引言
近日,中央网信办、工业和信息化部、公安部等三部委联合发布了关于开展2026年个人信息保护系列专项行动的公告。这不仅是对2025年实施专项行动的延续和深化,也是我国在个人信息保护领域持续推进法治建设的深入举措。从法律视角看,2026年的专项行动在多个方面比2025年有了显著的更新与进步。
数字经济的迅速发展,使得数据泄露与滥用事件频发,特别是在社交平台、电商平台以及金融行业等,个人信息的安全问题日益突出。今年是《个人信息保护法》实施的第五年,个人信息保护法治水平日趋完善,专项行动则是对个人信息保护落地的最直接回应。本文将对比2025年与2026年专项行动的主要内容和特点,分析两者的异同,并展望未来个人信息保护的法治化趋势。本文要点包括:
(1)个人信息保护立法趋势
(2)监管部门变化逻辑
(3)2026年专项行动重点
01
2026年立法趋势
2026年专项行动以落实《个人信息保护法》、督促指导个人信息处理者不断提升合规水平为目标,依托于法律规定和相关配套标准,深化个人信息保护合规要求。自《个人信息保护法》出台以来的过去五年间,国家层面围绕《个人信息保护法》制定出台了一系列配套法规和标准,覆盖了个人信息出境、个人信息保护合规审计、人脸识别等领域,持续构建完善整体个人信息保护合规体系,这些是响应专项行动开展合规的法律依据。同时,我们也需要注意到个人信息保护合规仍然具有动态性,相关法规还在制定过程中,特别是今年有望出台的立法项目(详见下表),也应在合规视野范围以内。
就立法趋势而言,大型平台显然是未来治理重点,国家网信办于2025年相继组织了个人信息保护负责人报送工作[1]和未成年人个人信息保护合规审计情况报送工作[2],初步掌握了个人信息处理者及个人信息处理活动情况。在此基础上,可以比较合理地落实《个人信息保护法》第五十八条关于大型网络平台个人信息保护的特殊要求。相较而言,落实《个人信息保护法》第六十二条第二项要求,国家网信办也正在推进关于小型个人信息处理者的简化合规措施,更进一步佐证了大型平台将成为治理重点的趋势。
与此同时,风险治理也进入监管视野,可能成为2026年探索试行的重点领域之一。去年11月1日起,《国家网络安全事件报告管理办法》正式施行,个人信息泄露属于网络安全事件范畴,对于较大以上程度的,最短的报告时限为1小时,最长也不得超过4小时。网信部门专门建立了12387网络安全事件报告平台[3],通过多种渠道接受事件报告。正在起草中的《网络数据安全风险评估办法(征求意见稿)》[4]将“大规模个人信息泄露、被窃取”作为风险要素之一,省级以上网信部门和有关部门可以要求数据处理者委托通过认证的评估机构开展风险评估。网络安全事件从技术上很难完全杜绝,从风险治理的角度,政企协同是比较有效的应对方法。因此,在个人信息保护方面,企业侧也需建立完善的应急预案、报告机制等,定期开展应急演练,最大程度地防范安全事件,也要具备依法报告的合规能力。
进一步从垂类领域来看,2025年专项行动聚焦常用服务产品和常见生活场景,对智能终端、公共场所、线下消费等产品或场景进行重点治理,“取得了积极成效”。2026年专项行动则继续以APP、SDK等载体为治理对象,并将具体场景进一步延伸至互联网广告、教育、交通、卫生健康、金融等重点领域,非常有针对性的结合行业特点确定重点治理问题。
02
从四部委到三部委
2026年专项行动有个变化,从“四部委”变成了“三部委”,国家市场监督管理总局的名称没有出现在公告之中。专项行动主管部门数量的减少是否意味着监管行动的力度下降呢?从我们观察的角度来看,似乎并不能得出这一结论。从职责规定出发,这一变化有其合理之处。《国家市场监督管理总局职能设置、内设机构和人员编制规定》中并无直接的个人信息保护职责,过去一年的专项行动中也没有看到国家市场监管总局的相关活动。
不过,个人信息保护与消费者权益保护具有关联性,个人信息保护也是消费者权益保护的重要内容之一。国家市场监管总局负有“指导中国消费者协会开展消费维权工作”的职责。就消费者权益保护而言,《消费者权益保护法实施条例》第二十三条规定了消费者个人信息保护的内容,其法律责任中明确侵害消费者合法权益的应承担民事责任,而未直接对第二十三条规定法律责任。根据该条例第五十条第三款的转至规定,《消费者权益保护法》第五十六条对“侵害消费者个人信息依法得到保护的权利的”规定的法律责任。但是,该责任是在民事责任基础之外对经营者的行政责任,且其首先适用于“其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行”。个人信息保护问题当然适用于《个人信息保护法》的规定,因此从国家市场监管总局的角度,其可能更侧重于消费者权益保护的民事责任角度,而不藉由专项行动来推进个人信息保护工作。
03
专项行动目标与重点的演变
1. APP、SDK以及没有直接提及的小程序
2026年专项行动重申了APP、SDK等作为专项治理对象,包括“常见类型APP以及嵌入的SDK个人信息收集使用活动”。具体而言,涉及三类重点治理问题:
(1)未公开个人信息收集使用规则,未提供有效注销用户账号功能,未建立、公布个人信息安全投诉举报渠道等;
(2)未完整准确告知收集使用个人信息情况,或告知收集使用个人信息目的、方式、范围与实际收集使用情况不一致;
(3)未经用户同意收集使用个人信息,强制用户同意收集非必要个人信息;
(4)超出必要范围收集使用个人信息,在无关场景收集位置、通讯录、短信等个人信息,超出最低必要频率调用个人信息权限。
这些内容均在2025年专项行动的治理范围以内,而重点对这四个方面进行强调,则在一定程度上反映了去年治理活动发现的比较突出的问题,其当然应为今年的合规重点。首先,隐私政策、注销账号和个人行权。经过持续专项行动治理,仍然存在“无隐私政策”的情况,注销账号、个人行权也是监管重点关注的内容;其次,告知缺陷问题,这同样是去年的监管重点,而就我们的经验观察,合规风险主要产生于隐私政策和其他法律文件编制环节,存在告知即免责的误区,而误解了告知的合规功能;第三,未经同意和强制同意,这是个人信息保护合规中的常见问题,表现出业务逻辑和合规逻辑的冲突,以及动态合规不足中的风险;最后,超范围使用从去年的“位置、媒体文件、通讯录、设备”等变化为今年的“位置、通讯录、短信”,其中“位置、通讯录”仍然是重点合规项。
值得注意的是,今年专项行动中未直接提及小程序,而去年专项行动的APP则明确包含小程序、公众号和快应用。实际上,小程序必然包含于APP之中,今年国家计算机病毒应急处理中心和公安部计算机信息系统安全产品质量监督检验中心通报的检测情况中,都涉及微信、支付宝、抖音等小程序,且占比非常高,从实证的角度已经确认了小程序也是治理对象之一,在个人信息保护合规中同样不能忽视。
2. 重点领域治理
2026年专项行动在2025年专项行动的基础上,针对互联网广告、教育、交通、卫生健康、金融等制定了专项行动子计划,分别明确了治理对象和重点治理问题。
整体来看,子领域治理问题紧扣该行业领域的突出风险和特殊场景,同时也可以归纳出一些共性要求,非常值得合规过程中把握和适用。具体包括以下几个方面:
(1)合规能力。每一个子领域都将内部管理制度作为重点,体现了“主体能力合规,业务才能合规”的思路,既治标也治本,对相关企业合规来说,需要从制度、内部治理结构方面入手,建立完整的合规体系。
(2)共享合规。每一个子领域都强调了共享环节的合规要求,虽然根据不同领域特点侧重不同,但共享个人信息的过程中风险较大,法律合规义务也较为严格,数据流通是释放数据价值的必要手段,但应在合规基础之上规范开展。在此之外,每个子领域都根据行业特点非常具有针对性地提出了监管要求,这也应成为相关企业合规的重点事项。
(3)人脸合规。教育、卫生健康、金融领域都涉及人脸信息合规问题,要求非必要情况下不得强制将人脸识别技术作为唯一验证方式,这是去年6月1日起施行的《人脸识别技术应用安全管理办法》的重要制度要求之一,无疑也是今年合规落地的主要内容之一。
(4)技术合规。每一个子领域都重申了“有效安全保护措施”的重点治理问题,要求相关企业建立个人信息保护管理制度,防范个人信息泄露、个人信息权益被侵犯等风险。个人信息保护是法律问题,也是技术问题,个人信息保护合规必然要求技术合规,这在过去一年的专项行动中体现十分明显,也将是今年专项行动的重点趋势。
3. 刑事责任红线
2025年公安部门在专项行动中涉及APP监管两家机构非常重要,分别是国家计算机病毒应急处理中心(CVERC)和公安部计算机信息系统安全产品质量监督检验中心,这两家机构在去年专项行动中通报频次密集且检测事项细致,对企业合规要求比较高,而今年的专项行动中其专业性、聚焦性的特点十分突出,需要特别关注。
不仅如此,自《网络安全法》、刑法修正案(七)、刑法修正案(九)等实施以来,公安机关采取了一系列行动,打击个人信息违法犯罪活动,除了行政执法活动以外,也会追究相关主体的刑事责任。早在2019年,网信、工信、公安、市监等四部委发布的《关于开展App违法违规收集使用个人信息专项治理的公告》中,就明确了公安机关开展打击整治网络侵犯公民个人信息违法犯罪专项工作,依法打击针对和利用个人信息的违法犯罪活动。2025年专项行动再次强调了打击个人信息保护犯罪活动的要求,而今年的专项行动一如既往地明确对个人信息相关违法犯罪案件专项打击治理。特别提出,聚焦公共服务、金融借贷、医疗教育、生活出行等重点方向侵犯公民个人信息违法犯罪,围绕信息泄露环节、信息倒卖环节、信息使用环节,严惩行业“内鬼”,严打侵犯公民个人信息违法犯罪。
就刑事责任红线而言,个人信息保护相关的刑事犯罪除了直接的侵犯公民个人信息罪,还涉及帮助信息网络犯罪活动罪、非法侵入计算机信息系统罪等。需要注意的是,帮助信息网络犯罪活动即使不构成刑事责任,也可能产生行政责任,《网络安全法》《网络数据安全管理条例》中都明确了,明知他人从事危害网络安全活动的,不得为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,也不得提供广告推广、支付结算等帮助。
04
对企业合规的启示
2026年专项行动是这一轮个人信息保护监管的第二年,同时也是《网络安全法》修订后实施的第一年,《个人信息保护法》实施第五年。网络安全、数据安全和个人信息保护合规义务交叉且重叠,而人工智能发展进入下半场,如何使用数据以及如何提升数据使用效率,正是产业竞争的赛道。对于企业来说,宜综合考虑设施、技术和应用等多层次合规建设,综合防范合规风险,持续有效地释放数据价值潜能。
1、基础合规。到了 2026年,我国法律体系在个人信息保护方面更加成熟,重点开始转向落实数据安全技术的标准化,推动行业内外对新技术、新应用的合规管理。但是从2025年专项行动甚至更早期的监管活动来看,围绕透明度要求的监管逻辑没有发生改变,即隐私政策等法律文件仍然是监管审查重点。对比来看,欧盟数据保护委员会(EDPB)在《通用数据保护条例》(GDPR)出台第十年的今年,将执法重点定位于“透明度”[5],表示将通过统一执法行动,落实GDPR的透明度义务,确保个人享有信息获取权以有效控制其数据。综合国内外而言,以隐私政策为核心展开的监管方式在短期内将持续,无隐私政策、隐私政策更新不及时、隐私政策不合理等问题必然带来合规风险,而这实际上应该在个人信息保护基础合规层面就应该完成的部分。
2、技术合规。结合2025年的监管趋势分析,隐私政策作为基础合规十分重要,而监管审查也明显强调技术合规,如去标识化、加密等合规要求等既是法定要求,也是技术措施之一。2025年有关技术合规的要求在有关通报中已经成为必检项,我们相信2026年专项行动将更加注重技术手段的合规性,这也体现在2026年公告中提到的访问管理权限,加密、去标识化等安全技术措施的要求。对于相关企业而言,在个人信息处理和存储过程中应考虑与服务相适应的的技术保障措施,通过数据加密、身份认证、隐私保护计算等不同方式,防止技术安全防范措施不到位,满足技术合规要求。
3、合规审计。根据《个人信息保护合规审计管理办法》的规定,2027年4月30日将是首次个人信息保护合规审计的截止日期。结合今年的专项行动,相关企业可以个人信息保护合规审计为手段或者工具,全面评估个人信息保护合规义务是否落实到位,既能补齐合规短板,也可以完成个人信息保护合规审计的法定义务,优化合规资源,释放合规价值。
4、持续关注。正如前述,近期国家网信办等部门除了持续推进个人信息保护监管行动以外,也在继续完善个人信息保护配套规则,制度体系仍在从深从细的构建过程之中。因此,相关企业一方面需要对现有的监管要求十分熟悉,特别是监管部门所使用的一些国家标准、团体标准等,准确把握个人信息合规要求和具体实践,避免对法律法规的错误理解而导致的合规问题;另一方面,还需要持续跟踪立法、执法动态,确保合规实践符合最新法规要求。
随着全球数据保护形势的不断变化,2026年专项行动的启动不仅是对2025年行动的延续和完善,更是在个人信息保护法治化进程中的一次重要推进。未来,我们有理由相信,在立法、执法综合法治建设持续推进的良好态势之下,我国的个人信息保护体系将日益健全,为数字经济的健康持续发展提供更为坚实的法治基础。
脚注:
[1] 关于开展个人信息保护负责人信息报送工作的公告_中央网络安全和信息化委员会办公室
[2] 关于报送未成年人个人信息保护合规审计情况的公告_中央网络安全和信息化委员会办公室
[3] 例如:12387.cert.org.cn
[4] 参见:国家互联网信息办公室关于《网络数据安全风险评估办法(征求意见稿)》公开征求意见的通知_中央网络安全和信息化委员会办公室
[5] See CEF 2026: EDPB launches coordinated enforcement action on transparency and information obligations under the GDPR | European Data Protection Board
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kingandwood.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kingandwood.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
方禹
顾问
合规业务部
转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。
封面图源:画作·林子豪
声明:本文来自金杜研究,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
