合规岗最怕接到的任务之一,就是“把咱们的隐私政策加上未成年人条款”。
法条散落在五六个文件里——《个人信息保护法》第31条、《未成年人网络保护条例》第31到36条、《儿童个人信息网络保护规定》第9、11、12条……每条都要求“专门规则”“监护人同意”,但没人告诉你到底该怎么写。
今天直接给你一套模板框架。逐段标注哪些是法定固定条款(改了就违规),哪些需要根据企业业务情况填空。 拿过去改改,基本能用。
一、先搞清楚:你需要写几份?
在动笔之前,先判断你的企业需要写什么样的未成年人隐私政策,而不是直接套模板。
| 情况 | 做法 | 依据 |
|---|---|---|
| 产品可能被儿童(不满14周岁)使用 | 必须设置专门的儿童个人信息保护规则 | 《儿童个人信息网络保护规定》第8条 |
| 产品主要面向14-18周岁用户 | 可在主隐私政策中设“未成年人特别提示”章节 | 实践中常见做法 |
| 产品完全不涉及未成年人 | 声明“不面向未成年人提供服务” | 需确保有年龄识别机制 |
判断标准:问自己一个问题——“我的产品会不会被14岁以下的孩子用到?” 如果答案是“有可能”,就需要写专门的未成年人/儿童隐私政策。教育类App、儿童手表、在线学习平台属于目标用户就是未成年人的情况,必须单独制定;社交媒体、电商平台、游戏、短视频属于目标用户是成年人但未成年人可能使用的情况,至少需要设置未成年人保护专章。
⚠️ 常见误区:很多企业以为“我的产品不面向未成年人”就可以免责。但监管的逻辑是:只要你实际处理了未成年人个人信息,就要履行全部合规义务。如果产品没有设置年龄识别机制,就等于默认“可能是”——那就需要写。
二、模板框架:逐段拆解
以下模板按段落顺序排列。每段标注了 【固定条款】 或 【需填空】。固定条款来自法条原文,基本不能动;填空部分根据企业实际情况修改。
标题与版本信息(固定格式)
text
未成年人(含儿童)隐私政策更新日期:【2026】年【X】月【X】日生效日期:【2026】年【X】月【X】日填写说明:更新日期填写政策发布或修订日期,生效日期建议与更新日期一致,或延后3-7天给用户缓冲期。
第一段:适用范围与定义
【固定条款】
本政策适用于【产品/服务名称】处理未成年人个人信息的活动。根据《中华人民共和国民法典》第十七条,不满十八周岁的自然人为未成年人。其中,不满十四周岁的未成年人的个人信息,属于敏感个人信息,受本政策特殊保护。
【需填空】
【产品/服务名称】由【公司全称】(以下简称“我们”)运营。我们的注册地址为【地址】,联系方式为【邮箱/电话】。
⚠️ 为什么这段重要:很多企业直接照搬通用隐私政策的开头,漏掉了“不满14岁=敏感信息”这个法定定性。一旦被审计或监管问询,这是第一个会被检查的点。
第二段:年龄分层声明(关键!必须写)
这是最容易被忽略但最重要的部分。
【固定条款】
根据《儿童个人信息网络保护规定》,我们将不满14周岁的未成年人视为儿童。
对于不满14周岁的用户:我们将按照敏感个人信息的要求处理其个人信息,并适用本政策中的“儿童”条款。
对于14-18周岁的用户:我们将按照一般未成年人保护要求处理其个人信息。
【需填空】
如您发现我们在未事先获得监护人同意的情况下收集了未成年人个人信息,请通过本政策“联系我们”章节的渠道告知我们,我们会设法尽快删除。
💡 实操提示:如果企业产品完全不面向14周岁以下用户,可在这段话后增加:“原则上我们的产品/服务不直接面向14周岁以下儿童,如您未满14周岁,请在监护人陪同下使用。”参考智慧中小学的表述:“若我们识别到您的被监护人为不满14周岁的儿童时,我们将根据相关法律法规采取保护措施。”
第三段:监护人同意声明
【固定条款】
处理不满十四周岁未成年人个人信息的,我们将征得其父母或其他监护人的同意。监护人有权拒绝同意或撤回同意。撤回同意不影响撤回前基于同意已进行的个人信息处理活动的合法性。
【需填空】
我们通过以下方式验证监护人身份:
【方式一:如发送验证短信至监护人手机】
【方式二:如要求上传监护人身份证件】
【方式三:如在线视频验证】
监护人可通过以下方式行使权利:【邮箱/电话/在线表单链接】
⚠️ 这段是核心中的核心。《个人信息保护法》第31条、《儿童个人信息网络保护规定》第9条都明确要求:处理不满14岁儿童信息,必须取得监护人明示同意。很多企业只在隐私政策里写一句“我们会在必要时征得监护人同意”,但没有说明怎么验证监护人身份。这在审计中会被判定为“形式合规、实质不合规”。
验证强度参考:
| 场景 | 验证强度 |
|---|---|
| 目标用户就是未成年人的(教育类等) | 高强度验证(身份证+短信验证码) |
| 目标用户是成年人但可能有未成年人使用的(社交/电商等) | 声明条款+事后响应机制 |
第四段:我们收集哪些未成年人个人信息
【固定条款】
我们仅在实现产品或服务功能所必需的范围内,收集未成年人个人信息。我们不会收集与所提供产品或服务无关的个人信息。我们不会将未成年人个人信息用于以下用途:
向未成年人推送个性化广告
利用算法对未成年人进行自动化决策
【需填空】
根据您使用的具体功能,我们可能收集以下信息:
| 功能场景 | 收集的信息类型 | 收集目的 | 是否必要 |
|---|---|---|---|
| 账号注册 | 【如:昵称、手机号】 | 【如:创建账号】 | 是/否 |
| 【功能2】 | 【信息类型】 | 【目的】 | 是/否 |
| 【功能3】 | 【信息类型】 | 【目的】 | 是/否 |
💡 实操要点:
这张表是合规审计的重点检查对象。每一行都要能回答“为什么必须收集这个信息”。如果答不上来,就删掉。
最后那句“不会用于”非常重要。《可能影响未成年人身心健康的网络信息分类办法》(2026年3月1日施行)明确要求不得利用算法推荐向未成年人推送不良信息。在隐私政策中写明“不做什么”,比只写“做什么”更能体现合规诚意。
记住《未成年人网络保护条例》第31条的原则:不得采集与其提供服务无关的个人信息。
第五段:个人信息的共享、转让与委托处理
【固定条款】
未经监护人同意,我们不会向第三方提供未成年人个人信息,法律法规另有规定的除外。我们委托第三方处理未成年人个人信息的,将对受托方进行安全评估,签署委托协议,明确双方责任。
【需填空】
我们可能在以下场景中与第三方共享未成年人个人信息:
| 第三方名称 | 共享目的 | 共享信息类型 | 安全措施 |
|---|---|---|---|
| 【合作方A】 | 【目的】 | 【信息类型】 | 【措施】 |
| 【云服务商】 | 数据存储 | 【信息类型】 | 加密传输+存储 |
如无第三方共享场景,可写:我们不会将未成年人个人信息共享给任何第三方。
📌 法条出处:《儿童个人信息网络保护规定》第16条要求,向第三方转移儿童个人信息前必须进行安全评估。这不是“建议做”,而是“必须做”。SDK列表是合规审计的高频检查项,2026年新规要求必须在隐私政策中逐项列明。
第六段:个人信息的存储与安全
【固定条款】
我们采取加密存储、访问控制、安全审计等技术措施保护未成年人个人信息安全。我们遵循最小授权原则,严格设定工作人员的信息访问权限,控制未成年人个人信息知悉范围。
【需填空】
存储地点:【境内/如涉及跨境需单独说明】
存储期限:【实现目的所必要的最短时间】
安全措施:【如:AES-256加密、RBAC权限管理、日志审计等】
🔍 审计检查点:合规审计会重点检查“最小授权”是否落地——你能不能证明访问未成年人个人信息的工作人员都经过审批?有没有访问日志?如果答不上来,赶紧补。“采取加密措施存储儿童个人信息”是《儿童个人信息网络保护规定》第13条的明确要求,“指定专人负责”也是该规定第8条的硬性要求。
第七段:监护人与未成年人的权利
【固定条款】
监护人和未成年人有权查阅、复制、更正、删除其个人信息。我们将在十五个工作日内响应上述请求。监护人有权要求我们停止处理未成年人个人信息。
【需填空】
行使权利的方式:
邮箱:【privacy@xxx.com】
电话:【400-xxx-xxxx】
在线表单:【链接】
如对我们的答复不满意,可向国家网信部门投诉举报。
⚠️ 注意:响应时限“十五个工作日”是行业实践共识,符合《未成年人网络保护条例》第33条要求。不要写成“三十天”或“尽快处理”——法条写的是“及时”,十五个工作日是审计中可接受的标准。
第八段:隐私政策的更新与通知
【固定条款】
我们可能适时修订本政策。当政策发生重大变更时,我们将通过【弹窗/站内信/邮件】等方式通知监护人,并重新征得同意。
【需填空】
通知方式:【弹窗/站内信/邮件/短信】
生效日期:本政策更新日期为【YYYY年MM月DD日】
第九段:联系我们(必填!必须有可响应的联系方式)
【需填空】
如对本政策有任何疑问,可通过以下方式联系我们:
个人信息保护负责人:【姓名/职务】
邮箱:【privacy@xxx.com】
电话:【400-xxx-xxxx】
地址:【详细地址】
我们将在十五个工作日内答复。
⚠️ 注意:
这项必须填写真实可响应的联系方式——之前就有企业因“未公开投诉举报渠道”被通报。
审计时会被要求提供响应记录——有没有回复、是否在法定期限内、处理结果如何。不能只写邮箱不回复。
三、三个最常见的坑
❌ 坑一:只写“我们会保护未成年人信息”,没有专门处理规则
《个人信息保护法》第31条要求“制定专门的个人信息处理规则”。这不是在通用隐私政策里加一段话就行的,而是需要一套独立的规则体系——从收集、使用、存储、共享到删除,每个环节都要有针对未成年人的特殊安排。
❌ 坑二:监护人同意机制形同虚设
很多产品在注册时只问一句“你是否年满14周岁”,用户点“是”就跳过监护人验证。这在技术上无法防止未成年人虚报年龄。合规的做法是:如果产品可能被未成年人使用,至少要在隐私政策中声明监护人同意机制,并在发现用户可能是未成年人时启动验证流程。
❌ 坑三:忘记年度合规审计
《未成年人网络保护条例》第37条要求:处理未成年人个人信息的个人信息处理者,每年都要进行合规审计,并向网信部门报送审计情况。2026年1月31日是首次报送截止日。如果你的企业还没开始准备,现在动手还来得及。
四、快速自查清单
拿这张表对照检查你的隐私政策,打钩的可以放心,打叉的赶紧补:
| 序号 | 检查项 | 状态 |
|---|---|---|
| 1 | 是否声明不满14岁个人信息属于敏感个人信息? | □ |
| 2 | 是否制定了专门的未成年人个人信息处理规则? | □ |
| 3 | 是否区分了儿童(不满14岁)和一般未成年人? | □ |
| 4 | 是否说明了监护人同意的取得方式和验证机制? | □ |
| 5 | 是否逐项列明了收集的信息类型和目的? | □ |
| 6 | 是否说明了第三方共享场景及安全评估措施? | □ |
| 7 | 是否明确了监护人和未成年人的权利(查阅、更正、删除)? | □ |
| 8 | 是否明确了响应时限(十五个工作日内)? | □ |
| 9 | 是否有专人负责未成年人个人信息保护? | □ |
| 10 | 是否建立了年度合规审计机制? | □ |
💡 10项全打钩的,基本能过合规审计。有打叉的,对照上面的模板逐项补齐。
💰 写在最后
隐私政策不是写给监管看的文件,是写给用户看的承诺。一份好的未成年人隐私政策,应该让家长看完之后觉得“这家企业是真的在保护我的孩子”,而不是“又是一堆看不懂的法律术语”。
模板给了,但每家企业的产品不同、业务场景不同,填空部分一定要结合自己的实际情况认真写。 别直接复制粘贴——监管查的就是这种“千篇一律”。
📎 文末资源
如果你还没有上期的法规清单,或需要合规审计检查表:
附件一:《未成年人个人信息保护法规制度清单》
涵盖法律、行政法规、部门规章、国家标准四个层级共15部核心文件。
附件二:《企业合规自查快速判断表》
10道判断题+对应义务说明+建议动作,一页纸搞定。
关注「小莴讲安全」,后台回复「未成年人」获取两个附件的下载链接。
⚠️ 免责声明
本模板基于《个人信息保护法》《未成年人网络保护条例》《儿童个人信息网络保护规定》等现行有效法律法规整理,仅供合规参考,不构成法律意见。
各企业业务场景、数据处理活动、用户群体存在差异,具体隐私政策条款请结合企业实际情况,在专业律师或合规顾问指导下制定。法律法规如有更新,请以官方发布的最新文本为准。
有具体问题欢迎留言,下期见!
夜雨聆风