一张一弛：中国个人信息保护进入监管分层时代

摘要

2026年4月，国家互联网信息办公室在两日之内相继发布两份文件：《小型个人信息处理者个人信息保护简化措施规定（征求意见稿）》，以及会同工信部和公安部联合发布的《关于开展2026年个人信息保护系列专项行动的公告》。两份文件一松一紧，并非政策信号的相互矛盾，而是中国个人信息保护监管体系走向成熟的结构性标志。本文认为，上述立法与执法动向共同揭示了一个核心趋势：自《个人信息保护法》施行以来，中国个人信息保护监管正在完成从“普遍覆盖”到“分层治理”的范式转型。在此基础上，本文结合欧盟《通用数据保护条例》近期的演变方向作横向比较，并就企业合规策略提出若干判断。

一、连日两令：监管范式转型的结构性信号

《个人信息保护法》自2021年11月施行至今，已逾四年。回顾这一立法周期，监管重心历经了可辨识的阶段性演变：初期以密集立法和标准建设为主，继而进入以App专项治理为代表的执法试水期，此后逐步向系统化、常态化执法推进。2026年4月的两份文件，标志着这一演变进入新的阶段。

从表面看，简化措施规定与专项行动公告指向相反：前者意在减轻合规负担，后者意在强化执法威慑。然而，将两者置于同一分析框架下审视，其内在逻辑高度一致——监管资源的有限性决定了差异化配置的必然性。对低风险、小规模主体释放制度空间，本质上是为高风险、大规模场景集中执法力量腾出条件。这一“分层治理”逻辑，是监管体系走向成熟的普遍规律，亦是理解上述两份文件的正确语境。

二、义务减免：监管资源的主动腾挪

2.1  以数据规模为轴心的制度切割

简化措施规定以“处理不满10万人个人信息”作为适用门槛，这一设计选择本身具有方法论意义。不同于以企业注册资本或员工人数为标准的传统中小企业认定逻辑，数据处理规模作为判断依据，直接对应个人信息保护语境下的核心风险维度——处理规模越大，潜在影响范围越广，对应的合规义务理应越重。这一标准的采用，体现了个人信息保护立法“以数据为中心”的规制取向，也使简化措施规定的适用边界具有内在的规范自洽性。

2.2  告知与同意机制的实质性简化

简化措施规定对告知义务的处理，并非单纯的程序精简，而是在特定条件下对同意机制底层逻辑的重新诠释。简化措施第7条确立了一项值得关注的规则：个人因获取产品或服务需要，主动向小型处理者提供必要个人信息的，处理者已公开个人信息处理规则，即可依规则处理其个人信息。这一安排实质上是将“主动提供行为”解释为对已公开规则的默认接受，在合规路径上以“行为推定”部分替代了“明示同意”的获取要求。

这一制度设计的政策逻辑在于：对于低风险的日常商业场景，强制要求每次交互均须完成完整的告知-同意流程，既增加企业合规成本，也可能因流程繁琐而降低制度的实际执行质量。此外，简化措施第6条则允许小型处理者通过公示个人信息处理规则的方式代替主动告知动作，该条规定选择在特定条件约束下（非敏感信息、不对外提供、不公开）允许简化告知流程，是合规成本与保护效果之间的有意平衡。

2.3  跨境数据流动：豁免条款的制度价值

简化措施第11条对跨境合规豁免的安排，进一步重申2024年3月跨境新规及后续法规所确立的个人信息出境豁免情形。简化措施明确，非关键信息基础设施运营者，自当年1月1日起累计向境外提供不满10万人个人信息（不含敏感个人信息）的，免于申报数据出境安全评估、订立标准合同或通过个人信息保护认证。

这一安排的意义在于，它将跨境数据流动的合规门槛与数据处理规模直接挂钩，为大量具有少量跨境数据流动需求的企业——包括跨境电商、服务出口型企业、在华外资企业的本地运营主体——提供了实质性的制度便利，有助于降低跨境业务的制度摩擦成本。

三、精准施压：执法重心的战略性集中

3.1  高风险场景的共同特征

2026年专项行动锁定的六大领域——App与SDK、互联网广告、教育、交通、卫生健康、金融——并非随机抽取。仔细观察可以发现，这六个领域的共同特征是：数据商业化程度高、个人信息处理规模大、公众投诉集中、且历次专项治理后仍存在系统性反复。这一选择逻辑表明，专项行动的靶向对象基于对既往执法效果的评估与对当前高风险场景的系统性判断。

其中，SDK被单独列为治理对象，具有较强的信号意义。第三方SDK嵌入式数据采集长期以来构成个人信息保护执法的灰色地带：开发者通过引入第三方SDK实现功能集成，却往往对SDK的数据采集行为缺乏有效控制，形成“责任稀释”效应。此次将SDK与App并列列为治理对象，意味着监管对这一数据采集路径的穿透性审查正在加强。

3.2  生物特征数据：跨领域的执法高压线

专项行动在教育、卫生健康、金融三个领域均单独列出人脸识别技术滥用问题，措辞高度一致：使用非人脸识别技术方式可以实现验证身份的，不得将人脸识别作为唯一验证方式。这一跨领域的一致性表述，揭示了监管对生物特征数据过度采集问题的系统性关切，而非个别领域的特殊要求。对于业务场景涉及人脸识别的企业，无论所处行业，均应将这一信号纳入合规优先级的判断。

3.3  行政执法与刑事追诉的制度衔接

值得特别关注的是，2026年专项行动将针对侵犯个人信息违法犯罪活动的打击作为独立专项列出，公安部作为联合发文机关，意味着本次治理在制度设计上已预设了行政执法与刑事追诉的衔接路径。围绕信息泄露、倒卖、非法使用的全链条打击，以及对行业“内鬼”的严惩取向，表明监管对侵犯个人信息问题的容忍边界正在进一步收窄。

四、同向演变，根本分歧：与GDPR的比较观察

4.1  分层合规：一个跨法域的共同答案

将中国上述政策动向与欧盟近期立法演变对照，可以发现一个结构性的趋同现象。2025年11月，欧盟委员会发布“数字一揽子法案”（Digital Omnibus），提议对GDPR进行有针对性的修订，核心方向之一正是为750人以下中小企业减轻合规负担：豁免处理活动记录义务、简化数据保护影响评估触发标准、精简隐私通知要求。与此同时，欧盟各国数据保护机构对大型科技公司的执法力度持续强化，针对几家大型科技公司近年累计罚款已逾二十亿欧元。

这一“对小主体减负、对大主体和高风险场景加压”的监管结构，与中国当前政策取向高度一致。这种跨法域的政策趋同，并非偶然，而是全球主要数字经济体在个人信息保护立法走向成熟后，面对相似结构性困境——中小企业合规成本过高、执法资源稀缺——时趋于一致的政策回应。

4.2  同意机制的根本性分歧：对跨国企业的实质影响

然而，中欧在减负路径上存在一个根本性的分歧，对在两个市场同时运营的跨国企业具有直接的合规含义。欧盟的简化改革在本质上是程序性的：削减记录和通知义务，但不触动“同意”作为数据处理核心法律基础的地位。GDPR框架下，有效同意须满足自由给予、具体、知情且明确的要件，欧盟监管机构对任何形式的默示同意或行为推定均保持高度警惕。

相比之下，中国小型处理者规定在特定条件下允许以“主动提供行为”替代明示同意的获取，是在保护标准框架内对同意机制操作层面的实质性调整。这一差异，使得两套合规体系在同意机制的底层逻辑上出现了结构性分叉。

对于跨国企业而言，这意味着针对中国用户和欧盟用户的数据采集流程，在法律依据层面存在本质差异，无法以单一的全球隐私架构统一覆盖。在数据架构设计和系统实现层面，有必要区分不同法域的数据流，避免以较低合规标准的本地设计无意间延伸至对更高要求负有义务的境外场景。

五、企业合规的战略性重新定位

5.1  监管分层要求合规资源的同步分层

分层治理范式对企业的首要启示，是合规资源配置逻辑的相应调整。处理规模低于10万人个人信息的主体，有必要系统梳理简化措施规定所提供的制度空间，尤其是跨境豁免条款的适用条件与边界。另一方面，处理规模较大、业务场景覆盖专项行动重点领域的企业，则需要清醒认识到自身正处于执法压力集中投放的靶向范围，不能以过去未受执法为由低估当前的合规风险。

5.2  平台依赖型主体的合规架构再审视

简化措施规定为仅通过网络平台处理数据的经营者提供了重要的“平台庇护”机制：平台已履行合规义务的，入驻主体可免于重复履行。这一机制的实际效力，取决于平台本身的合规质量。对于依赖第三方平台运营的企业，有必要主动核查所依赖平台的合规状况，并在合作协议中明确责任分配，以确保豁免机制在法律层面具备可援引的基础。

5.3  跨境数据流动安排的精细化管理

跨境豁免条款的适用条件具有明确的边界约束——年度累计传输规模、非敏感个人信息、非关键信息基础设施运营者身份，三项条件须同时满足。对于跨国企业而言，建议结合实际数据流向对跨境传输路径进行系统梳理，区分可适用豁免的场景与仍需保留标准合同或安全评估机制的场景，形成有据可查的合规文档，以备监管机构查验。

5.4  中欧双市场运营的体系化合规设计

如前所述，中欧在同意机制上的结构性分歧，使得任何试图以单一全球隐私架构统一应对两个市场的方案均存在系统性风险。建议在数据架构层面将不同法域的数据流在系统设计阶段即加以区分，而非依赖事后的合规补丁。这一工作的优先级，往往高于针对某一单项法规的专项合规整改。

结语：范式转型的深层意涵

《礼记》有言：“一张一弛，文武之道。”用以描述当下中国个人信息保护监管的演变，颇为贴切。在经历了立法冲刺的密集期之后，监管体系正在走向一种更具战略纵深的成熟形态：以差异化的义务配置替代普遍性的合规要求，以靶向性的执法投入替代全面铺开的监管动员，以制度包容性换取中小主体的合规活力，以集中威慑换取高风险场景的规范秩序。

这一范式转型对企业的根本启示在于：合规策略的有效性，越来越取决于对监管逻辑的准确理解，而非对法规条文的机械遵循。真正的合规风险，往往不在于不了解某一条款的具体规定，而在于误判了自身在监管分层结构中所处的位置，以及由此决定的执法压力的实际方向。 

声 明

《君合法律评论》所刊登的文章仅代表作者本人观点，不得视为君合律师事务所或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容，请注明出处。未经本所书面同意，不得转载或使用该等文章中包含的任何图片或影像。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。