2026年个人信息保护系列专项行动解读
2026-05-18
1.前言
2026年4月2日,中央网信办、工业和信息化部、公安部联合发布《关于开展2026年个人信息保护系列专项行动的公告》,将会同相关部门,进一步深入治理App、SDK等服务产品以及互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息典型问题,着力提升人民群众满意度、获得感。针对系列专项行动,三部委制定了专项行动清单。
本文将分领域介绍专项行动清单,以及从个人信息处理者的角度探讨如何规避清单中的重点治理问题。
2.专项行动清单
2.1.移动互联网领域:
移动互联网领域专项行动清单如下图:

规避措施包括:
❶ 通过《隐私政策》、《第三方SDK清单》、《个人信息收集清单》等方式说明个人信息收集使用规则。
在App内提供注销账号功能、投诉举报渠道。
❷ 通过《隐私政策》、《第三方SDK清单》、《个人信息收集清单》等方式完整准确说明个人信息收集情况,且与实际情况保持一致。
❸ 根据《个人信息保护法》的“告知-同意”原则,必须先取得用户同意,然后才能收集用户个人信息。在App首次登录或注册页面,必须通过《隐私政策》告知用户收集个人信息规则,并且取得用户同意之后,才能收集用户个人信息。
❹ 根据《个人信息保护法》,处理个人信息必须满足“合法、正当、必要、诚信”原则。在移动互联网领域,必要个人信息是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。
例如常见的网约车类App,收集乘客的家庭住址、通讯录、短信就属于超出必要范围。
2.2.互联网广告领域
互联网广告领域专项行动清单如下图:

规避措施包括:
❶ 对于互联网广告中介平台、媒体端而言,收集用户个人信息越多,越能绘制准确的用户画像,从而实现精准广告推送营销。但行业的业务需求不能大于法律法规。因此收集个人信息依然需要满足《个人信息保护法》规定的“合法、正当、必要、诚信”原则,例如收集消费者的App应用列表、通讯录、短信就属于超出必要范围。
❷ 对于收集个人信息用于广告、用户画像等功能的,应在《隐私政策》中说明。同样,对于向第三方提供个人信息的,也应在《隐私政策》中说明。
❸ 应向用户提供修改、删除个人信息的功能,允许用户更正、删除个人信息。
❹ 应向用户提供关闭个性化推荐的功能。
❺ 对于个人信息保护管理制度方面,有条件的企业可以建立个人信息保护制度体系;否则至少应制定个人信息保护内部管理、对外提供、访问控制等方面的管理制度。同时,也要采取技术手段保护个人信息,例如对个人信息采取加密传输和加密存储、去标识化,防止个人信息泄露后被非法利用。
2.3.教育领域
教育领域专项行动清单如下图:

规避措施包括:
❶ 根据《个人信息保护法》,不满14周岁的未成年人(即儿童)的个人信息,都属于敏感个人信息(例如未成年人的姓名、年龄)。
因此教育机构处理儿童个人信息,需要制定专门的个人信息处理规则(如儿童个人信息处理原则)、同时还需取得父母或其他监护人(如家长)的同意(建议以书面同意的形式,而非口头同意)。
❷ 教育机构通过各种方式(如网站、App)过度收集家长个人信息(如身份证号、职业)的行为,明显违背了《个人信息保护法》规定的“合法、正当、必要、诚信”原则,属于超出必要范围收集个人信息。教育机构收集家长个人信息的主要目的是和家长建立沟通渠道,而非对家长进行职业调查。
因此与沟通渠道无关的个人信息,均不应过度收集。
❸ 教育机构出于各种原因向合作机构提供个人信息,也应遵循《个人信息保护法》规定的“告知-同意”原则,在告知并取得个人信息主体的同意后,方可提供。
例如,学校向合作机构提供家长个人信息,需要告知并取得家长的同意;学校向合作机构提供学生个人信息,且学生是不满14周岁的未成年人,不仅需要取得学生本人的单独同意,还需要取得未成年人父母或其他监护人的同意。
❹ 教育机构在使用人脸技术时,无论该场景是线下还是线上,均不能将人脸识别作为唯一验证方式。应提供除人脸外的其他验证方式。
例如不刷脸就不能进校门、不能进教室,均属于典型的违规场景。同时,使用人脸识别技术,还应满足《人脸识别技术应用安全管理办法》的要求。例如:收集人脸信息前,开展个人信息保护影响评估;收集的人脸信息,不应上传到互联网等等。
❺ 对于教育机构而言,大部分学生属于未成年人,存在极高的违法违规风险和个人信息泄露风险。
因此建立个人信息保护制度,采取安全防护措施(如个人信息传输加密和存储加密)防止个人信息泄露。
2.4.交通领域
交通领域专项行动清单如下图:

规避措施包括:
❶ 交通领域相关机构通过网站、App在相关场景收集个人信息是符合《个人信息保护法》的“必要”原则的。
例如:在票务购买、改签、退票、行程管理场景中,收集旅客的出发地、目的地、旅客身份证等个人信息;在信件、包裹、印刷品等物品寄递服务场景中,收集寄件人地址、收件人地址,寄件人联系方式、收件人联系方式等个人信息。但在其他无关场景中,收集位置、通讯录等个人信息属于超出必要范围收集个人信息。
❷ 基于《个人信息保护法》的“必要”原则,在公共停车扫码缴费场景中,要求用户注册、登录显然不是开展该场景业务所必需的。扫码缴费在移动支付广泛使用的今天,消费者只需出示付款码即可实现缴费;甚至无需出示付款码,通过NFC功能即可实现缴费。场景极为简便快捷。
如果一个场景就需要消费者注册、登录一个App,不仅失去了扫码缴费本身高效的意义,也容易遭受消费者的抵制。
❸ 交通领域相关机构出于各种原因向合作机构提供个人信息,也应依据《个人信息保护法》规定的“告知-同意”原则,在告知并取得个人信息主体的同意后,方可提供。
如个人信息主体是不满14周岁的未成年人,不仅需要取得单独同意,还需要取得未成年人父母或其他监护人的同意。例如:在票务购买、改签、退票、行程管理场景中,旅客可能是未成年人。
❹ 为了防止个人信息泄露,特别是邮政快递企业、线上出行购票平台应建立个人信息保护管理制度,采取安全技术保护措施。
例如,对个人信息加密传输和加密存储,在快递单或车票上对个人信息进行去标识化处理。
2.5.卫生健康领域
卫生健康领域专项行动清单如下图:

规避措施包括:
❶ 对于医疗卫生机构而言,收集了大量患者的敏感个人信息和个人隐私,需要履行的个人信息保护义务比其他领域更多。不仅需要遵守《个人信息保护法》等法律法规,还需要遵守《医疗卫生机构数据安全和个人信息保护管理办法(试行)》等行业规范。
❷ 部分医疗卫生机构出于科普、宣传等目的,通过直播、短视频等方式公开患者的病历、病史、影像等个人信息,必须经过患者本人同意。对于涉及患者个人隐私的部分,还需经过患者的单独同意。如果患者是不满14周岁的未成年人,不仅需要取得单独同意,还需要取得未成年人父母或其他监护人的同意。
❸ 医疗卫生机构使用人脸技术时,无论该场景是线下还是线上,均不能将人脸识别作为唯一验证方式。应提供除人脸外的其他验证方式。
例如:患者在就诊时,可以通过实体医保卡或电子医保卡验证身份。同时,使用人脸识别技术,还应满足《人脸识别技术应用安全管理办法》的要求。例如:收集人脸信息前,开展个人信息保护影响评估。
❹ 医疗卫生机构发生个人信息泄露的案例较多,因此尤其需要重视个人信息保护工作。在管理层面,有条件的可以建立个人信息保护制度体系;否则至少制定个人信息保护内部管理、对外提供、访问控制等方面的管理制度;
在技术层面,需要落实技术防护手段,如对个人信息传输加密和存储加密,对个人信息去标识化;在供应链层面,需要关注技术支持人员的管理,防止技术支持人员由于误操作或安全意识不足导致的个人信息泄露风险。
❺ 此外,对于处理个人信息已经达到100万人以上的医疗卫生机构,还需要设立个人信息保护负责人,所在地设区的市级网信部门履行个人信息保护负责人信息报送手续。
2.6.金融领域
金融领域专项行动清单如下图:

规避措施包括:
❶ 对于金融机构而言,安全风控、贷款服务都是业务特色。但业务特色不能大于《个人信息保护法》等法律法规,也不能成为超出必要范围收集个人信息的合理理由。对于网络支付场景,必要的个人信息包括:注册用户移动电话号码,注册用户姓名、证件类型和号码、证件有效期限、银行卡号码。
对于网络借贷场景,必要的个人信息包括:注册用户移动电话号码,借款人姓名、证件类型和号码、证件有效期限、银行卡号码。而位置、设备信息、应用列表等个人信息只是为了绘制用户画像,与业务场景并无必要关联。
❷ 互联网助贷平台出于各种原因向合作机构提供个人信息,也应依据《个人信息保护法》规定的“告知-同意”原则,在告知并取得个人信息主体的同意后,方可提供。因未成年人不具有独立民事行为能力,应禁止向未成年人提供服务。
❸ 金融机构使用人脸技术时,无论该场景是线下还是线上,均不能将人脸识别作为唯一验证方式。应提供除人脸外的其他验证方式。同时,使用人脸识别技术,还应满足《人脸识别技术应用安全管理办法》的要求。
例如:收集人脸信息前,开展个人信息保护影响评估。需要注意的是:不是不可以使用人脸识别技术,而是不能只使用人脸识别技术。例如为了验证用户身份,可以综合使用手机号码+短信验证码、人脸识别技术、支付密码等方式。
❹ 与医疗卫生机构一样,金融机构也收集了大量敏感个人信息,不仅需要遵守《个人信息保护法》等法律法规,还需要遵守《银行保险机构数据安全管理办法》、《国家金融监督管理总局办公厅关于加强银行业保险业移动互联网应用程序管理的通知》等行业规范。
2.7.违法犯罪领域
违法犯罪领域专项行动清单如下图:

违法犯罪领域不存在规避措施。法律是红线。遵纪守法是每个公民应尽的义务。法网恢恢、疏而不漏,对于将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的行业“内鬼”,不仅起刑点低,而且判得重。《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《刑法》中均有明文规定。
需要注意的是,使用人脸识别技术虽然带来了极大的便利,但也存在着法律风险。根据《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,以下行为均属于违法行为。
3.后语
3.1.合规义务
总之,专项行动不是优秀线,而是合格线。对于个人信息处理者而言,不仅需要履行《个人信息保护法》、《人脸识别技术应用安全管理办法》等政策法规要求的合规义务;也需要履行本行业本领域的行业合规义务,如医疗卫生机构需要遵守《医疗卫生机构数据安全和个人信息保护管理办法(试行)》,银行保险机构需要遵守《银行保险机构数据安全管理办法》。
个人信息保护常用政策法规如下图:

3.2.合规路径
想要通过体系化的方法开展个人信息保护工作的个人信息处理者,有三条路径。分别是开展个人信息保护合规审计(可以自行或委托专业机构)、个人信息保护影响评估(可以自行或委托专业机构)、获得个人信息保护认证(需要委托认证机构和咨询机构)。
3.2.1个人信息保护合规审计
个人信息保护合规审计适用于处理超过1000万人的个人信息处理者。根据《个人信息保护合规审计管理办法》,需要每两年至少开展一次。
3.2.2.个人信息保护影响评估
个人信息保护影响评估是《个人信息保护法》的要求,因此适用于所有个人信息处理者。且内容并不复杂。但是,在不同场景中,个人信息保护影响评估的内容会有所差异。
3.3.3.个人信息保护认证
个人信息保护认证也适用于所有个人信息处理者,但相对来说周期更长、内容更完整。需要通过认证机构的资质审核与能力验证。通过审核的个人信息处理者可以获取认证证书。
更多新闻
如何获取帮助?
请联系我们!
联系我们
浙江区域联系方式:0571-87759285
上海区域联系方式:13116762668
安徽区域联系方式:18156066590
广西区域联系方式:15678890066
北京区域联系方式:18601383688
其他区域联系方式:15158109776
总部地址:浙江杭州滨江区长河路590号东忠科技园4幢2楼
关注公众号