国家网信办开展2025年全国性个人信息保护网络问卷调查,评估当前个人信息处理合规现状及公众权益保障实效。同时,发布《关于开展个人信息保护负责人信息报送工作的公告》,重点针对处理超100万人个人信息的机构。
该政策标志着我国个人信息保护监管进入“精准治理”阶段,通过负责人备案制强化企业主体责任,与欧盟GDPR的数据保护官(DPO)制度形成呼应。
01 个人信息保护调查启动
调查采用匿名形式,依托中国政府网平台发布,全程耗时约6分钟,结果将用于政策优化与立法完善。聚焦三大方向:
- 企业合规评估:检测《个人信息保护法》实施后企业在数据收集、存储、使用环节的执行偏差
- 公众认知调研:量化民众对知情权、删除权等核心权益的认知度,当前平均知晓率仅62%
- 技术风险识别:发现人脸识别、精准营销等高风险场景中的侵权隐患
本次调查特别增设”青少年数据保护””AI生成内容隐私风险”等新型议题。
02 个人信息保护负责人报送新规
核心要点如下:
1. 报送对象与法律依据
- 强制范围:依据《个人信息保护法》第52条及《合规审计管理办法》第12条,处理超100万人个人信息的处理者如大型平台/金融机构/电信运营商等,必须履行报送义务。
- 责任主体:需报送“个人信息保护负责人”信息,该角色通常由企业DPO或合规负责人担任。
2. 时间节点与流程
- 新达标机构:自处理量达100万人之日起30个工作日内完成报送,如2025年9月1日达标,最迟10月15日前报送。
- 存量机构:已达标者需在2025年8月29日前完成补报,体现政策过渡期的刚性要求。
- 变更机制:负责人信息发生职务/联系方式等实质性变更时,需30日内更新。
3. 操作路径
- 线上系统:通过“个人信息保护业务系统”(https://grxxbh.cacdtsc.cn)填报,支持从中国网信网政务大厅入口跳转。
- 材料规范:需按《填报说明(第一版)》准备机构资质证明、负责人任命文件等材料。
4. 监管警示
- 违法后果:未按时报送将触发《个人信息保护法》第66条等罚则,面临责令整改、最高100万元罚款、纳入信用惩戒等风险。
- 延伸影响:此报送为合规审计前置条件,未完成将影响后续《合规审计管理办法》要求的年度审计。
企业需立即启动三方面工作:自查数据处理量、确认负责人资质、建立信息动态更新机制。
03 新版网络安全标准解读
2025年3月1日实施的GB/T 22080-2025《网络安全技术 信息安全管理体系 要求》作为国家推荐性标准,其核心升级体现在三大维度:
1. 框架重构
新增”韧性安全”章节,要求企业建立抗APT攻击的持续监测能力,将云原生安全、供应链安全纳入必选项,细化SaaS服务商审计条款,首次明确人工智能应用的数据治理红线,如训练数据溯源要求。
2. 控制措施强化
在技术层面上,加密技术必须通过国密算法SM4认证,漏洞修复时效从30天压缩至72小时(高危漏洞)。在管理层面上,设立专职首席信息安全官(CISO)岗位,每年至少开展2次红蓝对抗实战演练。
3. 合规衔接
与《数据安全法》《关基保护条例》形成映射表,提供跨境数据传输的标准化评估模板,附录C给出等保2.0三级系统的对标实施方案。
企业需重点关注新增的18项强制性控制措施,如物联网设备准入审计。
此前我们曾发过《合规路漫漫:外卖破千万自营却盗用信息在阿里战投平台注册?》,上门服务涉及客户的姓名、手机号和地址,对于任一平台或App在个人信息处理时,凡是涉及到使用个人信息的首要一条是“告知-同意”。
法律规范要落到实处,需要企业内化合规意识,建立有效的数据治理框架,随着个人信息保护将进入新阶段,所有参与者都能真正重视用户权益。
对于前面提到的DPO、CISO等职责,我们在《用数据价值和责任分清CDO、CISO与DPO的职业角色(附手册)》一篇也写到,CDO需要与DPO、CISO紧密合作,确保数据管理、保护和安全之间的协调一致。这种合作有助于组织在不同数据类型的管理上达到平衡,同时满足法律和合规要求。
数治大课10000小时公益计划第一波来袭!每天一杯咖啡的时间,零基础掌握个人数字安全…
- 个人网安101第一课:打破10个互联网安全误区
- 个人网安101第二课:20分钟内掌握基础安全术语
- 个人网安101第三课:快速上手11个可操作的安全步骤
- 个人网安101第四课:社交媒体的最佳安全互动方式
如有需要更多有关模块课程、配套工具、框架问卷、服务矩阵以及整改案例等数治Pro一站式治理,欢迎在文末扫码入群 @老邪 了解、获取。
热门相关内容推荐阅读:
- 速看!个人信息保护合规审计新规,5月1日起正式实施
《办法》旨在为个人信息处理者开展个人信息保护合规审计提供系统性、针对性、可操作性的规范,提升个人信息处理活动合法合规水平,保护个人信息权益。 - 两大行业个人信息保护出新招:AI审计助手搞定合规难题
通过采用先进的AI审计助手,组织可以显著提高合规审计的效率和准确性,降低合规风险。同时,结合实际案例和具体的审计方法,确保个人信息的安全和合规使用。 - 医院个人信息保护及合规审计的分级差异化落地
涉及到医院个人信息处理活动的各个阶段,包括收集、传输、存储、使用/加工、提供/公开、删除/销毁等,在全域、全生命周期、全链路上都需有相应的个人信息保护措施。 - 保险业个人信息保护和治理能力体系化建设六步法
从个人信息收集和使用的角度出发,重点关注个人信息分类分级管理、个人信息安全影响评估、个人信息处理第三方管理、个人信息跨境安全的能力建设,由点及面筑建保护墙。
来源:网信中国、全国网安标委,本篇针对全文结合生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。图片:Arlington Research,Unsplash
碎片化学习,上 shuzhi.me !数智有你,一课开启:
- 一听微课堂破解“学用脱节”:¥9.9 即可试听,满3节15分钟AI适配个性化路径
- 二问微学习培养“即插即用”:¥99 入专属伴学群聊机器人或语音盒子发问答疑
- 三维微专业实现“产研融合”:¥199 解锁隐藏大厂案例、行业模板与工具包
打卡任一系列全部课程,再升级成数治Pro,唤起小治完成预约导师、实操练习、分享心得等任务,参与“学习显眼包”排名赢新年度学习卡、盲盒!
所有课件、题库、问答基于海光认证iDTM+DeepSeek R1应用生成。免改免维云上多端AI透明化终身学习,现在我的台我来站!
