2026年6月17日,全国网络安全标准化技术委员会发布《数据安全技术 个人信息安全规范》(GB/T 35273)征求意见稿,公开征求意见至 2026 年 8 月 16 日。作为国内个人信息保护领域实操性最强的核心国家标准,本次修订跳出 2020 版 “隐私政策 + 告知同意” 的核心框架,将保护重心全面延伸至数据全生命周期治理、AI 数据使用规则、跨境法域冲突应对、组织问责体系建设四大维度,对AI企业、出海平台、金融、医疗、汽车等大规模数据处理行业的合规体系提出了全新要求。
核心修订要点:
合法性基础重构:新增专章划定八类数据处理合法场景边界,明确每项处理活动需对应真实可证的合法依据,同意不再是万能合规凭证,禁止滥用人力资源管理、公开信息处理等事由超范围处理数据。
敏感信息扩围:多项普通个人信息聚合后若具备敏感风险特征,需按敏感信息管理,打破单字段分级的传统模式。同时细化单独同意要求,禁止一次性总授权覆盖多类敏感处理场景。
新增质量原则:要求处理者保障个人信息真实准确,因数据错误、失实引发歧视性结果、不当决策的,纳入合规责任范畴,适配自动化决策、AI 算法的应用现状。
补齐新场景规则:三类高频场景明确要求:AI 产品需落实训练数据审查、输入敏感信息过滤与输出风险管控,扩展功能需设关闭路径;终端设备需规范权限调用与 SDK 数据链路;统一账号不构成跨主体天然数据共享依据。
跨境合规升级:新增海外法律管辖与冲突处理专章,将跨境合规从 “数据出境申报” 延伸至全链路管辖风险管控,要求建立境外政府数据请求应对机制,高风险跨境活动需每年评估。
组织责任落地:明确处理超 100 万人个人信息、超 10 万人敏感信息等规模的企业,需设专职保护负责人与专门工作机构,负责人需具备决策参与权;合规审计需形成全流程闭环,监管核查重心转向执行落地与证据留存。
本次国标修订的核心本质,是推动个人信息保护从 “纸面授权管理” 向 “实质治理能力建设” 升级。过往不少企业的合规工作以隐私政策、同意凭证为核心抓手,而新标准要求合规深度嵌入数据处理全链路 —— 从合法性判断、质量管控,到 AI 场景适配、跨境风险应对,再到内部组织责任,均需形成可追溯、可审计的完整体系。
目前标准仍处于征求意见阶段,正是企业梳理合规短板、调整体系框架的窗口期。尤其 AI 企业、出海平台、大型互联网平台等主体,提前完成数据处理活动全景盘点、合法性基础梳理与新场景规则适配,才能在标准正式落地后平稳过渡,规避集中整改的合规风险。
