给“摄像头”立法，对“强制刷脸”说“不”；启用“网络身份证”，为个人信息穿上“隐身衣”；个保合规审计成为企业“必答题”，个人信息安全出境路径有章可循……2025年，对个人信息的保护，愈发嵌入细微处。这些背后，是我国个人信息保护制度“拼图”的加速完善，对企业合规发展的实质指引。

世界互联网大会乌镇峰会，数据治理与个人信息保护依旧是备受关注的话题。在此之际，广东省网络数据安全与个人信息保护协会联合南都大数据研究院，特别对今年以来的十余部涉及个人信息保护的政策法规细则进行梳理，发现了这些新的“进化”。

法律体系衔接更紧密

制度协同性增强

2021年11月1日，我国第一部个人信息保护的专门性法律《个人信息保护法》施行，开启了依法全面保护个人信息的新阶段。时间来到2025年，随着《个人信息保护法》迈入施行的第四个年头，我国个人信息保护法律制度体系也在与时俱进加速完善。

广东省网络数据安全与个人信息保护协会联合南都大数据研究院梳理发现，今年以来，至少有十余部涉及个人信息保护的政策法规细则相继出台施行，分别来自全国人大常委会、国务院、国家网信办、工信部等多个机构部门，法律体系协同性不断增强。

在顶层设计方面，10月28日，十四届全国人大常委会第十八次会议通过了《全国人民代表大会常务委员会关于修改<中华人民共和国网络安全法>的决定》，自2026年1月1日起施行。

2016年制定的《网络安全法》是网络安全领域的基础性法律，适应网新形势新要求，此次《网络安全法》的修改，加强与《个人信息保护法》《数据安全法》等相关立法的衔接协调，重点强化网络安全法律责任，加大对部分违法行为的处罚力度，扩大法律的域外适用情形，加强数据安全和个人信息保护。

于今年1月1日起施行的《网络数据安全管理条例》，则对不同性质的网络数据处理者处理各种类型的网络数据作出一般性规定，细化强调对个人信息、重要数据、出境数据的保护和监管，明晰了《个人信息保护法》第58条认定的“守门人”企业的义务和要求。

敏感个人信息保护更有力

人脸、未成年人重点守护

敏感个人信息保护是我国个人信息保护法律制度的重要内容之一，今年以来，相关实施细则也接连落地。

今年4月1日起施行的《公共安全视频图像信息系统管理条例》明确和规范了各类公共安全视频系统的建设、管理和信息使用问题，并通过设立禁止性条款、列出“负面清单”等保障个人隐私和信息权益。今年6月起施行的《人脸识别技术应用安全管理办法》，则针对人脸识别技术的应用提出了系统化的规范指引，明确实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式。

中国法学会网络与信息法学研究会常务副秘书长周辉认为，该《办法》针对人脸信息这一特殊敏感个人信息的保护需求，进一步细化和完善了法律规范。通过构建专门的制度安排和操作指引，《办法》弥补了现有法律在应对新兴技术应用方面的不足，也为应对未来可能出现的新型技术挑战提供了可借鉴的制度经验，体现了我国个人信息保护法治建设系统化水平。

同样在6月，国家网信办会同多部门起草了《可能影响未成年人身心健康的网络信息分类办法（征求意见稿）》，并向社会公开征求意见。征求意见稿明确了“不当披露和使用未成年人个人信息”等可能影响未成年人身心健康的网络信息的具体种类、范围、判断标准和提示办法，进一步强化对未成年人个人信息合法权益的保障。

个人信息跨境流动更规范

出境路径有章可循

个人信息跨境流动关系着个人权益保护、国际经贸活动秩序和国家司法管辖权，也是个人信息保护法律制度体系的重要拼图，随着《个人信息出境认证办法》等的出台，这块拼图得到进一步补齐。

对于个人信息出境，法律规定了数据出境安全评估、个人信息保护认证、个人信息出境标准合同等多种途径。《个人信息保护法》对个人信息出境认证制度作了基本规定，《个人信息出境认证办法》进一步对个人信息出境认证的适用情形，个人信息出境认证的申请方式、认证要求及证书有效期，专业认证机构应当履行的义务，监督管理要求等作出细化规定，明确了通过认证方式向境外提供个人信息的具体实施路径。

在北京航空航天大学法学院副教授赵精武看来，《个人信息出境认证办法》与《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等规章相互衔接，共同构筑起一套多层次、全覆盖的个人信息出境监管框架，为实现个人信息安全有序跨境流动提供了坚实的制度保障。

企业合规责任更明晰

审计监督制度落地

引导推动平台企业切实履责，提升个人信息处理活动合法合规水平，也是个人信息保护法律制度体系发展完善的重要方向。

其中，个人信息保护合规审计制度是重要抓手之一。为压实个人信息处理者个人信息保护主体责任，加强个人信息处理活动风险控制和监督，《个人信息保护法》《网络数据安全管理条例》对个人信息处理者开展合规审计作了规定。今年2月，国家网信办制定出台《个人信息保护合规审计管理办法》，对个人信息保护合规审计活动的开展、合规审计机构的选择、合规审计的频次、个人信息处理者和专业机构在合规审计中的义务等作出细化规定，为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范。

值得注意的是，根据《个人信息保护法》，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督，《个人信息保护合规审计管理办法》还明确，由个保负责人负责个人信息处理者的个人信息保护合规审计工作。7月18日，国家网信办发布《关于开展个人信息保护负责人信息报送工作的公告》，提醒处理100万人以上个人信息的个人信息处理者，依法履行个保负责人信息报送手续。有专家认为，这是落实个人信息保护负责人制度的一项举措，有利于后续开展政府监管，监督个人信息保护负责人的履职情况。

针对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”，《个人信息保护法》还提出特别义务，要求其“建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督”。9月12日，国家网信办就《大型网络平台设立个人信息保护监督委员会规定（征求意见稿）》公开征求意见。在中国信息通信研究院副院长魏亮看来，《规定》在《个人信息保护法》原则性要求的基础上，系统性构建监督委员会制度落地方案，明确监督委员会的设立机制与运行规则等事项，增强上位法制度的可操作性和执行力，为大型网络平台充分履行个人信息保护特别义务提供具体指引，促进法律有效实施。

监管切口更精准

分领域分场景筑防线

除了上述重要配套规则，今年以来，相关部门还分领域、分场景细化制定可操作、可落地的个人信息保护政策文件，推动监管向更垂直精准的方向发展。

比如，今年5月，公安部、国家网信办等六部门联合公布《国家网络身份认证公共服务管理办法》，推进国家网络身份认证公共服务建设的同时，强调国家网络身份认证公共服务平台、互联网平台等对数据安全、个人信息保护的责任，对未成年人申领、使用国家网络身份认证公共服务作出特殊规定，保障公民个人信息权益。

再如，为引导规范汽车数据处理者高效便利安全开展汽车数据出境活动，提升个人信息等汽车数据出境流动便利化水平，6月13日，工信部、国家网信办等八部门发布《汽车数据出境安全指引（2025版）（征求意见稿）》，公开征求意见。

《政务数据共享条例》《促进和规范电子单证应用规定（征求意见稿）》《关键信息基础设施商用密码使用管理规定》等多部政策法规，也均明确要求相关主体履行网络安全、数据安全和个人信息保护义务。

法治的“触角”精准延伸，正力争让每一次数据处理都守好规矩，每一份个人隐私都得到保护。这也是2025年留给我们的最好礼物。

---

出品：南都大数据研究院

撰文：南都研究员 唐静怡

设计：林泳希