2025年,中国网络安全与数据保护合规治理迈入由制度建构向体系化运行、由原则规范向深度治理加速演进的新阶段。从立法层面看,全国人民代表大会常务委员会(“全国人大常委会”)完成对《网络安全法》(“《网安法》”)的首次系统性修改,以及《网络数据安全管理条例》(“《网数条例》”)的正式施行,进一步夯实了网络安全、数据安全与个人信息保护协同运行的基础性法律框架,数据治理规则体系的完整性与内在协调性显著提升。在监管实践层面,主管部门围绕具体业务场景持续推进规则落地与监管细化,聚焦数据出境合规路径的制度优化、个人信息保护合规审计的强制实施,以及金融、医疗等重点行业配套规范的密集出台,监管要求由“可预期”向“可执行”转变,合规责任边界与执法尺度日趋清晰,数据安全与个人信息保护底线进一步筑牢。与此同时,在数据要素市场建设方面,政策导向在强化安全治理的基础上,逐步转向促进数据要素高效流通与价值释放,围绕数据定价机制、合规流通路径及利用规则等核心问题展开制度探索,力图在防范风险与激活数据要素潜能之间实现更为精细化的平衡。
展望2026年,新《网络安全法》的正式施行将对企业在网络安全与数据合规治理方面提出新的要求。除此之外,企业还将应对哪些新挑战?接下来我们将分上下两篇文章进一步探讨2025年中国于数据保护与网络安全领域的发展进程以及它们将在2026年迎来哪些变化。
我们将通过以下五个方面,对2025年主要监管和执法发展情况进行重点观察,即:
· 个人信息保护:这一领域的大量立法更新旨在进一步落实《个人信息保护法》(“《个保法》”)中的相关规定。这些监管动态涵盖个人信息保护合规审计、人脸识别、个人信息识别、去标识化与匿名化,以及针对消费等领域的个人信息保护执法行动等多个方面,全面提升了个人信息保护的力度和广度。
· 数据安全:数据安全监管持续深化,围绕不同行业的数据治理,相关法律法规、行政规章和配套标准体系不断完善,整体监管框架日益精细化、可操作化。在切实保障数据安全与个人信息保护的前提下,监管思路更加注重场景化规则设计和制度协同,统筹风险防控与数据要素流通效率,推动监管要求由原则性规范向制度落地和行业实践全面深化。
· 数据跨境传输:这一领域监管体系持续完善、实践不断深化,核心围绕落实《网安法》《数据安全法》(“《数安法》”)《个保法》相关规定,全面构建起多层次、场景化的数据跨境治理框架,涵盖个人信息出境合规体系构建、区域数据跨境试点推进、行业数据跨境指引完善、实操标准细化及合规边界厘清等多个方面,全面提升了数据跨境流动的规范化水平,统筹兼顾数据安全防护与数据要素流通效率,推动数据跨境治理向系统化、规范化方向深化。
· 数据交易:随着数据交易相关基础制度体系建设持续推进,各地在公共数据授权运营、数据要素市场培育等方面不断加大探索力度,积极完善数据流通和交易机制,通过健全规则体系、强化合规监管,进一步规范数据流通交易活动,推动数据资源的高效配置与安全有序流动,不断提升数据资源开发利用水平,释放数据要素价值。
· 网络安全:《网安法》迎来首次修订,通过完善制度、强化责任、提升处罚力度等措施,为构建安全、有序的网络空间提供了更坚实的法治保障。与此同时,一系列新发布或拟发布的国家标准陆续出台,为企业开展网络安全保护工作提供了更为明确、可操作的指引。在执法层面,常态化推进的网络安全执法行动持续强化网络安全治理力度,也进一步释放出监管信号,提示企业切实履行网络安全主体责任,持续提升网络安全防护和合规管理水平。(点击此处阅读我们对《网安法》修订的评论文章)
在本第一篇文章中,我们将概述中国数据保护与网络安全监管在2025年的三大亮点以及个人信息保护在过去一年的发展历程。
第一部分:2025年亮点
在2025年,我们见证了以下三个领域的蓬勃发展:
· 个人信息保护方面,个人信息保护合规审计逐步落实。为压实个人信息处理者个人信息保护主体责任,加强对个人信息处理活动的监督,国家互联网信息办公室(“网信办”)于2025年2月发布了《个人信息保护合规审计管理办法》(“《审计办法》”),对个人信息合规审计的具体措施、适用场景及实施方法提供了明确指引。《审计办法》将合规审计作为推动企业建立健全合规治理体系不可或缺的重要举措,也是落实多层次个人信息保护监督体系的重要抓手。
· 数据跨境传输方面,2025年围绕数据出境安全评估申报、数据出境认证机制以及汽车等重点行业数据跨境流动管理,制度框架不断细化,操作层面的规则和实施细则日益明确,数据出境合规路径趋于稳定和可预期。
· 网络安全管理方面,2025年10月28日全国人大常委会正式通过关于修改《网安法》的决定。本次修订在个人信息保护方面优化了《民法典》和《个保法》的衔接机制,明确了网络运营者以及关键信息基础设施的运营者违反本法规定的法律责任,并在既有制度基础上回应新技术发展需求,新增人工智能治理相关规范,旨在加强网络安全管理,适应新形势下的网络安全需求,进一步夯实了我国网络与数据安全治理的法律基础。
除上述发展外,中国在2025年还发布了一系列拟征求公众意见或正式颁布的实施条例、实施细则以及国家或行业标准。这些措施旨在为数据和网络安全合规提供更实用的指导,进一步加强中国的数据和网络安全治理与执法工作。
第二部分:个人信息保护
1. 监管动态
1)个人信息保护合规审计
2025年,我国个人信息保护工作从原则性规定进入到可操作的规范阶段。个人信息处理者不再仅仅是被动地遵守法律,而是需要主动地开展合规审计,确保其个人信息处理活动符合法律规定。
2月12日,网信办发布《审计办法》,自2025年5月1日起施行。这一办法的出台,填补了我国个人信息保护合规审计领域的法律空白,为个人信息处理者和专业机构开展合规审计提供了明确的法律依据。该管理办法及相应合规指引对开展审计的主体范围、频次、触发情形、专业审计机构资质,以及审计内容等具体内容进行了明确,为企业开展个人信息保护合规审计提供更为具体的实操指引,从而进一步落实《个保法》《网数条例》等法律法规的要求。(更多评论细节详见此处和此处)随后,网信办发布《关于开展个人信息保护负责人信息报送工作的公告》,旨在落实《个保法》《审计办法》关于个人信息保护负责人的相关规定。(点击此处阅读我们对个人信息保护负责人信息报送工作的评论文章)
为了细化《审计办法》的相关要求,全国网络安全标准化技术委员会(“网安标委”)发布《网络安全标准实践指南——个人信息保护合规审计要求》和《网络安全标准实践指南——个人信息保护合规审计专业机构服务能力要求》,形成了一套完整的标准体系。《网络安全标准实践指南——个人信息保护合规审计要求》确立了包括合法性、独立性在内的一系列审计原则,并明确了个保审计的总体要求及实施流程。在内容方法层面,指南涵盖了删除权保障情况、自动化决策处理个人信息等26个审计具体方面,为各类主体如何开展个保审计及留存审计证据提出了明确建议。《网络安全标准实践指南——个人信息保护合规审计专业机构服务能力要求》从基本条件、管理能力、专业能力、人员能力、场所与设备资源能力五个方面,对专业机构提供个人信息保护合规审计服务的能力要求进行了规范。
12月29日网信办发布《关于报送未成年人个人信息保护合规审计情况的公告》,要求处理未成年人个人信息的个人信息处理者,应当于每年1月底前报送上一年度未成年人个人信息保护合规审计情况。开展未成年人个人信息保护合规审计,可以及时发现和纠正个人信息处理者在处理未成年人个人信息过程中存在的问题,保障未成年人的个人信息权益。同时,这也有助于提高个人信息处理者对未成年人个人信息保护的重视程度,促进未成年人个人信息保护工作的开展。
2)人脸识别管理
人脸信息是敏感个人信息,一旦泄露容易对个人的人身和财产安全造成重大危害,甚至威胁公共安全。3月21日,网信办及公安部联合发布《人脸识别技术应用安全管理办法》(“《人脸识别管理办法》”),完善了我国人脸识别技术法律规范体系,标志着我国人脸识别技术监管进入新的阶段。(点击此处阅读我们对《人脸识别管理办法》的评论文章)《人脸识别管理办法》将《民法典》《个保法》等上位法中的原则性规定落实为人脸识别技术应用的具体规范,明确了应用人脸识别技术处理个人信息时应当遵循的告知同意、专门存储、个人信息保护影响评估等义务要求,并强调存在其他非人脸识别技术方式的,不得将人脸识别作为唯一验证方式。针对敏感个人信息,网安标委发布《数据安全技术 敏感个人信息处理安全要求》,对敏感个人信息处理的一般安全要求作出了详细规定,并对生物识别、宗教信仰、金融账户等特定类别敏感个人信息处理活动施加了额外的安全要求。(点击此处阅读我们对《数据安全技术 敏感个人信息处理安全要求》的评论文章)结合人脸识别支付这一具体场景的技术特征和应用现状,网安标委发布《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》,详细阐述了人脸识别支付服务提供方、人脸验证服务方、场所管理方以及设备运营方在数据处理过程中应承担的安全保障义务,将个人信息安全保护制度要求落实到人脸支付场景。
为了落实《人脸识别管理办法》第15条的规定,网信办发布《关于开展人脸识别技术应用备案工作的公告》,要求自2025年6月1日起应用人脸识别技术处理的人脸信息存储数量达到10万人的个人信息处理者,应在自数量达到之日起30个工作日内向所在地省级网信部门备案;6月1日前已达到的,需在7月14日前完成备案;备案信息实质性变更的,需在变更后30个工作日内办理变更手续。各地方网信办积极响应,纷纷发布关于开展人脸识别技术应用备案的通知。
3)个人信息识别、去标识化与匿名化
网安标委发布就《网络安全标准实践指南——个人信息保护 个人信息匿名化指南(征求意见稿)》《网络安全标准实践指南——个人信息保护 个人信息去标识化指南(征求意见稿)》《网络安全标准实践指南——个人信息保护个人信息识别指南(征求意见稿)》,旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等,提供标准化实践指引:
· 《网络安全标准实践指南——个人信息保护 个人信息识别指南(征求意见稿)》明确了“各种信息”“有关”“已识别或者可识别”“自然人”四大个人信息识别要素。其中,“各种信息”涵盖关于个人的各种纪录或描述;当某项信息的“内容”“目的”“结果”有一项涉及特定个体即认定此项信息与特定个人“有关”;当某自然人在群体中可被区分于其他所有成员或具备此种可能性针即满足“已识别或者可识别”。
· 《网络安全标准实践指南——个人信息保护 个人信息去标识化指南(征求意见稿)》明确了基于脱敏技术的简单去标识化(“脱敏”)以及基于假名替换技术的复杂去标识化(“假名化”)两种核心去标识化技术路径,给出了假名化的实现框架、流程步骤、安全保障措施,以及常见类型个人信息脱敏示例。
· 《网络安全标准实践指南——个人信息保护 个人信息匿名化指南(征求意见稿)》明确个人信息匿名化的判断规则、实现方式、适用场景及相关技术,要求有效的个人信息匿名化处理要同时满足“不可单独挑出、不可链接、不可推断”。
4)多领域细化《个保法》相关规定
2025年,消费、医疗、科技和互联网等诸多领域也针对个人信息保护义务作出了明确要求。
· 在消费领域,网安标委发布实践指南《网络安全标准实践指南——扫码点餐个人信息保护要求》,明确扫码点餐仅可收集订单、支付信息及平台用户ID等必要信息,不得强制手机号、位置信息或强制关注公众号;餐饮商家须在用户首次使用时明示处理规则并获主动同意,并建立15个工作日内响应的投诉机制。海南网信办等部门发布《海南省商场超市消费领域个人信息保护合规指引》,面向海南省内各类商场超市,为其开展经营活动时合规处理个人信息作出了明确指引,提升经营者个人信息保护合规水平。
· 在公共安全领域,国务院发布《公共安全视频图像信息系统管理条例》,明确了视频图像信息在存储期限及安全管理等方面的具体要求,旨在规范公共安全视频图像信息系统的部署和使用,加强公共安全和个人隐私保护。公安部配套发布《公共安全视频图像信息系统监督管理工作规定》,旨在贯彻落实《公共安全视频图像信息系统管理条例》的有关规定,规范公安机关对相关信息系统建设、使用的监督管理。
· 在医疗健康领域,国家卫健委发布《关于进一步加强医疗机构电子病历信息使用管理的通知》,明确医疗机构对电子病历信息承担主体责任,应当按“最小可用”原则设定相关人员访问权限和时限,并将规范使用情况纳入绩效考核。医疗机构还应当建立电子病历信息安全防护体系以保障数据安全。对违规操作、泄露等行为,通知规定有关部门将依法追责,从而规范医疗机构和医务人员对患者医疗信息的使用。
· 在科技和互联网领域,为落实《个保法》《网安法》《反电信网络诈骗法》等要求,降低号码泄露并遏制电诈与骚扰,工业和信息化部(“工信部”)发布《关于开展号码保护服务业务试点的通知》,开展号码保护服务业务试点。网信办、公安部就《大型网络平台个人信息保护规定(征求意见稿)》公开征求意见,对大型网络平台提出设立个人信息保护负责人、开展合规审计等更高治理要求,规范大型网络平台个人信息处理活动,保护个人信息合法权益,促进平台经济健康发展。此外,网信办等六部门联合发布《国家网络身份认证公共服务管理办法》,国家网络身份认证公共服务平台以法定身份证件信息为基础,推动以网号、网证方式实现非明文身份认证,减少明文身份信息集中收集,加强公民身份信息安全。
通过上述制度安排的逐步实施,我国个人信息保护由原则性规范向精细化、场景化治理转变,不仅进一步厘清了不同主体在个人信息处理中的责任边界,也有效平衡了公共安全、商业运营与个人隐私保护之间的关系,为个人信息权益保障和数字经济健康发展提供了更加系统、稳定的制度支撑。
2. 执法动态
2025年,个人信息保护专项行动继续由网信办牵头,并与工信、公安、市场监管等部门形成常态化执法机制。重点核查APP及平台型企业在个人信息处理环节的实质合规情况。
2025年,中国持续加强个人信息保护领域的执法力度,确保企业有效遵守和落实《个保法》等法律规范的相关要求。各类执法主体广泛参与到了相关执法活动当中。此外,多地开展了历时长久的个人信息保护专项执法活动,网络执法与线下监管双管齐下,重点聚焦APP及小程序、SDK、智能终端、公共场所人脸信息采集、线下消费场景信息收集、个人信息领域违法犯罪等六类高发问题,明确对整改不到位、问题突出的主体从严处置。总体而言,个人信息保护执法于2025年延续了过去常态化执法的趋势,并持续深化各重点领域的执法活动。
移动应用程序、小程序和智能终端 | |
执法主体 | 网信办(及其他地方分支机构)、工信部(及其地方分支机构)和各地公安部门 |
执法概况和重点 | 2025年3月,网信办、工信部、公安部、市场监管总局联合发布《关于开展2025年个人信息保护系列专项行动的公告》,部署贯穿全年的集中治理工作。专项行动开展后,国家及地方层面累计通报近4000款APP、小程序及SDK,通报对象覆盖国资、外资等不同背景企业,部分未及时整改的应用被下架,凸显个人信息保护领域监管与处罚持续收紧的态势。 · 检查范围:APP、智能设备、线下场景等。APP包括移动应用、小程序、车载APP、微信公众号等。 · 主要违法类型:违法、超范围收集使用个人信息,强制用户使用定向推送功能,APP强制、频繁、过度索取权限等问题。 |
处罚 | 对相关移动程序、小程序等进行约谈;定期通报并责令其限期整改;对于不履行或未正确履行整改要求的,进行下架;对于未落实个人信息安全保护义务的企业予以警告并责令整改。 |
地方个人信息保护专项治理行动 | |
执法主体 | 地方网信办 |
执法概况和重点 | · 2025年,各地网信办相继开展个人信息保护专项治理行动,打击常见消费等领域存在的侵犯个人信息权益的重点问题。其中,对于移动应用程序、小程序的治理是各地开展专项行动的一大重点。此外,在执法行动中,各地网信办亦深入线下,要求相关企业落实个人信息安全保护责任等。以下是2025年部分地区开展的专项治理行动: o 北京开展公共场所“强制刷脸”专项治理,聚焦公共场所人脸识别和线下消费环节,覆盖交通运输、住宿旅游、教育培训、文化体育、物流商贸等领域,按“自查摸底—部门督查—网信抽查”工作路径闭环推进。此外,北京还开展了民生消费领域数据安全和个人信息保护专项整治,对智慧停车、线上点餐、运动健身、酒店住宿、线上诊疗、少儿培训、房产中介、租借充电宝、生活服务、电影购票、网上加油等民生类App开展专项检查,覆盖经营主体逾5万家,随机远程检测197款应用,发现未公开收集规则、未征得同意、未进行脱敏处理等各类隐私合规问题388项并督促整改。 o 上海在总结2023、2024年度“亮剑浦江”专项行动有关经验的基础上开展“亮剑浦江·2025”个人信息权益保护专项执法行动,持续聚焦消费领域个人信息保护、平台服务涉个人信息保护、未成年人个人信息保护三大领域,防止个人信息“过度采、强制要、诱导取、违规用”乱象在消费领域反弹、无用户个人信息删除功能和账号注销功能、对删除个人信息设置不合理条件、未取得监护人同意收集儿童个人信息、强制或超范围收集儿童个人信息等八项执法重点。 o 湖南开展“亮剑湖湘·民生领域个人信息权益保护”专项行动,聚焦个人信息安全问题突出的教育培训、医疗健康、金融理财、房产物业等民生领域,重点整治违规采集人脸信息、采集范围过度、获取方式不当、保护措施不力、违法使用问题突出等五类违法违规收集使用个人信息的问题。 |
处罚 | 对违规移动应用程序、小程序进行通报并责令其限期整改;线下执法活动中,对违法企业予以警告并责令其整改;各地专项治理行动通常采取约谈违规企业,并通过开展合规培训等方式要求企业及时整改。 |
个人信息保护典型案例 | |
执法主体 | 人民法院,人民检察院,公安部 |
执法概况和重点 | · 最高法发布利用网络、信息技术侵害人格权典型案例,明确AI配音、AI换脸、买卖人脸信息、远程控制家庭摄像头、账号“挂人”煽动网暴等行为均可构成侵权,并须承担民事或刑事责任。 · 最高人民检察院发布侵犯公民个人信息犯罪的案例,犯罪呈现“三新”趋势:一是灰黑产市场驱动针对性获取公民个人信息;二是犯罪技术迭代,犯罪手段更加智能化隐蔽化;三是网络“开盒”助推网暴升级。检察机关强调将不断强化侵犯公民个人信息违法犯罪打击力度,严查公民个人信息数据泄露源头,维护公民信息权益。 · 公安部公布侵犯公民个人信息犯罪典型案例,相关案例发生于教培机构、快递行业、招聘网站、医保部门等多个领域,涉及个人信息非法获取及牟利等违法犯罪问题。 |
处罚 | 停止侵权、赔礼道歉、赔偿损失等;警告、罚款、判处有期徒刑等。 |
3. 2026年展望
2025年发布的新法新规对《个保法》原则性要求的具体展开。2026年,我们预计中国个人信息保护将呈现出规则稳定、执行强化、治理深化的特征。在制度框架基本完备的基础上,监管重心将逐步从立法与规则发布,转向执行效果、责任落实与治理能力评估。对企业而言,个人信息保护合规将不再只是应对检查或满足形式要求,而是需要通过组织架构、技术能力与流程管理的系统性建设,实现长期、可持续的数据合规与信任治理。结合2025年立法执法趋势,我们对2026年作出以下展望:
· 个人信息保护合规审计从走向“常态化与问责化”:展望2026年,个人信息保护合规审计将从制度初建阶段全面迈入常态化实施与实质化问责阶段。《审计办法》及配套实践指南在2025年完成规则搭建后,2026年监管重点预计将转向审计结果的运用与监督执行,包括对未依法开展审计、审计流于形式或整改不到位情形的执法衔接。与此同时,个人信息保护负责人制度、专业审计机构资质管理与行业自律机制有望进一步细化,合规审计将不再是一次性合规动作,而是企业数据治理体系中的核心组成部分,逐步与风险评估、内部控制、问责机制形成闭环。
· 人脸识别管理的强监管与场景化细分:随着《人脸识别管理办法》的实施,2026年人脸识别监管预计将呈现出强执法监管与场景精细化规范并行的趋势。一方面,人脸识别备案制度将成为监管部门掌握技术应用底数、开展分类监管的重要抓手,未备案、超范围使用或替代性技术不足的情形可能面临更明确的执法后果;另一方面,围绕支付、出入管理、公共服务等具体场景的标准与指引将持续细化,推动“最小必要”等原则真正嵌入产品设计与业务流程之中。
· 个人信息识别、去标识化与匿名化标准有望正式落地:围绕个人信息识别、去标识化与匿名化的多项实践指南在2026年有望正式落地并对合规实践产生实质影响。匿名化的适用边界、技术可行性与责任分配也将进一步清晰,推动个人信息保护从法律解释问题,逐步转化为技术与管理能力并重的合规挑战。
· 个人信息保护执法常态化:我们预计2026年中国将在个人信息保护领域持续开展常态化执法。网信办、工信部、公安部门等多部门将继续协同合作,依据各自职责开展广泛执法。执法范围将继续扩大,从下沉市场到中型企业,开展多层次多维度的个人信息保护监管。
联系我们:龚钰 |
| 汪依婷 |
| 常静雯 |
|
| |||
+86 10 5933 5699 |
| +86 10 5933 5542 |
| +86 10 5933 5509 |
* 特别感谢实习生张竞宇和武麟对本文撰写的贡献。
关注我们:
