在前面兩篇文章的介紹中，我們已經對于個保合規審計的概念定義、審計周期、審計內容等有了基本的了解。本文將聚焦個保合規審計中常見的特殊場景——未成年人個人信息特殊要求、敏感個人信息特殊要求，為個人信息處理者開展個人信息保護合規審計提供參考。

0 1

未成年人個人信息有何特殊要求？

（1）審計周期

根據《未成年人網絡保護條例》、GB/T 46903—2025《數據安全技術 個人信息保護合規審計要求》，處理未成年人個人信息的個人信息處理者應每年對其處理未成年人個人信息遵守法律、行政法規的情況進行合規審計，并將審計情況及時報告網信等部門。

（2）重點審查事項

依據GB/T 46903—2025《數據安全技術 個人信息保護合規審計要求》，對未成年人個人信息進行合規審計時重點審查事項主要包括：

一是是否制定專門的個人信息處理規則。專門的個人信息處理規則主要是指個人信息處理者的個人信息處理規則和產品中是否有制定專門的不滿十四周歲未成年人個人信息處理規則并予以發布。

二是是否向不滿十四周歲未成年人及其監護人告知不滿十四周歲未成年人個人信息的處理目的、處理方式、處理必要性及處理個人信息的種類、所采取的保護措施等，法律、行政法規規定不需要告知的除外。

三是基于個人同意處理個人信息的，是否存在強制要求不滿十四周歲未成年人或者其監護人同意處理非必要個人信息的行為。強制要求是指收集個人信息的類型、頻率、數量、精度等為非必要，未成年人或其監護人不同意處理或撤回統一處理未成年人非必要個人信息時，拒絕向未成年人提供產品或服務。

從上述審查內容可以看出，未成年人個人信息合規審計具備特殊且嚴格的要求。由于未成年人身心尚未成熟，個人信息一旦泄露或被濫用，極易造成嚴重且不可逆的身心傷害。因此，相比普通個人信息，相關法律法規與標準在規則制定、告知同意、必要性限制等方面設定了更高標準的合規要求與更全面的審查事項，體現了更強的保護強度。

0 2

敏感個人信息有何特殊要求？

（1）定義及類別

根據《個人信息保護法》，敏感個人信息是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息。通常包括生物識別信息、宗教信仰信息、特定身份信息、醫療健康信息、金融賬戶信息、行蹤軌跡信息，以及不滿十四周歲未成年人的個人信息。

（2）重點審查事項

依據GB/T 46903—2025《數據安全技術 個人信息保護合規審計要求》，對敏感個人信息進行合規審計時重點審查事項主要包括：

一是處理敏感個人信息前是否取得個人的單獨同意。單獨同意指個人針對其個人信息進行特定處理而專門作出具體、明確的同意。

二是處理不滿十四周歲未成年人的個人信息，事前是否取得未成年人的父母或者其他監護人的同意。

三是處理敏感個人信息的目的、方式、范圍是否合法、正當、必要。比如僅為履行法定職責或提供核心服務所必需，采取加密、權限管控等安全措施，收集和使用范圍符合最小必要原則，未超目的、超范圍、超期限處理等。

四是在處理敏感個人信息前是否進行個人信息保護影響評估。個人信息保護影響評估指針對個人信息處理活動，檢驗其合法合規程度，判斷其對個人信息主體合法權益造成損害的各種風險，以及評估用于保護個人信息主體的各項措施有效性的過程。

五是是否向個人告知處理敏感個人信息的必要性以及對個人權益的影響，法律、行政法規規定應當保密或者不需要告知的除外。這里所指法律、行政法規規定應當保密或者不需要告知的情形可參見《個保法》第十八條以及第三十五條。

六是法律、行政法規規定應當取得書面同意的，是否取得書面同意。比如在廣告中使用他人名義或者形象、通過指定網絡通道送達某些類型的訴訟文書等。

最后，應遵守法律、行政法規對處理敏感個人信息的限制性規定。

從上述審查內容可以看出，針對敏感個人信息開展的合規審計，在同意規則、告知要求、風險評估、安全措施、限制條件等方面均設置了更為嚴格的審查標準。由于敏感個人信息一旦泄露、非法提供或者濫用，極易危害人身財產安全、人格尊嚴或導致歧視性后果，與普通個人信息相比權益風險更高、影響更重大，因此法律與標準層面均對其處理活動提出更嚴的合規要求、更高的保護強度、更全的審查事項，相關合規審計的專業性和嚴謹性也更為突出。

綜上所述，未成年人個人信息與敏感個人信息作為個保合規審計中的兩大特殊場景，均設定了嚴于普通個人信息的合規要求與審查標準。對于未成年人個人信息，法律強調制定專門處理規則、強化告知義務、嚴格必要性限制，并要求每年開展專項審計；對于敏感個人信息，則突出單獨同意、書面同意、個人信息保護影響評估、目的正當性與必要性審查等核心管控點。兩類場景均體現出“風險越高、保護越嚴”的立法導向，對個人信息處理者的合規能力提出了更高要求，也意味著相關合規審計工作需具備更強的專業性與嚴謹性。

來源：公安部網絡安全等級保護中心