从首部年度报告看个人信息保护 | 三大主体合规指南

前言

2026年6月12日，国家网信办正式发布《中国个人信息保护报告（2025年）》，这也是我国首份个人信息保护综合性年度报告。报告用海量真实数据、监管案例、治理成果，复盘了2025年全国个人信息保护全链条工作：全年通报1100余款违规App、SDK，侦办信息窃取倒卖案件7800余起，抓获嫌疑人9400余名，同时“一揽子授权”“无隐私政策”等高频投诉问题持续下降。

这份报告不仅是监管工作的成绩单，更是所有市场主体、普通民众的合规风向标。结合《个人信息保护法》《网络安全法》《网络数据安全管理条例》《电信和互联网用户个人信息保护规定》《人脸识别技术应用安全管理办法》等配套法律法规，以及数据隐私保护相关实务经验，本文将梳理政府监管部门、互联网平台/企业、第三方服务机构三大主体的现存风险，并提出针对性合规建议。

一、个保参与主体归纳

结合报告内容及现行法律框架，当前个人信息保护体系包含五大参与主体，每个主体职责、风险、合规侧重点完全不同，也是监管重点覆盖的对象：

1.政府及监管部门（网信、工信、公安、市场监管、教育、税务、邮政等行业主管部门）：规则制定、执法监管、风险排查、司法协同，是整个体系的“掌舵者”与“执法者”。

2.个人信息处理主体（核心主体）：涵盖App运营方、SDK服务商、智能终端厂商、线下商户（商超、餐饮、停车场）、金融/教育/寄递/招聘等行业企业，也是违规高发群体。

3.第三方服务机构（合规审计机构、认证机构、人脸识别技术服务商、云服务厂商、数据出境服务机构）：承接外包服务，属于中间环节，极易出现连带违规风险。

4.行业社会组织（网络空间安全协会、各类行业自律组织）：承担行业自律、投诉受理、合规引导、公约制定等职能，是政府与企业之间的桥梁。

5.普通公民（个人）：既是个人信息的所有者与权益主体，也是信息泄露、滥用的主要受害者，同时负有自我防护、依法维权的责任。

下文结合报告披露的监管重点、违规痛点，区分政府监管部门、互联网平台/企业、第三方服务机构三大主体，剖析合规风险并提出实操合规建议。

二、合规实操建议

（一）政府及监管部门

现存问题

1.线下场景监管存在盲区：全国排查14万余个线下场所，仍发现8300余起违规收集个人信息问题，扫码点餐、停车、自动售卖等民生场景违规多发。

2.跨部门协同仍有提升空间：人脸识别、未成年人信息保护、数据跨境等场景，存在监管权责交叉、衔接不畅问题。

3.普法宣传分层不足：老年人、偏远地区群众、新业态从业者（外卖骑手、网约车司机）的个人信息防护意识薄弱。

4.投诉处置效率待优化：全年受理1.5万条投诉，“未经同意对外提供信息”占比43.25%，部分投诉存在处置流程长、反馈不及时问题。

合规治理建议

1.场景化专项排查，扫除线下监管盲区

聚焦扫码消费、公共场所刷脸、酒店住宿、房屋销售等高频违规场景，制定场景合规清单。例如针对扫码点餐，明确不得强制授权手机号、不得强制关注公众号的底线；针对停车场、小区门禁人脸识别，严格落实“非必要不刷脸”，完成人脸识别应用备案（报告显示目前已完成500余起备案）。同时建立场所问题台账，对反复违规的线下商户联合市场监管部门联合惩戒。

2.建立跨部门联动机制，实现“一次检查、全域互通”

网信部门牵头，联合工信、公安、行业主管部门（教育、金融、邮政）组建常态化联合检查组。针对App、智能终端实行检测结果共享，避免重复检查；针对“网络开盒”、信息倒卖等黑灰产业，公安、检察院、法院建立线索移送通道，延续“净网”“护网”专项行动高压态势，全链条打击犯罪。

3.分层开展精准普法，告别“一刀切”宣传

延续“数安中国行”“全国网络普法行”等品牌活动，针对不同群体定制内容：面向未成年人开展校园课堂、线上知识竞赛；面向老年人发放防诈骗手册、社区现场教学；面向企业从业者开展合规培训。依托国家网络身份认证平台（下载量超6000万、认证1.7亿次），引导公众主动使用安全身份工具，从源头降低信息泄露风险。

4.优化投诉举报闭环，提升维权处置效率

依托行业协会投诉渠道，简化投诉入口，明确7个工作日基础反馈时限。对占比最高的“未经同意外泄个人信息”类投诉，建立快速核查通道；定期公示投诉整改案例，既震慑违规主体，也向公众普及维权知识。

（二）个人信息处理主体（企业/平台/商户）

这是监管处罚的核心对象，报告显示1100余款App、SDK，20款智能终端被公开通报，违规集中在超范围收集、一揽子授权、未公示隐私政策、强制刷脸、违规对外共享信息五大问题。

通用基础合规动作

1.摒弃“一揽子授权”，落实单独、分项授权

这是投诉量下降的核心整改点，也是当前监管红线。

• App/小程序：将相机、位置、通讯录、相册、麦克风等权限拆分授权，禁止“打开App必须同意全部权限”。非必要权限设置“拒绝后仍可正常使用基础功能”，例如短视频App，拒绝位置权限不影响刷视频。
• 线下商户（扫码点餐、扫码停车）：仅收集必要信息，禁止强制收集手机号、微信昵称、地理位置，支持“游客模式”使用基础服务。

2.优化隐私政策，做到“看得懂、找得到”

杜绝冗长晦涩的“天书式条款”，落实法规要求：

• 展示形式：App将隐私政策放在首页显著位置，线下场所张贴精简版公示（A4纸醒目张贴）；采用分层展示，核心内容（收集什么、用来干嘛、是否共享）加粗高亮，专业内容附链接跳转。
• 核心内容必须写明：信息收集范围、存储期限、对外共享对象、用户删除/更正/注销的具体路径，存储期限遵循“最短必要”原则，到期自动清理信息。

3.建立用户权利响应机制，按时处置诉求

法律明确用户享有查询、更正、删除个人信息、注销账号、撤回同意的权利。

• 明确响应时限：普通诉求15个工作日内办结，账号注销不得设置额外门槛（如必须清空积分、绑定银行卡才能注销）。
• 留存处置记录：对用户的删除、更正申请存档，留存至少1年，应对监管抽查。

4.内部数据管控，严防内部泄露

• 员工权限分级：普通运营人员仅能查看脱敏信息，核心用户数据设置专人专管，禁止私自导出、转发。
• 定期安全自查：每月开展一次内部数据风险排查，每季度做基础安全检测；处理100万人以上个人信息的企业，按要求报送个人信息保护负责人信息（目前全国已录入2800余份）。

细分场景专项合规

1.App&SDK服务商

• SDK管理：建立SDK台账，审核嵌入的第三方SDK合规性，明确双方数据安全责任，杜绝SDK后台潜水收集信息。
• 整改跟进：参考行业协会发布的115款合规整改App案例，针对超范围收集、权限滥用问题逐项优化，主动对接监管完成整改复核。

2.智能终端厂商（手机、儿童手表、智能家居）

严格执行2025年新发布的两项强制性国家标准：《儿童手表安全技术要求》《数据安全技术 电子产品信息清除技术要求》。

• 儿童设备：禁止过度收集未成年人位置、通讯录信息，限制远程监听、自动拨号功能，防范网络沉迷与信息泄露。
• 二手设备：产品回收、翻新前，必须彻底清除内置个人信息，留存清除记录不少于3年，未清信息禁止二次销售。

3.人脸识别应用主体（小区、商场、门禁、打卡设备）

• 备案注意：人脸信息存储量达10万人的主体，必须完成人脸识别技术应用备案，未备案不得继续使用。
• 替代方案：推行“刷脸+刷卡/密码”双选项，禁止强制刷脸；人脸数据本地存储，禁止随意上传至第三方服务器，不对外共享人脸信息。

4.重点行业（金融、寄递、教育、招聘、税务）

• 寄递行业：全面使用隐私运单，隐藏收件人手机号、地址，禁止面单随意丢弃。
• 招聘/高考场景：严防求职者、考生信息泄露，招聘平台禁止向第三方倒卖简历，高考相关信息仅限官方合法用途使用。
• 金融行业：处理银行卡、征信等敏感信息，必须获取用户单独同意，全程加密传输与存储，落实数据跨境合规要求。

5.涉及个人信息出境的企业

严格遵循《个人信息出境认证办法》，如需向境外提供信息，提前完成出境认证备案；6个自贸试验区及海南自贸港企业，严格对照数据出境负面清单开展业务，未经认证禁止违规跨境传输数据。

高频风险红线

1.不得在用户拒绝授权后，反复弹窗索要权限；

2.不得将收集的个人信息私自倒卖、出租、无偿提供给第三方；

3.处理医疗、金融、人脸、行踪等敏感个人信息，必须单独同意，不得混入普通授权；

4.未成年人信息实行特殊保护，收集14周岁以下儿童信息，必须征得监护人同意。

（三）第三方服务机构（审计、认证、技术服务商）

报告显示，目前全国已有13家机构通过个人信息保护合规审计服务认证，1531人取得合规审计人员证书，3家机构完成个人信息出境认证备案。第三方机构属于“传导型风险主体”，一旦履职不当，会同时连累自身与合作企业。

现存风险

1.合规审计机构：转委托审计、连续多次为同一企业审计、泄露审计过程中获取的用户信息；

2.认证机构：虚假认证、未动态核查获证企业合规状态；

3.技术服务商（云、人脸识别、大数据）：依托技术便利超范围抓取、缓存用户信息。

合规建议

1.合规审计机构（严格遵循《个人信息保护合规审计管理办法》）

• 资质与流程：仅在自身资质范围内开展业务，禁止转委托其他机构承接审计项目；同一机构及审计负责人，不得连续3次以上为同一企业审计，主动执行轮岗要求。
• 保密义务：审计过程中接触的个人信息、企业商业秘密，全程加密存储，审计结束后彻底删除相关原始数据，绝不私自留存、外泄。
• 报告真实客观：不出具虚假合规报告，发现企业重大违规问题，第一时间向网信等监管部门上报。

2.个人信息/数据出境认证机构

• 动态监管：对已认证企业开展常态化抽查，发现企业实际出境行为与认证范围不符，立即暂停、撤销认证证书，并上报监管部门。
• 台账管理：按要求向全国认证认可信息公共服务平台报送认证证书信息，做到认证记录可查、可追溯。

3.技术服务厂商（云服务、人脸识别、数据处理）

• 边界清晰：仅按照合作协议提供技术服务，不得超范围收集、缓存、分析用户个人信息；
• 应急联动：合作企业发生信息泄露事件时，第一时间配合溯源、阻断风险，留存技术日志配合监管调查。

三、总结：个人信息保护进入“全民共治”新阶段

从国家网信办首份年度报告可以看出，我国个人信息保护已经从专项整治转向常态化、精细化、全主体共治的新阶段：制度层面，《个人信息保护法》《网络安全法》《网络数据安全管理条例》等法规+多项国家标准形成完整规则体系；监管层面，多部门联动、线上线下全覆盖，处罚力度持续加码；社会层面，行业自律、第三方服务、公众维权形成合力。

数字时代，个人信息是数字生活的通行证。政府守好监管底线、企业恪守合规准则、第三方严把职业操守、行业发挥自律作用、个人提升防护意识，多方携手，才能真正实现数据合理利用，隐私有效保护，让数字经济在安全的环境中稳步前行。