2026年个人信息保护系列专项行动:互联网广告领域数据合规整改指南(一)
作者:王良 2026-05-20互联网广告数据具有高度流动性与生态链式处理特征。设备标识符、位置轨迹、浏览记录、点击行为、用户画像标签等信息,不仅反映消费者的数字行为模式,更能精准勾画其兴趣爱好、消费能力、健康状况乃至出行规律等深层次个人信息。一旦数据泄露,不仅直接侵害用户隐私权,还可能引发精准诈骗、网络暴力、社会歧视、消费不公以等一系列衍生风险。长期以来,该领域存在诸多“灰色操作”,亟需通过专项治理加以规范。
2026年4月2日,中央网信办、工业和信息化部、公安部联合发布《关于开展2026年个人信息保护系列专项行动的公告》。此次专项行动将互联网广告领域列为七大重点治理领域之一,治理对象为互联网广告中介平台、媒体端等个人信息收集使用活动。专项行动针对互联网广告领域明确了五项重点治理问题:过度收集个人信息;告知不充分与第三方共享不透明;用户权利行使渠道不健全;个性化推荐关闭不合规(关闭后仍收集,未提供标签删除);内部安全管理制度和技术防护薄弱等。 五项重点治理问题精准指向行业长期存在的“灰色地带”,对互联网广告行业的数据处理活动提出了更高的合规要求。
一、专项行动执法依据与规范体系
(一)互联网广告领域数据保护现状
互联网广告业务是数据使用、加工、提供和委托处理密集的行业领域。在广告投放、程序化交易、广告归因等场景中,涉及个人信息在不同机构间的提供、加工、传输、使用等处理行为。互联网广告行业收集的个人信息类型主要包括:设备信息(如设备标识符、IP地址、操作系统版本)、网络行为信息(浏览记录、点击行为、搜索记录)、位置信息(GPS、Wi-Fi、基站信息)以及通过跨域追踪形成的用户画像标签。
互联网广告业务具备多机构参与的生态长链特性:广告主、代理商、需求方平台(DSP)、广告交易平台(ADX)、供应方平台(SSP)、媒体端、第三方监测机构等多方主体协同作业。大量中间环节机构无法直接与个人信息主体完成交互,没有效告知路径,难以直接获得个人同意。这使得相关数据处理行为在告知同意、第三方提供、权利保障等方面面临多重合规风险。
(二)规范体系
《个人信息保护法》确立了告知同意、最小必要、自动化决策规制、个人权利保障等核心制度,是本次专项行动最直接的法律依据。《网络安全法》规定了网络运营者的网络安全保护义务,要求采取技术措施防止信息泄露、篡改、丢失。《数据安全法》建立了数据分类分级保护制度,要求数据处理者履行数据安全保护义务。此外,关联法律还包括《广告法》《反不正当竞争法》《电子商务法》等,从不同角度对互联网广告活动提出合规要求。
互联网广告领域个人信息处理活动方面的行业专项规定主要包括:《互联网信息服务算法推荐管理规定》,该规定是规范个性化广告推送的核心文件,要求算法推荐服务提供者提供不针对个人特征的选项或便捷的关闭算法推荐服务的选项;用户关闭后应立即停止提供相关服务,并提供删除用户特征标签的功能。《互联网广告管理办法》,该办法对互联网广告活动作出全面规范,要求利用算法推荐等方式发布广告的,应将算法推荐服务相关规则、广告投放记录等记入广告档案,并明确了广告主、广告经营者、广告发布者、互联网平台经营者的责任边界。《网络数据安全管理条例》,该条例对网络数据处理活动进行全面规范,要求建立健全网络数据安全管理制度,采取加密、备份、访问控制、安全认证等技术措施,并对数据对外提供、委托处理等作出具体规定。《App违法违规收集使用个人信息行为认定方法》,该文件列举了“仅以改善服务质量、提升用户体验等为由收集个人信息”“收集信息与业务功能无关”等认定情形,为判断“超出必要范围收集个人信息”提供了具体执法标准。
二、法律分析与合规操作指引
【问题一】超出必要范围收集个人信息
“超出必要范围收集个人信息”违反《个人信息保护法》确立的“最小必要原则”,即处理个人信息应当具有明确、合理的目的,并与处理目的直接相关,收集范围应当限于实现处理目的的最小范围,不得过度收集个人信息。在互联网广告场景中,这一问题体现为:部分广告平台或媒体端在收集设备信息、位置信息、浏览行为数据时,未与广告投放、归因等业务功能直接相关,或收集的范围、频率超出了实现特定业务目的所必需的限度。由于广告SDK、监测模块等后台技术组件往往嵌入在多个App中,用户不易察觉,容易形成超出必要的收集行为。
(一)法律分析
最小必要原则要求,每一项个人信息的收集都必须有明确的业务目的支撑,且该目的必须与广告业务功能直接相关。例如,为在特定地理范围内投放广告而收集用户所在城市信息具有相关性,但在没有地理定向需求的情况下持续收集精确位置信息则超出必要范围。同时,收集频率也需合理:为广告频次控制而记录广告展示次数是必要的,但每秒多次读取设备信息则超出最低必要频率。
敏感个人信息的处理受到更严格的限制。位置信息、行踪轨迹属于敏感个人信息,只有在具有特定目的和充分必要性的前提下才能处理,且须取得个人的单独同意。互联网广告平台若无充分必要性即收集用户精确位置信息,将面临较高的法律风险。此外,个人信息的保存期限应当为实现处理目的所必要的最短时间。实践中,部分平台长期保留已停止使用的用户特征标签,或者将已注销账号用户的个人信息继续保留,均构成违规。
(二)排查重点清单
(三)整改要求
删除超范围数据:排查发现超出必要范围的个人信息收集后,立即停止收集并在合理期限内彻底删除已收集的超范围数据。
建立必要性审查机制:建立数据收集必要性的事前审查制度,任何新增数据收集行为均须经个人信息保护影响评估后方可上线。
优化数据收集策略:将可替代或可简化的数据收集改为使用匿名化标识、局部聚合数据等对个人权益影响更小的方式。
制定最小必要收集清单:明确各项业务功能对应的最小必要信息类型、收集频率和保存期限,形成内部控制规范。
收缩权限调用频率:将超出最低必要频率的权限调用频率降低至满足业务需要的最低水平。
实施敏感信息单独同意机制:确需收集敏感个人信息的,应落实单独同意制度并开展个人信息保护影响评估。
建立SDK收集行为监督机制:对嵌入的第三方SDK建立持续监督机制,要求SDK提供方出具最小必要收集承诺,定期审查其实际收集行为是否与承诺一致。
【问题二】收集使用个人信息,未在个人信息处理规则中明确收集的个人信息用于广告、用户画像等功能,未列明向第三方提供个人信息的种类、目的、方式以及接收方的名称、联系方式等
个人信息处理者应当在处理个人信息前,以显著方式、清晰易懂的语言真实、准确、完整地向个人告知处理者信息、处理目的、方式、个人信息种类、保存期限以及个人行使权利的方式和程序等。向其他个人信息处理者提供个人信息的,还应告知接收方的名称、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。
在互联网广告行业,由于数据在不同机构间频繁流转且链条较长,大量中间环节机构无法直接与用户交互,难以建立有效的告知通道。部分平台虽然在个人信息处理规则中提及广告相关内容,但通常较为概括,未详细说明广告投放、用户画像等具体功能所涉及的个人信息类型、处理方式及向第三方提供的情况。
(一)法律分析
告知义务是处理个人信息的前提性义务。所谓“显著方式”,是指不能将规则隐藏在多层菜单之后或使用过小的字号;所谓“清晰易懂的语言”,是指应当避免使用过于专业的法律术语或模糊的概括表述。例如,仅表述为“我们会将您的信息用于广告优化”是不充分的,应当具体说明是用于广告投放、程序化交易还是广告归因,以及具体收集哪些信息。
向第三方提供个人信息需要“单独同意”,即不能将同意捆绑在其他业务功能的同意中,必须单独弹窗或以其他显著方式征得用户同意。同时,告知内容必须具体到接收方的名称、联系方式、处理目的、处理方式、信息种类。实践中,部分平台仅在隐私政策中笼统提及“我们会与合作伙伴共享信息”,而未逐一列明接收方信息,这不符合法律规定。如果告知不充分,用户无法真正知情,其作出的同意就缺乏有效性。
针对广告生态长链中“无告知路径”的困境,《互联网广告 个人信息处理告知和同意的分类实施指南》提供了两条创新路径:一是受控匿名路径,通过合规去标识化技术将个人信息转化为不可识别、不可复原的非个人信息,从而不涉及告知同意要求;二是密态使用路径,在“数据必须流动但无告知路径、难获用户同意”的场景下,通过技术手段保障数据在加密状态下的处理和使用。
(二)排查重点清单
1. 个人信息处理规则(隐私政策)合规排查
2. 第三方提供合规排查
(三)整改要求
优化个人信息处理规则:以显著方式、清晰易懂的语言逐项列明广告投放、用户画像、程序化交易、广告归因等功能所涉及的个人信息处理活动;针对每类个人信息类型,说明其具体收集目的、处理方式、保存期限;明确列明用户行使权利的渠道和方式;确保处理规则与实际处理情况完全一致。
建立第三方提供清单与告知机制:编制并公开“向第三方提供个人信息清单”,逐一列明第三方接收方名称、联系方式、提供信息的种类、目的及方式;制定第三方提供告知的标准化流程;建立第三方提供变更的重新告知和重新取得同意机制。
完善合作协议管理:与第三方机构签订合同时明确约定数据处理目的、方式、范围及安全保护义务;对合作方的处理行为实施监督,要求按规定保存处理情况记录至少3年。
建立个人信息保护影响评估制度:涉及敏感个人信息处理或向第三方提供个人信息时,事先开展个人信息保护影响评估。
【问题三】未向用户提供行使更正、删除、拒绝处理个人信息等权利的便捷渠道,相关功能不完善不健全
个人对其个人信息享有知情权、决定权,并有权限制或者拒绝他人对其个人信息进行处理。具体而言,个人有权查阅、复制其个人信息,有权请求更正、补充有错误的个人信息,有权在特定情形下请求删除个人信息,有权拒绝自动化决策推送,有权撤回同意。个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。
在互联网广告场景中,用户往往难以真正实现对个人信息的控制和自主管理。例如,注销账号被设置多重障碍,要求额外提交超出已收集范围的信息;删除个人信息请求响应滞后甚至不予处理;拒绝个性化广告推送无法实现真实有效的拒绝。
(一)法律分析
便捷的撤回同意方式,是指撤回同意的入口应当与同意入口同样便捷,不能将撤回同意隐藏在多层菜单之后或设置繁琐的操作步骤。如果用户能够方便地点击“同意”按钮,却难以找到“撤回同意”的入口,就不符合便捷性要求。
不得以个人不同意处理其个人信息或者撤回同意为由拒绝提供产品或者服务。用户关闭个性化广告推送或者撤回对广告数据处理的同意后,平台不能因此拒绝用户使用App的基础服务(如浏览内容、使用基本功能)。个性化广告推送应当作为可选项,而非强制项。
用户注销账号后,平台应当在合理期限内删除已收集的个人信息,除非法律另有规定。删除操作应当实现真实、彻底删除,不能仅为数据库的“软删除”标记。
个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制,包括明确的受理渠道、处理流程和响应时限。如果设置了投诉举报入口但长时间无人处理,或者用户提交请求后得不到回应,就不符合法律规定。
(二)排查重点清单
(三)整改要求
建立统一的用户权利行使入口:在App、网站等用户交互界面中设置易于查找的统一入口,集中提供更正、删除、拒绝处理、撤回同意、注销账号等功能。
实现彻底的删除功能:删除操作应当实现真实、彻底删除,不能仅为数据库的“软删除”标记;用户注销账号后,应在合理期限内删除已收集的个人信息,除非有法定保留依据。
建立投诉举报处理制度:建立并公开个人信息安全投诉举报渠道,明确受理和处理流程、响应时限,指定专门人员负责处理,确保用户的合理诉求得到及时回应和解决。
优化渠道的可操作性和实效性:定期对用户权利行使渠道的有效性进行实测验证,确保相关功能“可用、好用、真用”。
建立用户权利响应机制:制定用户权利请求的受理、响应、处理、反馈标准操作程序,明确各类请求的处理时限(一般不超过15个工作日)。
【问题四】利用自动化决策等方式推送广告,未设置易于理解、便于访问和操作的个性化推荐关闭选项,个人关闭个性化推荐后未停止收集个人信息,未提供删除用户个人特征标签等功能
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对个人特征的选项,或者向个人提供便捷的拒绝方式。算法推荐服务提供者应当向用户提供不针对个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项;用户选择关闭算法推荐服务的,应当立即停止提供相关服务。同时,应提供选择或者删除用于算法推荐服务的针对个人特征的用户标签的功能。
实践中,一些平台虽然设置了关闭个性化推荐选项,但仍存在入口不够清晰、操作不够便捷等问题;有的平台即便在用户关闭相关功能后,仍未停止用户标签生成与信息收集,变相延续个性化广告推送。
(一)法律分析
个性化推荐关闭选项的核心要求包括两个方面:一是“提供不针对个人特征的选项”,即用户可以选择看到完全与个人特征无关的通用广告;二是“提供便捷的拒绝方式”,即用户可以方便地关闭个性化推荐功能。“便捷”是指关闭选项应当易于发现、易于操作,不能刻意隐藏或设置复杂的操作路径。
“立即停止”意味着关闭操作应当是实时生效的,不能存在延迟或者“逐步关闭”的情况。用户关闭个性化推荐后,平台应当立即停止基于用户个人特征标签的广告推送,并停止收集用户个人信息用于个性化推荐目的。
用户特征标签的删除功能同样重要。用户不仅可以选择“不再接收个性化推荐”,还可以要求平台删除此前为其构建的特征标签。删除标签后,平台应当彻底清除这些数据,不能将其保留用于其他目的。用户关闭个性化推荐后,用户特征标签的存在目的已经无法实现,平台应当主动删除这些标签。
此外,嵌入的SDK通过自动化决策方式向用户进行信息推送、商业营销的,应当向应用程序提供个性化推荐关闭选项,并在关闭后停止将用户相关个人信息用于个性化推荐目的。
(二)排查重点清单
(三)整改要求
优化个性化推荐关闭选项的设计:使用易于理解、不含歧义的语言标识关闭选项,避免使用“智能推荐”“内容优化”等模糊表述误导用户;将关闭选项放置于易于访问的界面层级(建议在隐私设置或账号设置中的突出位置);关闭按钮层级推荐不超过3级,避免刻意隐藏。
实现真实有效的关闭:用户关闭个性化推荐后,立即停止基于用户个人特征标签的广告推送,广告内容转换为不针对个人特征的通投广告;关闭后停止收集用户个人信息用于个性化推荐目的,包括停止生成新的用户特征标签;建立技术保障机制,确保关闭功能的真实有效性,不得通过其他路径延续个性化广告推送。
提供完整的用户特征标签管理功能:提供用户查看个人特征标签的界面;提供用户删除全部或部分个人特征标签的功能;删除标签后,确保相应数据被彻底清除,不作为后续个性化推荐的依据。
强化算法推荐决策的透明度:对用户画像的构建逻辑、广告投放规则、推荐策略等信息进行充分、清晰的说明;建立用户对自动化决策的质询和申诉渠道。
加强SDK的合规管理:审核嵌入的SDK是否按照法规要求设置了个性化推荐关闭选项;在用户关闭个性化推荐后,确保SDK停止将用户个人信息用于个性化推荐目的;在合作协议中明确SDK提供方的合规义务,并建立持续监督机制。
【问题五】个人信息内部安全管理、访问控制、对外提供等制度不健全,技术安全防范措施不到位等
个人信息处理者应当制定内部管理制度和操作规程,实行分类管理,采取加密、去标识化等安全措施,防止信息泄露、篡改、丢失。网络数据处理者应当建立健全网络数据安全管理制度,采取加密、备份、访问控制、安全认证等技术措施。对外提供、委托处理个人信息的,应当通过合同约定处理目的、方式、范围及安全保护义务,并对接收方履行义务情况进行监督。
互联网广告行业数据处理涉及多方主体、多种类型数据,数据流转路径复杂。个人信息从用户端收集后,可能经过广告SDK、广告网络平台、程序化交易平台、数据服务商等多个环节,每个环节都存在数据泄露、滥用、越权访问的风险。
(一)法律分析
内部管理制度包括组织架构(如设立个人信息保护负责人或工作机构)、岗位职责、管理流程、应急预案等。安全措施则包括加密存储、访问控制、数据防泄露等技术手段。
访问控制必须遵循最小权限原则,即员工和外部人员的访问权限应当与其业务需要相匹配,不得拥有超出工作职责的权限。对敏感个人信息应设置更严格的访问控制,并建立定期权限审计机制。
对外提供或委托处理个人信息时,必须与数据接收方签订书面协议,明确处理目的、方式、范围、期限以及双方权利和义务;对数据接收方履行数据安全保护义务的情况进行持续监督;处理情况记录至少保存3年备查。
(二)排查重点清单
(三)整改要求
建立完善的个人信息保护管理制度体系:制定个人信息保护内部管理制度和操作规程;明确个人信息保护的决策机构、管理机构、执行机构及其职责;处理个人信息达到100万人以上的,应指定个人信息保护负责人并报送履行个人信息保护职责的部门;建立健全数据安全事件应急预案。
实施精细化的访问控制管理:严格遵循最小权限原则配置数据访问权限;对敏感个人信息设置更严格的访问控制;建立定期权限审计机制,及时发现并收回已失效或越权的权限;建立数据访问日志记录和异常行为监测机制。
部署技术安全防护措施:对个人信息在存储和传输过程中采用加密保护;对不需要识别个人身份的数据使用场景,采用去标识化处理;在开发、测试、数据分析等非生产环境中,必须使用经过去标识化或匿名化处理的数据;部署防泄露、防篡改、防攻击的综合安全防护技术。
强化对外提供与委托处理管理:与第三方数据接收方签订书面协议,明确处理目的、方式、范围、期限以及双方权利和义务;对数据接收方履行数据安全保护义务的情况进行持续监督;处理情况记录至少保存3年备查。
落实合规审计制度:处理个人信息达到1000万人以上的机构,每两年至少开展一次个人信息保护合规审计;可参照GB/T 46903-2025《数据安全技术 个人信息保护合规审计要求》的标准开展审计;审计发现的问题应限期整改。
压实第三方SDK和合作方管理责任:建立SDK引入的安全评估和审核机制;要求SDK提供方出具数据安全合规承诺;建立对合作方的定期审查和持续监督机制;将专项行动整改要求转化为对合作方的合规传导。
