个人信息保护，越来越密集地进入我们的视野。尤其2025年年末，《大型网络平台个人信息保护规定（征求意见稿）》《数据安全技术 电子产品信息清除技术要求》《人工智能拟人化互动服务管理暂行办法（征求意见稿）》《关于报送未成年人个人信息保护合规审计情况的公告》……一系列政策文件与国家强标接连公布，国家对个人信息保护工作的重视不言而喻。

回首这一年，给“摄像头”立法，对“强制刷脸”说“不”；启用“网络身份证”，为个人信息穿上“隐身衣”；个保合规审计成为企业“必答题”，个人信息安全出境路径有章可循，AI拟人互动服务有了规范，大型网络平台个保规则越发明晰……这些背后，是我国个人信息保护制度“拼图”的加速完善，对企业合规发展的实质指引，以及网络安全屏障的进一步巩固。

南方都市报、南都大数据研究院特别梳理了2025年以来新公布的涉及个人信息保护的政策法规细则，发现了这些新的“进化”。

法律体系衔接更紧密

制度协同性增强

“保障个人信息安全，维护公民在网络空间的合法权益”，是大家坚守的方向。中共中央政治局2025年11月底就加强网络生态治理进行集体学习，明确指出要筑牢网络安全和数据安全防线。中央网信办主任庄荣文在接受人民日报采访中则具体地提到，要加强网络数据治理，加强个人信息保护，严厉打击侵犯个人信息违法犯罪活动。2026年伊始，全国网信办主任会议又一次强调，要筑牢安全屏障，强化网络安全防护、网络数据安全管理和人工智能安全治理，全面推进国家网络安全体系和能力现代化。

回望2025年，也是《个人信息保护法》迈入施行的第四个年头，我国个人信息保护法律制度体系正与时俱进加速完善。

南都大数据研究院梳理发现，2025年以来，至少有十余部涉及个人信息保护的政策法规细则相继出台施行，分别来自全国人大常委会、国务院、国家网信办、工信部等多个机构部门，法律体系协同性不断增强。

在顶层设计方面，2025年10月28日，十四届全国人大常委会第十八次会议通过了《全国人民代表大会常务委员会关于修改<中华人民共和国网络安全法>的决定》，自2026年1月1日起施行。2016年制定的《网络安全法》是网络安全领域的基础性法律，适应新形势新要求，此次《网络安全法》的修改，加强与《个人信息保护法》《数据安全法》等相关立法的衔接协调，重点强化网络安全法律责任，加大对部分违法行为的处罚力度，扩大法律的域外适用情形，加强数据安全和个人信息保护。

于2025年1月1日起施行的《网络数据安全管理条例》，则对不同性质的网络数据处理者处理各种类型的网络数据作出一般性规定，细化强调对个人信息、重要数据、出境数据的保护和监管，明晰了《个人信息保护法》第58条认定的“守门人”企业的义务和要求。

2025年12月初，国家网信办发布《网络数据安全风险评估办法（征求意见稿）》并面向社会公开征求意见。中国电子技术标准化研究院副院长范科峰认为，《办法》将网络数据安全风险评估，与网络安全等级保护测评、数据安全管理认证、个人信息保护合规审计、商用密码应用安全性评估等工作进行了衔接，支持相关结果采信，强化了制度协同，切实为网络数据处理者松绑减负。

敏感个人信息保护更有力

人脸、未成年人重点守护

敏感个人信息保护是我国个人信息保护法律制度的重要内容之一，2025年以来，相关实施细则也接连落地。

2025年4月1日起施行的《公共安全视频图像信息系统管理条例》明确和规范了各类公共安全视频系统的建设、管理和信息使用问题，并通过设立禁止性条款、列出“负面清单”等保障个人隐私和信息权益。2025年6月起施行的《人脸识别技术应用安全管理办法》，则针对人脸识别技术的应用提出了系统化的规范指引，明确实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式。

中国法学会网络与信息法学研究会常务副秘书长周辉认为，该《办法》针对人脸信息这一特殊敏感个人信息的保护需求，进一步细化和完善了法律规范。通过构建专门的制度安排和操作指引，《办法》弥补了现有法律在应对新兴技术应用方面的不足，也为应对未来可能出现的新型技术挑战提供了可借鉴的制度经验，体现了我国个人信息保护法治建设系统化水平。

同样在6月，国家网信办会同多部门起草了《可能影响未成年人身心健康的网络信息分类办法（征求意见稿）》，并向社会公开征求意见。征求意见稿明确了“不当披露和使用未成年人个人信息”等可能影响未成年人身心健康的网络信息的具体种类、范围、判断标准和提示办法，进一步强化对未成年人个人信息合法权益的保障。

当年11月底，国家网信办、公安部起草了《大型网络平台个人信息保护规定（征求意见稿）》，并向社会公开征求意见。征求意见稿进一步明晰大型网络平台个人信息保护规则，明确大型网络平台开展个人信息处理活动，应当“严格保护敏感个人信息和未成年人个人信息”；规定大型网络平台需设立个人信息保护负责人，负责组织制定专门的未成年人信息处理规则等核心职责。

来到12月底，国家网信办就《人工智能拟人化互动服务管理暂行办法（征求意见稿）》向社会公开征求意见。在敏感个人信息保护方面，征求意见稿明确禁止人工智能拟人化互动服务提供者以拟人化互动服务为掩护，诱导、套取敏感信息；未经用户或监护人单独同意，不得将用户交互数据、用户敏感个人信息用于模型训练或向第三方提供；并要求提供者每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计。

值得一提的是，2025年12月29日，国家网信办发布《关于报送未成年人个人信息保护合规审计情况的公告》，提醒处理未成年人个人信息的个人信息处理者，于每年1月底前报送上一年度未成年人个人信息保护合规审计情况，进一步落实《个人信息保护法》《未成年人网络保护条例》等法律法规对未成年人个人信息保护的规定。

个人信息跨境流动更规范

出境路径有章可循

个人信息跨境流动关系着个人权益保护、国际经贸活动秩序和国家司法管辖权，也是个人信息保护法律制度体系的重要拼图，随着《个人信息出境认证办法》等的出台，这块拼图得到进一步补齐。

对于个人信息出境，法律规定了数据出境安全评估、个人信息保护认证、个人信息出境标准合同等多种途径。《个人信息保护法》对个人信息出境认证制度作了基本规定，《个人信息出境认证办法》进一步对个人信息出境认证的适用情形，个人信息出境认证的申请方式、认证要求及证书有效期，专业认证机构应当履行的义务，监督管理要求等作出细化规定，明确了通过认证方式向境外提供个人信息的具体实施路径。

在北京航空航天大学法学院副教授赵精武看来，《个人信息出境认证办法》与《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等规章相互衔接，共同构筑起一套多层次、全覆盖的个人信息出境监管框架，为实现个人信息安全有序跨境流动提供了坚实的制度保障。

企业合规责任更明晰

审计监督制度落地

引导推动平台企业切实履责，提升个人信息处理活动合法合规水平，也是个人信息保护法律制度体系发展完善的重要方向。

其中，个人信息保护合规审计制度是重要抓手之一。为压实个人信息处理者个人信息保护主体责任，加强个人信息处理活动风险控制和监督，《个人信息保护法》《网络数据安全管理条例》对个人信息处理者开展合规审计作了规定。2025年2月，国家网信办制定出台《个人信息保护合规审计管理办法》，对个人信息保护合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定，为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范。

值得注意的是，根据《个人信息保护法》，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督，《个人信息保护合规审计管理办法》还明确，由个保负责人负责个人信息处理者的个人信息保护合规审计工作。2025年7月，国家网信办发布《关于开展个人信息保护负责人信息报送工作的公告》，提醒处理100万人以上个人信息的个人信息处理者，依法履行个保负责人信息报送手续。有专家认为，这是落实个人信息保护负责人制度的一项举措，有利于后续开展政府监管，监督个人信息保护负责人的履职情况。

针对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”，《个人信息保护法》还提出“建立健全个人信息保护合规制度体系”“成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”等特别义务。

2025年12月发布的《大型网络平台个人信息保护规定（征求意见稿）》进一步细化了大型网络平台认定标准，明确要求大型网络平台建立并落实个人信息保护负责人制度，并从任职资格、职责权限等方面对个人信息保护负责人制度作了细化完善，引导大型网络平台这一关键主体完善内部治理架构、提升个人信息保护能力。

此外，2025年9月中旬，国家网信办就《大型网络平台设立个人信息保护监督委员会规定（征求意见稿）》公开征求意见。在中国信息通信研究院副院长魏亮看来，《规定》在《个人信息保护法》原则性要求的基础上，系统性构建监督委员会制度落地方案，明确监督委员会的设立机制与运行规则等事项，增强上位法制度的可操作性和执行力，为大型网络平台充分履行个人信息保护特别义务提供具体指引，促进法律有效实施。

监管切口更精准

分领域分场景筑防线

除了上述重要配套规则，今年以来，相关部门还分领域、分场景细化制定可操作、可落地的个人信息保护政策文件，推动监管向更垂直精准的方向发展。

比如，2025年5月，公安部、国家网信办等六部门联合公布《国家网络身份认证公共服务管理办法》，推进国家网络身份认证公共服务建设的同时，强调国家网络身份认证公共服务平台、互联网平台等对数据安全、个人信息保护的责任，对未成年人申领、使用国家网络身份认证公共服务作出特殊规定，保障公民个人信息权益。

再如，为引导规范汽车数据处理者高效便利安全开展汽车数据出境活动，提升个人信息等汽车数据出境流动便利化水平，2025年6月，工信部、国家网信办等八部门发布《汽车数据出境安全指引（2025版）（征求意见稿）》，公开征求意见。

《人工智能拟人化互动服务管理暂行办法（征求意见稿）》《政务数据共享条例》《促进和规范电子单证应用规定（征求意见稿）》《关键信息基础设施商用密码使用管理规定》等多部政策法规，也均明确要求相关主体履行网络安全、数据安全和个人信息保护义务。

2025年12月初，中央网信办提出并归口的《数据安全技术 电子产品信息清除技术要求》强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布，旨在规范电子产品信息清除技术方法，引导回收经营者建立健全信息清除管理和技术措施，防范二手流通中的数据泄露风险，促进二手电子产品交易行业健康有序发展。

值得一提的是，监管风向还在持续。2026年开年，《直播电商监督管理办法》《网络交易平台规则监督管理办法》等新规接连出台，直播电商平台及网络交易平台经营者在个人信息保护、网络和数据安全保护等方面的责任得到进一步强调压实。

法治的“触角”精准延伸，正力争让每一次数据处理都守好规矩，每一份个人隐私都得到保护。这也是2025年留给我们的最好礼物，也期待更好的2026年。

出品：南都大数据研究院

采写：南都研究员 唐静怡

设计：林泳希