为未成年人个人信息提供全方位保护 - 网安 - 专业的网络安全产业、社区、知识平台

近日，国务院公布《未成年人网络保护条例》（以下简称《条例》）。《条例》共七章六十条，除“总则”和“附则”外，包括网络素养促进、网络信息内容规范、个人信息网络保护、网络沉迷防治和法律责任，自2024年1月1日起施行。

从《条例》的立法目的看，主要涉及两大内容：一是营造有利于未成年人身心健康的网络环境；二是保障未成年人合法权益。《条例》第四章专章规定了未成年人“个人信息网络保护”，强化了对未成年人个人信息的保护，是《网络安全法》和《个人信息保护法》的重要配套性法规。

确立未成年人真实身份信息验证制度

《条例》规定，网络服务提供者为未成年人提供信息发布、即时通信等服务的，应当依法要求未成年人或者其监护人提供未成年人真实身份信息。

这项规定包含两项内容：一是要求具备完全行为能力的未成年人本人提供真实身份信息。根据我国《民法典》的规定，十六周岁以上的未成年人，以自己的劳动收入为主要生活来源的，视为完全民事行为能力人；二是要求限制民事行为能力或无行为能力的未成年人的监护人提供未成年人真实身份信息。如果未成年人或者其监护人不提供未成年人真实身份信息的，网络服务提供者不得为未成年人提供相关服务。

不得处理未成年人的非必要个人信息

所谓“必要个人信息”是指一旦缺少这些必要的信息，将导致网络产品或服务无法实现或无法正常运行。目前，一些网络产品或服务，特别是移动互联网应用程序存在强制一揽子授权、过度索权、超范围收集个人信息的情形，尤其是违法违规使用个人信息的问题十分突出。

《条例》明确提出两项禁止性规定：一是不得强制要求未成年人或者其监护人同意非必要的个人信息处理行为；二是不得因为未成年人或者其监护人不同意处理未成年人非必要个人信息或者撤回同意，拒绝未成年人使用其基本功能服务。针对不同意处理个人信息，网络产品和服务拒绝提供服务的情形，《条例》的上位法《个人信息保护法》也明确规定，个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务。

未成年人或其监护人行使个人信息权利的法律保障

我国《个人信息保护法》确立的个人信息权的行使，主要指个人信息处理者在对自然人的个人信息进行收集、存储、使用、加工、传输、提供、公开、删除过程中，自然人个人所享有的请求权，这种请求权是一种消极权利，大部分是包括排除个人信息的处理者违法侵害的消极请求权。

《条例》规定，在未成年人或者其监护人依法请求查阅、复制、更正、补充、删除未成年人个人信息的时候，个人信息处理者应当遵守三项规定：一是提供便捷的支持未成年人或者其监护人查阅未成年人个人信息种类、数量等的方法和途径，不得对未成年人或者其监护人的合理请求进行限制；二是提供便捷的支持未成年人或者其监护人复制、更正、补充、删除未成年人个人信息的功能，不得设置不合理条件；三是要及时受理并处理未成年人或者其监护人查阅、复制、更正、补充、删除未成年人个人信息的申请，如果拒绝未成年人或者其监护人行使权利的请求，应当书面告知申请人并说明理由。

未成年人个人信息安全事件的应急处置机制

《条例》第三十五条规定，发生或者可能发生未成年人个人信息泄露、篡改、丢失的，个人信息处理者应当立即启动个人信息安全事件应急预案，采取补救措施，及时向网信等部门报告，并按照国家有关规定将事件情况以邮件、信函、电话、信息推送等方式告知受影响的未成年人及其监护人。

该条有四层意思：一是网络产品或服务提供者应针对未成年人的个人信息安全制定紧急预案；二是在发生未成年人个人信息安全事件时（包括但不限于泄露、篡改、丢失等），应当依法立即启动应急预案；三是采取最有效的应急处置措施，采取补救措施，防止危害扩大，特别是要消除安全隐患，同时要及时向网信等部门报告；四是要按照国家有关规定将事件情况以邮件、信函、电话、信息推送等方式告知受影响的未成年人及其监护人，这主要是为了让未成年人及其监护人了解个人信息安全事件的真相，并及时采取自我保护的措施。

严格限制对未成年人个人信息的知悉范围

根据《个人信息保护法》的规定，不满十四周岁未成年人的个人信息属于“敏感个人信息”，“敏感个人信息”是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息。

《条例》严格限制个人信息处理者对未成年人个人信息知悉范围。首先，个人信息处理者对其工作人员应当以最小授权为原则，最小授权原则是指个人信息处理者将其工作人员处理未成年人个人信息的权限降至最低，即满足其实体工作所需的最低权限；其次，严格设定信息访问权限，个人信息处理者应该实施分级访问控制制度，并要经过相关负责人或者其授权的管理人员审批，以确保被授权的员工访问所需要的未成年人信息，同时要记录访问情况；最后，要采取技术措施，切实避免违法处理未成年人的个人信息，比如对未成年人个人信息进行加密，确保加密后的信息只能在严格动态授权的环境下处理。

严格执行未成年人个人信息的合规审计制度

《条例》规定，个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计，并将审计情况及时报告网信等部门。

关于未成年人个人信息的合规审计，一般应在年度结束时，对其处理未成年人个人信息的合规活动进行审计，审计的主体可以选择内部审计，也可以委托外部专业机构审计。在年度实施必要合规审计程序后，应及时将未成年人个人信息保护合规审计报告报送网信等部门。未成年人个人信息保护合规审计报告应当由本单位履行未成年人保护的合规审计负责人或第三方专业机构负责人签字，并加盖本单位或专业机构公章。

根据《条例》的要求，审计的内容主要是遵守法律、行政法规的情况，涉及的法律主要包括《未成年人保护法》《网络安全法》《个人信息保护法》等，涉及的行政法规主要指《未成年人网络保护条例》。

在审计处理限制行为能力和无行为能力的未成年人个人信息时，应当重点审查以下三项内容：首先，个人信息处理者是否制定专门的未成年人个人信息处理规则；其次，是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性及处理个人信息的种类、所采取的保护措施等；最后，是否存在强制要求未成年人或者其监护人同意非必要的个人信息处理的行为。