2026年个人信息保护系列专项行动:交通行业数据合规整改指南(三)
作者:王良 2026-05-22《个人信息保护法》施行以来,中央网信办会同有关部门持续加大个人信息保护工作力度,查处各类违法违规处理个人信息行为,督促指导个人信息处理者不断提升合规水平。2026年4月2日,中央网信办、工业和信息化部、公安部联合发布公告,宣布开展2026年个人信息保护系列专项行动。
2026年专项行动更侧重行业场景,更聚焦实际处理活动,也更关注内部治理责任。交通领域作为重点治理行业之一,其治理对象覆盖了公众出行链的多个关键节点,包括公路、水路、铁路、民航运输经营者及相关票务代理,线上出行购票平台,邮政快递企业,以及公共停车管理平台等个人信息收集使用活动。监管视角已从前台页面、权限申请和产品功能配置,进一步延伸至行业业务流程、数据处理全流程和内部管理责任。
一、专项行动执法依据与规范体系
(一)交通行业数据保护现状
交通行业涵盖公路、水路、铁路、民航运输经营者及相关票务代理、线上出行购票平台、邮政快递企业以及公共停车管理平台等多元化主体,所涉个人信息具有鲜明的行业特征。从数据类型看,交通行业处理的信息既包括常规的个人身份信息(姓名、身份证件号码、联系方式),也包含大量高度敏感的个人轨迹信息(行踪轨迹、出行记录、乘车信息、订票详情、收寄件地址等),其中行踪轨迹属于《个人信息保护法》明确列举的敏感个人信息,一旦泄露极易对个人的人身财产安全造成重大威胁。
从数据体量看,交通行业个人信息处理规模庞大。以邮政快递行业为例,我国快递年业务量连续多年位居世界第一,邮政快递企业掌握着海量用户的姓名、地址、联系方式等精准个人信息。线上出行购票平台、公共停车管理平台等也同样汇聚了千万级乃至亿级规模的用户数据。交通数据还具有“跨区域、高动态、强关联”的独特性,数据的跨部门、跨区域共享频繁,流转链条长、环节多,进一步增加了个人信息泄露和安全管理的难度。
(二)规范体系
交通领域数据合规规范体系在基础法律层,主要依据《网络安全法》,该法确立了网络安全等级保护制度、网络产品和服务安全审查等基本要求;《数据安全法》确立了数据分类分级、数据安全保护义务及重要数据出境管理等制度框架;《个人信息保护法》规定了最小必要原则、告知同意机制及个人权利保障等核心规则。
在行业专项层,涉及的主要规范包括:(1)铁路领域:《铁路关键信息基础设施安全保护管理办法》,该办法明确运营者应当履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度。(2)邮政快递领域:《寄递服务用户个人信息安全管理规定》,该规定要求寄递企业应当建立寄递服务用户个人信息安全投诉处理及请求响应机制,公布有效联系方式,接受并及时处理有关投诉及请求;受托方发生寄递服务用户个人信息安全事件导致信息泄露、篡改、丢失的,寄递企业应当依法承担相应责任。《快递暂行条例》,该条例明确经营快递业务的企业及其从业人员不得出售、泄露或者非法提供快递服务过程中知悉的用户信息,并规定了相应的法律责任。(3)民航领域:《公共航空运输旅客服务管理规定》,要求承运人、机场管理机构建立公共航空运输旅客服务质量管理体系,并确保管理体系持续有效运行。《民航数据管理办法》正在征求意见阶段,该办法拟对民航数据的收集、存储、使用、加工、传输、提供、公开等全生命周期进行管理,将民航数据分为公共数据、企业数据、个人信息数据三类,划分四类民航数据处理主体。
2026年1月正式发布的《交通运输数据安全管理办法(征求意见稿)》,首次构建了覆盖“分级分类—全生命周期—风险防控—应急响应”的系统性数据安全治理框架。此外,民航领域《民航数据管理办法(征求意见稿)》已两轮征求意见,拟对民航数据的采集、存储、使用、加工、传输、提供、公开等全生命周期进行管理。频繁的行业立法表明监管机构对该领域个人信息保护工作的高度关注,行业合规压力与治理动力同步增强。
二、法律分析与合规操作指引
【问题一】相关机构运营的网站、App在无关场景收集位置、通讯录等个人信息,调用麦克风、存储等个人信息权限
该问题涉及个人信息处理的最小必要原则。交通出行领域的App、小程序及网站,在提供核心运输服务或停车管理功能时,超出实现处理目的所必需的范围,收集位置、通讯录等非必要个人信息,或在无业务场景支持的场景下调用麦克风、存储等权限,违反了最小必要原则的基本要求。专项行动公告明确将此类行为列为交通领域重点治理问题。
(一)法律分析
《个人信息保护法》第六条规定,收集个人信息应当限于实现处理目的的最小范围,不得过度收集个人信息。该法第五条规定,处理个人信息应当遵循合法、正当、必要和诚信原则。第六十一条要求个人信息处理者应当根据处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应措施确保处理活动符合法律、行政法规的规定。
《常见类型移动互联网应用程序必要个人信息范围规定》进一步细化了交通出行类App的必要个人信息范围。以地图导航类为例,其基本功能服务为“定位和导航”,必要个人信息仅包括位置信息、出发地、到达地;网络约车类的基本功能服务,其必要个人信息为注册用户移动电话号码、乘车人出发地、到达地、位置信息、行踪轨迹、支付时间、支付金额、支付渠道等支付信息。超出上述范围的收集行为,如收集通讯录、短信等,即构成“非必要信息”收集,涉嫌违反最小必要原则。
需要特别注意的是,同意应当是个人在充分知情的前提下自愿、明确作出的。不得以用户不同意收集非必要个人信息为由拒绝提供核心服务,否则即构成“强制同意”,同样属于违规行为。
(二)排查重点清单
(三)整改要求
删除:删除已在无关场景收集的通讯录、短信、非必要位置信息等个人信息,并对已收集的超范围信息进行清理。
建立:建立最小必要权限申请机制,仅在提供核心服务所需的必要场景中申请相应权限,并在申请权限时同步告知用户目的。
完善:完善隐私政策和用户协议,清晰列明各项业务功能收集的个人信息种类、调用权限的目的和频次。
部署:部署App行为监测技术手段,建立权限调用的日志审计机制,定期审查权限使用情况和调用频次,及时调整和收回不再需要的权限。
修订:修订用户告知同意文本,确保用户充分知情并自愿同意,不得以拒绝提供服务的方式强迫用户同意收集非必要信息。
(四)典型案例
2026年5月,公安部计算机信息系统安全产品质量监督检验中心检测发现41款违法违规收集使用个人信息的移动应用,主要问题包括未公开个人信息收集使用规则、未经用户同意收集使用个人信息、未完整准确告知收集使用个人信息情况等。其中《享充充电》(微信小程序)等充电类应用被通报存在上述问题。交通出行领域相关机构应以此类通报为警示,对运营的网站、App及小程序开展全面自查整改。[来源“公安部网安局”微信公众号,发布于2026年5月]
【问题二】公共停车场扫码缴费等功能强制要求用户注册、登录,强制收集手机号等个人信息
公共停车场扫码缴费功能的基本服务是完成停车费用的支付,用户无需注册账号或关注公众号即可完成缴费。将注册、登录或关注公众号设置为缴费前置条件,或将收集手机号作为缴费的必需环节,违反了最小必要原则和用户自愿选择原则。专项行动公告将此类行为列为交通领域重点治理问题。
(一)法律分析
《个人信息保护法》第六条规定,收集个人信息应当限于实现处理目的的最小范围。停车场扫码缴费的核心功能是完成支付,手机号不属于完成缴费的必要信息,将其作为缴费前置条件即构成过度收集。该法第五条规定,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。第十三条进一步明确,处理个人信息应当取得个人的同意,但同意应当是个人在充分知情的前提下自愿、明确作出的。强制要求用户注册登录方可缴费,实质上是变相强迫用户同意收集非必要个人信息。
《App违法违规收集使用个人信息行为认定方法》明确,以用户不同意收集非必要个人信息为由拒绝提供业务功能,属于违规行为。《常见类型移动互联网应用程序必要个人信息范围规定》第五条明确,对于无须个人信息即可使用基本功能服务的App,不得要求用户提供个人信息。
(二)排查重点清单
(三)整改要求
删除:删除已通过强制收集方式获取的非必要手机号等个人信息;如已建立会员体系但用户未明确选择加入,须删除相关会员信息并停止使用。
建立:建立非注册扫码缴费通道,确保用户在不注册、不登录、不关注公众号的情况下,仅凭车牌号即可完成缴费;缴费完成后不保留用户的个人信息。
完善:完善扫码缴费页面的隐私政策告知,以清晰显著的方式告知所收集信息的种类和目的,明确区分基础缴费功能与增值服务功能。
部署:部署便捷的注销通道,为已注册缴费用户提供便捷的账号注销和个人信息删除功能,确保用户可随时行使删除权。
保留:有条件的停车场可保留人工收费通道,为用户提供不依赖扫码的缴费方式选择。
(四)典型案例
2026年,深圳某停车场因强制车主连点6次“同意”才能缴费离场,被深圳市市场监管局依据《广东省实施〈中华人民共和国消费者权益保护法〉办法》第十二条第一款第(二)项及第三十三条,处以警告并罚款人民币10000元。经查,该停车场未设置人工收费渠道,消费者扫码后必须依次完成同意《用户隐私权政策》及会员隐私保护指引、授权位置信息、确认停车项目、手机号登录、填写验证码、输入车牌号共六步操作方可缴费,若消费者不同意任一环节,则无法缴费离场。该案体现了监管部门对强制收集、强制同意的坚决整治态度,也为公共停车管理平台提供了明确的整改方向:让车主不必注册,把“不同意”做得和“同意”一样醒目、一样可放行。[来源:南方都市报等多家媒体报道,2026年4月]
【问题三】线上出行购票平台向合作的票务代理等第三方机构提供个人信息未告知、未取得同意
线上出行购票平台在运营过程中,往往需要与票务代理、供应商、服务商等第三方机构共享个人信息。部分平台在向第三方提供个人信息时,未告知用户接收方的名称、处理目的、方式和范围,也未取得用户的单独同意,违反了知情同意原则和对外提供的法定要求。专项行动公告将此类行为列为交通领域重点治理问题。
(一)法律分析
《个人信息保护法》第二十三条规定,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述范围内处理个人信息,变更处理目的或方式的,应当重新取得个人同意。第十七条要求,个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知处理者的名称和联系方式、处理目的和方式、处理的个人信息种类和保存期限、个人行使权利的方式和程序等事项。第七条规定,处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
此外,《民法典》第一千零三十八条规定,信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。
(二)排查重点清单
(三)整改要求
梳理:全面梳理与第三方票务代理、供应商等机构的合作关系,建立第三方处理者名录,明确各接收方的名称、联系方式、所处理信息的种类、处理目的及处理方式。
修订:修订隐私政策和个人信息处理规则,逐一列明向第三方提供个人信息的全部相关情况,以清晰易懂的语言向用户告知。
建立:建立单独同意机制,在向第三方提供个人信息前取得用户的单独同意,不得将同意作为使用购票服务的前置条件,须以显著方式提供明确的拒绝选项。
签订:与所有接收个人信息的第三方机构签订数据处理协议,明确双方的权利义务,约定第三方处理者不得超出约定目的和方式处理个人信息,并在合作结束后及时删除相关信息。
审计:建立第三方数据处理的定期审计机制,每年度对主要第三方合作机构的数据处理情况进行审计和评估,确保其具备相应的安全保障能力。
【问题四】邮政快递企业、线上出行购票平台等机构泄露用户联系方式、家庭地址、个人行程等个人信息
邮政快递企业和线上出行购票平台掌握着大量用户高度敏感的个人信息,包括姓名、联系电话、家庭地址、出行行程等。上述信息一旦泄露,不仅直接侵害公民个人隐私与生活安宁,导致骚扰电话等现实困扰,更可能引发电信网络诈骗等连锁犯罪。专项行动公告明确将此问题列为治理重点。
(一)法律分析
在民事责任方面,《个人信息保护法》第五十一条要求个人信息处理者根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取制定内部管理制度和操作规程、对个人信息实行分类管理、采取相应的加密和去标识化等安全技术措施、合理确定操作权限并定期对从业人员进行安全教育和培训、制定并组织实施个人信息安全事件应急预案等一系列措施,确保处理活动符合法律规定。该法第九条进一步明确,个人信息处理者应当对其处理活动负责,并采取必要措施保障所处理个人信息的安全。
在刑事责任方面,《刑法》第二百五十三条之一规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,非法获取、出售或者提供普通公民个人信息五千条以上的或违法所得五千元以上,即构成“情节严重”,应予惩处。单位犯罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员依照相应规定处罚。
在行政责任方面,《邮政法》第三十五条第二款规定,邮政企业及其从业人员不得将用户使用邮政服务的信息提供给任何单位或者个人,但法律另有规定的除外。《快递暂行条例》第五十四条规定,经营快递业务的企业向他人提供用户信息或者泄露用户信息的,由邮政管理部门责令改正,没收违法所得,并处1万元以上5万元以下的罚款;情节严重的,并处5万元以上10万元以下的罚款,并可以责令停业整顿直至吊销其快递业务经营许可证。
(二)排查重点清单
(三)整改要求
制定:制定并公布个人信息保护内部管理制度,明确个人信息处理的全流程规范。
部署:部署数据防泄露(DLP)系统,对敏感数据流转进行监控和阻断。
加密:对包含个人信息的业务系统采取加密存储、访问控制、日志审计等技术措施,防止未授权访问和数据泄露。
去标识化:对快递面单等物理载体和电子数据上的个人信息采取隐藏、加密、遮挡等去标识化处理措施。收寄件人姓名应隐藏1个汉字以上,联系电话应隐藏6位以上,地址应隐藏单元户室号。
建立:建立个人信息泄露事件的应急处置和报告机制,明确报告流程、应急响应责任人和补救措施。
(四)典型案例
2024年7月至8月,某快递公司员工李某伙同他人,将工作中获得的5646条含有公民姓名、手机号码、收货地址的信息以每条0.2元的价格出售给电商经营者。法院经审理认定被告人构成侵犯公民个人信息罪,判处李某有期徒刑十个月,并处罚金5000元,同时要求其在省级媒体上公开赔礼道歉、删除信息并承担公益损害赔偿责任。[来源:湖南省衡阳市蒸湘区人民法院,发布于2026年1月]
【问题五】相关机构未建立个人信息保护管理制度、未采取有效安全保护措施
个人信息保护不仅要求前端收集使用行为合法合规,更要求机构内部建立系统化、制度化的治理体系。专项行动公告将此问题列为治理重点,标志着监管视角已从前端产品功能延伸至企业内部治理责任的全面审查。
(一)法律分析
我国个人信息保护法律制度对个人信息处理者构建了一套系统化的内部治理义务体系,其需要在组织内部建立起覆盖数据全生命周期的管理制度、组织架构和技术防护体系。
在制度建设层面,法律要求个人信息处理者制定并严格执行内部管理制度和操作规程,形成从数据收集、存储、使用、加工、传输、提供到删除的全流程规范。同时,法律要求对个人信息实行分类管理,区分一般个人信息和敏感个人信息,并针对不同类别采取差异化的保护措施。对于内部人员的操作权限,应当遵循“最小必要”和“职权分离”原则进行合理配置,确保任何人员只能访问其履行职责所必需的最少数据。
在组织保障层面,法律明确要求处理个人信息达到一定数量的机构指定个人信息保护负责人(也称“数据保护官”)。此外,机构应当建立个人信息安全投诉举报渠道并向用户公开,畅通用户行使权利的通道,及时受理和处理用户关于个人信息安全的投诉与请求。
在风险评估与审计层面,法律创设了两项重要的预防性制度。其一是个人信息保护影响评估制度,要求在处理敏感个人信息、利用个人信息进行自动化决策、委托处理或向第三方提供个人信息、向境外提供个人信息等对个人权益有重大影响的情形发生前,应当事前进行评估并留存评估报告。其二是定期合规审计制度,要求个人信息处理者定期对其处理活动是否遵守法律、行政法规的情况进行审查和评价。2025年施行的《个人信息保护合规审计管理办法》进一步细化了审计的实施方式,既可由机构自行组织审计,也可委托专业机构进行。
在技术防护层面,法律要求采取加密、去标识化等安全技术措施。去标识化是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程;加密则是将可识别信息转化为不可读形式的技术手段。这两项技术在交通行业中具有广泛的应用场景:快递面单上的姓名和电话号码应当进行去标识化处理(如隐藏部分字符),线上购票平台的用户数据应当加密存储,公共停车管理系统的数据传输应当采用加密通道。此外,《网络安全法》确立的网络安全等级保护制度要求网络运营者按照相应等级的要求履行安全保护义务,包括部署防火墙、入侵检测、访问控制等防护措施,并定期开展等级测评。
在应急响应层面,法律要求制定并组织实施个人信息安全事件应急预案。一旦发生或者可能发生个人信息泄露、篡改、丢失等安全事件,机构应当立即启动应急预案,采取补救措施,并按照规定及时向主管部门报告,必要时通知受影响的个人。
上述制度、组织、评估、技术、应急五个维度的义务相互关联,共同构成个人信息处理者内部治理责任的完整框架。交通行业机构应当以此为依据,全面检视自身的管理体系和技术能力,确保在制度建设、组织保障、风险评估、技术防护和应急响应等方面均符合法律要求。
(二)排查重点清单
(三)整改要求
制定:制定并公布个人信息保护管理制度,明确个人信息处理的全流程规范。
指定:指定个人信息保护负责人,明确其职责和权限,配备专门人员,建立个人信息保护的内部考核和监督机制。
建立:建立个人信息安全投诉举报渠道,包括电话、邮箱、在线表单等多种方式,向社会公开,确保渠道24小时畅通有效。
建立:建立个人信息保护影响评估制度,在涉及敏感个人信息处理、向第三方提供个人信息、利用个人信息进行自动化决策、委托处理个人信息等情形时开展评估,留存评估报告不少于3年。
开展:开展网络安全等级保护测评,确保系统安全防护水平符合相应等级要求。
部署:部署加密、访问控制、去标识化、日志留存等技术措施,防范数据泄露和未授权访问。
建立:建立个人信息保护合规审计制度,按照《个人信息保护合规审计管理办法》的要求定期开展合规审计,推动形成常态化审计机制。
培训:定期开展从业人员个人信息保护法律培训和合规教育,每年度至少组织一次全员培训,强化从业人员保密义务意识。
(四)典型案例
在某信息技术服务有限公司数据安全行政处罚案中,相关机构因未开展网络安全等级保护测评、涉事系统未采取加密和访问控制等防护技术措施,存在未授权访问漏洞,导致包含部分敏感个人信息的数据疑似被境外可疑IP访问窃取,被依法责令限期改正,并予以警告和罚款处罚。该案警示交通行业机构须切实履行数据安全主体责任,强化内部管理制度和技术防护能力建设,严格落实网络安全等级保护和数据加密访问控制要求。[来源:上海市网信办发布2025年执法典型案例,发布于2026年1月]
