中国个人信息保护报告（2025年）

目录 1.2025年个人信息保护总览 2.加强顶层设计，完善个人信息保护制度框架3 2.1健全个人信息保护法律法规体系-3.2.2完善个人信息保护司法规则和裁判标准:6.2.3 建设个人信息保护国家标准体系8 3.强化监管治理，规范个人信息处理活动10 - 3.1 深化个人信息保护监督管理10-3.2加强重点行业个人信息保护.12 -3.3大力推进个人信息司法保护13 -3.4压实重点环节个人信息保护责任义务，.- 14 - 4.推动社会共治，形成个人信息保护工作合力.-15- 4.1提升个人信息保护行业自律水平15-4.2建设个人信息保护社会服务体系17.4.3 加强投诉举报受理与全方位监督18- 5．深化宣传教育，提高个人信息保护意识能力- 19- 5.1加强个人信息保护政策法规宣传阐释.-19 -5.2推进重点领域个人信息保护教育培训....- 21 -5.3强化未成年人个人信息保护宣传教育... - 22 -5.4组织开展个人信息保护网络问卷调查，-23 - 6.坚持开放合作，凝聚个人信息保护国际共识24: 6.1 深度参与国际规则标准制定- 24 -6.2加强个人信息保护对外交流25-6.3开展个人信息保护务实合作，26-7. 结束语..27.8. 附录.-29 -8.1 个人信息保护法律法规部门规章一览- 29 -8.2个人信息保护国家标准－览- 30 -8.32025年度个人信息保护大事记-32-8.4个人信息保护典型司法案例，36- 1.2025年个人信息保护总览 党的十八大以来，以习近平同志为核心的党中央高度重视个人信息保护，系统谋划和部署推动相关工作。2021年，国家出台《个人信息保护法》，对规范个人信息处理活动、保护个人信息权益作出制度性安排，明确个人信息处理者的义务和个人在个人信息处理活动中的权利。党的二十大报告提出，加强个人信息保护。《中华人民共和国国民经济和社会发展第十五个五年规划纲要》提出，加强个人信息保护。 2025年，国家互联网信息办公室坚持以人民为中心的发展思想，会同各地区各有关部门深入贯彻落实党中央、国务院决策部署，着力推动健全个人信息保护法治体系，强化执法监管，加强司法保护，深化宣传教育，切实保障公民个人信息权益，提开广大人民群众在网络空间的获得感、幸福感、安全感。 规章标准不断完善，个人信息保护立法的整体性、协同性不断增强。实施《网络数据安全管理条例》，制定出台《个人信息保护合规审计管理办法》《人脸识别技术应用安全管理办法》《个人信息出境认证办法》等部门规章，建立个人信息保护合规审计、人脸识别技术应用安全管理、个人信息出境认证等制度。出台实施《国家网络身份认证公共服务管理办法》，建立网络身份认证制度。重点行业领域个人信息保护制度不断健全，银行业、电信领域以及医疗机构电子病历管理、数学消费等场景相关规范陆续出台。个人信息保护 标准体系建设持续推进，多项个人信息保护国家标准发布，为个人信息保护工作提供有力标准支撑。 监督管理扎实推进，个人信息处理活动更加规范有序。强化个人信息保护执法力量建设，加大行政执法力度，不断规范个人信息处理活动、压实个人信息处理者主体责任。组织开展个人信息保护系列专项行动，针对人民群众反映强烈的互联网应用程序（App）、软件开发工具包（SDK）、智能终端以及公共场所人脸识别、线下消费等场景中的违法违规收集使用个人信息问题开展集中整治，重拳打击侵害个人信息合法权益行为，筑牢个人信息安全屏障。持续健全个人信息司法规则，深化互联网法院建设，坚决查处各类违法案件，严厉惩治侵犯公民个人信息犯罪，强化个人信息司法保护。建立健全个人信息保护公益诉讼机制，持续加强个人信息保护公益诉讼。 协同共治不断加强，个人信息保护综合治理格局加快形成。持续推进个人信息保护多元治理，积极构建政府监管、企业履责、行业自律、公众监督的综合治理格局。加强政府部门协同联动和信息共享，凝聚工作合力，提升工作效能。督促企业和机构落实个人信息保护主体责任，提升合规能力水平。社会组织发挥引导行业自律、投诉举报受理等作用，新闻媒体、消费者权益保护组织等开展个人信息保护政策法规宣传解读、制度实施效果评价等工作，产大网民积极参与个人信息保护，全社会协同共治的良好局面加快形成。 宣传教育持续深化，个人信息保护意识能力全面提升。打造“数安中国行“全国网络普法行”等活动品牌，举办系列宣讲、集中普法、圆桌交流等活动，加强个人信息保护政策法规宣传，持续扩大宣传覆盖面、提升社会感知度，不断凝聚个人信息保护社会共识。开展个人信息保护网上问卷调查，走好网上群众路线。强化以案释法，集中发布个人信息同法保护典型案例。在国家宪法日、国家网络安全宣传周等期间加强个人信息保护普法宣传，教育引导广大网民、企业和机构提升个人信息保护意识和能力。 深化对外合作交流，为全球个人信息保护贡献中国智慧。发布《中方关于深化中国一东盟数学治理合作的倡议》，探索提开不同国家和地区间个人信息保护政策框架的兼容性和互操作性。积极推进中国加入《数学经济伙伴关系协定》（DEPA）谈判，与相关成员就个人信息保护、数据跨境流动等议题开展对话商。发布《携手构建中非网络空间命运共同体行动计划（2025-2026）》，持续深化同非洲国家关于个人信息保护的对话交流。 2.加强顶层设计，完善个人信息保护制度框架 2.1健全个人信息保护法律法规体系 随着信息技术快速发展和广泛应用，个人信息处理场景、规模、频度等显著变化，侵害个人信息权益事件时有发生。我国加快建设个人信息保护法律法规体系，相继制修订出台《网络安全法》《数据安全法》《个人信息保护法》等 法律。2025年，多部个人信息保护相关法规规章出台实施，法规体系建设持续深化。 出台个人信息保护相关行政法规。为落实相关法律关于个人信息保护的制度性安排，制定《网络数据安全管理条例》，2025年1月施行。《网络数据安全管理条例》重点细化《个人信息保护法》关于处理个人信息“告知-同意"的规定，明确告知义务的内容、形式等要求；细化行使个人信息查阅、复制、更正、补充、删除、转移等权利的具体条件；细化处理1000方人以上个人信息的个人信息处理者的安全保护义务。《网络数据安全管理条例》还对生成式人工智能服务提供者处理个人信息、大型网络平台发布年度个人信息保护社会责任报告等作出特别规定。同时，《公共安全视频图像信息系统管理条例》《互联网平台企业涉税信息报送规定》《住房租赁条例》《殡葬管理条例》等行政法规相继制修订出台，针对公共安全视频系统管理、租赁信息发布、网络祭扫等重点场景和活动中的个人信息处理行为提出明确要求，压实个人信息保护责任。 建立个人信息保护合规审计制度。为加强个人信息处理活动的风险控制和监督，2025年2月，国家网信办发布《个人信息保护合规审计管理办法》，对个人信息保护合规审计活动组织实施、合规审计机构选择、合规审计频次、个人信息处理者和专业机构在合规审计中的义务等作出规定，并配套发布《个人信息保护合规审计指引》，细化明确个人信息 保护合规审计活动操作要点。12月，国家网信办发布《关于报送未成年人个人信息保护合规审计情况的公告》，督促相关主体履行未成年人个人信息处理活动合规审计义务。 建立人脸识别技术应用安全管理制度。为规范应用人脸识别技术处理个人信息活动，2025年3月，国家网信办、公安部联合发布《人脸识别技术应用安全管理办法》，规定应用人脸识别技术处理人脸信息的基本要求和处理规则，明确人脸识别技术应用安全规范，建立人脸识别技术应用安全管理制度，针对人民群众关心的强制“刷脸”问题提出针对性举措。北京制定《北京帝人脸识别技术应用安全管理实施方案》，天津发布《天津帝人脸识别技术应用备案指引》，明确实施要点、操作要求等。上海建立人脸识别技术应用安全治理专项工作机制，发布《上海市人脸识别技术合规应用倡议书》。 建立网络身份认证制度。为落实可信数学身份战略，保护公民身份信息安全，2025年5月，公安部、国家网信办、民政部、文化和旅游部、国家卫生健康委、广电总局联合发布《国家网络身份认证公共服务管理办法》，明确国家网络身份认证公共服务及网号、网证的概念与审领方式，规定使用国家网络身份认证公共服务的效力、应用场景，并对未成年人申领、使用国家网络身份认证公共服务作出特殊规定。 完善个人信息出境管理制度。2025年2月，中国人民银行、金融监管总局、中国证监会、国家外汇局、国家网信办、 国家数据局联合印发《促进和规范金融业数据跨境流动合规指南》，明确金融业数据出境场景、出境数据项清单以及安全管理要求，指导金融从业机构高效合规开展数据出境活动。10月，国家网信办、市场监管总局发布《个人信息出境认证办法》，明确个人信息出境认证规则、适用条件和实施要点，细化专业认证机构的资质、义务与监管要求，建立从申请、评估、认证到持续监督的闭环管理机制，进一步完善我国个人信息跨境流动管理制度。2025年，上海、浙江、广西、江苏、重庆、福建等6地自贸试验区和海南首贸港发布买施数据出境负面清单，促进医药、零售、电子商务、地理信息与气象等领域个人信息高效便利安全跨境流动。 明确网络安全事件报告要求和报告方式。为规范网络安全事件报告管理，防止危害扩大或产生不良社会影响，2025年9月，国家网信办发布《国家网络安全事件报告管理办法》，细化涉个人信息窃取、寞改、仿冒等安全事件分级标准，明确安全事件报告义务、报告监管职责，以及报告的渠道、流程和时限要求等。同时，开通12387网络安全事件报告平台，包含电话、网站、传真、邮箱、公众号、小程序等6种方式。 2.2完善个人信息保护司法规则和裁判标准 2025年，我国司法机关持续健全个人信息保护司法规则和裁判标准，精准办理涉个人信息犯罪案件，构建全链条打击治理格局，筑牢个人信息保护的最后一道防线。 明晰互联网法院个人信息保护案件管辖范围。为进一步 发挥互联网法院在加强个人信息保护方面的作用，2025年9月，最高人民法院发布《最高人民法院关于互联网法院案件管辖的规定》，明确将“网络个人信息保护、隐私权纠纷”和“网络个人信息保护监管产生的行政纠纷"纳入北京、杭州、广州三家互联网法院集中管辖范围，充分发挥互联网法院的先导示范效应，加速探索个人信息保护等新兴领域的司法裁判模式。 完善个人信息保护公益诉讼机制。为加强个人信息保护公益诉讼工作，2025年12月，最高人民法院修订《民事案件案由规定》，在个人信息保护纠纷相关案由基础上，增加“个人信息公益诉讼纠纷”案由，建立健全个人信息保护公益诉讼工作机制，规范相关案件的立案、审判和司法统计工作。最高人民检察院下发有关通知，为各级检察机关办理个人信息保护公益诉讼案件提供工作指引。 加强个人信息保护案件办理指导。个人信息安全问题引发的矛盾纠纷，给传统法律制度实施带来新课题、新挑战，需要结合司法裁判案例，加强案件办理指导。2025年8月，最高人民法院发布第47批指导性案例，明确网络平台收集用户个人信息是否属于提供服务所必需的判断标准和保护义务，兼顾个人信息保护与合理利用，积极回应个人信息保护等社会高度关注的问题，助力统一裁判尺度和充分发挥司法在个人信息保护中的积极作用。人民法院案例库入库的“吴某某、陈某某等侵犯公民个人信息案"在适用范围上明确通过 网络“开盒”等方式公开曝光他人个人信息，属于侵犯公民个人信息罪的规制范围。最高人民检察院指导浙江省杭州市临安区检察院向杭州互联网法院提起全国首例涉个人信息“网络开盒”民事公益诉讼案。人民法院案例库专门收录“浙江省杭州市萧山区人民检察院诉虞某某个人信息保护民事公益诉讼案"等一批参考案例，细化民事公益诉讼案件类型，探索公益损害赔偿金适用规则和认定标准 2.3 建设个人信息保护国家标准体系 2020年以来，国家网信办、市场监管总局等部门指导全国网络安全标准化技术委员会组织制定发布26项个人信息保护国家标准，其中，2025年发布9项国家标准，2项为强制性国家标准，7项为推荐性国家标准，