个人信息保护法落地两年：企业合规避坑指南

一、哪些行为最容易踩红线？

《个人信息保护法》施行以来，执法实践暴露出以下高频违法行为：

• "默认同意"式收集——用户注册时默认勾选同意，未取得明示同意。第14条要求个人信息处理需取得个人的明示同意
• 超范围收集——App强制要求获取与核心功能无关的权限。第6条规定应限于实现处理目的的最小范围
• 未提供退出机制——用户想撤回同意却找不到入口。第15条规定个人有权撤回同意
• 数据泄露未及时通知——发生数据泄露事件后未在72小时内通知相关部门和个人
• 大数据杀熟——利用个人信息进行自动化决策时未保证透明度和公平性。第24条禁止在交易条件上对个人进行不合理的差别待遇

二、违规后果有多严重？

《个人信息保护法》第66条规定了严厉的处罚：一般违法处100万元以下罚款；情节严重处5000万元以下或上一年度营业额5%以下罚款。

三、企业合规清单

1. 制定个人信息保护内部管理制度和操作规程
2. 对个人信息实行分类管理
3. 采取加密、去标识化等安全技术措施
4. 合理确定个人信息处理的操作权限
5. 处理敏感个人信息需取得个人的单独同意
6. 向境外提供个人信息需通过安全评估

延伸阅读：AI生成内容侵权谁担责？ | 2026新公司法十大变化