要真实身份信息核验的典型服务如 APP 提供信息发布服务、提供即时通讯服务等。

b) 如果判断当前账号是儿童账号，则在征得监护人的同意后进入 c);否则直接进入 c);注2：若APP在确认亲子账号绑定等过程中，已经完成基于移动电话号码的认证，则可以跳过后续的c)d)

c) 获取账号主体的移动电话号码;

d) 完成获取的移动电话号码的核验;

e) 对于通过核验的用户，提供相应服务，如信息发布、即时通讯等;

7.2 基于身份证件的真实身份核验流程

当需要对未成年人进行基于身份证件的真实身份核验时，流程见图2。

图2 基于身份证件的真实身份核验流程图

未成年人基于身份证件的真实身份核验应满足以下流程：

a) 网络服务提供者根据服务需要，启动基于身份证件信息的认证;

b) 如果判断当前账号是儿童账号，则在征得监护人的同意后进入 c);否则直接进入 c);

c) 获取账号主体的身份证件信息;

d) 进行姓名、身份证件号码等信息的核验;

e) 对于通过核验的用户，根据服务要求选择是否需要判断年龄;若不需要判断年龄，则提供相应服务;否则需要根据账号主体的年龄提供相应的服务，或执行进一步的操作，如征得监护人同意，或拒绝提供网络直播发布者服务等。

7.3 监护人身份核验流程

7.3.1 启动

根据不同的服务要求，应在必要时启动对监护人的身份核验，包括但不限于以下情况：

a) 当判断未成年人是儿童，且因为开通信息发布、即时通讯等服务要收集处理儿童个人信息时，应启动监护人的身份核验，用以实现监护人的告知同意;

b) 当为年满 16 周岁的未成年人开通直播发布者账号时，应启动监护人的身份核验，用以征得监护人的同意。

7.3.2 流程

监护人身份核验流程如图 3 所示。

图3 监护人身份核验流程图

监护人身份核验应满足以下要求：

a) 网络服务提供者应以合理的方式将相关信息送达至未成年人的监护人;

b) 网络服务提供者应明确告知监护人将对其进行监护人身份验证，并为其提供拒绝选项;

c) 对于同意进行身份核验的监护人，应进行真实身份信息核验， 以及监护关系的核验。

• 应通过注册账号等方式，对监护人进行基于移动电话号码或身份证件信息的认证。

• 应核验监护关系，如验证监护人是否正确掌握关于未成年人的身份信息，或验证儿童账号是否与监护人账号存在绑定关系;

注：可采用问答方式，当监护人能正确回答相关信息时，认为通过了监护关系验证。

d) 对于通过核验的监护人，提供相应服务; 否则，启动服务失败。

8 失败的处置措施

在未成年人及监护人的身份核验过程中，应满足以下失败处置措施：

a) 在提供信息发布、即时通讯服务时，如未成年人或监护人没有提供移动电话号码或身份证件信息，则不应向未成年人提供信息发布、即时通讯服务;

b) 在提供信息发布、即时通讯服务时，如未成年人没有通过移动电话号码或身份证件信息核验，则不应向未成年人提供信息发布、即时通讯服务;

c) 在提供仅基于身份证件信息进行认证的服务时，如未成年人没有提供身份证件信息，或没有通过身份证件信息核验，则不应向未成年人提供相应服务

注：如未成年人申请开通网络直播发布者账号，当没有通过身份证件信息核验时，则不能开通网络直播发布者账号。

d) 如监护人拒绝进行监护人身份核验，则应删除未成年人实名认证阶段收集的个人信息，并拒绝向未成年人提供相应服务;

e) 如监护人没有通过监护关系核验，则拒绝向未成年人提供相应服务;

f) 如监护人没有通过身份核验，则拒绝向未成年人提供相应服务。