2026年4月2日,中央网信办、工业和信息化部、公安部发布《关于开展2026年个人信息保护系列专项行动的公告》(以下简称“《2026个保专项行动》”)。

《2026个保专项行动》延续了对App、SDK违法违规收集使用个人信息的治理要求,同时将互联网广告、教育、交通、卫生健康、金融列为重点治理领域,并将自动化决策、人脸识别、未成年人个人信息处理、向第三方提供个人信息、内部访问控制、技术运维管理以及侵犯公民个人信息违法犯罪纳入重点治理范围。与前期主要围绕告知同意、必要个人信息范围和权限调用展开的监管行动相比,本年度专项行动更侧重行业场景,更聚焦实际处理活动,也更关注内部治理责任。

注:图片由AI生成

监管回顾及本年度专项行动的变化重点

回看此前数年的监管脉络,这一变化具有连续性。

2019年《App违法违规收集使用个人信息行为认定方法》主要围绕未公开收集使用规则、未明示处理目的方式范围、未经同意收集使用、超范围收集、未经同意向他人提供、未提供删除更正和注销功能等情形展开。2021年《常见类型移动互联网应用程序必要个人信息范围规定》进一步明确,必要个人信息应以保障基本功能服务正常运行为限,不得因用户不同意提供非必要个人信息而拒绝其使用基本功能。前期治理重点,主要集中于产品端的收集使用行为和权限调用边界。

《2026个保专项行动》保留了App、SDK违法违规收集使用个人信息专项治理,同时新增对互联网广告、教育、交通、卫生健康、金融等领域的专项整治安排,并逐项列明重点问题。监管视角已经从前台页面、权限申请和产品功能配置,进一步延伸至行业业务流程、数据处理全流程和内部管理责任。

2026年专项行动的一个突出特点,是监管对象由前端应用进一步延伸至行业场景。此前以产品载体、通用服务场景为主要识别对象,本年度则聚焦垂直行业领域业务场景。互联网广告、教育、交通、卫生健康、金融被分别列项,并清晰罗列其行业特性的具体业务环节合规风险。例如,教育领域聚焦不满十四周岁未成年人个人信息处理、监护人同意、家长及学生信息过度收集;卫生健康领域聚焦病历查询、患者影像和文字描述公开、访问权限、加密和去标识化;金融领域则聚焦以安全风控、贷款服务等名义收集通讯录、短信、通话记录、应用列表、位置等信息。可以看出,本年度专项行动在行业场景识别和重点问题列举上均呈现出更高的监管颗粒度。

维度

前期监管重点

2026年重点变化

监管对象

App、SDK、权限调用、个人信息处理规则、必要信息范围

扩展至互联网广告、教育、交通、卫生健康、金融等重点领域

监管重点

告知同意、收集范围、权限申请、注销功能

涵盖自动化决策、第三方提供、人脸识别、未成年人保护、内部权限、技术运维管理

风险识别方式

以产品端违法违规收集使用行为为主

以行业场景、处理全流程和内部管理缺陷为重点

执法方式

整改、通报、下架等行政监管措施

行政处罚与侵犯公民个人信息违法犯罪打击并行

2026年专项行动呈现的六个监管动向

从《2026个保专项行动》的具体内容看,呈现出六个较为清晰的监管动向:

(一)必要性审查进一步实质化

  • 《2026个保专项行动》多次点到位置、通讯录、短信、通话记录、应用列表、设备信息、麦克风、存储等字段和权限,强调无关场景收集、超出最低必要频率调用、以风控等名义收集非必要信息等违规问题。

(二)互联网广告中的个人信息处理更加严格

  • 《2026个保专项行动》要求个人信息处理规则载明将收集的个人信息用于广告、用户画像等功能的情况,并列明向第三方提供个人信息的种类、目的、方式以及接收方名称、联系方式;对利用自动化决策方式推送广告的,还要求提供便于访问和操作的关闭选项,用户关闭个性化推荐后,不得继续基于该目的收集相关个人信息,并应提供删除用户个人特征标签等功能。

  • 该项治理重点已由前端个性化推荐关闭入口,进一步延伸至画像生成、标签管理、第三方投放流程和自动化决策退出机制等实质性处理环节。

(三)未成年人个人信息保护正在加快转入审计化、报送化监管

  • 《2026个保专项行动》在教育领域专门强调不满十四周岁未成年人个人信息处理规则、监护人同意、家长及学生个人信息过度收集等问题,该领域已被明确纳入专项治理重点。

  • 结合国家网信办2025年12月29日发布的《关于报送未成年人个人信息保护合规审计情况的公告》,明确“处理未成年人个人信息的主体,须每年开展合规审计且于每年1月底前报送审计情况”来看,对涉及未成年人个人信息处理的主体而言,后续监管重点将更集中于监护人同意核验、专门规则制定、必要性控制、访问审批、日志留存和审计整改闭环等薄弱环节。(《关于报送未成年人个人信息保护合规审计情况的公告》的具体要求,可参考未成年人个人信息保护合规审计与报送要求解读——基于六项法律规范文件及实践指南的十问十答!

(四)人脸识别适用边界更加明确

  • 《2026个保专项行动》在教育、卫生健康、金融等领域明确,存在其他非人脸识别技术方式可以实现身份验证的,不得将人脸识别作为唯一验证方式。

  • 该项重点承继了2025年生效的《人脸识别技术应用安全管理办法》的规定,要求处理人脸信息应具有特定目的和充分必要性,采取对个人权益影响最小的方式;基于同意处理的,应取得单独同意;处理未满十四周岁未成年人人脸信息的,还应取得监护人同意并制定专门规则。另外,该办法明确应用人脸识别技术处理的人脸信息存储数量达到10万人的个人信息处理者,还需要向网信部门履行备案手续。

(五)重申并强调内部管理体系建立及责任落实

  • 《2026个保专项行动》在多个行业反复提到个人信息保护管理制度、访问控制、加密、去标识化、技术防护、第三方运维管理等要求,监管关注点已经进一步延伸至后台访问权限、系统运维、合作方管理和组织责任落实。

  • 从我们以往的项目经验来看,抛开制度文本本身,企业在落地层面最薄弱的,往往正是权限分级、加密脱敏、数据导出控制、外包运维接入管理、合作方监督检查等基础治理环节。此类问题通常具有跨部门、跨系统、跨流程特征,难以通过单点整改予以解决,更需要企业从制度、流程、技术措施和责任机制四个层面同步推进,建立可执行、可留痕、可问责的内部管理体系。

(六)侵犯公民个人信息违法犯罪专项打击力度进一步加大

  • 《2026个保专项行动》单列个人信息相关违法犯罪案件专项打击治理,聚焦信息泄露、倒卖和使用等环节,强调严惩行业“内鬼”,严打侵犯公民个人信息违法犯罪。该项重点表明,前端违法违规收集使用、后台管理失控、内部人员违规操作、合作方越界处理以及黑灰产利用之间,将被纳入同一治理链条予以统筹审视。

  • 对企业而言,需意识到个人信息保护风险已不仅限于引发整改、通报或下架、罚款等行政责任,而更可能进一步延伸至刑事风险,合规管理的要求和后果严重性均在同步抬升。

企业合规应对的重点方向

    第一,核对个人信息处理规则、授权页面、SDK接入情况、接口调用、后台配置与真实处理活动是否一致。

    第二,对位置、通讯录、应用列表、人脸信息、病历信息、未成年人个人信息等高风险信息类别重新开展必要性审查。

    第三,建立向第三方提供个人信息、委托处理、技术运维接入的台账和审批控制。

    第四,完善访问权限分级、批量查询与导出审批、脱敏展示、加密存储、日志留存和离岗权限回收等内部控制措施。

    第五,涉及处理未成年人个人信息的,就未成年人个人信息处理现状开展专项审计与治理工作。

    2025年施行的《个人信息保护合规审计管理办法》已将个人信息保护合规审计制度落地,个人信息处理活动是否可审查、可验证、可留痕,正在成为合规治理的基础要求。

    以往整改重点

    2026年度审查与整改重点

    修订隐私政策、个人信息处理规则

    核对规则文本与真实处理活动是否一致

    优化权限弹窗和授权话术

    对高风险字段、权限和场景开展必要性审查

    梳理双清单(个人信息收集清单与第三方共享清单)

    建立向第三方提供、委托处理、运维接入台账,并加强合作方事前、事中、事后管理

    补充注销、删除入口

    核查撤回同意、关闭个性化推荐、删除标签等权利实现机制

    被通报/发现问题的局部整改

    建立审计、留痕和持续整改机制

    结语

    总体看,《2026个保专项行动》所呈现出的变化,已经超出传统意义上的App合规整治。监管所审查的内容,全面覆盖个人信息为何处理、处理到何种范围、向谁提供、由谁访问、如何控制、能否撤回/退出、能否删除、能否追溯。个人信息保护已进一步延伸至业务流程、数据处理活动及内部控制体系等综合治理事项。

    2026年专项行动的监管重心,实质上与《个人信息保护合规审计管理办法》及其指引,以及专业审计机构实际开展个人信息保护合规审计的审计重点重合。这很符合数据安全、个人信息保护监管一贯以来“由点及面,由浅及深”的风格。对企业而言,个人信息保护合规能力,最终将体现为对真实处理活动的可说明、对数据流转过程的可控制、对内部管理责任的可追溯。

    文章作者:赛博研究院资深专家 刘境棠

    声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。