未成年人个人信息合规审计标准.pdfVIP

未成年人个人信息合规审计标准

1范围

本文件规定并提供了开展收集、存储、使用等未成年人个人信息处理活动应遵循的原则、安

全要求以及合规审计要点。

本文件适用于指导未成年人个人信息处理者进行未成年人个人信息保护。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引

用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修

改版）适用于本文件。

GB/T25069信息安全技术术语

GB/T35273信息安全技术个人信息安全规范

3术语和定义

GB/T25069和GB/T35273界定的以及下列术语和定义适用于本文件。

3.1

未成年人Minors

未满十八周岁的公民。

3.2

儿童Children

不满十四周岁的未成年人。

3.3

未成年人个人信息PersonalInformationofMinors

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定未成年人身份或者反映特

定未成年人活动情况的各种信息。

3.4

监护人Guardian

对无民事行为能力人和限制民事行为能力人的人身、财产和其他一切合法权益负有监护和保

护职责的人。

6

3.5

个人信息处理者PersonalInformationProcessor

有权决定个人信息处理目的、方式等的组织或个人。

3.6

未成年人个人信息处理者MinorsPersonalInformationProcessor

有权决定未成年人个人信息处理目的、方式等的组织或个人。

4审计方式

未成年人个人信息处理者应当自行或者委托专业机构对其处理未成年人个人信息遵守法律、

行政法规的情况进行合规审计，并将审计情况及时报告网信等部门。

5未成年人个人信息合规审计制度

5.1未成年人个人信息合规审计基本要求

a)法律法规及行业标准要求

个人信息处理者开展未成年人个人信息处理活动，除应满足《个人信息保护法》、《数据安

全法》、《网络安全法》、《未成年人网络保护条例》以及《儿童个人信息网络保护规定》等法

律规定外，还应遵循GB/T35273信息安全技术个人信息安全规范等相关规定。

b)审计原则

未成年人个人信息保护合规审计应遵循合法性、独立性、客观性、全面性、公正性、保密性

原则。

c)专项要求

未成年人个人信息处理者宜对其开展的未成年人个人信息处理活动进行单独审计。

未成年人个人信息处理者也可以在一般个人信息保护合规审计中纳入未成年人个人信息保护

审计内容，但应当具有相对的独立性。

d)审计周期

未成年人个人信息处理者应当每年对其开展的未成年个人信息处理活动进行审计工作。

5.2未成年人个人信息合规审计流程

未成年人个人信息保护合规审计通常包括审计准备、审计实施、审计报告、问题整改、归档

管理等阶段。

a)审计准备阶段

审计准备阶段包括建立审计组、开展审前调查、确定审计方式方法、编制和评审审计方案等。

7

b)审计实施阶段

审计实施阶段包括发送审计通知、收集审计证据、采信审计证据、撰写审计底稿和确认审计

发现等。

c)审计报告阶段

审计实施阶段包括异议解决、撰写审计报告、交付审计报告等。

d)问题整改阶段

审计人员应对审计中发现的不合规项进行跟踪，督促被审计方在规定期限内整改。必要时，

审计人员可对整改措施的完成情况及有效性进行跟踪审计。

e)归档管理阶段

未成年人个人信息处理者和第三方专业机构应妥善保管个人信息保护合规审计底稿、报告等

档案资料。

5.3未成年人个人信息合规审计证据

未成年人个人信息处理者应保证提供的审计证据真实、完整、有效，并满足以下要求：

a)管