)
2026年1月,中国在数据安全与个人信息保护领域持续深化制度建设,通过法规修订、政策发布、标准制定等多种方式,强化数据安全主体责任,推动全行业合规能力提升:
一、核心法规正式施行
典型案例:多地开展App违法违规专项治理1月,全国多地网信部门集中开展App违法违规专项治理行动。其中,广东省网信办通报21款存在超范围收集个人信息、强制索取权限等问题的App,涉及生活服务、金融借贷、医疗健康等多个领域;上海市网信办下架13款未按要求完成整改的App,包括多款知名社交类和电商类应用;北京市通管局对8款违规收集用户位置信息的App处以警告并责令限期整改。
典型案例:教育系统专项整治未成年人信息泄露1月,佛山市南海区教育局印发《教育系统网络信息安全专项整治行动方案》,针对辖区内学校存在的学生信息过度收集、数据存储不规范等问题开展专项治理。行动重点排查教育平台未取得监护人同意收集未成年人信息、违规向第三方共享学生数据等行为,要求学校建立学生信息分级保护制度,对涉及未成年人的敏感数据采取加密存储、权限管控等措施。
典型案例:金融领域数据安全专项检查1月,银保监会组织开展银行业保险业数据安全专项检查,重点排查银行保险机构在客户信息保护、数据跨境传输、数据安全技术防护等方面的风险隐患。检查发现部分机构存在客户信息泄露风险、数据安全管理制度不完善、数据安全技术措施不到位等问题,已责令相关机构限期整改。
1月1日起,多项与数据安全和个人信息保护相关的重要法规正式施行,为行业发展奠定坚实的制度基础:
(一)修改后的《中华人民共和国网络安全法》正式施行,重点强化网络安全法律责任,加大对部分违法行为的处罚力度,加强与相关法律的衔接协调。该法提高了对违法销售或者提供网络关键设备、网络安全专用产品行为的罚款标准,规定情节严重的,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。
(二)《个人信息出境认证办法》正式施行,细化个人信息出境认证的适用情形,明确个人信息处理者通过个人信息出境认证的方式向境外提供个人信息的,应当同时符合:非关键信息基础设施运营者;自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息,且向境外提供的个人信息中不包括重要数据等情形。
二、政策与标准密集发布
1月,多部门联合发布多项政策与标准,覆盖交通运输、人工智能、工业互联网、金融科技等多个领域:
(一)1月4日,交通运输部发布《关于加快交通运输公共数据资源开发利用的实施意见》,强调强化数据安全保障,包括完善数据安全管理规范体系,建立健全安全风险识别评估、监测预警、应急处置机制;同时提出加强可信采集、加密传输、可靠存储、受控交换及存证溯源等全链路安全技术支撑,旨在高效释放公共数据要素价值的同时,严防隐私泄露与违规滥用。
(二)1月7日,工信部、中央网信办、国家发改委等八部门联合发布《“人工智能+制造”专项行动实施意见》,提出到2027年实现AI核心技术安全可靠供给。重点推动打造面向行业的应用安全解决方案,加快安全大模型、智能体落地;强化数据安全管理与AI安全保护能力,建设工业安全大模型与风险语料库,筑牢制造业智能化转型的安全底座。
(三)1月13日,工信部发布《推动工业互联网平台高质量发展行动方案(2026-2028年)》,强化平台安全保障,推动企业实施工业互联网安全分类分级管理,落实自主定级、分级防护、符合性评测及安全整改全闭环;指导平台企业履行重要数据识别备案与风险评估责任,提升监测预警与应急处置技术能力。
(四)1月24日,国家网信办发布《金融信息服务数据分类分级指南(征求意见稿)》,规定了金融信息服务数据的分类分级规则:一级分类分为业务数据、用户数据和企业数据3类,并进一步细分为二级9类、三级66类;定级上根据危害程度从高到低分为核心数据、重要数据、敏感一般数据、常规一般数据四级。
(五)1月31日,公安部发布《网络犯罪防治法(征求意见稿)》,聚焦网络基础资源管理、犯罪生态治理及跨境防治,按照网络服务提供者的业务规模与技术能力设置差异化义务,督促其建立健全防范、发现网络犯罪的制度,发挥预防犯罪的“第一道防线”作用。
(六)1月28日,国家标准GB/T 47020-2026《网络安全技术 软件物料清单数据格式》发布,该标准规定了软件物料清单数据格式,包括软件物料清单组成、文件格式要求、元素以及各元素的属性和属性值格式,适用于指导软件供应链相关方之间进行软件物料清单信息的生成、共享和使用。
(七)1月9日,金融行业标准JR/T 0347—2026《证券期货业信息系统密码技术应用指引》发布,该标准提供了证券期货业信息系统在密码技术、密码产品及密码服务的使用、密码安全功能与密码技术的对应关系、宜选用的密码产品、适用的证券期货业数据安全要求等方面的指引,可作为证券期货业各类机构在开展信息系统密码技术应用时的指引,也适用于监管机构对证券期货业各类机构密码技术应用方案进行评估时的参考。
(八)1月9日,公安行业标准GA/T 2380-2026《信息安全技术 网络安全等级保护数据安全基本要求》发布,该标准以GB/T 22239—2019为基础,对核心数据、重要数据、一般数据实施差异化保护,细化等保第一至四级数据安全要求,并强化了敏感个人信息全流程安全管控,构建了系统性的数据安全基本要求。
三、政策法规宣贯持续推进
1月,国家互联网信息办公室发布多份政策法规问答,指导帮助个人信息处理者规范开展个人信息处理活动,保护个人信息权益:
(一)1月12日,发布《个人信息保护政策法规问答(2026年1月)》,对个人信息、敏感个人信息的定义,应用人脸识别技术处理人脸信息前如何进行个人信息保护影响评估,符合什么条件的个人信息处理者需指定个人信息保护负责人和报送负责人信息等问题进行了解答。
(二)1月30日,发布《数据出境安全管理政策法规问答(2026年1月)》,对订立个人信息出境标准合同、通过个人信息出境认证与申报数据出境安全评估如何衔接,境内数据处理者已订立粤港澳大湾区个人信息跨境流动标准合同,若个人信息出境情形发生变化,如何履行合规义务等问题进行了解答。
四、地方实践与创新探索
1月,各地网信部门结合本地实际开展精准执法,通报多起典型案例,督促企业落实数据安全主体责任:
典型案例:上海查处某电商平台大数据“杀熟”案1月,上海市市场监管局联合市网信办查处某电商平台利用用户消费数据实施差异化定价的违法行为,依法责令平台停止违法行为并处罚款80万元。经查,该平台通过分析用户消费习惯、购买频率等数据,对不同用户实行不同的价格标准,涉嫌侵犯消费者权益。
典型案例:广东整治App强制授权乱象广东省网信办通报12款存在过度索权问题的App,其中某生活服务类App因强制要求用户开启通讯录、定位权限方可使用基础功能,被责令限期整改并公开致歉。
典型案例:四川规范政务数据共享四川省大数据中心印发《政务数据共享安全管理细则》,明确政务数据共享的权限管理、安全审计等要求,对3家违规共享政务数据的单位进行通报批评。
注:本月政策动态以法规施行和政策发布为主,后续将持续跟进立法更新和执法动态。
)
