中国网络安全与数据保护领域政策与执法动态回顾(2026年5月)

2026年5月中国持续推进数据安全与个人信息保护领域的制度建设与执法落地通过政策宣讲、专项整治等方式强化主体责任提升全行业合规能力一、政策宣贯与合规指导5月15日“数安中国行”系列宣讲会在山西太原举办由国家网信办网络数据管理局指导山西、河北、内蒙古三地网信办主办。国家网信办、中国电子技术标准化研究院等单位专家深入解读数据安全和个人信息保护政策法规体系以及数据出境安全管理、个人信息保护认证、个人信息保护合规审计等制度标准规范。山西网信办有关同志分享了山西省加强政务数据安全管理推进公共数据资源授权运营等方面的实践经验。来自三地党政机关、事业单位、重点企业的300余名代表参加了宣讲会。5月22日由国家互联网信息办公室网络数据管理局指导北京市互联网信息办公室主办的“数安中国行——2026年数据安全和个人信息保护政策法规系列宣讲会北京站”成功举办。国家网信办、中国电子技术标准化研究院等单位专家深入解读数据安全和个人信息保护政策法规体系、数据出境安全管理制度、个人信息保护合规审计制度等并介绍了个人信息保护专项治理情况。北京市网信办相关同志还介绍了今年北京网络数据安全和个人信息保护专项整治工作部署安排和整治标准。5月29日“数安中国行”系列宣讲会在山东济南举办国家网信办网络数据管理局有关负责同志及行业专家解读了数据安全和个人信息保护政策法规体系以及数据出境安全管理、个人信息保护合规审计等制度标准规范。山东网信办有关同志分享了山东省数据安全与个人信息保护合规实践经验。二、专项行动持续深化4月启动的2026年个人信息保护系列专项行动在5月持续推进中央网信办、工信部、公安部重点治理以下领域一违法犯罪打击典型案例最高法发布5起个人信息保护刑事典型案例5月8日最高人民法院发布依法惩治侵犯公民个人信息犯罪典型案例涵盖医疗数据泄露、行业“内鬼”倒卖信息、黑客窃取数据等多种类型。其中某医疗外包公司在为医院开发系统时窃取287万条患者信息用于牟利被判处单位罚金30万元负责人获刑四年某科技公司未经用户同意强制收集500万条人脸信息被处罚金50万元并责令删除全部非法数据。1. 某医疗外包公司在为医院开发系统时非法窃取287万条患者信息用于牟利被判处单位罚金30万元负责人获刑四年2. 某铁路员工利用职务便利查询并出售高铁乘客信息获利19万元被判处有期徒刑三年八个月并处罚金20万元3. 某犯罪团伙通过木马程序入侵HPV疫苗预约网站窃取29万余条女性信息用于诈骗主犯获刑十一年九个月4. 某犯罪团伙非法获取6亿余条公民个人信息用于“开盒”网暴被依法严惩5. 某科技公司未经用户同意强制收集500万条人脸信息被处罚金50万元并责令删除全部非法数据最高法表示此次发布典型案例旨在统一法律适用尺度强化警示震慑引导全社会重视个人信息保护助力网络空间治理。二App、SDK违法违规治理典型案例医疗APP违规收集敏感信息被重罚5月国家计算机病毒应急处理中心通报9款医药健康类应用存在违规收集使用个人信息问题其中港股上市企业固生堂旗下“固生堂中医i”小程序因未明示隐私政策、未提供注销账号功能、未采取加密措施等多项违规被点名北京朝阳医院官方应用“朝阳健康云”因向第三方共享患者病历信息未履行告知义务被责令整改。相关企业被要求限期完成数据安全整改逾期未改将面临下架处理。重点整治未公开个人信息收集使用规则、未经用户同意收集使用个人信息、超出必要范围收集使用个人信息等问题督促企业完善注销账号功能、建立投诉举报渠道。三重点领域合规整治典型案例互联网广告平台违规收集用户信息被处罚5月上海市市场监管局联合市网信办开展互联网广告领域个人信息保护专项整治行动查处某头部广告平台未经用户同意收集浏览记录、搜索关键词等个人信息用于精准广告投放的违法行为。该平台未在隐私政策中明确告知个人信息用于广告推荐的具体规则也未提供关闭个性化推荐的便捷渠道被责令限期整改并处罚款50万元。典型案例交通领域整治扫码强制注册乱象5月上海市交通委员会联合市网信办开展停车场扫码缴费专项整治行动排查发现全市127家公共停车场存在扫码缴费强制要求用户注册会员、过度收集手机号等个人信息问题。其中上海某商业综合体停车场因未提供非注册缴费渠道、强制收集用户地理位置信息被责令整改相关运营方被要求在15日内完成系统升级保留现金、ETC等多元化缴费方式并删除违规收集的用户信息。典型案例保险机构启动个人信息保护专项治理5月瑞众保险河南分公司全面启动金融领域违法违规收集使用个人信息专项治理工作聚焦三大风险领域实行全域排查一是规范线上信息采集与权限管理严禁以风控、服务等名义强制收集通讯录、定位、设备信息等非必要数据二是规范人脸识别技术应用杜绝将人脸识别设为唯一核验方式三是完善制度体系与安全防护全面排查数据安全隐患。治理工作分为自查、整改复核与“回头看”两大阶段对虚假整改、整改不到位的将依规采取约谈、通报、暂停服务等处置措施。典型案例银行业数据安全监管升级罚单金额超7000万元截至2026年5月26日监管共向银行开出涉及数据安全与个人信息保护的罚单56张罚款金额超7000万元已接近2025年全年3700万元的两倍。其中中行福建分行因“违反数据安全管理规定”等7项违规事由被罚315万元泉州银行因“第三方合作数据安全风险管控不到位”等8项违规被罚625万元成为年内银行业数据安全相关罚单中金额最高的一笔。从被罚机构结构看农商行、农信社合计占比高达71%成为“重灾区”。典型案例房地产公司未履行网络安全保护义务被罚5月某房地产开发公司因未严格履行网络安全保护义务未采取监测、记录网络运行状态、网络安全事件的技术措施导致不法分子利用其移动工作平台OA办公系统漏洞上传木马病毒并发布有害信息被公安部门依法处以95000元罚款对相关责任人处以45000元罚款。典型案例教育系统专项整治未成年人信息泄露5月29日佛山市南海区教育局印发《教育系统网络信息安全专项整治行动方案》针对辖区内学校存在的学生信息过度收集、数据存储不规范等问题开展专项治理。行动重点排查教育平台未取得监护人同意收集未成年人信息、违规向第三方共享学生数据等行为要求学校建立学生信息分级保护制度对涉及未成年人的敏感数据采取加密存储、权限管控等措施。针对互联网广告、教育、交通、卫生健康、金融等领域重点治理过度收集个人信息、未经同意向第三方提供个人信息、强制索取权限等问题。例如教育领域重点整治处理未成年人个人信息未取得监护人同意、过度收集家长信息等问题交通领域聚焦公共停车场扫码缴费强制注册、购票平台违规共享个人信息等问题。三、地方实践与案例通报5月各地网信部门结合本地实际开展精准执法通报多起典型案例典型案例广东查处App强制授权乱象广东省网信办通报12款存在过度索权问题的App其中某生活服务类App因强制要求用户开启通讯录、定位权限方可使用基础功能被责令限期整改并公开致歉。典型案例浙江整治大数据“杀熟”行为浙江省市场监管局联合省网信办查处某电商平台利用用户消费数据实施差异化定价的违法行为依法责令平台停止违法行为并处罚款80万元。典型案例四川规范政务数据共享四川省大数据中心印发《政务数据共享安全管理细则》明确政务数据共享的权限管理、安全审计等要求对3家违规共享政务数据的单位进行通报批评。典型案例江苏整治App超范围收集个人信息5月江苏省网信办联合省通信管理局开展App违法违规收集使用个人信息专项整治通报15款存在超范围收集个人信息、强制索取权限等问题的App。其中某生活服务类App因强制要求用户开启通讯录权限方可使用基础功能被责令限期整改并公开致歉某电商平台因未经用户同意向第三方共享购物记录被依法处罚款20万元。各地网信部门持续开展执法行动通报多起违法违规案例。例如部分地区通报了App强制索取权限、超范围收集个人信息等问题要求相关企业限期整改针对未落实个人信息保护管理制度、存在泄露风险的企业依法予以处罚并督促完善安全措施。四、新发布法规与标准《公安机关电子数据取证规则征求意见稿》发布2026年5月22日公安部发布《公安机关电子数据取证规则征求意见稿》首次将刑事侦查与行政执法电子数据取证统一规范新增“密码处置”“电子数据恢复”“电子数据抽样取证”等核心措施明确加密数据取证的法定流程强化取证全流程安全管控。《国务院2026年度立法工作计划》发布2026年5月11日国务院办公厅印发《国务院2026年度立法工作计划》围绕人工智能、网络安全、数据安全等领域部署多项立法任务包括加快推进人工智能健康发展综合性立法、预备制定《网络安全等级保护条例》、修订《互联网信息服务管理办法》等明确将网络安全作为人工智能的“刚性要求”。《网络数据安全管理条例》正式施行2026年5月《网络数据安全管理条例》正式施行标志着我国数据安全监管进入法治化新阶段。条例明确了数据处理者的合规义务要求企业建立数据分类分级保护制度落实数据安全全流程管控。头部互联网企业迅速响应建立三级数据治理委员会修订用户信息收集与使用管理办法将“最小必要”“告知同意”原则细化为可执行标准。《云上智能体服务网络和数据安全自律公约2026版》发布5月6日在中国通信学会统筹组织下中国信息通信研究院联合头部云服务商共同编制完成《云上智能体服务网络和数据安全自律公约2026版》。该公约为云上智能体安全发展划定安全底线、明确行为准则推动人工智能创新应用实现高质量发展与高水平安全良性互动。GA/T 2380-2026《信息安全技术 网络安全等级保护 数据安全基本要求》即将实施2026年6月1日GA/T 2380-2026《信息安全技术 网络安全等级保护 数据安全基本要求》将正式实施。这是等保2.0体系下首个数据安全专项强制标准标志着我国网络安全等级保护制度正式从“以系统安全为核心”迈入“系统安全与数据安全并重”的新阶段。标准明确了数据分类分级、全生命周期防护、精准审计与数据流动管控等核心要求对等保二三级以上企业产生深远影响。注本月政策动态以宣贯指导和专项行动深化为主新发布法规较少后续将持续跟进立法更新。