个人信息保护知识课件

汇报人:XXXX2026.04.01个人信息保护知识课件PPTCONTENTS目录01

个人信息保护现状与挑战02

个人信息与敏感信息的法律界定03

2026年个人信息保护核心法规与政策04

授权选择权：从捆绑同意到场景化精准授权05

个人信息跨境流动合规体系CONTENTS目录06

全链条监管与司法惩戒机制07

个人信息保护典型案例解析08

公民个人信息保护实用指南09

2026年隐私保护展望与行动倡议个人信息保护现状与挑战01APP授权的“霸王条款”困局下载日常APP时，常面临冗长隐私协议，不勾选全量同意则无法使用基础功能，“不同意就不让用”成为普遍现象，所谓知情同意沦为形式。生物识别信息的滥用风险人脸、指纹等敏感生物识别信息被随意捆绑采集、滥用，如小区进门、银行办业务时，刷脸可能导致信息被无底线采集留存，成为信息泄露重灾区。个人信息泄露的精准骚扰与诈骗个人信息成“透明秘密”，常接到陌生推销甚至诈骗电话，对方能准确说出姓名、住址、家庭情况，严重影响生活安宁与财产安全。政务与民生场景的过度采集政务APP存在非必要强制要求上传工作照片、轨迹、视频等信息的情况，部分民生服务场景也存在个人信息过度采集与滥用问题。数字生活中的隐私痛点：从授权困境到信息泄露个人信息泄露的典型场景与危害日常应用场景泄露下载APP时被迫接受全量隐私协议，不勾选无法使用基础功能；小区进门、银行办业务时生物识别信息被无底线采集留存。网络活动场景泄露社交平台过度分享车票、证件、定位等敏感信息；随意填写来历不明的问卷调查、参与抽奖活动；连接不安全公共WiFi后登录账号、进行支付。生活场景泄露快递单、外卖单随意丢弃，导致姓名、电话、地址等信息泄露；处理旧手机、旧电脑前未彻底清除数据，造成个人信息被他人获取。信息泄露的主要危害遭遇精准诈骗，骗子利用掌握的个人信息冒充老师、同学、快递员等实施诈骗；身份被冒用，不法分子用个人信息注册账号、办理贷款、从事违法活动；人身安全受威胁，家庭住址、作息规律被掌握可能遭遇入室盗窃等。2026年隐私保护形势：变革与机遇

政策体系持续完善，顶层设计闭环成型2026年，《中华人民共和国个人信息保护法》配套新规密集落地，监管体系持续完善，司法惩戒不断加码，中国隐私保护的顶层设计与执行闭环已然成型，为个人信息保护提供了坚实的法律基础。

授权机制根本转变，用户控制权显著增强从捆绑式一揽子同意全面转向场景化精准授权，核心功能与附加功能严格区分，敏感个人信息需单独弹窗明确告知并获得同意，用户真正掌握个人信息的控制权。

跨境流动合规闭环，安全闸门刚性筑牢《个人信息出境认证办法》及相关国家标准实施，明确了出境认证的适用情形、流程和要求，形成企业合规申请—机构规范认证—部门全程监管—违规严肃追责的全闭环管理体系。

监管惩戒全面升级，违法成本大幅提高多部门联合执法常态化，事前防控替代事后补救，司法惩戒持续加码，针对APP违规索权、超范围收集等高频违规行为实施阶梯式惩戒，2026年第一季度全国监测发现的违规收集个人信息APP数量同比下降32%。个人信息与敏感信息的法律界定02个人信息的法律定义与范围个人信息的法律定义

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的基本类型

包括个人基本资料（姓名、生日等）、身份信息（身份证、护照等）、网络身份标识信息（账号、用户ID等）、教育工作信息、财产信息、通信信息、上网记录、设备信息、位置信息等。敏感个人信息的界定

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。敏感个人信息的具体类别

如人脸、基因、声纹等生物识别信息，病症、既往病史等医疗健康信息，银行账户账号及密码等金融账户信息，连续精准定位轨迹信息等。敏感个人信息的定义与范围敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。常见敏感个人信息类别根据国家标准GB/T45574-2025，常见敏感个人信息包括人脸、基因、声纹等生物识别信息，宗教信仰信息，残障人士身份等特定身份信息，病症、既往病史等医疗健康信息，银行账户账号及密码等金融账户信息，连续精准定位轨迹等行踪轨迹信息，居民身份证照片、征信信息等。敏感个人信息处理的特殊要求处理敏感个人信息，需要有特定目的、充分必要，并取得个人单独同意。必须通过单独弹窗、清晰告知的方式，明确说明信息用途、留存期限、使用范围。例如，人脸信息等敏感个人信息，严禁嵌套在冗长的隐私协议中捆绑勾选。人脸识别技术应用的特别评估《人脸识别技术应用安全管理办法》规定，使用人脸识别技术前应当进行个人信息保护影响评估，评估内容包括处理目的和方式的合法性、对个人权益的影响及降低措施、信息泄露等风险及危害、保护措施的合法性和有效性。敏感个人信息的识别与保护要求国家标准GB/T45574-2025敏感信息分类解读生物识别信息包括人脸、基因、声纹、虹膜、指纹等，此类信息一旦泄露或非法使用，极易导致自然人的人格尊严受到侵害或人身安全受到威胁。宗教信仰与特定身份信息涵盖个人信仰的宗教、加入的宗教组织等宗教信仰信息，以及残障人士身份信息、不适宜公开的职业身份信息等特定身份信息。医疗健康与金融账户信息包含病症、既往病史、医疗就诊记录、检验检查数据等医疗健康信息，以及银行、证券、基金、保险账户的账号及密码等金融账户信息。行踪轨迹与其他敏感信息涉及连续精准定位轨迹信息、车辆行驶轨迹信息等行踪轨迹信息，还包括居民身份证照片、征信信息、犯罪记录信息等其他敏感个人信息。2026年个人信息保护核心法规与政策03核心法规与部门规章以《中华人民共和国个人信息保护法》为核心，配套《网络数据安全管理条例》《个人信息出境标准合同办法》《个人信息保护合规审计管理办法》《人脸识别技术应用安全管理办法》等部门规章，构建多层次法律框架。国家标准与技术规范国家标准GB/T45574-2025《数据安全技术

敏感个人信息处理安全要求》明确敏感信息识别方法与处理规则，《数据安全技术

个人信息跨境处理活动安全认证要求》为跨境认证提供技术指引。司法解释与典型案例最高人民法院、最高人民检察院发布关于办理侵犯公民个人信息刑事案件的司法解释，明确定罪量刑标准；最高检发布个人信息保护检察公益诉讼典型案例，如“网络开盒”案、智慧停车场信息泄露案等，强化司法实践指导。法规汇编与查询工具2026年1月出版的《2026最新个人信息保护法规汇编（第三版）》收录现行有效的法律、行政法规、司法解释等，分类细致并附加条旨，附录指导性案例，为合规查询提供便利。《个人信息保护法》配套新规体系概览《互联网应用程序个人信息收集使用规定》细则解读01核心功能与附加功能严格区分新规明确要求APP必须严格区分核心功能与附加功能，核心服务不得以用户不同意非必要权限、非必要信息收集为由拒绝提供。02敏感个人信息单独弹窗授权针对人脸、指纹、行踪轨迹、金融账户等敏感个人信息，必须通过单独弹窗、清晰告知的方式，明确说明信息用途、留存期限、使用范围，获得用户的单独、明确同意。03严禁敏感授权捆绑勾选严禁再将敏感授权嵌套在冗长的隐私协议中捆绑勾选，从源头上杜绝企业通过“一揽子同意”的方式获取敏感个人信息。04保障用户基础服务使用权用户在拒绝非必要权限和信息收集后，仍可正常使用APP的核心基础功能，改变了以往“不同意就不让用”的霸王条款局面。《个人信息保护合规审计管理办法》要点解析适用范围与核心定义《个人信息保护合规审计管理办法》适用于在中华人民共和国境内处理个人信息的组织、个人。明确了个人信息处理者、个人信息保护负责人等核心概念，为审计工作提供了基础框架。审计主体与职责要求处理100万人以上个人信息的个人信息处理者，必须指定专门的个人信息保护负责人，负责对信息处理活动进行全流程监督，并按要求向国家网信部门报送负责人信息。审计内容与实施要求审计内容涵盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等全流程，重点关注处理目的的合法性、正当性、必要性，以及信息安全保障措施的有效性。审计工作需形成书面报告，并保证其真实性、准确性和完整性。审计结果与整改要求个人信息处理者应根据审计结果及时整改发现的问题，并将整改情况向负责审计的部门报告。对于违反《个人信息保护法》及本办法规定的，将依法追究相应法律责任。《人脸识别技术应用安全管理办法》实践要求

01个人信息保护影响评估要求使用人脸识别技术前，应组织开展个人信息保护影响评估，可有第三方机构参与，需记录处理情况。评估内容包括处理目的和方式的合法性、对个人权益的影响及措施有效性、信息泄露等风险及危害、保护措施的合法性与有效性。

02敏感个人信息处理规范人脸信息属于敏感个人信息，处理时必须取得个人单独、明确同意，通过单独弹窗清晰告知用途、留存期限和使用范围，严禁嵌套在冗长隐私协议中捆绑勾选。

03数据传输与存储安全措施人脸信息等敏感个人信息应进行本地化存储，传输过程需加密，存储采用加密技术和数据脱敏处理，建立完备的访问控制机制，防范网络攻击，定期进行安全测评。

04未成年人信息保护特殊规定采集14岁以下未成年人人脸信息时，必须征得其父母或者其他监护人同意，严格限定应用场景，不得在非安全管理场景随意使用。授权选择权：从捆绑同意到场景化精准授权04核心功能与附加功能的刚性区分

核心功能的界定标准核心功能是指保障应用程序基本服务正常运行所必需的功能，例如社交软件的即时通讯、电商平台的商品购买等，其信息收集应严格遵循最小必要原则。

附加功能的独立授权要求附加功能如个性化推荐、位置共享等，不得与核心功能捆绑授权。用户拒绝提供非必要信息或权限时，应用程序不得拒绝提供核心服务，确保用户选择权。

《互联网应用程序个人信息收集使用规定》实施要求根据新规，APP必须明确区分核心功能与附加功能，核心服务不得以用户不同意非必要权限、非必要信息收集为由拒绝提供，从制度上杜绝“不同意就不让用”的霸王条款。敏感信息单独同意机制操作指南

敏感个人信息的界定范围敏感个人信息包括生物识别（人脸、指纹、声纹等）、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

单独同意的获取方式针对敏感个人信息，必须通过单独弹窗、清晰告知的方式，明确说明信息用途、留存期限、使用范围，获得用户的单独、明确同意，严禁嵌套在冗长的隐私协议中捆绑勾选。

未成年人信息的特殊保护处理不满十四周岁未成年人人脸信息等敏感信息时，必须征得其父母或者其他监护人的单独同意，确保未成年人信息安全。

单独同意的撤回途径个人有权撤回其同意，个人信息处理者应当提供便捷的撤回同意的方式，且撤回同意不影响撤回前基于个人同意已进行的个人信息处理活动的效力。核心功能与附加功能权限分离依据《互联网应用程序个人信息收集使用规定》配套细则，企业需严格区分核心功能与附加功能，核心服务不得以用户不同意非必要权限或信息收集为由拒绝提供。敏感个人信息单独弹窗告知针对人脸、指纹、金融账户等敏感个人信息，必须通过单独弹窗、清晰告知用途、留存期限和使用范围，获得用户单独、明确同意，严禁捆绑在冗长协议中勾选。隐私协议公开透明与易于查阅企业应遵循公开、透明原则，以显著方式、清晰易懂的语言公开个人信息处理规则，明示处理目的、方式和范围，隐私协议需便于用户查阅和保存。用户撤回同意的便捷性保障基于个人同意处理个人信息的，个人有权撤回其同意，企业应当提供便捷的撤回同意方式，且撤回同意不影响撤回前基于同意已进行的信息处理活动的效力。企业隐私协议规范化要点与用户权益个人信息跨境流动合规体系05《个人信息出境认证办法》适用范围与流程适用主体与数据规模要求非关键信息基础设施运营者，自2026年1月1日起累计向境外提供10万人以上、不满100万人个人信息（不含敏感个人信息），或不满1万人敏感个人信息的，须申请出境认证。认证申请核心流程需向具备资质的专业认证机构提交申请，认证证书有效期为3年。严禁通过数量拆分等手段规避法定的出境安全评估。配套技术标准支撑《数据安全技术个人信息跨境处理活动安全认证要求》（2026年3月1日实施）提供全国统一技术规范，明确基本原则、安全要求与个人信息主体权益保障规则。全闭环监管体系形成企业合规申请—机构规范认证—部门全程监管—违规严肃追责的管理闭环，专业认证机构需在取得资质10个工作日内向国家网信部门备案。跨境安全认证国家标准技术规范

国家标准名称与实施时间《数据安全技术个人信息跨境处理活动安全认证要求》于2026年3月1日正式实施，为个人信息出境认证提供全国统一的技术规范。

基本原则与安全要求明确跨境处理个人信息应遵守合法、正当、必要等基本原则，规定了数据收集、传输、存储、使用等全流程的安全要求，确保个人信息跨境流动的安全性。

个人信息主体权益保障规则标准中包含个人信息主体权益保障规则，如个人信息主体的知情权、查阅权、更正权、删除权等，为个人信息主体在跨境场景下维护自身权益提供了技术层面的保障。跨境数据出境认证要求根据《个人信息出境认证办法》，自2026年1月1日起，非关键信息基础设施运营者累计向境外提供10万人以上不满100万人个人信息（不含敏感个人信息）或不满1万人敏感个人信息的，须向具备资质的专业认证机构申请出境认证，认证证书有效期3年。跨境处理安全国家标准《数据安全技术个人信息跨境处理活动安全认证要求》于2026年3月1日实施，明确了跨境处理个人信息的基本原则、安全要求与个人信息主体权益保障规则，为企业提供了全国统一的技术规范。企业合规管理责任处理100万人以上个人信息的企业，需指定个人信息保护负责人，对信息处理活动全流程监督，并向国家网信部门报送负责人信息。企业应建立健全数据安全协议，对敏感信息进行加密传输和脱敏存储，严禁通过数量拆分等手段规避出境安全评估。违规处理法律后果企业若违反跨境数据处理规定，将面临通报整改、下架处置、限制分发及高额罚款等阶梯式惩戒。2026年第一季度，全国监测发现的违规收集个人信息APP数量同比下降32%，显示监管成效显著。企业跨境数据处理合规指引与责任全链条监管与司法惩戒机制06多部门联合执法常态化与阶梯式惩戒常态化联合检查机制的建立2026年，工信部、网信办、市场监管总局等部门持续深化个人信息保护专项行动，建立常态化联合检查机制，针对APP违规索权、超范围收集、频繁自启动、数据违规传输等高频违规行为进行整治。阶梯式惩戒措施的实施实施通报整改—下架处置—限制分发—高额罚款的阶梯式惩戒，对违规行为形成有效震慑。2026年第一季度，全国监测发现的违规收集个人信息APP数量同比下降32%。应用商店事前审核机制的全面建立应用商店全面建立事前审核机制，从源头拦截违规应用上架，有效减少了违规收集个人信息APP的出现。个人信息侵权定罪量刑新标准：从数量到危害后果

传统定罪量刑核心标准：以信息泄露数量为主过去，个人信息侵权定罪量刑主要以信息泄露数量为核心标准，如非法获取、出售或者提供公民个人信息达到一定数量即构成相应刑罚。

2026年司法惩戒新导向：兼顾实际危害后果2026年，司法机关明确个人信息侵权定罪量刑将从传统的以信息泄露数量为核心标准，转向兼顾行为造成的实际危害后果。

实际危害后果的考量因素针对导致受害者重大财产损失、严重精神损害等后果的侵权行为，将大幅提升惩罚力度，体现了对个人权益损害的实质关注。企业内部监督机制建设根据《个人信息保护合规审计管理办法》，处理100万人以上个人信息的企业需指定个人信息保护负责人，对信息处理活动全流程监督，并向国家网信部门报送负责人信息，建立常态化隐私保护监督机制。政务场景信息采集规范《政务移动互联网应用程序规范化管理办法》明确要求，将个人信息保护嵌入政务APP上线前备案、运行管理、关停注销全生命周期，严禁非必要强制要求上传工作照片、轨迹、视频等信息。异常行为监测与处置要求平台需落实异常行为监测义务，针对网络人肉、信息倒卖、精准诈骗等新型侵权行为，建立健全监测机制。2026年第一季度，全国监测发现的违规收集个人信息APP数量同比下降32%，应用商店事前审核机制全面建立。人脸识别技术应用评估《人脸识别技术应用安全管理办法》规定，使用人脸识别技术前应进行个人信息保护影响评估，评估处理目的、权益影响、风险及保护措施等，可由第三方机构参与并记录评估情况。平台主体责任与异常行为监测义务个人信息保护典型案例解析07智慧停车场信息过度收集整改案例

案件背景与问题识别河北省保定市徐水区18家智慧停车场存在五大类违法违规行为，包括强制关注公众号缴费、未加密传输敏感信息、任意查询车辆轨迹等，涉及9.6万注册用户，对公民个人信息安全构成威胁。

检察机关履职与协同治理徐水区检察院通过大数据筛查锁定线索，召开公开听证会厘清城管、住建、市监部门职责，制发检察建议推动联合整治，完成148项安全漏洞整改，规范处置敏感信息2.8万余条。

整改措施与成效落实"最小必要"原则，实现"纯净二维码"改造，建立访问控制机制与敏感信息脱敏存储，增加身份验证模块并公开隐私政策，经专家评估确认18家停车场均整改到位。小区物业人脸识别违规处理整治案例

典型案例背景与问题重庆某科技有限公司管理的居住场所涉及人脸信息储备数量高达150万条，存在10个以上风险问题，包括人脸信息通过互联网传输、未对敏感数据加密传输、隐私协议未明确告知处理目的和保存期限等。

检察机关履职与调查重庆市两江新区人民检察院邀请网信部门业务专家协助调查，查明物业企业存在采集未成年人信息未取得监护人同意、敏感信息未本地化存储、未与第三方签署安全协议等违规行为。

行政监管与整改措施区住建委向全区物业企业下发通知，要求严格限定应用场景、健全数据管理制度、规范同意获取流程（需单独同意）、严控信息存储时限并加密存储，对案涉企业督促全面整改。

整治成效与典型意义通过专项整治，物业企业完善了人脸识别系统安全措施，落实了“最小必要”原则和敏感信息保护要求，为《人脸识别技术应用安全管理办法》在物业行业的落地提供了实践样本，有效维护了公民个人信息安全。"网络开盒"侵害个人信息民事公益诉讼案例

案例背景：周某某等人"网络开盒"行为不法分子通过非法手段获取公民个人隐私信息，在网络公开发布并附带侮辱性言论，引发大面积转发与围观，构成典型的"网络开盒"行为，不仅侵害个体权益，更对公共信息安全构成系统性威胁。

司法追责：刑事责任与民事公益责任并行检察机关在追究行为人刑事责任（如侵犯公民个人信息罪）的同时，提起民事公益诉讼，主张确认侵权行为、支付公益损害赔偿金、公开赔礼道歉，彰显"刑事+民事公益"复合规制导向。

裁判要点：公共利益保护与平台责任法院支持检察机关诉求，确立"即使获利少，危害大也需担责"原则，明确平台对"开盒"信息的审核、处置义务，未及时删除、屏蔽的需承担相应责任，推动网络空间治理。公民个人信息保护实用指南08日常信息泄露风险点识别与防范

网络平台信息分享风险社交平台过度分享车票、证件、定位等敏感信息，易被不法分子获取并用于精准诈骗或身份冒用。应避免在社交平台晒出包含个人敏感信息的内容。

线下单据处理不当风险快递单、外卖单、车票等含个人信息的单据随意丢弃，可能导致姓名、电话、地址等信息泄露。需及时销毁或涂抹单据上的敏感信息。

App权限滥用风险手机App过度索权，如非必要访问通讯录、位置、相册等权限，可能导致个人信息被过度收集和滥用。应谨慎授权并定期检查关闭不必要权限。

公共网络与设备使用风险连接公共WiFi后登录账号、进行支付，或使用公共设备后未清理个人信息，存在信息被窃取风险。使用公共网络时应避免敏感操作，处理旧手机、电脑前需彻底清除数据。

不明活动参与风险参与来历不明的问卷调查、抽奖活动，随意填写个人信息，可能导致信息被贩卖或用于诈骗。应拒绝参与非正规渠道的信息收集活动。iOS系统权限管理步骤打开手机“设置”，点击对应App名称，进入“权限”设置界面，可逐项查看并关闭非必要权限，如“位置”“通讯录”等，仅保留核心功能所需权限。Android系统权限管理步骤进入“设置”→“应用管理”，选择目标App，点击“权限”，系统会列出已授权权限，点击具体权限可选择“允许”“拒绝”或“仅在使用时允许”，敏感权限如“相机”“麦克风”建议按需授权。隐私政策与数据收集设置检查在App“设置”或“隐私”栏目中，找到“隐私政策”查看信息收集范围，关闭“个性化推荐”“数据共享”等非必要选项，确保个人信息仅用于核心服务。定期权限审计与更新建议每月检查一次App权限设置，对于长期未使用或权限要求异常的App，及时关闭多余权限或卸载，2026年第一季度全国监测发现的违规收集个人信息App数量同比下降32%，规范权限管理是重要原因。App权限管理与隐私设置操作步骤个人信息泄露后的应急处置流程

立即采取初步防护措施发现个人信息泄露后，应第一时间修改相关账号密码，开启双重