围绕数字经济快速发展、个人信息使用场景加速扩展的新形势,国家互联网信息办公室持续加强个人信息保护政策法规宣贯,近日以问答形式集中回应社会和业界关切,推动个人信息处理者依法依规开展数据处理活动,更好维护公民个人信息权益。 问题:海量数据流通与算法驱动业务普及的背景下,个人信息保护面临哪些突出难点?一上,个人信息的外延不断扩展,既包括姓名、出生日期、身份证件号码等传统身份信息,也涵盖网络身份标识、通信记录、设备识别码、位置轨迹、用户画像、运动健康数据等新型信息形态;另一方面,部分信息一旦泄露或被滥用可能带来更高风险,尤其是生物识别、金融账户、行踪轨迹、医疗健康、未成年人信息等敏感领域,现实中与电信网络诈骗、非法“精准画像”、过度采集等问题存关联。如何准确识别、分类管理并形成可执行的合规流程,成为个人信息处理者需要回答的“必答题”。 原因:信息处理边界模糊与技术应用迭代加快,是风险易发的重要原因。随着智能终端、移动应用、公共服务平台及人脸识别等技术广泛落地,数据采集更便捷、关联更容易、复用更频繁,但部分主体在“合法、正当、必要”原则落实上仍存在偏差:有的以便利服务为由扩大采集范围,有的在告知与同意环节不充分,有的在内部管理、外包合作、第三方接口调用等链条中防护不足。此外,社会公众对个人信息的敏感度持续提升,对“收集什么、为何收集、存多久、给谁用、如何退出”的透明度要求更高,合规治理需要在制度层面继续细化落地。 影响:问答传递出“明边界、强责任、重评估”的清晰信号,有助于形成更可预期的制度环境。首先,明确个人信息的定义,强调其是与已识别或可识别自然人涉及的的各类信息,并排除匿名化处理后的信息,为企业梳理数据资产、建立台账、开展分类分级提供基础。其次,对敏感个人信息的界定更加聚焦“泄露或非法使用的危害性”,并引入国家标准GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》中提出的识别方法与常见类别,提升可操作性与一致性。再次,根据人脸识别等高风险应用,强调使用前应开展个人信息保护影响评估并形成记录,从源头审视目的必要性、权益影响、风险程度与保护措施有效性,有助于推动技术应用从“能用”向“合规用、审慎用”转变。对公众而言,这些制度安排将强化权利保障与风险防控;对行业而言,则有助于减少“合规成本不确定性”,促进竞争回归服务质量与安全能力。 对策:在具体执行层面,问答突出几项关键抓手,指向更细化的治理路径。其一,强化分类识别与最小必要采集。个人信息处理者应以业务目的为牵引,梳理所处理信息类型、来源、使用方式与共享对象,明确是否属于敏感个人信息,严格控制采集范围与调用权限,避免“为可能需求而收集”。其二,压实人脸信息处理的评估与记录义务。依据《人脸识别技术应用安全管理办法》有关规定,组织开展个人信息保护影响评估,重点评估处理目的与方式的合法性、正当性、必要性,权益影响及缓解措施有效性,泄露篡改丢失等风险及危害,以及保护措施与风险相适应程度;如引入第三方参与评估,应在报告中说明第三方基本情况与参与方式,增强评估可追溯性。其三,健全负责人制度与审计机制。《中华人民共和国个人信息保护法》明确,处理个人信息达到规定数量的处理者需指定个人信息保护负责人,强化监督职责;同时,相关配套规定提出对处理规模较大的主体提出更明确要求,并通过线上系统开展负责人信息报送,推动责任落到人、工作闭环管理。其四,提升全链条安全能力。除制度与流程外,还需在权限控制、加密脱敏、访问审计、接口管理、外包与合作方约束、应急处置诸上补齐短板,形成贯穿采集、存储、使用、共享、转移、公开与删除的全周期治理。 前景:随着个人信息保护法规体系和标准体系持续完善,监管与行业自律将进一步合力推进,治理重点可能从“事后处置”更多转向“事前预防”和“持续合规”。对企业机构而言,合规不应被视为额外负担,而应成为赢得用户信任与市场竞争力的重要基础。预计未来敏感个人信息识别、影响评估质量、合规审计频次与整改闭环、重点场景(如生物识别、精准定位、未成年人服务)治理等上,将呈现更强的规范化趋势。同时,公众权利意识提升也将推动产品设计更加注重隐私保护默认设置、可理解告知与便捷撤回机制,让“以人为本”的数字治理理念更好落到应用细节。
个人信息保护与数据价值释放如同天平的两端,需要精准的制度设计予以平衡;网信办此番政策解读不仅为市场主体提供了合规操作手册,更传递出"规范与发展并重"的治理智慧。当技术发展的脚步遇上制度理性的缰绳,中国正在探索一条具有特色的数字文明治理新范式。