个保法实施4周年

2026年11月1日,中国《个人信息保护法》(以下简称"个保法")将迎来实施4周年。过去4年,个保法从"新法落地"进入了"常态化执法"阶段。2026年,执法力度持续加强,执法方式更加精细化。

2026年上半年,国家网信办、工信部、公安部、市场监管总局等部门共开展个人信息保护专项执法行动约15次,通报违规App约800款,行政处罚约120件,罚款总额约15亿元人民币。罚款金额虽在增长,但与GDPR(欧盟通用数据保护条例)动辄数亿欧元的罚款相比,中国的个保法罚款仍处于较低水平。

但2026年,有几起标志性案件显示了执法方向的转变——从"App违规收集信息"的行政通报,转向"数据泄露"和"数据滥用"的深度执法。

2026年标志性执法案例

案例一:某头部电商平台数据泄露案。 2026年3月,某头部电商平台因数据安全管理疏漏,导致约500万条用户个人信息(包括姓名、手机号、收货地址)被泄露。国家网信办对该平台处以5000万元罚款,并要求其暂停相关业务30天进行整改。这是2026年个保法下最大的一笔罚款。执法部门在处罚决定中明确指出,该平台"未能采取必要措施保障个人信息安全",违反了《个保法》第51条。

案例二:某AI公司人脸识别数据滥用案。 2026年4月,某AI公司被曝出在未经用户明确同意的情况下,从公开网络爬取人脸照片用于训练AI模型,涉及约200万张人脸图像。国家网信办联合公安部对该AI公司处以3000万元罚款,并责令其删除所有非法获取的人脸数据。这一案件在2026年引起了广泛关注,因为它触及了AI训练数据的合规边界——公开可访问的数据,是否可以被"自由"爬取和使用?

案例三:某快递公司"过度收集"个人信息案。 2026年5月,国家邮政局和工信部联合通报,某快递公司的App在寄件时需要收集用户的身份证号、人脸信息、通讯录、位置信息等,属于"过度收集个人信息"。该App被要求限期整改,下架30天。这一案件反映了2026年执法的一个重点——“最小必要原则”(收集个人信息应限于实现处理目的的最小范围)。

案例四:某银行App"强制同意"案。 2026年6月,某银行的App在用户注册时,强制用户同意将个人信息共享给"第三方合作伙伴"(包括保险、理财、贷款等金融产品推广),否则无法使用App的基本功能。这种"一揽子同意"被认定为违反了个保法的"单独同意"要求,该银行被处以2000万元罚款。

2026年个保法的执法趋势

从"App治理"到"数据生命周期治理"。 2023-2025年,个保法执法主要集中在App端的"违规收集"和"过度索权"问题。2026年,执法范围扩展到了数据的全生命周期——从收集、存储、使用、加工、传输、提供、公开到删除,每一个环节都在监管雷达之内。

从"行政通报"到"经济处罚"。 2023-2025年,个保法执法以"通报批评"和"限期整改"为主,罚款较少。2026年,罚款金额明显增加,且出现了多起"千万元级"罚款案件。这反映了执法态度的转变——从"教育引导"到"震慑惩戒"。

从"个人信息"到"重要数据"和"核心数据"。 2026年,个保法的执法正在与《数据安全法》和《网络安全法》形成协同效应。除了个人信息保护,监管部门对"重要数据"和"核心数据"的安全保护也在加强。

AI训练数据的合规成为新焦点。 2026年,AI训练数据的合规问题成为个保法执法的新焦点。AI公司从公开网络爬取数据用于训练模型,是否违反个保法?AI生成内容中包含了他人的个人信息,责任由谁承担?这些问题在2026年引发了广泛讨论和执法实践。

2026年企业合规建议

进行个人信息保护影响评估(PIA)。 2026年,个保法第55条要求,在处理敏感个人信息、进行自动化决策、委托处理个人信息等情形下,应事前进行个人信息保护影响评估。2026年,建议企业对所有涉及个人信息处理的业务场景进行PIA,并保存评估报告至少3年。

检查"单独同意"机制。 2026年,个保法第23条要求,向第三方提供个人信息,应取得个人的"单独同意"(而非"一揽子同意")。2026年,建议企业检查:哪些业务场景涉及向第三方提供个人信息?是否取得了用户的"单独同意"?同意机制是否清晰、明确、可操作?

建立数据分类分级制度。 2026年,《数据安全法》第21条要求建立数据分类分级保护制度。建议企业将数据分为:一般数据、重要数据、核心数据三个等级,并制定相应的保护措施。

建立数据安全事件应急响应机制。 2026年,个保法第57条要求,发生个人信息泄露等安全事件时,应立即采取补救措施,并通知履行个人信息保护职责的部门和个人。2026年,建议企业制定并演练数据安全事件应急响应预案。

审查AI训练数据的合规性。 2026年,如果你的企业使用AI,建议审查:AI训练数据来源是否合法?是否取得了数据主体的同意(如适用)?是否侵犯了第三方的知识产权?是否采取了数据脱敏措施?

任命数据保护官(DPO)。 2026年,个保法第52条要求,处理个人信息达到国家网信办规定数量的企业,应指定个人信息保护负责人。2026年,建议企业无论是否达到法定门槛,都任命一名数据保护官(可以是兼职),负责企业的个人信息保护合规工作。

定期进行合规审计。 2026年,建议企业每年至少进行一次个人信息保护合规审计(内部或外部),识别合规差距,及时整改。

个保法 vs. GDPR

2026年,中国个保法与欧盟GDPR在执法上仍然存在显著差异。GDPR的罚款上限为全球年营业额的4%或2000万欧元(取较高者),而个保法的罚款上限为5000万元人民币或上年营业额的5%。2026年,GDPR的年度罚款总额约25亿欧元,远高于个保法的约15亿元人民币。

但2026年,个保法的执法力度在快速追赶。2026年,中国国家网信办在多个场合表示,将"加大个人信息保护执法力度,提高违法成本"。未来,个保法的罚款金额有望继续增长。

2026年,个保法实施4年了。从"被忽视"到"被重视",从"被动合规"到"主动合规",中国企业的个人信息保护意识在显著提升。但合规不是终点,而是起点——真正尊重用户隐私、保护用户数据的企业,才能在数据驱动的时代赢得长期信任。