2026年5月,中国持续推进数据安全与个人信息保护领域的制度建设与执法落地,通过政策宣讲、专项整治等方式强化主体责任,提升全行业合规能力:
一、政策宣贯与合规指导
5月15日,"数安中国行"系列宣讲会在山西太原举办,由国家网信办网络数据管理局指导,山西、河北、内蒙古三地网信办主办。国家网信办、中国电子技术标准化研究院等单位专家深入解读数据安全和个人信息保护政策法规体系,以及数据出境安全管理、个人信息保护认证、个人信息保护合规审计等制度标准规范。山西网信办有关同志分享了山西省加强政务数据安全管理,推进公共数据资源授权运营等方面的实践经验。来自三地党政机关、事业单位、重点企业的300余名代表参加了宣讲会。
5月22日,由国家互联网信息办公室网络数据管理局指导,北京市互联网信息办公室主办的"数安中国行------2026年数据安全和个人信息保护政策法规系列宣讲会(北京站)"成功举办。国家网信办、中国电子技术标准化研究院等单位专家深入解读数据安全和个人信息保护政策法规体系、数据出境安全管理制度、个人信息保护合规审计制度等,并介绍了个人信息保护专项治理情况。北京市网信办相关同志还介绍了今年北京网络数据安全和个人信息保护专项整治工作部署安排和整治标准。
5月29日,"数安中国行"系列宣讲会在山东济南举办,国家网信办网络数据管理局有关负责同志及行业专家解读了数据安全和个人信息保护政策法规体系,以及数据出境安全管理、个人信息保护合规审计等制度标准规范。山东网信办有关同志分享了山东省数据安全与个人信息保护合规实践经验。
二、专项行动持续深化
4月启动的2026年个人信息保护系列专项行动在5月持续推进,中央网信办、工信部、公安部重点治理以下领域:
(一)违法犯罪打击
典型案例:最高法发布5起个人信息保护刑事典型案例5月8日,最高人民法院发布依法惩治侵犯公民个人信息犯罪典型案例,涵盖医疗数据泄露、行业"内鬼"倒卖信息、黑客窃取数据等多种类型。其中,某医疗外包公司在为医院开发系统时窃取287万条患者信息用于牟利,被判处单位罚金30万元,负责人获刑四年;某科技公司未经用户同意强制收集500万条人脸信息,被处罚金50万元并责令删除全部非法数据。
-
某医疗外包公司在为医院开发系统时,非法窃取287万条患者信息用于牟利,被判处单位罚金30万元,负责人获刑四年;
-
某铁路员工利用职务便利,查询并出售高铁乘客信息获利19万元,被判处有期徒刑三年八个月,并处罚金20万元;
-
某犯罪团伙通过木马程序入侵HPV疫苗预约网站,窃取29万余条女性信息用于诈骗,主犯获刑十一年九个月;
-
某犯罪团伙非法获取6亿余条公民个人信息用于"开盒"网暴,被依法严惩;
-
某科技公司未经用户同意强制收集500万条人脸信息,被处罚金50万元并责令删除全部非法数据;
最高法表示,此次发布典型案例旨在统一法律适用尺度,强化警示震慑,引导全社会重视个人信息保护,助力网络空间治理。
(二)App、SDK违法违规治理
典型案例:医疗APP违规收集敏感信息被重罚5月,国家计算机病毒应急处理中心通报9款医药健康类应用存在违规收集使用个人信息问题,其中港股上市企业固生堂旗下"固生堂中医i"小程序因未明示隐私政策、未提供注销账号功能、未采取加密措施等多项违规被点名;北京朝阳医院官方应用"朝阳健康云"因向第三方共享患者病历信息未履行告知义务被责令整改。相关企业被要求限期完成数据安全整改,逾期未改将面临下架处理。
重点整治未公开个人信息收集使用规则、未经用户同意收集使用个人信息、超出必要范围收集使用个人信息等问题,督促企业完善注销账号功能、建立投诉举报渠道。
(三)重点领域合规整治
典型案例:互联网广告平台违规收集用户信息被处罚5月,上海市市场监管局联合市网信办开展互联网广告领域个人信息保护专项整治行动,查处某头部广告平台未经用户同意收集浏览记录、搜索关键词等个人信息用于精准广告投放的违法行为。该平台未在隐私政策中明确告知个人信息用于广告推荐的具体规则,也未提供关闭个性化推荐的便捷渠道,被责令限期整改并处罚款50万元。
典型案例:交通领域整治扫码强制注册乱象5月,上海市交通委员会联合市网信办开展停车场扫码缴费专项整治行动,排查发现全市127家公共停车场存在扫码缴费强制要求用户注册会员、过度收集手机号等个人信息问题。其中,上海某商业综合体停车场因未提供非注册缴费渠道、强制收集用户地理位置信息被责令整改,相关运营方被要求在15日内完成系统升级,保留现金、ETC等多元化缴费方式,并删除违规收集的用户信息。
典型案例:保险机构启动个人信息保护专项治理5月,瑞众保险河南分公司全面启动金融领域违法违规收集使用个人信息专项治理工作,聚焦三大风险领域实行全域排查:一是规范线上信息采集与权限管理,严禁以风控、服务等名义强制收集通讯录、定位、设备信息等非必要数据;二是规范人脸识别技术应用,杜绝将人脸识别设为唯一核验方式;三是完善制度体系与安全防护,全面排查数据安全隐患。治理工作分为自查、整改复核与"回头看"两大阶段,对虚假整改、整改不到位的将依规采取约谈、通报、暂停服务等处置措施。
典型案例:银行业数据安全监管升级,罚单金额超7000万元截至2026年5月26日,监管共向银行开出涉及数据安全与个人信息保护的罚单56张,罚款金额超7000万元,已接近2025年全年3700万元的两倍。其中,中行福建分行因"违反数据安全管理规定"等7项违规事由被罚315万元,泉州银行因"第三方合作数据安全风险管控不到位"等8项违规被罚625万元,成为年内银行业数据安全相关罚单中金额最高的一笔。从被罚机构结构看,农商行、农信社合计占比高达71%,成为"重灾区"。
典型案例:房地产公司未履行网络安全保护义务被罚5月,某房地产开发公司因未严格履行网络安全保护义务,未采取监测、记录网络运行状态、网络安全事件的技术措施,导致不法分子利用其移动工作平台OA办公系统漏洞上传木马病毒并发布有害信息,被公安部门依法处以95000元罚款,对相关责任人处以45000元罚款。
典型案例:教育系统专项整治未成年人信息泄露5月29日,佛山市南海区教育局印发《教育系统网络信息安全专项整治行动方案》,针对辖区内学校存在的学生信息过度收集、数据存储不规范等问题开展专项治理。行动重点排查教育平台未取得监护人同意收集未成年人信息、违规向第三方共享学生数据等行为,要求学校建立学生信息分级保护制度,对涉及未成年人的敏感数据采取加密存储、权限管控等措施。
针对互联网广告、教育、交通、卫生健康、金融等领域,重点治理过度收集个人信息、未经同意向第三方提供个人信息、强制索取权限等问题。例如,教育领域重点整治处理未成年人个人信息未取得监护人同意、过度收集家长信息等问题;交通领域聚焦公共停车场扫码缴费强制注册、购票平台违规共享个人信息等问题。
三、地方实践与案例通报
5月,各地网信部门结合本地实际开展精准执法,通报多起典型案例:
典型案例:广东查处App强制授权乱象广东省网信办通报12款存在过度索权问题的App,其中某生活服务类App因强制要求用户开启通讯录、定位权限方可使用基础功能,被责令限期整改并公开致歉。
典型案例:浙江整治大数据"杀熟"行为浙江省市场监管局联合省网信办查处某电商平台利用用户消费数据实施差异化定价的违法行为,依法责令平台停止违法行为并处罚款80万元。
典型案例:四川规范政务数据共享四川省大数据中心印发《政务数据共享安全管理细则》,明确政务数据共享的权限管理、安全审计等要求,对3家违规共享政务数据的单位进行通报批评。
典型案例:江苏整治App超范围收集个人信息5月,江苏省网信办联合省通信管理局开展App违法违规收集使用个人信息专项整治,通报15款存在超范围收集个人信息、强制索取权限等问题的App。其中,某生活服务类App因强制要求用户开启通讯录权限方可使用基础功能,被责令限期整改并公开致歉;某电商平台因未经用户同意向第三方共享购物记录,被依法处罚款20万元。
各地网信部门持续开展执法行动,通报多起违法违规案例。例如,部分地区通报了App强制索取权限、超范围收集个人信息等问题,要求相关企业限期整改;针对未落实个人信息保护管理制度、存在泄露风险的企业,依法予以处罚并督促完善安全措施。
四、新发布法规与标准
《公安机关电子数据取证规则(征求意见稿)》发布2026年5月22日,公安部发布《公安机关电子数据取证规则(征求意见稿)》,首次将刑事侦查与行政执法电子数据取证统一规范,新增"密码处置""电子数据恢复""电子数据抽样取证"等核心措施,明确加密数据取证的法定流程,强化取证全流程安全管控。
《国务院2026年度立法工作计划》发布2026年5月11日,国务院办公厅印发《国务院2026年度立法工作计划》,围绕人工智能、网络安全、数据安全等领域部署多项立法任务,包括加快推进人工智能健康发展综合性立法、预备制定《网络安全等级保护条例》、修订《互联网信息服务管理办法》等,明确将网络安全作为人工智能的"刚性要求"。
《网络数据安全管理条例》正式施行2026年5月,《网络数据安全管理条例》正式施行,标志着我国数据安全监管进入法治化新阶段。条例明确了数据处理者的合规义务,要求企业建立数据分类分级保护制度,落实数据安全全流程管控。头部互联网企业迅速响应,建立三级数据治理委员会,修订用户信息收集与使用管理办法,将"最小必要""告知同意"原则细化为可执行标准。
《云上智能体服务网络和数据安全自律公约(2026版)》发布5月6日,在中国通信学会统筹组织下,中国信息通信研究院联合头部云服务商共同编制完成《云上智能体服务网络和数据安全自律公约(2026版)》。该公约为云上智能体安全发展划定安全底线、明确行为准则,推动人工智能创新应用实现高质量发展与高水平安全良性互动。
GA/T 2380-2026《信息安全技术 网络安全等级保护 数据安全基本要求》即将实施2026年6月1日,GA/T 2380-2026《信息安全技术 网络安全等级保护 数据安全基本要求》将正式实施。这是等保2.0体系下首个数据安全专项强制标准,标志着我国网络安全等级保护制度正式从"以系统安全为核心"迈入"系统安全与数据安全并重"的新阶段。标准明确了数据分类分级、全生命周期防护、精准审计与数据流动管控等核心要求,对等保二三级以上企业产生深远影响。
注:本月政策动态以宣贯指导和专项行动深化为主,新发布法规较少,后续将持续跟进立法更新。