引言

2025年，我国数据合规领域的监管执法实践走向具体且纵深的方向。经过多年的立法、宣贯与指导，监管机构在2025年已将执法行动作为传递合规预期的主要工具。本文作为天达共和数据合规年度回顾与展望系列的第二篇（第一篇详见《温故知新 继往开来——数据合规年度回顾与展望系列：立法篇》），旨在全面梳理2025年中国数据合规监管的执法图景，从App/SDK专项治理、重点行业与场景执法、数据跨境传输、人工智能（AI）监管、监管框架完善、其他亮点等6大核心维度，系统回顾年度执法动态，深度剖析其背后的监管逻辑与政策意图。在此基础上，我们将对2026年的监管趋势进行前瞻性分析，以期为企业在新一年的合规布局提供战略性参考。

监管篇

一、2025年度数据合规监管执法全景回顾

（一）App/SDK治理全量数据分析[1]

2025年3月28日，中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展2025年个人信息保护系列专项行动的公告》（下称“《公告》”），重点围绕App及SDK、智能终端、公共场所人脸识别、线下消费场景（自动售卖、扫码点餐、出行乘车、入场停车、商超支付、扫码充电、房屋租赁等）、违法犯罪案件等与个人信息保护相关问题开展专项行动， App/SDK治理进入新阶段。

1. 监管架构与数量总览

根据我们的统计，2025年度全国性单位对于App/SDK的监管执法活动共通报了1370款应用，公安部门、工信部门和网信部门组成监管矩阵，形成对移动互联网生态的穿透式压制，对企业合规韧性提出极高要求。

（1）公安系统

作为执法主力，公安部门表现出最强的威慑力，合计覆盖近千款App/SDK（占总量的2/3），呈现出多头并发、高频常态的特征。

国家计算机病毒应急处理中心（“病毒中心”）：2025年共通报13批合计663款应用，保持每月至少1批通报的稳定节奏，确立无死角合规的执法氛围。

公安部计算机信息系统安全产品质量监督检验中心（“检验中心”）：作为公安部第三研究所下属机构，检验中心共通报7批合计279款应用。

 （2）工信系统

工信部全年累计通报8批合计315款应用，配合地方通信管理局（尤其是较为高频的上海、北京）对属地应用的监管活动，形成常态化威慑。

 （3） 网信系统

国家网信办和中央网信办：通报2批合计113款应用，侧重以战略性专项整治建立合规红线。

中国网络空间安全协会（“网安协会”）：网信系统作为个人信息保护的统筹主管部门，在本年度通过网安协会发布《完成个人信息收集使用优化改进App名单》（共115款应用）等灵活形式，以正面典型持续指导App运营方开展合规优化。

2. 高频通报问题Top 5

通过梳理全年通报数据，我们发现高频违规问题Top 5主要涉及以下类别：

（1）告知义务履行

（病毒中心与检验中心重点关注）

隐私政策：大量应用存在隐私政策未逐一列出收集使用个人信息的情况、在App首次运行时未通过弹窗等方式提示用户阅读，甚至是无隐私政策、隐私政策无法打开或难以访问等基础问题。

结构化清单：未落实列出“个人信息收集清单”义务。

同步告知：在申请打开可收集个人信息权限、申请收集敏感个人信息时，未同步告知用户目的。

（2）最小必要原则

（工信部与检验中心重点关注）

个人信息收集：个人信息收集超出用户授权范围、超出功能所必要或与功能无直接关联、超出必要频率，提前要求或强制要求用户提供。

权限管理：强制、频繁、过度索取权限，权限超出功能必要范围或与功能无直接关联、提前要求或强制用户打开。

（3）同意及撤回同意

（病毒中心重点关注）

同意：隐私政策默认同意、征得用户同意前就开始收集个人信息或打开可收集个人信息的权限。

撤回同意：未提供撤回同意的途径及方式、未提供便捷的撤回同意的方式、未在隐私政策中明确撤回同意的方式。

(4) 用户权益保障

（病毒中心与网信办重点关注）

个人信息主体权利：未提供有效的更正、补充、删除个人信息的功能；虽提供更正、删除个人信息功能，但未及时响应用户操作；需人工处理的，未在承诺时限内完成核查和处理；未在个人信息收集使用规则中说明自行或协助响应用户个人信息权利请求的措施。

账号注销：无用户账号注销功能；未提供有效注销用户账号功能；虽提供注销用户账号功能，但未及时响应用户操作；需人工处理的，未在承诺时限内完成核查和处理；用户账号注销承诺时限超出15个工作日；未在承诺时限或15个工作日内完成用户账号注销；注销账户流程中设置不合理的条件或提出额外要求。

投诉举报：未建立并公布个人信息安全投诉、举报渠道；未及时响应用户个人信息投诉、举报；承诺个人信息投诉、举报等权利请求的处理时限超过15个工作日；投诉、举报未在承诺时限内受理并处理。

(5) 安全技术措施

（病毒中心重点关注）

未采取相应的加密、去标识化等安全技术措施。

解决上述5大高频违规问题，即可在App/SDK执法活动中达成近75%的合规率。

3. 值得关注的新动向

（1）监管维度全覆盖

当前检测项已不再局限于个人信息收集和使用活动，监管重点已延伸至数据跨境传输、未成年人个人信息保护、对外提供、自动化决策以及广告窗口等领域。

（2）监管触角全场景延伸

检测渠道已从传统应用商店全面扩散至新兴流量入口和智能终端：

车机端应用初现监管高压：车机端共通报70次，涉及7大汽车品牌多款车型，违规问题主要集中在隐私政策等基础合规层面。

小程序生态沦为违规高发区：因开发门槛低、传播快，小程序违规占比显著，共计通报398次（14.7%），其合规重灾区包括账号注销功能、未成年人个人信息保护及SDK管理等问题。

新兴流量入口纳入视野：短视频平台、微信公众号、网页端等渠道的应用分发功能已正式进入监管视线。

（3）监管对象无豁免

通报名单中不仅包含知名企业、外资企业，还涉及国企、事业单位等类型主体，表明监管已建立起一视同仁的无差别合规红线，所有类型的组织均无合规豁免权。

（4）处置手段全力度加码

目前的处置机制已基本形成“通报—复测—下架”的严厉闭环。统计数据显示，病毒中心通报应用的平均下架率高达36%，部分批次的下架率甚至接近50%。频繁的通报与高比例的下架不仅影响声誉，对处于IPO计划或融资关键期的企业而言，严重的合规瑕疵将直接构成上市的实质性障碍或产生负面影响。

（二）重点行业与场景执法

随着数据合规基础规则的普及，监管资源正有策略地向数据密集、风险突出、与民生紧密相关的重点行业和新兴场景倾斜。这种靶向监管的思路，旨在集中力量解决关键领域的突出问题，实现精准打击与有效规范。

1. 汽车行业

乱象整治：工信部、中央网信办、公安部、市场监管总局等6部门联合开展了为期3个月的汽车行业网络乱象专项整治行动，[2]重点打击非法牟利、夸大和虚假宣传、恶意诋毁攻击等网络乱象行为，旨在净化行业舆论生态，营造公平竞争的市场环境。

合规激励：中国汽车工业协会等4家机构持续开展汽车数据处理5项安全要求检测工作，并分批次通报符合合规要求的车型名单，2025年度共通报3批次31家企业231款车型。这种白名单机制，通过正面激励引导车企主动提升数据安全合规水平，形成良性市场示范效应。

2. 新兴场景监管

人脸识别应用：上海“亮剑浦江”专项行动对全市2.5万家自动售货机柜和246个售楼处的人脸识别应用进行了规范；[3]长沙“亮剑湖湘”行动同样将公共场所违规采集人脸信息作为查处重点。[4]

智能终端设备：2025年10月，工信部通报了20款存在侵害用户权益行为的智能终端，涵盖智能手表、智能摄像头、智能门锁等多种品类，指出其在违规收集个人信息、强制自动续费等方面的问题。[5]

未成年人网络保护：北京“互联护苗2025”专项行动成果显著，累计清理涉未成年人有害信息199万条。《北京属地互联网平台未成年人网络保护创新做法与实践案例》发布，微博、抖音、快手、百度、网易健康等属地平台的创新举措入选。[6]

（三）数据跨境传输合规

1. 数据出境行政处罚第一案

由公安部门调查并通报的“迪奥（上海）公司未依法履行个人信息保护义务案”，是2025年度数据出境领域最具标志性的执法事件。

据媒体报道，2025年5月，有消费者收到了迪奥品牌的短信，显示迪奥公司于5月7日发现曾有未经授权的外部人员获取了迪奥持有的部分客户数据。中国受影响的客户个人信息最大范围可能包括姓名、性别、手机号码、电子邮箱地址、邮寄地址、消费水平、偏好，以及客户可能已向迪奥提供的其他信息，但不包括例如银行账户详情、国际银行账户号码（IBAN）或信用卡信息等财务信息。迪奥公司表示已采取相应处置措施，在网络安全专家的协助下对展开调查及应对，并向相关监管部门进行报备。[7]

2025年7月，上海市公安局静安分局依据《个人信息保护法》对迪奥公司作出警告并责令改正的行政处罚。[8]2025年9月，“公安部网安局”微信公众号通报该案，迪奥公司的违法事实包括：（1）未通过安全评估、订立标准合同或通过保护认证，违规向法国迪奥总部传输用户个人信息；（2）数据出境前，未向用户充分告知境外接收方的处理方式，未取得用户“单独同意”；（3）未对收集的个人信息采取加密、去标识化等安全技术措施。[9]

从处罚结果上来看，考虑到迪奥公司案发后主动采取处置措施降低影响并向监管报备，公安机关仅处以警告并责令改正，未没收违法所得、责令暂停/终止服务或罚款，但全国性通报对品牌声誉打击是巨大的，该案警示在华跨国企业对中国法律的本地化落地勿存侥幸心理。

2. 多点散发的执法信号

除了“迪奥案”，其他执法信号也印证了数据出境监管的全面铺开：

地方监管跟进：2025年9月，贵阳市云岩区网信办就针对辖区内某企业存在的数据异常跨境传输问题进行了执法约谈，作出行政警告处罚，并责令整改，[10]显示出地方网信部门已具备发现和处置数据出境风险的能力。

前端应用审查：如前所述，2025年4月，病毒中心首次通报两款违规出境个人信息的App，[11]表明监管已将数据出境合规审查嵌入到对移动应用的常态化监测中。

3. 数据出境政策问答

2025 年，国家网信办分别于4 月、5 月和10 月三批次发布《数据出境安全管理政策问答》（下称“《问答》”），重点对个人信息出境、重要数据监管、特殊主体（外资企业）与区域（自贸区）规则等进行解释。[12]《问答》针对企业跨境经营中的重复申报、场景适配难、集团化管理合规成本高等共性问题，给出明确的便利化解决方案，避免合规问题成为企业正常跨境经营的制度性壁垒。针对上位规则中较为原则性的条款、实务中存在争议的适用口径，通过问答形式予以精准界定，减少监管规则的模糊地带，实现 “规则可预期、合规可落地”。

（四）人工智能（AI）监管

2025年，中国对人工智能的监管从宏观政策制定转向微观治理和执法实践，形成了鼓励创新与规范发展并重的双轨格局。

1. 生成式人工智能（AIGC）备案与登记

监管机构通过主动性的程序化管理，引导AI服务健康发展。2025年全年，新增446款AIGC服务在国家网信办完成备案；对于通过API接口或其他方式直接调用已备案模型能力的AIGC应用或功能，由地方网信办开展登记，新增330款完成登记。截至2025年12月31日，累计有748款AIGC服务完成备案，435款AIGC应用或功能完成登记。[13]

2. “清朗”系列专项行动

2025年4月30日，中央网信办在全国范围内部署开展为期3个月的“清朗·整治AI技术滥用”专项行动，分两阶段重点整治13类突出问题。

第1阶段强化AI技术源头治理，重点整治6类突出问题：（1）违规AI产品，包括未备案或登记，提供违法、违伦理功能，侵犯他人隐私等；（2）传授、售卖违规AI产品教程和商品；（3）训练语料管理不严；（4）安全管理措施薄弱，未建立内容审核、意图识别、违规账号管理、安全自评估等措施；（5）未落实内容标识要求；（6）重点领域安全风险，例如医疗、金融、未成年人等领域。

第2阶段聚焦AI技术利用，重点整治7类突出问题：（1）利用AI制作发布谣言；（2）利用AI制作发布不实信息；（3）利用AI制作发布色情低俗内容；（4）利用AI假冒他人实施侵权违法行为；（5）利用AI从事网络水军活动；（6）AI产品服务和应用程序违规；（7）侵害未成年人权益。[14]

北京、上海、浙江、江苏、天津等各地网信部门积极履行属地管理责任，重点网站平台积极履行主体管理责任。第1阶段累计处置违规小程序、应用程序、智能体等AI产品3500余款，清理违法违规信息96万余条，处置账号3700余个。[15]

（五）监管框架与平台责任

1. 算法透明化治理实践探索

为解决广受诟病的“算法黑箱”问题，2025年8月，北京市网信办指导抖音、快手、百度、微博、美团、滴滴在内的6家属地网络平台公示算法推荐服务的基本原理、目的意图、主要运行机制等。[16]此举不仅是保障用户知情权和选择权的有益实践，更通过引入公众监督，倒逼平台优化和规范算法设计，起到重要行业示范作用。

2. 平台内容生态主体责任

维护清朗的网络生态是监管机构的核心关切。2025年内，因热搜榜单管理不善，存在泛娱乐化倾向、扎堆呈现不良信息等问题，国家网信办指导属地网信办，依据《网络信息内容生态治理规定》等有关规定，对小红书、微博、快手、今日头条、UC等多家平台进行了约谈、责令限期改正、警告、从严处理责任人等处置处罚措施。[17]

3. 监管确定性提升

为健全网络执法监督工作体系，2025年6月，国家网信办发布《国家互联网信息办公室涉企行政检查事项清单》。[18]其中明确规定，对互联网新技术新应用进行安全评估和监督检查的频次上限为每年2次，对数据安全和个人信息保护等情况的检查评估频次上限为每年1次，投诉举报等线索引发的检查或应企业申请实施的检查不受频次上限限制。该规定国家网信办首次以清单形式列明网信领域行政检查事项标准，极大提升监管的确定性，为企业提供稳定合规预期，有助于企业更有计划地投入资源进行合规体系建设。

（六）其他亮点

1. PIPO报送和未成年人个保审计情况报送

2025 年7月和12月，国家网信办先后发布个人信息保护负责人（PIPO）信息报送、未成年人个人信息保护合规审计情况报送两项公告。[19]两项报送均统一通过“个人信息保护业务系统” 线上办理，体现出监管的数字化、集约化升级，也实现从事后执法向事前事中常态化动态监管的转型。

尽管《个人信息保护法》第52条早已设定 PIPO 指定义务，《未成年人网络保护条例》第37条也明确了未成年人年度个保审计要求，但此前长期缺乏具体执行标准、操作路径和监管抓手，导致部分企业并未落实相关合规要求。本年度的两次报送要求，将法条中的原则性义务转化为具体行政监管动作。

两项报送工作时限要求较为紧张，基本为1-2个月内，且报送工作并非简单的信息填报，而是监管层对企业个人信息保护合规能力的常态化核验。我们建议企业主动搭建全流程数据合规体系，将合规动作纳入日常经营管理流程，适配当前监管特点与环境，避免逾期报送、应报未报等合规风险。

2. 个人信息保护影响评估（PIA）首罚

2025年9月，公安部门通报某主营业务为对外提供AI模型训练基础数据（算料）的科技公司，在处理人脸等生物识别类敏感个人信息前，未依法进行个人信息保护影响评估（PIA），属地公安机关依法对其予以行政处罚，并责令整改。

同月，网信部门通报，上海某科技有限公司运营的自动售货机在用户支付环节违法违规收集人脸信息，同时该企业存在未建立个人信息保护影响评估（PIA）制度、相关系统存在SQL注入高危漏洞等问题，属地网信办已依法责令其改正，并予以警告处罚。

以上两案例系2021年《个人信息保护法》发布实施以来，公开渠道首次发布的关于未履行PIA义务的行政处罚案例。

二 、2026年度数据合规监管趋势前瞻

基于2025年呈现出的执法特征与监管逻辑，我们预判2026年数据合规监管将呈现以下趋势：

（一）PIA与个保审计成为执法抓手

2025年出现了首例针对未履行个人信息保护影响评估（PIA）义务的行政处罚，以及PIPO信息和未成年人审计情况的集中报送。这一信号表明，监管机构不再仅关注数据泄露后的追责，而是开始严查企业事前的预防性合规义务。

未来，监管部门在进行执法检查时，索要PIA报告或个保审计报告可能成为标准动作。随着2025年未成年人个保审计情况报送的完成，2026年监管部门将有可能开展全量个保审计报送工作。

（二）AI监管颗粒度进一步细化

随着2025年AIGC备案与登记数量的激增，以及“清朗·整治AI技术滥用”专项行动的深入，2026年对AI的监管将更加精细和具体。

训练数据合规成为深查区。监管焦点将前移至模型训练阶段，企业需关注训练语料的来源合法性、知识产权授权情况以及是否包含非法内容。

应用侧风险管控升级。对于利用AI换脸、拟声等技术实施诈骗或生成虚假信息的行为，监管将不仅打击直接实施者，还将追究提供技术支持但未尽到审核、标识义务的平台责任。

算法透明度深化。继2025年头部平台公示算法原理后，更多垂直领域（例如招聘、信贷、网约车）的算法机制可能将被要求公开，以降低算法歧视和“大数据杀熟”风险。

（三）数据跨境强监管与便利化并存

2025年“迪奥案”不仅是数据出境处罚第一案，也标志着公安机关在该领域的强势介入。2026年数据跨境监管将呈现明显的双轨特征：

对于涉及大量个人信息、敏感个人信息及重要数据的出境，尤其是跨国企业内部系统的数据回传，公安与网信部门将加大执法力度。未通过安全评估/标准合同备案/保护认证、未获单独同意、未进行PIA等违规出境行为，将面临包括警告、罚款乃至刑事责任的严厉打击。

同时，随着自贸区数据清单的陆续落地和《问答》的指引，对于不涉及重要数据和敏感个人信息的常规商业数据跨境，合规通道将更加顺畅，企业的合规成本有望降低。

（四）执法联动与穿透式监管成为常态

2025年，我们已看到网信、工信、公安、市场监管等多部门联合开展专项行动。预计2026年，这种跨部门、跨领域的联合执法将更加频繁和制度化。同时，监管审查的深度将进一步加强，不止停留在App前端的隐私政策，而是向SDK提供商、第三方数据服务商、云服务平台乃至数据处理后台进行穿透式核查，实现对数据处理活动的全链条监管。

三、结语

回顾2025，可以清晰地看到，中国的数据合规监管已迈入一个执法全面深化、规则日益清晰的新阶段。从前端应用到核心后台，从境内处理到跨境流动，从传统行业到新兴AI，一个多维度、全链条、精细化的监管体系已然成型。

展望2026年及未来，对于身处数字化浪潮中的所有企业而言，数据合规已不再是一个可选项，更不是一个仅靠法务部门就能应对的外部约束。企业必须将数据合规从被动的底线思维转变为主动的内生能力，这意味着将个人信息保护影响评估嵌入产品研发的敏捷流程，将算法透明度作为用户信任的核心支柱，将个人信息保护合规审计作为自查自改的便利工具，并将全链条数据安全责任纳入供应商管理体系。唯有如此，才能在日益严格和精细的监管环境中，抓住数据要素的巨大机遇，行稳致远。

我们还会继续推出本系列的后续内容，敬请继续关注！

注释

[1] 本文仅统计2025年度4家全国性单位App/SDK执法数据，不涉及地方性单位执法数量统计；统计区间为2025年1月1日至2025年12月31日。

[2] https://mp.weixin.qq.com/s/y6PE1MWj1k71WQ_IeUdlMw。

[3] https://mp.weixin.qq.com/s/mbRSqNRJ2_ugF-rLd-WxjQ。

[4] https://mp.weixin.qq.com/s/IL6hvTBvjLCFyKnm_be11g。

[5] https://mp.weixin.qq.com/s/4kumJfSWQqw1KWDjRpAb-A。

[6] https://mp.weixin.qq.com/s/7TBjiD7b18_nlLN-B3Y03g。

[7] https://mp.weixin.qq.com/s/JP5CV4SDsGZdZKe9NzPmiQ。

[8] https://gaj.sh.gov.cn/jaga/xzcf/toDetail?pa=a23e7d1d9cab592f7cb65c52f4cb5f1aba763022165fc1856dbfcf6073b6454093b3644cc24fc46a。

[9] https://mp.weixin.qq.com/s/R3mQoTHQYvVneuF8cLiW8w。

[10] https://mp.weixin.qq.com/s/au6MGkSSzJhNKXtpZEWRGA。

[11] https://mp.weixin.qq.com/s/rVjWOnNkjWhgC6sIL2JuWA。

[12] https://www.cac.gov.cn/2025-04/09/c_1745906286623776.htm

https://mp.weixin.qq.com/s/2t8-e1qFan4rsZLaHYGTwg

https://mp.weixin.qq.com/s/JLr066P-zKJxs_0gcDu8rA

[13] https://www.cac.gov.cn/2024-04/02/c_1713729983803145.htm?sessionid=

[14] https://mp.weixin.qq.com/s/U5B0bonVW7xy4ifMmVM6Og

[15] https://mp.weixin.qq.com/s/Kfckz8Lx1O-S1Atr5HvwtA

[16] https://mp.weixin.qq.com/s/Mo7pWh9jhyAylLkhrDc_5A

[17] https://mp.weixin.qq.com/s/4x1r2ix8IqzBO20gzYb6RQ

https://mp.weixin.qq.com/s/2cWNgErc9F74lazEE60Aqg

https://mp.weixin.qq.com/s/iLAhaUuM6kZeaoNktnNlQQ

https://mp.weixin.qq.com/s/0A30JLrxaukPNKxjceMbPQ

https://mp.weixin.qq.com/s/JY23md99hClCL4QUSpzFoQ

[18] https://www.cac.gov.cn/2025-06/30/c_1752998718883876.htm

[19] https://mp.weixin.qq.com/s/DTM9QMXH6u11CnH9LYG-lA

https://mp.weixin.qq.com/s/GpCeKPgtYQ1jB7KI7Mu6RQ