中国网络安全与数据保护领域政策与执法动态回顾(2026年2月)

2026年2月，中国在个人信息保护、数据和网络安全、数据基础制度体系建设等重点领域推出多项政策与标准，并密集开展执法与典型案例发布，持续完善制度体系、压实企业主体责任：

一、个人信息保护

在立法层面，国家互联网信息办公室（"网信办"）发布《通过个人信息保护认证和数据安全管理认证的认证委托人名单》；全国网络安全标准化技术委员会（"网安标委"）发布《数据安全技术 基于个人请求的个人信息转移要求》和《数据安全技术 个人信息保护合规审计要求》两项国家标准，并就《数据安全技术 个人信息保护合规审计专业机构能力要求（征求意见稿）》公开征求意见。

在执法方面，国家计算机病毒应急处理中心、北京通信管理局（"通管局"）、广东通管局、安徽通管局分别通报/下架侵害用户权益的违法应用程序（"App"）。江苏网信办发布2025年度网络执法典型案例，涉及App超范围收集位置信息、未经告知收集学生信息、生物识别信息处理违规等情形。

二、数据和网络安全

在立法层面，工业与信息化部（"工信部"）等四部门发布《科技服务业标准体系建设指南（2025版）》，规范该科技服务业在数据处理各环节的要求；工信部等八部门发布《汽车数据出境安全指引（2026版）》，引导规范汽车数据处理者高效便利开展数据出境活动；网安标委发布《网络安全标准实践指南------网络数据标签标识技术要求》；四川省人民政府（"四川省政府"）印发《四川省人民政府2026年立法计划》，起草并提请省人大常委会审议四川省网络安全条例草案。

在执法层面，江苏网信办发布2025年度网络执法典型案例，涉及未履行网络安全义务等违法行为。

在行业层面，工信部等五部门办公厅联合发布《关于加强信息通信业能力建设支撑低空基础设施发展的实施意见》，旨在推动低空经济发展的决策部署，加强信息通信业能力建设，支撑低空基础设施发展。

三、数据基础制度体系建设

在中央层面，国家数据局发布《关于开展2025年度全国数据资源统计调查的通知》和《关于做好公共数据资源授权运营信息披露工作的通知》，加快构建数据资源统计调查制度，强化公共数据资源授权运营规范化管理。国家数据局联合四部门发布《关于培育数据流通服务机构 加快推进数据要素市场化价值化的意见》，进一步明晰数据流通服务机构功能定位。

在地方层面，广东广州举办首期"珠江数湾"数据沙龙，聚焦数据产业发展；重庆市人民政府（"重庆市政府"）办公厅发布《重庆市推进城市全域数字化转型行动计划》，旨在推动数据赋能城市高质量发展。

四、2月新增政策与标准

1. 工信部等八部门发布《汽车数据出境安全指引（2026版）》（2月3日）

该指引旨在引导规范汽车数据处理者高效便利开展数据出境活动，提升汽车数据出境便利化水平。文件延续"安全评估---标准合同/认证---豁免"三轨制管理模式，并新增三类汽车行业专属出境豁免情形，包括：因修补安全漏洞需要，汽车数据处理者按照《网络产品安全漏洞管理规定》有关要求，已向工业和信息化部报告的安全漏洞数据；因处置安全事件需要，汽车数据处理者按照行业网络安全、数据安全事件相关应急预案，已向工业和信息化部及相关行业监管部门报告的汽车产品、车联网平台及相关系统的安全事件数据；因消除汽车产品缺陷、实施召回需要，汽车数据处理者按照《缺陷汽车产品召回管理条例》已向国家市场监督管理总局备案的OTA升级软件包对应的源代码。

2. 八部门印发《未成年人用户数量巨大和对未成年人群体具有显著影响的网络平台服务提供者认定办法》（2月28日）

该办法将于2026年4月1日起施行，明确了认定标准和程序，旨在充分保障未成年人合法权益，发挥各方力量强化未成年人网络保护。符合认定标准的网络平台服务提供者应当主动申请认定，并履行相应的未成年人保护义务。

3. 工信部等五部门联合印发《关于加强信息通信业能力建设 支撑低空基础设施发展的实施意见》（2月10日）

该意见提出，到2027年，全国低空公共航路地面移动通信网络覆盖率不低于90%，多元融合感知方案进一步完善成熟，低空导航服务水平持续提升，研制不少于10项信息类基础设施标准，面向城市治理、物流运输、文旅等领域形成一批典型低空应用场景。在强化网络和数据安全保障方面，意见要求探索构建信息类基础设施网络和数据安全保障体系，落实网络安全等级保护、关键信息基础设施安全保护等制度要求，深化信息通信业网络安全防护管理，加强数据分类分级保护，推进网络和数据安全标准研制，开展监测预警、检测评估、应急处置等能力建设，推动相关企业落实安全主体责任。

4. 国家网信办等11部门联合印发《关于提升境外人员入境数字化服务便利性的实施意见》（2月5日）

该意见旨在提升境外人员入境数字化服务便利性，进一步扩大高水平对外开放。意见明确了5方面14条工作举措，要求加强网络和数据安全保障，强化网络安全防护能力，加强关键信息基础设施安全保护，完善跨境支付、在线预约等境外人员高频使用场景的安全标准规范。

5. 国家网信办发布《政务移动互联网应用程序备案工作指南（第一版）》（2月28日）

该指南对政务应用程序备案管理的方式、流程和材料等作出了说明，指导和帮助各地区各部门做好政务移动互联网应用程序备案管理工作。

6. 市场监管总局发布《互联网平台反垄断合规指引》（2月13日）

该指引为平台经营者划定反垄断合规行为边界，明确针对性、全面性、穿透性、持续性四大基本原则，聚焦垄断协议、滥用市场支配地位等垄断风险，列明算法共谋、"二选一"等垄断行为场景。同时从风险识别、管理、保障机制等方面提出全流程要求，鼓励平台建立合规管理体系、开展算法筛查，切实承担主体责任。

7. 国家数据局发布《培育数据流通服务机构 加快推进数据要素市场化价值化的意见》（2月7日）

该意见旨在进一步明晰数据流通服务机构功能定位，提升数据流通交易服务效能，释放数据要素价值。意见明确了功能定位，引导数据交易所（中心）强化综合服务功能、推动数据流通服务平台企业专业化发展、支持数据商加大数据产品和服务开发力度。同时，意见提出提升服务能力，探索多样化流通交易模式、创新数据产品和服务形态、拓展适应人工智能发展的高质量数据集流通交易方式、加快提升数据流通交易服务效能、加强数据流通交易规则和标准建设、提升数据基础设施协同保障水平、提升数据跨境服务能力、强化第三方专业服务机构支撑。

8. 《数据安全技术 个人信息保护合规审计专业机构能力要求》征求意见稿发布（2月11日）

该标准由全国网络安全标准化技术委员会归口，多部门及机构联合起草。标准依据《个人信息保护法》等法规制定，从基本条件、管理能力、人员能力、专业能力、资源能力五大维度，明确了合规审计专业机构的核心能力要求，同时对审计人员划分初、中、高三个等级并制定对应能力标准，并提出机构能力证实方法。此举将规范合规审计活动，为个人信息处理者选择审计机构提供参考，助力个人信息保护合规审计工作落地实施。

9. 最高人民检察院发布6起个人信息保护检察公益诉讼典型案例（2月5日）

最高检发布的典型案例涵盖智慧停车场、小区人脸识别、网络虚假招聘、"网络开盒"、逝者及其亲属个人信息泄露、"黄牛"及旅行社滥用个人信息等场景，涉及个人行踪轨迹、人脸信息、医疗健康信息、消费信息等与公民个人信息权益密切相关的领域。其中，上海市闵行区检察院查处某医院医生及急救人员倒卖逝者及亲属信息案，涉案人员被处以警告、罚款、暂停执业活动等处罚；江西省景德镇市检察院推动文旅部门开展专项整治，打掉"黄牛"票务团伙6个，行政拘留4人。

五、2月执法案例通报

1. 国家计算机病毒应急处理中心通报72款违法违规移动应用（2月3日）

国家计算机病毒应急处理中心依据《网络安全法》《个人信息保护法》等法规，完成2025年12月26日至2026年1月20日的检测工作，通报72款存在违法违规收集使用个人信息问题的移动应用，问题涵盖隐私政策告知不规范、未经同意向第三方提供个人信息、未保障用户信息更正注销权利等14类。此外，上期通报的71款违规应用复测后仍有33款存问题，相关分发平台已对其作下架处理。

2. 北京通管局通报一批违法违规App（2月3日）

北京通管局检测发现3款存在侵害用户权益和安全隐患等问题的App。问题集中于未明示收集使用个人信息的目的、方式和范围，违反必要原则收集个人信息，App频繁自启动和关联启动，未公开收集使用规则，未经用户同意收集使用个人信息，强制用户使用定向推送功能。对此，被通报的3款App被要求及时进行整改。除此之外，北京通管局还通报4款经上批次通报未整改或整改不到位的App，现予以全网下架处置。

3. 广东通管局通报一批违法违规App（2月3日）

广东通管局检测发现31款存在侵害用户权益和安全隐患等问题的App。问题集中于超范围收集个人信息，强制、频繁、过度索取权限，频繁自启动和关联启动，违规收集个人信息，超范围收集个人信息，违规使用个人信息，账号注销难。广东通管局已对上述App予以通报，逾期未完成整改的，广东通管局将依法依规采取下一步处置措施。

4. 安徽通管局通报下架4款侵害用户权益行为App（2月3日）

安徽通管局检测发现4款未落实整改侵害用户权益和安全隐患等问题的App。问题集中于违规收集个人信息，超范围收集个人信息，强制、频繁、过度索取权限，违规使用个人信息。对此，被通报的4款App逾期未整改的App，现予以全网下架处置。

5. 江苏网信办发布2025年度网络执法典型案例（2月）

江苏网信办发布十起2025年度网络执法典型案例。具体违法行为涉及：未依法履行网络安全保护义务，未采取必要技术措施保障网络安全，未及时修复相关信息系统的漏洞，导致网页被篡改，植入违法有害内容；运营的APP天气功能以"提供精准定位的天气服务"为由索要位置权限，且在后台静默期间也调用用户位置信息，超范围获取个人信息；服务器存在接口逻辑漏洞，在进行涉敏感个人信息字段数据处理时未进行脱敏加密处理，未依法留存相关网络日志；防火墙、日志分析管理系统等网络安全设备网络会话日志缺失，机房管理混乱，导致内部网络被作为数据违规出境的通道；未经学校允许，且在未明确告知的情况下收集学生的姓名、手机号、学号。

6. 中国人民银行绍兴和北京分行分别对某银行及其两位直接负责人员处以罚款（2月14日、2月28日）

中国人民银行绍兴和北京分行分别对某银行及两位直接负责人做出行政处罚。绍兴分行存在违反数据安全、网络安全管理规定等多项违法行为，被处警告并罚款；相关负责人员对违反数据安全管理规定，违反信用信息采集、提供、查询及相关管理规定负有责任。北京分行存在违反数据安全管理相关规定的违法行为，被处罚款；相关负责人对其违反数据安全管理相关规定负有责任。该行政处罚旨在压实金融机构网络安全、数据安全、客户身份识别及信用信息管理主体责任，保护客户个人信息权益。

7. 重庆南岸区网信办就某公司未履行网络安全防护义务作出行政处罚（2月）

重庆南岸区网信办对某公司未履行网络安全防护义务的行为作出行政处罚。经查，该公司未按要求落实网络安全等级保护制度，未采取必要的技术措施保障网络安全，导致网站被黑客攻击，造成数据泄露。南岸区网信办依法对该公司处以罚款，并责令其限期整改。