方向一　立法与国家标准：从宏观框架到精细可执行

一句话概括：法律从"有没有"走向"细不细、能不能落地"。

在《网络安全法》《数据安全法》《个人信息保护法》确立基本框架之后，2025年的立法重心明显转向"细化"与"可操作"。

行政法规层面，《网络数据安全管理条例》进一步细化“告知—同意”规则，细化个人权利的行使条件，细化大型平台的安全保护义务，并对生成式人工智能服务等新场景作出回应。同时，在《住房租赁条例》《殡葬管理条例》等行政法规中明确了个人信息处理的要求。

部门规章层面，个人信息保护合规审计、人脸识别技术应用、网络身份认证、个人信息出境认证、网络安全事件报告等方面密集出台规章，每一部都精准指向一个具体应用场景。

国家标准层面，2025年新发布9项、累计达26项，覆盖"大数据杀熟"、敏感个人信息处理、个人信息跨境、个人信息转移、个人信息合规审计、企业内设监督机构等多个实务难点，为合规设置和执法检查提供了具体的依据。

方向二　执法与监管方式：由点到面、由人工到系统

一句话概括：监管从"事后通报"走向"系统化、常态化、可核验"。

执法的广度与深度同步提升。在覆盖面上，全年通报存在问题的App、SDK达1100余款，排查公共场所8万余个、线下消费场所14万余个，各地专项行动全面铺开，监管已从重点App整治扩展至全场景、全链条。

更值得企业关注的是监管方式的升级。人脸识别应用情况、个人信息保护负责人、个人信息保护合规审计等事项，均要求通过网信部门的专门系统进行报送。这意味着监管正变得更加直接、具体，且全程留痕、可追溯——企业的合规状态将"可被监管直接核验"。

方向三　司法：管辖、公益诉讼、裁判规则同步推进

一句话概括：司法保护体系从分散走向成型，公益诉讼成为新抓手。

司法保护体系正从分散走向成型。在管辖上，北京、广州、杭州三家互联网法院实现集中管辖，专业化审判格局逐步确立；在诉讼类型上，新增"个人信息保护公益诉讼纠纷"案由，公益诉讼成为保护个人信息的新抓手；在裁判规则上，相关指导性案例进一步明确了认定标准；在刑事打击上，全年侦办相关案件7800余起，抓获犯罪嫌疑人9400余名。

方向四　社会意识：维权意识增强、渠道更便捷

一句话概括：公众从"被动被收集"走向"主动维权"。

报告显示，全年个人信息保护相关投诉举报1.5万余条，且整体呈下降态势，反映出治理初见成效；与此同时，高达96.1%的受访者认为个人信息保护"非常重要"。这组数据表明，公众正从"被动被收集"走向"主动维权"。

方向五　监管范围横向扩大：从互联网到全行业、从中央到地方

一句话概括：监管从"紧盯互联网"扩展到"全行业覆盖、全国上下联动"。

如果说前四个方向体现的是监管的深度，那么这一方向揭示的是监管的宽度。

在行业维度上，监管早已不限于互联网行业。在立法层面，租赁、殡葬等行业的管理规范中已明确写入个人信息保护内容；教育、税务、金融、快递等行业更成为重点关注对象。

在地域维度上，除国家层面的统一立法和监管要求外，各地也在积极探索本地化的监管模式，陆续出台相关要求，形成"全国上下联动"的格局。

这一趋势对企业的提醒尤为直接：无论身处哪个行业，都已经或即将被纳入个人信息保护的监管视野，"个保监管只管互联网企业"的认知早已过时。

以上是"国家在做什么"，接下来谈谈"这对企业意味着什么、该做什么"。对企业而言，上述趋势绝非抽象的政策语言，而是一系列具体、紧迫的合规义务。

（一）对照新规新标，建立完善内部制度

如前所述，个人信息保护领域已经形成了完整的规范体系，企业也要对应个人信息保护的各个方面，建立起完整的制度，并落地执行。在法律法规不够完善，监管治理处于起步阶段常常采取的一些方式，例如监管驱动、被动合规、“头痛医头脚痛医脚”等，显然已经无法满足目前的合规要求。企业需要加强顶层设计，完善内部制度，按照企业的不同处理场景，构建适合企业自身的个人信息保护制度体系，并推动各个部门配合落地执行。

（二）重点场景的合规

不同业务场景对应不同的合规要求，以下几项尤须重点关注。

大型网络平台的特殊义务

企业首先应关注由处理规模触发的特定义务。例如，处理100万人以上个人信息的处理者，须向网信部门报送个人信息保护负责人信息；处理1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计；大型互联网企业还应按照国家标准设立内部监督机构，其中外部成员占比不低于三分之二。

个人信息保护合规审计

相关规定自2025年5月1日起施行，至今已逾一年。企业应对照检视自身审计安排是否到位，关注审计的触发条件、频次要求以及审计机构的选择。特别是处理未成年人个人信息的企业，当前应当做好两件事：一是复盘自查2026年初的首次申报是否已合规完成，如因不知情、筹备不及等原因尚未报送的，应尽快与属地网信部门沟通补救，避免风险累积；二是着手准备2027年1月的下一年度审计与报送，将其固化为企业每年的常态化合规动作，避免再次临期被动。这是一项有明确时间硬约束的持续性义务，建议纳入企业年度合规日历。

数据出境

《个人信息出境认证办法》已于2026年1月起施行。自此，个保法规定的安全评估、标准合同、保护认证三条路径均有了细化的操作依据，对企业的要求也更加明确，企业应结合自身情况，同时考虑《促进和规范数据跨境流动》规定中的豁免情形，审视并调整自身跨境数据流动的合规安排。

人脸识别技术应用

应用人脸识别技术，首先应当评估其必要性，需要有特定的目的和充分的必要性，才能收集人脸信息；处理人脸信息前应明确告知处理方式、目的、期限等，并征得个人的单独同意；个人信息处理者还应当进行个人信息保护影响评估（PIA）。存储人脸信息达10万人的，还须依规向省级网信部门履行备案手续。

（三）关注执法、司法动态，主动应对争议

个人信息保护领域的监管执法已经从早期的关注App，延伸到其他领域，也出现了越来越多的案例。如某时尚消费品牌、某酒店管理企业都曾因为数据出境被监管部门处罚。随着互联网法院集中管辖、公益诉讼案由确立，企业面临的诉讼风险结构正在变化。企业应当理解新的管辖与裁判规则，提前建立个人信息相关案件的应对机制，做到防患于未然。

（四）善用第三方专业服务

报告数据显示，个人信息保护专业服务市场已初步成形：3家专业机构获得个人信息出境认证备案资质，13家专业机构获得合规审计服务认证（2026年3月增加14家机构）资质，1531人取得合规审计专业能力评价证书。已有互联网、电子商务、金融等10家企业和机构通过个人信息保护认证。面对日趋复杂、专业的合规要求，企业可合理借助外部专业力量——无论是合规审计、制度设计还是争议应对，专业律师与机构的介入，往往能帮助企业以更低成本实现更稳妥的合规。

对个人而言，维权的渠道已越来越畅通，每个人都应当主动了解并用好自己的权利。

对企业而言，则需要清醒地认识到：个人信息保护合规，已经从"要不要做"变成了"怎么做好、做到什么颗粒度"。监管只会越来越细、越来越严、越来越系统化。在这一趋势下，提前布局、主动合规的企业，不仅能够规避风险，更有机会将合规能力转化为实实在在的竞争力。