行业动态
阅读: 197 评论: 0 点赞: 0 发布时间:发布日期:2026-06-07 16:42:29
说实话,我上次看到这种场面还是双十一促销宣讲。但5月29日在济南举办的"数安中国行"宣讲会,山东省和天津市党政机关加上重点企业的400名代表坐得满满当当——听的不是补贴政策,不是税收优惠,而是《数据安全法》《个人信息保护法》《网络数据安全管理条例》怎么落地。
这不是第一场。从4月到5月底,"数安中国行"已经跑了太原(300+人)、北京、沈阳(辽吉黑三省联动)、济南四站,场场爆满。国家网信办网络数据管理局亲自指导,地方网信办主办,中国电子技术标准化研究院承办——这个级别的规格,过去只在网络安全的等保宣讲中见过。
信号非常明确:2026年,数据合规这件事从"建议你做"变成了"你必须做,而且马上做"。
对于中小软件公司来说,眼前至少有三件事撞到了一起:7月15日AI拟人化互动服务监管正式生效、5月份数据安全执法罚单破了7000万元、等保2.0体系下首个数据安全强制标准6月1日刚刚施行。三重风暴叠加在一个38天的窗口里,说实话,我接触的不少软件公司老板还没真正意识到严重性。
今年4月10日,国家网信办联合发改委、工信部、公安部、市场监管总局,五部门一起甩出了《人工智能拟人化互动服务管理暂行办法》。施行日期:2026年7月15日。我算了一下,从今天(6月7日)算,正好还剩38天。
这个办法管什么?字面意思——任何以AI技术模拟人类语言、表情、行为方式,与用户进行互动的服务,都在监管范围内。不管是AI客服、AI聊天机器人、数字人直播、虚拟伴侣、AI教育助手,全算。
办法里埋了几根硬骨头:
第一根,算法备案。提供拟人化互动服务的,需要完成安全评估和算法备案。这不是"建议",是强制要求。如果你们公司的小程序里嵌了一个AI对话功能——哪怕用的是第三方的API——算不算"提供拟人化互动服务"?这个界定目前大家还在讨论,但一个稳妥的判断是:只要用户感知到他在和一个"人"对话,就大概率逃不掉。
第二根,未成年人保护的硬杠杠。办法明令禁止向未成年人提供虚拟亲属、虚拟伴侣等亲密关系类服务。这不是简单加个年龄验证弹窗就完事的,它要求服务提供者建立实质性的年龄识别机制。做不到怎么办?对不起,你不能对未成年人开放。
第三根,老年人保护。办法要求针对老年人群体强化风险提示和健康使用指引。坦白说,目前市面上绝大多数AI产品在适老化方面连最基本的字体放大都没做好,更别说针对老年人认知特点去设计交互流程了。
第四根,用户交互数据的严格保护。AI拟人化服务的交互数据——你和AI聊天时说的话、表达的情绪、透露的个人信息——办法要求严格保护,并建立风险干预机制。
我把话说得直接一点:如果你是一家做SaaS的创业公司,你的产品里有AI客服机器人、智能问答、数字人导购——哪怕只是一个简单的"小助手"弹窗——7月15日之前,这些东西都得完成合规审视。备案、评估、标注、特殊群体保护机制,一个都不能少。
38天,够不够?对一个大厂来说,法务团队加班加点可能刚好赶得上。对中小软件公司来说,很多老板可能还不知道有这个deadline。
如果说AI监管是"即将到来的风暴",那数据安全执法就是"已经在下的暴雨"。
我收集了5月份公开可查的执法数据,几个数字非常扎眼:
银行业56张数据安全罚单,总额超过7000万元。作为对比,2025年全年银行业数据安全罚款是3700万——今年只用5个月就接近翻倍。其中单笔最高的是泉州银行,因为第三方合作数据风险管控不到位等8项违规,被罚了625万。中国银行福建分行也挨了315万。
值得注意的一个细节:这些罚单中71%砸在了农商行和农信社头上——不是大行,是中小金融机构。这说明什么?监管的矛头正在从"头部机构示范"转向"全行业无差别覆盖"。大银行合规体系相对完善,中小机构才是监管最担心的短板。这个逻辑放在软件行业同样成立。
医疗健康领域同样风声鹤唳。国家计算机病毒应急处理中心5月份通报了9款医疗健康类App,包括固生堂中医i(港股上市企业)和北京朝阳医院的"朝阳健康云"。问题类型包括:隐私政策不明确、向第三方共享病历未告知、无注销功能、数据传输未加密。一个港股上市公司的App被公开点名,对品牌的影响不用我说。
再看刑事层面。最高人民法院5月8日发布了一批数据安全典型案例,有几个案子让我后背发凉:
还有浙江一个电商平台利用数据搞"大数据杀熟"——同样的人、同样的商品、不同账号看到不同价格——被罚了80万。上海某头部广告平台未经同意收集用户浏览记录和搜索关键词做精准投放,罚50万。
这些案子有一个共同点:涉事的很多都不是什么"大厂",而是普通的中小企业。医疗外包公司、地方科技公司、区域电商平台——也就是你我身边做软件服务、做系统集成的那种规模。
所以我特别想提醒做软件外包和系统集成的朋友:你们给客户做的系统里,如果存储了用户数据、患者信息、学生档案、客户资料,那么一旦出事,责任链是会追到你们头上的。不是一句"我只是乙方"就能撇清。
就在6天前,GA/T 2380-2026《信息安全技术 网络安全等级保护 数据安全基本要求》正式施行。这个标准的意义怎么说都不过分——它是等保2.0体系下第一个专门针对数据安全的强制标准,标志着监管思路从"看系统安不安全"变成了"系统安全+数据安全两个都要"。用业内的话说,从"以系统为核心"转向"系统与数据并重"。
这意味着什么?以前你做等保测评,主要看服务器有没有防火墙、系统有没有漏洞、访问控制做了没有。现在,测评机构还会盯着你的数据问:数据分类分级做了吗?数据全生命周期管控有没有?数据脱敏怎么做的?加密用的什么算法?
对于大量依赖"买云服务器+装个防火墙+等保过了就行"的中小软件公司来说,这个标准把他们推到了一个完全陌生的领域。数据分类分级——说起来四个字,做起来可能一个月都搞不完。而且大多数中小公司的技术团队规模就三五个人,根本没有专门的数据安全工程师。
还有一件事不能忽略。5月6日,中国信通院发布了《云上智能体服务网络和数据安全自律公约(2026版)》,专门给AI智能体划安全底线。5月11日,《国务院2026年度立法工作计划》印发了,里面预备制定《网络安全等级保护条例》,修订《互联网信息服务管理办法》。
立法在加速,标准在细化,执法在加码——这就是2026年6月的真实图景。
我知道看到这里有人会觉得"这些不都是大公司的事吗,我们小公司没人管"。抱歉,事实刚好相反。农商行占总罚单71%这件事已经说明:监管正在下沉,正在从"杀鸡儆猴"变成"全面覆盖"。
结合我看到的这些信息,我梳理了几个中小软件公司马上能做的事:
第一,搞清楚自己到底踩了几条线。如果你有AI客服/智能问答/数字人/AI推荐——看看7月15日之前能不能完成备案评估。最紧迫的是拟人化互动服务的界定,如果你不确定自己的产品算不算,建议先按"算"来处理,不要赌。
第二,数据分类分级必须开始做了。GA/T 2380-2026已经生效,下次等保测评一定会加这个项。不要等到测评机构上门再手忙脚乱。做起来其实没有想象中那么难:先把你们手里的数据列个清单(客户信息、订单数据、用户行为数据、日志数据……),然后按敏感程度分成三到四级,该加密的加密,该脱敏的脱敏,该单独存储的单独存储。
第三,做乙方也得防着被追责。你们帮客户开发的系统、做的App、搭的平台,数据安全责任不全是客户自己的。开发合同中应该加数据安全条款,明确双方责任边界。如果客户不愿意做合规投入,至少拿书面记录证明你已经提醒过了。
第四,隐私政策和用户协议不是模板套一下就行。这次被通报的那些App,好几个就是隐私政策含糊不清、没说明数据给谁用了。建议认真写,写清楚你收集什么数据、用来干什么、给不给第三方、用户怎么删除。就这四个问题,说清楚了能挡住大部分投诉。
第五,关注"数安中国行"在你所在地区的场次。这个宣讲会还在全国巡回,有些地方已经开始要求重点企业派人参加。就算不强制,自己去听一听也有用——现场讲的内容比你在网上看的靠谱,而且能认识一圈同行,知道别人在怎么做。
写到这里我想起一件事。去年一个做教育SaaS的朋友跟我说,等保就是他"每年花几万块买个报告"的事。今年5月我问他数据分类分级做了没,他愣了一下,问我"那是什么"。
这种认知差距,就是接下来会被惩罚的差距。
2026年的数据合规不是选择题,是必答题。AI拟人化监管7月15日落地、等保数据安全标准6月1日生效、5月执法罚单已经破了7000万——三件事在同一个月里撞到一起,不是巧合。监管的意图很清楚:上半年给政策、给标准、给宣讲,下半年就该动真格了。
38天之后,AI拟人化服务没有备案的,该下架的下架,该罚款的罚款。对中小软件公司来说,现在动手还来得及。再过一个月,可能就是两回事了。