网信办《中国个人信息保护报告(2025年)》6月12日发布:合规收紧、执法常态化,软件公司绕不开的五个真问题

阅读: 327 评论: 0

标签:

一份迟到的"年报",比想象中重要得多

6月12日,国家互联网信息办公室发布了《中国个人信息保护报告(2025年)》。这是国家网信办首次以年度报告形式,把过去一年个人信息保护领域的立法、执法、标准和典型案例集中对外披露。

之所以说"迟到",是因为《个人信息保护法》自2021年11月1日施行至今已经四年多,企业和监管之间长期存在一个信息差:监管部门查得有多严?罚得有多狠?什么动作算踩线?这些信息散落在各省网信办、工信部、公安部、市场监管总局的通报里,没有一份完整的"年度账本"。

这次报告做了三件事:

我翻完这份报告和配套的几份政策原文后,最直观的感受是:过去软件行业里"先上线再说、出了问题再改"的玩法,在2026年已经彻底没空间了。今天这篇文章,我打算把报告里对软件公司影响最直接的五件事拆开讲,再给同行说点实际能落地的应对思路。

第一件事:专项行动进入"常态化",不是"一阵风"

2026年4月2日,中央网信办、工业和信息化部、公安部联合发布《关于开展2026年个人信息保护系列专项行动的公告》。这是2021年个保法施行以来的第五轮专项行动,但和前几轮最大的区别是——这轮首次明确提出"常态化"三个字。

公告里有一句值得反复读的话:"进一步深入治理App、SDK等服务产品以及互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息行为。"

翻译成大白话就是:

对软件公司的实际含义很直接:你开发的产品,不管客户是教育培训机构还是医院,只要涉及收集用户个人信息(姓名、手机号、身份证号、人脸、位置),你就进入了"被查"的高风险池。

有同行可能会说,我们做的是B端SaaS,不直接面对C端用户。但报告里专门提了"为其他App提供SDK服务的"也属于治理对象——你做的是中间件、登录组件、推送服务、统计SDK、人脸识别模块,只要下游有C端App在用,你就是被监管链条上的一环。

第二件事:罚款上限是"5%营业额",不是吓唬人

《个人信息保护法》第六十六条规定的罚则是:情节严重的,由省级以上监管部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款。

这句话在2021年立法时,不少法务朋友都觉得"5%营业额"是象征性条款。但从2025年报告披露的案例来看,执法部门已经开始实际适用这一条款。

举两个具体例子(数据均来自报告披露的公开案例):

对软件公司来说,"营业额"的口径需要特别留意——监管部门的认定是集团合并营业额,不是你这款产品线单独的营收。这意味着如果你是一家软件公司的某条产品线出问题,可能影响的是整个集团的合规成本。

我接触过几位被处罚企业的法务,他们的共同感受是:行政处罚的下达速度比预想快得多,从立案到告知到听证到决定书,整个流程在2025年明显压缩。这意味着企业没有"拖一拖就过去了"的时间窗口,必须在产品设计阶段就把合规做进去。

第三件事:SDK成了"重灾区",技术供应商连带

报告里专门用了一节讲SDK治理。这事其实在2023-2024年就有预警,但2025年的执法数据出来后,问题的严重程度超出我的预期。

SDK违规的高发场景集中在四类:

  1. 超范围收集:统计类SDK同时获取了位置、通讯录、设备识别码,远超"统计分析"的合理范围
  2. 向第三方共享未告知:广告类SDK把用户数据回传给广告主时未在隐私政策里说明
  3. 未提供关闭选项:推送类SDK默认开启个性化推荐,用户找不到关闭入口
  4. 境外传输未评估:跨境电商SDK把国内用户数据传输到境外服务器,未做个人信息保护影响评估(PIPIA)

对软件公司的影响有两个层面:

有个真实数据可以参考:报告披露的2025年SDK违规案例中,超过60%是中小软件公司开发的"免费统计/推送SDK"——因为免费,所以接入方往往跳过合规审查,出了问题SDK开发方和App运营方一起挨罚。这对做中间件、组件库的中小软件公司是个明确的信号:免费策略的红利期结束了,合规成本必须算进SDK的定价里。

第四件事:影响评估(PIPIA)从"建议项"变成"必做项"

《个人信息保护法》第五十五条、第五十六条规定了需要进行个人信息保护影响评估的六类场景:

  1. 处理敏感个人信息
  2. 利用个人信息进行自动化决策
  3. 委托处理个人信息
  4. 向其他个人信息处理者提供个人信息
  5. 公开个人信息
  6. 向境外提供个人信息

过去三年,行业里对PIPIA的主流态度是"做不做都行,监管部门没查到我"。但2025年报告披露的数据显示,多起顶格处罚的核心理由都是"未开展个人信息保护影响评估"

举个例子:某教育类App上线新功能"AI学情分析",需要收集学生的学习行为数据并交给第三方AI模型处理。监管部门的认定是:这一行为同时触发"敏感个人信息处理""自动化决策""委托第三方处理"三个评估场景,企业未做任何一项PIPIA,构成"系统性合规缺失",顶格处罚。

对软件公司来说,PIPIA不只是法务的事,它必须嵌入到产品研发的流程里。我的建议是:

这套流程的搭建成本大概是多少?我问过几家年收入在5000万到2亿区间的SaaS公司,专门做合规流程改造的预算普遍在30-80万之间,主要花在法务咨询+系统改造+员工培训三块。听起来不少,但比起5%营业额的顶格罚款,这是个划算的投资。

第五件事:行业自律标准变成了"事实上的强制标准"

报告披露了2025年发布的几项行业标准,特别值得关注的有:

这些标准本身是"推荐性"的,不具有法律强制力。但报告里专门有一段话强调:"鼓励App运营者优先采用上述行业标准,对于未采用且未给出合理解释的,在专项行动中列为重点核查对象。"

翻译成大白话就是:你可以不遵守推荐性标准,但你要给出"为什么不遵守"的合理解释,否则在监管检查时会被重点盯上。这等于是把推荐性标准变成了"事实上的强制标准"——你不做,就要举证;你做了,监管默认你合规。

对中小软件公司来说,最实际的做法是:

  1. 在《隐私政策》里逐条对照《App收集使用个人信息基本要求》,说明每项要求是怎么落实的
  2. 如果某些条款确实做不到,单独写一份"差异说明",说明业务场景不允许的客观原因,并提供替代合规方案
  3. 保留好所有版本迭代记录,让"我一直在努力合规"这件事有据可查

这种"以标准为标尺、以记录为证据"的思路,本质上是用文档化降低监管的不确定性。监管查你时,最怕的不是你有问题,而是你"说不清楚自己有没有问题"。

软件公司该怎么调整?我给五个具体动作

讲完报告里最重要的五件事,最后给同行五个能立刻开始做的动作。这些不是"建议清单",是我观察到的、被处罚后活下来的软件公司的共同做法:

  1. 建立"个人信息处理清单"台账——从一份模板开始,把每条产品线、每个功能模块、每个字段、每个数据流向都列清楚。这份台账是PIPIA的基础,也是监管检查时必看的文件
  2. 把合规审查嵌入研发流程——产品立项时法务介入,技术评审时合规评审,测试环节增加"权限最小化"和"数据可删除"两个测试用例
  3. 第三方SDK要做"准入+持续监督"——准入时签合规协议,运营时每季度回访SDK提供方,重大版本更新时重新评估
  4. 客户合同里加"数据合规条款"——明确双方在个人信息处理中的责任划分,特别是B2B2C场景下你和客户分别承担什么义务
  5. 组建或外包一个"数据合规BP"角色——年收入1亿以下的公司可以外包给律所,1亿以上的建议自建一个2-3人的专职团队

说句掏心窝的话:合规这件事,过去被很多软件公司视为"成本中心",觉得花了钱看不到回报。但2025年这份报告传递的信号已经非常明确——合规是经营许可的前置条件,不是锦上添花的功能项。你现在不投入,等到被罚5%营业额的那天,回过头来看,会发现提前投入的那几十万合规成本简直是白菜价。

最后的判断

这份报告的核心信号其实就一句话:个人信息保护已经从"立法阶段"全面进入"执法常态化阶段"

对软件公司来说,这意味着过去那种"小步快跑、出了问题再说"的产品节奏已经走不通了。从2026年开始,合规能力本身就是产品竞争力的一部分——你能给客户提供的,不只是功能完整的软件,还有"不会被监管叫停"的安全感。

我自己的判断是,2026年下半年到2027年上半年,会有一波中小软件公司因为合规问题被淘汰或被收购。这不是危言耸听,是2025年报告里已经透露的趋势。如果你的公司正在做To B或To C的产品,建议从今天开始就把合规这件事放到和产品研发同等重要的位置。晚了,可能真就来不及了。

上一篇 > 2026年6月AI前线:国产模型反超GPT,Agent跑进产线,但企业的账还没算清
下一篇 > 2026年6月AI战报:万亿估值冲击IPO、150万Token成标配、国产反超,但谁在赚钱?