虽然被寄予厚望的首个个人信息安全保护国家标准《信息安全技术-公共及商用服务信息系统个人信息保护指南》规定，不直接向未满16周岁的未成年人等限制民事行为能力人或无行为能力人收集个人敏感信息，确需收集其个人敏感信息的，要征得其法定监护人的明示同意，但该标准并没有被有关个人信息控制者强制性地引入到组织机构信息安全管理运营中来。虽然不少个人信息控制者在其个人信息保护政策中对收集未成年人个人信息做出了有关规定，比如建议未成年人在提交个人信息之前寻求父母的同意和指导，但事实上这些条款并没有发挥相应的作用。用户在注册使用某种服务的过程中，可以随意填写相关个人信息，即使所填写的出生日期显示注册者是未成年人，后续注册过程也没有任何警示性信息及时告知用户，也不会对未成年人是否已取得父母的同意进行任何验证。这表明这些个人信息控制者的规定仅仅是一种推卸责任式的宣示性声明。与此同时，更多专门为未成年人提供服务的个人信息控制者并没有出台类似规定，肆无忌惮地收集包括照片、手机号码、位置信息、住址、出生日期等在内的未成年人个人信息，且在某些自我介绍栏目中加以展示，这违背了“最小信息够用”原则［31］。目前未成年人通过移动设备上网的现象非常普遍，但我国各大移动应用服务商的竞争非常激烈，其针对应用程序的审核机制尚不健全，这给恶意程序有了混水摸鱼的机会。这些应用程序也往往采集超越服务功能所需的个人信息和未经用户授权的个人信息。它们在收集个人信息的过程中往往使用霸王条款，即安装应用程序的同时必须默认授权获取各项个人信息，否则用户只能选择不安装。这对于未成年人网民来说，是非常大的安全风险。

虽然各个组织机构均会宣称其具备良好的信息安全管理水平，所保存的未成年人个人信息均处于安全状态，但据360互联网安全中心《2015年青少年上网安全分析报告》显示，2015年1—4月，“白帽子”共向“补天”平台报告有效的中小学校网站漏洞175个，其中高危漏洞139个，占79.4%，且截至2015年5月28日，上述175个漏洞均没有被修复。普遍存在的高危漏洞意味着学校网站很容易被黑客入侵，这也给教职工、学生、家长的个人信息造成很大的风险［32］。这在一定程度上表明个人信息控制者普遍缺乏专业的信息安全管理措施、员工缺乏信息安全意识、信息系统则存在较为严重的信息安全漏洞。(www.daowen.com)