华炬数小合|2026年个人信息保护专项行动全面解读
2026-04-13
在数字化浪潮席卷各行各业的今天,个人信息已成为数字时代的“通行证”。然而,过度收集、强制同意、违规向第三方提供、人脸识别滥用等问题屡禁不止,让广大网民的个人信息安全和合法权益面临严峻挑战。
2026年4月2日,中央网信办、工业和信息化部、公安部联合发布《关于开展2026年个人信息保护系列专项行动的公告》,宣布将针对七大重点领域开展专项整治。这是《个人信息保护法》实施以来,监管部门在个人信息保护领域持续发力的有力举措,也标志着我国个人信息保护治理正从“普遍性规范”迈向“深水区攻坚”,一场关乎每个人数字生活安全感与获得感的保卫战已经打响。
一、本次专项行动的重点领域
当扫码点餐、线上问诊、停车缴费都成为个人信息泄露的潜在风险点,一场覆盖数字生活全场景的治理行动正在拉开序幕。与前几年的监管行动相比,本次专项行动最大的特点是从“泛泛而治”转向“深耕细作”。监管视角不再局限于App前台的告知同意和权限申请,而是进一步延伸至具体行业场景、数据处理全流程和内部管理责任。主要涵盖以下七个方面的内容:
1.App、SDK违法违规收集使用个人信息专项治理
主要针对常见类型App以及嵌入的SDK个人信息收集使用活动。重点问题包括未公开个人信息收集使用规则,未提供有效注销用户账号功能;告知收集使用个人信息情况与实际不一致;未经用户同意收集使用个人信息,强制用户同意收集非必要信息;超出必要范围收集位置、通讯录、短信等信息,超出最低必要频率调用权限等。
2.互联网广告领域违法违规收集使用个人信息专项治理
主要针对互联网广告中介平台、媒体端等个人信息收集使用活动。重点问题包括超出必要范围收集个人信息;未在个人信息处理规则中明确信息用于广告、用户画像等功能;未向用户提供更正、删除、拒绝处理个人信息的便捷渠道;个性化推荐关闭选项不便捷,关闭后未停止收集信息;内部安全管理制度、访问控制、对外提供等制度不健全等。
3.教育领域违法违规收集使用个人信息专项治理
主要针对学校(高等教育学校、高中阶段学校、义务教育阶段学校、幼儿园等)及校外培训机构。重点问题包括处理不满十四周岁未成年人个人信息时未制定专门规则,未取得监护人同意;过度收集位置、学校、学籍、家长身份证号、联系方式、职业等信息;向第三方提供信息未告知、未取得同意;将人脸识别技术作为唯一验证方式;未建立个人信息保护管理制度等。
4.交通领域违法违规收集使用个人信息专项治理
主要针对公路、水路、铁路、民航运输经营者及票务代理、线上出行购票平台、邮政快递企业、公共停车管理平台等。重点问题包括在无关场景收集位置、通讯录等个人信息;公共停车场扫码缴费强制要求注册登录、强制收集手机号;向合作的票务代理等第三方提供信息未告知、未取得同意;泄露用户联系方式、家庭地址、个人行程等信息。
5.卫生健康领域违法违规收集使用个人信息专项治理
主要针对医院、卫生服务中心、卫生所、诊所、疾控中心等医疗卫生机构。重点问题包括App超范围收集位置等信息,未有效核验身份导致他人可查询病历;未经患者同意公开包含患者个人信息的影像图片、文字描述;将人脸识别技术作为唯一验证方式;未建立个人信息保护管理制度,未有效设置访问管理权限;未采取加密、去标识化等安全技术措施;对技术运维等第三方人员管理不到位等。
6.金融领域违法违规收集使用个人信息专项治理
主要针对银行、保险、证券、征信、支付等相关机构,以及互联网助贷平台等。重点问题包括以安全风控、贷款服务等名义收集非必要的通讯录、短信、通话记录、位置、设备信息等;互联网助贷平台向第三方提供信息未告知、未取得同意;将人脸识别技术作为唯一验证方式;未建立个人信息保护管理制度等。
7.个人信息相关违法犯罪案件专项打击治理
主要针对侵犯个人信息违法犯罪活动。重点问题包括聚焦公共服务、金融借贷、医疗教育、生活出行等重点方向,围绕信息泄露、信息倒卖、信息使用环节,严惩行业“内鬼”,严打侵犯公民个人信息违法犯罪。
二、与往年相比的监管变化
一是监管对象从“前端应用”延伸至“行业场景”。此前以App、SDK等产品载体为主要监管对象,本次则聚焦垂直行业领域的业务流程。教育、医疗、金融、交通等领域被分别列项,并清晰地罗列了各行业特性的具体业务环节合规风险。
二是必要性审查内容更加具体。本次专项行动公告多次提到位置、通讯录、短信、通话记录、应用列表等内容,重点整治无关场景收集、超出最低必要频率调用等违规行为,说明监管判断的核心在于为开展某项业务而对个人信息的处理是否满足明确、正当且必要的条件。
三是人脸识别适用边界更加精准。本次行动公告明确,在教育、卫生健康、金融等领域,如存在其他非人脸识别技术方式可以实现身份验证的,则不得将人脸识别作为唯一验证方式。这一要求与2025年生效的《人脸识别技术应用安全管理办法》相衔接,是其在执法中的深化。
四是互联网广告监管更加严格。本次行动要求个人信息处理规则载明信息用于广告、用户画像等情况,并列明向第三方提供信息的种类、目的、方式及接收方信息。对利用自动化决策推送广告的,要求提供易于访问的关闭选项,用户关闭后不得继续收集信息,并应提供删除用户个人特征标签等功能。
五是内部治理责任成为监管重点。本次行动在多个行业反复提到个人信息保护管理制度、访问控制、加密、去标识化、第三方运维管理等要求,监管关注点已延伸至后台访问权限、系统运维、合作方管理和组织责任落实。
此外,本次行动最具威慑力的,应属“个人信息相关违法犯罪案件专项打击治理”。据统计,超过80%的数据泄露源于内部人员的违规操作,公告明确将聚焦信息泄露、倒卖、使用三个核心环节,严惩行业“内鬼”,对侵犯公民个人信息违法犯罪进行全链条打击。
三、对各方的启示
对于企业和服务提供者,则意味着合规要求更高、更细。企业需要重新审视自身的数据处理全流程,仔细核对隐私政策、授权页面、SDK接入情况、接口调用配置与真实处理活动是否一致。完善访问权限分级、批量查询与导出审批、脱敏展示、加密存储、日志留存和离岗权限回收等内部控制措施。特别是在与第三方合作、使用自动化决策、验证用户身份等环节,必须做到合法、正当、必要和透明。涉及处理未成年人个人信息的企业,还需要就未成年人个人信息处理现状开展专项审计与治理工作,确保有专门的规则、取得监护人同意。
对于普通用户而言,本次专项行动传递出明确信号,即每个人的个人信息权利正在被更有力地捍卫。当你想关闭个性化广告时,平台必须提供“易于理解、便于访问和操作”的关闭选项;当你的孩子在学校登记信息时,机构必须征得你的同意;当你在医院就诊时,你的病历信息将受到更严格的访问控制。
另外,公告也明确,有关部门将“对情节严重、拒不整改的依法从严处理”,并根据实际工作需要动态调整重点治理问题。这表明,专项行动并非一阵风,而将是常态化、动态化的治理机制。
五、结语
随着数字生活与现实生活深度融合,个人信息保护已不再是一个技术或法律问题,而是关乎每个人尊严、安全与自由的基本权利。2026年的这场专项行动,正是对这种权利的又一次庄严宣誓与坚实护航。从App权限到校园人脸识别,从医疗病历到金融风控,治理的触角延伸至我们数字生活的每一个角落。这提醒我们,在享受技术便利的同时,绝不能放弃对自身信息的控制权;也警示所有信息处理者,任何对个人信息的掠夺与滥用,都将付出应有的法律代价。保护个人信息,就是保护数字时代的基本人权,在这个进程中,我们每个人都是参与者,也是受益者。
文 | 张帆
 | 团队介绍 华炬数小合数据合规与隐私保护法律(咨询)服务团队,聚焦数据要素市场,服务范围包括数据合规体系建设、数据资产入表、数据产品交易、IPO及上市公司数据合规、公共数据授权运营合规、数据出境合规、重点行业数据与隐私保护等。主要成员包括:邵华、张帆、赵文龙、郝亚菲等,团队成员通过国际认证EXIN DPO(数据保护官)&DPO-PIPL(中国个人信息保护官)认证、中国行为法学会数据资产管理师认证。团队致力于构建“一站式”数据服务模式,协同整合数商生态圈上下游资源,不断在数据要素各应用场景上突破创新,携手合作伙伴共创佳绩。 联系方式:15003511463;13834665942 |
左右滑动,查看华炬数小合服务目录
