《个人信息保护法》施行以来，中央网信办会同有关部门持续加大个人信息保护工作力度，查处各类违法违规处理个人信息行为，督促指导个人信息处理者不断提升合规水平，取得了积极成效。2026年，中央网信办、工业和信息化部、公安部将会同相关部门，进一步深入治理App、SDK等服务产品以及互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息典型问题，着力提升人民群众满意度、获得感。相关部门将围绕以下重点问题开展系列专项行动：

1.App、SDK违法违规收集使用个人信息专项治理

治理对象：常见类型App以及嵌入的SDK个人信息收集使用活动。

重点治理问题：一是未公开个人信息收集使用规则，未提供有效注销用户账号功能，未建立、公布个人信息安全投诉举报渠道等；二是未完整准确告知收集使用个人信息情况，或告知收集使用个人信息目的、方式、范围与实际收集使用情况不一致；三是未经用户同意收集使用个人信息，强制用户同意收集非必要个人信息；四是超出必要范围收集使用个人信息，在无关场景收集位置、通讯录、短信等个人信息，超出最低必要频率调用个人信息权限。

2.互联网广告领域违法违规收集使用个人信息专项治理

治理对象：互联网广告中介平台、媒体端等个人信息收集使用活动。

重点治理问题：一是超出必要范围收集个人信息；二是收集使用个人信息，未在个人信息处理规则中明确收集的个人信息用于广告、用户画像等功能，未列明向第三方提供个人信息的种类、目的、方式以及接收方的名称、联系方式等；三是未向用户提供行使更正、删除、拒绝处理个人信息等权利的便捷渠道，相关功能不完善不健全；四是利用自动化决策等方式推送广告，未设置易于理解、便于访问和操作的个性化推荐关闭选项，个人关闭个性化推荐后未停止收集个人信息，未提供删除用户个人特征标签等功能；五是个人信息内部安全管理、访问控制、对外提供等制度不健全，技术安全防范措施不到位等。

3.教育领域违法违规收集使用个人信息专项治理

治理对象：（高等教育、高中阶段、义务教育阶段、幼儿园等），以及校外培训机构等教育机构个人信息收集使用活动。

重点治理问题：一是教育机构处理不满十四周岁未成年人个人信息，未制定专门的个人信息处理规则，未取得未成年人父母或其他监护人的同意；二是教育机构运营的网站、App等过度收集位置、、学籍，家长身份证号、联系方式、职业等个人信息；三是校外培训机构向合作的第三方机构提供个人信息，但未向个人信息主体告知合作的第三方机构名称、处理个人信息的目的、方式，未取得个人信息主体同意；四是教育机构线下场合以及运营的网站、App等使用非人脸识别技术方式可以实现验证家长、学生身份，将人脸识别技术作为唯一验证方式，未落实人脸识别技术应用安全管理相关要求；五是教育机构未建立个人信息保护管理制度、未采取有效安全保护措施、存在个人信息泄露风险隐患等。

4.交通领域违法违规收集使用个人信息专项治理

治理对象：公路、水路、铁路、民航运输经营者及相关票务代理，线上出行购票平台，邮政快递企业，以及公共停车管理平台等个人信息收集使用活动。

重点治理问题：一是相关机构运营的网站、App在无关场景收集位置、通讯录等个人信息，调用麦克风、存储等个人信息权限；二是公共停车场扫码缴费等功能强制要求用户注册、登录，强制收集手机号等个人信息；三是线上出行购票平台向合作的票务代理等第三方机构提供个人信息，但未向个人信息主体告知合作的第三方机构名称、处理个人信息的目的、方式、范围，未取得个人信息主体同意；四是邮政快递企业、线上出行购票平台等机构泄露用户联系方式、家庭地址、个人行程等个人信息；五是相关机构未建立个人信息保护管理制度、未采取有效安全保护措施，对个人信息权益造成危害。

5.卫生健康领域违法违规收集使用个人信息专项治理

治理对象：医院、卫生服务中心、卫生所、诊所、疾控中心等医疗卫生机构个人信息收集使用活动。

重点治理问题：一是医疗卫生机构运营的网站、App超范围收集位置等个人信息，未采取有效验证方式核验用户身份导致未经授权的无关人员可查询他人病历等；二是医疗卫生机构未经患者同意公开包含患者个人信息的影像图片、文字描述等信息；三是医疗卫生机构运营的网站、App等使用非人脸识别技术方式可实现验证患者身份，将人脸识别技术作为唯一验证方式，未落实人脸识别技术应用安全管理相关要求；四是医疗卫生机构未建立专门的个人信息保护管理制度，未有效设置个人信息访问管理权限，未明确个人信息保护职责；五是医疗卫生机构内部信息管理系统未采取有效的技术防护手段，未对个人信息采取加密、去标识化等安全技术措施；六是医疗卫生机构对技术运维等第三方人员管理不到位，存在个人信息泄露风险隐患。

6.金融领域违法违规收集使用个人信息专项治理

治理对象：银行、保险、证券、征信、支付等相关机构，以及互联网助贷平台等收集使用个人信息活动。

重点治理问题：一是相关机构运营的网站、App等以安全风控、贷款服务等名义收集非必要的通讯录、短信、通话记录、位置、设备信息、应用列表等个人信息，调用麦克风、存储等个人信息权限；二是互联网助贷平台向合作的第三方机构提供个人信息，但未向个人信息主体告知合作的第三方机构名称、处理个人信息的目的、方式等，未取得个人信息主体同意；三是相关机构线下业务审核和运营的网站、App等使用非人脸识别技术方式可实现验证用户身份，将人脸识别技术作为唯一验证方式，未落实人脸识别技术应用安全管理相关要求；四是相关机构未建立个人信息保护管理制度、未采取有效安全保护措施、存在个人信息泄露风险隐患等。

7.个人信息相关违法犯罪案件专项打击治理

治理对象：侵犯个人信息违法犯罪活动。

重点治理问题：聚焦公共服务、金融借贷、医疗教育、生活出行等重点方向侵犯公民个人信息违法犯罪，围绕信息泄露环节、信息倒卖环节、信息使用环节，严惩行业“内鬼”，严打侵犯公民个人信息违法犯罪。

中央网信办、工业和信息化部、公安部将会同相关部门有序推进系列专项行动中的各项任务，集中整治各类典型违法违规问题，对情节严重、拒不整改的依法从严处理；同时，有关部门将根据实际工作需要动态调整重点治理问题，确保专项行动取得实效，切实保护公民个人信息安全。

特此公告。

中央网信办

工业和信息化部

公安部

2026年4月2日