2026年儿童个人信息保护操作规范

2026/06/092026年儿童个人信息保护操作规范汇报人：数据合规部儿童个人信息保护的政策背景监管升级态势核心法律依据从单点执法转向体系化治理，合规要求从文本合规升级为技术合规专项行动启动2026年4月，中央网信办、工信部、公安部联合发布个人信息保护专项行动公告，教育领域列为重点治理对象敏感信息界定不满十四周岁未成年人个人信息被明确界定为敏感个人信息，处理标准显著提高五大违规焦点专项行动聚焦五大违规问题：规则缺失、过度收集、第三方共享违规、人脸识别滥用、管理制度缺失《个人信息保护法》第28条处理未成年人信息需取得监护人同意并制定专门规则《未成年人网络保护条例》每年开展合规审计并报送网信部门《儿童个人信息网络保护规定》设置专门保护规则并指定专人负责儿童个人信息的界定与分级儿童个人信息：以电子或其他方式记录的能够单独或与其他信息结合识别儿童身份的各种信息敏感个人信息类别：生物识别、医疗健康、行踪轨迹、金融账户等，以及不满十四周岁未成年人信息信息类别典型示例保护等级身份信息姓名、身份证号、出生日期高敏感生物识别人脸、指纹、声纹、虹膜极敏感学籍信息学校、年级、班级、成绩高敏感家庭信息家长姓名、联系方式、住址中敏感行为数据上网记录、位置轨迹、设备ID中敏感分级处理原则：高敏感信息需采取加密存储、去标识化处理、严格访问控制监护人同意机制的操作规范以显著、清晰的方式告知监护人：处理规则、目的、方式、种类、保存期限、保护措施提供监护人拒绝选项，确保同意可随时撤销针对不同年龄段儿童采取差异化同意方式年龄段同意要求特殊限制不满6周岁监护人单独同意禁止使用生物识别信息6-14周岁监护人同意+儿童知情需提供儿童个人信息处理影响说明书14-18周岁监护人同意优先可逐步引入儿童自主同意机制同意记录保存：同意时间、方式、内容、监护人身份信息需完整记录并保存至信息删除后三年信息收集的最小必要原则收集范围限定严格限于实现处理目的的最小范围，不得超出约定范围收集信息不得强制要求儿童提供非必要个人信息不得因儿童不同意收集非必要信息而拒绝提供核心业务功能必要范围判断标准与产品或服务的核心功能直接相关无法通过其他方式实现相同目的收集的信息类型和数量与目的相匹配禁止收集场景在无关场景收集位置、通讯录、短信等信息超出最低必要频率调用个人信息权限收集与教育服务无关的家庭财产、职业背景等信息信息存储与安全保护措施存储管理规范在中国境内存储儿童个人信息，确需跨境传输需通过国家网信部门安全评估保存期限为实现处理目的所必要的最短时间，超期后删除或匿名化处理建立数据分类分级目录，明确重要数据具体范围技术保护措施采取加密存储、去标识化处理、访问控制等技术手段定期开展安全评估，委托第三方处理需进行安全评估并签署协议发生泄露需立即采取补救措施并按规定告知监护人和网信部门管理制度要求建立个人信息保护管理制度，明确各部门职责分工设立儿童隐私专员或指定专人负责定期对员工开展儿童个人信息保护专项培训信息共享与第三方提供规范共享限制原则未经监护人单独同意，不得向任何其他组织或个人共享、转让儿童个人信息经过匿名化处理的信息可例外，但需确保匿名化效果不可复原第三方提供流程向监护人告知第三方名称、联系方式、处理目的、方式、种类取得监护人单独同意后方可提供与第三方签署协议，明确其保护义务和责任禁止共享场景与第三方广告商合作进行精准营销与商业机构共享用于产品推广向非合作必要方提供学习进度、健康数据等敏感信息人脸识别技术的应用限制14周岁儿童特殊限制年龄分界不满6周岁儿童，教育类APP禁止使用生物识别信息不满14周岁儿童，人脸识别需取得监护人单独同意并提供拒绝选项应用边界划定非人脸识别技术方式可实现验证身份时，不得将人脸识别作为唯一验证方式需落实人脸识别技术应用安全管理相关要求安全评估要求使用前需进行个人信息保护影响评估评估内容：处理目的合法性、对个人权益影响、泄露风险及危害、保护措施有效性替代方案建议：优先采用账号密码、短信验证码、家长陪同验证等非生物识别方式合规审计与监管应对审计义务要求处理未成年人个人信息的主体每年开展合规审计处理超100万条儿童个人信息，每两年至少审计一次审计情况需及时报告网信等部门审计内容覆盖个人信息处理活动是否遵守法律法规儿童个人信息保护规则是否健全安全保护措施是否有效监护人同意机制是否合规监管应对准备建立个人信息安全投诉举报渠道提供有效注销用户账号功能准备应对监管抽测和执法检查的合规材料典型违规案例警示儿童个人信息保护已从行政处罚升级为刑事打击，合规失职成本显著上升江苏阳光食堂平台数据泄露案千万条学生信息被倒卖，运维负责人被刑拘多地教育机构过度收集信息被通报过度收集家长身份证号、职业等信息被整改校外培训机构信息泄露被处罚向第三方提供信息未履行告知义务被处罚50条敏感信息或500条普