现行基准: 网络安全法(2017)+ 数据安全法(2021)+ 个人信息保护法(2021)
未成年人数据保护
最后更新:2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念:个人信息保护 | Cookie合规与用户追踪 | 算法合规
核心法条
- 《个人信息保护法》第 28 条:不满十四周岁未成年人的个人信息属于敏感个人信息 [现行有效]
- 《个人信息保护法》第 31 条:处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意;应当制定专门的个人信息处理规则 [现行有效]
- 《未成年人保护法》第 72 条:信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当、必要原则 [现行有效]
- 《未成年人保护法》第 74 条:网络产品和服务提供者不得向未成年人提供诱导其沉迷的产品和服务 [现行有效]
- 《未成年人网络保护条例》(国令第 766 号,2024 年 1 月 1 日起施行):未成年人网络保护的综合性行政法规 [现行有效]
- 《儿童个人信息网络保护规定》(国家互联网信息办公室令第 4 号,2019 年 10 月 1 日起施行):14 周岁以下儿童信息保护专门规定 [现行有效]
规则沿革
| 时间节点 | 变化内容 | 依据来源 |
|---|---|---|
| 2019-10-01 | 《儿童个人信息网络保护规定》施行,首次以部门规章形式确立儿童信息保护规则 | 网信办令第 4 号 |
| 2020-06-01 | 《未成年人保护法》修订,新增"网络保护"专章 | 十三届全国人大常委会第二十二次会议 |
| 2021-11-01 | 《个人信息保护法》施行,不满 14 周岁未成年人信息明确为敏感个人信息 | 现行有效 |
| 2022-09-01 | 《未成年人网络保护条例(征求意见稿)》发布 | 国务院法制办公开征求意见 |
| 2024-01-01 | 《未成年人网络保护条例》正式施行,系统性构建未成年人网络保护制度框架 | 国令第 766 号 |
一、未成年人个人信息的特殊法律地位
1.1 敏感个人信息定性
《个保法》第 28 条明确规定:不满十四周岁未成年人的个人信息一律属于敏感个人信息。这是法定分类,不以具体场景或数据内容为转移。
法律后果:
- 无论处理何种类型的数据(哪怕是姓名、学号等一般信息),只要信息主体是未满 14 周岁的未成年人,即触发敏感个人信息的严格保护规则
- 需满足单独同意、影响评估、特别保护措施等全部敏感个人信息处理要求
1.2 适用范围与年龄界限
| 年龄段 | 法律地位 | 法律依据 |
|---|---|---|
| 不满 14 周岁 | 儿童/未成年人,个人信息一律为敏感信息 | 《个保法》第 28 条 |
| 14-18 周岁 | 未成年人,但不自动适用敏感个人信息规则 | 《未成年人保护法》第 2 条 |
| 已满 18 周岁 | 成年人,适用一般个人信息保护规则 | 《民法典》第 17 条 |
实务提示:对于 14-18 周岁未成年人的个人信息,虽不自动归类为敏感个人信息,但实践中仍应从严掌握(部分观点主张参照敏感个人信息规则处理)。
二、监护人同意机制
2.1 同意主体
《个保法》第 31 条及《儿童个人信息网络保护规定》第 9 条:
- 同意主体为父母或其他监护人
- 不得以未成年人本人同意替代监护人同意
- 信息处理者应当采取合理措施验证同意是否确系监护人作出
2.2 告知要求
《儿童个人信息网络保护规定》第 10 条要求向监护人告知:
- 存储地点和期限
- 使用方式和范围
- 安全保护措施的
- 监护人权利的行使方式和程序
2.3 同意验证的实务挑战
- 远程验证困难:在纯线上场景中,如何识别同意人是否为真实监护人
- 技术验证方式:可采用身份认证服务、人脸识别、支付验证等方式
- 合理措施标准:法律要求"合理"而非绝对准确,但处理者应持续优化验证方式
三、专门保护规则
3.1 专门处理规则制定义务
《个保法》第 31 条:处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
这意味着:
- 通用隐私政策不足以覆盖未成年人数据处理
- 须以未成年人(或其监护人)为对象,单独制定隐私保护政策
- 内容应当包括专门的信息收集范围、使用目的、保护措施、监护人权利
3.2 最小必要原则的强化
针对未成年人的个人信息处理,须遵循更严格的最小必要原则:
- 收集环节:不得以未成年人不同意收集非必要个人信息为由拒绝提供基本功能
- 使用环节:不得向未成年人推送可能影响其身心健康的产品和服务
- 算法环节:不得利用算法推荐等自动化决策对未成年人实施不当行为引导
3.3 网络沉迷防护
《未成年人网络保护条例》对"防沉迷"作出专门规定:
- 网络游戏、直播、音视频、社交等网络服务提供者应当设置未成年人模式
- 对未成年人使用服务设置相应的时间管理、权限管理、消费管理等功能
- 网络平台不得在每日 22 时至次日 8 时向未成年人提供网络游戏服务(防沉迷规定)
四、未成年人数据的特殊处理场景
4.1 教育类 App
- 教育类 App 强制备案机制:教育 App 需在教育主管部门和网信部门备案
- 学生信息处理规则:教育机构应当制定专门的信息保护制度
- 学校-家长-服务提供商三方关系:明确各自责任边界
- 学习数据的再利用禁止:未经监护人同意,不得将学生学习数据用于其他目的(如精准营销)
4.2 未成年人人脸识别
涉及未成年人人脸识别信息的处理,须同时满足:
- 属于敏感个人信息中的生物识别信息(双重敏感性)
- 取得监护人的单独同意
- 进行个人信息保护影响评估
- 不得以人脸识别作为未成年人身份验证的唯一方式
4.3 未成年人数据跨境
未成年人个人信息出境属于高度敏感场景:
- 适用一般个人信息出境规则(安全评估/认证/标准合同三选一)
- 同时触发敏感个人信息出境的更严格要求
- 在风险评估中须特别考虑境外接收方对未成年人数据的保护能力
五、未成年人网络保护综合框架
5.1 《未成年人网络保护条例》核心制度
《未成年人网络保护条例》(2024)构建了以下核心制度:
| 制度 | 内容 | 针对对象 |
|---|---|---|
| 网络素养促进 | 家庭、学校、社会、网络服务提供者的教育义务 | 全社会 |
| 网络信息内容规范 | 防止违法和不良信息传播,设置适合模式 | 内容平台 |
| 个人信息网络保护 | 专门隐私政策、监护人同意、最小必要 | 信息处理者 |
| 网络沉迷防治 | 未成年人模式、时间/消费管理 | 游戏/直播平台 |
5.2 网络平台责任
条例赋予平台以下具体责任:
- 身份核验:应当要求未成年人或其监护人真实身份信息进行注册和核验
- 内容过滤:对可能影响未成年人身心健康的内容进行过滤和限制
- 投诉机制:建立便捷的未成年人权益投诉举报渠道
- 社会责任报告:部分大型平台应定期发布未成年人网络保护社会责任报告
六、违法风险与法律责任
6.1 行政责任
| 法律依据 | 违法情形 | 处罚幅度 |
|---|---|---|
| 《个保法》第 66 条 | 违法处理未成年人个人信息 | 最高 5000 万元或上年度营业额 5% |
| 《儿童个人信息网络保护规定》 | 未制定专门规则、未取得监护人同意等 | 责令改正、警告、罚款 |
6.2 民事责任
- 侵害未成年人个人信息权益的,监护人可代为提起民事诉讼
- 检察院可提起个人信息保护领域的公益诉讼
6.3 刑事责任
违法收集、出售未成年人个人信息,可能构成:
- 侵犯公民个人信息罪(《刑法》第 253 条之一):涉及儿童信息的,从重处罚
- 利用未成年人个人信息实施其他犯罪的,数罪并罚
知识库原始资料索引
法律法规
- 中华人民共和国个人信息保护法/_个人信息保护法_适用要点解读.md)
- 中华人民共和国未成年人保护法
- 儿童个人信息网络保护规定
学术研究
- 法学论坛:宋英辉 最有利于未成年人原则在少年审判中的适用
- 关注未成年人司法保护
司法实践
- 最高人民法院发布:加强新时代未成年人审判工作的意见
- 两高两部关于未成年人犯罪记录封存的实施办法