2026年数据领域值得关注的十大问题和趋势

2025年，我国《个人信息保护法》（下称“《个保法》”）与《数据安全法》正式出台已届四周年。《网络数据安全管理条例》（下称“《网数条例》”）于2025年1月1日正式生效，成为在行政法规层面信息保护及数据安全领域的基石性法律文件。与此同时，我国在个人信息保护、数据安全、重要数据处理、人工智能监管、网络安全事件处理等各细分领域的规定逐渐落地。本文拟通过梳理和分析我国2025年数据领域十个方面的重大进展，展望2026年的发展趋势。

一、个保法原则要求更全面落地，精细化操作指引逐渐成型

《个保法》第六十二条规定，国家网信部门统筹协调有关部门依据该法推进个人信息保护工作，其中包括制定个人信息保护具体规则、标准，以及针对大型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准。除此以外，《个保法》第五十二及五十四条也分别原则性地确立了个人信息保护负责人制度与个人信息合规审计制度。2025年，上述规则与制度均在逐步推进与落地。

人脸识别等敏感信息保护的监管力度显著加强。1月13日，国务院发布《公共安全视频图像信息系统管理条例》，规范监控系统管理； 3月13日，国家网信办¹和公安部发布《人脸识别技术应用安全管理办法》，禁止将人脸识别作为唯一验证方式，要求取得单独同意并原则上不得通过互联网传输等； 5月30日，国家网信办发布《关于开展人脸识别技术应用备案工作的公告》，明确了存储人脸信息超10万人的处理者的备案要求。执法层面，公安网安部门及地方主管部门（如北京²）均对人脸信息违规进行专项治理和处罚。

个保合规审计制度落地。2月14日，国家网信办发布《个人信息保护合规审计管理办法》，落地自主审计与强制审计要求。12月31日，发布《数据安全技术 个人信息保护合规审计要求》（GB/T 46903-2025），规定审计的总体要求与实施流程。全国网安标委³也发布了两项实践指南，规范审计机构能力与审计要求。

个保负责人要求明确。《个人信息保护合规审计管理办法》正式发布，明确了处理100万人以上信息的主体应设立个人信息保护负责人；7月18日，国家网信办发布公告开通填报通道。

个人信息处理规则细化。全国网安标委发布《个人信息保护国家标准体系（2025版）》。其他多项标准也集中出台或发布征求意见，例如《数据安全技术 基于个人信息的自动化决策安全要求》（GB/T 45392-2025）、《数据安全技术 敏感个人信息处理安全要求》（GB/T 45574-2025）、《数据安全技术 个人信息匿名化处理指南及评价方法》（征求意见稿）等。

展望2026年，上述规定的深化管理与执法预计将更加深入、细化要求将持续出台完善。企业需在日常运营中密切关注法律法规及监管动态，及时履行报送、备案等义务，确保个人信息处理活动合法合规。

二、APP更重常态化治理与联合执法

2025年，APP隐私保护在多部门常态化治理机制下，紧贴公众生活实际，重点整治App随意跳转、违规收集个人信息、个人信息处理规则模糊等违规行为。例如，国家网信办等四部门联合启动的2025年个人信息保护专项行动⁴，工信部先后通报了共八批侵害用户权益的APP（SDK）名单⁵，上海网信办“亮剑浦江·2025”专项执法行动⁶等，针对高频违规行为，各监管部门采取约谈企业责令整改、强制下架应用等措施。

在监管部门2025年的执法行动与报告中，我们注意到监管部门针对用户使用App的具体场景与实际痛点提出的合规要求，除此前常见的缺乏隐私政策、未经同意获取权限之外，还有App未向用户提供便捷的注销及删除渠道、“摇一摇”乱跳转、数据违规跨境传输等新增问题。

2026年1月10日，网信办发布《互联网应用程序个人信息收集使用规定》征求意见，补充、汇总了App的合规义务，也设立了一些新的合规要求，值得关注其后续正式发布情况。预计2026年各部门也将继续联合开展日常检查。我们建议企业根据法律法规及标准的新增要求同步更新自身App政策与隐私保护的流程以确保合规。

三、未成年人信息保护迈向分类精准监管与执法落地

2025年，我国未成年人信息保护要求逐步落地，未成年人信息保护体系更加细致完善。

在未成年人网络使用规则方面，一系列标准征求意见、发布及落地，例如：

• 4月3日，全国网安标委发布了《网络安全标准实践指南——移动互联网未成年人模式技术要求》，要求App等移动应用在提供服务时严格遵守未成年人模式相关规定；

  
  

• 7月29日，全国网安标委发布了《数据安全技术 未成年人产品和服务个人信息保护要求》征求意见稿，拟建立网络产品与服务分类管理机制。该机制重点关注有未成年人使用的B类产品与服务⁷，要求制定专门的未成年人个人信息处理规则，并进行显著展示。

  
  

• 9月23日，针对未成年人使用人工智能的潜在风险，中国网络空间安全协会在网信办等部门指导下发布了《人工智能服务未成年人伦理规范共识》，明确AI服务提供者的责任，旨在为未成年人营造安全的数字环境。

另外，2025年末，网信办发布《关于报送未成年人个人信息保护合规审计情况的公告》，要求所有处理未成年人信息的主体建立年度合规审计机制，并定期报送审计结果。

预计2026年，网络产品与服务分类管理机制将逐步落地。此外，监管部门可能会重点检查未成年人信息保护法律法规的执行情况，通过执法行动，查处违规向未成年人提供网络服务的企业，关注侵犯未成年人个人信息权益的情形。

四、大型网络平台个人信息保护监督机制将正式落地

大型网络平台因用户多、业务杂、影响大，在个人信息处理中容易引发系统性风险。因此，法律法规对其设定了更严格的义务，要求其承担与规模相匹配的加重社会责任。《个保法》第五十八条对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”提出了四项具体要求，包括建立个保合规制度并成立独立监督机构、制定平台规则、对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者停止提供服务，以及定期发布个人信息保护社会责任报告。《网数条例》第六十二条第八款进一步将“大型网络平台”界定为“注册用户5000万以上或者月活跃用户1000万以上，业务类型复杂，网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台”。为落实上述规定，监管部门在2025年发布了多份相关法规及标准：

• 9月12日，国家网信办就《大型网络平台设立个人信息保护监督委员会规定》公开征求意见，要求大型网络平台必须设立主要由外部独立成员组成的个人信息保护监督委员会。该委员会拥有审查隐私政策、评估敏感信息处理、检查跨境传输合规性等权责。为确保独立有效，规定对外部成员的资格、独立性、聘任、报酬和任期作了严格限定，并建立了从内部报告到向省级网信部门定期报送及事件报告的完整链条。

  
  

• 11月22日，国家网信办、公安部就《大型网络平台个人信息保护规定》公开征求意见，进一步明确认定标准，将“业务类型复杂”具体界定为“提供重要网络服务或者经营范围涵盖多个类型业务”。此外，该征求意见稿还规定平台应指定符合条件的个人信息保护负责人并设立专门工作机构，需将境内运营收集产生的个人信息存储在境内符合法定条件的数据中心，并鼓励优先选择通过认证的第三方专业机构开展审计评估。

  
  

• 3月28日，市场监管总局⁸与国标委⁹发布推荐性国家标准《数据安全技术 大型互联网企业内设个人信息保护监督机构要求》（GB/T 45404-2025），规范大型互联网企业建立和运行个人信息保护监督机构，明确其设置、职责、规则及人员要求。

  
  

• 8月29日，国标委发布《数据安全技术 数据安全和个人信息保护社会责任指南》（GB/T 46071-2025），为大型网络平台撰写社会责任报告提供参考。

预计大型网络平台的认证工作将在2026年逐步开展，与大型网络平台相关的各项规定及国家标准也有望正式发布实施。建议企业结合自身规模和管理体系评估自身是否落入大型平台的范围并尽早落实相应的个人信息保护合规义务。

五、数据出境合规体系全面落地，执法监管可能成为常态

2025年6月27日，国家网信办发布《数据出境安全评估申报指南（第三版）》，优化并简化了申报所需材料，同时明确了申请延长评估结果有效期的条件、流程和材料要求。

8月29日，市场监管总局与国标委发布推荐性国标《数据安全技术 个人信息跨境处理活动安全认证要求》（GB/T 46068－2025）。随后，10月14日，国家网信办与市场监管总局联合发布《个人信息出境认证办法》。该办法及配套国标填补了操作层面的空白，标志着个人信息出境合规体系全面落地，与之前的数据出境安全评估、标准合同机制形成互补。

此外，各部门、各行业和各地区也逐渐细化了具体规则。例如，2025年4月，包括国家金融监督管理总局、国家网信办等在内的五个部门联合印发《促进和规范金融业数据跨境流动合规指南》； 6月，工信部等八部门起草了《汽车数据出境安全指引(2025版)(征求意见稿)》，并于26年1月发布了《汽车数据出境安全指引(2026版)》；江苏（8月）、广西（8月）、重庆（9月）、福建（12月）等地也相继发布了各自的数据出境负面清单或管理办法。¹⁰

2025年，政府部门也公开发布了数批数据出境执法案例。5月，公安网安部门发布某奢侈品公司案；¹¹2026年1月，上海网信办发布的2025年执法案例中也包括数据跨境相关案例。例如，某酒店管理企业在收到《评估结果通知书》明确指出部分数据出境必要性不足后，仍未采取有效措施，继续违规出境个人信息，被责令限期改正并罚款。¹²

预计2026年，随着各项规定深入施行，数据跨境传输的合规体系及相关合规义务会更完善、更清晰。企业可以依据现有的法律法规、技术标准、动态调整的负面清单以及官方指引，建立起更高效、更有预期的合规流程。未来，随着数据跨境监管执法的深入，建议企业将数据跨境合规融入日常业务流程，实现动态合规。

六、重要数据识别标准更细化，目录报送机制更明确

《网数条例》第四章规定各行业有关部门就行业相关数据建立分类分级目录，并明确了重要数据处理者的法律义务与重要数据全生命周期的管理规定；条例第三十七条则规定了重要数据出境的识别、申报与评估程序。2025年5月，国家网信办发布《数据出境安全管理政策问答》，明确了涉及重要数据跨境情况的识别申报流程，并特别指出，若行业尚无标准且企业未收到主管部门通知，即便未识别申报重要数据，也不会被认定为违规或受处罚，大大增强了规则的可预见性。

2025年，我国多个行业的重要数据的识别与分级分类进行了细化规定。例如：人民银行发布的《中国人民银行业务领域数据安全管理办法》规定，由中国人民银行组织确定重要数据目录，数据处理者需准确识别并申报，经审定后由央行告知其对应的重要数据；国家能源局印发《能源行业数据安全管理办法（试行）》，要求能源企业编制重要数据目录并按要求报送，央企子公司需同时向省级主管部门和集团总部报送；2026年1月更新的《汽车数据出境安全指引（2026版）》也更新汽车领域重要数据的具体识别规则。此外，车联网平台、工业领域等的重要数据识别指南也纷纷发布。

同期，我国重点行业也密集出台数据分级分类与安全标准，例如针对科学数据、民航领域数据、教育数据、金融信息服务数据分类分级指南等。

预计新的一年，随着各行业指南和各地清单的完善，重要数据识别标准将进一步细化。建议企业主动开展数据分类分级、识别与报送工作，切实落实数据安全要求。

七、AI伦理审查制度与重点领域专项规范有望落地

2025年，我国人工智能监管同步推进宏观指导与具体规则制定。10月28日，全国人大常委会通过《网络安全法》修订决定，新增人工智能相关内容，明确支持基础研究、设施建设及伦理规范； 8月21日，国务院发布《关于深入实施“人工智能+”行动的意见》，推动人工智能与经济社会深度融合； 9月15日，全国网安标委发布《人工智能安全治理框架》2.0版，细化风险分类，为人工智能应用的全生命周期提供安全指引。这些文件共同确立了行业安全发展的基本框架。

在具体合规与执法方面，我国重点聚焦大模型备案、内容标识及伦理审查，严防技术滥用风险。3月7日，网信办等部门联合发布《人工智能生成合成内容标识办法》，明确各方在内容制作、传播环节的显式与隐式标识义务，并配套发布强制性国标提供方法指引；该办法于9月1日正式施行后，腾讯、抖音、微博等主流平台同步上线标识功能，对未标识内容采取限流或下架措施。

为落实相关规定，4月30日，中央网信办部署开展为期3个月的“清朗·整治AI技术滥用”专项行动，分阶段清理违规应用及利用AI制作谣言、色情低俗内容等行为。¹³6月中旬，北京、上海等地网信办公布阶段性成果，通过排查数万家网站和APP，重点整治“一键脱衣”、人脸克隆等违规产品，并对医疗、金融、教育等高风险领域开展督导¹⁴。11月25日，国家网信办通报查处多起未落实标识规定的案例，通过约谈、下架等手段确保合规。¹⁵

此外，8月22日，工信部、网信办等部门联合发布《人工智能科技伦理管理服务办法（试行）》征求意见稿，进一步细化伦理要求，推动负责任的技术创新。

12月27日，网信办发布《人工智能拟人化互动服务管理暂行办法（征求意见稿）》，拟针对陪伴型AI服务建立监管标准，要求明确告知用户服务的虚拟性质、针对未成年人及易感人群强制添加防沉迷与干预机制，并规定心理健康保护等安全能力要求。

在人工智能领域的国家标准制定方面，4月25日，国标委发布三项人工智能相关推荐标准：《网络安全技术 生成式人工智能预训练和优化训练数据安全规范》、《网络安全技术 生成式人工智能服务安全基本要求》及《网络安全技术 生成式人工智能数据标注安全规范》。上述标准为服务提供者开展生成式人工智能服务提供了指引，也为相关主管部门以及第三方评估机构提供参考；9月15日，为指导生成式人工智能服务提供者等有关单位做好安全应急响应工作，全国网安标委发布《网络安全标准实践指南——生成式人工智能服务安全应急响应指南》，详细介绍了生成式人工智能安全事件的分类分级方法和安全应急响应机制及措施，为生成式人工智能服务提供者以及相关部门开展安全应急响应活动提供指导。

预计2026年，我国将推动《人工智能科技伦理管理服务办法》及伦理审查制度正式落地实施。随着内容标识、伦理审查等义务的落地，执法部门预计也将持续开展治理行动，核查企业合规落实情况。

八、网络安全事件报告与数据安全风险评估可能成为监管重点

2025年，我国在网络安全事件报告方面建立了更具体的规则。9月11日，国家网信办发布《国家网络安全事件报告管理办法》，对谁要报、报什么、怎么报、何时报等全流程作了明确规定，并开通了多个报告渠道，让事件响应更迅速。一些行业主管部门的规定也进行了细化，例如《中国人民银行业务领域网络安全事件报告管理办法》细化了金融领域的报告标准和处罚措施。

同时，数据安全风险评估义务规范也逐渐细化。12月6日，国家网信办发布《网络数据安全风险评估办法（征求意见稿）》，明确要求重要数据处理者每年做一次评估，一般数据处理者每三年至少做一次，让风险评估有了具体操作指南。

在标准支撑方面，全国网安标委持续完善体系。9月，发布了《数据安全国家标准体系（2025版）》和《个人信息保护国家标准体系（2025版）》征求意见稿，搭建了包含基础、技术、管理、测评等六大类的标准框架，以及相关配套标准。

预计2026年，这些制度的实际执行情况将是关注重点之一，监管部门将根据执行情况持续优化机制，保障网络安全事件报告制度与数据安全风险评估制度顺畅运行。对于特殊监管的行业，企业还需考虑特殊监管规则对行业主管部门报告的义务的专门规定，根据行业法规政策的要求完善自身应急预案，针对突发网络安全事件进行必要的应急演练，做好安全事件应急处理。同时，随着《网络数据安全风险评估办法》的正式落地，数据安全风险评估将成为企业的“必修课”。

九、网络内容生态治理：AI内容治理更加严格

2025年，我国通过出台多项新规和开展“清朗”系列专项行动，大力整治网络内容乱象。针对MCN机构管理，1月10日，国家网信办发布《网络信息内容多渠道分发服务机构相关业务活动管理规定（草案稿）》，明确MCN机构定义，要求平台对其加强审核与管理；针对平台规则，6月4日，市场监管总局发布《网络交易平台规则监督管理办法（征求意见稿）》，细化平台制定和执行规则的规范，特别强调信息安全、个人信息保护、数据安全及未成年人保护，以维护市场秩序。

在专项整治方面，监管部门动作频频，例如：7月，中央网信办开展“清朗·整治‘自媒体’发布不实信息”行动，集中整治“自媒体”发布不实信息乱象，从严打击恶意蹭炒误导公众、多种手段歪曲事实、不做标注以假乱真、专业领域信息不实等突出问题，规范“自媒体”运营行为；¹⁶9月，中央网信办部署“清朗·整治恶意挑动负面情绪问题”专项行动，重点清理社交、短视频及直播平台上挑动对立、制造恐慌和网络暴力等内容；¹⁷10月下旬，中央网信办启动“清朗·整治网络直播打赏乱象”专项行动，严打娱乐团播和私域直播中的低俗引诱、虚假人设及诱导未成年人打赏等行为。¹⁸此外，针对AI技术滥用，12月国家广播电视总局宣布，自2026年1月1日起开展“AI魔改”视频专项治理，集中清理对影视和历史题材进行颠覆性改编的违规视频。¹⁹

预计2026年，我国网络内容治理将持续聚焦AI生成内容的监管。治理范围将覆盖从内容生产到传播的全链条，构建更系统的监管体系，确保持续提升网络内容质量与安全水平。

十、数据违规处罚轻重有别，执法实践更为灵活

10月28日，全国人大常委会通过《网络安全法》修订决定，加大了对网络运营者不履行安全保护、内容审核过滤义务的处罚力度，新增了对造成严重或特别严重后果的处罚规定；同时，对销售、提供未经安全认证或检测的网络设备及产品的行为也增设了罚则，体现了国家严厉打击危害网络安全行为的决心。此外，新《网络安全法》第七十一条增加了与《个保法》、《数据安全法》衔接的条款。结合《数据安全法》第五十三条、《网数条例》第五十八条等类似规定。对情节轻微的违规，给予了从轻或免罚的空间，执法更合理、更好操作。

另一方面，2025年施行的《网数条例》第五十九条明确，如果网络数据处理者能主动消除或减轻后果、及时改正，可以减轻甚至不处罚。执法实践当中，网信办、公安等监管部门开展常态化执法时对于违规情形较为轻微的企业，发现违规情形后多采用上门谈话、监督指导等非强制性措施，引导企业主动整改合规。

预计2026年，我国将继续完善“轻重有别”的处罚机制，通过落实法律间的衔接条款，让责任认定更清晰、更精准，一方面调动企业主动合规的积极性，另一方面也对重大违法行为落实严格的法律责任。

1.中华人民共和国国家互联网信息办公室

2.https://www.beijing.gov.cn/fuwu/bmfw/sy/jrts/202507/t20250708_4143824.html

3.全国网络安全标准化技术委员会

4.https://www.gov.cn/zhengce/zhengceku/202503/content_7016226.htm

5.工信部关于侵害用户权益行为的APP（SDK）通报见https://www.miit.gov.cn/search/index.html?websiteid=110000000000000&pg=&p=&tpl=&category=&jsflIndexSeleted=&q=%E5%85%B3%E4%BA%8E%E4%BE%B5%E5%AE%B3%E7%94%A8%E6%88%B7%E6%9D%83%E7%9B%8A%E8%A1%8C%E4%B8%BA%E7%9A%84APP%E9%80%9A%E6%8A%A5

6.https://www.jswx.gov.cn/csj/sh/202502/t20250227_111394.shtml

7.7月29日，全国网安标委发布国标《数据安全技术 未成年人产品和服务个人信息保护要求》征求意见稿，将产品和服务划分为A（专门面向未成年人）、B（有未成年人使用）、C（拒绝未成年人使用）三类，要求游戏、社交App等B类产品与服务制定专门的未成年人个人信息处理规则并显著展示。

8.国家市场监督管理总局

9.国家标准化管理委员会

10.各地数据出境负面清单见网信办发布：https://www.cac.gov.cn/wxzw/sjzl/sjcjfmqd/A09370806index_1.htm。

11.见国家网络安全通报中心通告：https://mp.weixin.qq.com/s/0NZ852z1Jo7w4HkYiGJgVg。

12.https://www.jswx.gov.cn/csj/sh/202601/t20260116_1302534.shtml

13.https://www.cac.gov.cn/2025-04/30/c_1747719097461951.htm

14.2025年6月10日至6月16日期间，北京、上海、天津、江苏、广东等各地网信办陆续发布“清朗·整治AI技术滥用”专项行动阶段性成果。地方网信办通过群众举报线索、企业自查自纠及高风险领域重点核查等方式全方位开展纠察行动，重点强化大模型备案登记管理，深化落实AI生成内容标识义务，排查清理“一键脱衣”、人脸/人声克隆编辑等违法违规AI产品与信息，并针对医疗、金融、教育及未成年人保护等高风险领域开展专项督导与风险测试。同时，各地网信办积极推动平台安全防护能力升级，有效提升AI服务合规性与内容安全水平，累计排查网站、APP数万家，处置违规应用及信息数百条，显著遏制了技术滥用风险，为AI健康发展提供了制度保障。

15.https://www.cac.gov.cn/2025-11/25/c_1765795550841819.htm

16.https://www.cac.gov.cn/2025-07/29/c_1755503642582366.htm

17.https://www.cac.gov.cn/2025-09/22/c_1760258688713582.htm

18.https://www.cac.gov.cn/2025-10/28/c_1763287168200174.htm

19.https://www.nrta.gov.cn/art/2025/12/31/art_114_72205.html

声 明

《君合法律评论》所刊登的文章仅代表作者本人观点，不得视为君合律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容，请注明出处。未经本所书面同意，不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。