互聯網企業未成年人網絡保護管理體系目次前 言 III引 言 IV總則 IV管理原則 IV過程方法 IV本文件內容 VI與其他管理體系標準的關系 VI范圍 1規范性引用文件 1術語和定義 1組織所處的環境 5理解企業及其所處的內外部環境 5理解相關方的需求和期望 5確定未成年人網絡保護的影響范圍 5確定實質性議題 6未成年人網絡保護相關議題識別 6實質性篩選與確認 6實質性議題評審 6確定未成年人網絡保護管理體系的范圍 6建立未成年人網絡保護管理體系 7領導力 7領導和承諾 7未成年人網絡保護管理方針 7企業角色、職責和權限 8規劃 8總則 8應對風險和機會的措施 8總則 8未成年人網絡行為風險管理原則 8I未成年人網絡行為風險評估 9未成年人網絡行為風險應對 10未成年人網絡保護目標和規劃 10未成年人網絡保護目標 10未成年人網絡保護目標的規劃 107支持 107.1資源 107.2能力 117.3意識 117.4溝通 117.4.1總則 11未成年人網絡保護相關信息的特征 11溝通方式 127.5文件化信息 127.5.1總則 12創建和更新 12文件化信息的控制 128運行 12運行的規劃和控制 138.1.1總則 138.1.2未成年人網絡保護 13應急響應和主動報告 15成效評價 15監測、分析和評價 15內部審核 15管理評審 1610改進 16不符合和改進措施 16持續改進 16II引 言總則使用本文件有助于互聯網企業改進以下方面的工作：形成未成年人網絡保護工作的自律規范；回應相關方對未成年人網絡保護管理的期待與要求；c）全面識別未成年人網絡保護實質性議題；d）優化把未成年人網絡保護納入日常管理的細化指引和方法；e）對未成年人網絡保護管理工作作出明確規劃；f）形成應對未成年人網絡保護問題的系統性措施。管理原則（征求意見稿GB/T36000—2015中提出的社會責任原則：擔責：行業企業宜為其對社會、環境和經濟的影響承擔責任。透明：對于影響社會和環境的決策和活動，行業企業宜保持透明。合乎道德的行為：行業企業行為宜合乎道德。尊重相關方的利益：行業企業行為宜尊重和考慮相關方的利益，并對其關切作出回應。尊重法治：行業企業應尊重法治精神，生產經營行為應恪守國家法律法規規定。尊重國際行為規范：行業企業在尊重法治原則的同時，宜遵守國際行為規范。尊重人權：行業企業應尊重人權，并認可其重要性和普遍性。過程方法總則互聯網企業采用過程方法，系統地識別和管理未成年人網絡保護的過程以及過程之間的相互作用，有助于增強企業實現其目標的有效性和效率。IVPDCA（（PDCA本文件基于“規劃-實施-檢查-改進的具體流程為：————實施（Do）：執行所做的規劃；————改進（Act）：必要時，采取措施提高工作成效表現，以實現預期結果。PDCA1所示。內部和外部議題（4.1）

組織所處的環境（4）

相關方的需求和期望（4.2）管理體系的范圍（管理體系的范圍（4.3/4.4）P規劃（6）A改進（10）領導力（5）支持（7）D和運行（8）成效評價（9）C未成年人網絡保護管理體系的預期結果注：括號內的數字是指高層結構中各章的編號。圖1本文件高層結構與PDCA循環的關系基于風險的思維V識別和應對未成年人網絡保護的業務風險，為互聯網企業獲得未成年人網絡保護管理體系有效性、提升管理成效、促進企業積極履責奠定了基礎。本文件內容本文件采用了管理體系標準高層結構，第1章至第3章規定了本文件的范圍、規范性引用文件、術4章至第10章包含了可用于建設互聯網企業未成年人網絡保護管理體系并評價其有效性的指南內容。本文件為指南標準，適用以下助動詞：“應”表示要求，即要求使用本文件的企業符合有關內容；“宜”表示推薦，即推薦使用本文件的企業符合有關內容；“可”表示允許，即使用本文件的企業可以符合有關內容?！白ⅰ庇脕韼椭斫夂驼f明有關內容。與其他管理體系標準的關系ISO/IECSLSLVI互聯網企業未成年人網絡保護管理體系范圍本文件規定了互聯網企業未成年人網絡保護工作的管理要求，并提供了相關建議，包括組織環境、領導力、規劃、支持、運行、成效評價和改進各環節。本文件適用于互聯網行業內任何規模、類型、發展階段的企業。規范性引用文件（包括所有的修改單適用于本文件。ISO/IEC導則第一部分：ISO程序專用補充附錄SL術語和定義3.1組織organization為實現目標（3.11），由職責、權限和相互關系構成自身功能的一個人或一組人。[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.1]注1：組織包括但不限于個體經營者、公司、集團、商行、企事業單位、行政管理機構、合伙制企業、慈善機構或社會機構，或者上述組織的某部分或其組合，無論是否為法人組織、共有或私有。注范圍的部分。3.2互聯網企業Internetcompany利用互聯網向用戶提供技術服務或內容服務的組織實體。3.3未成年人minors未成年人是指未滿十八周歲的公民。3.4網絡保護onlineprotection13.5相關方stakeholder[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.2]3.6實質性議題materiality對互聯網企業具有重大影響的議題，或對相關方的評估和決策有重要影響的議題。3.7最高管理層topmanagement在最高級別上指揮和控制互聯網行業企業的人或群體。[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.3]注1：最高管理層有權在組織內授權和提供資源。注2：若管理體系（3.8）的范圍僅覆蓋組織的一部分，則最高管理層是指那些指揮和控制該部分的人員。3.8管理體系managementsystem組織（3.1）用于建立方針（3.10）和目標（3.11）以及實現這些目標的過程（3.13）的一組相互關聯或相互作用的要素。[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.4]注1：一個管理體系可針對單個或多個領域。注2：體系要素包括組織的結構、角色和職責、規劃和運行。3.9未成年人網絡保護管理體系managementsystemonminorsonlineprotection互聯網企業用來制定和實施其未成年人網絡保護的和3.10方針policy由組織最高管理層正式表述的組織（3.1）意圖和方向。[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.5]3.11objective要實現的結果。[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.6]注1：目標可以是戰略性的、戰術性的或運行層面的。2果。3.12

注2：目標可涉及不同領域（如財務的、健康安全的和環境的目標），并可應用于不同層面，例如戰略層面、組織整體層面、項目層面、產品和過程（3.13）層面。（3.11）來表述目標；使用其它近義詞（如靶向、追求或目的等）來表述目標。注4：在互聯網企業未成年人網絡保護管理體系中，目標由互聯網企業界定，與管理方針保持一致，以實現特定結風險risk不確定性的影響。[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.7]注1：影響是指對預期的偏差，或積極，或消極。注2：不確定性是指對事件及其后果或可能性缺乏甚至部分缺乏相關信息、理解或知識的狀態。注見GB/T23694-2013，4.5.1.3，ISOGuide73:2009,3.5.1.3）23694-2013，4.6.1.3，ISOGuide73:2009,3.6.1.3），或兩者的組合來描述其特性。注包括情況的變化見GB/T23694-2013，4.6.1.1，ISOGuide73:2009,3.6.1.1）的組合來表達。3.13過程process將輸入轉化為輸出的一系列相互關聯或作用的活動。[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.8]注：一個過程的輸出結果是可否被稱為產出、產品或服務，取決于其參照的環境。3.14能力competence運用知識和技能實現預期結果的本領。[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.9]3.15文件化信息documentedinformation組織（3.1）需要控制并保持的信息及其載體。[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.10]注1：文件化信息可以任何形式和載體存在，并可來自任何來源。注2：文件化信息可能涉及：a）未成年人網絡保護管理體系（3.9），包括相關過程（3.13）；b）為組織運行而創建的信息（文件）；c）結果實現的證據（記錄）。3.16績效performance可測量的結果。3[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.11]注1：績效可以是定量發現或定性發現。注2：績效可能涉及活動、過程（3.13）、產品（包括服務）、體系或組織（3.1）的管理。3.17持續改進continualimprovement提高績效（3.16）的循環活動。[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.12]3.18有效性effectiveness完成規劃的活動并得到規劃結果的程度。[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.13]3.19要求requirement明示的、通常隱含的或必須滿足的需求或期望。[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.14]注1：“通常隱含”是指對組織（3.1）和相關方（3.5）而言，其要求或期待被考慮到的隱含習慣或通常做法。注2：一個明確的要求（3.19），是可通過文件化信息（3.15）等方式被明示的。3.20符合conformity滿足要求（3.19）。[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.15]3.21不符合nonconformity不滿足要求（3.19）。[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.16]3.22改正措施correctiveaction為消除不符合（3.21）的原因并防止再次發生而所采取的措施。[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.17]3.23內部審核internalaudit[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.18]注1：審核可以是內部（第一方）審核或外部（第二方或第三方）審核，也可以是一種結合（結合兩個或多個領域）審核。4注2：內部審核由組織（3.1）自行實施或由外部方代表其實施。注3：“審核證據”和“審核準則”的定義見GB/T19011—20133.24監測monitoring確定體系、過程（3.13）或活動的狀態。[來源:ISO/IEC導則第一部分：ISO程序專用補充附錄SL，附件2，3.20]注：為了確定狀態，可能需要實施檢查、監督或批判地觀察。3.25管理評審managementreview組織所處的環境理解企業及其所處的內外部環境互聯網企業應識別并確定與其目標、戰略、組織結構、價值觀與原則、組織文化、組織發展階段、理解相關方的需求和期望互聯網企業宜重點考慮以下相關方：——相關政府部門與監管機構；——未成年人用戶（含特殊未成年人）；——未成年人用戶的監護人；——行業協會；——社會公眾；——專家學者；——學校；——關注企業在未成年人網絡保護等責任議題表現的第三方機構（含公益機構）或個人；——其他。確定未成年人網絡保護的影響范圍（或5確定實質性議題未成年人網絡保護相關議題識別識別過程開始時，只要可行，互聯網企業就宜：列出其活動的全部范圍；識別相關方；識別自身活動和影響范圍內的其他組織；（或檢查企業的決策和活動對未成年人及其他相關方可能產生的影響與影響方式；檢查相關方影響企業決策、活動和計劃的方式；實質性篩選與確認該議題對相關方的影響和重要程度，包括但不限于未成年人（含特殊未成年人）及其監護人、學校、專家學者等；該議題對企業自身長遠發展的影響和重要程度。未成年人網絡保護涉及的實質性議題包括但不限于：網絡成癮、隱私安全、網絡欺詐、網絡欺凌、網絡騷擾、信息獲取、網絡素養、思維能力培育、文明行為、文化傳承、社會交往、休閑娛樂等。實質性議題評審（含特殊未成年人）及其監護人、學校、專家學者等?；ヂ摼W企業宜意識到，實質性議題之間常具有關聯性，需權衡處理；對某一特定議題的特殊改進，不宜對其他議題產生不利影響，或者對企業產品或服務的生命周期、相關方或價值鏈產生消極影響。確定未成年人網絡保護管理體系的范圍64.1中分析的外部和內部因素；4.2（含特殊未成年人4.3中分析的影響范圍；4.4中分析的實質性議題；互聯網企業的組織結構、職能和物理邊界；互聯網企業的活動、產品、服務和業務關系；互聯網企業的權限及其實施控制和影響的能力；上述范圍內的活動、產品、服務和業務關系均應包括在未成年人網絡保護管理體系范圍之內。建立未成年人網絡保護管理體系領導力領導和承諾互聯網企業的最高管理層應通過以下方式展示其領導力和對未成年人網絡保護管理體系的承諾：確保建立未成年人網絡保護管理方針和目標，并與企業的戰略方向保持一致；確保將未成年人網絡保護管理體系整合到企業的業務過程和日常管理中；確保未成年人網絡保護管理體系可獲得所需資源；確保相關方的參與，尤其是未成年人（含特殊未成年人）及其監護人；在企業內部傳達有效管理未成年人網絡保護工作、符合管理體系要求的重要性；指導并支持員工為未成年人網絡保護管理體系的有效實施作出貢獻；進行管理評審，持續監督和確保未成年人網絡保護管理體系的有效運行；確保未成年人網絡保護管理體系實現其預期結果；促進未成年人網絡保護管理體系的持續改進；支持其他相關管理角色在其職責范圍內展示或提升其領導力，并應用于其職責范圍。未成年人網絡保護管理方針互聯網企業的最高管理層可支持建立未成年人網絡保護管理方針，該方針宜：適應企業的目標、文化和環境并支持其戰略方向；包含未成年人網絡保護目標，或為設置未成年人網絡保護目標提供框架；包含滿足適用未成年人網絡保護相關要求的承諾；包含未成年人網絡保護管理體系持續改進的承諾；包含為相關方參與提供渠道、流程與資源的承諾；文件化，并保持可獲得性和可用性；在企業內部進行充分溝通，獲得企業內部的理解和應用；適當時，對相關方可用。7企業角色、職責和權限互聯網企業應理解、分配并傳達未成年人網絡保護管理相關角色的職責和權限，以確保：未成年人網絡保護管理體系符合本文件的要求；未成年人網絡保護管理運行達到預期效果；對未成年人網絡保護管理體系進行變更時，保持未成年人網絡保護管理體系的完整性；相關部門對其自身業務范圍內的未成年人網絡保護結果負責；未成年人網絡保護管理體系的績效結果、持續改進等信息匯報給相關管理者?；ヂ摼W企業宜明確未成年人網絡保護管理的牽頭推進部門及其職責，該部門的職責包括但不限于：推動未成年人網絡保護意識的普及和能力提升；協助其他部門將未成年人網絡保護融入企業運營管理；確保未成年人網絡保護管理體系具備相關方參與的條件和要求；促進內外部相關方溝通與信息披露；向最高管理層匯報未成年人網絡保護管理體系的有效性和績效結果；協調并推動未成年人網絡保護管理體系的持續改進。規劃總則確保未成年人網絡保護管理體系能夠實現其預期結果；滿足合規性要求；增強對企業及其相關方的有利影響；避免或減小對企業及其相關方的不利影響；實現未成年人網絡保護工作成效持續提升。應對風險和機會的措施總則4.1、4.2、4.34.4中提及的問題，確定需要應對的風險和機會，以：確保未成年人網絡保護管理體系能夠實現其預期結果；確保相關方參與，尤其是未成年人（含特殊未成年人）及其監護人；避免或減少未成年人網絡行為風險；把握提升未成年人網絡保護成效的機會；實現未成年人網絡保護管理持續改進。未成年人網絡行為風險管理原則為有效管理未成年人網絡行為風險，互聯網企業在實施風險管理時，應遵循以下原則：8以預防風險、控制損失、創造價值為目標；在決策時綜合考慮企業的內外部環境和所承擔的相關風險，并開展風險管理；建立系統的、結構化的方法；以法律法規和信息為基礎；促進相關方的廣泛參與、充分溝通。未成年人網絡行為風險評估確定未成年人網絡行為風險評估準則互聯網企業應建立未成年人網絡行為的風險評估準則，包括風險接受準則、執行風險評估的準則。確定風險準則宜考慮未成年人網絡行為風險：——可能發生的后果的性質、類型、后果的度量和應對與防范成本；——可能性的度量和影響因素；——可能性和后果的時限；——度量方法；——等級和優先次序的確定；——為相關方可接受或可容許的等級和次序；——多種組合所帶來的影響。識別未成年人網絡行為風險該過程宜包含以下內容：與實質性議題有關的、能夠為企業及企業關系方提供指導意義的企業政策；現有或擬開展活動影響企業政策目標的方式；將未成年人網絡保護實質性議題融入企業管理的方法；因未能夠及時對優先事項和方法做出必要調整，而采取的實時監測管理成效的方法；處理其決策和活動消極影響的措施。分析未成年人網絡行為風險評價未成年人網絡行為風險未成年人網絡行為風險評價是將風險分析的結果，與互聯網企業的風險準則比較，或者在各種風險9的分析結果之間進行比較，確定風險等級和優先次序，以便作出應對風險的決策。企業可根據內外部環境變化對未成年人網絡行為風險進行動態監控，必要時修正相關風險應對措施。未成年人網絡行為風險應對互聯網企業應考慮未成年人網絡行為風險，各種環境信息，企業內部和外部相關方的風險承受度，以及法律、法規和其他方面要求等因素，選擇適當的未成年人網絡行為風險應對措施，以：決定停止或退出可能導致未成年人網絡風險的活動以進行風險規避；改變風險事件發生的可能性的大小及其分布的性質；改變風險事件發生的可能后果；消除具有負面影響的風險。未成年人網絡保護目標和規劃未成年人網絡保護目標未成年人網絡保護目標宜：與未成年人網絡保護方針一致；與企業戰略和發展階段、企業運營（產品、服務、價值鏈活動）目標相協調；綜合考慮風險評估結果、技術可行性、成本、運行和業務要求，采用最佳方案；回應相關方的需求和期望，尤其是未成年人（含特殊未成年人）及其監護人的需求和期望；可測量、可被傳達、可被反饋；在適當時進行更新。未成年人網絡保護目標的規劃互聯網企業規劃如何實現其未成年人網絡保護目標時，宜確定：需要做什么；需要什么資源；由誰負責；相關方如何參與；什么時候完成；如何評價結果。（或外部的相關方溝通。支持資源互聯網企業應確定并提供建立、實施、保持和持續改進未成年人網絡保護管理體系所需的資源，包10括但不限于人力資源和財務資源、相關方參與所需的資源。能力互聯網企業應：確定從事影響未成年人網絡保護管理執行工作的人員應具備的必要能力；確保人員在通過適當的教育、培訓和掌握相關經驗的基礎上能夠明確其職責，勝任其工作；為人員提供必要的決策參與、激勵和職業發展機會；具備支持相關方參與和溝通的必要能力；意識互聯網企業從事未成年人網絡保護管理工作的人員應意識到：未成年人使用互聯網產品或服務時的需求、特征和風險；未成年人網絡保護工作對企業合規、長遠發展的重要性；企業的未成年人網絡保護管理方針、風險、目標；未成年人網絡保護管理體系與企業目標、政策、文化、戰略、結構和運行的關系；相關方參與對未成年人網絡保護工作的重要意義；其對有效實施未成年人網絡保護管理體系的貢獻，包括未成年人網絡保護管理的益處；不遵從未成年人網絡保護管理體系要求可能產生的風險。溝通總則互聯網企業應促進一定形式的內部和外部溝通，以：增進企業內部和外部對其未成年人網絡保護戰略、目標、計劃和績效以及所面臨挑戰的了解；（含特殊未成年人）及其監護人的支持；表明對未成年人網絡保護原則的尊重；滿足未成年人網絡保護信息披露的法律法規要求和其他要求；展現企業當前如何履行未成年人網絡保護承諾，并對相關方的普遍要求和期望作出回應；促進同行之間的比較，從而激勵企業自身和整個行業持續改進未成年人網絡保護績效；提高企業的透明度、誠信和擔責方面的聲譽，以增強相關方對企業的信任。未成年人網絡保護相關信息的特征互聯網企業向內部和外部溝通的未成年人網絡保護相關信息應具備以下特征：完整性。信息宜覆蓋與未成年人網絡保護有關的所有重要活動和影響。易理解性。信息發布宜考慮溝通對象的認知方式和認知程度，易于溝通對象理解。回應性。信息宜對相關方的關切作出回應。準確性。信息宜真實正確，詳盡得當。平衡性。信息宜平衡且公正，不宜遺漏涉及企業活動影響的相關負面信息。及時性。信息宜明確所覆蓋的時段，并及時與相關方溝通。易獲得性。信息發布后宜便于相關方獲得。11溝通方式互聯網企業向內部和外部開展未成年人網絡保護溝通有不同的形式，包括但不限于：——定期的公開報告，例如：年報、社會責任報告、可持續發展報告，并為相關方提供反饋機會；——通過官方平臺、媒體渠道發布面向相關方的文章；——與相關方會談、對話，包括主動參與相關方舉辦的會議，邀請相關方參與企業的活動等；——通過調查問卷、深度訪談等方式了解相關方的意見。文件化信息總則互聯網企業的未成年人網絡保護管理體系文件宜包括：未成年人網絡保護管理體系范圍；未成年人網絡保護實質性議題；未成年人網絡保護的業務風險；未成年人網絡保護的方針、目標和指標；未成年人網絡行為風險的應對要求、責任部門及工作程序；相關方參與的形式、渠道，反饋的意見與建議；本文件要求的文件，包括記錄；企業為確保未成年人網絡保護管理體系有效運作所需要的其它文件和記錄。創建和更新創建和更新文件化信息時，互聯網企業宜確保適當的：標識和描述（例如：標題、日期、編制人員或參考號碼）；格式（例如：語言、軟件版本、圖表）和介質（例如：紙質或電子文檔）；評審和批準其適用性和充分性。文件化信息的控制互聯網企業宜控制其未成年人網絡保護管理體系所要求的文件化信息，以確保：在需要時，信息可用并適合使用；信息被充分保護（例如：避免喪失保密性、使用不當或失去完整性）。對于文件化信息的控制，互聯網企業宜處理下列問題：信息的分發、訪問、檢索和使用；存儲和保存，包括可讀性的保持；變更控制（例如版本控制）；保留和處置。運行12運行的規劃和控制總則為持續滿足未成年人網絡保護管理體系要求，互聯網企業宜通過以下措施對所需的過程進行規劃、實施和控制：分析未成年人網絡保護工作對企業業務合規、長遠發展的重要性；制定未成年人網絡保護的基本原則和目標；制定相關方參與的基本原則、目標、渠道、流程和資源投入情況；a）、b）、c）、d）的基礎上，制定應對上述實質性議題的，有利于未成年人網絡保護工作積極影響最大化的風險應對規劃和措施；確定實施上述目標和規劃的過程和所需的資源；實施相關規劃和措施，并對實施過程進行控制。未成年人網絡保護預防網絡沉迷互聯網企業應采取的行動有：——建立、完善預防未成年人沉迷網絡的措施；——及時改進服務內容、功能、規則，不得向未成年人提供誘導其沉迷的服務；——設置家長監護渠道，協助家長管理未成年人使用服務的情況；——探索創新技術，提升用戶身份甄別能力；——為相關方參與提供必要的渠道、流程和資源支持。人身安全保護互聯網企業應采取的行動有：——制定日常巡查機制，及時發現并處理危害未成年人人身安全的不良信息；——設置未成年人監護人監護系統，及時提醒監護人監督未成年人用網過程；13——為相關方參與提供必要的渠道、流程和資源支持。心理健康保護互聯網企業宜采取的行動有：——嚴格審核廣告內容素材，避免在傳播中造成對未成年人的負面影響；——對提供的內容和功能進行評估，以有利于未成年人用戶的身心健康發展；——探索創新技術手段，提升對影響未成年人心理健康的不良信息的檢測與處理能力；——為相關方參與提供必要的渠道、流程和資源支持。個人信息保護互聯網企業應采取的行動有：——設置面向未成年人的公開隱私保護政策；——設置日常巡查機制，及時發現并處理未成年人個人敏感信息傳播事件；——為相關方參與提供必要的渠道、流程和資源支持。消費糾紛化解互聯網企業應采取的行動有：——設置未成年人充值、消費金額提示與限制；——設置專