夜雨聆风2026年4月2日,中央网信办、工业和信息化部、公安部联合发布公告,宣布开展2026年个人信息保护系列专项行动。这场覆盖六大领域、外加刑事专项打击的“6+1”治理行动,释放出一个清晰的信号:个人信息的“野蛮收集”时代,结束了。
今天,我们从三个高频场景出发,聊聊那些关乎每个人数字生活安全感的规则红线。
场景一:App与SDK——别让“强制同意”,透支了用户的信任
用户下载一个手电筒App,却被要求授权通讯录、位置、相册权限,不给权限就不能用;App在后台悄悄调用麦克风,用户毫不知情。
案例:
2026年专项行动明确将App、SDK违法违规收集使用个人信息列为首要治理目标。重点整治四类问题:一是未公开收集规则、未提供有效注销账号功能;二是告知收集信息的目的、范围与实际收集情况“两张皮”;三是未经用户同意收集信息,强制同意非必要权限;四是超出必要范围,在无关场景收集位置、通讯录、短信等信息,超出最低必要频率调用权限。
合规护航建议:
App运营者:隐私政策不能停留在“文本合规”,须确保文本描述、SDK实际调用、后台数据流向三者一致。对嵌入的第三方SDK承担连带合规责任,不能以“是第三方干的”来推卸。
用户自我保护:定期检查手机App权限设置,关闭非必要的通讯录、位置、麦克风授权。对于不再使用的App,及时注销账号,不只是卸载。
场景二:金融与出行——别让“风控需要”和“扫码缴费”,成了过度收集的借口
贷款平台以“安全风控”为名,要求用户授权通讯录、短信、通话记录,不授权就贷不到款;公共停车场扫码缴费,强制要求注册账号、绑定手机号;线上购票平台将用户行程信息共享给第三方票务代理,却未告知用户。
案例:
2026年专项行动点名批评了“扫码缴费强制注册”这一典型场景。监管逻辑很清晰:单次交易只应收集交易必需的信息,扫码缴费不应成为强制收集手机号的入口。在金融领域,公告明确:以“安全风控、贷款服务”名义收集非必要的通讯录、短信、通话记录、位置、设备信息等,属于违法违规行为。这意味着,“风控需要”不再能作为过度收集个人信息的正当理由。
合规护航建议:
金融与出行平台:互联网助贷平台向合作机构提供个人信息时,必须告知接收方名称、处理目的、方式并取得用户同意。停车场扫码缴费不得强制注册、收集手机号。
用户应对策略:遇到强制授权通讯录才能贷款的App,保留截图等证据,可向金融监管部门或网信办举报。
场景三:医疗与教育——别让“敏感信息”,成了不设防的“裸数据”
医院App未有效核验身份,导致他人可随意查询你的就诊记录、检查报告;学校强制将人脸识别作为进出校园的唯一验证方式;校外培训机构过度收集家长的身份证号、职业、联系方式。
案例:
最高法2026年5月发布的典型案例显示,某软件公司在为医院提供挂号系统维护服务过程中,非法获取挂号用户个人信息287万余条,公司法定代表人及员工均被判处有期徒刑并处罚金。另一起案件中,铁路车站客运员利用职务便利查询他人高铁出行信息并贩卖获利,最终被判刑并支付公益损害赔偿金。
合规护航建议:
医疗机构与学校:处理不满十四周岁未成年人个人信息,必须制定专门的个人信息处理规则,并取得监护人明确同意。人脸识别如存在刷卡、人工核对等替代验证方式,不得作为唯一验证方式。
用户维权意识:发现病历信息被泄露、学校过度收集家长信息等情况,可向网信办、卫健委等主管部门投诉举报。
特别警示
这次专项行动第七条——“个人信息相关违法犯罪案件专项打击治理”。公告明确:聚焦公共服务、金融借贷、医疗教育、生活出行等重点方向,围绕信息泄露、信息倒卖、信息使用三个环节,严惩行业“内鬼”,严打侵犯公民个人信息违法犯罪。这些传递的信号再清晰不过:触碰个人信息保护的红线,代价将超乎想象。
“个人信息保护”正以前所未有的力度重塑数字时代的商业规则与生活边界。在一个算法日益透明、规则更加明确的新时代,唯有合规,方能致远。 我们既是保护对象,也是参与者:业务有增长,数据有底线——了解这些规则,守护好自己的“数字身份”、隐私与尊严,就是对自己最好的保护。
免责声明:本文为作者个人观点,案例均来源于公开信息,仅用于学习交流,不构成法律意见。
