《未成年人个人信息网络保护要求 第4部分：合规审计》.doc

TAF-WG4AS0001-V1.0.0

PAGEII

团体标准

T/TAF238.4-XXXX

未成年人个人信息网络保护要求

第4部分：合规审计

Requirementsfornetworkprotectionofpersonalinformationofminors—Part4:Complianceaudit

XXXX-XX-XX发布

XXXX-XX-XX实施

电信终端产业协会发布

ICS33.030

CCSM21

T/TAF238.4-XXXX

PAGE11

未成年人个人信息网络保护要求第4部分：合规审计

范围

本文件规定了未成年人个人信息网络保护合规审计要求，主要包括审计目标、审计原则、审计范围、审计管理、审计内容、审计工具功能和审计评估。

本文件适用于第三方评估机构开展合规审计工作，同时也适用于个人信息处理者自行开展合规审计工作。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

T/TAF139—2022电信和互联网个人信息保护能力审计规范

术语和定义

T/TAF139—2022界定的以及下列术语和定义适用于本文件。

未成年人个人信息网络保护合规审计networkprotectionofpersonalinformationofminorscomplianceaudit

针对个人信息处理者的未成年人个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。

隐私政策privacypolicy

说明个人信息处理者处理个人信息规则的文本。

未成年人minors

未满十八周岁的公民。

儿童children

不满十四周岁的未成年人。

概述

审计目标

未成年人个人信息网络保护合规审计的目标是通过审查、评价个人信息处理者对未成年人个人信息采取保护措施的充分性和有效性，发现未成年人个人信息处理活动的安全问题和合规风险，促进未成年人个人信息合理利用，督促个人信息处理者及时进行整改，规范未成年人个人信息处理活动，提升个人信息处理者对未成年人个人信息的保护水平，切实保障未成年人的个人合法权益。

审计原则

应符合T/TAF139—2022关于审计原则的各项要求。

审计范围

应符合T/TAF139—2022关于审计范围的各项要求。

审计框架

应符合T/TAF139—2022关于审计框架的各项要求。特别地，全生命周期审计内容包括处理个人信息的合法性基础及告知义务、未成年人个人信息权利保障、未成年人个人信息保护主体责任、未成年人真实身份核验和未成年人私密信息保护。

审计管理

审计制度

建立未成年人个人信息保护审计管理制度，宜符合T/TAF139—2022关于审计制度的要求。特别地，审计的目的应全面围绕识别是否存在未验证未成年人真实身份、强制要求未成年人或其监护人同意非必要的个人信息处理行为、未对未成年人或其监护人的个人信息权利请求及时响应等内外部风险和违规操作行为。

审计岗位

设立未成年人个人信息保护审计部门或审计岗位，宜符合T/TAF139—2022关于审计岗位的要求。

审计人员

个人信息处理者自行开展的审计，可在内部机构设置或选派审计人员，或委托第三方专业机构的审计人员，应符合T/TAF139—2022关于审计人员的各项要求。

其他

审计流程、审计内容、审计方法、审计报告、审计问题整改以及审计评估，应符合T/TAF139—2022的各项要求。

全生命周期审计内容

未成年人个人信息网络保护特殊审计内容如下，针对未成年人个人信息处理全生命周期的合规审计方法见附录A。同时，未成年人个人信息网络保护特殊审计内容应符合T/TAF238.4其他各部分的各项要求。

处理个人信息的合法性基础及告知义务

处理个人信息的合法性基础及告知义务要求包括：

基于同意处理不满十四周岁未成年人个人信息的，应当取得未成年人父母或者其他监护人的同意，并同时提供拒绝选项；同时，应当以显著、清晰的方式向其监护人告知法律法规规定应当告知的事项；

基于同意处理已满十四周岁未成年人个人信息的，应当取得未成年人或其父母或者其他监护人的同意；

不得存在强制要求未成年人或者其监护人同意非必要的个人信息处理的行为；

不得存在因未成年人或者其监护人不同意处理未成年人非必要个人信息或者撤回同意，拒绝未成年人使用其基本功能服务的情况。

未成年人个人信息权利保障

未成年人个人信息权利保障要求包括：

应当建立渠道和机制，及时响应和处理未成年人或者其监护人查阅、复制、更正、补充、删除、转移未成年人个人信息