文章总结： 本文聚焦个人信息保护合规审计中的两大特殊场景：未成年人个人信息与敏感个人信息的审计要求。针对未成年人信息，强调每年专项审计、制定专门处理规则、强化告知义务及必要性限制；针对敏感信息，重点审查单独同意、影响评估、目的正当性及安全措施。文档指出两类场景均体现’风险越高保护越严’原则，要求审计工作具备更高专业性与严谨性。 综合评分： 85 文章分类： 政策法规,数据安全,安全建设,合规审计,个人信息保护

个人信息保护合规审计 | （三）个保合规审计特殊场景如何审?

公安部网络安全等级保护中心

2026年4月16日 13:16 上海

在小说阅读器读本章

去阅读

在前面两篇文章的介绍中，我们已经对于个保合规审计的概念定义、审计周期、审计内容等有了基本的了解。本文将聚焦个保合规审计中常见的特殊场景——未成年人个人信息特殊要求、敏感个人信息特殊要求，为个人信息处理者开展个人信息保护合规审计提供参考。

01

未成年人个人信息有何特殊要求？

（1）审计周期

根据《未成年人网络保护条例》、GB/T 46903—2025《数据安全技术 个人信息保护合规审计要求》，处理未成年人个人信息的个人信息处理者应每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计，并将审计情况及时报告网信等部门。

（2）重点审查事项

依据GB/T 46903—2025《数据安全技术 个人信息保护合规审计要求》，对未成年人个人信息进行合规审计时重点审查事项主要包括：

一是是否制定专门的个人信息处理规则。专门的个人信息处理规则主要是指个人信息处理者的个人信息处理规则和产品中是否有制定专门的不满十四周岁未成年人个人信息处理规则并予以发布。

二是是否向不满十四周岁未成年人及其监护人告知不满十四周岁未成年人个人信息的处理目的、处理方式、处理必要性及处理个人信息的种类、所采取的保护措施等，法律、行政法规规定不需要告知的除外。

三是基于个人同意处理个人信息的，是否存在强制要求不满十四周岁未成年人或者其监护人同意处理非必要个人信息的行为。强制要求是指收集个人信息的类型、频率、数量、精度等为非必要，未成年人或其监护人不同意处理或撤回统一处理未成年人非必要个人信息时，拒绝向未成年人提供产品或服务。

从上述审查内容可以看出，未成年人个人信息合规审计具备特殊且严格的要求。由于未成年人身心尚未成熟，个人信息一旦泄露或被滥用，极易造成严重且不可逆的身心伤害。因此，相比普通个人信息，相关法律法规与标准在规则制定、告知同意、必要性限制等方面设定了更高标准的合规要求与更全面的审查事项，体现了更强的保护强度。

02

敏感个人信息有何特殊要求？

（1）定义及类别

根据《个人信息保护法》，敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。通常包括生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息，以及不满十四周岁未成年人的个人信息。

（2）重点审查事项

依据GB/T 46903—2025《数据安全技术 个人信息保护合规审计要求》，对敏感个人信息进行合规审计时重点审查事项主要包括：

一是处理敏感个人信息前是否取得个人的单独同意。单独同意指个人针对其个人信息进行特定处理而专门作出具体、明确的同意。

二是处理不满十四周岁未成年人的个人信息，事前是否取得未成年人的父母或者其他监护人的同意。

三是处理敏感个人信息的目的、方式、范围是否合法、正当、必要。比如仅为履行法定职责或提供核心服务所必需，采取加密、权限管控等安全措施，收集和使用范围符合最小必要原则，未超目的、超范围、超期限处理等。

四是在处理敏感个人信息前是否进行个人信息保护影响评估。个人信息保护影响评估指针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。

五是是否向个人告知处理敏感个人信息的必要性以及对个人权益的影响，法律、行政法规规定应当保密或者不需要告知的除外。这里所指法律、行政法规规定应当保密或者不需要告知的情形可参见《个保法》第十八条以及第三十五条。

六是法律、行政法规规定应当取得书面同意的，是否取得书面同意。比如在广告中使用他人名义或者形象、通过指定网络通道送达某些类型的诉讼文书等。

最后，应遵守法律、行政法规对处理敏感个人信息的限制性规定。

从上述审查内容可以看出，针对敏感个人信息开展的合规审计，在同意规则、告知要求、风险评估、安全措施、限制条件等方面均设置了更为严格的审查标准。由于敏感个人信息一旦泄露、非法提供或者滥用，极易危害人身财产安全、人格尊严或导致歧视性后果，与普通个人信息相比权益风险更高、影响更重大，因此法律与标准层面均对其处理活动提出更严的合规要求、更高的保护强度、更全的审查事项，相关合规审计的专业性和严谨性也更为突出。

综上所述，未成年人个人信息与敏感个人信息作为个保合规审计中的两大特殊场景，均设定了严于普通个人信息的合规要求与审查标准。对于未成年人个人信息，法律强调制定专门处理规则、强化告知义务、严格必要性限制，并要求每年开展专项审计；对于敏感个人信息，则突出单独同意、书面同意、个人信息保护影响评估、目的正当性与必要性审查等核心管控点。两类场景均体现出“风险越高、保护越严”的立法导向，对个人信息处理者的合规能力提出了更高要求，也意味着相关合规审计工作需具备更强的专业性与严谨性。

我所等保中心作为国内首批获得个人信息保护合规审计服务认证证书的机构，完全具备按照国家监管要求开展个人信息保护合规审计工作的技术能力、业务体系、管理机制、专业团队和服务能力，能够针对各行业、各场景提供标准化、专业化的个人信息保护合规审计及其他相关服务。

联系人：吴老师

联系电话：18611766635

END

关注我们 更多精彩

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：公安部网络安全等级保护中心 《个人信息保护合规审计 | （三）个保合规审计特殊场景如何审?》