2026年6月17日全国网络安全标准化技术委员会发布《数据安全技术 个人信息安全规范》GB/T 35273征求意见稿公开征求意见至 2026 年 8 月 16 日。作为国内个人信息保护领域实操性最强的核心国家标准本次修订跳出 2020 版 “隐私政策 告知同意” 的核心框架将保护重心全面延伸至数据全生命周期治理、AI 数据使用规则、跨境法域冲突应对、组织问责体系建设四大维度对AI企业、出海平台、金融、医疗、汽车等大规模数据处理行业的合规体系提出了全新要求。核心修订要点合法性基础重构新增专章划定八类数据处理合法场景边界明确每项处理活动需对应真实可证的合法依据同意不再是万能合规凭证禁止滥用人力资源管理、公开信息处理等事由超范围处理数据。敏感信息扩围多项普通个人信息聚合后若具备敏感风险特征需按敏感信息管理打破单字段分级的传统模式。同时细化单独同意要求禁止一次性总授权覆盖多类敏感处理场景。新增质量原则要求处理者保障个人信息真实准确因数据错误、失实引发歧视性结果、不当决策的纳入合规责任范畴适配自动化决策、AI 算法的应用现状。补齐新场景规则三类高频场景明确要求AI 产品需落实训练数据审查、输入敏感信息过滤与输出风险管控扩展功能需设关闭路径终端设备需规范权限调用与 SDK 数据链路统一账号不构成跨主体天然数据共享依据。跨境合规升级新增海外法律管辖与冲突处理专章将跨境合规从 “数据出境申报” 延伸至全链路管辖风险管控要求建立境外政府数据请求应对机制高风险跨境活动需每年评估。组织责任落地明确处理超 100 万人个人信息、超 10 万人敏感信息等规模的企业需设专职保护负责人与专门工作机构负责人需具备决策参与权合规审计需形成全流程闭环监管核查重心转向执行落地与证据留存。本次国标修订的核心本质是推动个人信息保护从 “纸面授权管理” 向 “实质治理能力建设” 升级。过往不少企业的合规工作以隐私政策、同意凭证为核心抓手而新标准要求合规深度嵌入数据处理全链路 —— 从合法性判断、质量管控到 AI 场景适配、跨境风险应对再到内部组织责任均需形成可追溯、可审计的完整体系。目前标准仍处于征求意见阶段正是企业梳理合规短板、调整体系框架的窗口期。尤其 AI 企业、出海平台、大型互联网平台等主体提前完成数据处理活动全景盘点、合法性基础梳理与新场景规则适配才能在标准正式落地后平稳过渡规避集中整改的合规风险。